Инновационная программа финансирования от Cisco Capital для малого и среднего бизнеса

Уважаемые коллеги!

Представляю Вашему вниманию новую программу Cisco Capital для малого и среднего бизнеса (вертикаль P-LED). Основное отличие от «стандартных» программ финансирования заключается в низкой эффективной процентной ставки по лизингу. А условия такие:

cisco_cap_LRF

Эффективная ставка от 8,5% (2х летнее финансирования) до 10,5%  (финансирование на три года) годовых в РУБЛЯХ! При этом удорожание (что более привычно при лизинге) выходит около 5% в год при отсутствии авансового платежа. Такими условиями нельзя не пользоваться. Для сравнения, полугодовая ставка MOSPRIME равна 10,56%

О подробностях можно узнать у меня либо у менеджеров Cisco, которые отвечают за работу с вами. Посчитать, посмотреть, ка как это работает можно при помощи калькулятора. Последнюю версию можно запросить у меня. Также готов предоставить любые маркетинговые материалы для распространения среди ваших клиентов.

Всего хорошего!

Новое решение Cisco по борьбе с внутренними угрозами

Компания Cisco анонсировала новое решение Cisco Cyber Threat Defense по борьбе с внутренними угрозами. Предназначение этого решения — бороться с тем, что уже проникло во внутреннюю сеть компании и наносит ей ущерб. Мы прекрасно понимаем, что информационная безопасность современного предприятия не может базироваться только на защите периметра. И периметр становится размытым и угрозы усложняются настолько, что нет гарантии, что они не проникнут даже через многоуровневую систему защиты, выстроенную на периметре и состоящую из межсетевых экранов, систем предотвращения вторжений, систем контентной фильтрации и т.д. Продолжить чтение этой записи

Хакеры Anonymous планируют атаковать нефтегазовые компании России

Вас интересует ответ на вопрос, как реагировать на заявления хакеров из группы Anonymous, о планируемых на 20-е июня атаках на нефтегазовые компании в разных регионах, включая Россию и страны СНГ (http://www.ibtimes.com/anonymous-announces-oppetrol-attack-local-oil-gas-companies-video-1267817)?

Эксперты компании Cisco предполагают, что новая атака (если она будет осуществлена), будет похожа на то, что уже осуществлялось в сентябре прошлого года, когда множество финансовых организаций столкнулись с направленными хакерскими атаками «отказ в обслуживании» на свои активы. Соответственно можно предположить, что и предложенные ранее меры борьбы будут также эффективны. Cisco подготовила несколько рекомендаций по этому поводу. Их можно найти на нашем сайте Security Intelligence Operations:

— Cisco Event Response: Как реагировать на распределенные атаки «отказ в обслуживании» на финансовые организации — http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html

— Applied Mitigation Bulletin: Как обнаруживать и реагировать на распределенные атаки «отказ в обслуживании» — http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115

— Стратегии отражения распределенных атак «отказ в обслуживании» —  http://www.cisco.com/en/US/tech/tk59/technologies_white_paper09186a0080174a5b.shtml

—  Блог: координированные атаки против государственной и финансовой инфраструктуры США —  http://blogs.cisco.com/security/coordinated-attacks-against-the-u-s-government-and-banking-infrastructure/

Cisco Desktop Collaboration Experience DX650

Zydeco-pic-2

Сегодня о DX650 уже опубликовано достаточно большое количество материалов, так что нет необходимости описывать технические характеристики и особенности устройства.

Для желающих еще раз подробно ознакомиться с функционалом и настройками устройства привожу ссылки на официальную документацию:

Страница продукта на cisco.com:

http://www.cisco.com/en/US/partner/products/ps12956/index.html

Страница поддержки продукта:

http://www.cisco.com/en/US/products/ps12956/tsd_products_support_series_home.html

Ресурсы для разработчиков:

http://developer.cisco.com/web/dx600/home

Несмотря на то, что в целом авторы предыдущих статей освещают DX650 достаточно позитивно, иногда в них присутствуют определенные сомнения и скепсис по отношению к продукту.

Со своей стороны, мне бы хотелось ответить на вопросы, прозвучавшие в предыдущих публикациях, что я и собираюсь сделать в этой и последующих статьях.

Много сомнений высказывается относительно выбранной операционной системы, причем в качестве примера обычно приводят другой продукт Cisco на ОС Android — Cisco Cius.

В современных продуктовых линейках ведущих мировых производителей ВКС, продукты, основанные на Android, пока отсутствуют (я не имею ввиду программные Android ВКС клиенты – это несколько другая ниша и область применения), поэтому Cisco является первопроходцем в этой области.

Действительно, предыдущее наше решение на Android — планшет-телефон «Cius», не получил большого распространения.

Поэтому первое с чего начали наши разработчики перед тем как использовать предыдущие наработки, это проанализировали проблемы и сложности, связанные c разработкой и эксплуатацией Cius.

Сегодня есть твердая уверенность, что с двумя серьёзными недостатками Cius (низкая производительность и не достаточная для бизнес-устройства стабильность в работе), в случае с DX650 мы не столкнемся.

Давайте разберемся, чем это гарантируется.

Прежде всего, конечно платформой – SoC TI OMAP 4460 @ 1.5 ГГц (2 ядра) GPU PowerVR SGX540. Чем же отличается платформа DX650 от Сius, построенного на одноядерном Intel Atom Z615 Processor 512-KB cache, 1.6 GHz) ?

  1. CPU – не очень корректно сравнивать разные архитектуры,  т.к. ARM изначально предназначен для вычисления только целочисленных операций, в отличии от X86, которые умеют работать с вычислениями с плавающей запятой или FPU. В чем то преимущество будет за ARM. А где то и наоборот. Но усреднено можно считать, что при одинаковых частотах они обладают сравнимой производительностью. Таким образом, производительность 2-х ядер  ARM-Cortex A9 с блоком обработки SIMD-команд превосходит в 2 раза Atom Z615. (Следует заметить, что во все семейство OMAP 44XX включены еще и два ядра ARM Cortex-M3, работающих на частоте 266 МГц, разгружающих ядра A9 на задачах, не требующих высокой производительности).
  2. GPU Cius –  Integrated Graphics Media Accelerator 600 (400MHz) и GPU DX650 — PowerVR SGX540 (384MHz) построены на одной архитектуре — PowerVR SGX5, то есть обладают сходными  возможностями для ускорения 2D/3D графики (актуально для разгрузки CPU при выводе GUI высокого разрешения. Конечно, для этого требуется хорошая оптимизация кода под поддерживаемую ускорителем систему команд (API)).
  3. Аппаратная поддержка ускорения кодирования / декодирования видео высокого разрешения. Самый важный для видеотелефона параметр, т.к. именно эти процессы в основном и приводили к сбоям и торможению в работе Cius. В случае Cius – в нашем распоряжении только GMA 600  — позволяет разгрузить процессор при декодировании h264 видео, но не содержит модулей для аппаратного ускорения кодирования. В случаем DX650 кроме PowerVR SGX540,  – в состав OMAP 4460 входит аппаратный мультимедийный ускоритель IVA3 с программируемым DSP, способным кодировать/декодировать видео в h263, h264 AVC и SVC, разрешения 1080p Full HD!

Так как процесс кодирования в мультимедиа приложениях почти в 4 раза более ресурсоемкий, чем декодирование и занимает основное процессорное время, можно говорить о том, что в режиме видеозвонка, в случае DX650, мы обладаем не 2-х кратным, а многократным (как минимум на порядок) преимуществом перед Cius в доступных для OS и приложений CPU ресурсах.

Что касается ПО, разработчики полностью пересмотрели его архитектуру и методы взаимодействия с аппаратной платформой.

Так, например:

Вместо android.net.rtp использованы собственные библиотеки.

При кодировании/декодировании вместо GIPS media engine и G-streamer использован предоставленный произодителем аппаратной платформы API (OMX и расширения XDM).

В первых версиях ПО запланирована работа на кодеках от Ti с переходом в следующих версиях на собственные реализации.

Используются только собственные аудио алгоритмы с обязательным использованием механизмов ускорения на ARM или DSP. (Для сравнения: загрузка процессор при использовании аппаратной поддержки: G722 – 25 MHz, G729  — 40 MHz, без нее: G.722 -132 Mhz, G.729 -162 Mhz)

Оптимизированно управление Frame buffer, большая работа проведена над разрешением конфликтов и зависимостей аппаратных и программных модулей.

DX650 был выведен на рынок с ПО версии 10.0(1). Уже в этом виде продукт с моей точки зрения получился очень достойный, аналогов которому на рынке я не вижу.

Конечно, окончательную оценку может дать только конечный пользователь, однако я убежден, что выбранная нами платформа, не только обладает уникальными возможностями на этапе стартапа, но и имеет запас ресурсов, для добавления дополнительного и улучшения существующего функционала что, несомненно, должно понравиться владельцам этих устройств.

Cisco занимает первое место на рынке средств защиты центров обработки данных

Месяц назад я написал заметку о защите центров обработки данных и виртуализированных сред. И вот доказательство того, что наши подходы действительно отражают не только текущие тенденции в области построения надежных и защищенных ЦОДов, но и удовлетворяют потребности заказчики, которые и признали решения Cisco лучшими среди прочих. В марте 2013-го года компания Infonetics Research опубликовала отчет «Data Center Security Strategies and Vendor Leadership Survey», в котором были опубликованы результаты опроса 104 крупных организации (с числом сотрудников выше 1000). Первый заданный вопрос касался имен трех самых-самых поставщиков решений по защите центров обработки данных для каждого из 10 основных критериев приобретения соответствующих решений. Лидирующие позиции по всем 10-ти критериям заняла компания Cisco. Среди других компаний, позиции которых отражены на графике, — VMware, McAfee, Juniper, HP TippingPoint и Trend Micro.

Лидирующие позиции Cisco в области защиты ЦОДов

Лидирующие позиции Cisco в области защиты ЦОДов

Среди других результатов данного отчета вопрос, касающийся планов респондентов по приобретению в этом и 2014-м году решений по безопасности ЦОДов. Cisco оказалась единственным производителем в тройке лидеров, чьи решения не только используются сейчас, но и число желающих их установить в 2014-м году будет только расти, в то время как у других игроков, встречавшихся в ответах респондентов, позитивного роста не наблюдается и число желающих использовать решения бывших лидеров рынка ЦОДов снижается.

Как Cisco защищает современные центры обработки данных и виртуализированные среды

04 апреля 2013 мы провели специализированное мероприятие для наших заказчиков – участников клуба CiscoExpo Learning Club, посвященное вопросам защиты современных центров обработки данных (ЦОД). В рамках данного семинара мы подробно остановились на стратегии Cisco в области защиты ЦОДов, конкретных технических решениях и рекомендациях по построению и дизайну защищенного ЦОДа. Мы рассмотрели как высокопроизводительные решения для межсетевого экранирования и предотвращения вторжений Cisco ASA 5585-X и Cisco IPS 4500, так и специализированные межсетевые экраны для виртуализированных сред Cisco Virtual Security Gateway и Cisco ASA 1000V Cloud Firewall. Мы рассмотрели примеры использования Cisco ISE для контроля доступа к ресурсам ЦОД, включая и виртуальные машины, а также непростой вопрос с сегментацией внутри ЦОД (в т.ч. и с помощью Cisco Fabric Interconnect). И конечно мы не могли обойти вниманием вопросы взаимодействия виртуальных рабочих мест (VDI) с ЦОДов в контексте информационной безопасности. Все материалы с этого семинара, а также запись Webex вы можете найти на сайте CiscoExpo Learning Club.

Также хотим сообщить вам, что в конце марта мы подготовили и опубликовали целый набор русскоязычных документов по защите центров обработки данных:

  • Три необходимых компонента для обеспечения безопасности при осуществлении преобразования ЦОД (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности корпоративной сети в среде Web 2.0 и при использовании социальных сетей (на SlideShare и на сайте Cisco)
  • Безопасная сегментация в унифицированной архитектуре центров обработки данных Cisco (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности для виртуальных серверов и приложений (на SlideShare и на сайте Cisco)
  • Решения Cisco Secure Data Center для защиты виртуальных и частных облачных сред. Ответы на часто задаваемые вопросы (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного центра обработки данных. Краткий обзор (на сайте Cisco)

Если после изучения указанных материалов у вас останутся какие-либо вопросы по теме защиты центров обработки данных, виртуализированных сред, облачных вычислений, то вы можете задать все свои вопросы по адресу: security-request@cisco.com.

