Miért van szükség hálózat monitorozásra?

A folyamatosan felügyelt hálózatban az esetleges eszközhibák sokkal hamarabb felfedezhetőek, hiszen a rendszer azonnal képes értesíteni az illetékes személyeket az esetlegesen felmerülő problémákról. Egy jó menedzsment rendszer képes kiszűrni az esetleges DoS (Denial of Service) támadásokra jellemző sajátosságokat, akár a forgalom, akár az eszköz kihasználtság (pl. CPU) folyamatos monitorozásával. A hálózatban megjelenő forgalom állandó mérésével könnyen feltérképezhető, hogy mely részeken érdemes esetleg bővíteni, fejleszteni.

Mit tud nyújtani önnek a What's Up Gold?

A What's Up Gold vagy röviden WUG egy jól kezelhető menedzsment rendszer, amely elsősorban hálózati eszközök és szerverek aktív monitorozására lett fejlesztve. Egy olyan gyártófüggetlen egységes felületet biztosít, amelyen keresztül könnyedén felügyelhető szinte minden eszközgyártó számos terméke. Kezelése történhet akár lokális bejelentkezéssel, akár kiváló webes felületén keresztül.

A WUG az eszközök állapotát általában SNMP segítségével kérdezi le, de képes kezelni akár SSH és Windows, vagy akár VMware autentikációt is. Lehetőséget nyújt menedzselhető eszközök interfészeinek, processzorának, memóriájának kihasználtságának folyamatos figyelésére. A gyűjtött statisztikákat eltárolja, sőt számos beépített riport segítségével könnyen visszakereshetővé teszi. Tetszőleges riasztások definiálhatók testreszabott határértékekkel, akár e-mail és sms formájában is. A What's Up Gold nem csak az eszközeink állapotát képes felügyelni, de lehetőség nyílik a különböző szerverek szolgáltatásainak ellenőrzésére is (pl. web szerver, FTP, stb.). VMware rendszerek monitorozását is támogatja.

Kiknek ajánljuk?

A WUG-ot elsősorban nagyvállalati (kb. 100-5000 munkaállomás) környezetbe ajánljuk, hiszen egy rendkívül jól skálázható megoldásról van szó, amely kifejezetten nagy hálózatokban is kiválóan használható.  Lehetőséget nyújt több eszköz együttes felvételére a menedzsment rendszerbe, és könnyen csoportokba rendezhetjük meglévő eszközeinket. Az előre beállított vagy akár általunk definiált szabályrendszerek segítségével az új eszközök felvétele pár kattintással elvégezhető. A hozzáadott eszközökön automatikusan keresi az ismert szolgáltatásokat, interfészeket, nincs szükség eszközfüggő script-ek megírására (mint számos más menedzsment rendszer esetében).  A megfelelő kiegészítők segítségével képessé válik hálózatunk automatikus feltérképezésére is.

Részletes rendszerterv elkészítése, tanácsadás ügyében írjon a szolgaltatas@lan.hu címre, szakképzett rendszermérnökünk
rövidesen megkeresi Önt!

10 Gbps a végpontokig

Lehet, hogy ez még korainak hangzik, de 10 éve ugyanezt gondolhattuk az 1000BASE-T szabványról, ami manapság már szinte alapkövetelmény - gondoljunk a notebook-ok és a desktop PC-k integrált Gigabites csatlakozóira, az ilyen végponti sebességű switchek pedig már igen széles körben elterjedtek. Ugyan 10 Gigabites portokkal rendelkező végponti aktív eszközök még nincsenek a piacon, a strukturált kábelezés gondos megválasztásával felkészíthetjük hálózatunkat a jövő IT kihívásaira - a Cat6a kábelezési szabvány ugyanis a réz alapú Ethernet hálózatok esetében jól megszokott 100m-es szegmensen belül biztosít 10 Gigabites sebességet.

10 Gbps sebességű gerincek

A Gigabites végponti sebesség felhasználásának rohamos terjedésével a hálózati csomópontok, rendezők közti gerinckapcsolatok Gigabites sebessége vált szűk keresztmetszetté. Hiába van lehetőség gerincportok összefogására (2-4, vagy akár 8x1 Gigabit, "Link Aggregation" v. "Trunking"), ha 24-48, vagy még több Gigabites végpont sávszélesség igényét kellene kiszolgálni a központi rendező felé. 

A 10Gbps és az optika

Összességében elmondhatjuk, hogy 10 Gigabites jelátvitelt mono modusú (SMF) ill. OM3-as vagy OM4-es 50µm-es multi modusú (MMF) optikai kábelezésen keresztül valósíthatunk meg 300 vagy akár 550 méteres távolságig. A régebbi, OM1, OM2 62,5 és 50 µm-es kábelek korlátozott, pár tíz méteres hatótávolságai nem alkalmasak komolyabb távolságok áthidalására (ami a több rendezőt összekötő gerinckapcsolatoknál gyakran előfordul).

          Maximális távolságok: UTP és optikai szabványok

Cisco switchek 

A Cisco évek óta építi be portfóliójába a 10 Gigabites technológiát - a már ismert Catalyst switch családjait (C6500, C4500, C3750, C3560) látta el 10 Gigabites (X2 típusú) uplink portokkal ill. modulokkal, így születtek meg az "E" szériás eszközök.

Cisco X2-es optikai modulok  

A vállalati környezetben leginkább elterjedt X2-es optikai modulok felsorolása következik, léteznek még SFP+, XENPAK modulok és ezek DWDM (Dense Wavelength Division Multiplexer) változatai is, amelyekre most nem térünk ki.

