Вслед за недавним анонсом нового семейства неуправляемых коммутаторов ProCurve Switch 1400 и расширением серии веб-управляемых коммутаторов ProCurve Switch 1700 компания Hewlett-Packard объявила еще несколько новых сетевых продуктов и провела ряд усовершенствований в существующих линейках с целью упрощения для заказчиков перехода на перспективные технологии 1/10 Gigabit Ethernet. Изменения затронули и сопутствующее ПО из состава решений превентивной безопасности для корпоративных сетей ProActive Defense. Обе темы стали лейтмотивом для партнерского семинара сетевого подразделения ProCurve Networking by HP, проходившего на борту самого крупного экспоната Государственного музея авиации — пассажирского авиалайнера Ил-86.

ProCurve Switch 1700-8G

Технологии в новом формате

По данным ProCurve, в Украине рост ее бизнеса опережает средние показатели по рынку и составляет 57%. Наибольший объем продаж в количественном выражении в нашей стране обеспечивают коммутаторы базового третьего уровня (с возможностью только статической маршрутизации), за которыми с заметным отрывом следуют коммутаторы второго уровня. В денежном выражении ситуация противоположная, причем вклад устройств базового и полного третьего уровня примерно соизмерим с незначительным преимуществом в пользу менее дорогих моделей.

По скорости передачи данных по-прежнему лидируют коммутаторы с портами 10/100 Мбит/с. Однако их доля медленно продолжает снижаться в угоду набирающим популярность устройствам с поддержкой скорости 1 Гбит/с. Значительные обороты по деньгам дают коммутаторы с портами 10 Гбит/с — к ним все чаще проявляют интерес заказчики с прицелом на будущее, ведь средний срок жизни сетевого оборудования обычно составляет 8 лет.

Функционал коммутаторов ProCurve определяет набор специализированных интегральных микросхем ProVision ASIC, который лежит в основе моделей с портами 1/10 Гбит/c. Производительность ASIC последнего поколения составляет 691 Гбит/c против 1 Гбит/с первой разработки, появившейся в 1996 году. При этом в настоящий момент задействованы только два конвейера процессора из четырех доступных. Применение процессора открывает целый ряд новых возможностей для коммутаторов  — поддержку транкинга нисходящих соединений по стандарту 802.1ad (Q-over-Q), технологии Virus Throttling не только в устройствах третьего, но и второго уровня, PoE (Power over Ethernet) на аппаратном уровне. В последнем случае, например, для перехода на IP-телефонию в организации остается приобрести лишь недостающие блоки питания.

ProCurve Switch 1700-24G

На базе самого современного ProVision ASIC построены управляемые коммутаторы серий ProCurve 3500, 6200 и модульные 5400zl. Представленная осенью 2006 года гигабитная стекируемая линейка ProCurve Switch 2900 ориентирована на применение в составе систем начального уровня, поэтому работает на урезанной версии ProVision ASIC. К аналогичному классу продуктов относится и линейка гигабитных модульных коммутаторов серии 4200vl, куда недавно вошли экономичные модели с повышенной плотностью портов и интегрированными восходящими портами.

Как показывают исследования Dell’Oro Group почти двухгодичной давности, число неуправляемых коммутаторов на рынке продолжает стремительно сокращаться. Причина этого растущая популярность соизмеримых по стоимости веб-управляемых продуктов без поддержки интерфейса командной строки CLI (Command Line Interface). К их числу относятся представленные в конце прошлого года семейства коммутаторов серий 1800 и 1700, недавно пополнившиеся новыми моделями (см. PCWeek/UE №7(51), 2007 год, с. 40). Они позволяют организовать приоритезацию трафика за счет тегов 802.1р, сегментацию сети с использованием до 64 VLAN и обнаружение подключенных аппаратов в небольшой сети IP-телефонии по протоколу LLDP (Link Layer Discovery Protocol).

