Koniec PC? - jeszcze nie czas

Dotychczas niewiele firm korzysta w jakikolwiek sposób z technologii zwirtualizowanych stacji roboczych. Jak uważają analitycy, widać pewne oznaki ożywienia rynkowego, ale wciąż nie są one wystarczające, aby określić, czy pójście w kierunku wirtualnym to istotny trend.

Pojawiają się coraz to doskonalsze i dojrzalsze rozwiązania na tym rynku. Poprawiła się także ich wydajność, dzięki zastosowaniu przez wiodących producentów, takich jak VMware czy Citrix, specjalizowanych protokołów dostarczania obrazu wirtualnych maszyn (PC over IP lub HDX). Szacuje się jednak, że na naprawdę dojrzałe systemy zunifikowanego zarządzania, obsługujące stacje robocze, urządzenia mobilne, serwery i chmurę, przyjdzie nam jeszcze poczekać jeszcze rok lub dwa. Według analityków z ABI Research, rynek wirtualnych desktopów sięgnie w roku 2016 wartości 5 miliardów dolarów.

Polecamy Serwery "zombie" w centrum danych

Architektura systemu VMware View 5Przejście na Windows 7 nie okazało się długo oczekiwanym punktem zwrotnym we wdrożeniach VDI. Cena zmiany sprzętu i oprogramowania jest porównywalna z kosztem budowy infrastruktury i serwerów wymaganych przez technologię wirtualną. Oczekiwany w końcu tego roku Windows 8 również nie będzie okazją do szybkiej migracji na wirtualne desktopy. Ma on mieć wbudowany mechanizm wirtualizacyjny Hyper-V, który do desktopowego systemu wprowadza wirtualizację, co staje niejako w sprzeczności z koncepcją VDI.

"Komputer stacjonarny jest wykorzystywany w najbardziej wyspecjalizowanych pracach, takich jak obróbka zdjęć czy grafiki. Wymagający grafik, fotograf czy projektant 3D zgodzą się ze stwierdzeniem, że w ich pracy niezbędny jest komputer stacjonarny ze wszelkimi wartościami dodanymi: wydajnością i sporymi możliwościami modyfikacji" - zwraca uwagę Marcin Piszczek, Country Product Manager w ASUS Polska. - "W korporacjach, które zatrudniają tysiące ludzi i mają nie mniej stanowisk roboczych, desktopy są znacznie bardziej korzystnym cenowo rozwiązaniem. Kolejną kwestią, która ma spore znaczenie w tym przypadku, jest koszt serwisu tych urządzeń. W przypadku komputera stacjonarnego wymiana jednego wadliwego komponentu jest tańsza niż zakup nowego urządzenia.

Polecamy BYOD prekursorem desktopów open source?

Ostatecznie jednak VDI zwycięża, jeśli chodzi o zwrot z inwestycji, dzięki znacznemu ograniczeniu kosztów suportu desktopów. Koszty pracy przy uruchamianiu i serwisowaniu serwera, który może zastąpić 20-30 maszyn, są znacznie mniejsze niż przy instalacji, obsłudze czy aktualizacji takiej liczby komputerów. Technologia VDI oferuje także wyższe bezpieczeństwo danych poprzez centralizację zarządzania - w tym możliwość wymuszenia określonych reguł, uporządkowanie kwestii backupu na poziomie serwera.

IPv6 a sprawa polska

Adresy IPv4 stały się towarem deficytowym. 31 stycznia 2011 r. organizacja IANA (Internet Assigned Numbers Authority) przydzieliła dwa ostatnie bloki adresów IPv4 dla APNIC - RIR (Regional Internet Registry), rejestratora domen z regionu Azji i Pacyfiku. Oznacza to, że IANA nie ma więcej dostępnych puli adresów IPv4, które można by przydzielić pięciu regionalnym rejestratorom na różnych kontynentach.

Polecamy IPv6: internetowego końca świata w 2012 nie będzie

Wprowadzanie 6. wersji protokołu IP obecnie ma bardzo duże znaczenia dla rozwoju internetu. Lokalne organizacje RIR współpracują w zakresie rozwiązań IPv6 z operatorami na poziomie lokalnym, regionalnym oraz globalnym. Konieczne jest wypracowanie mechanizmów pozwalających na przygotowanie operatorów na brak adresów IPv4.

Wdrażanie IPv6 na świecie

Na razie niewielu internautów używa IPv6Dostawcy usług szerokopasmowych, których rozwój zależy od dostępu do nowych adresów IP, jako pierwsi poczuli zagrożenie brakiem adresów IPv4. To właśnie oni na dobre rozpoczęli tworzenie planów wdrożenia i rozwoju IPv6. Na świecie większość dużych ISP (w tym: AT&T, Comcast, Cox Communications, France Telecom/Orange, Telecom Italia, T-Mobile, Verizon) aktywnie wdraża IPv6 we własnych strukturach szerokopasmowych. W odpowiedzi na ich potrzeby producenci sprzętu dostarczają coraz więcej rozwiązań obsługujących IPv6. Czołowi dostawcy treści także wprowadzają opcję IPv6 na obsługiwanych serwerach. Pozwala to udostępniać zasoby zarówno użytkownikom IPv6, jak i IPv4.

Polecamy World IPv6 Launch - dużo hałasu, efektów brak?

Dlaczego nie warto zwlekać z wdrażaniem IPv6?Jest co najmniej kilka powodów, dla których warto zabrać się do wdrożenia IPv6 już teraz. Stopniowe wprowadzanie IPv6 oznacza znacznie mniejsze koszty implementacji niż robienie tego później jednorazowo. Ćwicząc obsługę IPv6 na niewielkim odcinku sieci, możemy zyskać doświadczenie, które potem pozwoli unikać problemów przy wdrażaniu nowego protokołu w całej sieci. Możemy także sprawdzić sprzęt na zgodność z protokołem IPv6, a w razie problemów zaplanować jego wymianę. Operatorzy doskonale wiedzą, że dysponując wręcz nieograniczoną liczbę adresów dostępnych przez internet, mogą zaoferować nowe usługi, które pozwolą zwiększyć przychód z klienta.Dostawcy usług szerokopasmowych rozumieją jednak, że większość treści w internecie nadal będzie dostępna tylko przez IPv4. Problemem może być - wobec przydziału adresów IPv6 dla nowych klientów - dostęp do tej zawartości. Nie wszystkie sposoby rozwiązania tego dylematu mogą się sprawdzić.

