Guida alla Sicurezza In Europa, Medio oriente ed Africa Maidenhead Office Park Westacott Way Maidenhead, Berkshire SL6 3QH Gran Bretagna Telefono 00 800 8008 9009* +44 (0)20 8920 4618 Fax +44 (0)20 8945 3060 e-mail euroinfo@nortelnetworks.com *Le chiamate non sono gratuite da tutti i paesi europei 2003. Tutti i diritti sono riservati., il logo, il Globemark, Contivity e Alteon sono marchi registrati della. Tutti i marchi registrati di terzi sono riconosciuti ed ammessi. Stampato nel mese di febbraio 2003_ Ideato da GYRO www.nortelnetworks.com
Indice Introduzione 1 Introduzione 2 Sommario 4 Analisi e tendenze 6 Rendete sicura la vostra rete 8 Proposte per comunicare 12 Case Study arvato systems 13 Case Study BT Openworld 14 Comunicare domande frequenti 16 Proposte per condividere 20 Case Study Swisscom 21 Case Study Caixa Catalunya 22 Condividere domande frequenti 24 Proposte per proteggere 28 Case Study Belgian Post 29 Case Study Espotting 30 Proteggere domande frequenti 36 Informazioni sui prodotti 46 Sicurezza e gestione delle reti 48 Uno sguardo al futuro 50 Chi siamo 52 I nostri Partner 56 Altre informazioni 57 Glossario Purtroppo i titolari di piccole società o i liberi professionisti non sono generalmente esperti di sicurezza; la responsabilità ricade quindi spesso su chi forse non sa come procedere. Proprio per ovviare questo problema spero possiate trovare utile la Guida alla Sicurezza. La guida converte la conoscenza e l'esperienza di un fornitore di soluzioni per reti di classe mondiale in consigli specifici, che potrete seguire con facilità. 1 Il primo passo da fare per raggiungere un buon livello di sicurezza è assumersi la responsabilità di prendere tutti i provvedimenti necessari per salvaguardare la propria rete e il proprio sistema informativo. Le reti di oggi sono molte estese e ognuno deve contribuire in qualche modo alla sicurezza della rete e dei dati. Ma l'attenzione verso questo problema deve però essere continua: le reti crescono di dimensioni, i requisiti di sicurezza cambiano e continuano ad emergere nuovi tipi di minacce. Per poter mantenerne la piena efficacia delle reti stesse, le misure di sicurezza vanno quindi aggiornate sulla base delle ultime tecnologie. Come presidente del Comitato sulla sicurezza delle reti e dei dati CEN-ETSI, il mio obiettivo è di apportare miglioramenti a un'area relativamente ristretta dell intero campo della sicurezza delle reti e dei sistemi informativi. Molti altri stanno contribuendo al lavoro in aree connesse, ma il compito di questo comitato è l esame delle principali norme esistenti per reti private virtuali, per firewall, best practice e l'individuazione di eventuali lacune per cui è richiesto l intervento degli enti responsabili. A sostegno di tali attività, fornitori di soluzioni per reti come, prendono l iniziativa, incorporando quelle norme nei propri prodotti e nelle proprie soluzioni, per coadiuvare gli utenti nell impiego di questi ultimi e nell attuazione delle best practice. È essenziale che tale processo continui, per proteggere anche le reti e i dei dati del futuro. John Phillips Presidente Comitato sicurezza reti e dati CEN-ETSI
Sommario Oggi diamo per scontato la possibilità di poterci mettere facilmente in contatto con chiunque desideriamo. Tuttavia solo pochi anni fa possedere un cellulare era una cosa eccezionale e quasi nessuno aveva un computer. Oggi installiamo reti senza fili nelle nostre case e ci chiediamo come costruire al meglio una rete personale. Tutte queste nuove possibilità di connessioni creano situazioni vantaggiose, ma allo stesso tempo introducono nuove minacce e nuove vulnerabilità. Nel mondo degli affari le comunicazioni sono facili La necessità di ottimizzare i tempi di consegna di prodotti e servizi in un ambiente altamente concorrenziale ha creato nuove forme di lavoro. Lavorare in viaggio e/o da remoto è ormai frequente in molte grandi società, in cui il personale, i gruppi di lavoro e gli uffici sono dislocati in varie località. Così facendo le aziende, sono in grado di ridurre i costi, creare vantaggi operativie nel contempo migliorare l'efficienza, la flessibilità e la produttività dei propri dipendenti. L insieme di queste nuove tecnologie ci dà la possibilità di ristrutturare le nostre attività: possiamo ridurre il costo degli immobili, fornire ai dipendenti un ambiente di lavoro più flessibile, assicurare che il personale sia sempre in contatto con le attività dell azienda, sino ad arrivare a trasformare le modalità d interazione con i nostri clienti. Dopo tutto, un delinquente preferisce rubare un PC con tutti i suoi codici, piuttosto che passare molte ore cercando di entrare a distanza in una rete. Ed è assai più facile rapinare chi lavora da casa che scassinare un ufficio. La sicurezza non può essere vista come un cura, deve piuttosto entrar a far parte della nostra cultura aziendale Dopo aver stabilito una strategia aziendale intesa a rendere sicura la propria rete, occorre gestirla e mantenerla in modo efficiente, per continuare a offrire agli utenti livelli adeguati di protezione. Le disposizioni legislative ci spingono verso un ambiente più sicuro ed essere accreditati in di tema sicurezza è un traguardo verso cui ogni organizzazione deve indirizzarsi. La sicurezza delle reti è un obiettivo in evoluzione che richiede continuo controllo e valutazione. Parallelamente alla crescita delle attività aziendali con sistemi sempre più complessi, la rete è 3 Con una gamma virtualmente illimitata di scelte esposta ad attacchi e problemi sempre più seri. disponibili per diversificare la connettività aziendale sulla base delle tecnologie più moderne, è possibile Questo documento prende in esame le tematiche dare pieno spazio alla creatività. principali relative alle reti aziendali, offrendo una visione dettagliata dell'approccio alla...ma renderle sicure non è facile sicurezza; la guida evidenzia inoltre, la capacità di Parallelamente allo sviluppo di Internet, la rete creata di offrire soluzioni e prodotti per condividere informazioni, si è purtroppo verificato necessari per creare, oggi e in futuro, reti di un aumento della possibilità di perpetrare crimini. La comunicazione sicure, affidabili adattabili e maggior parte delle tecnologie d avanguardia (banda facili da gestire. larga, Wi-Fi, telefonia IP) in assenza di misure di sicurezza adeguate risultano esseread alto rischio. Gli attacchi volontari o dolosi sono in continuo aumento, Siamo spesso vittime di pirati e virus, ma ci stiamo forse preoccupando un po troppo?