Для упрощения перехода к технологии Gigabit Ethernet компания НР дополнительно представила специально разработанный с учетом сбережения инвестиций модуль трансивера 100-FX mini-GBIC. Он делает возможным использование менее дорогой многомодовой среды для организации полнодуплексных 100-мегабитных соединеий с дальностью свыше установленного лимита в 550 м вплоть до 2 км. Устройство совместимо с коммутаторами серий ProCurve Switch 2510, 2800, 2810, 2900, 3500yl, 4200vl, 5400zl, 6200yl.

ProCurve ProActive Defense

ProCurve Switch 4204vl-48GS

Рост количества мобильных сотрудников, распространение беспроводных сетей, большая изобратательность и изощренность разработчиков вредоносных программ заставляют все без исключения компании увеличивать ассигнования на обеспечение безопасности сетей и устранение возможных негативных последствий. По данным проведенного в 2006 году исследования института компьютерной безопасности и ФБР, около четверти американских корпораций, правительственных органов, финансовых и медицинских учереждений, университетов подвергались атакам свыше шести раз. Интересно, что при этом почти все респонденты инвестировали средства в межсетевые экраны, антивирусное ПО и другие инструменты защиты.

Бесплатная версия ProCurve Manager поставляется с каждым коммутатором. Она же является пробной 30-дневной версией ProCurve Manager Plus

Причина выявленного противоречия лежит на поверхности — многие компании уделяют внимание либо защите периметра, либо ядра сети. В первом случае они делают акцент на защите от внешних угроз с помощью межсетевых экранов, виртуальных частных сетей VPN (Virtual Private Network), систем обнаружения вторжений IDS (Intrusion Detection System) и предотвращения вторжений IPS (Intrusion Prevention System). Применение перечисленных средств существенно удорожает и усложняет механизмы управления и не обеспечивает эффективной защиты от внутренних угроз. Второй подход, при котором основное внимание нацелено на коммутаторы и маршрутизаторы центральной части сети, лишен указанных недостатков, однако средства защиты расположены слишком далеко от потенциально подверженных атакам мест. Кроме того, привычные централизованные архитектуры не обладают достаточными масштабируемостью и динамическими возможностями для удовлетворения быстро меняющихся требований безопасности, бизнеса и технологий.

ProCurve Manager Plus обладает расширенными возможностями управления сетью, однако требует лицензирования

В качестве альтернативы обеим распространенным методам защиты ProCurve Networking by HP предлагает комплексную концепцию и стратегию ProActive Defense на базе построенной на основе отраслевых стандартов архитектуры Adaptive EDGE Architecture (AEA). Она предполагает перемещение важных средств контроля доступа и применения политик на границу сети, где к ней подключаются приложения и пользователи, и перераспределение высвобождающихся ресурсов ядра на увеличение пропускной способности.
Единая целостная система безопасности ProActive Defense представляет собой надежную сетевую инфраструктуру с централизованным управлением средствами на границе, которая способна эффективно выполнять три взаимосвязанные между собой задачи:

• защиты (ограничение доступа несанкционированных пользователей, предотвращение перехвата данных, блокирование неавторизованного внедрения устройств и приложений);
• обнаружения (определение внешних и внутренних угроз, обнаружение атак даже во время нарушений в работе);
• реагирования (учет угроз и динамическое реагирование с целью наилучшей защиты от атак).

Ключевая особенность стратегии ProActive Defense состоит в сочетании на границе сети элементов нападения и защиты. В первом случае речь идет о контроле доступа всех типов пользователей и устройств, во втором  — о самоидентификации и проверке подлинности сетевой инфраструктуры. Эти возможности являются следствием основных принципов, на которые опирается ProActive Defense, — контроля доступа, сетевого иммунитета и безопасной инфраструктуры.

ProCurve Switch 4208vl-72GS

В отличие от конкурентов, ProCurve Networking by HP рассматривает безопасность в качестве процесса, требующего непрерывного развития и видоизменения. Функции защиты становятся неотъемлемой частью продуктов компании — коммутаторов, точек доступа и другого оборудования. Последнее поколение микросхем ProVision ASIC добавляет в архитектуру АЕА и коммутаторы на их основе возможности применения политик. Не лишены специальных инструментов для предотвращения угроз и программные продукты сетевого подразделения НР.

