Jump to content

Jordan_Tsafaridis

Members
 View Profile  See their activity

  • Posts

    106

  • Joined

  • Last visited

 Content Type 

Blog Entries posted by Jordan_Tsafaridis

  1. Jordan_Tsafaridis
    Εχθές, η Microsoft ανακοίνωσε ότι θα τερματίσει την ανάπτυξη του Forefront TMG 2010. Βεβαίως η Microsoft θα συνεχίσει να παρέχει mainstream support για τον TMG μέχρι και την 14η Απριλίου του 2015, καθώς επλισης extended support μέχρι και την 14η Απριλίου 2020. Η υπηρεσία των The Forefront TMG 2010 Web Protection Services (WPS) θα τερματιστεί την 31η Δεκεμβρίου 2015. Ξεκινώντας την 1η Ιανουαρίου 2016 τα Web Protection Services (URL filtering, virus/malicious software scanning, and Network Inspection System) θα συνεχίσουν να λειτουργούν αλλά δεν θα παρέχουν πλέον updates.
     
    To end of life του Forefront TMG 2010 αποτελεί μέρος μιας σειράς σαρωτικών αλλαγών (part of sweeping changes) οι οποίες αφορούν όλη την σειρά των προϊόντων Forefront. Πέραν δε του τερματισμού της ανάπτυξης του Forefront TMG 2010, η Microsoft ανακοίνωσε επίσης ότι τερματίζεται η ανάπτυξη των Forefront Protection for Exchange (FPE), Forefront Protection for SharePoint (FPSP), Forefront Security for OCS (FSOCS), και Forefront Protection Server Management Console (FPSMC) αντίστοιχα.
     
    Κοιτώντας όμως μπροστά ο Forefront Unified Access Gateway (UAG) 2010 και ο Forefront Identify Manager (FIM) 2010 R2 τα δύο αυτά προϊόντα θα συνεχίσουν να αναπτύσσονται κανονικά, αν και οι πληροφορίες αναφέρουν ότι θα αλλάξει το Forefront brand name με κάτι άλλο.
  2. Jordan_Tsafaridis
    Τι είναι το cloud computing? Εάν ρωτήσετε έναν καταναλωτή, έναν
    CIO, ή έναν
    πωλητή είναι σίγουρο ότι θα λάβετε απαντήσεις οι οποίες διαφέρουν ριζικά μεταξύ
    τους.


    Ένας καταναλωτής
    (consumer) τυπικά
    σκεπτόμενος θα απαντήσει ότι το cloud αποτελεί μια φιλοξενούμενη υπηρεσία (hosted service), όπως για παράδειγμα το Microsoft Office 365, και το Apple iCloud, ή η μεταφόρτωση (uploading) εικόνων στο Photobucket, καθώς επίσης και άλλες υπηρεσίες
    τέτοιου είδους (Θα πρέπει βέβαια να λάβετε υπόψην σας ότι τέτοιες υπηρεσίες
    υπήρχαν εδώ και αρκετό καιρό διαθέσιμες πριν γίνει της μόδας η επικόλληση της
    ετικέττας “cloud” σε αυτές
    τις υπηρεσίες).


    Ορισμένα ενημερωτικά άρθρα για επιχειρήσεις
    περιγράφουν το cloud computing ως μια μεταστροφή εξόδων κεφαλαίου (Capital
    Expense) σε λειτουργικά
    έξοδα (Operating Expense),
    ενώ άλλοι μιλούν για τη μετάβαση από ένα προϊόν σε μια υπηρεσία. Αλλά για
    έναν διευθυντή CIO ή IT, τι
    ακριβώς σημαίνουν όλα αυτά και
    πώς μπορεί κανείς να φτάσει εκεί;








    Πού είναι αυτό το παροιμιώδες «σύννεφο» (“Cloud”)
    και πώς μπορώ να
    φτάσω εκεί;


    Μερικοί CIO τείνουν
    να αντιλαμβάνονται το σύννεφο
    σαν την εξωτερική ανάθεση μεγάλων
    τμημάτων των υποδομών πληροφορικής ενός
    οργανισμού σαν  υπηρεσία/εξωτερικό εργαλείο (μετά
    από όλα αυτά τελικά τι σημαίνει ο όρος CIO? Μήπως την παρακάτω
    σατυρική ερμηνεία? Δηλαδή  “Can I Outsource?”, Συμφωνείτε?). Αλλά
    το ερώτημα είναι εάν ένας οργανισμός θα πρέπει να επαφύεται/αναθέτει στην ικανότητα ενός τρίτου και
    των υποδομών του για να εφαρμόσει και να παρέχει
    υπηρεσίες/έννοιες του cloud computing,
    ή τελικώς αυτό μπορεί να επιδιωχθεί
    στο πλαίσιο των υφιστάμενων υποδομών?
    Από την άλλη πλευρά, εάν ένας οργανισμός
    έχει ήδη εφαρμώσει το virtualization
    (σε κάποιο βαθμό), μερικοί αναρωτιούνται
    γιατί θα πρέπει να
    εξετάσουμε το cloud computing?


    Πολλοί από τους ορισμούς του
    cloud computing που έχω ακούσει έχουν
    ένα και μόνον στοιχείο της αλήθειας
    σε αυτούς, με αποτέλεσμα η αποδιδόμενη ορολογία να είναι
    ελλειπής και συχνά αφήνουν τους ανθρώπους που θέλουν να μάθουν
    περισσότερα να έχουν αποτύχει να
    συλλάβουν ποια είναι πραγματικά η ουσία
    του cloud computing. Στο κομβικό αυτό σημείο η
    προσπάθειά μου είναι να απλοποιήσω τον ορισμό του τι είναι το cloud
    computing έτσι ώστε να καταστεί ευκολονόητος, ορίζοντας τους τρεις του βασικούς πυλώνες;


    Το Cloud Computing είναι.....


    Συνεπώς ποια
    είναι τα τρία κύρια συστατικα/χαρακτηριστικά του cloud computing?  Abstraction (Αφαίρεση), Automation
    (Αυτοματισμός)
    και Agility (Ευκινησία).








    Ας ρίξουμε μια πιο προσεκτική ματιά σε κάθε ένα από αυτά τα τρία συστατικά του cloud computing. Μετά από μια ενδελεχή συζήτηση αυτών των τριών
    (3) στοιχείων είμαι σίγουρος ότι θα
    μας δώσει τις απαντήσεις τις οποίες ζητούμε σε ορισμένες από
    τις αρχικές ερωτήσεις σχετικά με τα
    διάφορα μοντέλα στα οποία θα
    βρείτε το cloud computing να χρησιμοποιείται.