Analisi e tendenze Oggi si ha senza dubbio l impressione che Internet sia un ambiente sempre più rischioso per le aziende. Un occhiata alle statistiche sulla sicurezza di Internet pone in evidenza un forte aumento di attività di accesso illecito su web, che vanno da un incremento di frodi e virus sino ad attacchi volti a creare situazioni di tipo di Rifiuto del servizio (Denial of Service DoS) e violazioni della sicurezza. sicurezza parte integrante della propria strategia aziendale, sia dal punto di vista fisico che tecnico. La sicurezza non può più esser vista come elemento addizionale e facoltativo, (eventualmente da escludere per problemi di costo) ma parte integrante della strategia aziendale per il successo dell intera azienda. Ogni organizzazione ha oggi il compito di sviluppare 5 una strategia completa, che permetta di integrare le esigenze aziendali con la necessità di operare I casi di frode Internet hanno fatto un balzo da 220.000 nel 2001 a 380.000* nel 2002 La percentuale di vulnerabilità dei software riscontrate nel 2002 è salito dell 82%** rispetto al 2001 Le tendenze indicano una sempre maggiore presenza di nuovi virus più pericolosi, stimati a circa 7.000 soltanto nello scorso anno Un indagine ha rivelato che il 64%*** delle aziende ha sofferto una violazione della sicurezza dal proprio interno. Nessuno è immune: enti governativi società quali Yahoo, ebay, CNN, la Casa Bianca hanno subito attacchi DoS, con un impatto negativo sulle loro attività stimato intorno ai $1.2 miliardi. Esistono poi fattori emotivi impliciti nell area della sicurezza: l 80% dei crimini informatici non viene denunciato per timore di generare pubblicità sfavorevole e il 60% delle organizzazioni teme lo spionaggio da parte della concorrenza tramite accesso ai sistemi. Ma che cosa stanno facendo le organizzazioni per combattere queste preoccupanti tendenze in aumento e come assicurano che le esigenze di sicurezza non compromettano ilnormale svolgimento delle loro attività? con sicurezza. La sicurezza dei sistemi informativi deve essere integrata all'interno della strategia complessiva sulla sicurezza aziendale. Le disposizioni legislative e la normativa contribuiscono alla graduale creazione di un ambiente più sicuro. Ottenendo la certificazione ISO 17799, ogni organizzazione potrà infatti dimostrare a collaboratori e clienti il proprio impegno in materia best practice in campo sicurezza. Alcune disposizioni legislative, La Convenzione del Consiglio d Europa sulla cibercriminalità, assegnerà alle organizzazioni la responsabilità di mantenere l integrità dei dati e di cooperare con le autorità giudiziarie e di polizia, richiedendo di rivelare i dati Le aziende dovranno nominare un Capo per i servizi di sicurezza che ne abbia la totale responsabilità e che implementi le strategie necessarie al fine di garantire che tutto il personale in azienda sia adeguatamente addestrato e che le procedure di sicurezza siano strettamente osservate. Per salvaguardare la propria attività molte aziende sono state recentemente costrette ad avere un approccio simile a quello che viene impiegato per spegnere gli incendi all'inizio hanno infatti cercato di proteggersi con l'introduzione di firewall e la costruzione di reti private virtuali IP (IP VPN). Tutto ciò storici e gli andamenti del traffico in rete. Si cercherà in questo modo di creare quella che l OCSE ha chiamato una 'cultura sulla sicurezza', in cui ognuno si assume la responsabilità di mantenere la sicurezza dei sistemi informativi all interno della propria organizzazione. perché in passato la sicurezza ha avuto una priorità bassa nel quadro delle decisioni prese in azienda in quanto, i rischi legati alla pirateria informatica erano limitati. Oggi, ogni organizzazione deve rendere la *Commissione federale del commercio (USA) **Rapporto Symantec sulla minaccia di attacchi contro la sicurezza ***Istituto per la sicurezza dei computer
Rendete sicura la vostra rete Per affrontare la crescente tendenza delle minacce su Internet è assolutamente necessario che le organizzazioni rendano sicure le proprie reti. Come già detto proprio la facilità di accesso fa di Internet da un lato uno strumento d affari formidabile ma dall' altro uno strumento molto vulnerabile. Porte e portali danno il benvenuto sia a visitatori 'amici' che a ladri informatici, pirati e altri individui intenzionati ad utilizzare le reti per conseguirne guadagni illeciti. Ma allora la soluzione qual è? L unica strategia di sicurezza veramente efficace è la realizzazione di un' architettura end -to-end, in grado di realizzare sistemi di sicurezza su livelli multipli e su punti multipli delle reti. Per tutti questi aspetti Nortel Networks può esservi di aiuto., leader mondiale nella trasmissione voce/dati e nel networking, offre soluzioni in grado di soddisfare le esigenze di di sicurezza dell intera rete di un organizzazione. In un quadro generale di concetti, procedure ed elementi tangibili, la nostra Unified Security Architecture (USA) fornisce le soluzioni migliori per la sicurezza della rete della vostra azienda. I vantaggi per le aziende Le soluzioni per la sicurezza permettono alle aziende di: Utilizzare Internet con fiducia come un'estensione della loro rete interna: gli utenti possono accedere alla propria rete da qualsiasi località, mediante qualsiasi dispositivo di collegamento in linea Ottenere riduzioni significative di costi Facilitare le attività quotidiane degli utenti grazie ad un facile utilizzo dei prodotti Le nostre soluzioni risultano infatti essere: di facile integrazione, flessibili e di facile ridimensionamento, in modo da permettere alle aziende di fare pieno uso di Extranet SSL e VPN tali da garantire e rendere sicuro il traffico generato dagli utenti a distanza Ottenere un ambiente completamente sicuro per chi lavora da remoto abbiamo eliminato la minaccia di chalking con comunicazioni Wi-Fi ed abbiamo permesso agli utenti mobili di ottenere di più dai loro dispositivi a banda larga Trarre vantaggio da alleanze con partner di eccellenza in grado di offrire le soluzioni migliori nel campo della sicurezza: rispetto alla concorrenza abbiamo creato alleanze più forti e con un numero maggiore di partner grazie ai programmi Contivity Associates e Security Solutions Partner La Unified Security Architecture di, insieme ai nostri prodotti di telefonia IP, sicurezza e business continuity forniscono ai nostri clienti soluzioni affidabili, sicure e facilmente ridimensionabili. Tali anche da aiutare i nostri clienti a comunicare meglio, con maggiore flessibilità, a condividere dati d informazione tra filiali con maggiore efficienza, e a salvaguardare e proteggere i Data Centre. Affrontare le sfide con la Unified Security Architecture di Unified Security Architecture di indirizza e risolve tutti gli aspetti e le problematiche che oggi le aziende si trovano ad affrontare per garantire la sicurezza end-to-end. Internet è stata progettata per condividere le informazioni e non per proteggerle Unified Security Architecture di indirizza le aree relative alle reti VPN, alle LAN virtuali, ai firewall, alla crittografia e agli altri meccanismi che consentono alle organizzazioni di ridurre i rischi di una connessione a Internet. La sicurezza non è un'opzione La nostra architettura fa sì che tutte le misure relative allla sicurezza delle infrastrutture aziendali siano conformi alle prescrizioni legislative, etiche e di business per la protezione della integrità e della confidenzialità di dati. I malintenzionati hanno molte risorse La nostra architettura identifica gli strumenti necessari per aumentare la sicurezza, ne esamina le funzionalita' e descrive come ci si puo' proteggere dagli attacchi. Le minacce alla sicurezza non conoscono frontiere La nostra architettura indirizza le minacce possibili a diversi livelli, permettendo alle aziende di definire con flessibilità, che cosa proteggere, da quali minacce proteggersi, e quindi di definire le modalità di protezione ed i relativi livelli. La sicurezza dipende dalle persone, dai processi e dalle tecnologie La soluzione definisce e sviluppa politiche di sicurezza che interessano sia gli aspetti tecnici che quelli di comportamento del personale, affrontando problematiche quali l'addestramento e il corretto utilizzo degli strumenti. Non basta proteggere "l'ingresso principale" La nostra architettura comincia dalla difesa perimetrale tramite firewall e arriva fino al singolo utente ed alle sue applicazioni. Non c è una soluzione uguale per tutti L architettura permette di definire le specifiche necessita' e offre la possibilità di scegliere tra un ampia gamma di piattaforme e protocolli per realizzare la soluzione migliore. Il controllo di tutto e di tutti prende tempo La nostra architettura comprende prodotti progettati con elevati standard di sicurezza intrinseca, che permettono di adottare tecnologie di bilanciamento del carico, di accelerazione e di verifica di assenza di problemi, per ridurre al minimo il ritardo nelle trasmissioni. Occorre mantenersi calmi anche quando si è sotto pressione L architettura permette di separare le risorse critiche e continuare ad operare normalmente anche durante un attacco. La sicurezza è un processo a ciclo continuo che non termina mai Ècco perché la nostra architettura richiede processi di gestione che prevedano monitoraggi e miglioramenti continui, in modo da adattarsi al continuo sviluppo delle tecnologie e delle best practice del settore. 7
Proposte per comunicare Contivity: Prodotto Sicurezza dell'anno Network Computing, 2002 I vantaggi del telelavoro e dei lavoratori mobili sono oggi riconosciuti da un numero sempre maggiore di organizzazioni, che considerano produttività, efficienza e risparmio di tempo, fattori cruciali nel mantenimento della competitività. Il massimo successo dipende però dall'efficace e fluida integrazione di comunicazioni vocali e scambio di dati tra dipendenti, clienti, soci e filiali spesso situati a grande distanza gli uni dagli altri. Se a questi fattori si aggiunge la pressante esigenza di salvaguardare i sistemi informativi, una rete di comunicazione efficiente, economica e sicura diventa una priorità indiscutibile per ogni azienda. 9 ha la conoscenza, esperienza e tecnologia necessaria per far rendere al massimo i vostri sistemi di comunicazione. Le nostre soluzioniforniscono ai telelavoratori e ai dipendenti 'mobili' connessioni vocali e scambio dati a banda larga attraverso una varietà di dispositivi: cellulari, laptop e agende elettroniche (Personal Digital Assistant). Le trasmissioni si effettuano in tutta sicurezza attraverso la nostra soluzione Contivity, che abilita latelefonia protetta IP e l'accesso a tutte le applicazioni desktop attraverso le connessioni Internet.