• X2-es SR modul: 850 nm, MMF, OM3: 300 m-ig
• X2-es LRM modul: 1310 nm, MMF, OM3: 220 m-ig
• X2-es LX4 modul: 1310 nm, MMF, OM1-2, csak MCP-vel!*: 300 m
• X2-es LR modul: 1310 nm, SMF: 10 km

* MCP = "mode conditioning patch cord" 

Aktív eszközök és szerverek összekötése 10 Gbps sebességen 

Felmerülhet az igény az egy rendezőben lévő X2-es porttal rendelkező switchek nagy sebességen történő uplinkelésére ill. szerverek 10 Gigabites sebességű csatlakoztatására. Ezekben az esetekben használható a réz alapú CX4 összeköttetés, mely 15 m-ig biztosít 10 Gbps sebességű jelátvitelt: 

• X2-es CX4 modul: CX4 (copper), 15 m

Beruházás védelem 10 Gbps sebességen 

Lehetőség van többlépcsős fejlesztés megvalósítására is az aktív eszközök tekintetében. Meglévő, 1 Gigabit gerincsebességű rendszerhez is könnyen illeszthető korszerű, 10 Gigabites technológiára felkészített, X2-es porttal rendelkező switch a következő alacsony költségű modul segítségével: 

• X2-es TwinGig modul: X2-es portba téve 2 db hagyományos SFP modulhelyet kapunk, melybe illeszthetők a hagyományos (esetleg már meglévő) SFP modulok

          Maximális távolságok: UTP és optikai szabványok

Telefonos megbeszélés és helyszíni felmérés után, az Ön cégének legmegfelelőbb megoldást tudjuk ajánlani.

Forduljon hozzánk bizalommal, vagy használja Ajánlatkérő űrlapunkat >>

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.LAN.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

Maximális jelátviteli távolságok:

Szabvány	Média	Max. sebesség	Max. távolság
100GBaseLR4	10µm/1310nm mono-modusú optika	100Gbps	10km
100GBaseER4	10µm/1310nm mono-modusú optika	100Gbps	40km
100GBaseSR10	OM3 multi-modusú optika	100Gbps	100m
	OM4 multi-modusú optika	100Gbps	125m
40GBaseLR4	10µm/1310nm mono-modusú optika	40Gbps	10km
40GBaseSR4	OM3 multi-modusú optika	40Gbps	100m
	OM4 multi-modusú optika	40Gbps	125m
40GBaseT	Cat7a kábelen	40Gbps	50m

Szabvány	Média	Max. sebesség	Max. távolság
10GBaseLR	10µm/1310nm mono-modusú optika	10Gbps	10km
10GBaseER	10µm/1550nm mono-modusú optika	10Gbps	40km
10GBaseSR	62,5µm/850nm multi-modusú optika	10Gbps	26-33m
	50µm/850nm multi-modusú optika	10Gbps	66-82m **
10GBaseT	UTP / FTP - Cat6a kábeleken	10Gbps	100m
	FTP - Cat6 kábelen	10Gbps	100m
	UTP - Cat6 kábelen	10Gbps	37-55m *

       * 10GBaseT link távolsága a használt kábel minőségétől függ!
       ** OM3-as és OM4-es kábelekkel 300 ill. 550 méter is elérhető.

Bővebb információ: 10 Gbps sebességű hálózatok

Szabvány	Média	Max. sebesség	Max. távolság
1000BaseT	UTP / FTP - Cat5e,6 kábeleken	1Gbps	100m
1000BaseSX	62,5µm/850nm multi-modusú optika	1Gbps	220m
	50µm/850nm multi-modusú optika	1Gbps	550m
1000BaseLX	9µm/1300nm mono-modusú optika	1Gbps	5km
1000BaseZX	9µm mono-modusú optika	1Gbps	70km

Szabvány	Média	Max. sebesség	Max. távolság
100BaseTX	UTP / FTP - Cat5,5e,6 kábeleken	100Mbps	100m
100BaseFX	multi-modusú optika (full-duplex)	100Mbps	2km
	multi-modusú optika (half-duplex)	100Mbps	412m
	mono-modusú optika	100Mbps	10km

Szabvány	Média	Max. sebesség	Max. távolság
10Base2	koax	10Mbps	185m
10BaseT	UTP / FTP - Cat3,5,5e,6 kébeleken	10Mbps	100m
10BaseFL	multi-módusú optika	10Mbps	2km
	mono-módusú optika	10Mbps	10km

Telefonos megbeszélés és helyszíni felmérés után, az Ön cégének legmegfelelőbb megoldást tudjuk ajánlani.

Forduljon hozzánk bizalommal, vagy használja Ajánlatkérő űrlapunkat >>

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

VoIP: (IP alapú beszédátvitel, WAN adathálózatokon)

A már meglévő WAN kapcsolatok, pl. bérelt vonalak, felhasználhatók az adatkommunikáción felül beszéd és fax átvitelére is. Az egyes telephelyeken lévő telefon-alközpontok közvetlenül csatlakoztathatók VoIP funkcionalitással bíró routerekre (ezek a routerek biztosítják az adatátvitelt is a telephelyek között) és máris használható a hangátvitel az IP hálózaton.

Ez a megoldás a telefonos költségek jelentős csökkenését jelenti, mivel megszűnik a távközlési díj. A telephelyeken kiépített telefonos hálózat pedig változtatás nélkül felhasználható, mindössze az alközpont és a router összekötéséről kell gondoskodni. Ezt a megoldást abban az esetben érdemes alkalmazni, amikor nagy a hívások száma az egyes telephelyek között.

IP Phone: (IP alapú LAN-telefónia)

Cél: a "hagyományos" (hangátvitelre kifejlesztett) telefonközpontok és készülékek kiváltása integrált adat-hang átviteli rendszerrel. A beszéd átvitele, a már kiépített, helyi számítógép-hálózaton keresztül történik, nincs szükség telefonközpontra. Az adat-hang integrációról egy speciális vezérlő egység gondoskodik, amely akárcsak az IP telefonok, a helyi Ethernet hálózatra kapcsolódik. Lehetőség van szoftver-telefon használatára is, amelyen a fizikai telefonokkal azonos funkciók érhetők el.

