802.11i: стандарт 802.11i известен как WPA с использованием шифрования TKIP либо  WPA2 с шифрованием AES и гарантирует, что ваши аутентификационные данные надежно зашифрованы и не могут быть декодированы при прослушивании эфира. По этому стандарту периодически автоматически обновляется ключ – уникальный код, известный только сетевому устройству, и если кто-то все-таки сможет получить ключ, то его ждет разочарование – ключ действителен некоторое время. 802.11i подразумевает работу с целым рядом технологий аутентификации, таких как 802.1x и EAP, действуя как менеджер этого процесса, а используемые технологии обеспечивают безопасную аутентификацию. 802.11i является частью комплекса стандартов безопасности для наиболее распространенных типов беспроводных сетей, объединяемых названием Wi-Fi. Из группы  стандартов 802.11,только 802.11i непосредственно связан с обеспечением безопасности: другие известные 802.11 стандарты – такие, как A, B, G и N относятся к скорости передачи данных, используемому радиодиапазону передачи беспроводного сигнала и т.д.

802.1x: На первый взгляд выглядит как один из нескольких стандартов 802.11, но это не так. 802.1x представляет собой стандарт для проверки подлинности – способ проверки регистрационной информации компьютером – встроенный почти во все Wi-Fi устройства и должен быть использован в каждом беспроводном устройстве и на беспроводном маршрутизаторе или точке доступа.

AES-CCMP: Расширенный Стандарт Шифрования (Advanced Encryption Standard) используется для шифрования аутентификационной информации таким образом, чтобы не было возможности получить ее путем прослушивания эфира. CCMP – один из двух методов, которые могут быть использованы в стандарте 802.11i и сочетает в себе две технологии – counter mode и  CBC-MAC(см.Wiki), подробности которых интересны только узким специалистам – и намного затрудняет взлом. AES-CCMP требует использования специализированного чипа в маршрутизаторе или беспроводном устройстве, поэтому используется для организации надежного шифрованного канала с более высоким уровенем безопасности по сравнению с широко распространенным TKIP шифрованием.

EAP, LEAP и PEAP: Различные производители беспроводного оборудования реализовывали несовместимые технологии авторизации, что делало несовместимыми различные устройства. Расширяемый Протокол Аутентификации (EAP) был создан для согласования различных технологий, чтобы устройства разных производителей могли согласовывать между собой протоколы проверки аутентификационных данных. Light EAP (LEAP) был принят компанией Cisco и стал стандартом де-факто. Protected EAP (PEAP) представляет собой новую версию этой технологии, она более устойчива ко взлому, но не совместима с большинством оборудования и программным обеспечением, выпущенными до 2002 года.

RADIUS: Сервис Удаленной Аутентификации Пользователей при Коммутируемом Подключении (The Remote Authentication Dial-In User Service) – программное обеспечение, позволяющее сети или Интернет-провайдеру проверить вашу аутентификационную информацию при осуществлении входа в сеть. RADIUS использует протокол 802.1x, и если ваши сетевые устройства настроены на аутентификацию с использованием RADIUS-сервера, то эти устройства могут подключаться только к сетям, в которых имеется RADIUS-сервер. Некоторые крупные предприятия используют RADIUS, чтобы добавить еще одно препятствие для потенциальных взломщиков.

TKIP: Протокол Временной Целостности Ключей (The Temporal Key Integrity Protocol) является одним из двух методов шифрования, используемых в стандарте 802.11i. TKIP – это тот метод шифрования, который можно использовать для обеспечения надежного шифрования регистрационной информации. По TKIP периодически меняется ключ шифрования и тем самым усложняется возможность подбора.