Comunicare Lavoro flessibile e sicurezza Oggi il lavoro è un'attività, non più un 'posto' Una forza lavoro flessibile e fluida è il segno di riconoscimento di un'organizzazione al passo coi tempi e in vantaggio rispetto alla concorrenza. Il lavoro è un'attività che si può svolgere a casa, in viaggio, a mille miglia di distanza o in un altro ufficio. I lavoratori devono quindi avere sempre a disposizione il loro telefono, la casella vocale, intranet e fax dovunque si trovino. Nei casi in cui si richieda accesso soltanto adapplicazioni Internet, sono preferibili le reti private virtuali (VPN) su base SSL. SSL è la tecnologia crittografica utilizzata per transazioni di commercio elettronico via Internet. Tra i fornitori è in corso un dibattito relativo ai vantaggi delle diverse tecnologie VPN, ma in realtà sia IPSec che SSL offrono grossi vantaggi, e molte organizzazioni le utilizzano entrambe. è il solo fornitore in grado di offrire tutte e due le soluzioni VPN. 11 Fornire accesso a tutte le applicazioni desktop è relativamente semplice; assicurarne la sicurezzaè un problema più complesso. La soluzione d'avanguardia Contivity proposta da consiste in una gamma di prodotti in grado difornire ai vostri telelavoratori e lavoratori 'mobili' accesso sicuro a comunicazioni vocali, applicazioni e strumenti desktop, dati aziendali, sia dall'ufficiodi casa che in viaggio (via Internet). In altre parole, il lavoro è un'attività, non più un 'posto'. 'Contivity Secure IP Services Gateway' è lasoluzione perfetta per le aziende che volgiono costruirereti IP private virtuali (IP VPNs) per intranet, extranet e accesso remoto. Un singolo dispositivo hardware fornisce routing IP, firewall, gestione della larghezza di banda, crittografia, autenticazione e passaggio sicuro dei datisulla rete e su Internet. Contivity IP Services Gateway è dotato di una completagamma di opzioni volte alla creazione di reti private virtuali sicure ridimensionabili e di massima efficienza; il suo utilizzo consente di comunicare in modo veloce e sicuro sia con i propri partner che con i clienti. Basate su banda larga piuttosto che su ISDN o altre tecnologie di trasmissione a bassa velocità, le soluzioni Contivity consentono un'enormeriduzione dei costi. L'accesso protetto a soluzioni di telefonia IP con una connessione a banda larga offreuna splendida opportunità di minimizzare i costi (risparmiando fino al 65%* rispetto alla connessione ISDN) avvalendosi della convergenza tra comunicazioni vocali e scambio dati, che snellisce notevolmente i sistemi di controllo e la gestione delle risorse IT. L'elemento più importante nella gestione di VPN IPSec e SSL è l'uso di procedure di autenticazione costanti per entrambe, che libera l'utente dall'obbligo di riconoscere il tipo di rete a cui sta per accedere e di scegliere la giusta password. La rete privata virtuale Alteon SSL VPN e i prodotti Contivity abilitano tutti i sistemi di autenticazione, comprese smart card e biometrica. Nortel Contivity, una delle migliori interfacce di gestione che abbiamo visto in un VPN gateway. Mike Fratto, Network Computing Meridian 1 Il numero uno a livello globale fra i sitemi PABX 'IP enabled' Synergy *servizio residenziale DSL standard
Case Study arvato systems Case Study BT Openworld Il problema arvato systems pianifica, sviluppa, gestisce e mantiene in funzione per i propri clienti complessi sistemi IT, 24 ore al giorno, 7 giorni alla settimana. Come tutte le aziende, arvato cerca costantemente di ridurre i costi e aumentare l'efficienza. Nel 2002, usando un centralino interno (PBX) per gestire un servizio di assistenza, i telelavoratori hanno generato bollette telefoniche mensili superiori a 1.000 a testa. arvato ha quindi deciso di prendere in esamenuove tecnologie, in particolare la telefonia IP, per minimizzare velocemente le spese senza interferire con il lavoro. Il problema Quasi tutte le aziende riconoscono i vantaggi del telelavoro: riduzione dei costi fissi, creazione di un'organizzazione più flessibile, offerta di nuove opportunità per i dipendenti. La scarsità di banda larga disponibile pone però dei problemi pratici non indifferenti. 13 La soluzione arvato ha riconfermato in virtù dell'ottima relazione e collaborazione. Il problema è stato risolto abilitando il sistema Meridan 1, già esistente, all' IP Telephony introducendo una scheda ITG e un router VPN Contivity. Questa soluzione permette l'accesso alla rete voce dati e applicazioni, ed è ideale per coordinare le filiali o i telelavoratori all' interno di una rete aziendale sicura. Utilizza inoltre linee meno dispendiose per collegarsi a Internet, e offre la sicurezza in più di RSA SecurID. arvato ha scelto di dotare i telelavoratori di Meridian 1 i2050 IP Soft Phone, che trasforma ogni computer in una completa e sicura piattaforma di telefonia. Il risultato La soluzione L'installazione è stata veloce ed efficiente. Abbiamo ammortizzato il nostro investimento in qualche settimana, osserva Berthold Koehler, Senior Manager di arvato systems. E soprattutto, ora abbiamo a disposizione una soluzione economica che consente l'accesso a distanza senza compromettere la qualità del servizio. Con il successo della nuova strategia di comunicazione basata sulla telefonia IP, arvato systems sta esaminando altre possibilità di uso della telefonia IP per ridurre ulteriormente i costi. BT (British Telecom) ha introdotto punti di accesso pubblici LAN senza fili nell'ambito della strategia nazionale Wi-Fi. Questi siti utilizzano Contivity Gateway per consentire ai lavoratori in viaggio e ai telelavoratori di collegarsi in modo sicuro e molto veloce alle reti aziendali. BT ha iniziato con l'installazione di 36 'zone aperte' ('BT Openzones') distribuite su tutto il Regno Unito: Il risultato Il rapporto di lavoro strategico tra e BT permette ai lavoratori fuori sede di scaricare molto velocemente file pesanti, presentazioni, e di collegarsi via Internet ai servizi email e web in tutta sicurezza. La sicurezza è sempre stata una priorità, ma con le soluzioni Contivity i nostri lavoratori e i nostri clienti possono sfruttare al massimo i vantaggi di Internet e comunicare in modo sicuro con tutta la La sicurezza è sempre stata una priorità, ma con le soluzioni Contivity i nostri lavoratori e i nostri clienti possono sfruttare al massimo i vantaggi di Internet e comunicare in modo sicuro.... soprattutto, ora abbiamo a disposizione una soluzione economica che consente l'accesso a distanza senza compromettere la qualità del servizio. alberghi, stazioni di servizio, caffé e centri commerciali. L'obiettivo è creare 400 'Openzones' entro giugno 2003 e 4.000 entro giugno 2005. BT ha stipulato con Nortel Networks un accordo addizionale per la fornitura di soluzioni di sicurezza per le 'Openzones', e utilizzerà la stessa rete per consentire a 60.000 dei suoi telelavoratori di accedere alla rete a distanza con la massima sicurezza ed efficienza. rete, spiega Pierre Danon, Chief Executive, BT Vendite. È un buon esempio del valore aggiunto ottenuto grazie ad una importante e strategica collaborazione.
