White Paper Sítě se z uzavřených infrastruktur vyvinuly v integrované systémy, které organizacím dovolují těsnější spolupráci se zaměstnanci, partnery, zákazníky i dodavateli na celém světě díky propojení a automatizaci obchodních procesů a aplikací. Přesun aplikací na Internet dramaticky zvyšuje ziskovost i produktivitu - současně ale také zvyšuje riziko napadení. Narušení bezpečnosti může pocházet z mnoha zdrojů, včetně vlastních PC připojených k síti a serverů firmy. Noví červi a viry se zaměřují na koncové body sítě. To je zvlášť důležité u malých a středních firem, kde jsou často jen omezené zdroje v oblasti IT, které by se dokázaly těmto výzvám postavit. Cisco Systems® připravuje organizace na útoky tím, že jim pomáhá vytvářet sítě, které se brání samy, s výrazně lepšími možnostmi odhalování a prevence hrozeb a reakce na ně. Důležitou součástí Zabezpečené platformy sítě Cisco®a Sítě Cisco, která se brání sama, je nová generace směrovačů Cisco s integrovanými službami. Jde o první směrovače, které malým a středním firmám a pobočkám velkých firem poskytují zabezpečení na úrovni rychlosti linky pro data, hlas, video a další pokročilé služby. Tento white paper se zaměřuje na měnící se prostředí zabezpečení a na zabudované zabezpečovací funkce směrovačů s integrovanými službami Cisco 800, 1800, 2800 a 3800 Series. Trendy na trhu ukazují, že roste poptávka zákazníků po souběžně provozovaných integrovaných službách v malých firmách; tento white paper ukazuje, jakou hodnotu má integrace zabezpečení ve směrovači. Ukazuje také, jak Cesta k chytrému rozvoji podnikání Cisco a jedinečný přístup společnosti Cisco k systémům efektivně řeší bezpečnostní potřeby dnešních i budoucích uživatelů. Tento white paper není technickou příručkou k nasazení. Vysvětluje, jak Cisco slučuje nejlepší technologii zabezpečení sítě ve své třídě s více než 20 lety zkušeností se směrováním a tím nově definuje pojem zabezpečení sítě a poskytuje zákazníkům ochranu celé sítě. Dříve nevídané výzvy pro zabezpečení sítě V počátcích svého rozvoje byly útoky z vnitřních i vnějších zdrojů pomalejší a snáze potlačitelné. První generace hrozeb pro zabezpečení v osmdesátých letech - boot viry postihující jednotlivé počítače a sítě - se šířily pomalu, celé týdny. V devadesátých letech se objevila druhá generace hrozeb pro zabezpečení, například makro viry, e-mailové viry, útoky denial-of-service (DoS) a omezené pokusy o průnik, což byly hrozby šířící se v řádu dnů. Dnes rychlost a propracovanost narušení zabezpečení sítě a ničivých útoků stále roste. Nové hrozby kombinují internetové červy, viry a trojské koně a šíří se po celém světě, přičemž v místních a regionálních sítích je invaze otázkou minut a důsledkem bývají plošná zamoření a velké škody.
Zdroj: CSI FBI průzkum počítačové zločinnosti a zabezpečení 2005 Právní povinnost rozsáhlejší Due Diligence Stále rostoucí počet vládních vyhlášek a norem vyžaduje, aby společnosti posílily zabezpečení své sítě. Tyto vyhlášky a zákony jsou přijímány v zájmu zlepšení ochrany osobních údajů zákazníků, národní bezpečnosti a odpovědnosti veřejných společností. V USA jde například o Zákon o přenosnosti zdravotního pojištění a odpovědnosti za ně (HIPAA) v oboru zdravotní péče, Zákon Gramm Leach Bliley (GLBA) v oboru finančních služeb a Zákon Sarbanes-Oxley v oboru účetnictví. Evropská unie na základě Směrnice o ochraně dat stanoví, že osobní údaje mohou být předávány do zemí mimo EU jen pokud je dostatečně zajištěna ochrana soukromí. Rostoucí poptávka po zabezpečených směrovačích Se stále rostoucími nároky na zabezpečení a ochranu soukromí stoupá i potřeba nových řešení zabezpečení. Dle článku v časopisu Business Communication Review mnoho lidí s velkým zájmem sleduje trh přístrojů pro zabezpečení a zapomínají přitom na to, jak rozsáhlé zbezpeční dokáží již dnes nabídnout směrovače a přepínače1. Článek dále poznamenává, že stejně jako potřeba rozprostřeného přístupu k Internetu a požadavky firem všech velikostí na zvýšené zabezpečení jejich sítí vedly k integraci více technologií zabezpečení do jednoho produktu, stejné faktory také vedou výrobce síťových produktů k integraci zabezpečení do směrovačů a přepínačů. Studie Infonetics zmiňovaná v článku také uvádí, že počet lidí, kteří chtějí nasadit zabezpečovací zařízení je přibližně stejný stejné jako počet těch, kdo chtějí nasadit zabezpečené směrovače. Jak uvádí obrázek 1, data firmy Infonetics Research svědčí o tom, že segment trhu zabezpečených směrovačů rychle roste. Nedávno zveřejněný článek uvádí, že segment zabezpečených směrovačů rostl, pokud jde o počet kusů i příjmy. Příjmy z prodeje zabezpečených směrovačů v roce 2005 meziročně vzrostly o 121 procent na 803 milionů USD a počet expedovaných kusů se téměř ztrojnásobil2. Obrázek 1.