Cisco Capital — возможности для партнеров и клиентов Cisco

Наверняка вы что-то слышали о программе Cisco Capital, а, возможно, уже воспользовались ее финансовыми услугами. Мы расскажем более подробно об организации Cisco Capital, а также о том, в каких случаях вы можете прибегнуть к ее финансовой помощи и какие финансовые продукты  доступны при реализации проектов на базе оборудования Cisco Systems.

Итак, что же такое Cisco Capital? Это каптивная (captive) финансовая компания, занимающаяся вендорным финансированием (vendor finance). Каптивная означает созданная вендором (Cisco Systems Inc. – а каким еже еще?) и полностью ему принадлежащая. Финансовая компания – это компания, основной деятельностью которой является разработка и продажа финансовых продуктов.

Cisco Capital работает в достаточно неоднородной бизнес среде. В нее входят компании разного бизнеса: дистрибьюторы, зарегистрированные партнеры Cisco (всех статусов), интеграторы, а также сам производитель Cisco. Cisco Capital взаимодействует с экспертами из технической и финансовой сфер. Это делает Cisco Capital уникальной по своей функциональности и возможностям компанией, которая связывает «мир финансов» и «мир ИТ».

Cisco Capital была создана в 1996 году. На тот момент идея каптивной финансовой компании была уникальна для ИТ рынка. Предлагая краткосрочные и долгосрочные кредитные линии для клиентов и партнеров, Cisco смогла обеспечить очень быстрый рост продаж своего «железа» и превратиться в игрока, который во многом определяет развитие своего рынка.

На сегодняшний день Cisco Capital – международная компания, покрывающая более 100 стран в мире с ежегодным приростом кредитного портфеля.

Image

В России Cisco Capital представлена около 15 лет. За это время создана сеть из финансовых партнеров, а также образована отдельная компания «Сиско Кэпитал СНГ». Сегодня Cisco Capital занимает одно из лидирующих мест на рынке финансовых услуг для ИТ рынка.

В портфель продуктов входит:

  1. Кредит.
  2. Лизинг.
  3. Рассрочка платежа.
  4. Форфейтинг или финансирование под уступку денежного требования (на стадии финальной разработке).

Подробности для каждого из этих продуктов мы обсудим в следующих статьях.

Преследуя миссию по поддержке продаж Cisco, Cisco Capital исповедует комплексный подход к финансированию проектов. Под финансирование попадает не только оборудование Cisco, но и сервис Cisco, а также стороннее оборудование, необходимое для осуществления проекта.

Image

Теперь о некоторых условиях работы Cisco Capital в России:

  1. Минимальная сумма финансирования – 30 тыс. долларов.
  2. Финансирование происходит в ценах конечного заказчика, а не в каких-либо других.
  3. Содержание стороннего оборудования, т.е. производства не Cisco и неконкурентного в данном проекте – до 40%.
  4. Срок финансирования от 12 месяцев.

 

Общую информацию о Cisco Capital также можно найти здесь.

 

В следующих статьях мы рассмотрим:

  • Что такое лизинг? Что такое рассрочка платежа? Чем лизинг отличается от рассрочки платежа?
  • Как увеличить продажи при помощи сопутствующих финансовых продуктов?
  • Какие есть возможности для компаний малого и среднего бизнеса?
  • От чего зависит величина процентной ставки?
  • Пример по оптимизации cash flow проекта.
  • Модель Pay as you Grow.

Пожалуйста, предлагайте в комментариях темы, которые Вам интересны.

 

Ввоз и использование оборудования Cisco с функциями шифрования

В середине февраля мы в очередной раз с успехом провели вебинар об особенностях ввоза и использования оборудования Cisco с функциями шифрования. В нем приняло участие 400+ человек, которых интересовала эта непростая тема. Презентация с данного семинара теперь доступна для всех желающих (запись Webex также доступна):

По итогам сессии вопросов и ответов мы обновили документ с часто задаваемыми вопросами по данной тематике:

Дополнительно мы также выложили и другие обсуждаемые в рамках вебинара материалы:

  • Информационное письмо в ЦЛСЗ ФСБ
  • Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
  • Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для собственного использования)
  • Разъяснение о процедуре изменения криптографических характеристик имеющего оборудования
  • Различия в лицензионных требованиях по видам деятельности с шифровальными средствами

Злоумышленники меняют свое поведение. А Вы?

Совсем недавно мы выпустили наш ежегодный отчет по безопасности Cisco Annual Security Report 2013 и отчет по использованию сетевых технологию и поведению пользователей в Интернет Cisco Connected World Technology Report. Они зафиксировали ряд интереснейших перемен, произошедших как в поведении пользователей Интернет, так и в поведении злоумышленников. Они лишний раз подтверждают те выводы, которые специалисты компании Cisco по информационной безопасности сделали достаточно давно:

  1. Поведение пользователей не является статичным и постоянно изменяется. Меняются привычки, мотивация, подходы, принципы, по которым пользователи «живут» в Интернет. И это не может не сказываться на том, как мы должны защищать пользователей от Интернет-напастей или, как минимум, как учитывать изменившееся поведение в деятельности корпоративных или ведомственных служб ИБ. Например, 91% пользователей считает, что время приватности в Интернет проходит. Сейчас еще сложно осознать, к каким последствиям приведет данный факт, зафиксированный в отчете Cisco.
  2. Меняется не только поведение пользователей, но и методы, используемые злоумышленниками. По сути, эти методы представляют собой обычную бизнес-модель, по которой живет любая коммерческая компания (только со знаком минус). Киберпреступники изучают своего «потребителя», налаживают различные каналы сбыта своей вредоносной продукции, создают партнерские сети, предлагают различные сезонные скидки покупателям вирусов или иных инструментов совершения киберпреступлений, отслеживают структуру своих издержек и стараются делать свой бизнес очень прибыльным, имеют службы поддержки продаваемых вредоносных программ и т.п. Это значит, что хакеры давно вышли из категории одиночек, старающихся заявить о себе во всеуслышанье. У них иные задачи, иные цели, иные подходы. А значит должны меняться и способы нейтрализации этих угроз.
  3. Безопасность сегодня не может быть зависящей от одной, пусть и самой лучшей системы защиты, — необходим целый комплекс защитных механизмов и организационных мер, направленных на выявление, нейтрализацию угроз и предотвращение их повторов в будущем. Как никогда важен архитектурный подход в области защиты корпоративных или ведомственных сетей, позволяющий перекрывать различные каналы проникновения вредоносных программ внутрь защищаемого виртуального пространства. Именно поэтому мы давно пропагандируем не точечную защиту, а систему эшелонированной обороны, состоящей из множества взаимоувязанных элементов. Сначала эта архитектура концепция Cisco Self-Defending Network, теперь она носит название Cisco SecureX.
  4. В современном мире ни одна система защиты не будет эффективной длительное время без постоянной подпитки знаниями о новых способах совершения киберпреступлений. И такое обновление средств защиты должно происходить не раз в неделю, не раз в день, и даже не раз в час. Мир угроз меняется так стремительно, что и средства обеспечения сетевой безопасности должны адаптироваться к новым атакам не менее оперативно. А для этого просто необходимо иметь собственный центр исследований и анализа в области информационной безопасности. У Cisco такой центр есть и носит он название Cisco Security Intelligence Operations (SIO).

Более подробно изучить выводы, сделанные специалистами Cisco вы можете в подготовленной нами презентации, а также в проведенном 7-го февраля вебинаре, запись которого также доступна через систему Webex.

Сами отчеты можно скачать на сайте Cisco — Cisco Annual Security Report и Cisco Connected World Technology Report.

Сертификация Cisco: история успеха

Как известно, компания Cisco Systems была создана в 1984 г. сотрудниками Стенфордского университета (Леонард Босак и Сэнди Лернер) и быстро закрепилась на рынке благодаря своему первому продукту – мультипротокольному маршрутизатору AGS (Advanced Gateway Server), а также его усовершенствованным версиям AGS+ и MGS.

Первый многопротокольный маршрутизатор AGS.

Первый многопротокольный маршрутизатор AGS.

Супружеская пара –Леонард Босак и Сэнди Лернер – основатели компании Cisco.

Супружеская пара – Леонард Босак и Сэнди Лернер – основатели компании Cisco.

Может быть, благодаря тому, что у истоков компании стояли сотрудники одного из ведущих американских университетов, а может быть потому, что сертификация специалистов – это очень хороший способ популяризации компании и производимого ею оборудования, но с самого начала к подготовке инженерного корпуса в Cisco Systems предъявлялись очень высокие требования.

В конце 80-х годов XX века стали появляться первые «вендорные» программы сертификации специалистов. Так, в 1989 г. программу сертификации специалистов CNE (Certified Novell Engineer) предложила компания Novell. Разработчиком системы компьютерного тестирования для Novell стала компания Drake Technologies (позднее — Thomson Prometric). В 1992 была запущена программа сертификации специалистов Microsoft. Большой популярностью пользовался учебный курс подготовки к сертификации 3Com под названием 3-Wizard, т.к. его наполнение не сохранялось постоянным даже в течении года, а сразу изменялось при появлении новинок в реальных сетях.

Поэтому, когда создавалась программа сертификации Cisco, сотрудники компании постарались учесть и исправить недостатки других программ сертификации, так чтобы получилась не просто еще одна программа сертификации, а суперпрограмма, которой еще не было равных! Такая программа была создана в 1993 году – это была программа экзамена на звание сертифицированного эксперта Cisco – CCIE — Cisco Certified Internetwork Expert. Экзамен отличался очень высокой сложностью: «Программа CCIE начинается там, где заканчиваются программы сертификации других вендоров», говорил вице-президент, а ныне президент и председатель совета директоров компании Джон Чемберс. Именно по его инициативе создавалась эта новая суперпрограмма сертификации.

Дело в том, что кандидаты на получение звания сертифицированного эксперта Cisco должны были сначала пройти двухчасовой письменный экзамен, который работал как «фильтр», отсеивая плохо подготовившихся. В то время программы сертификации других компаний не предусматривали ничего, кроме подобного письменного экзамена. Основной же экзамен CCIE представлял собой двухдневный лабораторный практикум. В течение первого дня каждый претендент собирал сложную сетевую конфигурацию, в которой использовались все известные к тому времени варианты сетевых соединений и технологий. Если задание первого дня успешно выполнялось, то инженеры Cisco «ломали» созданную сеть, внося искажения в конфигурацию оборудования и нарушая физические соединения. На следующий день нужно было найти и устранить все проблемы и восстановить работоспособность сети. Только кандидаты, справившиеся со вторым заданием, получали заветный сертификат.

Джон Чемберс, один из самых успешных топ-менеджеров в мировой истории. Сыграл значительную роль в обеспечении роста капитализации компании Cisco Systems Inc.

Джон Чемберс, один из самых успешных топ-менеджеров в мировой истории. Сыграл значительную роль в обеспечении роста капитализации компании Cisco Systems Inc.

Первый номер CCIE был на самом деле не первым, а 1024-ым. Он символизировал двоичную природу IT-индустрии и сетевых технологий, которые развивала Cisco Systems. Этот номер был присвоен не сертифицированному инженеру, а самой тестовой лаборатории, в которой проходили испытания. А CCIE 1025 стал сотрудник Cisco Стюарт Биггс – создатель той самой сертификационной лаборатории и программы экзамена.

Стюарт Биггс – эксперт Cisco CCIE 1025 и его именная табличка эксперта Cisco.  До сегодняшнего дня всем, прошедшим испытания на уровень CCIE выдаются подобные таблички в рамочке.

Стюарт Биггс – эксперт Cisco CCIE 1025 и его именная табличка эксперта Cisco. До сегодняшнего дня всем прошедшим испытания на уровень CCIE выдаются подобные таблички в рамочке.

Первым, не работавшим в Cisco инженером, прошедшим двухдневный экзамен и получивший звание эксперта CCIE 1026, стал Теренс Слэттери, имевший к тому времени многолетний опыт работы с сетевым оборудованием.

Теренс Слэттери – первый «настоящий» эксперт Cisco - CCIE 1026.

Теренс Слэттери – первый «настоящий» эксперт Cisco — CCIE 1026.

Первым нашим соотечественником, прошедшим этот экзамен был Иван Пепельняк, CCIE 1354. Его блог http://blog.ioshints.info/ и сейчас – место активных обсуждений самых последних новинок, а также проблемных ситуаций, возникающих в сетях передачи данных.