Ez a rendszer az adatátvitelen felül, alkalmas telefonközpont funkciók ellátására is. A felhasználók saját hangpostával rendelkeznek, hívási jogosultságok állíthatók be, kialakítható titkársági (központos) telefon, stb. Új lokális hálózat kiépítésekor, mindenképpen érdemes figyelembe venni az IP telefon kínálta lehetőségeket és előnyöket. Nem kell külön telefonos és számítógépes-hálózatot kiépíteni. Ugyanazon a kábelen történik az adatátvitel és a telefonálás. Nem szükséges telefonközpont sem.

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

Vezeték nélküli megoldások (WLAN)

Előfordul, hogy valamilyen okból kábelhálózat kialakítása egyáltalán nem, vagy csak részben lehetséges, esetleg nem praktikus. Ilyenek lehetnek például: műemlék épületek, tantermek, előadó termek, ideiglenes hálózatok. Ezekben az esetekben javasolt a WLAN-ok alkalmazása.

Ezen megoldások előnye a "hagyományos" vezetékes hálózattokkal szemben, hogy csak részben, illetve egyes esetekben egyáltalán nem igénylik a kábelezési rendszer kiépítését. További előny az egyes felhasználók igen nagy mértékben növekedett mobilitása. Egy vezeték nélküli munkaállomás egy irodából egy másikba való áthelyezése a hálózat semmiféle átkonfigurálását nem igényli.
A vezeték nélküli hálózat alapvetően két eszköztípusra épül. Az első az úgynevezett "elérési pont" (Access Point), amely a meglévő vezetékes hálózat és a vezeték nélküli hálózati kártyával rendelkező számítógépek kapcsolatát biztosítja. Természetesen ez gondoskodik a fent említett munkaállomások egymás közti kommunikációjáról is. A másik eszköztípus az előzőeknek megfelelően a hálózati kártya.

Jelenleg az elérhető maximális sebesség 300Mbps, ez azonban a vételi viszonyok függvényében akár 1Mbps-ra is visszaeshet. Az elérési pontok a vett jel erősségének és minőségének megfelelően csökkentik, illetve növelik az adatátviteli sebességet, biztosítva ezzel a folyamatos kommunikációt az egyes hálózati elemek között. Az átállás automatikus, külső beavatkozást nem igényel.
A hálózat sebessége miatt nem javasolt, hogy egy elérési pont 10-15-nél több felhasználót szolgáljon ki. Tipikus kiépítés lehet pl., hogy egy központi aktív eszközre (csavart-érpáras portokkal) csatlakoznak az egyes elérési pontok, a felhasználók pedig WLAN hálózati kártyával ezen elérési pontokon keresztül kommunikálnak. A nagy adatforgalmat bonyolító munkaállomásokat illetve a szervereket jelenleg még közvetlenül erre a központi eszközre (pl. switch) javasolt kapcsolni. Természetesen nincs elvi akadálya annak, hogy ezekbe is WLAN kártyákat tegyünk.

Lehetőség van épületek közti adatátvitelre is vezeték nélküli megoldásokkal. Ebben az esetben a két antenna közt fizikai rálátás kell legyen. Az elérhető sebesség ebben az esetben is 300Mbps maximálisan. Az áthidalható maximális távolság pedig antenna függvénye, néhány száz métertől, akár több km-ig.

Napjainkban egyre elterjedtebb komplex rendszerek (több, mint 6-8 Access Point) esetében az un. kontroller használata, mely a vele együttműködő Access Pointokkal együtt leginkább a vastag szerver - vékony kliens architektúrához hasonlítható. A kontrollereken keresztül központosított menedzsment valósítható meg, nem szükséges az Access Pointokat egyesével lekérdezni, konfigurálni, és olyan funkciók használata érhető el könnyedén, mint a roaming, automatikus teljesítmény növelés/csökkentés, idegen Access Point és betörés detektálás.

802.11n

Ezt a jelenleg legnagyobb vezeték nélküli sebességet biztosító szabványt 2009 októberében véglegesítette az IEEE. A közel 7 évig tartó kidolgozási folyamat során számos tervezet (un. draft) látott napvilágot, melyek közül a 2.0-ás a legelterjedtebb. Ezen draft alapján jó pár gyártó már évekkel ezelőtt piacra dobta .11n 2.0-ás eszközeit, melyek a végleges szabvány támogatásához az összes hardware-es feltétellel rendelkeznek, csak software csere vagy frissítés szükséges a teljes 802.11n kompatibilitáshoz.  

Mi is az a 802.11n?

A WLAN szabványok fontosabb műszaki paraméterei:

A vezeték nélküli hálózatok biztonsága:

A WLAN természetéből adódóan, a hálózaton átvitt adatok illetéktelen felhasználók számára is könnyen hozzáférhetők, lehallgathatók. Ezért üzleti célú felhasználásnál elengedhetetlen de otthoni használatnál is javasolt megfelelő felhasználó azonosítás és adatforgalom titkosítás.

Példák felhasználó azonosításra:
- MAC cím szűrés
- RADIUS szerveres azonosítás

Példák titkosításra:
- WEP (régebbi technológia, könnyebben feltörhető)
- WPA/PSK
- WPA2/PSK

Vállaljuk az ideális megoldás megtervezését és beüzemelését komplex irodai vagy ipari  környezetben (csarnokok, raktárak)!

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

Kontrolleres WiFi megoldások: 

Az Önálló AP-s megoldások problémáinak kiküszöbölésére, illetve új - önálló APk alkalmazása esetén elképzelhetetlen - funkciók megvalósítására született a központi vezérlőegységet (kontrollert) tartalmazó vezeték nélküli hálózati rendszer.