Předpověď Infonetics: struktura celosvětových příjmů z prodeje směrovačů velkým firmám
Vyvíjející se řešení zabezpečení od společnosti Cisco Řešení zabezpečení se přizpůsobuje měnícím se požadavkům a společnost Cisco i nadále určuje standard svými řešeními zabezpečení, která jsou nejlepší v dané třídě. Společnost Cisco dnes zabudovává zabezpečení sítě do hardwaru každého směrovače s integrovanými službami a nabízí ochranu celé sítě pomocí funkcí zabudovaných v softwaru Cisco IOS®. Směrovače Cisco s integrovanými službami spolupracují s agregačními směrovači Cisco 7200 Series a Cisco 7301 Series, které rovněž využívají sadu pokročilých funkcí zabezpečení Cisco IOS. Hodnota integrovaných řešení zabezpečení ve směrovači Integrované zabezpečení je základním funkčním prvkem Sítě Cisco, která se brání sama. Řešení směrovačů s integrovaným zabezpečením společnosti Cisco využívají špičkové technologie firewallu a prevence průniku od společnosti Cisco a kombinací softwaru Cisco IOS a LAN a WAN konektivity do řešení zabezpečení světové třídy. Integrace softwaru Cisco IOS přímo do směrovače nabízí řadu výhod. Využívá stávající síťovou infrastrukturu, pomáhá nasadit přímo na směrovači další funkce zabezpečení, aniž by bylo nutno nasazovat další hardware. Tím se sníží počet zařízení na síti, klesají nároky na školení a správu a tím i celkové náklady vlastnictví (TCO). Síťové moduly směrovače jsou také kryty stávajícími smlouvami na údržbu směrovačů Cisco SMARTnet®, což usnadňuje správu. Výhodou integrace je nabídka flexibilních možností nasazení zabezpečení, jako je firewall, prevence inline průniků a funkce VPN kdekoli v síti, což zaručuje nejdokonalejší možnou ochranu proti narušení zabezpečení. Kombinace funkcí založených na směrovači, na přepínači a na zařízeních nabízí ochranu celé sítě. Integrace zabezpečení přímo do směrovače také chrání síťové brány, protože jsou prvním bodem kontaktu se sítí. Tak lze nasadit nejlepší řešení zabezpečení v dané třídě na všech bodech kontaktu se sítě, což jsou logicky ta nejlepší místa, kde síť zabezpečit. Zabezpečení směrovače nejenže chrání bod prvního kontaktu se sítí, ale také využívá inteligence směrovače jako "důvěryhodné strany" zpracovávající síťový provoz, s integrací ještě pokročilejších funkcí zabezpečení, kvality služeb (QoS) a směrování. Na směrovači lze informace řídící zabezpečení sdílet a rychle a přesně reagovat na hrozby, což zaručuje vysokou dostupnost sítě. Integrované zabezpečení chrání i směrovač, vytváří další linii obrany účinnou proti útokům zacíleným přímo na síťovou infrastrukturu, jako jsou distribuované DoS (DDoS) útoky. Řada produktů zabezpečení od třetích stran chrání konkrétní oblasti funkce sítě, ale jen málo z nich dokáže zabezpečit všechny body sítě tak, jak to dokáže portfolio řešení zabezpečení od společnosti Cisco. Hodnota systémového přístupu Vysoká dostupnost v malé kanceláři Cisco nabízí neuvěřitelnou paletu možností, jak udržet vysokou dostupnost. Ve snaze zajistit neustálou dostupnost sítě Cisco svůj přístup staví na perspektivě ochrany celé sítě a poskytuje IT organizacím snáze nasaditelnou, udržovatelnou architekturu sítě, která se brání sama. Směrovač s integrovanými službami tento přístup ještě dále posiluje současným poskytnutím více rozhraní a funkcí a dalších současně efektivních služeb zabezpečení, správy a integrace. Směrovače s integrovanými službami Cisco představují ucelené řešení vysoké dostupnosti, které minimalizuje výpadky sítě a pomáhá zajistit nepřetržitý přístup k aplikacím, které jsou pro vaše podnikání nejdůležitější. Společnost Cisco se zaměřuje na integraci nových služeb infrastruktury s vysokou výkonností a umožňuje tak společnostem vytvářet inteligentnější, odolnější a spolehlivější sítě - dnes i v budoucnu. Více informací o řešení vysoké dostupnosti Cisco pro malé kanceláře najdete ve white paperu "Maximalizace dostupnosti poboček pomocí směrovače s integrovanými službami", na adrese http://www.cisco.com/go/isr. Výkon Směrovače Cisco s integrovanými službami díky systémovému přístupu zajišťují dostatečný výkon WAN linky. To znamená, že pokud zákazníci povolí další služby, jako je hlas nebo zabezpečení, výkon směrovače stále postačuje k zajištění plné rychlosti WAN rozhraní. Směrovače s integrovanými službami jsou optimalizovány na souběžný provoz více služeb, mají na to dostatečně výkonný procesor, přičemž služby náročné na výkon procesoru, například VPN, jsou svěřovány specializovaným akcelerátorům. Společnost Mier Communications, Inc. (Miercom) provedla nezávislé ověření konfiguračních, provozních a výkonových aspektů nových směrovačů Cisco s integrovanými službami . Společnost Miercom potvrdila výkonnost těchto systémů při souběžném poskytování síťových služeb vysoké úrovně v prostředí vytížené pobočky, včetně stavového firewallu a překladu síťových adres (NAT) v Cisco IOS, prevence průniků, přenosu hlasu po IP síti (VoIP) a analogových telefonních služeb, to vše za silného datového provozu. Tyto testy také potvrdily vysokou kvalitu hlasových služeb při velkém objemu přenášených dat. Testy hlavně potvrdily, že směrovač s integrovanými službami Cisco 3845 dokázal vytížit linku T3 IP-WAN při používání šifrování Advanced Encryption Standard (AES), IP Security (IPsec) VPN, do meze výkonu linky T3. Společnost Miercom také testovala bezdrátové směrovače s integrovanými službami Cisco 2851, 2811, 2801, 1841 a 1812 a také webový směrovač Cisco a aplikaci Správce zabezpečených zařízení (SDM). Plné znění souhrnů vytvořených společností Miercom najdete na http://www.miercom.com. "Naše testy prokázaly, že Cisco 3845 dokáže udržet plně vytíženou linku T3 WAN i při souběžném používání více aplikací. Zabudovaný kryptografický procesor snadno zvládá 128bitové AES a IPsec VPN současně s firewallem, prevencí průniků, QoS a směrováním dat na limitu propustnosti linky WAN. Cisco 3845 navíc bez snížení výkonu podporuje ohromujících 72 proudů hlasových přenosů, včetně překódování, hlasové pošty, automatické recepční, faxu a telefonie Survivable Remote Site." Inteligence Systémový přístup začíná jednou odolnou platformou, jako je směrovač Cisco s integrovanými službami, ale musí být rozšířen za meze přístupu "jedna krabice", musí zařízení kombinovat s inteligentními službami. Spolupráce více inteligentních služeb nabízí hmatatelné výhody, jako je dynamická vícebodová VPN (DMVPN), podporující dynamické tunely, nebo VPN s podporou hlasu a videa (V3PN), jako na obrázku 2. Obrázek 2. 