Иван Пепельняк – эксперт CCIE 1354, автор многих книг и блога IOS hints and tricks.

Иван Пепельняк – эксперт CCIE 1354, автор многих книг и блога IOS hints and tricks.

Примерно в то же время, когда разрабатывалась программа сертификации CCIE, или даже чуть раньше, в конце 1992, 1993 году Cisco создает программу подготовки инструкторов CCSI — Certified Cisco System Instructor для обучения тем технологиям, которые работают в оборудовании Cisco, и начинает работу по разворачиванию сети партнеров по обучению — Cisco Learning Partner.

В учебных центрах партнеров Cisco организует авторизованные курсы обучения, предназначенные для повышения квалификации или переобучения по конкретному продукту, технологии для уже работающих, опытных специалистов. Характерная черта таких курсов – краткосрочность – 3-5 дней, редко больше и высокая интенсивность обучения.

Экзамен CCIE оказался столь трудным, что за год его сдавали всего несколько сотен человек. В то же время, компания расширяла спектр выпускаемого оборудования, потребность в квалифицированных специалистах постоянно росла и не всегда нужна была очень высокая квалификация. Зачастую не хватало персонала, имеющего некоторый уровень начальных знаний, для выполнения большого числа не столь сложных задач.

В 1997 г. Cisco создает и начинает развивать программу обучения для образовательных учреждений – колледжей, университетов. Эта программа более постепенного изучения технологий, по сравнению с курсами авторизованного обучения. Она рассчитана на полгода-год изучения в виде одной из дисциплин учебного плана и известна как программа сетевой академии Cisco. Была создана и организационная структура системы сетевых академий Cisco с делением академий на локальные, региональные и центры поддержки и подготовки инструкторов. Одновременно дополняется программа промышленной сертификации — появляются уровни Associate – CCNA и Professional — CCNP. Именно к этим уровням готовят учебные курсы сетевых академий. Высокое качество разработанных учебных курсов и то, что использование оборудования Cisco стало фактическим стандартом в сетевой индустрии, приводит к тому, что программа сетевой академии Cisco начинает вводиться в учебные планы многих университетов и колледжей США, а также распространяться по всему миру.

В 2008 году компания предложила еще один способ подготовки к сертификации CCIE в центрах своих авторизованных партнеров по обучению – программу – Cisco 360. По этой программе проводится подготовка с нуля и до самой верхней ступени сертификации — CCIE. Под 360 здесь понимается структурирование обучающей программы таким образом, что обучающийся переходит от теории к практике, проходит тестирование и вновь возвращается к теории, как бы проходя полный круг, но каждый раз при этом поднимаясь на новый уровень знания.

Принцип программы Cisco 360

Принцип программы Cisco 360

Условия прохождения сертификации CCIE до сих пор остаются неизменными, сократилось только время выполнения лабораторного практикума с 2 суток до 1. Для прохождения лабораторного практикума CCIE нужно только выполнить письменный экзамен. Кандидатам не требуется иметь какие-либо сертификаты уровней Associate и Professional. А вот чтобы сдать экзамены на уровень Professional нужно уже иметь действующий сертификат Associate.

Программа сертификации постоянно пересматривается, чтобы сохранять актуальность. Каждые 3-5 лет в нее вносятся изменения, поэтому все сертификаты Cisco имеют ограниченный срок действия. Для уровней Associate и Professional срок действия сертификации – 3 года. Для экспертов и специалистов всего 2 года. Чтобы продлить действие сертификата нужно повторно выполнить письменный экзамен по текущему сертификационному уровню или один из экзаменов более высокого сертификационного трека. Для экспертов CCIE можно на выбор – сдать письменный экзамен или повторно выполнить 8-часовую лабораторную работу, представляющую наибольшую сложность.

В основу развития компании Cisco Systems с начала 1990-х была положена идеология расширения возможностей, типов предлагаемого оборудования, программного обеспечения и сервисов за счет поглощения перспективных малых и больших компаний. На эту тему было написано много книг, статей, сделано докладов, например [1 — 6]. За все время своего существования компания Cisco поглотила более 150 других компаний. Информацию по списку поглощений можно посмотреть по ссылке [7], а самую последнюю и свежую найти на сайте компании [8]. С приобретением каждой новой компании в линейке продуктов Cisco появлялись новые программы и устройства, а иногда и новые направления, и виды деятельности. Так в результате нескольких поглощений к маршрутизаторам Cisco добавились коммутаторы, появились IP-телефоны и коммуникационные центры, беспроводные устройства, межсетевые экраны и т.д., список даже не самого оборудования, а его типов у Cisco очень велик.

Любому покупателю – и большому и малому – Cisco может предложить все, что ему может понадобиться для решения любых задач. Именно это позволяет компании оставаться на позиции лидера многие годы. Расширение спектра производимого оборудования потребовало внесения соответствующих изменений и в программы сертификации. Поэтому, когда в конце 1990-х сертификационная программа модернизировалась, она была расширена не только в глубину – по уровням подготовки, но и в ширину – по направлениям специализации.

Кроме базового направления – маршрутизация и коммутация (часто обозначается аббревиатурой R&S – Routing and Switching), появились такие направления, как «Безопасность», «Сети провайдеров», передача по сети голоса – VoIP и др. В 2008-2009 гг. структура программы сертификации была еще раз дополнена введением новых уровней – начинающего сетевого техника – CCENT (теперь самый первый уровень сертификации, до CCNA) и архитектора Cisco – CCAr (уровень архитектора выше уровня эксперта, CCIE). Кроме того, произошло определенное выравнивание промежуточных уровней сертификации – почти по всем направлениям появился специалист начального уровня с соответствующей специализацией, например, по направлению «Безопасность» — CCNA Security, по беспроводным сетям CCNA Wireless и т.д.

Пирамида сертификационных уровней Cisco.

Пирамида сертификационных уровней Cisco.

Всего направлений сертификации Cisco сейчас девять и пять уровней – от начинающего техника до архитектора. Актуальный список доступен по адресу http://www.cisco.com/web/learning/certifications/

10 февраля прошел бесплатный вебинар по теме сертификации Cisco (какой сертификат нужен для достижения карьерных целей, как готовиться к сертификации, как выбрать способ подготовки к сертификации, о процедуре сдачи экзамена: где сдавать, сколько это стоит и как проходит экзамен).

Запись вебинара доступна по адресу: http://www.youtube.com/watch?v=ZQTEdW6Wo70

Список литературы:

  1. Cisco Systems, Inc. History. http://www.fundinguniverse.com/company-histories/cisco-systems-inc-history/
  2. John K. Waters John Chambers and the Cisco Way: Navigating through volatility. John Wiley & Sons, Inc. 2002, 206 p. http://books.google.ru/books?id=ve-0ELyyDJwC&hl=ru&source=gbs_navlinks_s
  3. David Bunnell, Adam Brate. Making the Cisco Connection: The Story Behind the Real Internet Superpower. John Wiley & Sons, Inc. 2000, 240 p. http://books.google.ru/books/about/Making_the_Cisco_Connection.html
  4. Ed Paulson. Inside Cisco: The Real Story of Sustained M&A Growth. John Wiley & Sons, Inc. 2001, 320 p. http://books.google.ru/books/about/Inside_Cisco.html
  5. Stanford Graduate School of Business. Case: OIT-26. Cisco Systems Inc.: Acquisition integration for manufacturing. 1999. 25p. https://gsbapps.stanford.edu/cases/documents/OIT26.pdf
  6. INSEAD Business School. Cisco Systems: New Millenium — New Acquisition Strategy? 2010. 28p. http://www.insead.edu/facultyresearch/faculty/personal/lcapron/teaching/documents/ CiscoIronPort.pdf
  7. Wikipedia, the free encyclopedia, List of acquisitions by Cisco Systems. http://en.wikipedia.org/wiki/List_of_acquisitions_by_Cisco_Systems
  8. Cisco.com, Acquisition Summary. http://www.cisco.com/web/about/doing_business/corporate_development/acquisitions/-ac_year/about_cisco_acquisition_years_list.html

Используемые фотографии:

  1. Первый многопротокольный маршрутизатор ASR: http://archive.computerhistory.org/resources/physical-object/cisco/X1539-98.1.lg.jpg
  2. Супружеская пара Леонард Босак и Сэнди Лернер: http://www.computer.org/portal/web/awards/Denver-2010
  3. Джон Чемберс: http://www.shalomlife.com/img/2012/06/17437/cisco_john_chambers/400_300-cisco_john_chambers_.jpg
  4. Стюарт Биггс: https://twitter.com/vikmalhi/status/193469409615024129/photo/1
  5. Именная табличка эксперта: http://www.bradreese.com/images/stuart-biggs-ccie-1025.jpg
  6. Теренс Слэттери: http://ww1.prweb.com/prfiles/2010/03/04/2975124/gI_0_Terry2.jpg
  7. Иван Пепельняк: http://b.vimeocdn.com/ts/903/343/90334340_640.jpg

Мы запускаем портал Cisco ASA CX

Когда речь заходит о том, какие функции по контролю трафика есть у традиционного межсетевого экрана, то ответ обычно не заставляет себя ждать. Межсетевой экран может фильтровать трафик практически по всем полям заголовка IP-пакета (адрес отправителя и получателя, порт отправителя и получателя, протокол и т.д.). Именно с этого начиналась история межсетевых экранов и именно поэтому они стали называться пакетными фильтрами. Второе поколение межсетевых экраном стало использовать гораздо большее число параметров для контроля. От достаточно традиционных — время, направление движение трафика, состояние сессии, до редких, но не менее важных — имя пользователя, тип устройства, осуществляющего доступ, операционная система этого устройства, принадлежность устройства компании или частному лицу и т.д. Именно так могут быть построены правила разграничения доступа для Cisco ASA 5500-X.

Политика разграничения доступа на Cisco ASA 5500-X

Но вот на рынке стали появляться прикладные межсетевые экраны (application firewall) или межсетевые экраны следующего поколения (next generation firewall), ориентированные на контроль приложений. Обычная настройка правил по адресам и портам в данном случае не подходит, т.к. на одном порту (например, TCP/80 или TCP/8080) может находиться множество различных приложений, одни из которых могут быть разрешены, а другие запрещены корпоративной или ведомственной политикой безопасности. Именно задачу глубого и гибкого контроля приложений решает прикладной межсетевой экран Cisco ASA CX и разработанная для управления им система Cisco Prime Security Manager (PRSM).

Политика контроля доступа Cisco ASA CX

С помощью PRSM мы можем не только разрешить или запретить работу того или иного приложения, но и построить политику разграничения с учетом конкретных действий и операций внутри приложения. Например, можно разрешить переписку с помощью какой-либо системы мгновенных сообщений, но запретить передачу через нее файлов. Можно разрешить заход на сайт Facebook, но запретить использование каких-либо микроприложений, разработанных, например, для Facebook, и т.п.

Однако, как только мы начинаем говорить о прикладном межсетевом экране, сразу возникает вопрос о поддерживаемых им приложениях. На сегодняшний день Cisco ASA CX поддерживает свыше 1100 таких приложений — Facebook, LinkedIn, Skype, BitTorrent, eDonkey, iCloud, Dropbox, pcAnywhere, Yandex, Winamp Remote, Google Drive, Scribd, MS Windows Azure, Salesforce CRM, Oracle e-Business Suiteа, MS Lync, Tor и т.д., а также свыше 75000 микроприложений. Перечислять их все не хватит целого экрана, а выпускать документ с полным списком — задача также неблагодарная — этот список обновляется ежемесячно. Поэтому сегодня мы запустили новый публичный портал, который содержит список всех приложений, поддерживаемых Cisco ASA CX. Этот портал доступен по адресу: http://asacx-cisco.com/.

Функциональные возможности портала:

  • Отображение актуального списка поддерживаемых приложений (обновляется один раз в месяц)
  • Отображение описаний приложений и их возможностей
  • Поиск приложений и поддержка фильтров по категориям
  • Отображение списка приложений, поддержка которых была добавлена за последние 1, 2 или 3 месяца
  • Получение более подробных сведений о новых приложениях с помощью раздела “Featured search keywords” (наиболее популярные ключевые слова).

Также мы подготовили и ряд новых русскоязычных материалов по Cisco ASA CX — white paper «Cisco ASA CX обеспечивает безопасность с учетом контекса» и независимое исследование по данному решению от компании Lippis Consulting. Также по-прежнему доступны обзорная презентация и листовка по Cisco ASA CX, которые мы готовили в прошлом году.