Problémák az első generációs, önálló, egymástól független hozzáférési pontokból (Access Point) álló rendszerek esetén:

• Az APk konfigurálása és felügyelete egyenként történt
• Bármely hálózati paraméter változtatást (pl. IP paraméterek, kódok (PSK), SSID paraméterek) az összes eszközön egyesével kellett beállítani
• A hálózat RF hangolását kézzel kellett elvégezni (pl. csatorna kiválasztása, adóteljesítmény beállítása)
• Nem alkalmazhatók egységes, központilag menedzselt biztonsági beállítások és felügyelet

A Kontrolleres rendszer elvi felépítése a következő:

A fenti ábra szerinti struktúrában valamennyi Access Point (AP) a kontrollerhez csatlakozik (join). A csatlakozás feltétele, hogy az APk megfelelően hitelesítsék magukat (pl. tanúsítvány alapján). A csatlakozott APk és a kontroller között egy csatorna kerül kialakításra, ezen keresztül történik az adatátvitel. A vezeték nélküli kliensek forgalma áthalad a kontrolleren, ezért a kontroller és a helyi hálózat közti kapcsolatot megfelelően méretezni kell. (pl. 1 Gigabit sebességű kontroller port maximum 20-25 AP-t szolgáljon ki.)

Az egyes APk a következő szerepeket tölthetik be:

AP mód: Ez az alapértelmezett üzemmód, vezeték nélküli kliensek tudnak csatlakozni a hálózatra.

REAP mód: Távoli telephelyeken (Fiókiroda) üzemelő APk, WAN kapcsolaton keresztül tudnak csatlakozni a kontrollerhez. Valamennyi adat áthalad a központi kontrolleren és emiatt a WAN kapcsolaton keresztül is.

HREAP mód: A WAN kapcsolatok tehermentesítésére szolgál, csak a központi telephelyre irányuló adatok haladnak át a kontrolleren, a helyi (fiókirodai) forgalmak nem. Ez a javasolt üzemmód távoli telephelyek esetén.

Rogue detector mód: Illetéktelen APk azonosítására szolgál.

Monitor mód: A vezeték nélküli hálózat monitorozására szolgál, lehetőség van pl. betörés detektálásra. Ebben az üzemmódban nem csatlakozhatnak az APre kliensek.

Sniffer mód:  A hálózati forgalom naplózására szolgáló üzemmód.  A gyűjtött adatok segítségével lehetőség van a hálózati forgalom elemzésére.

Bridge mód: APk közti pont-pont kapcsolat kialakítására szolgál.

AP konfigurálás:

Az egyes APket nem kell, illetve nem is lehet külön-külön konfigurálni. Valamennyi rendszerparamétert (SSID, titkosítás, jelszavak, stb.) a kontrolleren kell állítani, módosítani. Az egyes APk önállóan nem képesek üzemelni, ezért pl. lopás esetén a jelszavak és egyéb kritikus információk nem nyerhetők ki az APből.

RF tuning:

A környezet fizikai paramétereinek megfelelően a kontroller automatikusan beállítja az egyes APk működési csatornáját, illetve adóteljesítményét. Ezzel optimalizálva a lefedett területet pl. jelerősség, zaj, interferencia szempontjából. Önálló APk esetén ezt a műveletet kézzel kell elvégezni, illetve a fizikai környezet változásait követni a konfigurációkkal.

Roaming:

A vezeték nélküli kliensek mozgása esetén előfordul, hogy egyik APról másikra csatlakoznak. Önálló APk esetén ebben az esetben újra lejátszódik a teljes csatlakozási folyamat (kliens azonosítása, IP cím kérése, stb). Ez a folyamat időigényes, illetve a felépített kapcsolatok megszakadásával járhat. Kontrolleres rendszerek esetében nincs ilyen probléma, mert a kontroller tárolja a bejelentkezett kliensek adatait, ezért AP váltáskor nem szükséges az újra csatlakozás. Ennek köszönhetően pl. a vezeték nélküli IP telefonhívások nem szakadnak meg roaming esetén.

QoS:

Kritikus adatok továbbításához, pl. hang, video, stb. elengedhetetlen megfelelő átviteli minőség biztosítása. Az adatok késleltetése, elvesztése, késleltetés változása (jitter) negatívan befolyásolja az átvitel minőségét. Telefonbeszélgetés esetén pl. akadozik, kimarad, vagy esetleg egyirányú a kapcsolat. Ezeket a problémákat, a hálózat QoS paramétereinek megfelelő beállításával lehet minimalizálni. Kontrolleres rendszer esetén globálisan történik a megfelelő forgalom prioritások, garantált sávszélesség értékek beállítása. Így a teljes WiFi rendszerben azonos szolgáltatás minőség érhető el. Önálló APk esetében minden egyes eszközön egyesével kell beállítani a QoS paramétereket, illetve ezeket a hálózat egészére össze kell hangolni. Ez nehézkes és időigényes feladat.

Vendég hálózatok kialakítása:

A vendég felhasználók elkülönítése a belső hálózattól, mind biztonsági, mind sebességbeli problémák kiküszöbölésére javasolt. Pl. szeparált VLAN kialakítása saját, szórt hálózati azonosítóval (SSID broadcast).  

Location tracking:

Lehetőség van az egyes kliensek fizikai helyzetének meghatározása, nyomon követésére, illetve megjelenítésére.

Kontroller tartalékolás:

Mivel a teljes vezeték nélküli rendszer működése a központi kontrolleren múlik, ezért kritikus rendszerek esetén javasolt redundáns kontrollereket alkalmazni. Ebben az esetben valamennyi hálózati paraméter, mindkét kontrollerben rendelkezésre áll.  Az elsődleges kiesése esetén a tartalék automatikusan át tudja venni a szerepét. A redundáns kontrollerek un. Mobility Group konfigurálással szinkronizálják a hálózat működési paramétereit. Ennek segítségével a redundancia biztosításán felül, hálózati terhelés megosztás és kontrollerek közti roaming is megoldott.

Ha szeretné tudni, hogy az Ön hálózatában milyen megoldást javaslunk, írjon a szolgaltatas@lan.hu címre, mérnökeink rövid időn belül megkeresik Önt.

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.LAN.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

Miért nehéz a megfelelő biztonság kialakítása?