Jedną z opcji jest tradycyjna translacja adresów NAT, która pozwala na przydzielanie klientom publicznego adresu IPv6 oraz prywatnego adresu IPv4. Jest ona określana często jako podwójny stos (DualStack). Inną możliwością jest NAT64, pozwalający na komunikację urządzeń IPv6 ze sprzętem korzystającym z IPv4. Oba rozwiązania mają pewne problemy z aplikacjami (m.in. VoIP czy gry online). Mechanizmy te mogą także wpływać na wydajność całej komunikacji. Nie będą również działały aplikacje rozpoznające użytkownika, ponieważ będzie on ukryty za centralnym NAT.

Pojedynek smartfonów i mobilnych OS-ów

Zanim zajmiemy się testowaniem smartfonów, przyjrzyjmy się statystykom rynkowym. W końcu liczby pokazują najlepsze rozwiązania - jedne dzięki swojej innowacyjności i użyteczności, inne dzięki marketingowi. Na jedne i drugie użytkownicy głosują portfelami.

Raport firmy analitycznej Gartner (listopad 2011 r.) wykazał znaczny wzrost popytu na smartfony. W III kw. ub. r. sprzedano ich aż 115 mln, o 42% więcej niż rok wcześniej. Liderem na rynku producentów został Samsung, który w ciągu 12 miesięcy oddał w ręce użytkowników trzykrotnie więcej smartfonów (24 mln sztuk). Wzrost popularności koreański koncern zawdzięcza m.in. udanym urządzeniom serii Galaxy. Analitycy podkreślają jednak, że miejsca na ścisłym podium zaawansowanych smartfonów będą się zmieniać, głównie za sprawą kolejnych spektakularnych premier (np. wprowadzenie na rynek iPhone’a 4S w październiku 2011 r. z pewnością wpłynęło na sprzedaż w IV kw. ub. r.).

Polecamy Smartfony, tablety i bezpieczeństwo firmy

Drugie miejsce w tej nieustającej rywalizacji przypadło firmie Apple, która w III kw. 2011 r. sprzedała 17 mln sztuk iPhone’ów, o 21% więcej niż rok wcześniej. Specjaliści wskazują, że dla koncernu coraz ważniejsze są rynki zbytu potężnych krajów rozwijających się. W Brazylii, Meksyku, Rosji i Chinach już obecnie sprzedaje się 16% wszystkich iPhone’ów. Inwestując w trudniejsze rynki Apple musi płynnie kształtować swoją politykę cenową.

Konkurencja wśród producentów smartfonów sprawia, że powstają innowacyjne rozwiązania, które mają szansę stać się przebojem kolejnych miesięcy. Mniej widowiskowy, choć niezmiernie ważny, jest wyścig o najlepszy mobilny system operacyjny. Wymagania użytkowników są coraz większe, stale rośnie również liczba aplikacji gotowych do zainstalowania i usług dodanych, oferowanych przez producentów oraz operatorów.

Według informacji Gartnera, III kw. 2011 r. był znaczący dla firmy Google i jej platformy mobilnej Android. Po kilku latach starań udziały rynkowe tego systemu przekroczyły 50%. Zbiór szacunkowych danych, określających faktyczne zainteresowanie Androidem, robi wrażenie nawet na osobach niezwiązanych bezpośrednio z branżą. Pod koniec listopada 2011 r. w użyciu było ponad 200 mln urządzeń obsługiwanych przez system Google Android, a liczba pobrań aplikacji z Google Play (dawny Android Market) przekroczyła 10 mld!

Mimo, iż od kupienia przez Google firmy Android upłynęło mniej niż 7 lat, to sam system w jednym tylko roku obrachunkowym przyniósł koncernowi 2,5 mld przychodów (przede wszystkim dzięki reklamom). Eksperci są przekonani, że rok 2012 również będzie należał do Androida, tym bardziej, że rośnie jego rola w biznesie.

Na drugim miejscu w zestawieniu Gartnera dotyczącym platform mobilnych znalazł się Symbian. System ten jest wciąż obecny na rynku (16,9% udziałów) dzięki popularności smartfonów Nokii. Fiński koncern zapowiedział jednak, że rezygnuje z dalszych prac nad rozwojem swego systemu, decydując się na integrację z Windows Phone (Microsoft). Koniec 2012 r. może zatem oznaczać zupełne zniknięcie Symbiana z rynku.

Polecamy 5 trendów w świecie smartfonów

Wówczas jego miejsce zajmie iOS (Apple), który już obecnie jest głównym konkurentem Google Android. W III kw. 2011 r. udziały rynkowe iOS wynosiły 15%, jednak były one szacowane jeszcze przed premierą iPhone’a 4S. Najnowszy smartfon Apple’a odniósł duży sukces już w kilka dni po premierze (ponad 4 mln sprzedanych sztuk w ciągu 3 dni od daty premiery). Według najbardziej optymistycznych prognoz, w 2012 r. nowych nabywców może znaleźć ponad 95 mln sztuk iPhone’a 4S, co znacznie zmieni obraz rynku smartfonów.

Specjaliści Gartnera wskazują ponadto, że wciąż relatywnie mocną pozycję na rynku (11%) mają urządzenia Research In Motion BlackBerry, które stosowane są jednak głównie w biznesie. Udziały Windows Phone (Microsoft) są znikome, ale prace nad rozwojem i popularyzacją tej platformy wciąż trwają.