Идентификация, мониторинг и контроль производительности приложений при помощи маршрутизаторов Cisco

Бурный рост и распространение большого количества современных приложений в сетях приводит к тому, что их становится всё труднее и труднее идентифицировать и классифицировать. Это приводит к тому, что современные корпоративные сети становятся невидимыми для IT-служб организаций. Организации не знают, как используются ресурсы корпоративной сети, какие приложения в ней работают, сколько ресурсов используется нежелательными приложениями. Отсутствие этих знаний приводит к тому, что компании не могут контролировать и оптимизировать использование приложений и ресурсов своей корпоративной сети. Как следствие, из-за большого количества нежелательных приложений в сети, перегружающих каналы связи и ресурсы сети,  пользователи испытывают проблемы с производительностью важных и критичных бизнес-приложений.

Трудности с обнаружением приложений связаны, в первую очередь, с эволюцией самих приложений. Всё больше приложений используют динамически назначаемые порты, и традиционных методов квалификации по статическим портам TCP/UDP уже недостаточно. Приложения становятся более закрытыми и непрозрачными, зачастую используются различные механизмы шифрования и туннелирования. Многие приложения в рамках сессий предполагают как передачу данных, так и голосовых и видео потоков. Для доступа к приложениям удобно использовать Web-интерфейс, так как при этом не требуется инсталляции дополнительного клиентского программного обеспечения – пользователю достаточно иметь только Web-браузер. Использование Web-браузера удобно, доступно, и позволяет использовать любое устройство (персональный компьютер, мобильный телефон, планшет и т.д.) для доступа к приложению. Таким образом, многие приложения становятся “скрытыми” за протоколами HTTP/HTTPS, которые обеспечивают их передачу, и по сути становятся новыми транспортными протоколами.

Многие традиционные средства классификации (например, NBAR) неспособны обнаруживать приложения в IPv6-трафике.

Другая тенденция, связанная с распространением и популяризацией облачных моделей, предполагает консолидацию всех ресурсов организации в центре обработки данных. Консолидация всех сервисов в центре приводит к тому, что организации тем самым удаляют ресурсы от своих своих филиалов и конечных пользователей и становятся зависимыми от производительности и пропускной способности каналов связи. Многие существующие распределенные WAN-сети построены на устаревшем оборудовании, которое не может обеспечить эффективное взаимодействие пользовательской и облачной инфраструктур и внедрение облачных сервисов по причине невысокой производительности, отсутствия возможностей для безопасной и надежной передачи облачных приложений, а также недостатка средств для мониторинга и управления облачным трафиком. Необходимо понимать, насколько хорошо работают приложения и какое время отклика у удаленных пользователей.

Доставка приложений предполагает прохождение трафика через большое количество устройств в сети. При возникновении проблем с работой бизнес-критичных приложений и жалоб на их медленную работу от пользователей довольно трудно определить источник проблемы и “узкое место” в сети. Традиционные средства диагностики (команды ping, traceroute, анализ маршрутных таблиц, состояния интерфейсов устройств и т.д.) не позволяют сетевым администраторам понять, в чём суть проблемы (рис. 1). Причиной может быть проблема с WAN-каналом, проблема с сервером, проблема с приложением. Причина также может быть и на стороне самого пользователя.

Рисунок 1

Рис.1

Решение компании Cisco Application Visibility and Control (AVC) представляет из себя набор интегрированных в маршрутизаторы (ISR G2 и ASR 1000) инструментов идентификации, мониторинга и контроля работы приложений в сети. AVC позволяет узнать о работающих в сети приложениях, трендах производительности, текущем времени отклика приложений для удаленных пользователей и т.д.. На базе полученной информации появляется возможность интеллектуально приоритезировать,  контролировать и перенаправлять трафик бизнес-критичных приложений, что позволяет обеспечить более эффективную работу приложений и улучшить время их отклика для конечных пользователей.

Обнаружение приложений маршрутизаторами Cisco ISR G2 и ASR 1000 осуществляется при помощи механизмов глубокой инспекции пакетов DPI (Deep Packet Inspection) и протокола NBAR2. NBAR2 является развитием и более новой версией протокола NBAR, который позволял классифицировать более 150 приложений, использующих статические порты. Расширенные механизмы классификации NBAR2 с глубоким анализом потоков трафика (на уровнях L4-L7) позволяют идентифицировать более 1500 приложений, использующих как статические, так и динамические порты TCP/UDP с отслеживанием состояния. В отличие от NBAR версии 1, NBAR2 также поддерживает классификацию IPv6. Кроме этого, NBAR2 позволяет администраторам создавать собственные сигнатуры для приложений, которые не включены в стандартную библиотеку.

NBAR2 может применяться не только для обнаружения приложений и сбора статистики (количество пакетов, байт, bit rate и т.д.) по каждому идентифицированному приложению. Классифицировав приложения, можно применить политики QoS для них, например, ограничить полосу пропускания для трафика bittorrent или перемаркировать поля DSCP для youtube. Политики QoS позволяют обеспечить контроль полосы пропускания для классифицированных приложений. При помощи технологии PfR (Performance Routing) также можно реализовать контроль маршрутов приложений с учётом информации о состоянии и метриках производительности каналов связи (потери пакетов, загрузка канала, задержки и jitter) в режиме реального времени. PfR в интеграции с NBAR2 позволяют обеспечить адаптивный динамический выбор маршрутов для классифицированных приложений. Например, можно использовать один канал связи с низкой задержкой, jitter’ом и потерями пакетов для видеоприложений, а другой канал связи – для всего остального трафика.

Интеграция NBAR2 с технологией Flexible Netflow позволяет обеспечить IPv4/IPv6 мониторинг на уровнях L2-L7 для классифицированных приложений (рис. 2).

Интеграция NBAR2 и Flexible Netflow

Рис. 2

В отличие от традиционного Netflow, технология Flexible Netflow позволяет явно указать необходимые для мониторинга ключевые поля кэша потока данных (Netflow-записи) и передавать кэш на несколько различных коллекторов Netflow посредством экспорта Netflow version 9 (RFC 3954) или IPFIX (RFC 5101). Кэш-запись Flexible Netflow может формироваться не только на базе IP-адресов, портов, интерфейсов. Использование NBAR2 позволяет добавить новое ключевое поле для Netflow – имя приложения. Таким образом появляется возможность отобразить статистику по количеству переданных пакетов и байт  по каждому приложению в кэш-записях Netflow. Можно узнать, какие приложения работают в корпоративной сети, сколько в сети нежелательного трафика (bittorrent, youtube и т.д.), кто (какие IP-адреса) использует эти приложения и т.д.. На базе полученной информации можно применить политики QoS к выбранным приложениям и/или пользователям (IP-адресам). Механизмы извлечения HTTP-полей (field extraction) позволяют Flexible Netflow увидеть, к каким web-ресурсам (hostname и URL, например, www.google.com/news) обращаются пользователи и также собрать статистику по этим запросам.

Таким образом, при помощи Flexible Netflow и NBAR2 можно понять, какие приложения работают в сети, какая полоса пропускания используется этими приложениями, опеределить направления потоков передачи данных, какие пользователи и IP-адреса являются наиболее “активными” с точки зрения потребления трафика. Также на базе Flexible Netflow и NBAR2 реализованы интегрированные в маршрутизаторы Cisco ISR G2 и ASR 1000 средства расширенного мониторинга – Performance Agent (для критичных TCP-приложений) и Performance Monitoring (для голоса и видео).

Причиной плохого качества работы приложений может являться не только сетевая часть. Проблема может заключаться в низком времени отклика самих серверов. В таких случаях организациям трудно определить истинный источник проблем и “узкое место” при доставке приложения.

Маршрутизаторы Cisco ISR G2 с активированной функциональностью Performance Agent (IOS PA) могут обеспечить пассивный мониторинг времени отклика TCP-приложений для каждого сегмента  с использованием более 40 метрик, таких как время TCP-транзакции, время отклика сервера, сетевая задержка на стороне клиента, сетевая задержка на стороне сервера и т.д.. (рис. 3)

Рис. 3

Маршрутизатор ISR G2 вычисляет значения метрик, располагаясь на пути прохождения трафика и  инициализации TCP-сессий между сервером и клиентом. (рис. 4)

Рис. 4

На пути взаимодействия клиента и сервера может быть несколько таких маршрутизаторов с IOS PA. Таким образом можно разделить путь трафика на несколько сегментов и получить информацию по задержкам для каждого из них.

Интеграция  Performance Agent с NBAR2 позволяет получить значения TCP-метрик не только по каждому сегменту, но и по каждому приложению. Как и для Flexible Netflow, статистика с одного или нескольких Performance Agent может быть передана (при помощи стандартного экспорта Netflow v9) Netflow-коллекторам и представлена в виде агрегированных графических отчетов. Проанализировав эти отчёты, администратор может получить представление о том, насколько хорошо работают приложения для удаленных пользователей, какое время отклика и приложений для удаленных филиалов, как долго передаётся файл по FTP с центрального сервера, как быстро грузятся web-страницы корпоративного портала и т.д..

Performance Agent собирает информацию только по TCP-приложениям. А как быть с голосом и видео? Для мониторинга метрик голоса и видео (задержки, потери пакетов, jitter, MoS) можно использовать функциональность Performance Monitoring, которая интегрирована в маршрутизаторы Cisco ISR G2 и ASR 1000. Performance Monitoring анализирует голосовые и видео потоки и собирает информацию о метриках производительности голоса и видео. При помощи NBAR2 можно идентифицировать приложение и собрать статистику по метрикам голоса и видео для этого приложения. Также IOS Performance Monitor позволяет настроить пороговые значения и триггеры. Например, в случае превышения уровня потери пакетов в 5% на маршрутизаторе, автоматически может быть отправлено уведомление syslog или выполнено другое действие.

Активировав на каждом маршрутизаторе функциональность Performance Monitoring, сетевые администраторы получают возможность понять, где именно в сети возникают проблемы с потерями пакетов, высокими задержками и т.д. во время RTP-сессий.

Performance Monitoring, также как Performance Agent, Flexible Netflow и NBAR2, поддерживает стандартный Netflow-экспорт статистики по мониторингу. В качестве коллекторов Netflow для экспортируемых данных могут быть использованы решения Cisco Prime Infrastructure с лицензией Assurance для всестороннего мониторинга и управления сетью, аппаратные платформы Cisco для сетевого анализа NAM (Network Analysis Module) и системы некоторых сторонних производителей. Cisco Prime Infrastructure с лицензией Assurance представляет из себя централизованную систему управления производительностью приложений, услуг и пользователей. Prime Infrastructure обеспечивает корреляцию и агрегацию данных для быстрой диагностики, выполняет анализ пакетов и потоков трафика и предоставляет агрегированную отчётность. Кроме этого, Prime Infrastructure может получать и агрегировать информацию с нескольких устройств Cisco NAM.

Заключение

Cisco Application Visibility and Control (AVC) представляет из себя набор из нескольких технологий маршрутизаторов Cisco ISR G2 (серии 800,1900,2900,3900), ASR 1000 и средств управления и мониторинга (рис.5).

Рис. 5

Интеграция технологий мониторинга с механизмами глубокого анализа потоков и протоколом NBAR2 позволяет получить информацию о работе приложений в сети, обеспечить контроль для каждого приложения,  управление использованием сетевых ресурсов и улучшить работу приложений в сети. Помимо этого, AVC предоставляет богатые возможности для упрощения процедур поиска и устранения неисправностей в сети.

Пожалуй, самое важное преимущество решения AVC заключается в том, что весь функционал полностью интегрирован в маршрутизаторы Cisco ISR G2 и ASR 1000, и не требуется каких-либо дополнительных устройств. Если в сети организации уже используются маршрутизаторы Cisco 1900, 2900 или 3900, то возможность использовать временные лицензии на 60 дней для маршрутизаторов и программного обеспечения Prime Infrastructure с лицензией Assurance (evaluation-версия доступна на сайте www.cisco.com) позволяет оценить преимущества решения в вашей сети без каких-либо дополнительных затрат.

