Cisco 2700 Wireless Location Appliance
A Cisco Systems a májusban megrendezett Interop 2005 konferencián több új terméket és technológiát jelentett be, amelyeket nem sokkal később a vállalat magyarországi képviselete is bemutatott újságírók előtt. Mint oly sok alkalommal, az érdekességek most is a részletekben rejlenek, ezért úgy döntöttünk, nem gyömöszöljük az anyagot egy rövid, így – ebben az esetben – szükségszerűen semmitmondó hírbe, és inkább a Prohardvertől szokatlanul a cikk műfaját sajátítjuk ki az újdonságok bemutatására.
Az első új termék a Cisco 2700-as sorozatú vezeték nélküli helymeghatározó készülék (Wireless Location Appliance, WLA), amellyel az IEEE 802.11 szabványcsaláddal kompatibilis kliens eszközök követhetők nyomon valós időben, ami nagy szervezetek teljes WLAN infrastruktúrájának pontos nyilvántartását is lehetővé teszi. Az alkalmazás ezenkívül segíti a lehetséges veszélyforrások felismerését és kizárását, és nem mellékesen a rádiós lefedettség javításával az adat- és hangátvitel zökkenőmentessé tételéhez is hozzájárulhat.
A 2700 WLA a Cisco Wireless Control System (WCS) rádiófrekvenciás azonosítási technológiáját alkalmazza a 802.11 protokollokat használó állomások helyzetének meghatározásához. A Cisco WLAN hozzáférési pontok a helyi hálózat területén összegyűjtik az eszközökhöz tartozó jelerősségi (received signal strength indication, RSSI) adatokat, majd a Lightweight Access Point Protocol (LWAPP) alkalmazásával továbbítják azokat a központi WLAN vezérlőközpontokhoz vagy switchekhez. Ezek összegzik az RSSI információkat, és végül SNMP protokoll alkalmazásával küldik tovább a WLA készülékhez, amely elvégzi a kapott adatok kiértékelését és a helymeghatározást.
[+]
A módszerrel azonosíthatók a noteszgépek, kéziszámítógépek, vezeték nélküli IP-telefonok, valamint az aktív 802.11 RFID-címkével ellátott eszközök, illetve kizárhatók az illegális hozzáférési pontok és az esetleges rosszhiszemű felhasználók. A rendszer az RSSI információk alapján jelerősségi térképeket készíthet, amelyeken az épület/telephely alaprajzára vetítve szemléltethető a WLAN kliensek pozíciója. Az adatok a SOAP/XML alkalmazásprogramozási interfészen keresztül hasznosíthatóvá tehetők más fejlesztők szoftverei számára is, így a felhasználó döntésétől függően számos, helymeghatározáshoz kötött szolgáltatás bevezetése válik lehetővé.
[+]
A helymeghatározó alkalmazás grafikus felülete a központi hálózatmenedzsmentet is megkönnyíti, és a biztonság növeléséhez is hozzájárulhat. A jobb skálázhatóság érdekében egy WCS rendszerben több Cisco 2700 WLA készülék is együtt tud működni. A rendszergazda igényeinek megfelelően számos keresési feltétel alapján jeleníthetők meg a kívánt helyszínek és eszközök, például készülékfajta, logikai cím, azonosító vagy pozíció alapján.
[+]
Ugyancsak egyszerűbbé válhat a jogosulatlan WLAN állomások kiszűrése, mellyel egyidejűleg lépések tehetők a róluk induló támadások kivédésére. A helymeghatározáson kívül a rendszer egy sor, a hálózatfelügyelet szempontjából releváns információt rögzít, amelyek – békésebb vizekre evezve – például hálózati statisztikák összeállításához vagy az analízis révén az adatátvitel javításához hasznosíthatók.
[+]
[+]
A WLAN-ról begyűjtött adatok nemcsak a kliensek, hanem a hozzáférési pontok szemszögéből is fontosak, így ugyanis lemérhető az egyes AP-k terheltsége, elemezhető a hálózati forgalom térbeli-időbeli koncentrációja, illetve olyan trendeket lehet számítani, amelyek az egyes felhasználók helyzetéhez vagy az általuk okozott terheléshez köthetők.
[+]
Fentebb már említettük a szűrési funkciót; az alábbi képernyőrészleten egy célzott keresés eredménye jelenik meg. A rendszer az egyes állomások adatai alapján eleve számos szűrési feltételt kínál fel, amelyek egyéni feltételekkel egészíthetők ki, mégpedig nemcsak az eszköz grafikus interfészén, hanem más alkalmazásokból a SOAP/XML-alapú API-n keresztül is.