Bezpieczny roaming Wi-Fi

Roaming Wi-Fi jest dosyć skomplikowanym procesem, polegającym na przełączaniu uwierzytelnionego klienta sieci bezprzewodowej między punktami dostępowymi w ramach jednorodnej infrastruktury bezprzewodowej. Przyczyna złożoności roamingu wynika głównie ze zróżnicowania strategii bezpieczeństwa w infrastrukturze bezprzewodowej.

Polecamy Jak zabezpieczyć sieć WiFi w firmie?

Bezpieczne i szybkie przełączanie ma szczególne znaczenie przy obsłudze aplikacji wrażliwych na opóźnienia, takich jak aplikacje głosowe czy wideo, ale także systemy ERP/CRM.

Jak realizowane jest przełączanie?

Standardowe przełączanie w sieci bezprzewodowej przebiega w bezpieczny, ale dosyć powolny sposób. Klient Wi-Fi przemieszcza się z obszaru znajdującego się w zasięgu punktu dostępowego A, do obszaru w zasięgu punktu dostępowego B. Jeżeli każdy punkt dostępowy znajduje się w tej samej podsieci IP, mamy do czynienia z przełączaniem w warstwie drugiej (L2).

Przełączanie (roaming) w warstwach L2/L3Warto pamiętać, że przełączanie realizowane jest po stronie klienta, który odpowiada za wyszukanie, negocjacje oraz przełączenie do punktu dostępowego. Proces przełączania następuje w momencie, gdy klient traci łączność z danym punktem dostępowym. Utrata łączności może nastąpić na skutek różnych sytuacji, np. przemieszczenia się poza zasięg danego punktu dostępowego lub wykrycia punktu dostępowego o lepszych parametrach.

Inny przypadek to, gdy klient Wi-Fi utraci połączenie i konieczne będzie przeprowadzenie ponownej asocjacji dla danego punktu dostępowego. Sytuacja ta występuje wtedy, gdy pojawią się interferencje, duża liczba błędnych ramek itp. W momencie utraty łączności z danym punktem dostępowym, klient skanuje cały zakres częstotliwości, odkrywając sąsiadujący punkt dostępowy o możliwie najlepszych parametrach. Kryteria wyboru nowego punktu dostępowego zależą od producenta sprzętu.

Polecamy Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne

Po przyłączeniu się do nowego punktu dostępowego, realizowane jest uwierzytelnianie - w standardowym modelu poprzez protokół 802.1X. Czas potrzebny na ten proces będzie w środowisku 802.1X znacznie dłuższy niż w sieciach otwartych lub opartych na PSK (Pre-Shared Keys). Aby więc uzyskać szybsze przełączanie, warto skorzystać z innych mechanizmów niż 802.1X (o czym dalej).

Punkt dostępowy, do którego przełączył się nasz klient, rozsyła ramkę rozgłoszeniową MAC do urządzeń sieciowych, wykorzystując adres źródłowy przełączającego się klienta. Ramka powoduje aktualizację tablic CAM wszystkich urządzeń, m.in. przełączników na trasie między punktami dostępowymi. Informowany jest także poprzednio wykorzystywany punkt dostępowy.

Android - kolos na glinianych nogach?

Mimo że Google wydał miliardy dolarów na rozwój platformy Android to zaangażowanie i przywiązanie koncernu do tego systemu operacyjnego nie wydaje się zbyt mocne. W ub. r. przychody z Androida, generowane przez używanie mobilnej wyszukiwarki Google w smartfonach (reklamy), wyniosły ok. 500 mln dolarów. W odniesieniu do prognozowanych, łącznych przychodów giganta z Mountain View, liczonych na 40 mld USD, jest to mniej niż 1,5%.

Warto wiedzieć, że jeszcze do niedawna więcej korzyści firmie przynosili użytkownicy iPhone’ów i iPad-ów. Obecnie szacuje się, że Android delikatnie wysuwa się na prowadzenie. Trudno jednak oczekiwać, że to zmieni podejście koncernu do Androida. Wyraźnie widać, że dla Google bardziej liczy się efekt skali niż wyznaczanie klarownej ścieżki rozwoju mobilnej platformy.

Lojalności nie powinno się również spodziewać po dostawcach sprzętu, na którym instalowany jest system Android. Duża aktywność producentów smartfonów i tabletów podyktowana jest przede wszystkim chęcią zysku. Według analityków, najbardziej innowacyjną firmą w zakresie wprowadzania autorskich poprawek do Androida jest Samsung.

Asortyment produktów koreańskiego koncernu dalece jednak wykracza poza platformę mobilną Google. Firma inwestuje w rozwój własnego systemu Bada, który wskutek niedawnych decyzji zostanie połączony z opartą na Linuksie platformą Tizen (następca MeeGo). Samsung oferuje również smarftony oparte na Windows Phone, co dodatkowo uniezależnia tę firmę od jednego dostawcy konkretnego systemu operacyjnego.
Ekspansja innych producentów, szczególnie tych zlokalizowanych w Azji, przyczyniła się do powstania dobrze znanych problemów z aktualizacją Google Android. Aby zachęcić klientów do częstego wymieniania smartfonów zwlekają oni z publikowaniem nowszych wersji systemu mobilnego lub wręcz uniemożliwiają jego instalację na starszych urządzeniach.

Platformie Android może także zaszkodzić ewentualna przegrana w toczącym się procesie między Google a Oracle o naruszenie praw autorskich, związanych z użyciem języka Java podczas projektowania systemu. Firma Oracle pokazała już w przeszłości, że umie wygrywać podobne spory. Kilka lat temu firmie SAP nakazano wypłacić Oracle 1,3 mld USD za naruszenie własności intelektualnej (kolejne odwołania SAP znacznie zmniejszyły tę kwotę, ale wymowa wyroku została utrzymana). Jeśli Google przegra proces to na open-source’owych hasłach promujących platformę Android powstanie wyraźna rysa, a motywacja koncernu do inwestowania w mobilny system operacyjny może zmaleć jeszcze bardziej.

Pomimo tych niepokojących znaków, przyszłość Androida ostatecznie będzie jednak zależeć od użytkowników. A jak na razie na ich wielkie poparcie platforma ta może liczyć.