    Abstraction (Αφαίρεση)


    Με τον όρο Αφαίρεση ουσιαστικά
    αναφαιρόμαστε στην απελευθέρωση του φόρτου
    εργασίας και των εφαρμογών (liberating workloads and applications ) από τα
    φυσικά όρια του υλικού του διακομιστή (server hardware). Στο παρελθόν είχαμε server που φιλοξενούσε
    μια και  μόνο μία
    εφαρμογή (εξ ου και η εστίασή μας
    μερικές φορές σε διακομιστές και όχι εφαρμογές). Το Virtualization
    παρέχει αυτήν την αφαίρεση διαχωρίζοντας
    τον φόρτο εργασίας (workload) από το υλικό του
    διακομιστή (server hardware), εξαλείφοντας τα όρια του υλικού (eliminating hardware boundaries), και τις εξαρτήσεις παρέχοντας την κινητικότητα του φόρτου εργασίας (workload mobility). Αυτή η κινητικότητα μπορεί να επεκταθεί μετακινώντας φόρτο
    εργασίας από τα εσωτερικά κέντρα
    διαχείρσης δεδομένων (Internal Data Centers) σε παρόχους υπηρεσιών (Service
    Providers) και αντίστροφα. Σήμερα, η εικονική μηχανή καθορίζει το όριο, αλλά
    στο μέλλον, όσο το λειτουργικό σύστημα
    γίνεται λιγότερο σημαντικό, θα μπορούσαμε να δούμε "virtual
    containers"  τα οποία καθορίζουν τον
    φόρτο εργασίας μας σε PaaS (Platform as a Service) υποδομές.








    Το αρχικό
    κίνητρο για virtualization ήταν οι μικρότερες επενδύσεις σε κεφάλαιο CAPEX (capital expense) γεγονός το οποίο εστιάζεται σε
    λιγότερους διακομιστές, πόρτες (ports), λιγότερος χώρος (Space), καθώς επίσης η λιγότερη κατανάλωση
    ηλεκτρικής ενέργειας κτλ. Όπως πολλοί αντιλήφθηκαν από την συνεχή εξέλιξη και
    βελτίωση του virtualization, η διαχείριση των εικονικών μηχανών ήταν σημαντικά
    ευκολότερη, καθώς επίσης διαπίστωσαν ότι υπήρχε ένας νέος τρόπος για να γίνουν
    πολλές εργασίες, οι οποίες θα μπορούσαν να μειώσουν δραστικά τα λειτουργικά
    έξοδα OPEX (operating expenses). Για να φτάσουμε ως εδώ, θα πρέπει
    να εργαστούμε προς την κατεύθυνση του virtualization 100%  διότι πολύ απλά οι τεχνικοί φραγμοί έχουν συνθλιβεί,
    χάρις στην σημερινή τεχνολογία (περισσότερα για αυτό αργότερα).


    Με απλά λόγια, η αφαίρεση επιτρέπει την αύξηση της χρησιμοποίησης
    των πόρων και μπορεί να χρησιμοποιηθεί
    με έννοιες όπως η
    πολυ-μίσθωσης (multi-tenancy) οι
    οποίες παρέχουν
    μεγαλύτερες οικονομίες κλίμακας από ό,
    τι ήταν μέχρι πρότινος εφικτό.


    Υπάρχει επίσης ένα άλλο είδος αφαίρεσης που λαμβάνει χώρα προκαλώντας ένα κύμα διακοπής (wave of disruption) - η
    αφαίρεση της εφαρμογής (abstraction of the application) μακριά από
    τον παραδοσιακό υπολογιστή. Ο συνδυασμός του SaaS, του application virtualization, του VDI και της διάδοσης των
    κινητών συσκευών (tablets
    και
    smartphones)
    οδηγούν όλα σε αυτή
    την τάση. Οι εφαρμογές (applications) δεν χρειάζεται πλέον να ενταχθούν σε φυσικούς
    υπολογιστές καθώς οι χρήστες θέλουν να έχουν πρόσβαση στις εφαρμογές τους και
    τα δεδομένα τους από οποιαδήποτε συσκευή και σε οποιοδήποτε μέρος.


    Και οι δύο από
    αυτούς τους τύπους της αφαίρεσης οδηγούν στην άρση των παραδοσιακών ορίων και κατά
    συνέπεια οδηγούν επίσης στην αλλαγή των τρόπων με τους οποίους θα διαχειριστούμε
    την υποδομή μας (infrastructure) και τις τρέχουσες εφαρμογές (present applications).


    Εμβαθύνοντας στο server virtualization, βλέπουμε
    ότι το virtualization stack
    παρέχει επίσης
    ένα ενιαίο στρώμα διαχείρισης (unifying management layer), το οποίο μπορεί να χρησιμεύσει ως βάση για πολύ περισσότερα ...


    Automation (Αυτοματισμός)


    Στην περίπτωση της αφαίρεσης (abstraction)
    αυτή παρέχει τα θεμέλια για το νέο πρότυπο, ο αυτοματισμός
    βασίζεται και χτίζεται επάνω σε αυτά τα θεμέλια για να
    παράσχει θεαματικές νέες δυνατότητες σε έναν οργανισμό για να
    μειώσει το κόστος λειτουργικών
    εξόδων (OPEX costs) και
    τέλος να προωθήσει την ευελιξία (agility).


    Ας ξεκινήσουμε με τα βασικά. Χάρη στην ενθυλάκωση (encapsulation) η οποία παρέχεται από το virtualization, νέες δυνατότητες έχουν προκύψει με την αναπαραγωγή (replication), την αποκατάσταση καταστροφών (disaster recovery), ακόμη και στην διαδικασία δημιουργίας αντιγράφων
    ασφαλείας και ανάκτησης την ίδια
    (backup and recovery process). Υπάρχει η δυνατότητα
    agent-less παρακολούθησης πολλών μετρήσεων
    απόδοσης του πυρήνα (core performance metrics), scripting διαμέσου των VMs και των hosts, virtual network switches και ffont face=irewahpslls, και
    φυσικά, σχεδόν άμεσο provisioning από πρότυπα
    (templates). Τέτοια
    επίπεδα αυτοματισμού δεν θα ήταν
    εύκολα προσβάσιμα, πριν την
    εισαγωγή του στρώματος αφαίρεσης του
    virtualization (introduction of abstraction layer of virtualization).








    Πόσο αφράτο
    θέλουν
    το δικό τους σύννεφο;?


    Τώρα έχουμε προϊόντα όπως το Microsoft System Center 2012 και το VMware vCloud Director τα οποία
    μπορούν  να λάβουν
    όλα τα στοιχεία μιας n-tier εφαρμογής, και
    να εξασφαλίζουν την γρήγορη παροχή τους - συμπεριλαμβανομένων
    των κανόνων του τείχους προστασίας, ακόμη και της
    πολυ-μίσθωσης (Microsoft’s
    System Center 2012 and
    VMware’s vCloud Director can take all of the elements of an n-tier application, and quickly provision them — including firewall rules and even with multi-tenancy). Φανταστείτε
    την ανάπτυξη μιας ολόκληρης n-tier εφαρμογής συμπεριλαμβανομένων
    πολλαπλών εικονικών μηχανών, σε συνδυασμό με την  ολοκλήρωση
    ρύθμισης του δικτύου και των firewalls
    με μερικά μόνο κλικ. Τώρα προσθέστε στα προηγούμενα την έννοια
    ενός καταλόγου self-service, όπου επιχειρηματικές μονάδες μπορούν να αιτούνται πόρους για την εφαρμογή
    πάνω από μια ηλεκτρονική φόρμα (web form), και
    μετά από την έγκριση της αίτησης να τροφοδοτείται αυτόματα σύμφωνα
    με τις προδιαγραφές που
    προβλέπονται, ενώ ταυτόχρονα να βρίσκεται σε
    συμφωνία με τα υπάρχοντα πρότυπα πληροφορικής και με τους ελέγχους συμμόρφωσης (conforming to existing IT standards and compliance audits) .