Domande frequenti Quali vantaggi si ottengono se abilitassi sia il PBX della mia azienda che i lavoratori alla telefonia IP? Comunicare in modo sicuro e flessibile vuol dire rendere il lavoro un'attività e non più un posto. Creare contact centre virtuali, distribuire una gruppo di commerciali più vicino ai clienti, fornire un ambiente flessibile per il personale specializzato o con particolari esigenze, ridurre l'estensione degli uffici per minimizzare i costi: questi potrebbero essere, singolarmente o insieme, alcuni dei vantaggi che velocemente si realizzerebbero aggiungendo semplicemente una scheda all'infrastruttura già esistente. Cosa occorre fare per attivare questo tipo di sistema? È molto semplice: basta configurare una nuova scheda (la IP Telephony Gateway, o ITG) all'interno dell'esistente PBX Meridian 1, abilitando così il traffico telefonico su base IP, sia con ricevitori IP che con Soft Phones IP (basati sul computer). Che cosa sarà necessario sostituire e quali componenti eliminare dall'esistente PBX? La soluzione viene integrata nelleinfrastrutture e negli investimenti già esistenti, senzasostituzioni o sprechi. Basta aggiungere la scheda ITG per avvalersi di tutta la flessibilità della telefonia IP con le caratteristiche desiderabili dei ricevitori digitali tradizionali: nessuna riduzione delle possibilità già a vostra disposizione. Quindi non è necessario convertire l'intero sistema per avvalersi della flessibilità necessaria solo ad alcuni lavoratori? Esatto. Mentre alcuni fornitori propongono l'intero aggiornamento della rete telefonica, consente di apportare modifiche secondo le proprie esigenze, proteggendo tutti gli investimenti già effettuati. Disponiamo tuttavia di una completa gamma di sistemi, tale da consentire soluzioni ibride o totalmente basate sulla telefonia IP: si tratta della nostra gamma 'Succession', flessibile e scalabile, e pertanto in grado di soddisfare le vostre esigenze attuali e future. Come funziona il sistema per i telelavoratori? Il migliore esempio è una connessione a banda larga con l'ufficio a distanza o in casa, come ADSL o via cavo. I telelavoratori possono scegliere tra un ricevitore di telefonia IP, un Soft P hone IP, o un ricevitore digitale tradizionale. La soluzione offre piena sicurezza grazie a Contivity, che instaura un collegamento sicuro tra i telelavoratori e la sede della rete/pbx. I telefoni si registrano con il PBX e funzionano come con il sistema tradizionale; ma ora i lavoratori possono trovarsi in qualsiasi parte del mondo e rispondere allo stesso numero mantenendo le stesse caratteristiche del centralino interno. Perché usare un Soft Phone IP invece di un ricevitore? Il Soft Phone si addice ai lavoratori in viaggio, che si spostano tra diversi uffici, o che si trovano in albergo. In questo caso, il collegamento sicuro viene stabilito tra il computer e la vostra rete usando Contivity VPN Client; il Soft Phone i2050 fornisce una soluzione di telefonia basata sul computer, con una piccola cuffia portatile. Nel caso di telelavoratori a tempo pieno, è forse più appropriato il ricevitore tradizionale, sia di telefonia IP che digitale (come uno dei nostri prodotti RO 9xx0). In queste situazioni, è Contivity Gatewaya far da garante e il servizio di telefonia è disponibile indipendentemente dal computer. Perché considerare il problema sicurezza quando vogliamo migrare alla telefonia IP per i telelavoratori? Garantire l'accesso a distanza alla vostra rete è un fattore vitale per il buon andamento dell'azienda, ma presenta il rischio di esporre la rete ad attacchi e minacce di ogni sorta. Ecco perché è altrettanto importante proteggere i collegamenti tra i telelavoratori e la rete (autenticazione e autorizzazione), e proteggere i dati che viaggiano attraverso questi collegamenti (crittografia o segretezza). Che applicazioni si possono usare con la soluzione comunicare in modo sicuro? Con CallPilot, i lavoratori possono usare il laptop per ricevere email, fax e messaggi con un collegamento sicuro. Se necessario, possono allo stesso tempo effettuare chiamate e trasferirle, ridirigerle o condividerle. Per contattare un utente, chi effettua la chiamata forma semplicemente il numero dell'ufficio: il laptop del telelavoratore 'suona' senza bisogno di mettere in funzione ridirezioni della chiamata. Internet e la rete aziendale sono disponibili a partire dal browser normale, come se l'utente fosse collegato alla rete LAN dell'ufficio. Come abilitare la soluzione comunicare in modo sicuro? Per instaurare il collegamento, basta che l'utente colleghi il proprio laptop, dotato di scheda Ethernet, a una porta Ethernet in un albergo o in un'altra località. In aeroporto, o in luoghi pubblici designati come 'punti senza fili' ('wireless hotspot'), il collegamento alla rete LAN senza fili è effettuato usando una scheda LAN senza fili nel laptop. Si avvia poi il software Contivity IPSec client, già installato sul laptop, creando così un 'tunnel' IP Sec sicuro dal laptop agli uffici aziendali. Si accede quindi alla rete aziendale e a Internet usando il normale browser. Avviando il software CallPilot client sul laptop, il lavoratore a distanza o in viaggio si collega al server CallPilot della sede e controlla email, fax e messaggi. Se desidera effettuare o ricevere chiamate telefoniche, avvia il software i2050 client (softphone) sul laptop. Usando il tunnel IPSec già stabilito, i2050 si collega a un PBX Meridian con abilitazione IP, o al Succession Call Server in sede, mettendo a disposizione dell'utente tutti i servizi di telefonia. Qual è la qualità della trasmissione vocale offerta dalla telefonia IP durante i collegamenti DSL/modem cavo? L'uso della soluzione "comunicare in modo sicuro" con collegamento modem cavo/adsl 500K fornisce una trasmissione di alta qualità,non molto diversa da quella offerta dalle soluzioni di telefonia tradizionale. 15
Proposte per condividere Contivity. Well Connected Award Prodotto sicurezza dell'anno Network Computing Oggi, molte aziende stanno prendendo in esame i vantaggi offerti dai nuovi servizi a banda larga e a basso costo. La maggiore disponibilità di banda consente l'accesso ad applicazioni più complete e una significativa riduzione dei costi. Il passaggio sicuro di informazioni riservate attraverso queste reti comporta però problemi relativi all'integrità delle reti stesse. In molti Paesi la normativa dell'industria finanziaria, come ad esempio la Ley Organica de Proteccion de Datos (LOPD) in Spagna, decreta l'obbligo di applicare la crittografia alle informazioni che viaggiano su reti estese. 17 Per risolvere questi problemi, le aziende devono creare reti sicure che facciano uso delle funzionalità VPN e firewall. Come unico fornitore di routing sicuro, VPN e firewall su un'unica piattaforma Contivity Secure IP Services Gateway, arriva a ridurre i costi fino al 50% rispetto alle spese necessarie per installare diversi dispositivi che affrontino questi problemi separatamente. Circa sette servizi di rete privata virtuale su dieci si basano su una piattaforma Contivity. Nortel ha potenziato i dispositivi Contivity per reti private virtuali con l'aggiunta di possibilità di instradamento, gestione della larghezza di banda e firewall... una soluzione integrata che riduce i costi di installazione e manutenzione del cliente. George A. Chidi, IDG News, Infoworld.
Proposte per condividere Connettività sicura tra filiali Nel cuore del successo La condivisione di informazioni all interno di una azienda è determinante per l integrazione dei dipendenti e delle filiali dislocate in aree geografiche diverse - al fine di riuscire ad avere un unica realtà. Altro elemento fondamentale è la collaborazione tra clienti, fornitori e partner. Il problema è chiaro: l azienda ha bisogno di una soluzione sicura, efficace dal punto di vista dei costi, in grado di collegare le filiali più piccole, gli uffici internazionali e i fornitori di riferimento. Oggi sia le reti che i singoli utenti di un'azienda necessitano di una sempre più maggiore larghezza e disponibilità di banda (vuoi per le nuove e complesse applicazioni che vengono fatte gestire dalla rete vuoi per il numero sempre più alto di flussi di dati scambiati); Le proposte tradizionali oggi presenti sul mercato - basate su un segnale portante e su tecnologie legacy - risultano essere poco flessibili, a tariffazione elevata costi d'installazione pesanti e a dir il vero con un'ampiezza di banda piuttosto bassa. La soluzione Contivity Secure IP Services Gateway di fornisce prestazioni elevate e connettività tra filiale e filiale a basso costo, permette alla totalità dei servizi di ottenere un accesso alla rete e alle sue applicazioni in modo sicuro, contribuendo a distribuire dati e informazioni con maggior successo e ovviamente in modalità sicura. La soluzione Contivity Secure IP Services Gateway assicura la massima protezione senza compromettere le prestazioni o la produttività tra le filiali. Crea comunicazioni sicure tra filiali funzionando da tunnel nel momento in cui arriva richiesta di accesso alla rete e/o ad Internet. Assicura anche l'integrità e la riservatezza delle informazioni in tutta l'azienda, creando sistemi aperti ed accessibili per un impiego legittimo, ma chiusi all' accesso indesiderato o doloso. È importante sottolineare che la protezione non è un lusso: per alcuni settori di mercato esiste una normativa giuridica che rende obbligatorie le misure di sicurezza. La soluzione Contivity IP Services Gateway offre una piattaforma flessibile per costruire reti private virtuali IP (VPN) ad elevate prestazioni, completamente sicure, che si possono ridimensionare con facilità. Fornisce inoltre routing su IP d'avanguardia, firewall, gestione della larghezza di banda, crittografia, autenticazione e integrità dei dati. Non ci sono prodotti addizionali da installare né sono richiesti aggiornamenti hardware. Grazie alla sicurezza integrata sulle reti Intranet ed Extranet estese a filiali multiple, si può utilizzare la stessa piattaforma per accesso a distanza in modalità sicura e per condividere le informazioni anche con utenti che si collegano da casa. Le nuove piattaforme Contivity... dispositivi in grado di ridurre i costi IT delle aziende. Zeus Kerravala, vice presidente per le infrastrutture aziendali, Yankee Group. Contivity: vincitore nel 2002 del premio Information Security Excellence nella categoria Reti Private Virtuali (VPN). Marzo 2002. 19