[+]
A helymeghatározó rendszer a már meglévő vezeték nélküli helyi hálózatba integrálható, így – a szükséges infrastruktúra megléte esetén – mérsékelni lehet kiépítési és birtoklási költségeit. Bár a hálózatüzemeltetéshez kapcsolódó (felügyeleti, elemi biztonsági) funkciók önmagukban is értékesek, aligha tennék kifizetődővé a Cisco 2700 WLA eszközök használatát – rájuk építve azonban sokféle, részint újszerű üzleti alkalmazás bevezetésére nyílik mód. Néhány példa álljon itt ezek közül:
- Eszköznyilvántartás – korszerű berendezések és egyéb nagyértékű mobil eszközök elkallódásának vagy eltulajdonításának megelőzésére. A WLAN-t használó vállalatnál a keresett eszközök mindig gyorsan fellelhetők.
- Készletgazdálkodás és munkafolyamat-automatizálás – ezek az alkalmazások a készletfelhasználás optimalizálását és a munkafolyamatok, illetve szállítási folyamatok ésszerűsítését teszik lehetővé.
- Biztonsági alkalmazások – az illetéktelen hozzáférési pontok és egyéb veszélyforrások, valamint a hibás berendezések gyors azonosítását szolgálják.
- Vezeték nélküli IP-telefonok (VoWLAN) – a helymeghatározó képességekkel zökkenőmentessé tehető a hangátvitel akár WLAN-roaming esetén is, továbbá a vállalatok megfelelhetnek a fejlett segélyhívó rendszerek követelményeinek, pontosabb információkkal szolgálhatnak a mentőknek, tűzoltóknak stb.
- Telemetria – különféle gépekhez, berendezésekhez kapcsolt WLAN kliensek nem csupán a helymeghatározást segítik elő, de a legkülönfélébb adatok továbbítására is használhatók, amelyek egy egységes adatbázisba kerülhetnek a Cisco WCS rendszerének adataival.
Maga a Cisco 2700 Wireless Location Appliance készülék rackbe szerelhető, 1U magas. 1 GB memóriát tartalmaz; egy 9 tűs soros, két USB, 10/100/1000 megabites Ethernet hálózatokhoz való csatoláshoz két RJ45 interfészt biztosít, egér és billentyűzet számára két PS2 port, míg monitorok számára két VGA-kimenet áll rendelkezésre. A termék listaára 14995 dollár, szállítása júniusban kezdődik meg.
Cisco Adaptive Security Appliance 5500
Az adaptív biztonsági szolgáltatások egyesítésére a Cisco egy új termékcsaládot dobott piacra – az Adaptive Security Appliance (ASA) 5500 sorozat a hálózat, illetve az egyes alkalmazások adatforgalmának megfigyelésére és szabályozására használható, emellett rugalmas VPN-szolgáltatást biztosít. A széria kulcseleme a gyártó önvédő hálózati stratégiájának (Self-Defending Network, SDN) nemrég bejelentett továbbgondolása, amely az adaptív védelmet (Adaptive Threat Defense, ATD) tűzi a zászlajára a több rétegre kiterjedő dinamikus ellenőrzés révén. A stratégia első pillére az Anti-X védelem, amely részint reaktív, részint megelőző védelmet biztosít különféle forgalom- és tartalombiztonsági szolgáltatásokkal; a második az alkalmazásbiztonság; a harmadik pedig a hálózatvezérlés és -elszigetelés. Az ATD-be illeszkedő, a télutón bemutatott termékeket és technológiákat az alábbi táblázat foglalja össze:
A Cisco ASA 5500-as termékcsalád három tagjával, illetve ezek szoftveres és hardveres bővítési lehetőségeivel megfelelhet a kis- és középvállalatok, valamint a nagyobb szervezetek igényeinek is. A gyártó szándékai szerint a befektetést a különféle biztonsági funkciók összevonása, a könnyebb konfigurálhatóság, a – kevesebb hibalehetőségből is adódó – nagyobb biztonság, valamint a hálózat sebességét vissza nem fogó teljesítmény teszi megtérülővé. A széria az ASA 5510, az ASA 5520, illetve az ASA 5540 jelzést viselő modellekkel kerül piacra.