Kvalita pronajaté linky před šifrováním musí zajistit kvalitu hlasu, zásady QoS vystupujícího rozhraní, DMVPN určuje místo určení ve VPN, šifrování VPN, V3PN chrání páteř WAN, SRTP chrání LAN Požadavky: Přínosy: Systémový přístup propojuje hlasové služby se službami zabezpečení a směrování a s aplikačními službami do jednoho celku, takže jsou všechny procesy automatizovanější a inteligentnější. Výsledkem je všepronikající zabezpečení sítě i aplikací, vyšší kvalita dat, hlasu a videa, lepší produktivita a lepší využití síťových prostředků. Strategický přístup k růstu Malé a střední firmy musí svou investici do sítě chránit a maximálně využít, potřebují také maximálně využít omezené zdroje podpory a to vše tempem, které jim vyhovuje. Základ zabezpečené sítě Cisco je flexibilní a škálovatelný způsob implementace úrovní zabezpečení a pokročilých aplikací. Základ zabezpečené sítě Cisco je základním krokem v rámci Cesty chytrého rozvoje podnikání Cisco, která organizacím nabízí strukturovanou, plánovanou cestu k využívání dnešních podnikatelských možností a k maximalizaci dlouhodobého potenciálu investic do technologií. S využitím Cesty chytrého rozvoje podnikání Cisco mohou společnosti těsně spolupracovat se společností Cisco a s jejími partnery při plánování budoucího růstu, zjednodušeném přijímání technologií, zkracování doby zavádění a snižování celkových nákladů. Kombinací nejlepšího softwaru ve své třídě a aplikací na jedné platformě mohou zákazníci:
Významné rysy zabezpečení nabízené novými směrovači Cisco s integrovanými službami Směrovače Cisco s integrovanými službami 800, 1800, 2800 a 3800 jsou dodávány s nejucelenějšími službami zabezpečení, inteligentními zabudovanými datovými službami, službami zabezpečení a hlasovými službami vytvářejícími jeden odolný celek pro rychlé a škálovatelné zajištění chodu kritických obchodních aplikací. Společnost Cisco zabudovává zabezpečení do každého směrovače s integrovanými službami s tím, že šifrování je standardně realizováno hardwarově. Tento zabudovaný akcelerátor hardwarového šifrování snižuje zatížení hlavního procesoru při realizaci VPN a umožňuje tak zvyšovat průchodnost VPN s jen minimálním dopadem na hlavní procesor směrovače. Pokud potřebujete dále zvýšit průchodnost VPN nebo škálovatelnost (například počet VPN tunelů), jsou k dispozici volitelné moduly pokročilé integrace VPN (AIM). Síť Cisco, která se brání sama, nabízí u nových směrovačů čtyři kategorie ochrany: důvěru a identitu, ochranu síťové infrastruktury, zabezpečenou konektivitu a ochranu proti hrozbám (obrázek 3). Obrázek 3. 