Case Study Swisscom Case Study Caixa Catalunya Il problema Swisscom, fornitore leader in Svizzera di prodotti e servizi di telecomunicazione, possiede oltre 4 milioni di connessioni fisse per accesso alla rete. Quindi, quando i clienti del LAN Interconnect Service hanno iniziato a richiedere una connettività sicura e gestita in modo completo in grado di ridurre i costi di gestione di una LAN senza comprometterne la sicurezza o l integrità dei dati, Swisscom si è rivolta a e nello specifico Contivity, la soluzione leader sul mercato. Il problema Caixa Catalunya è una delle banche leader in Spagna con 950 sportelli in tutta la nazione. Il miglioramento della qualità e l aumento della gamma di servizi forniti ai clienti comportano inevitabilmente un incremento del flusso delle informazioni tra le filiali. La vera sfida nell ambiente bancario è migliorare le prestazioni e la flessibilità delle comunicazioni senza comprometterne la sicurezza. 21 La soluzione Swisscom intendeva avvalersi delle più moderne tecnologie di sicurezza disponibili, contando però di effettuare l installazione in modo semplice e a costi contenuti. Dopo aver ampiamente valutato ed analizzato le molteplici soluzioni software e hardware presenti sul mercato e nonostante il numero elevato di prodotti VPN concorrenti, lo switch VPN Contivity di si è imposto decisamente come Il risultato La soluzione Avendo scelto Contivity come piattaforma CyberKey (una piattaforma di sicurezza end-to-end di marca), Swisscom ha potuto aggiungere un ulteriore livello di servizio ed estendere il valore delle LAN Interconnect Service. Nonostante il gran numero di prodotti VPN concorrenti disponibili sul mercato, ha dichiarato Theo Brüggemann, responsabile dei servizi di comunicazione aziendali di Swisscom Enterprise Solutions, lo switch Lo switch VPN Contivity di ha dimostrato meglio di qualsiasi altro di possedere la combinazione funzionalità e prestazioni necessaria a nostro giudizio per soddisfare le richieste dei nostri clienti e indispensabile nell ambiente dei service provider. Caixa Catalunya ha installato una struttura di sicurezza per l accesso in rete basata su Contivity Secure IP Services Gateways di. Questa tipologia di struttura permette di realizzare gli obiettivi di connettività, tra tutti gli sportelli della banca, in modo sicuro ed efficace soprattutto dal punto di vista economico. Il risultato La soluzione salvaguarda la riservatezza, la sicurezza e l incolumità del traffico di rete, con una maggiore operabilità e facilità d uso. La soluzione Contivity Secure IP Services Gateway ci ha permesso di realizzare gli obiettivi di connettività mantenendo alto il livello di sicurezza, ha commentato Luis Marcos, Caixa Catalunya. Questo è un fattore di primaria importanza per salvaguardare i rapporti di fiducia che intratteniamo con i nostri clienti. La soluzione Contivity Secure IP Services Gateway ci ha permesso di realizzare gli obiettivi di connettività mantenendo alto il livello di sicurezza. vincitore dimostrando di possedere la combinazione funzionalità e prestazioni necessaria per soddisfare le esigenze dei clienti di Swisscom. VPN Contivity di ha dimostrato di possedere la combinazione funzionalità e prestazioni che a nostro giudizio era necessaria per soddisfare le esigenze dei nostri clienti elemento indispensabile nell ambiente dei service provider.
Domande frequenti l interoperabilità IPSec tra più fornitori, e la Che cos è il portafoglio Contivity Secure IP Services Gateways? Per le imprese, il portafoglio Contivity Secure IP Services Gateways sfrutta le risorse di Internet per creare una soluzione IP sicura ed economicamente conveniente in sostituzione delle costose WAN dedicate. Per i service provider, il portafoglio Contivity Secure IP Services Gateways è la risposta ideale per trarre beneficio dal mercato in espansione dei servizi IP gestiti, tra cui le reti VPN che possono essere ad accesso remoto o site-to-site o i servizi di accesso a Internet gestiti. Quali servizi offre la soluzione Contivity Secure IP Services Gateways? Contivity è un dispositivo IP Services Gateway mirato e sicuro che offre servizi VPN ad alta velocità (crittografia/autenticazione), capacità di firewall, routing IP, Wide Area Networking (WAN), Quality of Service (QoS) e Lightweight Directory Access Protocol (LDAP), tutto in un unica piattaforma integrata e totalmente gestita. Questi servizi IP core possono essere concessi in licenza: in questo modo i clienti possono attivare i servizi e pagarli (VPN, firewall, directory, routing avanzato e QoS) quando li utilizzano. Che cosa si intende per Secure Routing Technology (SRT)? SRT è una struttura software che integra la sicurezza in tutti i Contivity IP Services Gateways. Offre funzioni di scalabilità ed elevate prestazioni anche quando si richiedono più servizi IP nello stesso dispositivo. L SRT su Contivity fornisce funzioni chiave quali il routing dinamico su tunnel IP sicuri, procedure comuni di sicurezza per gli utenti e la capacità di attivazione di nuovi servizi IP a richiesta. Come è possibile installare questi dispositivi su tutta la rete? Le soluzioni Contivity Secure IP Services Gateways sono progettate per essere installate con facilità in aziende, filiali e piccoli uffici con una perfetta interoperabilità con i componenti di rete preesistenti come router, firewall e processi di autenticazione. Grazie al supporto per interfacce WAN, servizi di routing, firewall, directory e QoS, Contivity svolge un ruolo determinante quando l azienda sposta questi servizi IP da dispositivi tradizionali a una piattaforma altamente integrata e gestita in maniera centralizzata. È prevista la certificazione esterna? In qualità di leader di mercato nel settore IP Virtual Private Networking (IP VPN), Contivity installa da anni reti VPN IP end-to-end sicure. Le capacità VPN di Contivity sono standard in ogni unità e prevedono il supporto per servizi di crittografia e autenticazione con tunnellizzazione IPSec standard. Contivity offre anche un ampio supporto per tutti i principali certificati digitali (PKI), valide funzioni di autenticazione, global dialler, firewall personale, individuazione di intrusioni e fornitori di directory per garantire ai clienti l installazione di soluzioni end-to-end della migliore qualità. Contivity ha ottenuto la certificazione TruSecure (ICSA) per certificazione FIPS-140 del governo federale che garantisce elevati livelli di conformità in fatto di sicurezza. Che distribuzione ha il client VPN Contivity? Con una quantità stimata di oltre 35 milioni di client VPN Contivity installati a livello globale dal 1998, si è imposta come leader nel mercato dell accesso remoto tramite VPN. Il potente set di funzioni del client VPN, caratterizzato da estrema stabilità e generale facilità d uso, soddisfa le esigenze dei clienti che desiderano gestire grandi quantità di utenti VPN limitando nel contempo i problemi di installazione e contenendo i costi di supporto. Come si esplica la protezione firewall di Contivity? Il software Contivity Stateful Firewall è dotato di un interfaccia facile da usare e di consistenti set di istruzioni filtro volti a garantire linee di difesa multiple della rete privata di un azienda. Con estese funzionalità di logging, un ampia gamma di gateway di livello applicativo e funzionalità integrate di protezione da attacchi hacker, lo stateful firewall di Contivity è in grado di proteggere la rete aziendale e i suoi dati da intrusioni non autorizzate garantendo al tempo stesso un rendimento a velocità wire-speed. Che livello di prestazioni è in grado di garantire? Contivity supporta migliaia di connessioni di routing, VPN e firewall simultanee a velocità che raggiungono centinaia di Mbps. Quando questi servizi IP vengono applicati agli utenti e alle connessioni, l architettura hardware/software di Contivity garantisce che le prestazioni previste non ne risentano. La struttura hardware, il set di funzioni software e la configurazione di rete di Contivity assicurano un elevata disponibilità che garantisce alle reti dei nostri clienti di continuare a funzionare ininterrottamente. 23
Proposte per proteggere Sistema Alteon Switched Firewall: Il migliore prodotto per reti e comunicazioni. Rivista Australian Technology & Business alla fiera NetWorld + Interop, Sydney Il principio fondamentale dell informatica è acquisire dati, trasformarli in informazioni e usarli per creare conoscenza. Ma per salvaguardare e rendere sicura la conoscenza occorre prima di tutto proteggere i dati. Il processo di decentramento dei dati, prevalente all inizio degli anni 90, è stato ampiamente capovolto data la crescente esigenza di sicurezza e integrità. Tematiche quali gestione dei rischi e adozione di best practice nella gestione dei sistemi informatici hanno creato una nuova visione sul corretto uso dei data centre. La visione attuale è che i data centre debbano essere fortezze, protette da attacchi sia fisici che virtuali, e che se un centro viene attaccato, ci debba essere un alternativa che possa essere immediatamente attivata a seguito di un breve preavviso. 25 Può trattarsi di un cold standby (incremento di capacità) con nastri online, o di un hot standby (ridondanza), ovvero la creazione di una replica perfettamente sincronizzata con l originale tramite una rete ad alta velocità. Grazie a tecnologie come i firewall, l individuazione delle intrusioni e le SAN Wide Area, può creare un ambiente sicuro per i data centre con la protezione e le capacità necessarie per salvaguardare la sincronizzazione dei database sia su distanze ridotte che su distanze maggiori.