A vezeték nélküli hálózatok esetében a levegő az adatátviteli közeg, ezért gond nélkül lehallgathatók. Néhány szempont, amit a védelem kialakításánál figyelembe kell venni:

• Az adatok gyűjtéséhez nem kell csatlakozni a hálózatra
• Az adatok gyűjtéséhez nem kell az adott épületen belül tartózkodni. (pl. utcáról autóból végezhető)
• A lehallgató gép nem küld adatokat csak fogad, ezért nehezen észlelhető.
• A feltört vezeték nélküli hálózaton keresztül a vezetékes hálózat is elérhetővé válhat.

Alábbiakban részleteket találhat a:

• támadási módszerekről
• alkalmazható biztonságnövelő eljárásokról
• általunk javasolt megoldásról

Milyen módszerek állnak a hackerek rendelkezésére? (a teljesség igénye nélkül)

Lehallgatás egy PC segítségével:
A hálózat hatósugarában elhelyezett PC-vel észrevétlenül gyűjthető a hálózati forgalom.
Pár perc vagy óra elég egy gyenge (pl. WEP) titkosítás esetén, hogy a támadó észrevétlenül hozzáférjen a cég belső hálózatához.

Rouge AP:
A hálózatba több módon is kerület idegen AP:
- A felhasználók valamelyike csatlakoztatja, hogy pl. az otthonról hozott notebookról egyszerűen kacsolódhasson a hálózatra. Ebben az esetben igen valószínű, hogy nem megfelelő védelmi beállításokkal működik az eszköz - akár open üzemmódban - ezáltal könnyen hozzáférhetők a forgalmazott adatok.
- Rosszindulatú támadó által elhelyezett idegen AP segítségével az arra csatlakozó gépeken tárolt adatok hozzáférhetővé válnak.

Engedélyezett Ad-Hoc hálózatok:
Amennyiben a kliens gépek közti direkt kapcsolat engedélyezve van a hálózatba kapcsolt számítógépek bármelyikén, akkor ezen keresztül hozzáférhetővé válhat a teljes rendszer.
A támadó csatlakozhat az ilyen gépekre és azokon adatokat érhet el, sőt amennyiben az érintett gépnek vezetékes kapcsolata is van, akkor a teljes hálózatot eléri. Az Ad-Hoc üzemmódot mindig érdemes tiltani.

Denial of service:
Több módszer is létezik a hálózat normál működésének megbénítására:
- Egy vezeték nélküli kliens segítségével bombázható a kiválasztott AP kérésekkel, ezáltal leállítva annak normál működését.
- Másik lehetőség, nagy teljesítményű antennával sugározva a használt csatornákon,
a normál hálózati forgalom lehetetlenné válik.
Mindkét módszernél aktív beavatkozás történik a hálózatba, ezért ezek a támadások könnyen detektálhatók. Azonban a rendszer működésében mindenképp kimaradást okoznak.

MAC spoofing:
A hálózatban ténylegesen engedélyezett gépek egyikének MAC címét állítja be saját gépén a támadó és így fér hozzá a rendszerhez.

Network Injection:
Bizonyos nem titkosított hálózati forgalmak hamisításával pl. Spanning Tree, egyes routing protokollok: OSPF, RIP, vagy a redundanciát biztosító HSRP lehetőség van a hálózati aktív eszközök félrevezetésére, ezáltal a forgalmak elterelésére. Ez a módszer akár teljes rendszerleállást is okozhat.

Mit tehet a biztonság növelése érdekében?

SSID broadcast tiltása:
Ez a módszer gyakorlatilag nem nyújt védelmet, mivel lehallgatásos módszerrel pár perc alatt ismerté válik. Bizonyos szempontból érdemesebb engedélyezni az SSID szórást, mert ebben az esetben a hibakeresés egyszerűbb. Pl. egy vezeték nélküli kliens nem tud csatlakozni a hálózatra, akkor könnyen ellenőrizhető, hogy az adott hálózat elérhető-e.

MAC address szűrés:
Ezzel a módszerrel sem lehetséges megfelelő biztonsági szint kialakítása. Lehallgatással ugyanis a MAC address-ek gyakorlatilag azonnal ismerté válnak. (Természetesen csak azok, amelyek éppen forgalmaznak a hálózaton.) Ezen címek másolása nem okoz problémát, a rosszindulatú támadó saját eszközének (pl.. notebook) kiosztja a használt címek egyikét és máris hozzáfér a hálózathoz.  

Statikus IP címzés: (nincs DHCP)
Kisebb hálózatok esetén alkalmazható módszer. Céges/vállalati környezetben gyakorlatilag nem érdemes alkalmazni, mert befektetett munkához (minden vezeték nélküli kliensen kézzel IP cím állítása) képest, minimális plusz védelmet nyújt.

WEP-PSK: (Wired Equivalent Privacy, 40bit illetve 128bit titkosító kulcs)
A vezeték nélküli hálózatok első titkosítási eljárása volt, amely gyakorlatilag azt célozta meg, hogy a vezetékes rendszerekkel egyenrangú védelmet nyújtson. Ezt a célt közel sem sikerült elérni. Töréséhez nagy számban állnak rendelkezésre ingyenes programok, amelyek nem igényelnek különösebb szakértelmet sem. A WEP feltöréséhez csak megfelelő számú csomag lehallgatására van szükség, vagyis minél inkább használatban van egy vezeték nélküli hálózat annál rövidebb idő alatt lehetséges.

WPA-TKIP-PSK: (Wi-Fi Protected Access, Temporal Key Integrity Protocol, Pre Shared Key)
A WEP kiváltására kifejlesztett eljárás, amely gyakorlatilag a TKIP protokollt használja a hálózat védelmére. Ez a módszer megfelelő szintű védelmet nyújt abban az esetben, ha kellő hosszúságú és bonyolultságú a titkosító kulcs. (pl. minimum 12 karakter)
Feltörése több módszerrel is lehetséges:
1, Megfelelő mennyiségű lehallgatott adatmennyiség után próbálgatásos módszerrel (brute force).
2, A TKIP protokoll sebezhetőségét kihasználva.