Ochrona wrażliwych danych w przedsiębiorstwie

Jednym z zasadniczych celów zabezpieczania systemów komputerowych jest ochrona wrażliwych danych przed dostaniem się ich w niepowołane ręce w wyniku niezamierzonych lub świadomych i złośliwych działań. Kontrola (obejmująca: monitorowanie, szyfrowanie, filtrowanie i blokowanie wrażliwych informacji zawartych w danych spoczynkowych, danych w ruchu oraz danych w użytkowaniu) - to najważniejszy element ogólnej strategii zabezpieczania danych. Wśród różnych rozwiązań wykorzystywanych do ochrony danych ważną rolę odgrywają systemy DLP (Data Leak Prevention).

Polecamy DLP - komercyjnie i za darmo

DLP stosuje się, aby wykrywać i zapobiegać wyciekom wrażliwych danych poza fizyczne i logiczne granice przedsiębiorstwa lub obszary stanowiące granicę dla tych danych. Dane mogą być zagrożone na różne sposoby. W ostatnich latach byliśmy świadkami spektakularnych wycieków danych. Kradziono wrażliwe dane finansowe lub ujawniano tajne dokumenty rządowe (por. ramka).

Wycieki informacji - głośne incydenty z ostatnich lat• Portal WikiLeaks ujawnia w 2010 r. ponad 200 tys. tajnych dokumentów dyplomatycznych Stanów Zjednoczonych. Udostępnione informacje okazały się kłopotliwe dla rządów wielu państw i spowodowały dużo zamieszania w światowej dyplomacji. Wyciek był dziełem tylko jednego człowieka - szeregowego Bradleya Manninga, który miał nieograniczony dostęp do sieci przesyłowej tajnych protokołów dyplomatycznych. Incydent unaocznił, jak wielkie szkody może poczynić jeden człowiek.

• Na początku 2011 r. koncern Sony zagroził sankcjami prawnymi nastolatkowi oskarżonemu o wykonywanie nielegalnych modyfikacji sprzętowych w konsoli do gier. W odwecie hakerzy wzięli na cel giganta elektroniki konsumenckiej. Podczas jednego z ataków wykradziono dane ponad 100 mln klientów Sony.

• W marcu 2011 r. RSA, obecnie dział bezpieczeństwa EMC, stał się ofiarą ataku, który naraził kluczowe komponenty jego rozwiązania do zabezpieczania danych SecurID. Napastnicy wysyłali do pracowników RSA e-maile z załącznikami zawierającymi eksploit zero-day. Incydent ten spowodował znaczące szkody u klientów RSA, którzy byli atakowani z wykorzystaniem informacji uzyskanych w wyniku pierwotnego ataku. Z tego powodu wielu użytkowników zrezygnowało z używania SecurID, co odbiło się znacząco na dochodach firmy.

W raporcie o naruszeniach danych, opublikowanym w 2011 r. przez amerykańskiego operatora Verizon, można znaleźć wiele interesujących statystyk dotyczących zagrożeń dla danych. Raport omawia ok. 800 takich incydentów.

Niemal każdy dostawca systemów do ochrony sieci oferuje jakąś formę narzędzi DLP. Różnorodność dostępnych rozwiązań jest duża - od prostego szyfrowania, po narzędzia do rozpoznawania danych i agenty do monitorowania desktopa, bram WWW i poczty elektronicznej, analizatory sieciowe itp. Więksi dostawcy - CA, McAfee, RSA, Symantec, Websense - oferują pełne zestawy narzędzi, traktując ochronę sieci kompleksowo. Spróbujemy bliżej przyjrzeć się problemom związanym z wdrażaniem DLP.

Broadband, czyli jak szybko?

Łącze szerokopasmowe, czyli jakie?

Definicja szerokiego pasma transportowego nigdy nie była jednoznaczna, gdyż w miarę modernizacji technologii przesyłowych oraz rosnącego apetytu klientów, przepustowość kanału systematycznie ewoluowała w górę. W odróżnieniu od wąskopasmowych linii do transportu głosu (64 kb/s), pierwsze "szerokopasmowe" łącza tworzone na liniach telefonicznych udostępniały przekaz danych z szybkością najpierw 384 kb/s (6x64 kb/s), a następnie do 1920 kb/s (30 kanałów B) w technologii z integrowaniem usług ISDN PRA (Primary Rate Access). Po uwzględnieniu synchronizacji łączna przepustowość takiego traktu wyniosła 2048 Mb/s. Od lat stanowi ona podstawowy kanał dostępu szerokopasmowego (2 Mb/s) w przedsiębiorstwach, z przeznaczeniem do wymiany danych i wdrażania internetowych usług multimedialnych.

Dostęp do internetu można podzielić na trzy klasy szybkości: szerokopasmowy, lecz "wolny" poniżej 2 Mb/s (zwykle 512 lub 1024 Mb/s), szybki o przepustowości 2-30 Mb/s (typowo 6 Mb/s lub 8 Mb/s) oraz bardzo szybki, pozwalający na transmisje powyżej 30 Mb/s (praktycznie do 100 Mb/s). Ta nieformalna klasyfikacja nie jest jednak spójna, gdyż w wielu państwach europejskich za szerokopasmowy dostęp przyjmuje się przepustowość niewiele ponad 1 Mb/s, natomiast Komisja Europejska oficjalnie podaje w swych statystykach, że do świadczenia szerokopasmowego internetu wystarczy łącze o przepustowości nie mniejszej niż 144 kb/s. Dzisiaj wiadomo, że powszechny, ale "wolny" dostęp szerokopasmowy - nawet 512 kb/s - nie może zaspokoić ani bieżących, ani przyszłych potrzeb aktywnych użytkowników internetu.