Proposte per proteggere Garantire la sicurezza dei data centre Nel cuore del successo L importanza di creare un ambiente perfettamente protetto attraverso il quale instaurare canali sicuri di comunicazioni con l esterno, è laragamente accettato e condiviso. Il problema è realizzarlo in modo sicuro garantendo agli utenti tutto l accesso e la funzionalità di cui necessitano. Il firewall è lo strumento che permette di far ciò, ma seppur necessario non è sufficiente a creare l ambiente ideale: ecco perché l idea di una Demilitarised Zone (DMZ), ovvero una zona smilitarizzata, sta diventando sempre più popolare. DMZ è un area protetta sia dalla rete interna che dal mondo esterno, nel quale è possibile collocare le risorse a cui occorre accedere dal mondo esterno: server web, LAN wireless e altre risorse. Oltre a DMZ l accesso esterno è quindi ristretto agli utenti che operano su VPN autenticate. Il DMZ si situa tradizionalmente tra due set di firewall, e i sistemi di individuazione delle intrusioni incorporati nel data centre costituiscono ulteriori livelli di sicurezza. La gamma di prodotti Nortel Networks comprende tutte queste funzioni, soprattutto la gamma Alteon Switched Firewall, che rappresenta un firewall accelerato per l erogazione di prestazioni superiori tramite il software leader nel settore Firewall-1 di Check Point. Tuttavia, la limitazione dell accesso è solo un aspetto della realizzazione dei data centre sicuri. Un altro aspetto è la capacità di salvaguardare i servizi in caso di disastro. Tutte le organizzazioni devono porre in atto un piano di disaster recovery (DR), e in molti casi ciò implica la creazione di backup su nastro che vengono conservati in una località esterna all azienda. Ma in un ambiente in cui le informazioni devono essere aggiornate, ciò è inaccettabile. L alternativa è la creazione di un secondo data centre identico e lontano dal primo. La domanda è: a che distanza? A New York, le autorità hanno dichiarato che le aziende dovrebbero situare i data centre di backup a 250 km dal centro. Le banche però hanno obiettato che lo spostamento del personale su tale distanza prenderebbe molto tempo; quindi si applica ora il concetto di una distanza pratica. Le tecnologie ottiche come il Wave Division Multiplexing consentono agli utenti di collegare i data centre tra luoghi diversi di un area metropolitana, e la gamma OPTera di Nortel Networks ha fissato gli standard in questo mercato. Le nuove migliorie ci consentono di integrare Ethernet Gigabit nella rete a costi di gran lunga inferiori e inoltre di trasportare canali Ethernet e a fibre ottiche attraverso le reti basate su SDH esistenti. Poiché queste informazioni mission critical vengono trasportate in una struttura canalizzata anziché su IP, sono al sicuro dalle tipiche vulnerabilità IP. Alteon SSL Accelerator offre prestazioni, gestione e scalabilità fenomenali. Network Computing 27
Case Study Belgian Post Case Study Espotting Il problema Con il maggiore utilizzo del fax e dell e-mail, il servizio postale belga, Belgian Post, gestisce meno posta e ha sviluppato un piano strategico per trasformarsi in una società di distribuzione di informazioni. Ha ampliato l offerta di servizi in modo da includere una gamma completa di servizi e-mail, trasdormandosi sostanzialmente in un ISP. Ha dovuto quindi costruire una nuova infrastruttura di rete del tipo data centre, caratterizzata dai massimi livelli di velocità, sicurezza e affidabilità, per poter gestire l enorme aumento previsto nel traffico rete. Il problema Espotting Media è una rete di ricerca europea pay-per-click creata per soddisfare le esigenze di pubblicitari, consumatori e associati. Data la domanda nel corso degli ultimi anni, la società è cresciuta rapidamente ed ha ora otto uffici in cinque paesi. Espotting gestisce attualmente oltre mezzo miliardo di ricerche al mese, una cifra destinata ad aumentare. Avendo in programma un ulteriore espansione, è stato determinante per Espotting sfruttare al massimo il potenziale del firewall e la relativa possibilità di ridimensionamento. 29 La soluzione Belgian Post ha scelto Alteon Web Switch di Nortel Networks, in grado di offrire il maggior numero di connessioni simultanee ed inoltre caratterizzati dalla capacità esclusiva di garantire il bilanciamento del carico a livello firewall. Prestazioni e affidabilità sono garantite da strumenti quali Bandwidth Management, VPN Web Server, firewall e IDS load balancing, Web Cache Redirection e SSL offload. Un conseguente aumento del 90% nelle prestazioni dei server ha prodotto enormi risparmi economici, un incremento dei tempi di risposta e una riduzione dei costi di banda larga. Il risultato La soluzione Belgian Post è riuscita a trasformare il suo servizio postale in un servizio di telecomunicazione elettronica, con un livello di sicurezza a prova di guasti per le comunicazioni private. è consapevole delle preoccupazioni sulla sicurezza e delle esigenze degli ambienti dei data centre. Sono sicuro che la flessibilità dei prodotti Alteon ci consentirà di implementare le tecnologie più moderne e più potenti non appena saranno disponibili ha affermato Georges Kiss, responsabile di rete, Belgian Post. è consapevole delle preoccupazioni sulla sicurezza e delle esigenze degli ambienti dei data centre. Sono sicuro che la flessibilità dei prodotti Alteon ci consentirà di implementare le tecnologie più moderne e più potenti non appena saranno disponibili. Espotting cercava una soluzione che garantisse i massimi livelli di sicurezza della rete, aumentando la velocità e le prestazioni di trasmissione ma conservando le capacità di adattabilità per sostenere i piani di espansione della società in Europa. Le è stato raccomandato Alteon Switched Firewall (ASF) di Nortel Networks date le sue eccellenti prestazioni e il suo carattere di soluzione completa. Ciascun ASF fornisce un throughput di 3,2 Gbps, fino a 32.000 sessioni di connessione al secondo e fino a 500.000 sessioni contemporanee. Espotting ha installato più ASF in una configurazione ad alta disponibilità. Il risultato L implementazione di Alteon Switched Firewall ha posto fine alla preoccupazione di dover cambiare la protezione firewall nel processo di espansione della società, ha dichiarato Julian Ball, direttore tecnico di L implementazione di Alteon Switched Firewall ha posto fine alla preoccupazione di dover cambiare la protezione firewall nel processo di espansione della società. Espotting Media. Inoltre, le prestazioni e la capacità di adattabilità di questa soluzione assicurano ampie possibilità di far fronte alla domanda attuale e alle esigenze future senza compromettere la rete esistente.