VPN: Виртуальная частная сеть представляет собой закрытый канал передачи данных, который в качестве транспорта использует проводную или беспроводную сети, и предназначенный для защиты соединения пользователя к серверу. VPN требует применения соответствующего программного обеспечения на обоих сторонах, которое осуществит шифрование данных и создаст «туннель», или виртуальный канал между пользователем и сервером. Путем разделения каждого соединения в защищенный канал, использование VPN снижает шансы на то, что кто-то может блокировать подключение и получать конфиденциальную информацию или внедрять вирусы или другие вредоносные программы в трафик.

Подробнее о VPN читайте в статьях:

Руководство по VPN

Переход к SSL VPN

WEP: Wired Equivalency Protocol был стандартным способом защиты информации, передаваемой по беспроводной сети до тех пор, пока не был принят стандарт 802.11i. WEP легко поддавался взлому, и, соответственно, стал небезопасным. Сегодня WEP может использоваться только на том оборудовании, которое не может использовать 802.11i/WPA технологии.

WPA: Wi-Fi Protected Alliance –  протокол, предусматривающий, что устройства, работающие по протоколу 802.11i для аутентификации, будут работать с любым устройством, использующим WPA протокол. Протокол WPA поддерживается одинаково всеми устройствами, умеющими с ним работать, независимо от производителя.

Протокол WPA лучше, чем WEP за счет использования протокола TKIP  и надежного механизма аутентификации на основе протоколов 802.1x и EAP (Extensible Authentication Protocol). Существует расширение стандарта 802.11i, которое называется WPA2. WPA2 обратно совместим с WPA.

WPA-PSK: облегченная версия WPA, использующая заранее известный предварительный ключ (Pre-Shared Key). Применяется преимущественно в небольших сетях. Этот метод хоть и использует заранее определенный ключ на начальной стадии работы сети, но алгоритм TKIP периодически меняет его в течении времени.

WPA-Enterprise: Также использует метод TKIP, однако вместе с ним используется сервер аутентификации (например, Radius), которые вместе работают по протоколу Extensible Authentication Protocol.

См. также:

Как обеспечить защиту беспроводной сети

По мотивам

Что такое виртуализация сервера?

Виртуализация является термином, который часто применяется к широкому спектру технологий. По сути, технология виртуализации означает распределенное использование программным обеспечением аппаратного обеспечения. В области виртуализации серверов, это означает, что несколько серверов (Windows, Linux и т.п.) могут быть размещены на одном физическом оборудовании. Таким образом, два Linux-сервера и Windows-сервер, работающие на трех машинах, можно виртуализировать и заставить работать на одном сервере.

Что такое виртуальная машина?

«Виртуальная машина» – этот термин применяется для серверных сред, работающих на одном оборудовании. Так, в приведенном выше примере, разделение Linux и Windows-серверов, работающих на одном физическом сервере, происходит за счет виртуальной машины – специального программного обеспечения, разделяющего ресурсы оборудования.

Как работает виртуализация?

Как правило, сервер виртуализации разделяет физические ресурсы сервера. Физический диск делится на части, которые используют разные виртуальные серверы. Вычислительные ресурсы основного сервера рассматриваются как пул ресурсов, который затем может быть распределен между виртуальными машинами. За исключением совместного использования вычислительных ресурсов, каждый виртуальный сервер выступает в качестве отдельной машины; проблемы, связанные с работой программного обеспечения на одном сервере не влияют на другие виртуальные машины на том же физическом сервере.

Каковы преимущества виртуализации?

Преимущества правильно разработанной и реализованной виртуализации огромны.

• Консолидация серверов: Наиболее часто озвучиваемое преимущество виртуализации. Если приложения, работающие на разных компьютерах не используют все вычислительные ресурсы своих компьютеров, они могут быть объединены на меньшем количестве серверов с помощью технологии виртуализации. Обычно на физических серверах используется только 20 процентов вычислительных мощностей, и, используя виртуализацию серверных сред, можно повысить эффективность использования аппаратных средств до 60 – 80 процентов. Коэффициент консолидации получается 3:1 или 4:1!

