Картинка

БЛОГ про

все цікаве у світі телекомунікацій

З упором на безпеку: побудова керованої з хмари мережі за допомогою обладнання Cisco Meraki MX

2017-09-26
Автор: Телесфера

При побудові сучасної мережі на перше місце все частіше виходять питання не пропускної здатності, а безпеки і надійності роботи. Як один з варіантів побудови такої мережі, з багатим набором функцій, що забезпечують безпеку і стабільність роботи, пропонуємо розглянути систему безпеки Cisco Meraki MX.

Cisco Meraki MX

Система безпеки Cisco Meraki MX надає готовий набір інструментів і рішень для більшості ситуацій прямо з коробки. Це означає, що купуючи цей продукт, не потрібно буде здійснювати інших покупок і нести додаткові витрати. Розгортається мережа дуже просто. Закуплене обладнання доставляється і монтується на об'єкті. Після установки пристрою автоматично підключаються до хмари Cisco Meraki по протоколу SSL, реєструють мережу і скачують конфігурації для неї. Таким чином утворюється SD-WAN - ваша окрема програмно-конфігуруєма мережа в складі глобальної обчислювальної мережі (Wide Area Network) Cisco. Це дозволяє мати доступ до адміністрування всієї мережі через Інтернет, а також проводити налаштування, діагностику за допомогою декількох клацань миші завдяки високому рівню автоматизації системи.

Cisco Meraki

Безпека

Головна функція системи Meraki MX - забезпечення комплексної безпеки побудованої мережі. Для цього в ній є безліч програмних засобів, які в зв'язці з хмарою Cisco Meraki дозволяють легко налаштовувати мережу і управляти системою. Рішення, що надаються в рамках MX Security Appliances включають в себе:

- Надійний брандмауер. З поширенням сучасних додатків і мереж змішаного типу, вже недостатньо системи безпеки заснованої на контролі за хостами та портами. Мережевий екран Cisco Meraki надає адміністратору повний контроль над діями користувачів, включаючи контент і додатки. Він глибоко аналізує мережевий трафік, визначаючи тип переданих даних, а також додатки і користувачів, які за цей мережевий трафік відповідають. На підставі цих даних застосовуються різноманітні фільтри, які вирішив адміністратор раніше. Таким чином, наприклад, можна з одного боку заблокувати передачу даних з онлайн-кінотеатрів, а з іншого - дати найвищий пріоритет трафіку системи відеоконференцій. Фірмовий брандмауер може працювати навіть з трафіком peer-to-peer додатків, перед якими пасують багато інших мережевих екранів. При цьому налаштування системи досить просте - у відповідному вікні потрібно просто вибрати тип даних або конкретні ресурси і додатки, які будуть заблоковані або навпаки дозволені.

Надійний брандмауер

Для запобігання мережевих атак в мережевому екрані Cisco Meraki використовується двигун на основі одного з найпоширеніших захисних засобів з відкритим вихідним кодом - Sourcefire Snort. Безпека забезпечується на основі комбінації різних інструментів - перевірки сигнатур, аналізу протоколів, системи пошуку аномалій і т. д.

Також в мережевому екрані використовується розпізнавання пристроїв, що підключаються. Він в автоматичному режимі визначає пристрої на базі iOS, Android, Windows, Mac OS і інших операційних систем і може застосовувати до них правила на основі заздалегідь заданих адміністратором параметрів. Конкретні правила можуть застосовуватися як до всіх підключаємих девайсів, так і до конкретного типу пристроїв. Наприклад, всі планшети iPad можуть автоматично отримувати рівень доступу «Тільки читання».

- Просунутий захист від шкідливого ПЗ. У Meraki MX є просунута система захисту від шкідливих програм - Cisco Advanced Malware Protection. Вона надає надійний антивірусний захист, використовуючи всі сучасні методи. Серед них сканування файлів по сигнатурам. У базі присутні більше 500 млн відомих файлів, причому кожен день в неї додається близько 15 мільйонів нових об'єктів. Також використовується контекстний аналіз файлів, пісочниця, ретроспективний аналіз та інші інструменти.

Всі завантажувані через мережу файли перевіряються в режимі реального часу. Звітність надходить адміністраторам, щоб вони могли бачити основні джерела загроз на даний момент і оперативно реагувати на них. А система ретроспективного аналізу дозволяє дізнатися про шкідливі файли навіть якщо вони пройшли через мережу і опинилися на пристрої. Таке буває дуже рідко, коли файл скачується до того, як різноманітні системи безпеки визначають його як шкідливий.

- Запобігання вторгнень. Кожна мережа - це потенційна мішень для вторгнень і шкідливих атак. У MX Security Appliances є різноманітні засоби, що легко налаштовуються,  для протидії їм. Система запобігання вторгнень (IPS, Intrusion prevention system) працює за допомогою наборів правил, які виконуються на движку Sourcefire Snort. Це комбінація зумовлених політик безпеки, які визначають необхідний рівень захисту і працюють повністю в автономному режимі. Їх оновлення виходять щодня і автоматично встановлюються на ваші пристрої протягом години після публікації. Таким чином забезпечується цілодобоий захист від найрізноманітніших загроз - руткитів, вірусів, експлойтів і т. Д.