Domande frequenti Alteon Switched Firewall Che cos è Alteon Switched Firewall? Con la sua esclusiva architettura switch - accelerated, Alteon Switched Firewall (ASF) garantisce una flessibilità senza pari e offre un ampia gamma di opzioni a diversi livelli di prezzo, a misura delle esigenze di grandi società e service provider. Alteon Switched Firewall è una soluzione a più componenti, gestita come un unico sistema. Si tratta di una stretta integrazione di due componenti chiave: un Alteon Switched Firewall Accelerator e sei Alteon Switched Firewall Director. Usando la tecnologia Secure XL di Check Point e la Open Security Architecture (OSA) di, i firewall director e i firewall accelerator possono comunicare per impostare o distruggere sessioni firewall in tempo reale. Inoltre, offre ora la serie Alteon 5100 di firewall non accelerati a complemento della famiglia di prodotti Alteon accelerator e come ampliamento della gamma di opzioni di installazione per includere soluzioni di sicurezza ad alte prestazioni a livelli di prezzo competitivi. Qual è la differenza tra questo prodotto e altre appliance che usano il software Check Point? In primo luogo, ASF rappresenta la prossima generazione di piattaforme di sicurezza in grado di elaborare la maggior parte delle decisioni in base a circuiti ASIC anziché a processori generici ovvero avvalendosi di uno switch anziché di un server o un appliance. Ciò permette prestazioni impareggiabili in multi-gigabit. In secondo luogo, non vi sono altri prodotti disponibili con tali prestazioni che garantiscano nel contempo lo stesso livello di flessibilità di installazione. Qual è la differenza tra questo prodotto e firewall basati su server e altre appliance di firewall? I firewall appliance solitamente esaminano ciascun pacchetto individualmente al passaggio attraverso il firewall, il che può deteriorare notevolmente le prestazioni nei data centre ad alto volume di traffico. Situandosi in genere sul percorso dei dati ed esaminando ciascun pacchetto, i firewall non solo agiscono come riduttori di velocità limitando il throughput di dati, ma rischiano di diventare anche un singolo punto di guasto nella rete. A differenza di questi firewall tradizionali che concentrano tutte le funzioni in una singola unità, l ASF si avvale dell Open Services Architecture (OSA) di per consentire a due componenti firewall esclusivi di funzionare fianco a fianco e di accelerare notevolmente il livello generale delle prestazioni. Lo Switched Firewall Director (SFD) è ottimizzato per gestire compiti complessi e ad elaborazione intensa di impostazione e distruzione di sessioni sicure. Lo Switched Firewall Accelerator (SFA) si avvale di Alteon, tecnologia Nortel Networks, per la commutazione dei pacchetti a volumi e velocità wire-speed. Queste due unità sono collegate tra loro in maniera sicura dall OSA in modo che il Director sia in grado di aggiornare le tabelle dell Accelerator in tempo reale, assegnando le complesse funzioni di firewall al Director e il throughput sicuro a velocità wire-speed all Accelerator. Una soluzione con due dispositivi è sicura? Sì! L ASF è stato co-sviluppato con Check Point ed è certificato OPSEC come dispositivo sicuro. Tutte le sessioni sono impostate e distrutte dal Firewall Director. Nel caso alquanto improbabile di guasto, la soluzione firewall smette di inoltrare il traffico. I due dispositivi funzionano come un unico dispositivo logico. Quali sono i vantaggi di avere l SFD e l SFA come componenti separati? L SFA è costruito su un hardware Alteon collaudato per raggiungere capacità di trasmissione in multi-gigabit con intelligenza L2-L7, e l SFD si avvale della Intel Curve che garantisce sempre prestazioni superiori a parità di prezzo per l elaborazione firewall. Inoltre in una configurazione ad alta disponibilità non esistono singoli punti di guasto in quanto l SFA e l SFD hanno proprie ventole, alimentatori, processori, ecc. Una soluzione a due dispositivi può comportare maggiori problemi di gestione rispetto a una soluzione a piattaforma singola? I due componenti dell ASF funzionano come un singolo dispositivo logico. Una delle caratteristiche chiave di questa soluzione è la capacità di aggiungere in maniera incrementale altri Firewall Director per adattare le dimensioni della protezione firewall. Una soluzione a due dispositivi offre il massimo livello di flessibilità e di installazione. La soluzione ASF possiede la certificazione OPSEC? Sì. Quali altre certificazioni sono disponibili? Alteon Switched Firewall System ha ottenuto la certificazione aziendale ICSA nel dicembre 2002. Questa certificazione è spesso richiesta nei settori finanziari, nella sanità, e negli enti pubblici. I firewall della serie 5100 supportano aggiornamenti di accelerazione? Sì, l ASF 5105, 5109 e 5112 possono essere aggiornati in modo da diventare una soluzione accelerata con l aggiunta di uno Switched Firewall Accelerator e un software di upgrade. Tuttavia, poiché i firewall ASF 5105 e 5109 mancano delle capacità degli ASF Director di livello superiore, l accelerazione di questi firewall non produrrà un sensibile aumento delle prestazioni generali. Il software di upgrade è un opzione separata da $3.500. L ASF 5109 supporta un throughput di oltre 1 Gbps, rispetto ai 600 Mbps dell ASF 5308 e ASF 5408 accelerati. Perché acquistare la soluzione accelerata? Sebbene l ASF 5109 supporti un elevato throughput, si tratta pur sempre di una soluzione Check Point standard a dispositivo singolo. Configurato come firewall a sé stante, il 5109 (e altri prodotti della serie 5100) non è in grado di usufruire dei vantaggi dell architettura accelerata degli switch ASF, vantaggi che comprendono migliori prestazioni generali nella gestione di elevati carichi di traffico con un offload fino al 90% dei dati della sessione all Accelerator, una latenza molto bassa, capacità plug-and-play per l adattamento a 6 Director in un cluster, e un elevata disponibilità active-active per la creazione di sessioni di backup e ridondanza. 31
Domande frequenti Alteon Application Switch Che cos è Alteon Application Switch? Gli Alteon Application Switch di sono sistemi di commutazione multiapplicazione che consentono la commutazione Layer 2-3 a velocità wire-speed e la gestione del traffico intelligente Layer 4-7 a elevate prestazioni. Layer 4-7 è estremamente importante per applicazioni quali bilanciamento del carico di server e dispositivi di rete, reindirizzamento delle applicazioni, sicurezza e gestione della larghezza di banda. Gli Alteon Application Switch sono comunemente usati in server farm, data centre e reti. Quali sono le novità degli Alteon Application Switch? Le migliori caratteristiche degli Alteon Web Switch sono state selezionate e ulteriormente sviluppate per sfruttare una nuova architettura di commutazione. Gli Alteon Application Switch si avvalgono di una Virtual Matrix Architecture di prossima generazione, che consente ottime prestazioni di elaborazione sia distribuita che centralizzata. È stato inoltre utilizzato un Alteon Web OS denominato Alteon OS 20.0 che si basa sul codice di Alteon Web OS, ma è stato progettato appositamente per usufruire della nuova architettura ad elevate prestazioni. La nuova architettura dialteon Application Switch offre: Più spazio e flessibilità nello sviluppo di funzionalità software; molta più memoria per sviluppare caratteristiche innovative per i nostri clienti Una maggiore densità di porte (28 porte) in un form factor 1U di dimensioni ridotte Processori applicativi integrati, per esempio accelerazione SSL e VPN SSL Eccellenti prestazioni L4-7 Alteon OS 20.0 supporta tutte le caratteristiche di Alteon Web OS 10.0 con migliorie che consentono di poter usufruire della nuova architettura, producendo così prestazioni più elevate. Inoltre, funzioni come port mirroring, bilanciamento del carico IDS e gestione della larghezza di banda sono state migliorate e perfezionate a vantaggio della semplicità e di una maggiore funzionalità. Qual è la differenza tra l architettura di Alteon Application Switch e altri switch Layer 4-7? Analogamente ad Alteon Web Switch, gli Alteon Application Switch offrono la più ampia gamma disponibile sul mercato di caratteristiche di bilanciamento del carico per funzioni specifiche, tra cui meccanismi di protezione firewall, IDS, VPN, WAN Link, WAP e bilanciamento del carico RTSP. Alteon Application Switch è l unico switch sul mercato con una VPN SSL integrata, e si avvale dell elaborazione distribuita con la Virtual Matrix Architecture che garantisce le migliori caratteristiche di elaborazione sia distribuita che centralizzata. Le architetture di elaborazione distribuita consentono una certa flessibilità, poiché è possibile usare tutte le risorse per far fronte al traffico, tenendo presente però che i processori centrali possono diventare colli di bottiglia; in generale, le architetture di elaborazione distribuita garantiscono alte prestazioni. Tuttavia, il traffico su una porta può non essere in grado di sfruttare le risorse libere altrove sullo switch e non può usare le informazioni disponibili su un altra porta per prendere una decisione. La Virtual Matrix Architecture permette ad Alteon Application Switch di offrire ai clienti il meglio delle architetture sia distribuite che centralizzate, sfruttando tutte le risorse di elaborazione e memoria e applicandole alle porte che attivamente gestiscono il traffico. Ciò agevola la progettazione delle rete in quanto Alteon Application Switch si configura da solo per la rete e non il contrario, cioè non è necessario che la rete sia progettata per supportarlo. Alteon Link Optimiser Che cos è Alteon Link Optimiser? Alteon Link Optimiser di è uno switch che semplifica il multi-homing tramite funzioni di gestione intelligente del traffico, gestione della larghezza di banda e health-check per ottimizzare la disponibilità e l utilizzo di connessioni di rete multihomed. Una sofisticata sicurezza integrata che include protezione da Denial of Service (DoS), ovvero rifiuto del servizio, protezione dall utilizzo improprio delle applicazioni (application abuse protection), liste di accesso, filtri e bilanciamento del carico con sistema di individuazione delle intrusioni - offre il primo livello di sicurezza delle applicazioni e della rete. Alteon Web Switching Module Che cos è Alteon Web Switching Module (WSM)? Alteon Web Switching Module (WSM) è un modulo I/O Passport 8600 che abilita il Routing Switch Layer 2-3 con funzioni leader di settore per quanto riguarda gestione intelligente del traffico e supporto e controllo delle applicazioni Layer 4-7. Alteon WSM ha quattro porte rivolte verso la parte anteriore che possono essere configurate in modo da supportare connessioni dual-media 10/100 o 1000BaseSX con dispositivi di rete come router upstream o pool di server per l individuazione delle intrusioni. Le quattro porte rivolte verso la parte posteriore si collegano al backplane dello chassis dello switch Passport, sfruttano tutti i moduli e le porte fan-out L2-3 e permettono il riconoscimento di Alteon WSM da parte dello switch Passport CLI. Lo chassis del Passport 8010 supporta fino a otto moduli Alteon WSM. Il motore del Web Switching Intelligent Traffic Management and Control L4-7 è dotato di un proprio processore di gestione e di un sistema operativo che è stato premiato, chiamato Web OS. È possibile connettere e configurare le applicazioni e i servizi di Alteon WSM e del Web OS tramite l interfaccia Passport Command Line Interface (CLI), e fra non molto con il Java Device Manager (JDM) e il Preside Network Configuration System (NCS) di. 33