ProCurve Manager

Простота управления сетью имеет решающее значение в обеспечении ее безопасности. Идеальная система должна самостоятельно вести мониторинг и контроль трафика на всех устройствах, облегчая системному администратору принятие решений. Поддержка открытых стандартов позволит ей эффективно работать в сетях, построенных с использованием оборудования различных вендоров. По данным проведенного в 2005 году исследования Gartner, затраты на поддержание функционирования инфраструктуры составляют 70% бюджета, и только оставшиеся 30% идут на ее модернизацию и совершенствование.

В настоящее время наибольшее распространение получили две технологии мониторинга трафика — NetFlow и sFlow. Первая уходит корнями в появившийся в 1991 году стандарт RMON, ее продолжает активно поддерживать компания Cisco. Вторую предложила НР. Она основана на случайной выборке трафика вместо передачи его фрагмента на рабочую станцию коллектор. Соответствующий агент находится непосредственно на коммутаторе и инкапсулирует предназначенные для анализа данные в рабочие протоколы IP, UDP, Ethernet. Описанный механизм реализован в новом поколении ASIC и соответствующих устройствах на их основе.

Несмотря на применение уникального механизма мониторинга трафика, интерфейс командной строки коммутаторов ProCurve во многом совпадает с аналогом в распространенных на рынке устройствах Cisco. Традиционно присутствует возможность управления через веб и с помощью соответствующего ПО. В комплекте с каждым коммутатором идет исходный файл бесплатной версии ProCurve Manager (РСМ), одновременно являющийся 30-дневной пробной полнофункциональной версией Manager Plus (РСМ+). Последняя поддерживает специфические для крупных сетей функции создания групповых конфигураций, шаблонов и их применения к новым устройствам, автоматическое обновление ПО, защищенную версию обмена по протоколу SNMP3, подключения дополнительных плагинов.

РСМ представляет собой комплексную платформу для управления всеми аспектами сетевой безопасности, включая расширенные контроль устройств и трафика на основе политик. Она входит в состав архитектуры АЕА и нацелена на снижение сложности и повышение эффективности менеджмента сети, проверки подлинности и аутентификации МАС (Media Access Control). Стоимость лицензии РСМ+ на 50 устройств составляет 1999 евро, на каждые 100 последующих — 2199 евро и на неограниченное число — 7299 евро. Однако в любом случае программа рассчитана не более чем на 2 тыс. коммутаторов в сети. Это ПО работает как с управляемыми и веб-управляемыми коммутаторами ProCurve, так и с оборудованием сторонних производителей.

Сразу после установки РСМ обнаруживает присутствующие в сети устройства и создает карту доступных соединений. Последняя версия приложения 2.2 стала более информативной и удобной в использовании. Появилась возможность просматривать типы и степень загрузки линков, топологию сети на третьем уровне, отслеживать направление трафика и количество событий с нарушениями безопасности. Специальный монитор позволяет осуществлять контроль пяти различных параметров трафика на отдельно взятом порту коммутатора. В числе прочих функций — автоматизация применения политик, группировка устройств и, как следствие, управление зеркалированным трафиком.

ProCurve Identity Driven Manager

ProCurve Switch vl 24-Port Gig-T Module

За динамическое управление доступом в сеть и применение соответ­ствующих политик к пользователям отвечает подключаемый к РСМ+ плагин  — ProCurve Identity Driven Manager (IDM). Его использование особенно целесообразно при наличии беспроводных сетей и большого количества перемещающихся сотрудников. Каждому из них в зависимости от статуса IDM позволяет выделить VLAN, полосу пропускания, права доступа и уровень качества обслуживания QoS (Quality of Service). В случае обнаружения на ПК необновленного ПО программа отправит пользователя в карантинный VLAN, где он получит все необходимые апдейты. IDM может автоматически менять правила по мере наступления определенных дат или временных промежутков.