WPA2-AES-CCMP-PSK (256 bit titkosító kulcs)
A TKIP protokoll helyett az AES titkosítást használja. A megfelelő hosszúságú titkosító kulcs itt is elengedhetetlen. Feltörése ugyanis, akár a WPA1 esetében, próbálgatásos módszerrel történhet.

Az eddigi módszerek áttanulmányozása után felmerülhet a kérdés:
Létezik-e vállalati környezetben biztonságosan használható Wi-Fi hálózat?
IGEN:

WPA2-Enterprise: (802.1X, dinamikus titkosító kulcs)
Vállalati környezetben e módszer használata javasolt, mivel jelenleg ez nyújtja a legmagasabb védelmi szintet. A felhasználók azonosítása egy központi adatbázisból (pl. Active Directory) történik RADIUS szerver segítségével. A megfelelő hálózati infrastruktúra kialakítása ugyan bonyolultabb, mint PSK használata esetén, de egyértelműen megéri a befektetett energiát. Ebben az esetben ugyanis a statikus titkosító kulcs (PSK) helyett dinamikusan változó kulccsal történik a forgalom titkosítása, így a korábbi eljárások esetében használható próbálgatásos törési kísérletek nem alkalmazhatók.

Wireless IDS, IPS: (Intrusion Detection System, Intrusion Prevention System)
A betörési kísérletek megfelelő időben történő detektálás, megakadályozása igen fontos szempont vállalati környezetben használt vezeték nélküli hálózatok esetében.  A megfelelő rendszerek kialakításához homogén eszközparkból összeállított, kontrolleres rendszerek alkalmazása javasolt.
E rendszerekben a hálózatba kapcsolt AP-k nem mindegyike szolgálja ki a felhasználókat, egy részük figyelő, betörés detektáló üzemmódban működik és egy központi menedzsment rendszerrel együttműködve végzi a rosszindulatú hozzáférési kísérletek kiszűrését.
A betörés detektáló illetve megelőző rendszerek segítségével lehetőség van:
- Rouge AP-k (idegen AP-k) detektálására, fizikai elhelyezkedésük meghatározására.
- Idegen Wi-Fi kliensek (pl. hacker, szomszédos hálózat, otthonról behozott notebook, mobiltelefon) detektálására, fizikai elhelyezkedésük meghatározására.

Röviden összefoglalva:

Általánosságban elmondható, hogy vezeték nélküli hálózat használatakor mindig alkalmazzuk a lehetséges legerősebb biztonsági eljárásokat. Otthoni/kis irodai hálózatban pl. WPA2-PSK, vállalati környezetben WPA2-Enterprise, illetve lehetőség szerint alkalmazzunk valamilyen betörés detektáló rendszert.

Amennyiben lehetőség van rá, a vezeték nélküli hálózati szegmenset tűzfallal válasszuk le a belső hálózatról. Ebben az esetben szabályozható, hogy mit érjenek el a Wi-Fi kliensek, illetve a tűzfal logjainak elemzése segít az esetleges támadási kísérletek azonosításában.

A biztonságos Wi-Fi megoldáshoz szinte elengedhetetlen kontroller alkalmazása, melyről korábbi Kisokos cikkünkben olvashat bővebben.

Ingyenes telefonos megbeszélés és/vagy helyszíni felmérés után, az Ön cégének legmegfelelőbb megoldást tudjuk ajánlani.
Forduljon hozzánk bizalommal a szolgaltatas@lan.hu címen.

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.LAN.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

Miért van szüksége tűzfalra? 

Hálózata a külső kapcsolatokon keresztül, folymatosan támadásnak van kitéve. Nem kell feltétlenül arra gondolni, hogy valaki direkt Önt akarja támadni - bár azért ez is előfordul, ha kellően ismert -, az Internet óriási méretű, ezerszám vannak akik keresik a védtelen rendszereket, hogy azokat a saját céljaikra használják.

A tűzfal feladata, hogy hálózatát megvédje az illetéktelen külső és belső támadásoktól, úgy hogy közben biztosítja a munkához szükséges folyamatos és biztonságos adatátvitelt.

Mi ellen kell megvédenie rendszerét?

• Ellopják, megváltoztatják adatait, WEB oldalát

• Gépeit, levelező szerverét illegális tevékenységre használják (hack, spam)

• Túlterhelik (leállítják) szervereit, adatvonalait, gépeit

• Vírusok, trójai programok, spyware-k bejutása

• Belső információszerzési próbálkozások

Minél több külső kapcsolata van cégének (Internet, VPN behívás - otthoni munka, WEB oldal, E-mail) és minél jobb (állandó) kapcsolata (ADSL, Mobil Internet (3G), bérelt vonal) annál nagyobb a támadás veszélye.

Hogy védi a tűzfal az Ön hálózatát?

A beállított szabályok szerint korlátozza a forgalmat, valamint felismeri és megakadályozza a tipikus támadásokat.
Napjainkban az alap tűzfal funkciók kibővültek betörés detektálás és megelőzés, valamint spam szűrés funkciókkal.

Milyen típusú tűzfalak közül választhat?

Szoftveres: szerverre telepített tűzfal program (szoftvert vásárol és Ön biztosítja hozzá a hardvert)

• Üzemi szerveren: nem az igazi, mivel lassítja a kiszolgálót, és az első védelmi vonalban van, ismeretlen programhiba esetén védtelen - ezért nem javasoljuk

• Külön szerveren: extra költség és munka, mivel ezt is folyamatosan frissíteni kell (hibajavítások telepítése)

Hardveres: külön erre a célra fejlesztett eszköz (hardvert és szoftvert egyben kapja meg)

• Routerrel egybeépítve egyszerűbb feladatok megoldására

• Különálló, csak tűzfal célú eszköz a nagyobb biztonság érdekében
• A speciális, összetartozó célhardver és szoftver biztosítja a folyamatos üzemmenetet

Javaslatunk

Magunk részéről a Cisco vagy D-Link hardveres megoldásokat javasoljuk.