Domande frequenti Alteon SSL Accelerator Che cos è Alteon SSL Accelerator? Alteon SSL Accelerator è un dispositivo SSL (Secure Sockets Layer) dotato di tutte le funzioni che si integra perfettamente in qualsiasi rete per semplificare gli ambienti protetti. La sua capacità di gestire elevati volumi di traffico SSL, proteggere l accesso remoto, ottimizzare l infrastruttura di server back-end e ridurre i costi della sicurezza, lo rendono la soluzione ideale per l ampia gamma di applicazioni SSL disponibili oggigiorno. Si tratta di un dispositivo IP progettato appositamente per ottimizzare gli ambienti SSL in quanto i server applicativi non devono più occuparsi delle operazioni di crittografia/decrittografia SSL, ridondanza e gestione dei certificati. Alteon SSL VPN Che cos è una rete VPN SSL? Una VPN SSL usa il Secure Sockets Layer (SSL) come meccanismo di sicurezza per consentire l accesso remoto sicuro alle risorse e alle applicazioni su reti aziendali private. Per accedere istantaneamente alle applicazioni aziendali è sufficiente usare un browser web attivo. Le VPN SSL si avvalgono di tecnologie preposte alla traduzione degli indirizzi applicativi e con funzioni di proxy di sessione per impacchettare i dati applicativi in un formato compatibile con il tipo di sessione e le capacità del cliente (browser). In che cosa consiste la soluzione Alteon SSL VPN? Si tratta di una soluzione ad elevate prestazioni, dotata di capacità di ridimensionamento e facilmente gestibile, che consente un agevole accesso remoto alle applicazioni tramite un portale web sicuro. Una volta che gli utenti ottengono l autenticazione per l accesso al portale, la VPN SSL funge da proxy per le applicazioni private e presenta agli utenti autorizzati una visione unica delle applicazioni disponibili. La traduzione degli indirizzi applicativi e proxy a livello di sessione sono esempi delle tecnologie utilizzate per garantire la compatibilità tra le applicazioni interne e i browser web o client nativi collegati a Internet. Alteon SSL VPN si installa al margine delle reti private e funge da gateway di accesso remoto alla rete privata. Alteon Security Manager Che cos è Alteon Security Manager? L Alteon Security Manager di è uno strumento completo per la gestione di rete che offre un unico punto di amministrazione delle soluzioni per la sicurezza Alteon di, compreso l Alteon Switched Firewall. Permette di scoprire e visualizzare topologie di rete multilivello con le corrispondenti informazioni sullo stato relative a prodotti/cluster di sicurezza. L Alteon Security Manager si occupa di: gestione della configurazione, gestione dei guasti, gestione delle prestazioni, gestione immagini/software e gestione della sicurezza. Quali prodotti sono supportati dall Alteon Security Manager? Alteon Security Manager consente al momento la gestione di rete per gli Alteon Switched Firewall accelerati nella prima versione. Successivamente consentirà la gestione dei firewall Alteon serie 5100, gli Alteon SSL Accelerator, gli Alteon Application Switch e altri prodotti per la sicurezza del portafoglio Alteon di. 35 Alteon SSL VPN è un upgrade software disponibile con i dispositivi Alteon SSL Accelerator e Alteon Application Switch specifici che supportano l integrazione SSL. La soluzione è un estensione del software di accelerazione SSL venduta come un modello di concessione in licenza a gradini (tiered licensing model) con licenze per 100, 250, 500 e 1000 utenti. Il software SSLv4.x comprende una licenza per 10 utenti.
Informazioni sui prodotti Alteon Switched Firewall (ASF) Il sistema Alteon Switched Firewall è un firewall che garantisce le più elevate prestazioni nel settore per la protezione di data centre informatici ad elevato volume di traffico, reti di service provider e infrastrutture di hosting, avvalendosi di esclusive tecnologie di accelerazione e del software FW-1 NG di Check Point, il tutto in un pacchetto compatto montato su rack. Sono disponibili sette modelli plug-and-play, a partire da tre firewall a sé stanti ciascuno dei quali può essere installato come kit di avvio in modalità pay-as-you-grow per piccole e medie aziende, fino a modelli di fascia alta con throughput in multi-gigabit, progettati per accelerare fino al 90% del traffico totale. Alteon Application Switch (AAS) Alteon Application Switch di è un sistema di commutazione multi-applicazione che consente la commutazione Layer 2-3 a velocità wire-speed e la gestione del traffico intelligente Layer 4-7 ad elevate prestazioni per applicazioni quali bilanciamento del carico di server e dispositivi di rete, reindirizzamento delle applicazioni, sicurezza e gestione della larghezza di banda. 37 Grazie al software FireWall-1 Next Generation di Check Point e alla tecnologia SecureXL in combinazione con il sistema Alteon Switched Firewall di, le organizzazioni sono in grado di definire e mettere in atto una politica sulla sicurezza a 360 che protegge tutte le risorse di rete da attacchi e tentativi di accesso non autorizzati. La sua architettura innovativa offre una soluzione con ampie capacità di ridimensionamento in grado di far fronte a tutti gli aspetti della sicurezza di rete. Caratteristiche principali e vantaggi Disponibilità di modelli che consentono throughput da 4,2 Gbps e fino a 500.000 sessioni accelerate simultanee - 1 milione in totale mediante il software Firewall-1 Next Generation di Check Point, lo standard di fatto nel settore Distribuzione di policy-checking ed elaborazione NAT per accelerare fino al 90% del traffico totale ad una velocità wire-speed (ad eccezione dei costosi ASF della serie 5100) Soluzioni ad elevata disponibilità mediante il supporto di dispositivi active-active che permettono il trasferimento automatico a firewall Funzionalità 'plug-and-play' che consente l individuazione automatica degli Switched Firewall Director al momento dell accensione e la loro configurazione automatica ai fini della licenza, indirizzi IP e procedure di sicurezza Facilità di espansione da uno a sei Switched Firewall Director per ciascun cluster Switched Firewall, occupando una piccola area di appena tre rack unit per Alteon Switched Firewall di base (solo 1 unità per gli ASF della serie 5100) Software Firewall-1 di Check Point in grado di eseguire un controllo accurato su set di applicazioni tra i più ampi nel settore, comprese applicazioni di telefonia IP e multimediali Gestione centralizzata basata su procedure che semplifica l implementazione e la gestione della sicurezza in tutta l azienda Prodotti con certificazione OPSEC che rappresentano soluzioni impareggiabili e della migliore qualità in grado di garantire la massima protezione con la creazione di infrastrutture di sicurezza flessibili Gli Application Switch, costruiti a partire dalla base per ottimizzare le reti e garantire le prestazioni delle applicazioni aziendali, sono soluzioni ideali per aziende, e-business, fornitori di servizi di hosting, fornitori di contenuti e fornitori di servizi che intendono attivare server farm, data centre e reti ad elevate prestazioni. Gli switch sono disponibili con 28 porte in una piattaforma a rack unico in grado di soddisfare le più rigide esigenze dei clienti. Caratteristiche principali e vantaggi Commutazione a velocità wire-speed resa possibile da Ethernet Layer 2-3 e commutazione ad elevate prestazioni Layer 4-7 (ad esempio, porte TCP, URL, intestazioni e cookie HTTP, ID sessione SSL) per consentire sofisticati livelli di controllo e gestione del traffico Supporto di una vastissima gamma di dispositivi per scopi particolari tra cui bilanciamento del carico e controllo health-check dei server, VPN, individuazione delle intrusioni, LDAP, DNS, supporti di streaming (RTSP), WAP, ecc. Sofisticati algoritmi di health-check e bilanciamento del carico, supporto di indirizzi IP virtuali e supporto VRRP per consentire la continuità delle attività grazie all eliminazione di singoli punti di guasto Varie funzioni di sicurezza multilivello a protezione di reti e applicazioni, tra cui accelerazione SSL, VPN SSL, bilanciamento del carico dei dispositivi di sicurezza (IDS, VPN, FW, ecc.), applicazione di filtri ai pacchetti (fino a 2,048 istruzioni filtro), attacchi DoS e protezione dall utilizzo improprio delle applicazioni Prestazioni e flessibilità funzionale Layer 4-7 per identificare e indirizzare il traffico delle applicazioni. Ciò implica reti ottimizzate per applicazioni aziendali quali: Telefonia IP Servizi web Applicazioni di database Wireless Elevatissime prestazioni Layer 7 a 51.000 sessioni/sec (zero sessioni perse) e supporto di due milioni di sessioni contemporanee di backup (gli ASF della serie 5100 non accelerati prevedono la modalità 'active-standby')