Adaptivní ochrana proti hrozbám - Služby zabezpečení + Síťová inteligence - Proaktivní reakce - Zabezpečené poskytování aplikací - Prevence červů, virů, spywaru, filtrování URL, ochrana založená na obsahu, kontrola e-mailu Integrované služby zabezpečení - Síť, která se brání sama Systémy pro zabezpečenou spolupráci - Zabezpečení jako celosíťový systém: koncové body + síť + koordinace zásad pro služby a zařízení - Řízení přístupu k síti (NAC) - Virtualizované služby Ochrana základu sítě - Ochrana a hlídání pravidel síťové infrastruktury - Hlídání pravidel vrstvy ovládání, AutoSecure, NBAR Integrované zabezpečení - Každý prvek sítě je bodem ochrany, směrovače, přepínače, aplikace, koncové body - Zabezpečená konektivita, prevence průniků, firewall Správa zařízení Správce směrovačů a zabezpečovacích zařízení Cisco (SDM) Každý směrovač Cisco 800, 1800, 2800 a 3800 Series; Cisco 7200 Series a Cisco 7301 je vybaven softwarem Cisco SDM, intuitivním webovým správcem zařízení (GUI) pro nasazení a správu směrovačů Cisco. Cisco SDM usnadňuje konfiguraci a sledování směrovačů pomocí průvodce instalací pro rychlé nasazení a následné "zamčení" směrovače. Chytří průvodci podporují zabezpečovací a směrovací funkce, konfigurace směrovačů schválené střediskem technické pomocí Cisco Technical Assistance Center (TAC) a obsahují informační materiály na dané téma. Důvěra a identita Služby důvěry a identity umožňují, aby síť sama inteligentně chránila koncové body s využitím technologií jako je řízení přístupu k síti (NAC); služby identity a také autentizace, autorizace a účtování (AAA). Řízení přístupu k síti NAC je aktivita zaměřená na spolupráci v rámci celého oboru, pod vedením společnosti Cisco, s cílem zajistit, aby všechny koncové body odpovídaly zásadám zabezpečení sítě dříve, než je jim povolen přístup. NAC omezuje škody způsobené viry a červy tím, že dotazuje zařízení a zjišťuje, zda mají instalovány nejnovější verze antivirového softwaru a záplat operačního systému, a až pak jim povolí přístup. Zranitelné a neodpovídající hostitelské systémy jsou izolovány a získají jen omezený přístup k síti, do doby, než jsou na ně instalovány záplaty a zabezpečení, což brání tomu, aby se staly zdroji nebo cíli infekce síťovými viry nebo červy. NAC a další integrované služby zabezpečení lze povolit na zařízeních Cisco 800, 1800, 2800 a 3800 Series; Cisco 7200 Series a směrovačích Cisco 7301, vybavených softwarem Cisco IOS Advanced Security, Advanced IP Services nebo Advanced Enterprise Services. Autentizace, autorizace a účtování Služby zabezpečení sítě Cisco AAA tvoří primární rámec pro vytvoření řízení přístupu na směrovači nebo přístupovém serveru. AAA správcům sítě umožňuje dynamickou konfiguraci typu autentizace a autorizace, které chtějí využívat, a to s využitím přístupu per-line (per-user) nebo per-service (IP, Novell Internetwork Packet Exchange [IPX] nebo virtuální privátní síť na vytáčených linkách [VPDN]), na základě seznamů metod, které se vztahují ke konkrétním službám nebo rozhraním. 802.1x Aplikace dle normy 802.1x ztěžují neoprávněný přístup ke chráněným informačním zdrojům tím, že vyžadují platné přístupové jméno a heslo. Nasazením aplikací dle 802.1x mohou správci sítě také účinně eliminovat riziko, že uživatelé nainstalují nezabezpečené bezdrátové přístupové body, což je jedno z největších nebezpečí v éře snadno nasaditelných zařízení pro vytváření bezdrátových LAN (WLAN) sítí. USB port/připojení výměnného média s přístupovými jmény a hesly Směrovače Cisco s integrovanými službami mají zabudované porty USB 1.1, což nabízí důležité možnosti v oblasti zabezpečení a správy dat. Díky těmto možnostem mohou směrovače umožnit zabezpečenou autentizaci uživatelů, ukládat na vnější médium uživatelská jména a hesla pro vytváření zabezpečených VPN připojení, lze zabezpečeně distribuovat konfigurační soubory a využít vnější paměti Flash k ukládání souborů a konfigurace. Ochrana základů sítě Ochrana základů sítě chrání síť před útoky a slabými místy. Příklady: hlídání pravidel vrstvy ovládání, AutoSecure a rozpoznání aplikací na síťovém základě (NBAR). Hlídání pravidel vrstvy ovládání I ta nejrobustnější softwarová a hardwarová architektura je zranitelná útoky DoS, které se snaží síťovou infrastrukturu zaplavit nesmyslnými přenosy. K zablokování těchto a podobných hrozeb maskovaných jako specifické typy ovládacích paketů zaměřených na jádro sítě stanovuje software Cisco IOS objem přenosů mířících k procesoru vrstvy ovládání. Tuto funkci, nazvanou Hlídání pravidel vrstvy ovládání, lze nakonfigurovat tak, aby odhalovala určité typy přenosů dat a částečně nebo úplně je blokovala, pokud překročí nastavenou prahovou úroveň. AutoSecure AutoSecure je funkce softwaru Cisco IOS, která zjednodušuje konfiguraci zabezpečení směrovače a pomáhá snižovat riziko chyb v konfiguraci. Interaktivní režim vhodný pro zkušené uživatele umožňuje zadání nastavení zabezpečení, správce tak má vyšší kontrolu nad funkcemi zabezpečení směrovače. Neinteraktivní režim automaticky povolí zabezpečovací funkce směrovače na základě výchozích hodnot nastavených společností Cisco dle doporučení International Computer Security Association (ICSA). Jediným příkazem okamžitě zkonfigurujete přístup