Az új megoldások a PIX Security Appliance, IPS 4200 és VPN 3000 Concentrator termékcsaládokban alkalmazott biztonsági szolgáltatásokra épülnek. A termékek az IP-integrációs lehetőségek mellett támogatják a QoS-t, az útválasztást, az IPv6-ot és a multicastot, így anélkül illeszthetők a meglévő hálózatba, hogy hátráltatnák a jogosult forgalmat vagy az alkalmazások működését. Az ASA 5500 sorozat VPN-szolgáltatásai között a távoli elérésű IPSec és SSL VPN funkciók mellett QoS-re alkalmas, telephelyek közötti IPSec-szolgáltatások is találhatók.
Az ASA 5500 széria tagjai az ATD stratégia eljárásai szerint összefüggésükben vizsgálják a különböző biztonsági eseményeket, és képesek összehangoltan reagálni. Védelmet nyújthatnak a férgek, a vírusok, a kémprogramok és a reklámprogramok ellen; a hálózati forgalomban felismerik és megelőzik a támadásokat és az illetéktelen behatolást, és emellett a túlterheléses támadásokat (DoS) is kivédik.
A készülékek a hálózati alkalmazások védelmét-ellenőrzését is elvégzik, többek között szabályozzák a nagy sávszélességet igénylő egyenrangú (P2P) szolgáltatások – például a fájlcserélő vagy az azonnali üzenetküldő programok – működését és a webes hozzáférést (URL-ellenőrzés); gondoskodnak az adatbázis-szolgáltatások és a hasonló vállalati alaprendszerek védelméről; valamint számos alkalmazásfüggő védelmi funkcióval teszik biztonságossá a multimédiás és VoIP-szolgáltatások használatát.
Az ASA 5500 sorozat hálózatellenőrzési és veszélyforrás-elszigetelési szolgáltatásokat is kínál, amelyekkel ellenőrizhetők és szegmentálhatók a felhasználók, az alkalmazás-hozzáférés és a hálózat fő forgalmi irányai. Ide tartoznak többek között a 2-4. rétegben működő, állapotfüggő vizsgálatokat végző tűzfalfunkciók (Stateful Packet Inspection, SPI), amelyekkel nyomon lehet követni a hálózatban zajló kommunikációs tevékenységeket, és meg lehet akadályozni a jogosulatlan hozzáférést. A virtualizáció (azaz VLAN-ok létrehozása) szokott módon a hálózat szegmentálását és a szolgáltatások méretezését segíti.
A széria fentebb jellemzett adaptív hálózatvédelmi technológiával ellátott IPSec és SSL VPN funkciócsomagja igyekszik garantálni, hogy a hálózatot a VPN-kapcsolaton keresztül ne érjék külső féreg-, vírus- vagy más támadások. Az új termékeket számos szituációban lehet alkalmazni, ideértve a telephelyek közti vagy felügyelt asztali gépekről történő hozzáférést, a vállalati hálózat teljes vagy részleges elérését, a partnerek általi külső hozzáférést és az extranetes megoldásokat.
A Cisco ASA 5500 készülékek funkcionalitása szoftverekkel és hardvermodulokkal bővíthető. Az egyszerűbb üzemeltetés és hibaelhárítás érdekében lehetséges több szolgáltatás közös felügyelete, de egyedi szolgáltatásprofilok telephelyekhez, illetve funkcionális területekhez külön is bevezethetők. A „több szolgáltatás egyetlen eszközön” elven alapuló megközelítéssel csökkenteni lehet a telepítendő és felügyelendő platformok számát, ami végeredményben egyszerűbb konfigurálást, hálózatfigyelést és hibaelhárítást eredményez, illetve csökkentheti az ezekkel járó költségeket.
Az ASA 5500 felügyeleti szolgáltatásainak túlnyomó része az egyedi eszközfelügyeletet kínáló Adaptive Security Device Manager, illetve a többeszközös felügyeletet támogató Cisco Security Management Suite megoldáscsomag része. Az előbbi olyan webalapú megoldás, amellyel az összes biztonsági szolgáltatás és VPN-eszközhöz kapcsolódó funkció konfigurálható. A legfeljebb tíz eszközt kezelő rendszer eszközállapot- és szolgáltatásfigyelést, valamint ezekkel kapcsolatos jelentéseket is tartalmaz.