Действие этого ПО не заканчивается на этапе упреждающего контроля доступа к сети. Как только пользователь получил в свое распоряжение разрешенные для него ресурсы, IDM продолжает следить за его действиями в сети и при необходимости применяет ограничения. По результатам установленных администраторами политик безопасности и производительности программа помогает составить отчеты о соответствии нормам.

Основными нововведениями в IDM 2.2 стали автоматическая синхронизация с Active Directory и поддержка беспроводных устройств. При синхронизации из аутентификационной базы данных программа отображает группу пользователей в рамках политик доступа APG. Если информация о пользователях размещена в несовместимом с LDAP хранилище, IDM может ее считать из XML-файла. Остальные изменения не столь значительны и носят преимущественно косметический характер. Полный функционал последней версии 2.2 поддерживают только коммутаторы ProCurve на основе самого современного ProVision ASIC. Минимальная лицензия для IDM дает право обслуживать 500 пользователей, дополнительная рассчитана на 2 тыс. пользователей.

ProCurve Network Immunity Manager

Вывод на рынок первой версии Network Immunity Manager (NIM) стал ответной реакцией со стороны ProCurve на складывающуюся в мире ситуацию с распространением вирусов и сетевых атак, число и масштабы которых растут угрожающими темпами. Достаточно вспомнить побивший все рекорды по скорости распространения в 2003 году червь Slammer, в течение 10 минут заразивший 75 тыс. компьютеров. По данным совместного исследования ЦРУ и ФБР, более половины респондентов хотя бы один раз подвергались атаке, при этом 98% из них для защиты применяли межсетевые экраны и антивирусное ПО.

ProCurve Manager Plus с подключенным плагином Network Immunity Manager для предотвращения сетевых атак

Причина сложившейся ситуации, по мнению Владимира Букина, менеджера ProCurve Networking by HP по работе с партнерами в странах СНГ, состоит в том, что современные сети гораздо надежнее защищены по периметру, чем изнутри. Впервые появившийся в микросхемах ProVision ASIC встроенный алгоритм Virus Throttling позволил в сжатые сроки обнаружить и изолировать вирус или червь, не допуская его распостранения и нанесения вреда сети. В основе технологии лежит принцип отслеживания количества соединений в единицу времени на каждом порту  — превышение наперед заданного лимита означает начало атаки или сбой ПО.

Новые модели коммутаторов ProCurve имеют описанную выше возможность, и для ее использования не нужны дополнительные инвестиции. Однако для контроля беспроводных и проводных соединений на наличие внутренних угроз в крупных сетях, задания политик безопасности и своевременного реагирования нужен специализированный инструмент, в роли которого выступает еще один плагин к РСМ+  — NIM. Его лицензия на 50 устройств ориентировочно обойдется в 4 тыс. долл., а на неограниченное число — в 20 тыс. долл. Прямых конкурентов этой системе в настоящий момент нет.

Аналогичные задачи призваны решать системы IDS/IPS, но чрезвычайно высокая стоимость существенно сужает область их применения. Как правило, они защищают только критически важные промежуточные линки сетей, в то время как все остальные по-прежнему подвержены угрозам. Действие NIM основано на технологии мониторинга трафика sFlow — этот плагин работает централизованно, позволяет закрыть отдельный порт или зазеркалировать трафик и направить его на устройства IDS/IPS. Одновременно NIM может контролировать до 500 портов из 2 тыс. присутствующих в сети. 

Защита на практике

В рамках партнерского семинара Родион Ковальчук, технический консультант по продуктам ProCurve, продемонстрировал в действии новые возможности PCM 2.2 и NIM 1.0. Тестовая система состояла из двух ноутбуков НР, один из которых выполнял роль клиента, другой — сервера, а также коммутатора ProCurve Switch 3500yl. Для управления моделью сети с компьютера клиента использовалась 30-дневная пробная версия PCM+ 2.2.