 

Ссылки и дополнительная информация:

  1. Application Visibility and Control (AVC)
  2. NBAR
  3. NBAR2 Protocol Library
  4. Flexible Netflow
  5. Performance Agent
  6. Performance Monitor
  7. Performance Routing
  8. Prime NAM
  9. Prime Infrastructure
  10. Временные evaluation-версии ПО (требуется регистрация на www.cisco.com )

Охота за «Красным Октябрем»

Речь пойдет не о культовом фильме с Шоном Коннери в главной роли, а о последнем примере применения кибероружия в разведывательных целях, который был обнаружен Лабораторией Касперского и который был анонсирован ее специалистами в понедельник. Я уже успел даже прокомментировать этот ролик на телевидении, но моя заметка не о природе этого вредоносного кода, не о его авторах и даже не о том, как он работает. Речь пойдет о том, как с ним бороться.

По мнению экспертов Лаборатории Касперского расширяемая и многофункциональная платформа, используемая для кражи конфиденциальной и секретной информации, использует 4 известные уязвимости:

  • CVE-2009-3129 — Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
  • CVE-2010-3333 — Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
  • CVE-2012-0158 — Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
  • CVE-2011-3544 — Oracle Java Applet Rhino Script Engine arbitrary code execution vulnerability.

Аналитики нашего исследовательского центра Cisco Security Intelligence Operations (SIO) разработали целый набор защитных мероприятий, которые могут быть реализованы с помощью различных решений Cisco в области информационной безопасности. Для первых двух уязвимостей известных еще с 2009-го и 2010-го годов мы выпустили бюллетени об уязвимостях:

соответствующие рекомендации по отражению указанных угроз:

а также 4 сигнатуры для решений Cisco от обнаружению и предотвращению вторжений Cisco IPS — 22083-0, 21920-0, 31239-1 и 31239-0.

Для борьбы с новой уязвимостью, позволяющей удаленное выполнение кода и описанной в бюллетене Microsoft MS12-027: Vulnerability in Windows Common Controls Could Allow Remote Code Execution мы также провели целый ряд исследований, результатом которых стал выпуск соответствующих бюллетений, рекомендация и сигнатур:

При этом в последнем случае идентифицировать данную угрозу и бороться с ней можно не только с помощью Cisco IPS, но и с помощью сертифицированных в ФСТЭК маршрутизаторов Cisco IOS с Netflow, сертифицированных в ФСТЭК межсетевых экранов Cisco ASA, Cisco ASA SM и Cisco FWSM для Catalyst 6500, а также с помощью Cisco ACE. Последняя уязвимость в реализации Java, используемая в одном из командных серверов «Красного Октября», также описана нами в соответствующем бюллетене. Все эти рекомендации и сигнатуры уже доступны для пользователей Cisco и могут быть загружены с нашего портала по информационной безопасности Cisco SIO.

Указанные ресурсы для борьбы с «Красным Октябрем» — это только один пример активности экспертов Cisco SIO, в круглосуточном режиме работающих для защиты информационных систем и сетей наших заказчиков. На уже упомянутом выше портале вы сможете регулярно получать информацию следующего характера:

  • Event Responses (реакция на событие) обеспечивает информацию о событиях ИБ, которые могут иметь потенциально серьезные последствия для устройств, приложений и сетей заказчиков.
  • Applied Mitigation Bulletins (бюллетень о проявлении уязвимостей в продуктах Cisco) обеспечивает описание технологий для обнаружения и отражения уязвимостей в продуктах Cisco.
  • IPS Signatures (сигнатуры IPS) создаются для обнаружения и блокирования угроз ИБ с помощью Cisco IPS.
  • IntelliShield Alerts (бюллетень IntelliShield) включает вендорнезависимое «раннее предупреждение» об угрозе, ее анализ и разбор потенциальных последствий.

Интеллектуальная облачная сеть

В последнее время многие предприятия и организации рассматривают облачную модель, как одну из возможностей снижения своих расходов, повышения эффективности и развития новой инновационной бизнес-модели. Согласно исследованиям различных аналитиков, к 2014 году более 50% трафика будет составлять трафик облачных сервисов, и 60% предприятий к 2015 году осуществит миграцию и консолидацию своих сервисов и приложений в облачных средах.

Какие бывают облачные сервисы и для чего они нужны? Наиболее известный облачный сервис – это ваша электронная почта на публичном сервере (yandex.ru, mail.ru, gmail.ru и прочие). Используя любое устройство (любой подключенный к Интернету компьютер, мобильный телефон, планшет), находясь в любой точке мира, вы можете войти в свою почту и подключиться к данным своей учетной записи, которые хранятся на удалённом сервере. Ещё один пример востребованных облачных сервисов – публичные ресурсы для резервного копирования и хранения данных (iCloud, Dropbox, Windows SkyDrive, Amazon Cloud Drive и другие). Для организаций и предприятий наибольшей популярностью среди публичных сервисов пользуются  хостинг инфраструктуры, веб-присутствие, облачные решения для коммуникаций и совместной работы, а также бизнес-приложения. Однако многие компании не готовы доверять обработку и хранение информации третьей стороне, беспокоясь за сохранность своих данных. Другая проблема – это конфиденциальность. К облачным сервисам компании потенциально можно подключиться с любого компьютера, имеющего доступ в интернет.

Многие крупные организации начинают строить и использовать собственные частные облачные инфраструктуры, что позволяет им более гибко предоставлять услуги и ресурсы для своих сотрудников, а также снижать свои расходы на IT-поддержку и сопровождение.

Частное облако может находиться в собственности, управлении и обслуживании у самой организации, у третьей стороны и располагаться как на территории предприятия, так и за его пределами. Многие облачные провайдеры предлагают виртуальные частные облака, выделяя ресурсы единственному заказчику, но исключая совместное использование этой виртуальной инфраструктуры несколькими клиентами.

Из каких компонент может состоять облачная инфраструктура? Можно выделить две основные компоненты – это пользовательская и облачная инфраструктуры. На стороне пользователя располагается традиционная сеть организации с подключенными к ней пользовательскими конечными устройствами. Для подключения к облаку пользователи могут использовать любое устройство, подключенное к корпоративной сети или Интернету для доступа к ресурсам и сервисам. Помимо маршрутизаторов и других сетевых устройств, в корпоративной сети организации могут использоваться средства мониторинга, контроля и оптимизации работы приложений.

Облачная же инфраструктура представляет из себя центр обработки данных с собственной сетью, объединяющей системы хранения, сервера с поддержкой виртуализации, которые обеспечивают работу приложений и сервисов. Облачная инфраструктура подключается к внешним сетям (Интернет или корпоративная сеть предприятия) при помощи маршрутизаторов.

Многие существующие распределенные WAN-сети построены на устаревшем оборудовании, которое не может обеспечить эффективное взаимодействие пользовательской и облачной инфраструктур и внедрение облачных сервисов по причине невысокой производительности, отсутствия возможностей для безопасной и надежной передачи облачных приложений, а также недостатка средств для мониторинга и управления облачным трафиком.

В рамках концепции компании Cisco Cloud Intelligent Network (“Интеллектуальная облачная сеть”) реализованы возможности для решения большинства этих сетевых проблем, позволяя организациям эффективно и прозрачно подключить своих пользователей ко всем типам облачных сред (публичным, частным, гибридным), обеспечивая при этом высокий уровень производительности сервисов и безопасности частных сетей. При этом, также как и в традиционных сетях, обеспечиваются богатые возможности по идентификации и мониторингу приложений в облачной среде, а также управлению всей инфраструктурой облачной сети.

Маршрутизирующие платформы Cisco ASR 1000 и ISR G2 предоставляют широкий выбор интерфейсов (медный и оптический Ethernet, Serial, E1, DSL и т.д.) и возможности для подключения к облачной среде центральных офисов и филиалов организаций, а также конечных пользователей.

Маршрутизаторы ISR G2 (Integrated Services Router Generation 2) серий Cisco 800, 1900, 2900, 3900 обеспечивают гибкость за счет интеллектуальной интеграции сервисов безопасности, коммутации, унифицированных коммуникаций, видео, беспроводной связи, оптимизации работы приложений в глобальных сетях и прикладных сервисов.

Анонсированная в 2012 году новая платформа Cisco ASR 1002-x с операционной системой IOS XE позволяет наращивать производительность платформы (с 5 до 36 Гбит/с) по мере необходимости с использованием лицензий и модели сервисов по требованию, что позволяет значительно снизить операционные расходы и обеспечить защиту капиталовложенНовый виртуальный маршрутизатор Cisco Cloud Services Router (CSR 1000v), с помощью которого организации могут обеспечить подключение к частным виртуальным сетям (VPN) в облаках, позволяет использовать широкий спектр сервисов Cisco, предназначенных для работы в сети и обеспечения безопасности, в форм-факторе виртуального устройства для развертывания в облачных средах. CSR 1000v анонсирован в 2012 году и представляет из себя операционную систему IOS XE, работающую на базе виртуальной машины гипервизоров (VMware ESXi 5.0, Citrix XenServer 6.0 и других) для серверных платформ Cisco UCS (Unified Computing System). Операционная система IOS XE для CSR 1000v поддерживает технологии FlexVPN, протоколы маршрутизации OSPF/EIGRP/BGP, функциональность MPLS/VRF, механизмы NAT/HSRP/DHCP и многое другое.  Возможности нового маршрутизатора CSR 1000v позволяют организациям осуществлять управление сетевыми ресурсами корпоративной сети при миграции в облачные среды, а провайдерам  облачных услуг обеспечивают возможность получать дополнительную прибыль путем применения гибкой модели по запросу «сеть как услуга». Предприятия и организации получают возможность расширить свои WAN-сети до уровня виртуальных частных облаков (virtual Private Cloud, vPC) внутри публичной multi-tenant среды облачного провайдера.

Маршрутизатор CSR 1000v является дополнением к богатому портфелю решений компании Cisco для облачных сред, таким как виртуальный коммутатор Nexus 1000v, межсетевой экран ASA 1000v для защиты периметра частной облачной среды, виртуальный шлюз безопасности VSG для реализации политик безопасности на уровне виртуальных машин, а также vWAAS для WAN-оптимизации трафика в облачной среде.

Помимо необходимости обеспечения безопасного подключения пользователей к облачной сети появляется необходимость обеспечить эффективную доставку приложений. При миграции к облачной модели возникает зависимость от качества и пропускной способности канала связи. Появляется необходимость оптимизировать передачу трафика, исключить передачу трафика нежелательных приложений, сильно загружающих полосу пропускания и влияющих на производительность канала связи.

Набор интегрированных средств AVC (Application Visibility and Control) для маршрутизаторов Cisco ASR 1000/ISR G2/CSR 1000v, позволяет понять, какие приложения работают в облачной среде, обеспечить их мониторинг и контроль передачи по каналам связи. С использованием протокола NBAR2 и механизмов глубокой инспекции пакетов (Deep Packet Inspection, DPI) можно идентифицировать около 1500 различных приложений, в том числе работающих через web-приложения с использованием протоколов HTTP/HTTPS. Интеграция технологий NBAR2 и Flexible Netflow предоставляет возможности для реализации мониторинга и анализа трафика от 2 до 7 уровней модели OSI. В отличие от традиционного Netflow, технология Flexible Netflow позволяет явно указать необходимые для мониторинга ключевые поля кэша потока данных (Netflow-записи) и передавать кэш на несколько различных коллекторов Netflow посредством экспорта Netflow version 9 (RFC 3954) или IPFIX (RFC 5101). Возможность использовать тип приложения, идентифицированного при помощи NBAR2, в качестве поля Netflow-записи позволяет получить детальную статистику по использованию приложений в облачной среде.

При доставке облачных приложений и сервисов необходимо понимать, насколько эффективно используется полоса пропускания, трафик каких приложений передаются  через каналы связи, кто является основным потребителем этого трафика. NBAR2 и Flexible Netflow позволяют получить ответы на эти вопросы и обеспечить гибкий мониторинг IPv4 и IPv6 трафика. В качестве коллекторов Netflow для экспортируемых данных могут быть использованы решения Cisco Prime Infrastructure с лицензией Assurance для всестороннего мониторинга и управления сетью, аппаратные платформы Cisco для сетевого анализа NAM (Network Analysis Module) и системы некоторых сторонних производителей.