A D-Link termékeket kis irodákban és otthoni hálózatokban célszerű használni,
míg Cisco tűzfalakkal akár a több ezer felhasználós hálózat komplex védelmét is biztosítani tudjuk.

Kapcsolódó témakörök:

• VPN működési leírás
• VPN távoli elérés megvalósítás

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

VPN - Virtuális magánhálózat

Napjainkban vállalatok közötti kommunikáció jelentős része az Interneten továbbítódik. Sokan nem is gondolnak rá, hogy kódolatlan adatforgalom esetében fennáll a veszély, hogy illetéktelen személy felhasználja az adatokat, hiszen a hozzáférés a publikus hálózaton keresztül ellenőrizhetetlen.

Természetesen eddig is számos megoldás született azok számára akik megbízható, és illetéktelenek számára hozzáférhetetlen kapcsolatot kívántak létesíteni pl. telephelyeik között. A legelterjedtebb megoldás a bérelt vonal, mely jól használható, de mint tudjuk az állandóan foglalt sávszélesség a legdrágább dolog a szolgáltatóknak és így nekünk is. A VPN egy olyan Virtuális Magánhálózat, amely az adatok továbbítására a jól bevált globális és nyilvános kommunikációs hálózatokat, leggyakrabban az Internetet veszi igénybe. Így egyetlen hálózatba köthetünk tetszőleges számú, egymástól tetszőleges távolságban lévő pontokat anélkül, hogy fizikai értelemben saját hálózatot kellene építenünk, vagy költséges módon közvetlen vonalakat kellene bérelnünk.

VPN kapcsolat biztonsága

A VPN 3 szinten védi a kommunikáció titkosságát. Biztosítja, hogy az adatokhoz a hálózat tagjain kívül senki se férhessen hozzá, senki ne tudjon hamis identitással bejelentkezni. Ennek köszönhetően a hálózat pontosan úgy működik, mint egy Internettől teljesen különálló hálózat.

A védelem szintjei:

• Az IP csatorna dedikálása és adattitkosítás: az adatkommunikáció az Interneten valósul meg, leválasztott, dedikált IP csatornákon keresztül. Ezenfelül az adatok titkosított formában utaznak a világhálón, megakadályozva a jogosulatlan hozzáférést és dekódolást.
  
• Az adatcsomag autentikáció: az autentikációs eljárás során minden adatcsomag ún. fejlécet kap, amely garantálja a csomag épségét és integritását.
  
• Felhasználó szintű azonosítás: a vállalati erőforrásokhoz csak azon személyek férhetnek hozzá, akiknek erre jogosultságuk van.
  

VPN kapcsolat elemei

VPN szerver: számítógép, mely elfogadja a VPN kapcsolódási kérést a klienstől, és biztosít egy távoli hozzáférést, vagy router esetében router-to-router kapcsolatot.

VPN kliens: számítógép, mely kezdeményezi a kapcsolatot. VPN kliens lehet egy egyedi számítógép, mely egy távoli hozzáférési (remote access) VPN kapcsolatot kezdeményez, illete egy router, ez esetben router-to-router VPN kapcsolatról beszélünk.

Csatorna: A bújtatott (újracsomagolt, tömörített és titkosított) csomagokat a rendszer az alagút belsejében továbbítja a hálózaton keresztül.

Tunneling protokoll: kommunikációs protokoll mely biztosítja a csomagok beágyazását, az útvonalválasztást és a beágyazás megszüntetését a célállomáson.

Az új csomag eltérő címzési és útválasztási információt tartalmazhat, amely lehetővé teszi, hogy átjusson egy hálózaton. A bújtatás és a titkosság együttes használatakor az eredeti csomag adatai (például az eredeti forrás- és célcím) nem láthatók a hálózati forgalmat figyelők számára. Amikor a beágyazott csomag elérte a célját, a beágyazás megszűnik, és a csomag az eredeti fejléccel teszi meg a végcélhoz vezető útvonalat.

Átvivő hálózat: osztott vagy nyilvános hálózat mely a titkosított adatcsomagokat továbbítja (leggyakrabban Internet)

Önnek is megvalósítjuk céges VPN megoldását!

  VPN Megoldásunk leírása >>

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

VLAN - Virtuális hálózatok kialakításának lehetőségei

A VLAN lehetőséget biztosít számunkra, hogy anélkül osszuk független csoportokba a végpontokat, hogy fizikailag külön eszközökkel külön hálózatokat építenénk.

Tegyük fel, hogy szeretnénk létrehozni egy épületen belül két osztályt, melyeket egymástól teljesen el akarunk különíteni. A "VLAN1" csoport ne lássa a "VLAN2" csoport hálózatát és fordítva. Szeretnénk továbbá, ha pár vezető mindkét hálózatot használhatná.

Első lépésben VLAN képes switchekkel kell a hálózatunkat meghajtanunk. Az eszközökön portonként ki kell osztani, hogy ki tartozzon a VLAN1 és ki a VLAN2 csoportba. Ez a legegyszerűbb kiépítés, a VLAN-ok külön hálózatokat képeznek, azaz csak az azonos VLAN-ban lévő gépek képesek kommunikálni egymással.

Egy VLAN-ok kezelésére alkalmas switch több VLAN-t is kiszolgálhat, ahogy ezt az ábra is szemlélteti. Portonként beállítható, hogy az adott gép számára "VLAN1" vagy "VLAN2", esetleg mindkét hálózat legyen elérhető (ebben az esetben a számítógép IP címe dönti el, melyik hálózathoz tud kapcsolódni).

Ha biztosítani szeretnénk a VLAN-ok közötti átjárhatóságot és azt, hogy ezt csak a feljogosított személyek tehessék meg, egy routerre vagy egy Layer3 tulajdonságokkal rendelkező központi switchre van szükség.

Layer3 tulajdonságokkal rendelkező központi switch, egyesíti magában egy switch és egy router képességeit így új hálózatok esetében használata mindenképpen kifizetődőbb.
Layer3-as switcheken a portokon folyó adatforgalmat ip cím és típus alapján szűrhetjük. Routerhez hasonlóan "hozzáférési listákat" (access-list) rendelhetünk a portokhoz - letiltva pl. az internetes adatforgalmat.