Instalacje szerokopasmoweO ile w biznesie przepustowość 2 Mb/s jest wystarczająca do efektywnego działania większości aplikacji firmowych, o tyle użytkownik domowy ma bardziej wyrafinowane potrzeby. Wzrost tych wymagań wiąże się z innym charakterem korzystania z internetu w domu, np. poprzez sesje wideo. W miarę usprawniania wideoterminali oraz powiększania się grona użytkowników usług IPTV, zainteresowanie szerszym pasmem staje się oczywiste. Sprzyjają temu również popularne gry online czy korzystanie z interaktywnych aplikacji, a także usług oferowanych abonentom mobilnym.

Domowy internauta liczy na dostęp na poziomie 25-30 Mb/s, a wkrótce, żeby skorzystać z zaawansowanych wideousług, będzie potrzebował przepustowości sięgającej 100 Mb/s. Wobec rosnącej liczby takich klientów, a w rezultacie nasilania się zmiennego i mało przewidywalnego rozkładu i natężenia obciążeń pasma - modernizacja szkieletu i zwiększenie przepustowości sieci dostępowej stają się niezbędne.

Zapotrzebowanie na pasmo w sieciach LAN/MAN stale rośnie, jednak wyzwaniem dla operatorów jest nie tyle nagły wzrost liczby klientów, ile częste korzystanie przez nich z multimediów w technologii streamingowej, pozwalającej na dostarczanie cyfrowych treści w czasie rzeczywistym. Według Nokia Siemens Networks, za 10 lat każdy użytkownik telefonu komórkowego lub tabletu będzie codziennie transmitował ok. 1 GB danych. Tradycyjne sieci szkieletowe nie są w stanie zaspokoić takiego zapotrzebowania na pasmo, stąd konieczność ich modernizacji.

Koniec Windows XP początkiem problemów?

Najbardziej zagrożoną grupą wydają się zwykli użytkownicy. Wielu z nich będzie chciało pozostać przy Windows XP z prozaicznych przyczyn. Migracja do Windows 7 wiąże się nie tylko z kosztem zakupu aplikacji, ale również z zalecaną bądź konieczną wymianą sprzętu. Dla osób, które ograniczają swoją aktywność komputerową do wysyłania i odbierania poczty elektronicznej czy tworzenia dokumentów, funkcje oferowane przez system Windows XP są w pełni wystarczające.

Zapewne część użytkowników w ogóle nie będzie świadoma faktu, że Microsoft przestał opracowywać nowe uaktualnienia i łatki bezpieczeństwa dla wykorzystywanego przez nich systemu. Według Jasona Millera, kierownika ds. badań i rozwoju w VMware, to właśnie z komputerów takich osób składają się zwykle botnety.

Polecamy Windows 8 w firmie? Nie warto się spieszyć

Potencjalny problem z zachowaniem odpowiedniego stopnia bezpieczeństwa urządzeń opartych na MS Windows XP może również dotknąć sektor biznesowy. Zwłaszcza mniejszy biznes, bo w korporacjach firmowe polityki bezpieczeństwa wyłączą z eksploatacji przestarzałe systemy operacyjne. Dodatkowym czynnikiem przyspieszającym przechodzenie w firmach na Windows 7 jest konieczność zapewniania pełnej kompatybilności systemu z najnowszymi aplikacjami (np. MS Word czy Excel).

Polecamy Windows 8 - "Cicha większość" nie ma racji?

Amol Sarwate, dyrektor ds. bezpieczeństwa informatycznego w firmie Qualys, zwraca uwagę na jeszcze inny aspekt końca ery XP. Wiele systemów SCADA (Supervisory Control And Data Acquisition), używanych w sieciach przemysłowych do kontrolowania procesów technologicznych i produkcyjnych, jest opartych na zmodyfikowanej wersji Windows XP. Aplikacje współpracujące są często niedostosowane do pracy na standardowych platformach systemowych Microsoftu, co poważnie komplikuje możliwość aktualizacji OS-a. Sarwate przekonuje, że po 2014 r. systemy SCADA mogą okazać się podatne na zagrożenia w równie dużym stopniu, jak komputery osobiste.

Czasy, gdy głównym problemem był stosunkowo nieszkodliwy spam z ofertą zegarków oraz leków w atrakcyjnych cenach, zdecydowanie minęły. Luki w oprogramowaniu są coraz częściej wykorzystywane do przeprowadzania ataków typu drive-by download. Użytkownik może sobie nawet nie zdawać sprawy z faktu, że odwiedzenie zainfekowanej strony internetowej spowodowało, że groźny trojan zainstalował się w komputerze.

Polecamy Windows Server czy Linux?

Dlatego specjaliści od bezpieczeństwa już dziś ostrzegają, że te ciche i bezinwazyjne metody hakerskie staną się jeszcze groźniejsze już chwilę po zakończeniu wspierania systemu Windows XP przez Microsoft. Radzą, by wykorzystać pozostałe dwa lata do modernizacji swojego środowiska informatycznego.

Jak skutecznie bronić się przed atakami DoS/DDoS?

Zamów prenumeratę
i wybierz pendrive Kingstone DTI G3
w atrakcyjnej cenie!

Do wyboru pojemości: 4 GB, 8 GB, 16 GB i 32 GB.

Specyfikacja pendrive'a:

Nowoczesny, szybki, miniaturowy dysk do przenoszenia danychSzybkość zapisu danych do 10 MB/sInterfejs USB 2.0 Wysuwana wtyczka USB Sygnalizacyjna dioda LED Gwarancja 5 lat

Regulamin promocji: »

Nowa generacja WAN

VPLS i OTV zapewniają elastyczność wdrożenia oraz zarządzanie usługami sieciowymi dla rozległych geograficznie lokalizacji. VPLS (Virtual Private LAN Service), działający poprzez sieć MPLS lub IP, jest zatwierdzonym standardem, lecz wymaga doświadczonej kadry IT, aby skutecznie zarządzać tak zbudowaną siecią. OTV (Overlay Transport Virtualization), pracujący wyłącznie poprzez sieć IP, to protokół stworzony przez Cisco, który wymaga wykorzystania określonego sprzętu.

Polecamy Sieci GPON w praktyce

L2 przez WAN - czy to możliwe?