• Минимизация занятого пространства: Виртуализация серверов уменьшает число физических серверов, которые компания должна использовать. Это означает, что можно использовать меньший датацентр, и, как следствие, сократить расходы на охлаждение и электроэнергию.

• Уменьшение стоимости оборудования: Поскольку виртуализация позволяет более эффективно использовать имеющиеся ресурсы, требуется меньшее количество физических серверов, что приводит к экономии денежных средств, расходуемых на оборудование и его содержание.

• Гибкость и быстрота: Поскольку виртуализация позволяет быстро создавать различные операционные среды, становится легко запустить новые версии приложения, осуществить перенос приложений в новую среду, а также восстановить систему после краха.

• Простота тестирования и разработки: Виртуализация ускоряет процесс разработки и тестирования, поскольку облегчает разворачивание различных операционных систем. Виртуализация позволяет разработчикам сравнить производительность приложений в различных операционных средах, а также тестировать приложения в виртуальных средах (что позволяет избежать дестабилизации «рабочей» системы, которую могут использовать пользователи во время тестирования).

К каким вопросам нужно отнестись серьезно?

• Расходы на программное обеспечение / Лицензирование: Одна из самых больших проблем, о которой нельзя забывать. Виртуализация позволяет легко создавать новые серверы, а каждая из этих серверных сред требует отдельной лицензии на программное обеспечение. Если вы используете системы с открытым исходным кодом, то это не будет проблемой, но если вы запускаете платные среды, то их развертывание может привести к высоким лицензионным сборам.

• Эффективность планирования: Для того, чтобы реализовать все преимущества виртуализации, важно правильно сопоставить аппаратные возможности сервера с выдвигаемыми требованиями. На практике это сводится к установке наибольшего количества виртуальных серверов на физическом сервере без снижения производительности этих серверов.

• Обучение: Как и любые изменения, внедрение виртуализации в IT-среде потребует подготовки. Необходимо учитывать эти затраты (как временные, так и денежные).

• Управление: Несмотря на то, что применение виртуальных серверов уменьшает количество физического оборудования, виртуальные машины требуют управления. Неправильно будет, сократив количество физических серверов, например, в 2 раза, сократить IT-отдел тоже в 2 раза.

• Высокие ожидания от консолидации: Соотношение консолидации зависит от двух вещей: мощности текущих физических серверов и потребность в ресурсах существующих приложений. Если существующие серверы имеют достаточную мощность, а ваши приложения рационально их используют, то можно ожидать высокий коэффициент консолидации. И наоборот, если ваш сервер не столь мощный, а ваши приложения и так используют значительную часть ресурсов, не следует ожидать высокого коэффициента консолидации.

• Возрастающий объем инвестиций: Это потенциальная проблема. Чтобы реализовать все преимущества виртуализации, виртуальные машины должны быть расположены на сервере с мощными процессорами. Менее мощные аппаратные средства уменьшают преимущества виртуализации. Должен быть компромисс между затратами на приобретение нового оборудования и сокращение средств на содержание менее мощных компьютеров.

• Неготовность некоторых систем: Особенно в таких областях, как безопасность, некоторые системы все еще не адаптировались к особенностям виртуализации. Многие межсетевые экраны, например, по-прежнему считают, что один IP-адрес соответствует одной единице оборудования.

В чем разница между миграцией с физического сервера на физический и физического сервера на виртуальный?

Не такая уж и большая разница. Несмотря на то, что есть различия между операционными системами и т.д., миграция физического сервера в виртуальный влечет за собой те же последствия, как и миграция с одного физического сервера на другой.

Какие операционные системы работают на виртуальных серверах?

Это зависит от индивидуальных решений для виртуализации, но почти все виртуальные системы работают с Windows, Unix и Linux операционными системами.

Какие средства виртуализации наиболее распространены?