    Τα παραπάνω αποτελούν μερικές μόνον από τις πολλές
    οπτικές γωνίες
    του αυτοματισμού (automation). Ένας
    άλλος λόγος είναι ενορχήστρωση των
    συγκλινουσών υποδομών (orchestration of converged infrastructure) - (των
    οποίων to Vblock είναι
    ένα παράδειγμα). Αντί να προσπαθεί να κανείς να διαχειριστεί τα βασικά στοιχεία της
    υποδομής του υπολογιστή (core infrastructure elements of compute), και την αποθήκευση με την δικτύωση ως
    ένα ανεξάρτητο σιλό (storage and networking as independent silos) όπως
    πολλοί κάνουν σήμερα, αντ’αυτού μπορούμε
    να αναπτύξουμε  μια συγκλίνουσα υποδομή με εργαλεία
    ενορχήστρωσης (deploy converged infrastructure with orchestration tools) στοιχεία τα οποία μπορούν να ενωθούν και να διαχυθούν σε όλα τα σιλό
    (can unify and transcend across the silos), επιτρέποντας
    στην υποδομή να είναι διαχειριζόμενη
    και να τροφοδοτήται σαν μια συγκροτημένη μονάδα (singularity). Είναι
    δυνατόν δε, πολλά από αυτά τα εργαλεία ενορχήστρωσης (orchestration tools) μπορούν
    να συνδεθούν απευθείας στο
    virtualization
    stuck
     (π.χ. System
    Center 2012, vCloud Director) για ακόμα
    μεγαλύτερη ολοκλήρωση (integration);arialnt>.


    Δεν μπορεί βεβαίως κανείς να παραβλέψει ότι υπάρχουν εμπόδια
    σε αυτή την δομή αυτοματισμού τα
    οποία μπορεί να περιλαμβάνουν το «σύνδρομο
    PSP" (συντόμευση του Physical Server Processes), την “βαριά”
    και περιχαρακωμένη οργανωτική δομή (heavily siloed organizational structure), καθώς ακόμη και την ένταξη πολλαπλών hypervisors.




    Υπάρχουν δε πολλές περισσότερες γωνίες του αυτοματισμού
    τις οποίες δεν έχουμε αγγίξει σε ακόμα, αλλά το
    κλειδί είναι ότι η αφαίρεση (abstraction) επιτρέπει
    νέες ευκαιρίες για την αυτοματοποίηση
    - και ότι η
    αυτοματοποίηση μπορεί στη συνέχεια
    να χρησιμοποιηθεί ως άξονας για την συνέχεια.


    Agility (Ευκινησία)


    Γιατί η Microsoft και η VMware λένε ότι θέλουν υποδομή
    να είναι διαφανής? Ας απαντήσουμε στο ερώτημα αυτό με ένα άλλο
    ερώτημα: Οι επιχειρήσεις ενδιαφέρονται
    για την αποθήκευση, το δίκτυο ή τις τεχνολογίες των διακομιστών? Στο τέλος
    της ημέρας η επιχείρηση ενδιαφέρεται κυρίως για
    δύο κύρια παραδοτέα από το ΙΤ - την υγεία
    των εφαρμογών της
    (όπως μετράται από το χρόνο λειτουργίας και άλλες μετρήσεις απόδοσης) και ο χρόνος που χρειάζεται για την ανάπτυξη /πρόβλεψή
    τους (deploy/provision).


    Η επιτυχία είναι η ταχεία και επιτυχής εκτέλεση της
    επιχειρησιακής στρατηγικής και ο χρόνος
    είναι ένα τεράστιο συστατικό της δράσης
    αυτής. Υπάρχει ανταγωνισμός,
    ευκαιρίες στην αγορά, τα διπλώματα ευρεσιτεχνίας και νομικά ζητήματα, το πλεονέκτημα του πρωτοπόρου και τόσοι πολλοί άλλοι λόγοι για τους οποίους
    ο χρόνος είναι χρήμα.








    Ευκινησία στο
    σύννεφο


    Η εξοικονόμηση κεφαλαίων λόγω CAPEX
    και OPEX
    μπορεί
    να έχει
    θετικό αντίκτυπο στους προϋπολογισμούς,
    αλλά όταν φτάσετε σε μια θέση όπου
    θα πρέπει να υλοποιήσετε μεγάλα έργα μέσα
    σε εβδομάδες και όχι σε μήνες, αυτό
    το παράδειγμα αποτελεί από μόνο του μια ριζική αλλαγή, στοιχείο το οποίο
    μπορεί συχνά να είναι πιο χρήσιμο για
    έναν οργανισμό σε σχέση με τις CAPEX και OPEX μειώσεις.


    Φανταστείτε ότι η
    επιχείρηση σας θέλει να χτίσει μια
    υποδομή η οποία θα περιλαμβάνει 200 διακομιστές για μια n-tier
    εφαρμογή (200 server n-tier application) με σκοπό να να προωθήσει μια νέα πρωτοβουλία (new initiative ) και ότι η όλα αυτή υποδομή θα πρέπει να είναι
    σύμφωνη με το κανονιστικό πλαίσιο PCI (PCI compliant). Πρώτα
    απ’όλα θα πρέπει να είναι διαθέσιμη η όλη υποδομή
    (υπολογιστική ισχύς, αποθήκευση, δικτύωση/ compute, storage, networking) για
    την ταχεία παροχή πόρων και
    εν συνεχεία θα πρέπει να υπάρξει συνεργασία με τις ομάδες οι οποίες είναι
    υπεύθυνες για την εφαρμογή (application), τη δικτύωση (networking) και την
    ασφάλεια (security) για να καταστεί
    δυνατή η ενεργοποίηση των απαραίτητων VLANs και των αντιστοίχων κανόνων στα firewall. Εάν
    δε έχετε εργαστεί ποτέ σε ένα κατάστημα πληροφορικής
    (IT Shop) το οποίο είναι
    δομημένο σε μεγάλο βαθμό (silοed) και
    χρησιμοποιεί διεργασίες σε φυσικούς διακομιστές (physical server processes), η
    τεχνολογία η οποία θα εφαρμοστεί μπορεί να είναι ξεπερασμένη από τη
    στιγμή που θα έχει ολοκληρωθεί η ανάπτυξη της συγκεκριμένης λύσης. Το εμπρός και
    πίσω μεταξύ των υπηρεσιών και των
    διαδικασιών μεταξύ των τμημάτων μόνο και μόνο για να
    διευκρινηστούν τα VLANs ή οι κανόνες του firewall έτσι ώστε να
    ρυθμιστούν σωστά για την εφαρμογή ή το να εφαρμόσετε οποιεσδήποτε τελικές
    ρυθμίσεις (fine tuning), αποτελεί ανασταλτικό παράγοντα ο οποίος
    μπορεί να επιβραδύνει ένα τέτοιο έργο
    δραματικά.