В числе наиболее полезных для системных администраторов нововведений в PCM+ стоит отметить файл Audit Logging для хранения информации обо всех изменениях, происходящих в коммутаторе. Он также ведет учет их инициаторов и времени событий. Существенно улучшились механизмы обнаруживания устройств в сети, в том числе в VLAN. Поскольку в крупных сетях обычно генерируется огромное количество событий с предупреждениями различного рода, в PCM+ 2.2 появилась возможность намеренно игнорировать некоторые из них. При необходимости для коммутатора можно задать несколько групп, например, “Студенты” и “Администраторы”. Претерпел ряд изменений и Policy Manager.

Для демонстрации работы NIM г-н Ковальчук создал искусственную атаку, предварительно задав профиль ее обнаружения. Коммутатор оперативно отреагировал на ее появление и закрыл соответствующий порт. В свою очередь PCM+ сохранил отчет о произошедших событиях.

В погоне за лидерством

Hewlett-Packard является единственной глобальной ИТ-компанией, которая имеет в своем составе успешную структурную единицу, предлагающую сетевые решения для открытого рынка. Ее подразделение ProCurve Networking by HP в рамках корпоративной структуры наделено широкими полномочиями и мало связано с остальными направлениями бизнеса, что позволяет ему в определенной степени сохранять свою самостоятельность и успешно конкурировать на специфическом рынке сетевого оборудования. По данным Dell’Oro Group, в настоящий момент компания занимает второе место в мире после Cisco Systems в сегменте коммутаторов для локальных вычислительных сетей.

В последние годы ProCurve планомерно улучшала свое положение на рынке. В 2004 году она впервые заняла в известном магическом квадранте Gartner положение претендента на лидерство, предварительно оставив позади ближайшего конкурента — 3Com. Последний, как известно, занимается исключительно сетевым оборудованием и казалось бы должен иметь больше шансов на успех. Еще большей сенсацией стал выход последней версии квадратнта Gartner за 2006 год (в 2005 году исследование не проводилось), по результатам которой ProCurve еще заметнее улучшила свое положение, а Cisco, наоборот, ухудшила. По словам Андрея Асташова, регионального менеджера ProCurve Networking by HP в странах СНГ, в текущем году его компания рассчитывает попасть уже в число лидеров.

За выдающимися результатами деятельности ProCurve стоит мощная технологическая база подразделения HP Labs. Оно является четвертым по величине в США держателем патентов, число которых насчитывает 35 тыс. Среди них патенты на известные во всем мире стандарты безопасности 802.1х, Ethernet по витой паре, медный 10 Gigabit Ethernet. Примечательно, что НР в своих продуктах сводит к минимуму количество проприетарных технологий, позволяя их лицензировать сторонним компаниям и, в результате, создавать эффективные кросс-вендорные решения.

При создании и проектировании готовых продуктов ProCurve ориентируется на зрелые, хорошо апробированные технологии, переживающие в настоящий момент период роста. В результате компания получает возможность предлагать клиентам оптимальные по стоимости и надежности решения с полной пожизненной гарантией, накрывающей все без исключения компоненты. В качестве ее крупнейшего заказчика выступает Европейская организация по ядерным исследованиям CERN, занимающаяся строительством ускорителя элементарных частиц LHC (Large Hadron Collider). В проекте задействованы тысячи ПК и сотни коммутаторов ProCurve для анализа и обработки около 15 Пб информации в режиме реального времени. Требования к надежности сетевого оборудования очень высоки, поскольку его простой даже в течение нескольких секунд неизбежно влечет за собой потерю нескольких месяцев на повторную подготовку установки к проведению научного эксперимента.

Еще одно важное конкурентное преимущество ProCurve состоит в оказании бесплатной помощи в дизайне сетей. Это особенно полезно для партнеров компании при поставках оборудования для заказчиков в рамках сложных проектов. Партнеру достаточно обратиться в Euro Network Design Center и изложить суть задачи, после чего он получит готовые схемы в формате Visio, точные наименования необходимых моделей коммутаторов и их стоимость. Все исправления и обновления ПО ProCurve распространяет абсолютно бесплатно.