A Cisco Security Management Suite megoldáscsomagot a nagyobb rendszerekhez fejlesztették ki. A csomag összetett, szabálykészlet alapú, többszolgáltatásos felügyeletet kínál a több helyszínt átfogó hálózatok konvergens kezeléséhez. Támogatja a különböző dedikált készülékeket, routereket és switcheket tartalmazó vegyes környezeteket, és szabályozott kereteket biztosít a számos felhasználóra vagy részlegre kiterjedő szoftverfrissítések elvégzéséhez, illetve nyilvántartásához. Mind a Cisco ASA 5500 sorozatot, mind a Cisco egyéb biztonsági termékeit vásárlók igénybe vehetik a Cisco készenléti és sürgősségi szolgáltatásait.
| Műszaki adatok | |||
| Típus | Cisco ASA 5510 | Cisco ASA 5520 | Cisco ASA 5540 |
| Tűzfal áteresztőképessége | 300 Mbps | 450 Mbps | 650 Mbps |
| VPN áteresztőképesség | 170 Mbps | 225 Mbps | 325 Mbps |
| Egyidejű kapcsolatok | 32 000 / 64 000* | 130 000 | 280 000 |
| IPSec VPN peerek | 50 / 150* | 300 / 750** | 500 / 2000** / 5000*** |
| WebVPN peerek | 50 / 150* | 300 / 750** | 500 / 1250** / 2500*** |
| Biztonsági kontextusok | nem támogatott | 2 / max. 10**** | 2 / max. 50**** |
| Hálózati interfészek | 3 Fast Ethernet + 1 menedzsmentport / 5 Fast Ethernet* | 4 Gigabit Ethernet + 1 Fast Ethernet | 4 Gigabit Ethernet + 1 Fast Ethernet |
| VLAN-ok száma | 0 / 10* | 25 | 100 |
| SSM bővítőhelyek | 1 | 1 | 1 |
| Felhasználói flash bővítőhelyek | 1 | 1 | 1 |
| USB 2.0 portok | 2 | 2 | 2 |
| Soros portok | 2 RJ45 (konzol, AUX) | 2 RJ45 (konzol, AUX) | 2 RJ45 (konzol, AUX) |
| Memória | 256 MB | 512 MB | 1024 MB |
| Flash rendszermemória | 64 MB | 64 MB | 64 MB |
| Listaár | 3 495 dollártól | 7 995 dollártól | 16 995 dollártól |
| * Cisco ASA 5510 Security Plus licenccel | |||
| ** Cisco ASA 5520/5540 VPN Plus licenccel | |||
| *** Cisco ASA 5540 VPN Premium licenccel | |||
| **** külön licencelt szolgáltatás | |||
A hardverteljesítmény fokozásához egy-egy úgynevezett Adaptive Inspection and Prevention Security Services Module (AIP SSM) helyezhető a készülékekbe. Az SSM-AIP-10 jelzésű kiegészítő kártya az ASA 5510-zel 150 Mbps, míg az ASA 5520-szal 225 Mbps teljesítményt nyújt. Az SSM-AIP-20 az ASA 5520 sebességéhez 375 Mbps-ot, az ASA 5540-éhez pedig 450 Mbps-ot tesz hozzá.
Cisco Integrated Services Routerek
A vállalat harmadik bejelentése az integrált szolgáltatásokat kínáló routereket (Integrated Services Router, ISR) érintette. A termékcsalád tavaly ősszel jelent meg a piacon; olyan útválasztókat foglal magában, amelyek az adatforgalom lebonyolítása mellett hang- és videoátvitelre is alkalmasak. Újdonságot jelentenek az IEEE 802.11 szabványok szerinti, beépített vezeték nélküli hálózati képességekkel érkező Cisco 1800 ISR és Cisco 800 ISR routerek, melyeket szélessávú hálózati kapcsolattal rendelkező kis- és középvállalatok, fiókirodák és távmunkában dolgozók számára ajánlanak.
A 870-es sorozat tagjai négy 10/100 megabites Ethernet LAN-interfészt tartalmaznak, WAN-interfészük típustól függően a Fast Ethernet, az ADSL, az ADSL over ISDN (ISDN backuppal) vagy a G.SHDSL technológiát támogatja; 802.11b/g szabvány szerinti WLAN-vezérlővel bővíthetők. Tűzfalat, 3DES vagy AES titkosítást alkalmazó IPSec VPN-t, behatolásvédelmet és a Network Admission Control (NAC) révén vírusvédelmet biztosítanak, illetve segítenek betartatni a biztonsági házirendet. Csak Fast Ethernet vagy ADSL WAN-interfésszel érhető el az ugyancsak Cisco IOS-re épülő, tűzfalat és VPN-t támogató 850-es széria.