    Ωστόσο, εάν μπορείτε επιτυχώς να εφαρμόσετε την αφαίρεση (abstraction) και τον αυτοματισμό
    (automation) στο
    τμήμα πληροφορικής του οργανισμού σας (IT Department), τότε καθίσταται δυνατόν να
    φτάσετε στο σημείο εκείνο όπου μπορείτε να μειώσετε το χρόνο για για την
    υλοποίηση των παρεχόμανων λύσεων στον οργανισμό σας κατά
    αρκετούς μήνες σε πολλές περιπτώσεις. Στην ουσία αυτό είναι που γίνεται σήμερα, και
    δικαίως του λόγου αποτελεί έναν από τους
    μεγαλύτερους λόγους για τους οποίους υπάρχει τόσος μεγάλος ενθουσιασμός όχι μόνο στους κύκλους της πληροφορικής (IT Circles), αλλά και την ηγεσία των επιχειρήσεων, σχετικά με το cloud computing.


    Η αξία του cloud computing είναι τόσο βαθιά που από μόνη της υποδεικνύει ότι
    όλοι πρέπει να το κάνουμε με αυτόν τον τρόπο και θα
    πρέπει να αναφερόμαστε σε αυτό απλά καλώντας ως “Computing". Βεβαίως δεν έχουμε φτάσει ακόμη σε
    τέτοιο βαθμό ολοκλήρωσης γι’αυτό και είναι δόκιμος ο όρος
    "cloud computing".


    Το συμπέρασμα των παραπάνω είναι ότι εάν μπορείτε να εκτελέσετε
    έργα με επιτυχία στην βάση της αφαίρεσης
    και του αυτοματισμού, τότε μπορείτε να ξεκινήσετε
    την ευθυγραμμίση των υπηρεσιών
    πληροφορικής σας σύμφωνα με τις
    ανάγκες της επιχείρησης και της
    εργασίας (align your IT services to the needs of the business and work with the business) με σχέση
    τύπου partner-minded, παρέχοντας
    την ευελιξία για την ταχύτατη εκτέλεση του
    επιχειρηματικού σχεδίου (Business Plan).


    Τι σχήμα/μορφή έχει το δικό σας CLOUD?


    Τα Cloud μπορούν να έχουν πολλαπλές μορφές και μεγέθη. Κάποια
    από αυτά είναι εσωτερικά και κάποια άλλα είναι outsourced. Αμέσως μετά έρχονται τα private/public/hybrid cloud και φυσικά δεν θα πρέπει να
    ξεχάσουμε και τα PaaS, IaaS και SaaS. Το ερώτημα το οποίο αυτόματα
    τίθεται είναι το παρακάτω : Ποια από τις παραπάνω μορφές/σχήματα θα έχει το
    δικό σας Cloud? Ίσως στην
    συγκεκριμένη περίπτωση θα πρέπει να βοηθήσουν οι οργανισμοί προτύπων και
    κανονιστικών πλαισίων έτσι να δημιουργήσουν ένα σύνολο από ITIL standards τα οποία περιγράφουν όλα εκείνα τα
    προαπαιτούμενα για την υλοποίηση ενός ISO 9000 compliant cloud design.








    Tο ταξίδι στο CLOUD


    Το ταξίδι στο
    cloud μοιάζει σαν τον μαραθώνιο και ξεκινά
    πάντοτε με το virtualization.  Με την έλευση των Microsoft Windows 8 και του HyperV 3 και του VMware  vSphere 5, δίνεται το έναυσμα για ένα
    συναρπαστικό ταξίδι στο Cloud.


    Για τούτο τον λόγο προτείνω να πάμε πίσω από τους όρους private/public
    PaaS/IaaS και να εστιάσουμε ξανά στα θεμελειώδη στοιχεία τα οποία είναι η αφαίρεση, ο αυτοματισμός και η ευελιξία (focusing
    on the core elements of abstraction, automation, and agility).  Συνοψίζοντας τα κύρια σημεία είναι
    τα παρακάτω:



    Τα Clouds μπορούν να έχουν πολλές μορφές και
    σχήματα, αλλά όλα εδράζονται στην αφαίρεση και τον αυτοματισμό έτσι ώστε
    να ενεργοποιήσουν την δυναμική της ευελιξίας(rely on abstraction and automation to enable the potential for agility).



    Δεν είναι απαραίτητο να κάνετε outsource τα πάντα στο “cloud”.  Μπορείτε να ξεκινήσετε το ταξίδι
    σας στο δικό σας datacenter(s) πρωτίστως επιδιώκοντας την
    αφαίρεση και τον αυτοματισμό (by first pursuing abstraction and then automation).



    Το Cloud δεν είναι ή καλύτερα δεν
    αναφέρεται μόνον στην τεχνολογία (Cloud isn’t just about technology).  Σχετίζεται επίσης με την οργανωτική
    δομή και τις διαδικασίες σε μια επιχείρηση (It’s also about organizational structure and processes).  Θα πρέπει να θέσετε σε νέες βάσεις
    τις  διαδικασίες οι οποίες σχετίζονται
    με τους φυσικούς διακομιστές, να ανανεώσετε τις ικανότητές σας και να “γκρεμίσετε”
    την υπάρχουσα οργανωτική δομή - (Re-engineer your physical server minded processes, refresh your skill sets, and knock down your organizational silos).



    Το Virtualization από μόνο του δεν είναι αρκετό.  Το Cloud computing απαιτεί την αποτελεσματική χρήση του αυτοματισμού σε πολλαπλά επίπεδα για να είναι αποτελεσματικό (requires the effective use of automation -at
    many different levels- to reduce provisioning and service delivery times).


    Υλοποιώντας ένα Triple-A Cloud


    Ολοκληρώνοντας
    θα ήθελα με το συγκεκριμένο άρθρο να θέσω τις θεμελειώδεις βάσεις για μια παραγωγική
    συζήτηση σχετικά με την υλοποίηση ενός Triple-A Cloud. Ελπίζω ότι μετά την ανάγνωσή του ότι κατάφερα να σας προβληματίσω.
  3. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας
    ένα πολύ σημαντικό hotfix rollup για τον Forefront TMG 2010 SP2 είναι πλεόν διαθέσιμο. Το συγκεκριμένο
    hotfix rollup επιλύει μια σειρά σημαντικών προβλημάτων
    τα οποία έχουν επισημανθεί στον TMG 2010 SP2, στα οποία περιλαμβάνονται τα παρακάτω:
     

    KB2654016 – A client may be unsuccessful in accessing a Java
    SSO application published to the web by Forefront TMG 2010
     

    KB2653703 – “Error: Subreport could not be shown” error message
    in the User Activity or Site Activity report in Forefront TMG 2010
     

    KB2654585 – UDP packets may become backlogged when you increase
    the “maximum concurrent UDP sessions per IP address” setting in Forefront TMG
    2010
     

    KB2624178 – Forefront TMG 2010 administrators may be unable to
    generate reports
     

    KB2636183 – Both sides of a TCP connection are closed when the
    client or remote application half-closes the TCP connection in Forefront TMG
    2010
     

    KB2653669 – Summary information for the Top Overridden URLs
    table and for the Top Rule Override Users table display incorrect information
    in Forefront TMG 2010
     

    KB2617060 – Forefront TMG 2010 enables L2TP site-to-site
    connections in RRAS
     

    KB2655951 – Japanese characters in the subject line of an Alert
    email message are not readable in the Japanese version of Forefront TMG 2010
     

    KB2654068 – “The Web Listener is not configured to use SSL”
    warning message may occur when you configure a Web Listener to use a valid SSL
    certificate in Forefront TMG 2010
     

    KB2654193 – You receive a “Bad Request” error message when you
    try to access Outlook Web App published by Forefront TMG 2010
     

    KB2654074 – String comparison may become case-sensitive when
    you published a website using Forefront TMG 2010
     

    KB2658903 – Forefront TMG 2010 firewall service (wspsrv.exe)
    may crash frequently for a published website secured by SSL after you install
    Service Pack 2.
     