Пока что доминирующее положение занимает VMware и контролирует 55 процентов виртуальных серверов. Далее идет IBM (9,8 процент рынка). В спину им дышит Microsoft, и, вполне возможно, что скоро обгонит, благодаря растущей популярности технологии Hyper-V. Среди других участников рынка следует отметить SWsoft и Xen, соответственно с 6 и с 3 процентами рынка. Данные компании IDC.

Сколько виртуальных машин можно запускать на одном сервере?

Количество виртуальных машин, которые можно будет развернуть на сервере, зависит от мощности сервера (объема памяти, скорости процессоров и т.д.) и потребности приложений в ресурсах на виртуальном сервере. Чем выше потенциал оборудования и ниже их потребление, тем большее количество виртуальных машин можно разместить. И наоборот, небольшая производительность и высокое потребление ресурсов означает, что меньшее количество виртуальных машин можно разместить на одном физическом сервере.

По мотивам

Что такое NAC? Сетевые системы контроля доступа представляет собой сочетание аппаратных и программных технологий, которые динамически контролирует доступ к сети. Само по себе это не полное решение, но оно работает во взаимодействии с другими системами безопасности, чтобы обеспечить более совершенный уровень безопасности.

В данной статье даны ответы на часто задаваемые вопросы об этой технологии.

NAC продукты непрерывно сканируют компьютеры и другие устройства, которые могут подключаться к сети, и проверяют их соответствие политике безопасности предприятия, разрешают или запрещают доступ, а также обеспечивают карантин и защиту любого устройства.

Где стоит NAC?

NAC может применяться как на шлюзе в сеть, так и внутри сети или конечном устройстве как клиентское программное обеспечение.

Что такое внутрипотоковый (inline) NAC?

Внутрипотоковые NAC устройства могут быть размещены в различных критических точках сети(например, межсетевой экран) и сочетать в себе все элементы NAC – обнаружение, принятие необходимых мер и устранение уязвимых мест – в «одной коробке.

Что такое внепотоковые NAC?

Внепотоковые NAC решения могут находиться вне сети, работая в связке с такими устройствами, как сетевые коммутаторы и маршрутизаторы, и принимают решения в зависимости от сообщений, отправляемых по сети этими устройствами, когда новое устройство подключается к сети и ему предоставляется или запрещается доступ через коммутатор или маршрутизатор.

Кто продает NAC решения?

Большинство решений, реализующие NAC-технологии, основаны на Cisco’s Network Admission Control, Microsoft’s Network Access Protection (NAP) и Trusted Computing Group’s Trusted Network Connect (TNG). Многие производители систем безопасности сетей разработали NAC-решения, основанные на них.

Как они работают друг с другом?

Cisco и Microsoft заключили партнерское соглашение по разработке интероперабельной архитектуры, что позволит NAC от Cisco работать с Microsoft NAP. Однако не планируются какие-либо еще совместные разработки архитектуры.

Что такое TNG?

The Trusted Computing Group было анонсировано в мае 2007 года для взаимодействия TNC и NAP.

Что такое IETF NAC?

Internet Engineering Task Force занимается стандартизацией протоколов, которые являются общими для решений, предлагаемых Cisco, Microsoft и Trusted Computer Group, которая будет основой для одной NAC спецификации.

Рекомендую почитать по теме:

Руководство по системам обнаружения и предупреждения вторжений

По мотивам

NAS, SAN, RAID … Что значат все эти сокращения?

NAS означает Сетевые хранилища. Этот принцип отличается от традиционного, непосредственно присоединенного хранилища, тем, что в NAS операционная система и другое программное обеспечение NAS продукта предназначены исключительно для хранения данных.

SAN означает Сеть Хранилища. SAN представляет собой сеть, предназначенную для объединения аппаратного и программного обеспечения для серверов хранения данных. Сети SAN существуют в двух формах: как сеть, выделенная для передачи данных между компьютерными системами и системами хранения, или как полная система, которая включает все элементы хранения и конечных компьютерных систем в рамках одной сети.