Определив нежелательные приложения (bittorrent, youtube и т.д.), которые сильно загружают каналы связи,  организации могут блокировать их трафик с использованием традиционных механизмов QoS. С другой стороны организации могут не только блокировать нежелательные приложения в облачной среде, но и оптимизировать трафик самих бизнес-критичных приложений (SAP, Oracle, виртуальные десктопы и т.д.), используя решение для оптимизации приложений Cisco Wide Area Application Services (WAAS). Cisco WAAS снижает количество передаваемого трафика по каналам связи, ускоряет работу приложений, оптимизирует пропускную способность и сокращает задержки, что повышает качество обслуживания конечных пользователей в глобальных сетях. В решении WAAS реализованы технологии оптимизации TCP-соединений, кэширования и сжатия данных, устранения избыточности при передаче трафика. Функции автоматического обнаружения устройств оптимизации существенно ускоряют процесс прозрачного внедрения этого решения в существующие сети. Решение Cisco WAAS доступно как в виде отдельных аппаратных устройств, так и в виртуальном форм-факторе (virtual WAAS) для серверных платформ Cisco UCS (Unified Computing System).

Технология Cisco AppNav, анонсированная в 2012 году, обеспечивает гибкое управление оптимизацией глобальной сети по мере ее расширения, а также организацию работы и администрирование кластеров WAAS с балансировкой и распределением нагрузки. Для крупных центров обработки данных AppNav позволяет объединить несколько физических или виртуальных платформ WAAS в единый пул ресурсов Cisco WAAS, управляемый с помощью центрального контроллера.

Для более эффективного использования существующих каналов связи можно использовать технологию PfR (Performance Routing), которая позволяет расширить методы традиционной маршрутизации за счёт учёта информации о состоянии и метриках производительности каналов связи (потери пакетов, загрузка канала, задержки и jitter) в режиме реального времени. PfR позволяет обеспечить адаптивную динамическую маршрутизацию и балансировку нагрузки с распределением трафика через каналы связи  с различной пропускной способностью. Таким образом предприятия могут обеспечить защиту трафика облачных бизнес-критичных приложений от потерь пакетов и повысить качество работы приложений для удалённых пользователей и подразделений.

Таким образом, интегрированные решения для идентификации (NBAR2), мониторинга (Flexible Netflow) и контроля приложений (QoS, PfR) для маршрутизаторов Cisco ISR G2 и ASR 1000 позволяют обеспечить более эффективную доставку облачных сервисов через каналы связи с низкой производительностью. Однако, причиной плохого качества работы приложений может являться не только сетевая часть облачной инфраструктуры. Проблема может заключаться в низком времени отклика самих серверов центров обработки данных. В таких случаях организациям трудно определить истинный источник проблем и “узкое место” при доставке облачных сервисов.

Маршрутизаторы Cisco ISR G2 с активированной функциональностью Performance Agent (IOS PA) могут обеспечить мониторинг времени отклика TCP-приложений для каждого сегмента  (рис. 1) с использованием более 40 метрик, таких как время TCP-транзакции, время отклика сервера, сетевая задержка на стороне клиента, сетевая задержка на стороне сервера и т.д..

Рисунок 1

Рис. 1

Маршрутизатор ISR G2 вычисляет значения метрик, располагаясь на пути прохождения трафика и  инициализации TCP-сессий между сервером и клиентом (рис. 2).

Рисунок 2

Рис. 2

Агрегированные отчёты от одного или нескольких таких маршрутизаторов посредством Netflow-экспорта передаются системам мониторинга Cisco Prime Infrastructure с лицензией Assurance или Cisco NAM, которые позволяют получить общую информацию о временных метриках работы и доставки облачных приложений, классифицированных при помощи NBAR2.

Ещё одна задача, с которой сталкиваются организации, внедряющие облачные технологии – это обеспечение локальной устойчивости облачного приложения для удаленного подразделения или филиала. Качественная работа облачных сервисов сильно зависит от качества, надежности и производительности канала связи. Если возникают какие-то проблемы с WAN-каналом и удаленные ресурсы и сервисы становятся недоступны, то как обеспечить работу облачных приложений в этом случае? Новые серверные платформы Cisco UCS E для маршрутизаторов Cisco ISR G2  серий 2900 и 3900, анонсированные в 2012 году, позволяют обеспечить консолидацию сервисов и ресурсов и их резервирование на локальном уровне в случае их недоступности из облака. UCS E представляют из себя модули одинарной или двойной ширины для маршрутизаторов Cisco ISR G2, которые обеспечивают интегрированную вычислительную мощность при помощи собственных аппаратных ресурсов (рис. 3).

Серверные модули UCS E

Рис. 3

В UCS E установлены современные 4-х или 6-ти ядерные процессоры Intel Xeon серий E3/E5 Sandy Bridge, поддерживается оперативная память DRAM до 48 Гб, память для хранения до 3 Тб с поддержкой RAID0/RAID1/RAID5. Эти серверные блейды отличаются низким энергопотреблением (до 130 Вт) по сравнению с отдельностоящими серверами и получают питание непосредственно от маршрутизатора. Все модули бесплатно комплектуются Cisco Integrated Management Controller (CIMC) для полноценного мониторинга состояния системы,  удаленного управления электропитанием и аппаратными параметрами (в том числе BIOS), виртуальной KVM. Особенности UCS E позволяют решить ещё одну непростую проблему — обеспечить раздельное и независимое управление между сетевыми и серверными IT-администраторами. Аппаратные платформы UCS E поддерживают установку различных операционных систем (Windows Server 2008, Red Hat Enterprise Linux, SUSE Linux, Oracle Linux) и гипервизоров (Microsoft Hyper-V, VMware vSphere 5.0, Citrix XenServer 6.0). Таким образом на базе этих интегрированных в маршрутизаторы модулей можно обеспечить локальные архивы и сервисы облачных приложений в случае отказа WAN-канала связи и доступа к сервисам через облако. Интеграция UCS E в маршрутизаторы позволяет снизить совокупную стоимость владения, посредством уменьшения объема серверного оборудования, снижения операционных расходов на энергопотребление, охлаждение, пространство и место в стойке.  Вдобавок ко всему, очевидно, что проще управлять одним устройством, консолидирующим все сервисы для филиала в рамках одной платформы.  Возможность управлять всеми сервисами удаленно из центрального офиса позволяет организациям решить вопрос нехватки квалифицированных специалистов в региональных подразделениях и филиалах и снизить затраты IT-специалистов на командировки.

В рамках концепции Cloud Intelligent Network (“Интеллектуальная облачная сеть”) компанией Cisco был представлен так называемый Cloud Connector — программный компонент, улучшающий производительность, безопасность и доступность облачных приложений для филиалов и удаленных предприятий организаций. Наиболее известным примером реализации Cloud Connector на сегодняшний день является решение ScanSafe для защиты от интернет-угроз и проникновения вредоносных программ в корпоративную сеть, которая обеспечивает более эффективный контроль и безопасный доступ в Интернет. Это решение анализирует каждый запрос к интернет-ресурсам, допустимость этого запроса в соответствии с заданной политикой безопасности, и обращается к облаку ScanSafe для проверки вредоносности. Таким образом обеспечивается защита прямого доступа из удаленных узлов в облако организации или сеть Интернет. Преимуществом этого решения является то, что конечному пользователю не требуется производить никаких дополнительных настроек своей системы и web-браузера — функциональность ScanSafe интегрирована в программный код Cisco IOS для маршрутизаторов и активируется при помощи лицензии. Cloud Connector может быть реализован, как функциональность, встроенная в операционную систему IOS маршрутизатора, так и работать на базе аппаратной платформы UCS E для маршрутизатора ISR G2. UCS E позволяет реализовать как хостинг сервисов Cisco, так и собственные приложения облачных провайдеров и организаций.

Управлению всей инфраструктурой облачной сети Cisco реализовано на базе унифицированной системы управления Cisco Prime Infrastructure, которая содержит решения для управления доступом, настройки конфигурации, мониторинга, поиска и устранения неполадок. При помощи дополнительной лицензии Assurance, Cisco Prime обеспечивает согласованный контроль и мониторинг производительности облачных приложений.

Заключение

Компания Cisco продолжает наращивать богатый портфель решений для построения интеллектуальных облачных сетей.

В дополнение к существовавшим ранее маршрутизаторам серии ASR 1000 и ISR G2, в 2012 году был анонсирован маршрутизатор ASR 1002-x, который может использоваться не только в центрах обработки данных и центральных офисах, но также и в крупных филиалах компаний.

Новый виртуальный облачный маршрутизатор CSR 1000v, с помощью которого организации могут обеспечить подключение к частным виртуальным сетям (VPN) в облаках, является дополнением к линейке маршрутизаторов ASR 1000 для использования в облачных средах и центрах обработки данных.

Новые серверные модули UCS E-серии для маршрутизаторов ISR G2 позволяют обеспечить локальное хранилище данных и сервисов для филиалов, а также работу специализированных программных компонент (Cloud Connector) для взаимодействия с облачными сервисами на базе интегрированных аппаратных ресурсов.

В дополнение к широкой линейке устройств оптимизации WAAS, как физических (WAVE 294, 594, 694, 7541, 7571, 8541), так и виртуальных (vWAAS), в 2012 году было анонсированно новое решение AppNav для управления и распределения нагрузки в рамках кластеров WAAS для крупных центров обработки данных.

Широкий портфель решений и платформ Cisco (рис.4), позволяет построить интеллектуальные облачные сети в соответствии с современными тенденциями.

Продукты Cisco для построения интеллектуальных облачных сетей

Рис. 4

А готова ли Ваша сеть к внедрению облачных технологий?

 Ссылки и дополнительная информация:

  1. Cisco Cloud Intelligent Network
  2. Why Cloud Computing Needs a Cloud-Intelligent Network
  3. Designing the Network for the Cloud
  4. Get Your Network Ready for Cloud
  5. A Guide to Cloud-Ready Branch Office Network
  6. Cisco Cloud Intelligent Network: Prepare Your Network for the Cloud
  7. Cisco Cloud Connectors: Bringing Intelligence to the Cloud Cisco

Безопасность от Cisco: чем запомнился 2012-й год

Год 2012-й с точки зрения информационной безопасности стал для компании Cisco очень успешным. В первую очередь мы анонсировали и представили заказчикам и партнерам целый ряд абсолютно новых продуктов, а также выпустили обновленные версии наших ключевых продуктов. Среди новинок хочется отметить:

  • Cisco ASA 5500-X. Новая аппаратная платформа «среднего класса» (в дополнение к «старшей» Cisco ASA 5585-X) расширила возможности наших заказчиков по защите своих корпоративных и государственных информационных ресурсов от сетевых нападений различного характера. Новые модели Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X и 5555-X не только в 4 раза производительнее предыдущих моделей среднего класса (Cisco ASA 5510, 5520, 5540 и 5550), но и построены на базе совершенно иной архитектуры, которая оптимизирована для работы с многоядерными процессорами. Другое ключевое отличие новой аппаратной платформы – возможность расширения защитных возможностей за счет поддержки различных сервисов безопасности (например, IPS) без установки дополнительных плат расширения.
  • Cisco IPS 4300 и Cisco IPS 4500. Помимо замены аппаратной платформы для многофункциональных защитных устройств Cisco ASA мы предложили заказчикам и 4 новых модели Cisco IPS — «среднего» класса Cisco IPS 4345 и 4360 и «старшего» класса — Cisco IPS 4510 и 4520.
  • Cisco IPS for SCADA. Угроза для индустриальных систем становится все серьезнее и компания Cisco не может оставаться в стороне от этой проблемы. Помимо специализрованных рекомендаций по построению устойчивых к атакам дизайнов индустриальных сетей в начале 2012 года компания Cisco выпустила специализированную систему предотвращения вторжений, ориентированную на обнаружение и отражение атак, ориентированных на различные компоненты современных технологических сетей — SCADA, PLC, HMI и т.д.
  • Cisco ASA CX. Последнее время угрозы стали «подниматься» с сетевого уровня на прикладной, скрываясь в хитросплетениях протоколов, по которым работаю современные Web-приложения — Facebook, Skype, ICQ, ВКонтакте, Youtube, iTunes, LinkedIn и т.д. Частично задачу нейтрализации прикладных угроз могут взять на себя Cisco ASA 5500-X и Cisco IPS, но заказчики просили нас разработать специализированное решение, которое многие аналитики сейчас называют межсетевым экраном следующего поколения (Next generation firewall) или прикладным межсетевым экраном (application firewall).  И такое решение было нами разработано — оно получило название Cisco ASA CX. Новый продукт расширяет возможности Cisco ASA и позволяет контролировать свыше 1000 приложений и 75000 микроприложений, которыми активно пользуются наши заказчики. C помощью Cisco ASA CX заказчики могут гибко контролировать работу этих приложений, например, разрешив общение через Интернет-пейджер, но запретив передачу через них файлов. И это только одна из возможностей ASA CX. К другим относятся – URL-фильтрация, применение политик в зависимости от типа устройства доступа (ПК, iPad, смартфон, принтер и т.п.), от имени пользователя, местоположения пользователя или устройства и т.д. Сначала это был аппаратный модуль для Cisco ASA 5585-X, а на днях мы выпустили ASA CX в виде программного сервиса (виртуального блейда), работающего и на остальных моделях Cisco ASA 5500-X.
  • Cisco Prime Security Manager (PRSM). Для управления Cisco ASA CX нами была разработана и предложена система управления Cisco Prime Security Manager.
  • Cisco ASA 1000V. Анонсированный в августе 2011 года межсетевой экран для виртуализированных и облачных сред Cisco ASA 1000V Cloud Firewall, стал доступен к заказу летом 2012-го года. Этот продукт лишний раз доказывает, что взятое компанией Cisco направление в области защиты центров обработки данных, будет и дальше оставаться в фокусе нашего внимания.