    Το Hotfix rollup 1 για τον Forefront TMG 2010 SP2 μπορείτε να το κατεβάσετε από αυτόν
    τον σύνδεσμο. Μετά την εφαρμογή
    του συγκεκριμένου update,
    το καινούριο Forefront TMG
    2010 build
    number θα είναι το 7.0.9193.515.
  4. Jordan_Tsafaridis
    LoadingΕάν
    ξέραμε τι θα ερχόταν, όλοι θα είμασταν προφήτες. Η M86
    Security στην παρακάτω παρουσίαση παρουσιάζει τις προβλέψεις της για
    τις πιθανές απειλές οι οποίες πρόκειται κατά το 2010 να προκαλέσουν
    προβλήματα σε Η/Υ και δίκτυα, και προσφέρει
    κάποιες συμβουλές για την καταπολέμησή τους.

    Αυτό
    που καταγράφεται στην παρουσίαση
    περιλαμβάνει:
     
        *
    Τι μάθαμε για το 2009
        * Αναγνωρίζοντας τα ψεύτικα
    μηνυμάτα από τα πραγματικά και η αντιμετώπιση αυτών
        *
    Γιατί η βελτιστοποίηση μηχανών
    αναζήτησης μπορεί να είναι πολύ αποτελεσματική
        * Το
    BOT πρόβλημα και γιατί είναι εδώ για να
    μείνει
        *
    Γιατί το «νόμιμο», δεν σημαίνει και «ασφαλές»
     
    Στο παρακάτω link μπορείται
    να καταβάσετε την συγκεκριμένη παρουσίαση της M86 Security :
     
    http://www.m86security.com/predictions_2010/
     
    Ελπίζω ότι θα την βρείτε χρήσιμη.
     
  5. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας σε αυτό το άρθρο θα παρουσιάσουμε εκείνα τα τεχνικά χαρακτηριστικά του Forefront TMG 2010, τα οποία μας επιτρέπουν να καθορίζουμε και να βελτιώνουμε το endpoint protection strategy ενός οργανισμού και να εκτελούμε διεργασίες όπως URL filtering, malware inspection,
    intrusion detection/prevention, και HTTPS inspection.
    Εισαγωγή
    Ο Forefront Threat Management Gateway (TMG) 2010 αποτελεί έναν integrated edge security gateway ο οποίος λειτουργεί ως ένα enterprise-class firewall, caching proxy (forward and reverse), και VPN
    (remote access and site-to-site) server. Μπορεί να εγκατασταθεί με όλα αυτά τα χαρακτηριστικά ή με κάποιο υποσύνολο αυτών. Όταν εγκατασταθεί ως forward proxy
    server, ο TMG firewall μπορεί να συμβάλλει στην θεαματική βελτίωση της ασφάλειας ενός οργανισμού - (overall security posture) - εκτελώντας εργασίες όπως advanced network και application
    layer traffic inspection, καθώς επίσης θέτει σε εφαρμογή διαδικασίες όπως το enforcing strong user και group-based
    authentication. Στο συγκεκριμένο άρθρο θα ασχοληθούμε με τα URL filtering,
    malware inspection, intrusion detection/prevention, και HTTPS inspection
    και πως αυτά τα χαρακτηριστικά μπορούν να βελτιώσουν και να συμπληρώσουν αντίστοιχα μια υπάρχουσα endpoint protection strategy.

    URL Filtering
    Με τις ενσωματωμένες δυνατότητες URL filtering, οι TMG
    firewall administrators έχουν τώρα την δυνατότητα να εφαρμόζουν reputation-based
    access controls στο web-based traffic. Το URL filtering αποτελεί την πρώτη γραμμή άμυνας σε ένα μοντέρνο και ασφαλές web gateway, και συνεπώς έχοντας πρόσβαση σε υπηρεσίες reputation
    για τα επισκεπτόμενα web sites ο administrator μπορεί πλέον να προλάβει και να μην επιτρέψει στους χρήστες να έχουν πρόσβαση σε ιστοσελίδες/ιστότοπους οι οποίοι έχουν διαπιστωμένα κακόβουλο περιεχόμενο. Το Web site categorization διαχειρίζεται από την υπηρεσία Microsoft Reputation Services (MRS). Το MRS αποτελεί μια cloud-based categorization
    service όπου ο TMG firewall την αξιοποιεί για να καθορίσει σε ποια κατηγορία το συγκεκριμένο web site ανήκει. Αμέσως μετά την κατηγοριοποίηση του συγκεκριμένου site,
    ένα firewall policy processing θα καθορίσει εάν το αίτημα για πρόσβαση θα επιτραπεί ή δεν θα επιτραπεί.

    Για να ενεργοποιήσουμε το URL filtering, κάνουμε highlight το Web Access Policy node και στο navigation tree κάνουμε κλικ στο Configure Web Access Policy στο Tasks
    pane. Το Web Access Policy wizard θα μας οδηγήσει βήμα προς βήμα για να ενεργοποιήσουμε το URL filtering καθώς επίσης και να παραμετροποιήσουμε μια προκαθορισμένη web access policy χρησιμοποιώντας συνιστόμενα URL categories.


    Εικόνα 1

    Επιπροσθέτως, το Web Access Policy wizard θα ενεργοποιήσει και θα παραμετροποιήσει επίσης το malware inspection, το HTTPS inspection, και το content caching αντίστοιχα.

    Malware Inspection
    Με δεδομένο το ότι η λύση του URL filtering είναι 100% αποτελεσματική - (Βεβαίως καλό είναι να έχουμε υπόψην μας ότι είναι αδύνατον να κατηγοριοποιήσουμε όλες τις ιστοσελίδες του διαδικτύου) - είναι αναπόφευκτο ότι σε κάποια χρονική στιγμή οι χρήστες θα επισκεφθούν κάποια ιστοσελίδα η οποία θα περιέχει κακόβουλο περιεχόμενο. Για να μπορέσει να δώσει λύση και σε αυτές τις περιπτώσεις, ο TMG περιλαμβάνει μια gateway-integrated scanning engine για να προλαβαίνει και απαγορεύει virus και malicious software downloads. Η συγκεκριμένη μηχανή σάρωσης (scanning engine) ηοποία περιλαμβάνεται στον TMG
    είναι η Microsoft anti-malware scanning engine η οποία περιλαμβάνεται σε μια πληθώρα τεχνολογιών προστασίας Forefront όπως ο Forefront Protection for
    Exchange (FPE), ο Forefront Protection for SharePoint (FPSP), και ο
    Forefront Endpoint Protection (FEP), για να αναφέρουμε μερικές από αυτές. Είναι επίσης το ίδιο scanning το οποίο χρησιμοποιείται στα Microsoft Security Essentials (MSE). Η μηχανή σάρωσης αυτή είναι γρήγορη, ακριβής και παράγει ελάχιστα false positives.