směrovačů k zabezpečení a zakážete nedůležité systémové procesy a služby, což odbourává potenciální hrozby pro zabezpečení sítě. Network-Based Application Recognition NBAR je klasifikační engine v rámci softwaru Cisco IOS, který využívá hlubokou a stavovou kontrolu paketů k rozpoznání mnoha aplikací, včetně webových a jiných obtížně klasifikovatelných protokolů. Při použití v kontextu zabezpečení dokáže NBAR detekovat červy podle signatur jejich obsahu. Poté, co NBAR rozpozná a klasifikuje aplikaci, může síť vyvolat služby pro danou aplikaci. Součástí Cisco SDM je snadno použitelný průvodce, který povolí NBAR a graficky zobrazuje aplikační přenosy. Zabezpečená konektivita Směrovače Cisco s integrovanými službami nabízejí zabezpečenou a škálovatelnou síťovou konektivitu, podporující různé typy přenosů. Příklady: VPN tunelování a šifrování, DMVPN, snadná VPN, V3PN, virtuální tunelovací rozhraní (VTI), multivirtuální předávání tras (VRF), multiprokolové přepínání označení (MPLS) a kontexty zabezpečení. VPN tunelování a šifrování VPN jsou rychle se šířící formy síťové konektivity. Všechny směrovače Cisco s integrovanými službami jsou dodávány se zabudovanou hardwarovou akcelerací šifrování VPN, která realizuje šifrování IPsec a procesy VPN na samostatný procesor, takže zvyšování výkonu VPN jen minimálně ovlivňuje hlavní procesor směrovače. Tato podpora zvládá šifrování IPsec, AES, Digital Encryption Standard (DES) a Triple DES (3DES), aniž by zabírala slot AIM. Volitelné AIM pro šifrování VPN se budou hodit společnostem, které potřebují vyšší průchodnost nebo škálovatelnost VPN. Tyto AIM pomáhají zvyšovat výkon VPN a přitom udržují nízké vytížení CPU. Každý AIM nabízí až 10x vyšší šifrovací výkon a škálovatelnost tunelování než starší modely. Směrovače Cisco s integrovanými službami dokáží také pracovat s alternativními technikami tunelování založenými na kombinaci IPsec a obecných protokolů zapouzdření směrování (GRE). Technika tunelování IPsec-šity-GRE je jedinečným řešením společnosti Cisco, které pomáhá odesílat přes VPN protokoly dynamického směrování, což zajišťuje vyšší odolnost sítě oproti řešením založeným jen na IPsec. Kromě zajištění mechanismu přepnutí na jiný kanál v případě poruchy nabízejí tunely GRE možnost šifrování multicast a broadcast paketů a neinternetových protokolů. Cisco IOS Web VPN Secure Sockets Layer (SSL) VPN je lákavá možnost zabezpečení přístupů vzdálených uživatelů, protože je transparentní pro koncové uživatele a snadno se spravuje. Cisco IOS Web VPN, funkce dostupná na směrovačích Cisco s integrovanými službami, společnostem nabízí možnost rozšíření zabezpečených enterprise sítí na libovolné místo, kde je k dispozici Internet, včetně domácích počítačů, internetových kiosků a hotspotů bezdrátové sítě, což zvyšuje produktivitu zaměstnanců a chrání data společnosti a současně nabízí síťový přístup partnerům a konzultantům. Dynamická vícebodová VPN DMVPN podporuje VPN na vyžádání a škálovatelná propojení s cílem snížit latenci, snižovat spotřebu šířky pásma a zjednodušit nasazení. DMVPN využívají zkušenosti společnosti Cisco s IPsec a směrováním a podporují dynamickou konfiguraci tunelů GRE, šifrování IPsec, protokoly Next Hop Resolution Protocol (NHRP), Open Shortest Path First (OSPF) a Enhanced Interior Gateway Routing Protocol (EIGRP). V kombinaci s technologiemi jako je QoS a IP Multicast dochází k optimalizaci funkce aplikací citlivých na latenci, jako je přenos hlasu a videa. DMVPN také zjednodušují správu, protože nevyžadují změnu konfigurace centrálního zařízení při přidávání dalších okrajových zařízení ani při vytváření spojení mezi okrajovými zařízeními. Zabezpečený hlas Autentizace médií a šifrování u směrovačů Cisco s integrovanými službami pomáhají chránit porty multiplexování v časové doméně (TDM) nebo analogového přenosu hlasu před odposlechem. Tyto spolehlivé a škálovatelné funkce nabízejí zabezpečené prostředí pro IP komunikaci po LAN nebo WAN. Secure Real-Time Transport Protocol (SRTP) šifruje hlasovou konverzaci, takže ji vnitřní nebo vnější hackeři, kteří získali přístup k hlasové doméně, nemohou odposlouchávat. SRTP je standardizovaný protokol dle normy IETF RFC 3711, vyvinutý speciálně pro hlasové pakety; podporuje šifrovací algoritmus AES. Šifrování přenášených médií pomocí SRTP šetří šířku pásma ve srovnání s šifrováním IPsec. Snadné VPN Snadné VPN Cisco je řešení založené na IPsec podporující topologie VPN s centrálním uzlem a obvodovým uzlem, velmi jednoduše nastavitelné a dobře škálovatelné. Snadné VPN Cisco zjednodušuje poskytování a správu řešení VPN na více zabezpečených zařízeních Cisco PIX®, klientech Cisco VPN 3000 a směrovačích všech velikostí. Snadné VPN Cisco je ověřeno na tisících uživatelských instalací a využívá technologii "vysílání zásad" ke zjednodušení konfigurace se současným udržením šíře nabízených funkcí a kontroly dodržování pravidel.. VPN podporující hlas a video Všechny směrovače Cisco 800, 1800, 2800 a 3800 Series; Cisco 7200 Series a Cisco 7301 podporují V3PN. Zákazníci tak získávají infrastrukturu, která podporuje konvergovaná data, hlas a video v celé sítí zabezpečené pomocí IPsec a podporující QoS. Zákazníci tak na IP sítí využité jako přenosové médium