Cisco 800 ISR
A fix konfigurációjú 1800-asok között vannak egy-egy Fast Ethernet, illetve ADSL, ADSL over ISDN vagy G.SHDSL WAN-interfészt biztosító típusok, de van, ahol két Fast Ethernet interfész fogható be erre a célra. Backupként többnyire ISDN BRI, esetleg V.92 analóg modem áll rendelkezésre. A moduláris felépítésű 1841-esen két HWIC bővítőhely található, melyek a WIC és VWIC kártyákkal kompatibilisek, így számtalan variációt kínálnak – közöttük az új WLAN bővítőkártyát is képesek fogadni.
Cisco 1800 ISR
A bejelentés óta tehát a Cisco összes integrált szolgáltatásokat kínáló útválasztója támogatja a beépített vagy bővítőmodullal megvalósított, 802.11-es szabvány szerinti WLAN-funkciók használatát. A vállalat új, rögzített konfigurációjú ISR-ei már eleve tartalmazhatják ezeket, a moduláris ISR-ekhez (a Cisco 1841, 2800 és 3800 sorozatú routerekhez) külön vezeték nélküli illesztőkártyák rendelhetők.
Cisco 1800, 2800, 3800 ISR
A új ISR útválasztók is illeszkednek a korábban emlegetett adaptív hálózati védelem stratégiába, amelyet a VPN-támogatás egészít ki. A biztonsági funkciók közül érdemes kiemelni a proaktív védelmet: az eszköz a hálózati forgalom ellenőrzése során kiszűri a normálistól eltérő módon kommunikáló állomásokat. Az ugyanis, hogy egy nem szerverként használt gép másodpercenként akár több száz másikkal próbálja meg felvenni a kapcsolatot, egy vírusfertőzés jele lehet, melynek továbbterjedését a vírusirtó szoftver működésbe lépésééig például az állomás – ideiglenes – elszigetelésével lehet megakadályozni. A technológia már korábban is jelen volt az ISR családban, de Virus Throttling néven nemrég a HP is bevezetett egy rokon eljárást.
A Cisco routerei a VPN titkosításához, a biztonsági szolgáltatásokhoz, illetve magához a forgalompriorizáláshoz és az útválasztáshoz dedikált áramköröket vesznek igénybe, így teljesítményük akkor is megfelelő, ha valamennyi szolgáltatás egyidejűleg fut.
A Cisco Security Device Manager (SDM) felügyeleti szoftver 2.1-es verziója az új 800-as sorozatú modellektől a 7301-es sorozatig támogatja az összes Cisco routert. Az SDM segítségével a felhasználók egy webes felületen állíthatják be, illetve felügyelhetik az útválasztó különböző funkcióit, de persze mód van a parancssoros üzemmód használatára is.
[+]
A gyártó ugyancsak bővítette az ISR routerek adat- és tartalomkezelési lehetőségeit. A Cisco 2800 és 3800 sorozatú ISR-ekben használt, Power over Ethernetet (PoE) biztosító új 16, 24, illetve 48 portos EtherSwitch modulok nagyobb portsűrűséget biztosítanak.
A Cisco IOS 12.4-es verziójában – a Network Analysis Module (NAM) továbbfejlesztett funkciói mellett – a felhasználók által definiálható QoS-funkciókhoz használható sávszélesség-becslés, valamint a forgalom felügyeletét és a WAN-sávszélesség optimalizálását segítő Application and Content Networking System (ACNS) 5.3-as verziójának frissítései is megtalálhatók az újabb szolgáltatások között.
A Cisco ISR családdal kapcsolatos ügyféltámogatása kis- és középvállalatok esetében a Cisco SMB Support Assistant, nagyobb szervezetek esetében pedig a Cisco SMARTnet szolgáltatásaira terjed ki. Az előbbi szolgáltatáscsomag hardvercserét, az operációs rendszer alapvető karbantartási feladatait, egy egyszerűen kezelhető webes portált, valamint munkanapokon napi nyolc órában elérhető műszaki segítségnyújtást tartalmaz. A Cisco SMARTnet, illetve SMARTnet Onsite szolgáltatáscsomag a nagyobb vállalatok részére biztosít 7 x 24 órás ügyféltámogatást, műszaki segítséget, eszközöket és tájékoztatást, rendszeres operációsrendszer-frissítéseket, valamint megelőlegezett cserekészülék-szolgáltatást.
A fix konfigurációjú Cisco 1800 sorozatú routerek listaára opcionális 802.11a/b/g vezérlővel 1295 dollárnál kezdődik; a 802.11b/g interfésszel rendelhető 870-es és 850-es modellek kezdőára rendre 649, illetve 399 dollár. A moduláris felépítésű útválasztókba illeszthető HWIC-AP Wireless Interface Card csak júliusban kerül piacra, ára 500 dollártól indul.
Hankó Péter