Всі дані по роботі системи безпеки надаються в реальному часі через веб-панель управління Meraki. Інформація показується у вигляді звітів і графіків як по системі в цілому, так і по конкретним мережам, пристроям і додаткам. На основі цієї інформації адміністратор приймає рішення про необхідність прийняття тих чи інших заходів, може вносити зміни в налаштування і проводити інші необхідні операції, а також оцінювати загальну уразливість системи.



Ще один плюс для адміністраторів - це легкість розгортки системи запобігання вторгнень. Коли для цього використовується цілий комплекс засобів, які налаштовуються вручну, може вплинути людський фактор, через який безпека буде поставлена під загрозу. У випадку з Meraki MX система запобігання вторгнень розгортається в лічені секунди і кілька кліків на відповідних панелях управління. Ці кліки потрібні для включення і вибору необхідного набору правил движка Sourcefire.

- Автоматична VPN. Використовуючи MX Security Appliances ви отримаєте надійну віртуальну мережу між вашими пристроями, яка буде самостійно налаштовуватися, моніторитися і підтримуватися. При розгортанні система автоматично налаштує параметри VPN, необхідні для створення і підтримки VPN-сесій. Все бенкети і маршрути автоматично зв'язуються через захищену WAN (Wide Area Network) і підтримуються в актуальному стані в динамічних IP-середовищах. Всі функції безпеки, наприклад, обмін ключами, аутентифікація і політики безпеки, реалізуються автоматично через VPN-бенкети MX Security. А за допомогою цілого ряду інструментів адміністратор може спостерігати в режимі реального часу за станом мережі.

В системі є повна підтримка конфігурації роздільного тунелювання (split-tunneling) і повного тунелювання (full-tunneling), яка налаштовується в один клік. Підтримується створення і використання зіркоподібних (Hub-and-spoke) і повнозв'язних (full mesh) топологій мережі для більш простого і гнучкого розгортання. А вбудований мережевий екран і політики безпеки дозволяють легко керувати всією VPN-мережею цілком.

Автоматична VPN

- Фільтрація контенту. Система блокування контенту в Cisco Meraki дозволяє користувачам вашої мережі серфувати по інтернету абсолютно безпечно, залишаючись при цьому захищеними від сайтів з небажаним, шкідливим або шокуючим змістом. Різноманітні політики можуть бути застосовані до конкретних груп користувачів всюди, де використовується Active Directory. Для цього є білі списки з можливістю винятків для конкретних користувачів. Політики груп Active Directory регулюються через панель управління, також є можливість відправляти прямі запити на сервер Active Directory. При цьому все інтуїтивно зрозуміло і немає необхідності установки різних Active Directory-агентів, що спрощує роботу з системою.

Фільтрація контенту і сайтів відбувається таким чином: коли пристрій хоче відвідати той чи інший ресурс, його адреса звіряється з наявною базою даних URL. Він перевіряється в кілька етапів на відповідність різними параметрами. Таким чином, наприклад, на одному сайті деякі сторінки можуть бути доступні для відвідування, а інші - ні. Конкретні URL-адреси можуть бути додані в білий список - тоді вони матимуть пріоритет над фільтром і зможуть обходити його. Фільтрація контенту в системі відбувається більш ніж по 80 категоріям, які можуть бути заблоковані для всіх користувачів, крім тих, хто внесений в білий список.

MX Security Appliances синхронізується з хмарою Cisco Meraki в фоновому режимі, так що всі бази, політики, підписки і категорії завжди залишаються в актуальному стані, позбавляючи адміністратора від необхідності поновлення вручну.

- Відмовостійкість. Cisco Meraki MX Security Appliances підтримують кілька рівнів резервування, що забезпечує постійне підключення до WAN, безперебійний доступ до пристроїв і безшовний перехід на резервні ресурси в разі збою. Кожен пристрій Meraki MX підтримує подвійне підключення до WAN, що дозволяє в разі атаки або обриву з'єднання моментально переключитися на інший ресурс. Якщо це сталося, вбудована пріоритезація трафіку перенаправить потоки і розподілить потужності по новим пристроям, що забезпечить стабільну роботу мережі в аварійних ситуаціях. Таке підключення до WAN підтримується як по гігабітному Ethernet-протоколу, так і за допомогою стільникового зв'язку - включаючи протоколи WCDMA, HSPA (3G), LTE і WiMAX (4G).

Адміністратор може вказати, який датацентр використовувати в якості основного ресурсу для загальних підмереж, а також визначити список інших пріоритетних вузлів, які будуть використовуватися в разі відмови основного датацентру при відключенні електроенергії або в разі атаки. Таким чином, якщо основний вузол піде в офлайн, система автоматично перенаправить потоки на зазначені ресурси.