Połączenia zdalnych biur z centralą firmy niemal zawsze mają krytyczne znaczenie dla prowadzenia biznesu, ponieważ zapewniają dostęp do centrum danych, a jednocześnie powinny odpowiednio traktować transmisje danych i przekaz głosu. Organizacje mają wiele opcji łączenia takich lokalizacji - mogą to być technologie IP VPN, MPLS, a w przeszłości ATM/Frame Relay. Dawniej technologie pozwalające na przenoszenie warstwy L2 były kosztowne i miały wiele ograniczeń. Dodatkowo pozwalały na zestawianie połączeń wyłącznie w architekturze punkt-punkt. Nowymi technologiami, pozwalającymi na rozszerzenie protokołów Ethernet na WAN, są m.in. VPLS oraz OTV.

Jak działa MPLS VPN?Nowoczesne technologie WAN, łączące oddalone lokalizacje w warstwie drugiej, realizują funkcje wirtualnych przewodów PW (pseudowire). W rzeczywistości takie połączenie zachowuje się jak fizyczny kabel położony między zdalnymi lokalizacjami. Technologie PW przekazują wszystko, co pojawi się po jednej stronie tunelu - na drugą stronę tunelu, łącznie z ruchem multicast, protokołem Spanning-Tree, MAC adresami i innymi protokołami warstwy L2. Co więcej, możliwe jest zapewnienie połączeń w architekturze wielopunkt-wielopunkt. Technologia PW nie zakłada jednak wykorzystania protokołów trasowania, więc potrzebna jest podbudowa w postaci protokołu IP lub MPLS.

Polecamy Carrier Ethernet 2.0

Większość operatorów oferuje różne typy połączeń poprzez sieć MPLS. Jej popularność wynika z tego, że obsługuje liczne protokoły, daje możliwość zapewnienia różnych poziomów jakości usług, a także przenoszenia z odpowiednią jakością ruchu głosowego czy wideo. Struktura MPLS jest także stosunkowo bezpieczna i odporna na awarie.

Polecamy 100 gigabitów na sekundę

MPLS jest protokołem niezbędnym do poprawnego funkcjonowania części technologii L2 poprzez WAN, dlatego warto wiedzieć, jak działa. MPLS pracuje w oparciu o model etykiet. Na brzegu sieci router LSR przydziela etykiety poszczególnym pakietom danych, aby przy wyjściu z sieci je zinterpretować i pozbyć się etykiet. Na etapie etykietowania tworzona jest ścieżka pakietu przez sieć MPLS. Etykiety są przydzielane na podstawie różnych kryteriów: może to być miejsce przeznaczenia lub źródło pakietów, może to być poziom jakości usług (QoS). Trasowanie odbywa się poprzez brzegowe routery etykiet (LSR). Pakiety danych są przekazywane zgodnie z ustaloną już na brzegu sieci trasą, określaną jako etykieta ścieżki przełączania (LSP). Etykiety układają się w stos, przy czym na najwyższym szczeblu znajduje się etykieta LSP. Forma stosu etykiet pozwala na nieograniczone możliwości kształtowania jakości usług i wyboru ścieżek ruchu. Ścieżki zapasowe uwzględniane w etykietach pozwalają na pełną redundancję połączeń. Wdrożenia MPLS są zawsze związane z realizacją kompletnej implementacji zarządzania jakością pakietów, wraz z zapewnieniem określonych poziomów jakości usługi SLA (Service Level Agreement).

Jedną z pierwszych technologii przekazywania L2 przez WAN była enkapsulacja pakietów wykorzystywana przez EoMPLS. Ta technologia pracuje w architekturze punkt-punkt i przystosowana jest do pracy z aplikacjami punkt-punkt. Skalowanie EoMPLS może okazać się wyzwaniem, ponieważ wraz z rozwojem infrastruktury liczba przewodów wirtualnych gwałtownie wzrasta, a dodatkowo nie można łączyć lokalizacji w chmurę. VPLS i inne protokoły rozbudowują możliwości EoMPLS, działając jak przełącznik między lokalizacjami i zapewniając implementację wielopunkt-wielopunkt. Podstawowe funkcjonalności MPLS nie pozwalają na przenoszenie warstwy L2 między różnymi lokalizacjami, dlatego na jego podbudowie pracują właśnie protokoły VPLS czy OTV.

Bezpieczeństwo IT. Co nam grozi?

Ewolucja kodów złośliwych

Programy złośliwe liczebnie przewyższają już legalne. Ukrywają się pod postaciami fałszywych skanerów antywirusowych, "niezbędnych" łatek, spreparowanych plików PDF czy kodeków. Nowym wektorem ataków stały się sieci społecznościowe.

Dzisiejsze złośliwe oprogramowanie stawia olbrzymie wyzwania przed dostawcami środków ochronnych. W miejsce prosto zaszyfrowanych plików malware pojawiły się w kody polimorficzne, wykorzystujące miliony losowo wygenerowanych kluczy szyfrujących. Ich następcą są programy metamorficzne, które reorganizują swój własny kod w biegu, rekompilując go dla każdej nowej ofiary.

Polecamy Bezpieczeństwo - trzy duże problemy

Botnety są wykorzystywane do kradzieży pieniędzy, prowadzenia ataków DDoS (Distributed Denial of Service) czy włamywania się do innych komputerów.

Pliki złośliwe są często spakowane w archiwa chronione hasłem w celu oszukania skanerów sieciowych i używają tuneli SSL/TLS w celu ominięcia inspekcji sieciowej.

Ataki DDoS

Ataki DDoS nie są zbyt wymyślne, większość z nich nie wykorzystuje nawet luk oprogramowania - są jednak trudniejsze do odparcia niż inne zagrożenia.

Z technicznego punktu widzenia ataki DDoS stają się coraz intensywniejsze. Jeszcze niedawno natężenie ruchu o wielkości 1 Gbps, emitowanego w kierunku ofiary, uważane było za duże, a obecnie można już obserwować ataki o natężeniu 20 Gbps, a nawet większym Jednak największym wyzwaniem stała się złożoność ataków DDoS, które przenoszą się z warstwy 3 i 4 sieci na warstwę 7 (aplikacyjną).