    Για να ενεργοποιήσουμε το virus και το malicious software scanning, κάνουμε highlight στο Web Access Policy node στο navigation tree, και εν συνεχεία κάνουμε κλικ στο Configure Malware Inspection στο Tasks pane, και τέλος επιλέγουμε το Enable Malware Inspection.


    Εικόνα 2

    Το Virus και το malware scanning είναι πλήρως παραμετροποιήσημα στον TMG, παρέχοντας στον administrator την δυνατότητα του granular control πάνω σε κάθε τύπο περιεχομένου το οποίο πρόκειται να σαρωθεί αλλά και την μέθοδο/τρόπο με τον οποίο το περιεχόμενο αυτό θα σαρωθεί. Στο σημείο αυτό ο administrator
    μπορεί να παραμετροποιήσει πιθανά exemptions στο scanning policy τα οποία διακρίνονται βάση του source ή του destination, και να καθορίσει επίσης πότε τα signature updates θα παραλαμβάνονται καθώς πότε και με πιο τρόπο θα εφαρμόζονται.

    Σημείωση :
    Το URL filtering και το malware scanning απαιτούν το Web Protection Service subscription license. Μια άδεια ενεργοποιεί και τα δύο αυτά χαρακτηριστικά. Περισσότερες πληροφορίες σχετικά με το θέμα αυτό μπορείτε να βρείτε σε αυτό το link.

    Network Inspection System
    Οι Malicious software authors πολύ συχά θα προσπαθήσουν να ανακαλύψουν vulnerabilities τα οποία μπορεί να υπάρχουν στα Microsoft
    operating systems, applications, και στα networking protocols. Για να δώσει λύση και σε αυτά τα ζητήματα προστασίας ο TMG firewall περιλαμβάνει το Network Inspection System (NIS). Το NIS
    αποτελεί ένα καινούριο vulnerability-based intrusion detection και prevention σύστημα το οποίο εφαρμόζει διαδικασίες ελέγχου low-level protocol inspection έτσι ώστε να είναι σε θέση να αναγνωρίσει και να απαγορεύσει επιθέσεις οι οποίες σχετίζονται με αυτά τα vulnerabilities. Τα Signatures αναπτύσσονται από το Microsoft Malware Protection Center (MMPC) και κυκλοφορούν ταυτόχρονα μαζί μετα security updates ή σε άμεση απάντηση σε zero-day vulnerabilities. Όταν το NIS ενεργοποιηθεί προλαμβάνει αυτά τα vulnerabilities από το να αξιοποιηθούν από απόσταση (exploited
    remotely) και  μειώνει δραματικά το παράθυρο έκθεσης μέχρι να κυκλοφορήσει το αντίστοιχο Patch διόρθωσης.

    Για να ενεργοποιήσουμε το NIS, κάνουμε highlight στο Intrusion Prevention System node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure Properties στο Tasks pane, όπου εκεί επιλέγουμε το Enable NIS.


    Εικόνα 3

    Το NIS επιθεωρεί την κυκλοφορία στο δίκτυο (network traffic) και μπορεί να προσδιορίσει πότε ένα πρωτόκολλο που δεν είναι σύμφωνο με τα πρότυπα. Αυτά τα protocol anomalies μπορούν είτε να επιτρέπονται είτε να απαγορεύονται. Επιπροσθέτως το NIS μπορεί να παραμετροποιηθεί έτσι ώστε να μην ελέγχει επιλεγμένες ιστοσελίδες - (exempt specific
    trusted sites from inspection) - εφ'οσον αυτό απαιτείται.

    HTTPS Inspection
    Το HTTPS communication αποτελεί μια ειδικού χαρακτήρα πρόκληση για αρκετά firewalls. Συχνά αναφέρεται και ως “universal
    firewall bypass protocol”, το HTTPS κρυπτογραφεί application layer data με αποτέλεσμα ακόμη και τα πιο προηγμένα application layer firewalls να μην μπορούν να κάνουν έλεγχο στις επικοινωνίες αυτής της μορφής. Για αρκετα χρόνια οι virus και malware authors
    χρησιμοποιούσαν το HTTPS ως μέθοδο για την αποστολή malicious ή infected payloads διαμέσου των
    secure web gateways χωρίς να γίνονται αντιληπτοί. Κακόβουλοι χρήστες έχουν χρησιμοποιήσει το HTTPS ως κανάλι για να παρακάμψουν τον έλεγχο της πρόσβασης από το proxy
    avoidance software.

    Το HTTPS inspection κλείνει οριστικά αυτό το loophole. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall αντιγράφει το originally requested SSL certificate και παρέχει στο χρήστη ένα αντίγραφο. Ο TMG firewall μπορεί τώρα να κάνει τερματισμό στο SSL
    session στο επίπεδο του Internal network interface να προχωρήσει σε αποκωδικοποίηση και έλεγχο όλου του outbound HTTPS communication. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall έχει πρόσβαση στο αποκωδικοποιημένο application layer data γεγονός το οποίο έχει αρκετά θαρικά χαρακτηριστικά. Ο TMG firewall έχει τώρα δυνατότητα πρόσβασης στο full request
    path, και όχι μόνον στην ΙP address του συγκεκριμένου site. Με αυτήν την επιπρόσθετη πληροφορία μπορεί νε εφαρμόσει με περισσότερη ακρίβεια το URL filtering. Επίσης ο TMG
    firewall μπορεί τώρα να εφαρμόσει μια HTTP policy βάση της οποίας γίνεται έλεγχος στο περιεχόμενο των viruses και του κακόβουλου λογισμικού.

    Για να ενεργοποιήσουμε το HTTPS inspection, κάνουμε highlight στο Web Access Policy node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure HTTPS Inspection στο Tasks pane. Εκεί επιλέγουμε το Enable HTTPS Inspection καθώς επίσης και το Inspect traffic and validate site certificates.


    Εικόνα 4

    Το HTTPS inspection απαιτεί ένα server certificate να είναι εγκατεστημένο και παραμετροποιημένο στον TMG firewall. Μπορούμε να δημιουργήσουμε ένα self-signed certificate επιλέγοντας το Use Forefront TMG to generate a certificate και αμέσως μετά κάνουμε κλικ στο Generate… button. Εναλλακτικά μπορούμε να εισάγουμε ένα certificate από ένα υπάρχον εσωτερικό PKI επιλέγοντας το Import a certificate και κάνοντας κλικ αμέσως μετά στο Import… button.

    Από την στιγμή κατά την οποία θα ενεργοποιηθεί, ο TMG administrator μπορεί να εξαιρεί ορισμένες αιτήσεις, καθορίζοντας specifying source και destination exceptions. Σε συνδυασμό δε με το URL
    filtering, τα destination exceptions μπορούν να είναι URL categories ή URL category
    sets (π.χ. Financial or Health). Επιπροσθέτως Certificate validation options και
    client notification μπορούν επίσης να καθοριστούν.