DAS означает Непосредственно присоединяемое хранилище. DAS обычно используется для различения между системами хранения, непосредственно подключаемыми к серверу или рабочей станции, и NAS или SAN.

RAID означает Избыточный массив независимых дисков. RAID обычно представляет собой систему хранения данных, состоящие из нескольких жестких дисков, предназначенных для зеркалирования данных или распределения обмена данными между собой.

VPN означает Виртуальная частная сеть. VPN, как правило, работает в системе хранения данных, когда идет обмен данными с удаленными системами. VPN позволяет удаленным пользователям получить надежный и защищенный доступ к NAS.

iSCSI означает  Интернет-интерфейс малых компьютерных систем. iSCSI представляет собой протокол, который использует принципы TCP/IP для передачи данных, что означает, что он требует только наличие Ethernet интерфейса для работы. Поскольку Ethernet интерфейс тоже общий, iSCSI протокол способствует экономии средств на создание систем хранения данных.

LUN означает Логический номер юнита. Он обычно соответствует адресу определенного диска в группе, но все чаще используется для обозначения определенной области, созданной на виртуальном разделе.

Каковы преимущества и недостатки систем DAS?

Преимущество DAS систем – легкость в управлении, в целом более низкая стоимость и общая простота. Они часто называются  «островки информации», поскольку каждое DAS устройство изолировано от всех остальных. В среде малого бизнеса такая изоляция может вызвать лишь незначительные проблемы, но в системах большого бизнеса доступность данных по различным группам пользователей становится очень важной.

Каковы преимущества и недостатки систем NAS?

Преимущества систем NAS по сравнению с DAS выражается в двух основных формах: доступность данных и производительность. NAS системы делают данные более доступными, поскольку они хранят данные в своей сети, не будучи зависимыми от внешних серверов. В NAS системах основной сервер может быть выключен, но пользователи будут по-прежнему иметь доступ к данным, хранящимся на NAS. NAS системы также могут предоставлять более высокие уровни производительности, поскольку NAS возлагает на себя все обязанности совместного доступа к файлам. В DAS системах эти обязанности выполняются серверами, которые также отвечают за другие процессы. Важно отметить, что показатели NAS систем в значительной степени зависят от пропускной способности сети (несмотря на то, что NAS серверы специально предназначены для хранения данных, скорость доступа к ним может снизиться из-за недостаточной пропускной способности сети).

Каковы преимущества и недостатки систем SAN?

Как и NAS системы, SAN системы предназначены для более эффективного размещения ресурсов путем выделения в общее пользование свободного пространства сервера. SAN позволяет серверам загрузить ОС непосредственно с себя. Это позволяет новым серверам получить доступа к устройствам по LUN на серверах, и тем самым восстановить функциональность системы без потери данных. Сети SAN могут быть более дорогостоящими, поскольку они требуют создания оптоволоконных каналов для передачи данных между конечными пользователями и SAN.

Как NAS и SAN системы сравнимы друг с другом?

И NAS, и SAN имеют свои преимущества и недостатки по сравнению с DAS. Обе технологии, SAN и NAS, устраняют необходимость физического перемещения оборудования и кабелей для передачи данных. SAN и NAS также увеличивают емкость используемую для хранения данных (часть свободного пространства используется более эффективно) путем объединения ресурсов.

Однако, есть несколько ключевых различий. Поскольку SAN находится непосредственно в локальной сети, операционная система создает соединение типа точка-точка. Это означает, что каждый компонент в SAN присоединен только к одному компьютеру, Это характерное отличие от NAS, который способен давать доступ нескольким пользователям к одному и тому же набор файлов одновременно. Другая ключевая разница состоит в том, что SAN в целом построена на сети, специально развернутой для него; что гораздо дороже, но и в целом означает, что сети SAN предоставляют более быстрый и надежный доступ. Хотя различия NAS и SAN являются взаимоисключающими, есть продукты, которые позволяют двум системам интегрироваться друг с другом.

Источник