- Контроль за програмами. Технологія перевірки і фільтрації мережевих пакетів по їх вмісту Deep Packet Inspection (DPI) дозволяє надійно контролювати використання тих чи інших програм в мережі і при необхідності блокувати їх роботу. Система аналізує не тільки IP-адреси, хости, порти і заголовки пакетів, але і застосовує евристичний аналіз трафіку. Це дозволяє виявляти навіть трафік таких програм, які маскуються під інші додатки.

За допомогою зручної системи пошуку адміністратор може знаходити програми та користувачів, які генерують найбільше трафіку. За допомогою політик пріоритетності трафіку їх можна обмежувати або знижувати/підвищувати в пріоритеті. Пріоритетність трафіку може розподілятися автоматично на основі членства в групах.

Також в системі Cisco Meraki є хмарна база підписів додатків. Вона постійно оновлюється і доповнюється, таким чином адміністратору не потрібно вручну встановлювати довірені програми та їх поновлення.

Пристрої

У Meraki MX є вісім моделей дротових і бездротових мережевих шлюзів (про конкретні девайси читайте нижче). Вони відрізняються за технічними характеристиками (наприклад, пропускної здатності брандмауера) і кількістю обслуговуваних клієнтів, але мають і спільну рису - вбудовану систему безпеки, про елементи якої ми говорили вище, а також надійне залізо. Що знаходиться у них всередині розглянемо на прикладі моделі МХ400. Там є ємний жорсткі диск для кешування, центральний процесор забезпечує багаторівневий аналіз трафіку і інші функції, оперативну пам'ять для роботи системи фільтрації контенту і ряд мережевих інтерфейсів для підключення мережевих пристроїв та інших пристосувань (наприклад, 3G / 4G модемів)

МХ400

Малі шлюзи

MX64 - пристрій початкового рівня, призначений для підключення 50 клієнтів. Має пропускну здатність брандмауера 250 Мбіт/с і VPN 85-100 Мбіт/с. Шлюз має п'ять гігабітних портів і можливість підключення USB 3G/4G модему. Його побратим MX64W має такі ж можливості, але додатково оснащений модулем WiFi 802.11ac.

Модель MX65 також має схожі характеристики, але кількість гігабітних портів в ній збільшено до 12, причому два з них підтримують технологію Power over Ethernet (PoE) - можливість передавати електричне живлення по кручений парі. Пристрій MX65W також оснащений модулем WiFi 802.11ac.

MX64 и MX65

Середні шлюзи

Ці шлюзи відрізняються від малих не тільки збільшеною пропускною здатністю і розмірами, а й підтримкою зіркоподібних (Hub-and-spoke) топологій, в яких виступають в якості центральних вузлів (хабів).

Модель MX84 має пропускну здатність брандмауера 500 Мбіт/с і VPN 200-250 Мбіт/с, призначена для підключення 200 клієнтів. У ній є 10 гігабітних портів, два SFP-модуля і можливість підключення USB-модема. В якості хаба MX84 може забезпечувати підключення 100 периферійних точок (spokes). Також в цій моделі є веб-кешування.

До шлюзу MX100 можуть підключатися 500 клієнтів. Його пропускна здатність - 750 Мбіт/с для брандмауера і від 350 до 500 Мбіт/с для VPN. Є дев'ять гігабітних портів, два модуля SFP і можливість підключення USB-модема. Як хаб він може приймати підключення від 250 пристроїв. Веб-кешування також присутнє.

MX84 и MX100

Великі шлюзи

Одна з головних особливостей самих просунутих моделей МХ, крім великої пропускної здатності, - це можливість підключення додаткових модулів. Завдяки цьому, можна масштабувати шлюзи в залежності від потреб.

Пристрій МХ400 призначений для підключення 2000 клієнтів. Пропускна здатність його брандмауера - 1 Гбіт/с, VPN - від 900 Мбіт/с до 1 Гбіт/с. Кількість гігабітних портів - до 20, також присутні до 16 SFP і до чотирьох SFP +. Також є можливість підключення USB 3G/4G-модема. В якості хаба модель може підключати до 1000 пристроїв, є система веб-кешування і резервне джерело живлення.

Кількість портів в моделі МХ1000 така ж, як у попередній. Зате до неї може підключатися 10 000 клієнтів, як хаб вона приймає до 5000 пристроїв. Пропускна здатність брандмауера - 1 Гбіт/с, VPN - від 900 Мбіт/с до 1 Гбіт/с. Є можливість підключення USB-модема, веб-кешування і додаткове джерело живлення.

MX400 и MX1000

В підсумку

Побудова безпечної керованої з хмари мережі на базі обладнання Cisco Meraki MX не представляє собою ніяких труднощів. Система розгортається дуже швидко, налаштування в основному відбувається автоматично, так само як і управління - воно здійснюється за допомогою хмарних ресурсів Cisco з мінімальним втручанням адміністраторів. Засоби безпеки дозволяють створити для користувачів комфортне середовище перебування. Гості будуть захищені від небажаного контенту, а для співробітників організований максимальний пріоритет для виконання службових завдань.

Різноманітність же міжмережевих екранів дозволяє підібрати саме те обладнання, яке потрібно для конкретної організації, не переплачуючи за зайву продуктивність.

Джерело: https://habrahabr.ru/company/muk


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).