mohou dosáhnout stejného výkonu, jakého by bylo dosaženo na alternativním WAN spoji - zabezpečeně a efektivně. Na rozdíl od mnoha jiných dnes nabízených zařízení pro VPN tyto směrovače Cisco dokáží podporovat různé topologie sítě a různé požadavky na provoz ve VPN se zabezpečením IPsec a více službami. Ucelená síťová architektura V3PN využívá výhod zabezpečených směrovačů Cisco spolu se zabezpečením hlasových přenosů pomocí softwaru Cisco IOS. Zajištění kvality přenosu hlasu a videa jako na pronajaté lince v sítích VPN se zabezpečením IPsec vyžaduje víc, než jen zašifrování přenosů; je nutno dobře sladit pokročilé technologie sítí VPN s více současně provozovanými službami a zabezpečením IPsec. K hlavním technologiím softwaru Cisco IOS, které přispívají k funkčností sítí Cisco V3PN, patří QoS u více center přenosů, různé typy provozu a topologie sítí s více současně provozovanými službami a vylepšené schopnosti přechodu na jinou síť v případě poruchy. Virtuální tunelovací rozhraní Cisco IPsec VTI je nový nástroj, kterým mohou zákazníci konfigurovat VPN sítě založené na IPsec mezi zařízeními umístěnými v různých lokalitách. IPsec VTI tunely představují vyhrazenou cestu přes sdílenou WAN a zapouzdřují přenosy dat do nových hlaviček paketů, což podporuje doručení na zamýšlené místo určení. Jde o privátní síť, protože přenášená data mohou do tunelu vstoupit jen v koncovém bodě sítě. Kromě toho IPsec nabízí skutečnou důvěrnost (protože šifruje) a dokáže přenášet šifrovaná data. Multi-VRF a zabezpečené kontexty MPLS pro poskytovatele služeb Multi-VRF je rozšíření IPsec VPN mezi lokalitami, které pomáhá zajistit bezpečnost a ochranu soukromí v rámci datového provozu organizace, přenášeného sítí poskytovatele. V tradiční síti LAN je ale obtížnější udržet rozdělení přenosů v rámci jednotlivých segmentů. To je zvlášť důležité při propojování více poboček. Multi-VRF je řešení, které elegantně a cenově dostupně zachovává důvěrnost přenosů v jednotlivých segmentech. Obrana proti hrozbám Služby ochrany proti hrozbám fungují jako prevence síťových útoků a hrozeb i jako reakce na ně. Příklady: Cisco IOS Firewall a Cisco IOS IPS. Cisco IOS Firewall Cisco IOS Firewall je firewall s možností stavové kontroly paketů, který lze aktivovat ve směrovačích Cisco. Cisco IOS Firewall využívá stejné technologie firewallu se stavovou kontrolou paketů, jako zabezpečovací zařízení Cisco a je podporován na všech směrovačích s integrovanými službami vybavených softwarem nabízejícím funkce Advanced Security nebo vyšší. Cisco IOS Firewall je ideální řešení zabezpečení a směrování v jednom zařízení, které chrání vstupní bod WAN sítě do místní sítě. I když je firewall často umístěn do centra sítě a právě tam probíhá kontrola přenášených dat, musíte při nasazování zabezpečení myslet i na vzdálené kanceláře. Další funkce v Cisco IOS Firewall poskytují ještě vyšší úroveň zabezpečení a vynucování pravidel. Aplikační firewall v Cisco IOS Firewall přináší potřebnou inteligenci nejen k blokování jiných typů přenosů než je HTTP, ale také ke kontrole, zda jsou přenosy označené jako HTTP skutečně součástí prohlížení webu a ne data systémů pro okamžité předávání zpráv nebo jiné proudy dat, které se snaží proniknout firewallem. Zásady konfigurace v jednotlivých zónách představují jasné rozhraní pro konfiguraci zásad firewallu, v souladu s tradičními zásadami zabezpečení. Cisco IOS Software podporuje IPv6 firewall a současný provoz IPv4 i IPv6. Cisco IOS Firewall IPv6 nabízí stavovou kontrolu provozu (detekci anomálií) v paketech IPv6 a zmírnění následků DoS útoků na IPv6. Díky těmto funkcím získají správci sítě podrobnější kontrolu nad daty aplikací procházejícími firewallem. Cisco IOS Firewall jednak pomáhá zajistit jednotnou ochranu celého obvodu sítě a za druhé se s ním vynucování zásad zabezpečení stává nedílnou součástí samotné sítě. Flexibilita a cenová efektivita samostatného i integrovaného vynucování zásad zabezpečení umožňuje využívání obvodů extranetových i intranetových sítí a připojení k internetu i v pobočkách nebo vzdálených kancelářích. Cisco IOS Firewall také organizacím umožňuje využívat pokročilé funkce QoS na témže směrovači. Transparentní firewall Kromě stavových firewallů na Layer 3 podporují modely Cisco 800, 1800, 2800 a 3800 Series, Cisco 7200 Series a Cisco 7301 i transparentní firewally, což je možnost současného provozování firewallů Layer 3 pro konektivitu Layer 2 na témže směrovači. Transparentní firewally podporují podrozhraní a VLAN trunky, Spanning Tree Protocol, všechny standardní správní nástroje a průchozí Dynamic Host Configuration Protocol (DHCP) umožňující DHCP přidělování adres i na opačných (obousměrných) rozhraních. Díky tomu, že tato funkce nevyžaduje přečíslování IP podsítí ani IP adres rozhraní, je transparentní firewall jednoduchým rozšířením stávajících sítí. Prevence inline průniku Společnost Cisco vyvinula vůbec první směrovače nabízející prevenci inline průniků. Cisco IOS IPS je inline hloubková kontrola paketů, díky níž Cisco IOS Software pomáhá účinně potlačovat síťové útoky. Cisco IOS IPS zajišťuje prevenci útoků a informaci o nich, využívá technologii detekce a prevence průniků Cisco (IDS/IPS), včetně detekčních zařízení Cisco