    Συμπέρασμα
    Όταν εγκατασταθεί ως secure web gateway, ο Forefront
    Threat Management Gateway (TMG) 2010 firewall αποτελεί ένα multi-layered
    perimeter defense σύστημα το οποίο παρέχει ένα υψηλό επίπεδο προστασίας στους clients. Το URL filtering διασφαλίζει ότι οι clients δεν μπορούν να συνδεθούν σε όλα τα γνωστά κακόβουλα sites.Το ενσωματωμένο virus και malicious software scanning
    προλαμβάνει τους χρήστες από το να κατεβάσουν infected αρχεία, και το Network
    Inspection System προλαμβάνει επιθέσιες σε software vulnerabilities οποιουδήποτε Microsoft operating system ή application. Το HTTPS inspection
    αντίστοιχα βελτιώνει θεαματικά όλους τους παραπάνω μηχανισμούς προστασίας εφαρμόζοντας έλεγχο σε όλο το outbound encrypted communication. Ολοκληρώνοντας μιας και όλοι αυτοί οι προηγμένοι μηχανισμοί προστασίας εφαρμόζονται στο gateway και παρέχουν προστασία όχι μόνον στους managed clients, αλλά και στους στους non-managed clients επίσης.
    Ελπίζω ότι το συγκεκριμένο άρθρο θα το βείτε ιδιαίτερα χρήσιμο. 
  6. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας σε συνέχεια του άρθρου υλοποίσης VPN Tunnel μεταξύ του Juniper SRX
    και του Microsoft Forefront TMG 2010 Secure Gateway προχωρούμε ένα βήμα παρακάτω και υλοποιούμε ένα VPN μεταξύ του Cisco ASAs 5505 και του Forefront TMG 2010. Και σε αυτήν την προσπάθεια το αποτέλεσμα στέφθηκε από επιτυχία. Έτσι λοιπόν θα έχουμε δύο λειτουργικά VPN configurations κάνοντας χρήση εξοπλισμού από διαφορετικούς κατασκευαστές. Ουσιαστικά χρησιμοποιούμε το ίδιο setup, με μόνη αλλαγή την χρησιμοποιήση ορισμένων διαφορετικών IP addresses
    λαθώς επίσης και την αλλαγή στο σχεδιάγραμμα λειτουργίας στο οποίο αντικαθιστούμε το σύστημα SRX με το αντίστοιχο του ASA
    symbol :
     
     
    Όσον αφορά τα βήματα του wizard για λόγους συντομίας μπορείτε να τα βρείτε στο προηγούμενο άρθρο. Απλά προχωρούμε στις απαραίτητες αλλαγές των “default” settings στο IPSec configuration και χρησιμοποιούμε έναν διαφορετικό συνδυασμό στο Phase II συγκρινόμενον με αυτόν του SRX VPN έτσι να είμαστε συμβατοί με τον εξοπλισμό Cisco.
     
     
    Phase I: Εncryption = 3DES, auth SHA1, DH group2, lifetime 28800 seconds
    Phase II: Εncryption = 3DES, integrity SHA1, rekey 4608000bytes and/or 3600 seconds, pfs group2
    Σε καμία περίπτωση δεν θα πρέπει να ξεχάσουμε να επανεκκινήσουμε (restart) τα TMG services μετά από την επιτυχημένη υλοποίηση του configuration ….
    Το τελικό VPN παρουσιάζεται παρακάτω:

     
    Ο VPN wizard δημιούργησε επίσης το παρακάτω network object:
     

    Καθώς επίσης και το ακόλουθο access rule:

    Το χαρακτηριστικό αυτό είναι ιδιαιτέρως χρήσιμο και αποτελεσματικό διότι μας επιτρέπει να να κάνουμε setup για το προς υλοποίηση VPN χωρίς να είναι απαραίτητο να περάσουμε διαμέσου όλων των ενδιάμεσων βημάτων στοιχείο το οποίο από μόνο εγκυμονεί την πιθανότητα λαθών. Συνεπώς η Microsoft μας βοηθά με την χρήση έξυπνων Wizards να αποφύγουμε την πιθανότητα δημιουργίας λαθών (misconfiguration).

    Μετά από το setup και το restart, προχωρούμε στην παραμετροποίηση του Cisco ASA 5505 εφαρμόζοντας ένα απλό VPN site-to-site setup:
    crypto isakmp enable outside
    crypto isakmp policy 10
    authentication pre-share
    encryption 3des
    hash sha
    group 2
    lifetime 28800
    crypto ipsec transform-set TMGTrans esp-3des esp-sha-hmac
    crypto ipsec security-association lifetime seconds 3600
    crypto ipsec security-association lifetime kilobytes 4608000
    access-list toTMG extended permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0
    access-list toTMG extended permit ip 192.168.13.0 255.255.255.0 192.168.114.0 255.255.255.0
    tunnel-group 172.16.100.183 type ipsec-l2l
    tunnel-group 172.16.100.183 ipsec-attributes
    pre-shared-key *
    crypto map TMGVPN 10 match address toTMG
    crypto map TMGVPN 10 set pfs
    crypto map TMGVPN 10 set peer 172.16.100.183
    crypto map TMGVPN 10 set transform-set TMGTrans
    crypto map TMGVPN interface outside
    Όπως θα παρατηρήσουμε το ping μεταξύ των δύο laptops παρουσιάζει τα αναμενόμενα αποτελέσματα στον Forefront TMG 2010:


    Αντιστοίχως στον ASA:

    Το IKE SA
    ciscoasa(config)# show crypto isakmp sa
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    1   IKE Peer: 172.16.100.183
        Type    : L2L             Role    : responder
        Rekey   : no              State   : MM_ACTIVE
     
    Το IPSec SA:
    ciscoasa(config)# show crypto ipsec sa

    interface: outside
        Crypto map tag: TMGVPN, seq num: 10, local addr: 172.16.100.160
          access-list toTMG permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0
          local ident (addr/mask/prot/port): (192.168.114.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (192.168.13.0/255.255.255.0/0/0)
          current_peer: 172.16.100.183
          #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
          #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 6, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
          local crypto endpt.: 172.16.100.160, remote crypto endpt.: 172.16.100.183
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: D988A73B
        inbound esp sas:
          spi: 0xC740C5FB (3342910971)
             transform: esp-3des esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, PFS Group 2, }
             slot: 0, conn_id: 77824, crypto-map: TMGVPN
             sa timing: remaining key lifetime (kB/sec): (3914999/3553)
             IV size: 8 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x000001FD
        outbound esp sas:
          spi: 0xD988A73B (3649611579)
             transform: esp-3des esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, PFS Group 2, }
             slot: 0, conn_id: 77824, crypto-map: TMGVPN
             sa timing: remaining key lifetime (kB/sec): (3914999/3553)
             IV size: 8 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001
    Ελπίζω ότι θα βρείτε το συγκεκριμένο άρθρο χρήσιμο.
    (Υπενθύμιση :  Συγγραφέας του άρθρου είναι ο Alex Dittman)