Polecamy Ataki DDoS: jak sobie z nimi radzić?

Najbardziej złożone ataki DDoS mogą mieć jednocześnie wiele wektorów, co znacznie zwiększa ich uciążliwość. Taktyka ta sprawia, że obrona staje się dużo trudniejsza. Napastnik może rozpocząć np. od zalewania celu pakietami ICMP czy UDP, zwiększając ruch i utrudniając jego obsługę. Z chwilą, gdy ofiara uzyska kontrolę nad potokiem pakietów ICMP i UDP, napastnik może przełączyć się na protokoły TCP, a kiedy ofiara zacznie zajmować się tym ruchem, może zwiększyć liczbę botów i tym samym intensywność ruchu, coraz bardziej wciągając ofiarę w tę grę.

Coraz większa liczba ataków DDoS to ataki wielostronne i wielodniowe, służące za przynętę odciągającą uwagę od bardziej niszczących ataków w sieci.

Zagrożenia z sieci społecznościowych

Sieci społecznościowe są w coraz większym zakresie wykorzystywane przez biznes. Trzeba jednak pamiętać, że technologie te wnoszą też duże ryzyko do przedsiębiorstwa. Przy setkach milionów użytkowników są bardzo atrakcyjnym celem dla napastników.Podobnie jak na wczesnym etapie upowszechnienia poczty elektronicznej czy komunikatorów, użytkownicy niemal bezkrytycznym zaufaniem darzą odnośniki do obrazków, wideo czy plików wykonywalnych przesyłane przez "przyjaciół". Konsekwencje tego mogą się jednak okazać bardziej bolesne niż w przypadku poczty elektronicznej - celem sieci społecznościowych jest udostępnianie obiektów w dużo większym zakresie.

Portale pod ochroną WAF

W Networld 12/2011 pisaliśmy o firewallach aplikacyjnych, teraz pora spojrzeć na inne rozwiązania, które chronią konkretny rodzaj aplikacji - aplikacje webowe, czyli te, które dostępne są najczęściej z poziomu przeglądarki internetowej. Chodzi o rozwiązania typu Web Application Firewall (WAF).

Typowym zastosowaniem technologii WAF jest ochrona portali, które służą bezpośrednio lub pośrednio zarabianiu pieniędzy - takich jak portale e-banking lub e-commerce. Jak wyliczył instytut Ponemon, koszt utraty jednego rekordu informacji to ok. 197 USD. Badania, które prowadził, odnosiły się, co prawda, do rynku amerykańskiego, ale dają pewien pogląd na sprawę. Co gorsza, według badań WhiteHat Security, większość stron internetowych w 2010 r. była podatna (przez cały rok) na co najmniej jedną, poważną podatność - oznaczaną jako "Critical", "High" lub "Urgent". Tylko 30% przebadanych witryn było podatne przez okres krótszy niż 30 dni. Jedną z rekomendacji WhiteHat Security prowadzących do poprawienia stanu bezpieczeństwa (oprócz np. modyfikacji kodu, aktualizacji aplikacji) jest korzystanie z narzędzi klasy WAF. W dalszej części spróbujemy wyjaśnić, co to takiego.

Polecamy NGFW - firewalle następnej generacji

Czym jest WAF?

Jakie czynniki skłaniają organizacje do zakupu rozwiązań WAF. Zawsze kilka argumentów się powtarza. Jednym z najbardziej oczywistych czynników jest ustrzeżenie się przed niedostępnością lub uszkodzeniem aplikacji będących albo głównym, albo dodatkowym źródłem dochodu. Druga sprawa, to zapewnienie dodatkowego wsparcia, które oprócz cyklicznych przeglądów kodu pomogłoby ustrzec się przed coraz bardziej wyszukanymi (ale często też trywialnymi) atakami. No i wreszcie, gdy rozmawia się z firmami, często słyszy się, że niezwykle istotnym czynnikiem dokonania tej inwestycji jest chęć spełnienia wielu wymogów wypływających z wewnętrznych czy zewnętrznych regulacji, czyli znienawidzony przez wielu "compliance’u". Tutaj najważniejsze jest pokazanie odpowiedniego "glejtu" potwierdzającego zgodność. Słysząc o kolejnym typie firewalli, nasuwa się co najmniej kilka pytań. Pierwsze dotyczy różnicy pomiędzy zaporą aplikacyjną a zaporą dla aplikacji webowych. Podstawowy wyróżnik to realizowany cel. Zapory aplikacyjne zostały stworzone jako rozwinięcie tradycyjnych firewalli, tj. ich głównym zadaniem jest ochrona styków sieci (z internetem, wewnątrzkorporacyjnych). Dorzucono do nich mechanizmy rozpoznawania aplikacji poprzez dekodowanie pakietów w warstwie 7. i kontroli dostępu użytkowników do konkretnych aplikacji, ale w dalszym ciągu są to "zwykłe" firewalle. Z kolei WAF został pomyślany jako odpowiedź na ataki skierowane przeciwko aplikacjom webowym. Koncentruje się zatem na ochronie serwerów webowych poprzez szczegółową analizę ruchu w warstwie 7.