IPS 4200 Series, modulu služeb Cisco Catalyst® 6500 Series IDS a zařízení se síťovými moduly IDS. Vzhledem k tomu, že Cisco IOS IPS je inline, může zahazovat pakety, odesílat alarmy nebo nulovat připojení, což směrovači pomáhá při okamžité reakci na hrozby v oblasti zabezpečení. Díky spolupráci s IPsec VPN, GRE a Cisco IOS Firewall, dokáže Cisco IOS IPS dešifrovat, zakončovat tunely, realizovat firewall a kontrolovat přenosy v místě prvního kontaktu se sítí (na pobočce nebo v centrální lokalitě) - je to vůbec první přístroj, který zvládne všechny tyto funkce najednou. Cisco IOS IPS pomáhá zastavit útoky co nejblíže u zdroje. V kombinaci se směrovači Cisco s integrovanými službami dokáže Cisco IOS IPS nahrát a pak podporovat vybrané signatury IPS stejným způsobem, jako detekční zařízení Cisco IPS, takže si zákazníci mohou vybrat z více než 1200 signatur podporovaným platformami Cisco IDS/IPS. Společnosti mohou stávající signatury upravovat nebo vytvářet nové podle nově zjištěných hrozeb. V zájmu maximální ochrany můžete vybrat snadno použitelný soubor signatur, v němž jsou uloženy signatury "nejpravděpodobnějších" červů a útoků; pakety přenosů, které obsahují tyto signatury vysoce pravděpodobných červů a útoků, jsou zahazovány. Cisco SDM poskytuje intuitivní uživatelské rozhraní umožňující vytváření těchto signatur, včetně možností nahrávání nových signatur z Cisco.com, aniž by bylo nutno měnit image softwaru. Cisco SDM konfiguruje směrovač tak, aby správně pracoval s těmito signaturami. URL filtrace (možnosti Off-Box a On-Box) Cisco nabízí URL filtraci podporující Cisco IOS Firewall, takže mohou zákazníci na zabezpečených směrovačích Cisco využívat produkty pro URL filtraci Websense nebo N2H2. URL filtrace Websense pomáhá Cisco IOS Firewallu interagovat se softwarem pro URL filtraci Websense nebo N2H2 URL a v souladu se zásadami zabezpečení tak bránit uživatelům v přístupu na vybrané weby. Cisco IOS Firewall spolupracuje s Websense nebo N2H2 při určování, zda konkrétní URL povolit nebo blokovat (zakázat). Moduly pokročilého zabezpečení sítě (pro Cisco 2800 a 3800 Series) Organizace, které hledají vyhrazené, hardwarové řešení IDS/IPS a zabezpečení obsahu, nyní mohou ke směšovačům Cisco 2800 nebo 3800 Series přidat další dva moduly zabezpečení sítě. Cisco IDS Network Module pomáhá realizovat kompletní systém IDS/IPS, který v těsné spolupráci s komponentami IDS/IPS účinně chrání infrastrukturu dat a informací. Cisco IDS Network Module má vyhrazený procesor pro IDS a 20 GB pevný disk pro záznam více než 1000 podporovaných signatur IPS. Cisco Kontent Engine Network Module nabízí systém poskytování obsahu integrovaný ve směrovači kombinovaný s funkcemi zabezpečení obsahu. Navíc k inteligentnímu ukládání obsahu do vyrovnávací paměti a směrování obsahu může fungovat i jako server aplikace pro URL filtrování (Websense, SmartFilter).
Vyhrazené přístroje realizující zabezpečení nebo směrovač s integrovaným zabezpečením? Zákazníci, kteří nasazují firewally, si mohou vybrat vyhrazené přístroje Cisco ASA realizující zabezpečení na nejlepší úrovni ve své třídě, nebo směrovače Cisco s integrovanými službami a funkcemi zabezpečení. Zabezpečení integrované do směrovače využívá technologie zabezpečení vyvinuté pro zabezpečovací zařízení a kombinuje je s našimi více než 20 lety zkušeností se směrováním. Společnost Cisco bude i nadále nabízet integrované zabezpečení ve směrovačích i samostatná zabezpečovací zařízení, aby zákazníkům umožnila volbu mezi více možnosti, jak nejlépe zabezpečit síť. I když se hranice mezi samostatnými zabezpečovacími zařízeními a směrovači s integrovaným zabezpečením stírá, existuje řada důvodů, proč se ten který zákazník rozhodne využít první nebo druhou z těchto možností nebo jejich kombinaci. Integrované zabezpečení: ideální pro malé a střední firmy Jedním z důležitých faktorů, které je nutno uvážit, je umístění sítě, kterou potřebujete zabezpečit. Řada společností se rozhodne integrovat zabezpečení do svých agregačních směrovačů na hranici sítě. Větší společnosti se ale mohou rozhodnout pro zajištění hlavních vstupních uzlů samostatnými zabezpečovacími zařízeními a datových center pomocí modulů zajišťujících služby firewallu, umístěných v přepínačích, pokud na těchto místech nutně potřebují vyšší propustnost. Tytéž společnosti se ale mohou rozhodnout zajistit všechny body sítě na pobočkách pomocí směrovačů s integrovaným zabezpečením. Malé a střední firmy čelí mnoha z hrozeb, kterým čelí i centrály velkých společností, přitom ale obvykle mají jen omezené nebo vůbec žádné IT zdroje k tomu, aby spravovaly řešení zabezpečení. Při omezených IT zdrojích může být nasazování a správa více zařízení přístupem, který nezapadá do modelu podpory využívaného těmito firmami. Integrace více zařízení do jedné centrálně spravované platformy může usnadnit odstraňování problémů a údržbu i v těchto malých kancelářích, se snížením celkových nákladů vlastnictví (TCO). Směrovače Cisco s integrovanými službami jsou ideální pro malé firmy, kterým poskytují funkčně bohaté, integrované řešení připojení vzdálených kanceláří, mobilních uživatelů a partnerských extranetů nebo vybavení konkrétní lokality, o jehož správu se stará poskytovatel služeb (CPE). VPN založená na Cisco IOS Software, firewall a možnosti IPS spolu s volitelnými moduly vylepšené akcelerace VPN, IDS a obsahového enginu v podání společnosti Cisco - to je nejrobustnější a nejpřizpůsobitelnější řešení zabezpečení v oboru, vhodné pro malé a střední firmy. Preference společnosti Na rozhodování, zda nasadit integrované řešení zabezpečení nebo vyhrazená zabezpečovací zařízení, může mít vliv i preference uživatele, snaha využít stávající infrastrukturu, architekturu nasazování a provozování, nebo konkrétní rozdíly ve funkcích. Některé společnosti prostě "dávají přednost tomu, aby směrovače směrovaly a přepínače přepínaly". Z hlediska správy může společnost preferovat oddělení infrastruktury zabezpečení a VPN od síťové infrastruktury, pokud má samostatné týmy pro zabezpečení a pro správu VPN. Posuzování budoucích nákladů Využití stávajících směrovačů nebo přepínačů k realizaci zabezpečení - rozšířením o image Cisco IOS Software a moduly VPN - je nákladově efektivní možností, jak prodloužit životnost již vytvořené infrastruktury. Tím se maximalizuje návratnost původní investice a značně se omezí budoucí náklady a nutnost přerušení provozu při vynucené předčasné výměně zařízení. Náklady související s plánovanými i neplánovanými prostoji mohou být nejdůležitějším faktorem při posuzování budoucích nákladů. Stále vyšší funkčnost integrovaných služeb je možností, jak zvýšit celkovou flexibilitu a dostupnost sítě tím, že síť připraví na budoucí multimediální aplikace. Tyto možnosti také organizacím pomáhají rychleji reagovat, nezmeškat příležitosti, které se nabízejí, zkracovat celkovou dobu zavádění nových služeb, vyhnout se rozšířením používaných zařízení, která nejsou nezbytně nutná, a díky zvýšené rozšiřitelnosti a využitelnosti snížit celkové náklady na vlastnictví (TCO). Rozdíly ve funkcích Vzhledem k tomu, že Cisco integruje technologii využívanou zabezpečovacími zařízeními Cisco ASA i do Cisco IOS Firewall, začínají se funkce obou těchto řešení zabezpečení stále více překrývat. Společnost Cisco přesto i nadále bude vyvíjet samostatná zabezpečovací zařízení, na nichž vždy propracuje a ověří nové technologie, které poté zabuduje do směrovačů s integrovanými službami. Organizace, které požadují nejnovější a nejaktuálnější funkce zabezpečení, je obvykle získají ve formě zabezpečovacích zařízení Cisco ASA, která tyto funkce nabídnou dříve, než se stanou volitelnou výbavou Cisco IOS Firewall. Shrnutí Zabezpečení sítě zůstává prioritou všech správců IT, kteří chtějí chránit své sítě. Neustálý vývoj požadavků na zabezpečení postupně vedl k požadavku na zabezpečení všech vstupních bodů sítě a společnost Cisco proto rozšiřuje portfolio svých služeb zabezpečení tak, aby dokázala neustále zlepšovat schopnost sítě identifikovat hrozby, bránit jim a reagovat na ně. Směrovače Cisco s integrovanými službami obsahují zabudovanou hardwarovou akceleraci a integrují tak Cisco IOS VPN, firewall i služby inline IPS ve všech modelech směrovačů Cisco, což představuje nejucelenější a nejpřizpůsobivější řešení zabezpečení v oboru. Směrovače s integrovanými službami řeší zejména potřeby malých a středních firem, které potřebují zabudované zabezpečení, aby minimalizovaly počet operačních systémů a zařízení, která je při omezených IT zdrojích nutno spravovat. Kombinací robustních funkcí Cisco IOS Software a špičkové konektivity v LAN i WAN s funkcemi zabezpečení světové třídy řešení Cisco s integrovaným zabezpečením společnostem pomáhají maximálně využívat stávající síťovou infrastrukturu a nasazovat zabezpečení tam, kde jej společnosti nejvíce potřebují. Místo přidávání hardwaru umožňuje Cisco IOS Software zákazníkům na směrovačích využívat nové, integrované funkce zabezpečení a nasazovat je kdekoli na síti. Směrovače Cisco s integrovanými službami chrání všechny vstupní body sítě a brání ji před útoky, které se zaměřují přímo na síťovou infrastrukturu. Nasazením směrovačů Cisco s integrovanými službami v rámci Chytrého rozvoje podnikání Cisco si mohou být ti, kdo přijímají technická rozhodnutí, jisti tím, že právě vynakládané investice do technologií dokáží díky škálovatelnosti podpořit i jejich dlouhodobé cíle v oblasti sítí. Více informací Více informací o integrovaných funkcích zabezpečení na modulárních směrovačích Cisco 800, 1800, 2800 a 3800 Series s integrovanými službami najdete v níže uvedených dokumentech: Data Sheet Funkce zabezpečení na směrovačích Cisco s integrovanými službami Otázky a odpovědi Funkce zabezpečení na směrovačích Cisco s integrovanými službami Souhrny výsledků testování v Miercom Lab Směrovače Cisco s integrovanými službami Řízení přístupu k síti http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html Ochrana síťové infrastruktury http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_data_sheet09186a00801f98de.html Cisco Router Security Device Manager Informace o technologiích Pokud se chcete dozvědět více o WebVPN a dalších technologiích zabezpečení, navštivte: 1"Nepřítel před branami: Evoluce zabezpečení sítí," Business Communication Review, prosinec 2004, Jeff Wilson 2"Trh směrovačů se zabezpečením se v roce 2005 více než zdvojnásobil" (internetnews.com, únor 2006), Matthias Machowinski |
Bookmark & Share