За выпуском новых продуктов мы не забывали выпускать и крупные обновления. Среди них можно назвать Identity Service Engine (ISE) 1.1 / TrustSec 2.1, ASA 9.0, Cisco Security Manager 4.3, AnyConnect 3.1. Особо хотелось бы отметить новую версию Cisco ASA 9.0, которая включила в себя срезу несколько новых важных функций:

  • кластеризация, позволяющая добиться совокупной производительности в 320 Гбит/сек
  • интеграция с Cisco ISE/TrustSec
  • интеграция с Cisco Cloud Web Security (новое название для сервисов облачной безопасности Cisco ScanSafe)
  • функционирование в смешанном режиме IPv4/IPv6
  • расширенная поддержка инфраструктуры Citrix Xen
  • новые функций Clientless VPN и мультиконтекстной возможности Cisco ASA.

Такое количество новинок позволило Cisco подтвердить свои лидирующие позиции в 4-х «магических квадратах» по версии Gartner (Secure Web Gateway, Secure Email Gateway, Network Access Control и SSL VPN), а также укрепить в 4 сегментах (Secure Access, Firewall, IPS и Email Gateway) по версии аналитических компаний Infonetics и Synergy. В России компания Cisco также является лидером на рынке средств сетевой безопасности. Это подтвердило и исследование компании IDC, согласно которому в 2011 году доля Cisco на рынке аппаратных решений обеспечения информационной безопасности составила 27,1%, почти вдвое превысив соответствующий показатель ближайшего конкурента. Учитывая динамику продаж можно предположить, что и в 2012-м году мы сохраним наши лидирующие позиции, еще больше увеличив отрыв от других игроков рынка.

Продолжалась работы и в части сертификации решений Cisco по российским требованиям в области информационной безопасности. Было получено свыше 50 новых сертификатов, но особо нам бы хотелось отметить сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco CGS 2500 по схеме «серия» по требованиям руководящего документа ФСТЭК «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищенности. Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco  вытекает из объявленной почти два года готовности руководства Cisco содействовать созданию в Российской Федерации энергетической  суперинфраструктуры (по-английски – Smart Grid), объединяющей новаторские энергетические и информационно-коммуникационные технологии.

В заключение краткого обзора того, что было сделано компанией Cisco в области информационной безопасности, хотелось бы поделиться и новостями нашего технологического партнера — компании С-Терра СиЭсПи, совместно с которой мы разрабатываем высокопроизводительные системы криптографической защиты информации (VPN-решения), удовлетворяющие требованиям российских нормативных актов в области информационной безопасности. Интересных событий два. Во-первых, разработка и тестирование нового высокопроизводительного решения на базе Cisco UCS, позволяющего шифровать поток данных на втором уровне с агрегированнoй производительностью 10 Гбит/с. Вторая новость заключается в получении положительного заключения ФСБ о соответствии CSP VPN Gate требованиям к СКЗИ по классу КС3.

Все эти новости лишний раз подтверждают не только то, что 2012 год был очень успешным для компании Cisco с точки зрения информационной безопасности и ознаменовался очень важными и интересными анонсами и новинками, но и то, что компания Cisco продолжает оставаться лидером мирового и российского рынка сетевой безопасности. И в 2013-м году мы продолжим удерживать свои лидирующие позиции, предлагая нашим заказчикам и партнерам лучшие решения для обнаружения и отражения различных угроз.

Сравнение производительности межсетевых экранов Cisco, Check Point и Fortinet

В феврале я уже писал о том, что компания Cisco выпустила 5 новых моделей Cisco ASA 5500-X, отличающихся от предыдущего модельного ряда не только абсолютно новой архитектурой, но и повышенной в 4 раза производительностью.  И чтобы подтвердить такой рост, компания Cisco привлекла компанию Miercom к оценке производительности многофункциональных устройств обеспечения безопасности серии ASA 5500-X в сравнении с их аналогами. Были опробованы три сопоставимых сценария сравнения изделий компаний Check Point и Fortinet с их аналогами серии ASA 5500-X. Модель ASA 5515‑X сравнивалась с Check Point 4210, ASA 5525‑X — с FortiGate 310B, а ASA 5555‑X — с устройствами Check Point 4807. Выбор этих продуктов объясняется их сходством по целевому назначению, что обеспечивает корректность сравнения. Результаты сравнения, а также методика тестирования, приведены в отчете, который может быть свободно загружен по ссылке.

На основе лабораторных тестов многофункциональных устройств обеспечения безопасности Cisco ASA 5515‑X, 5525-X и 5555-X компания Miercom подтверждает, что их производительность выше, чем у их аналогов Check Point 4210, FortiGate 310B и Check Point 4807.

Cisco WebEx в своем ЦОДе

Сервис Cisco WebEx как услуга в формате SaaS хорошо известна и популярна как в мире, так и в странах СНГ. Согласно исследования Synergy Research в 2011 году занимала 52%  всего рынка web-конференций.

В ноябре 2012 года компания Cisco предложила на рынок новый продукт — Cisco WebEx Meetings Server (CWMS).

CWMS — построен на том же движке что и SaaS, но размещается не в облаке Cisco Collaboration Cloud, а на серверах Cisco UCS частном облаке (ЦОДе) компании в виде VMWare имиджей.

Интерфейс пользователя сохранен таким же как и в SaaS, то есть поддерживается подключение участников web-конференции со стационарных и мобильных устройств под управлением различных операционных систем. Так же как и в SaaS возможно подключение в режиме голосовой связи как с компьютера (VoIP), так и с помощью обычного телефона (Call-In или call-out). И так же как и в SaaS поддерживается совместная работа с документами и приложениями, web-видеоконфренеции, запись и другие возможности.

Cisco WebEx Meetings Server полноценно поддерживает русский язык: локализован интерфейс пользователя, голосовые сообщения голосового меню и руководства пользователя и администратора. В зависимости от модели развертывания один экземпляр продукта может поддерживать до 50, до 250, до 800 или до 2000 одновременных подключений (в терминах CWMS это называется порты, порты НЕ лицензируются). Лицензируются только организаторы конференций (host), в то время как для обычных участников лицензии не требуются. В зависимости от интенсивности проведения  web-конференций в компании один экземпляр продукта CWMS может «охватить» от 50 до 400 000 сотрудников.

К особенности продукта следует отнести то, что в течении 180 дней продукт функционирует «бесплатно». Это сделано для того чтобы корпоративные пользователи могли на практике понять какое количество лицензий организаторов им необходимо приобрести для своей компании (дополнительно к первичному заказу — 50 лицензий организаторов).

Более подробную информацию о Cisco WebEx Meetings Server можно найти по ссылке.

Руководства пользователей и адмнистраторов на русском языке можно загрузить здесь.

Для быстрой оценки бюджета стоимости оборудования и программного обеспечения Cisco WebEx Meetings Server можно воспользоваться калькулятором по этой ссылке.

BYOD в России

Дэйв Эванс, главный футуролог компании Cisco и главный технолог консалтингового подразделения Cisco IBSG @DaveTheFuturist

Миллионы людей (многие из них — сотрудники различных  организаций) приобретают мобильные устройства вроде смартфонов и планшетных компьютеров, и в дальнейшем используют их на работе. Этот феномен быстро набирает популярность и получил название BYOD (от Bring Your Own Device, «принеси на работу свое устройство»).

Чтобы лучше понять, насколько BYOD укоренился в глобальной корпоративной среде, консалтинговое подразделение Cisco IBSG опросило около 4 900 ответственных руководителей ИТ-отделов крупных (со штатом не менее одной тысячи сотрудников) и средних (500—999 работников) компаний в четырех регионах: США, Латинская Америка, Азия и Европа (в том числе Россия). Результаты исследования могут многое рассказать о том, как в российских компаниях управляют вычислительными сетями, мобильными устройствами и даже сотрудниками, для которых изменилось само понимание того, что значит «быть на работе».

Исследование показало, что BYOD распространяется не только в США и не только в крупных компаниях. На глобальном уровне BYOD в той или иной форме поддерживают 89 процентов руководителей ИТ-подразделений крупных и средних предприятий, а 69 процентов относятся к этому феномену «весьма» либо «очень» положительно. Потрясающие показатели, свидетельствующие о том, что компании в разных частях света принимают BYOD!

Европейские ИТ-руководители, пусть и в разной степени, менее всех других расположены поддерживать стремление сотрудников своих компаний пользоваться личными устройствами на работе и смотрят на это косо. Вследствие этого они реже разрешают сотрудникам приносить на работу свои устройства и пользоваться несанкционированными приложениями.

В России мобильными устройствами на работе пользуются 55 процентов работников умственного труда. Для сравнения: в Германии этот показатель составляет 50 процентов, во Франции — 52 процента. Вместе с тем Россия отстает от таких быстроразвивающихся стран, как Бразилия (57 процентов) и Индия (69 процентов), а также от США (67 процентов).

Среди этих 55 процентов российских работников, снабженных некоторым мобильным устройством (ноутбуком, смартфоном или планшетным компьютером), лишь менее трети используют собственный, а не принадлежащий компании прибор. В Индии, где модель BYOD наиболее популярна, более половины рабочих ноутбуков и смартфонов принадлежит самим сотрудникам.

При всем этом российские ИТ-руководители не ожидают особого увеличения доли личных мобильных устройств. Рост их числа прогнозируют представители менее половины компаний (43 процента); 32 процента не ожидают никаких изменений, а 20 процентов считают, что их доля и вовсе снизится.

Любопытно, что не ожидая существенного роста числа личных мобильных устройств на рабочих местах и выделяя на развитие мобильности лишь малую долю бюджетов, 59 процентов российских ИТ-руководителей относятся к BYOD позитивно. Для сравнения: в Великобритании и Германии такую позицию занимают 52 процента ИТ-руководителей, а во Франции и того меньше — 40 процентов.

Эти и другие результаты нашего исследования показывают, что BYOD сулит существенные преимущества и компаниям, и сотрудникам. Но воспользоваться этими преимуществами руководители бизнеса и информационно-технологических подразделений смогут, только если перестанут сводить дело к борьбе со связываемыми с BYOD угрозами для информационной безопасности и сохранности данных и займут активную позицию по внедрению BYOD. Для этого необходимы прописание правил применения устройств мобильного доступа, организация соответствующей ИТ-поддержки и создание условий для использования некорпоративных приложений. В таком виде BYOD может принести неоценимую пользу как самой компании, так и ее сотрудникам.

Более подробно об исследовании тенденции BYOD, проведенном Cisco IBSG, можно узнать из следующих материалов:

Новый шаг Cisco в деле защиты критически важных объектов России

Согласно статистике нашего партнера, компании Positive Technologies, число уязвимостей для систем управления технологическими процессами растет из года в год. И уязвимости эти встречаются в продукции различных компаний — Siemens, ABB, Schneider Electric, Rockwell, Emerson, GE, Iconics и т.п. И все это непростые офисные системы, а сложные продукты, управляющие критически важными объектами, ущерб от атаки на которые может измеряться не только сотнями миллионов рублей, но и человеческими жизнями.

Более половины таких уязвимостей носит либо серьезный, либо критический характер. А значит эксплуатация этих дыр может привести к очень серьезным последствиям для владельца уязвимой АСУ ТП.

И для многих их этих уязвимостей уже появились свои эксплоиты, позволяющие не просто говорить об уязвимости, а реально их использовать.