  7. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας μέσα από την αναζήτηση για δημοσίευση θεματογραφίας εξαιρετικού ενδιαφέροντος η οποία αφορά τον Microsoft Forefront TMG 2010 και την πληθώρα των δυνατοτήτων, παρουσιάζω παρακάτω τον τρόπο υλοποίησης και πιστοποίησης της διαλειτουργικότητας μεταξύ του Juniper SRX 210H και του security gateway Microsoft Forefront TMG 2010, με άλλα λόγια σκοπός μας είναι η δημιουργία ενός secure tunnel. Συγγραφέας του συγκεκριμένου άρθρου είναι o Axel Dittmann. Μετά από την δημιουργία/ρύθμιση του route-based VPN στο Juniper SRX, προχωρούμε εν συνεχεία διαμέσου του VPN-Wizard στον Microsoft Firewall. Λαμβάνοντας υπόψην ότι θα πρέπει να γίνουν ορισμένες αλλαγές (modifications) στα Microsoft standard
    IKE και IPSec Proposals τα οποία παρέχονται διαμέσου του wizard, 
    τα πάντα λειτούργησαν άψογα με αποτέλεσμα το ping από το ένα site στο άλλο λειτούργησε άψογα. Το setup είναι το παρακάτω :

    Όπως γίνεται άμεσα αντιληπτό με μία γρήγορη ματιά στις παρακάτω εικόνες από τον VPN-Wizard η εγκατάσταση είναι σχετικά απλή μιας και οι συγκεκριμένες εικόνες μικούν από μόνες τους :
    Βήμα1ο : VPN
    Βήμα 2ο: Υλοποίηση remote site VPN
    Βήμα 3ο: Εκκίνηση του wizard
    Βήμα 4ο : Ονομάζοντας το VPN Βήμα 5ο: tunnel endpoints
    Βήμα 6ο: shared secret Βήμα 7ο: Τα tunnel endpoints βρίσκονται σε προστατευόμενο δίκτυο – Τα διαγράφουμε Βήμα 8ο: Εν συνεχεία εισάγουμε τα προστατευόμενα δίκτυα Βήμα 9ο: Αμέσως εμφανίζεται ένα warning το οποίο μας ενημερώνει ότι ορισμένα πράγματα δεν λειτουργούν Βήμα 10ο: Δημιουργία network rule Βήμα 11ο: Δημιουργία access rule Βήμα 12ο: Ολοκλήρωση  
    Τώρα θα ασχοληθούμε με το πιο ενδιαφέρον μέρος της δημιουργίας του συγκεκριμένου VPN. Ανοίγουμε προς επεξεργασία το πρόσφατα δημιουργημένο VPN
    remote sites και επικεντρώνουμε το ενδιαφέρον μας στα default proposal settings:
    (Δεξί κλικ στο remote site, Επιλογή του <Connection> και του <IPSec Settings …>)
    Τα default settings του IKE Phase 1 Τα default settings του Phase 2  
    Προχωρούμε σε αλλαγές των settings έτσι ώστε να είμαστε συμβατοί με το σύστημα της Juniper. Απλά για να είμαστε σίγουροι ότι το σύστημα SRX είναι σε θέση να χρησιμοποιεί σωστά και να επικοινωνεί με τα συγκεκριμένα proposals --- Στο σημείο αυτό η ασφάλεια του υποκατασκευή δικτύου δεν είναι το ζητούμενο:
     
    Συνεπώς χρησιμοποιούμε στο Phase 1: Εncryption = 3DES, Αuthentication = SHA1, DH-Group =  group2 and lifetime 28800
    Στο Phase 2: Εncryption = 3DES, Αuthentication = SHA1, no pfs, rekey every 3600 seconds.
    Αμέσως μετά την εφαρμογή του νέου configuration το tunnel δεν στάθηκε δυνατόν να ξεκινήσει. Με προσεκτική παρατήρηση βρίσκουμε το παρακάτω μήνυμα μέσα στα SRX log:
    172.16.100.180:500
    (Responder) <-> 172.16.100.183:500 { 8f4cd363 13dcf3af - 9f6ff605
    4d145fab [0] / 0x90b59c54 } Info; Received notify err = No proposal
    chosen (14) to isakmp sa, delete it
    Εκ πρώτης όψεως το μήνυμα είναι λίγο παράξενο, αλλά με μια γρήγορη ματιά κάνοντας χρήση ενός packet analyzer μας δίνει την απάντηση:

    Ο Microsoft Forefront TMG 2010 μας παρέχει τα παλαιά credentials τα οποία εμπεριέχονται στην default value. Οι αλλαγές αυτές δεν έχουν καμία επίδραση στο VPN. Έτσι λοιπόν αυτό το οποίο πρέπει να κάνουμε στο σημείο αυτό είναι να επανεκκινήσουμε (restart) τα Forefront TMG services γεγονός το οποίο έχει σαν αποτέλεσμα την παροχή των σωστών credentials:

    Τελικά το VPN tunnel ανέβηκε :



    Όσον αφορά τον Juniper SRX VPN (route bases) το απαιτούμενι configuration είναι το εξής παρακάτω:
    IKE policy:
    [edit security ike]
    root# show
    proposal ikeproptmg {
        description toTMG;
        authentication-method pre-shared-keys;
        dh-group group2;
        authentication-algorithm sha1;
        encryption-algorithm 3des-cbc;
        lifetime-seconds 28800;
    }
    policy ikepoltmg {
        mode main;
        description PolicyToTMG;
        proposals ikeproptmg;
       
    pre-shared-key ascii-text
    "$9$Sivlv8-VYZUHX7UHqmF3SreKXNZGjf5zGU/Cu0IR";
    ##                                                                                                                                                             
    SECRET-DATA
    }
    gateway ikegatewaytmg {
        ike-policy ikepoltmg;
        address 172.16.100.183;
        external-interface ge-0/0/0;
    }
    IPSec Policy:
    [edit security ipsec]
    root# show
    proposal ipsecproptmg {
        description IPSEC_to_TMG;
        protocol esp;
        authentication-algorithm hmac-sha1-96;
        encryption-algorithm 3des-cbc;
        lifetime-seconds 3600;
    }
    policy ipsecpoltmg {
        description PolicyToTMG;
        proposals ipsecproptmg;
    }
    vpn vpntmg {
        bind-interface st0.0;
        ike {
            gateway ikegatewaytmg;
            proxy-identity {
                local 192.168.113.0/24;
                remote 192.168.13.0/24;
                service any;
            }
            ipsec-policy ipsecpoltmg;
        }
        establish-tunnels on-traffic;
    }
    Και το αποτέλεσμα:
    root> show security ike sa
    Index   Remote Address  State  Initiator cookie  Responder cookie  Mode
    12      172.16.100.183  UP     039708c225e6394e  e13125bff2db04af  Main
    root> show security ipsec sa
      Total active tunnels: 1
      ID    Gateway          Port  Algorithm       SPI      Life:sec/kb  Mon vsys
      <131073 172.16.100.183 500   ESP:3des/sha1   f2f8ab03 3562/ unlim   -   0
      >131073 172.16.100.183 500   ESP:3des/sha1   6cc8f853 3562/ unlim   -   0
    Το ping λειτούργησε σωστά φέρνοντας την σωστή απάντηση και συνεπώς το tunnel βρίσκεται σε λειτουργία.
    Ελπίζω ότι θα βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.

×
×
  • Create New...