I tutaj pojawia się kolejne pytanie: jaka to różnica w stosunku do tego, co robi IPS? Można powiedzieć, że WAF to rodzaj specjalizowanego IPS-a przeznaczonego tylko i wyłącznie do analizy aplikacji webowych - potrafi właściwie przeanalizować chociażby metody http, takie jak GET czy POST. Odpowiedzi na pytanie o to, czym jest WAF, można również szukać w materiałach informacyjnych (Information Supplement: Payment Card Industry Data Security Standard - PCI DSS - Requirement 6.6 Code Reviews and Application Firewalls) publikowanych przez organizację PCI Security Standards Council. Według nich, WAF to rozwiązanie, które musi przede wszystkim:
• Zapewniać ochronę przed zagrożeniami publikowanymi na liście TOP 10 przez OWASP.
• Budować zasady polityki zachowań dla danych wejściowych i odpowiedzi (blokowania/zezwalania/alertowania) oparte na modelach białych i czarnych list.
• Chronić przed wyciekiem danych.
• Poddawać inspekcji zarówno zawartość serwisu poprzez analizę np. HTML, DHTML czy styli CSS, jak i protokoły, które służą do jej dostarczenia, np. HTTP, HTTPS (SSL i TLS).
• Poddawać kontroli "web serwisy", jeżeli wystawione są do internetu (np. SOAP, XML).
• Potrafić chronić siebie.
• Terminować lub deszyfrować ruch SSL (lub mieć dostęp do ruchu odszyfrowanego).
• Zapewniać mechanizmy fail-open lub fail-close.

Uprzywilejowani i kontrolowani

Problem z przywilejami

Dla administratora odpowiedzialnego za bezpieczeństwo prawdziwą udrękę stanowią tzw. tożsamości uprzywilejowane, a więc wszelkiego rodzaju konta z wysokim poziomem uprawnień, typu administrator, root, DBA itp. Możemy sobie wyobrazić przynajmniej kilka grup poważnych problemów z nimi związanych. Pierwsza wiąże się z zarządzaniem. Specyfika kont uprzywilejowanych polega na tym, że - w przeciwieństwie do "normalnych" - nie są przywiązane do konkretnej osoby, co oznacza, że do konta root może mieć dostęp równie dobrze jedna, jak i dwadzieścia osób. Zdarza się również, że takie konta specjalne są wykorzystywane nie tylko przez ludzi, ale również przez usługi oraz obiekty (np. COM+/DCOM).

Konta we władaniu Lieberman Enterprise Random Password ManagerDo częstych należą również sytuacje, kiedy konta uprzywilejowane wymykają się centralnym mechanizmom zarządzania i omijają wymagania polityki bezpieczeństwa. Przykładem takich odstępstw może być choćby nieprzestrzeganie polityki zmiany haseł. Mogą to być również sytuacje udostępniania takich kont ad-hoc - z reguły, jeżeli potrzebny jest do nich dostęp, to zwykle natychmiast, a więc z ominięciem procedur. Pół biedy, jeżeli konta specjalne byłyby wykorzystywane tylko przez pracowników organizacji. Specyfika funkcjonowania współczesnych firm sprawia jednak, że coraz więcej zadań związanych z utrzymaniem i zarządzaniem infrastrukturą spoczywa w rękach firm zewnętrznych. A skoro tak, to oni również będą potrzebowali dostępu do kont specjalnych.

Kolejna grupa problemów - ściśle wiążąca się z tym, co powiedziano wcześniej - to reglamentacja dostępu do tożsamości uprzywilejowanych. Jeszcze inna wiąże się z monitorowaniem i audytowaniem tego, co zostało za pomocą kont specjalnych zrobione. Rozmawiając z osobami odpowiedzialnymi za bezpieczeństwo w wielu polskich firmach, widać, że to właśnie ten ostatni problem najczęściej skłania do bliższego zainteresowania się tematem. Potrzebują oni przede wszystkim możliwości weryfikacji, co i kto zrobił podczas korzystania z tożsamości specjalnej. Zainteresowanie to potęguje się zwłaszcza wtedy, gdy coś się zepsuło i nie ma winnego.

Wspomniane aspekty, oczywiście, nie wyczerpują całości zagadnienia. Jest to zaledwie ułamek problemów, z którymi możemy mieć do czynienia w związku z tożsamościami uprzywilejowanymi. Powagę sytuacji potwierdzają badania.

Narzędzia o wielu nazwach

Przyglądając się rynkowi, możemy dostrzec różne metody podejścia do złożonego problemu zarządzania kontami. Niektórzy starają się to robić kompleksowo, inni skupiają się na poszczególnych elementach.

Konta uprzywilejowane w statystyceDobrze znany ze swoich analiz instytut Ponemon przeprowadził na grupie ponad 5500 menedżerów IT badania dotyczące ryzyka, z jakim wiążą się tożsamości uprzywilejowane. Bardzo interesujące są wyniki tego badania, które - co warto podkreślić - nie przeprowadzono nie tylko w USA, ale również w 12 innych krajach. Aż 77% ankietowanych uważa, że ze względu na charakter pracy musi korzystać z takich tożsamości. Ponad połowa twierdzi, że uprawnienia specjalne są przyznawane znacznie szerzej niż wynika to z danej roli, według reguły: "dam więcej, żeby nie mówił, że nie działa". Z kolei 41% zadeklarowało, że proces przyznawania uprawnień do kont specjalnych jest realizowany w trybie "ad-hoc" i nie wiąże się z realizacją zdefiniowanych procesów w tym obszarze. Również nazewnictwo stwarza pewne problemy. Jedni (np. Gartner) mówią o rozwiązaniach PAAM (Privileged Account Activity Management), inni o PIM (Privileged Identity Management). Natomiast, jeśli skupiamy się na monitorowaniu, to będziemy myśleli o narzędziach PSM (Privileged Session Monitoring). Jednak bez względu na nomenklaturę, celem jest: kontrola kont specjalnych, automatyzacja ręcznych do tej pory procesów, a także audyt i monitorowanie aktywności prowadzonych za pomocą tych kont.

Na rynku w przeciągu kilku ostatnich lat zrobiło się dość tłoczno. Możemy spotkać narzędzia zarówno typu all-in-one, jak i bardziej specjalizowane. Niektóre koncentrują się na zarządzaniu hasłami, inne na monitorowaniu, a jeszcze inne na reglamentacji dostępu. W Polsce do najczęściej spotykanych należą rozwiązania dostarczane przez takich producentów, jak: BeyondTrust, CA, Cyber-Ark, ObserveIT, Quest (dawniej E-DMZ), Xceedium. Ale powoli torują sobie drogę także inni mocni gracze, jak BalaBit, Centrify, czy Lieberman.