A példaként szereplő VLAN-okat kiszolgáló hálózat megvalósításához szükséges, hogy a központi eszközön Layer3 szoftver fusson, és a többi switch képes legyen a VLAN-ok kezelésére.
A switchek - a példa két virtuális hálózatával ellentétben -, több ezer VLAN kezelésére képesek.

A VLAN-ok alkalmazásának tipikus példái: 

A VLAN kialakításának jelentősége napjainkban egyre növekszik. Az integrált hálózatokban (pl. adat-hang Ethernet-en keresztül), külön Virtuális LAN-okat javasolt kialakítani a hang és az adat számára.

Egyéb alkalmazási terület lehet például, különböző biztonsági szintű hálózati szegmensek kialakítása. (DMZ zónák)

A cégen belüli felhasználói csoportokat külön szegmensekre oszthatók, csökkentve ezzel az egyes szegmensek forgalmát és szabályozhatóvá téve a szegmensek közti átláthatóságot.

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

Hálózatvédelem illetéktelen - belső - hozzáférések ellen:

A jogosulatlan hozzáférés rengeteg veszélyt hordoz magában, legyen az akár egy szándékos információlopásra irányuló támadás, akár véletlen, például egy rossz jogosultság kiosztásból származó információnyerés, vagy éppen vesztés. Ez a kockázat a legtöbb laikus számára egyet jelent egy külső hackertámadással, ám a veszély nem csak külső, hanem, kevésbé egyértelmű módon, belső forrásból is származhat. Amennyiben egy hálózat nem rendelkezik hozzáférés szabályozással abban az esetben egy szabad végpontra csatlakoztatott bármilyen PC-vel „csak" megfelelő szoftver kérdése, hogy milyen információhoz jut hozzá az illetéktelen felhasználó. Ez ellen sok esetben még a kiszolgálókon beállított jogosultság szabályozás sem nyújt megfelelő védelmet, hiszen vegyünk például egy ARP hamisítással végrehajtott támadást, mely során a támadó egy engedélyekkel rendelkező számítógépnek álcázza magát, és már hozzá is jutott a bizalmas céges információkhoz.

A fenti probléma megoldását jelenti a hálózati aktív eszközökön port szintű felhasználó azonosítás bevezetése (Port Based Authentication, IEEE 802.1X szabvány). Ezzel a módszerrel egy felhasználó (PC) csak abban az esetben tud bármilyen hálózati forgalmat kezdeményezni, amennyiben előzetesen sikeresen azonosította magát. Az azonosítása történhet a vállalat szerverein már meglévő felhasználó adatbázisok alapján (pl. RADIUS szerver Active Directory-ban történő regisztrálásával). A hitelesítés sikertelensége esetén pedig az illetéktelenül próbálkozók semmilyen módon nem tudnak a hálózaton megjelenni, kizárva ezzel az aktív (pl. DoS típusú támadások) és passzív (lehallgatás) támadásokat is. 

A rendszer elvi felépítése a következő:

A felhasználó azonosítás lépései:

1. A 802.1X protokollt támogató aktív eszköz azonosítást kér a csatlakoztatott PC-től.

2. A kapott adatokat továbbítja a példa esetében egy RADIUS autentikációs szerver számára.

3. Az autentikációs szerver a saját adatbázisa alapján (pl. Active Directory) eldönti, jogosult-e a felhasználó a hálózat használatára. Ezek alapján visszajelzést küld az aktív eszköznek.

4. Az aktív eszköz a kapott válasz alapján tiltja vagy engedélyezi a PC számára a forgalmazást.

Amikor a kliens csatlakozik a hálózatra, a hálózati hozzáférési pontnak számító aktív eszköz adott portja kezdetben „unauthorized" állapotban van, és csak az ún. EAPOL (Extensible Authentication Protocol Over LAN) típusú üzenetet fogadja el a csatlakoztatott számítógéptől. A port csak a sikeres hitelesítést követően válik áteresztővé. Amikor pedig a hitelesített kliens lecsatlakozik a portról, annak állapota ismét „unauthorized" jelzésűvé válik, ezzel téve lehetetlenné a belső hálózat felől érkező támadásokat.

Élvezze Ön is az IEEE 802.1X szabvány által nyújtott biztonságot!

Rendszermérnökeink megtervezik az Önök rendszeréhez legjobban illeszkedő megoldást!
 

Hívja Műszaki csoportunkat a 415-2305 telefonszámon vagy

Töltse ki ajánlatkérő űrlapunkat !  >>

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.

Környezet felügyeleti (Enviroment Monitoring) megoldások

Kiemelt jelentősége van azon helyeken (szerver helységek, géptermek), ahol a nagy rendelkezésre állásra van szükség.

Segítségével megelőzhetők a rendszerleállások, rendellenes működések - így maximalizálható az IT rendelkezésre állása.
További előnye, hogy megelőzhetővé válnak a nagy értékű szerverek, routerek meghibásodásai - így a védelem ára sokszorosan megtérül!

Funkcionalitás (akár SMS, e-mail riasztással)

• hőmérséklet-, páratartalom-, légáramlás- és vízérzékelők
• bemeneti kontaktusok állapotkövetése
• kamera - mozgókép közvetítés
• vezérlések kiadása (szivattyú, zárak, tűzjelző átjelzés)

Megelőzhető az alábbi események bekövetkezése:

• szerverleállás, meghibásodás túlmelegedés miatt
• csőtörés, klíma vízkifolyás által okozott rendszer problémák
• illetéktelen személyek tevékenységének észrevétlen maradása

Telefonos megbeszélés és helyszíni felmérés után, az Ön cégének legmegfelelőbb megoldást tudjuk ajánlani.

Írjon a szolgaltatas@lan.hu címre, kollégánk rövid idő múlva felveszi Önnel a kapcsolatot.

Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.