Уделяя этой проблеме немало внимая, Cisco в прошлом году оснастила свою систему предотвращения вторжений Cisco IPS отдельным модулем нейтрализации атак на АСУ ТП ведущих мировых игроков этого рынка. И вот новая победа, уже на локальном рынке. Маршрутизатор Cisco CGR 2010 и коммутатор Cisco CGS 2500 получили сертификаты ФСТЭК России, как соответствующие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищенности.

Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco  вытекает из объявленной почти два года готовности руководства Cisco содействовать созданию в Российской Федерации энергетической  суперинфраструктуры (по-английски – Smart Grid), объединяющей новаторские энергетические и информационно-коммуникационные технологии. И вот первое подтверждение выбранного курса.

Маршрутизаторы Cisco CGR 2010 и коммутаторы Cisco CGS 2500 применяются для построения современных сетей электроэнергетики, помогая коммунальным службам надежнее и эффективнее доставлять электроэнергию от генерирующих мощностей в жилые здания и промышленные предприятия. С помощью данных устройств можно создать безопасную коммуникационную инфраструктуру для записи и анализа (в режиме, близком к реальному времени) информации, поступающей от множества «умных» электронных устройств, установленных на территории подстанции. Это поможет коммунальным службам лучше управлять передачей электроэнергии и распределяющими мощностями, а также повысить надежность доставки электроэнергии за счет оперативного обнаружения, изоляции, диагностики, а иногда и автоматического устранения неисправностей. Кроме того, решения Cisco облегчают подключение сетей электропередач к новым возобновляемым источникам энергии.

Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco CGS 2500 проводилась ЗАО «Документальные системы» по схеме «серия».  Благодаря этому в дальнейшем у покупателей данного оборудования сократятся временные и финансовые  издержки на получение документов, разрешающих его использование для защиты конфиденциальной информации.

Подробнее о решениях Cisco по направлению Smart Grid…

Подробнее о решениях Cisco по безопасности Smart Grid…

Пришел на курсы Cisco? Дай-ка на тебя посмотрю!

Не нужно быть дипломированным психологом, чтобы видеть и понимать типы студентов, пришедших изучать сетевые технологии Cisco. Нужно лишь внимательно относиться  к своим студентам. Я уже не первый год веду курс «Сертифицированный Cisco сетевой специалист (CCNA)» в Ярославской сетевой академии Cisco и готов поделиться своим психологическим опытом.

Первое занятие. Захожу в учебную аудиторию, вижу двенадцать пар глаз, изучающих меня с ног до головы. Здороваюсь и прохожу на свой инструкторский пост. Начинаю рассказывать группе,  что изучение сетевых технологий Cisco – дело непростое и потребуется много сил и времени, объясняю особенности сертификации Cisco, получаемые преимущества и перехожу к системе Cisco NetAcad connection. Говоря все это, краем глаза изучаю каждого студента.

Сидит молодой парень, поддакивает каждому слову. Глаза у него горят, а пальцы так  и барабанят  по клавиатуре. Видимо, не терпится приступить. Значит,  от него можно ждать быстрых и порою неправильных ответов. Тесты с первого раза может не сдать, хотя будет очень стараться.

Неподалеку от него – мужчина лет 35, сидит, опустив глаза в пол. Изредка поднимает глаза и смотрит в окно. Думаю: «О, брат, надо было тебе на работе как-нибудь все же отвертеться от этого никчемного для тебя повышения квалификации. Толку от обучения будет ноль».

Дальше перевожу взгляд  на выпускника нашего вуза, получившего завидное для себя место в одной из ведущих IT компаний города. Слегка приподнятая голова, смотрит с прищуром и полуулыбкой. Сразу видно, гордости очень много. Скорее всего, придется слушать его провокационные реплики.

За следующим столом сидит девушка.  Хороша собой, немного нервничает. Видно, что тайком пытается разглядеть своих одногруппников,  может, боится быть чем-то хуже мужчин. Значит, попытается  доказать, что не хуже, и будет учить все от корки до корки. Это и хорошо.

И так далее, от слушателя к слушателю. Минут за 10 делаю полный психологический анализ  группы. С  этой группой мне нужно будет встречаться полгода по 4 раза в неделю. С семьей буду проводить меньше времени, чем с ними. В итоге, когда приступаем к занятиям, стараюсь учитывать особенности студентов.  Кого-то хвалю по 100 раз, кого-то грубо перебиваю, кого-то просто загружаю по полной программе.

Можно было бы, конечно, просто оттарабанить все, что нужно по учебному плану, и дать практические задания, только ведь от такого обучения не останется в голове ничего. Приходится к каждому слушателю вырабатывать свой подход.  Скажете, что это нереально, если идут большие потоки студентов. Я же уверен, что если собирать горстями ягоду, то непременно ее сомнешь. А беря в руки каждую ягодку, ты сохраняешь ее целостность, и результат превосходит все ожидания.

Желаю всем инструкторам Сетевых академий Cisco и Учебных центров Cisco хорошего учебного года! И помните, что в учебном процессе от преподавателя зависит гораздо больше, чем  может показаться на первый взгляд.

 Составлено со слов инструктора Cisco,
пожелавшего остаться анонимным.

Новая серия систем предотвращения вторжений Cisco IPS 4500

Не успели мы в марте анонсировать системы предотвращения вторжений Cisco IPS 4300 (бюллетень), а затем и системы предотвращения вторжений для систем управления технологическими процессами (АСУ ТП), как новый анонс — новая линейка средств по отражению атак — Cisco IPS 4500. Эта мультигигабитная система нейтрализации вторжений ориентирована на защиту центров обработки данных, предъявляющих особые требования к системам защиты — высокую производительность, надежность, поддержку специфических протоколов, в т.ч. и прикладных.

Cisco IPS 4500

Cisco IPS 4500 представлена двумя моделями — Cisco IPS4510 и 4520, отличающихся производительностью (5 и 10 Гбит/сек соответственно), а также максимальным числом соединений (3.800.000 и 8.400.000 соответственно). Каждая модель оснащена 6-тью портами 10/100/1000 Мбит/сек и 4-мя портами на 1 или 10 Гбит/сек.  На следующих иллюстрациях показаны основные отличия этих двух моделей.

Программное обеспечение Cisco IPS 4500 не отличается от всех остальных моделей систем предотвращения вторжений. Они могут обнаруживать несанкционированные действия по сигнатурам и по подозрительному поведению, отслеживать атаки на приложения и на сетевые сервисы, включая и атаки APT. Cisco IPS 4500 может быть полностью автономной, а может быть активно вовлечена в систему глобальной корреляции. Для снижения нагрузки на подсистему идентификации атак Cisco IPS умеет отсекать лишнее, используя репутационные технологии или черные списки адресов, которые можно блокировать со 100%-ой уверенностью. Для борьбы с попытками обхода системы предотвращения вторжений используются спецализированные подхода (Anti-Evasion), а за счет механизма пассивного определения ОС и поддержки рейтинга рисков и рейтинга угроз нагрузка на оператора системы IPS снижается многократно путем многократного снижения числа ложных срабатываний. Для облегчения внедрения используется механизм профилей, которые содержат предустановленные наборы угроз (для ЦОДов, для периметра, для высокоагрессивных сред и т.д.).

После анонса 12 сентября портфолио Cisco в области средств предотвращения вторжений выглядит следующим образом:

Практика применения BYOD

BYOD/Bring Your Own Device

Консьюмеризация вместе с ростом мощных и удобных персональных устройств наступает по всему миру. Смартфоны, планшетные компьютеры уже широко распространены и, что наиболее важно, доступно огромное количество платных и бесплатных приложений практически под любые задачи. Это создает огромные перспективы для различных аспектов бизнеса компаний всех типов, но возникают и риски. Компании это уже не просто ощущают, а понимают необходимость поиска адекватного и полноценного решения такой проблемы, как эффективное и безопасное управление подключением мобильных устройств сотрудников к корпоративной сети. И решение здесь – BYOD.
BYOD, фактически, это системный подход, выраженный в разработке подходящих правил использования на сети персональных мобильных устройств совместно с устройствами, выданными компанией, а также в реализации политик управления и безопасности с помощью соответствующего оборудования.

Но это – в развитых странах, а у нас?

Пока нередко приходится слышать: «нам это не интересно», «у нас лишь горстка высших руководителей имеет право использовать айпады, и им мы обеспечиваем безопасный сервис, а остальным запрещаем», «нам все равно»…

Но «все равно» может быть кому угодно, но только не владельцу бизнеса. С одной стороны, BYOD существенно увеличивает лояльность сотрудников к компании. Ведь только представьте: человек долго выбирал себе смартфон, потом перепробовал не один десяток приложений, подобрал то, что ему удобно, и теперь совершенно доволен. ИТ-службе ни за что не обеспечить такой уровень удовлетворенности сотрудника: она просто физически не может тратить на каждого столько же времени, сколько сотрудник тратит сам на себя в нерабочее время. С другой стороны, существуют многочисленные исследования, показывающие, что пользователи (корпоративные сотрудники), которым разрешили использовать свои собственные мобильные устройства, работают более продуктивно. Это происходит за счет использования некоторого количества дополнительного времени, которое обычно тратится вхолостую (перекуры, всевозможные перерывы, обеденное время и т.п.). При наличии удобного персонального мобильного устройства, повсеместного качественного Wi-Fi покрытия в офисах компании и законченного решения, обеспечивающего безопасное и управляемое использование таких устройств мы и получим значительные бизнес-преимущества в контролируемой среде. И при этом не надо оплачивать большой труд по выбору и настройке конечных устройств. Хотя, справедливости ради, надо сказать, что многие западные компании дотируют сотрудников в большей или меньшей степени на мобильные устройства и, естественно, на связь.

Давайте также рассмотрим еще несколько примеров того, как могут эффективно использоваться персональные мобильные устройства в корпоративной среде для создания реальных преимуществ в ежедневной деятельности:

  1. Устанавливаем голосовое приложение Cisco Jabber на iPhone, iPad или андроид-устройства, разворачиваем центральную часть коммуникационной инфраструктуры в штабквартире. Делаем персонализированные конфигурации, например, с одним корпоративным номером, как единой точкой доступа к сотруднику. Не забываем про корпоративную сеть Wi-Fi со сплошным покрытием и дизайном под маломощные мобильные устройства. И тогда сотрудник всегда доступен через такой единый номер. При этом в офисе, дома или в любых местах с Wi-Fi связь может осуществляться по сети доступа Wi-Fi. В офисе отпадает необходимость в настольных или любых других телефонах, кроме единственного смартфона. А если еще начать использовать видео на том же приложении?
  2. То же касается возможностей совместной работы над документами и конференций с большим количеством участников. Здесь отличным вариантом является использование приложения Cisco Webex, которое также может быть использовано на устройствах с iOS или Android. В данном случае где бы не оказался сотрудник со своим мобильным устройством он может принять полноценное участие в конференции (хотя в офисе, конечно, удобнее). Потребности в Wi-Fi те же.

Рассмотрим некоторые важные составляющие BYOD решения

Прежде всего необходимо описать сценарии использования различных корпоративных ресурсов различными группами пользователей (обычные сотрудники, сотрудники с высоким уровнем допуска, гости) с учетом их местоположения (внутри офиса или удаленный доступ). Важно четко понимать, что политики должны быть всеобъемлющими и однозначно включать в себя пользователей со смартфонами, планшетными компьютерам, а не только с ноутбуками. Естественно, что политки не должны быть статичными. Наоборот это должно постоянно отслеживаться, корректироваться, а изменения доводиться до сотрудников.

Естественно, что персональное устройство сотрудника нельзя считать полноценным корпоративным мобильным устройством (полностью контролируемым ИТ-службой компании), поэтому продуманная архитектура безопасности является краеугольным камнем любого BYOD решения. Для обеспечения безопасности необходимо ввести механизм доступа, основанный на степени доверия не только к пользователю, но и к устройству, с помощью которого он получает доступ к корпоративной сети и информации в этой сети. Первичным здесь можно считать функционал идентификации профиля устройства при попытке входа в сеть. Так, например, если сотрудник пытается войти в корпоративную сеть с корпоративным ноутбуком он может получить доступ в определенный сегмент внутренней сети с максимальным доступом для уровня данного пользователя, но если через 5 минут в кафе через дорогу тот же сотрудник захочет удаленно войти в корпоративную сеть со своего смартфона (хотя и через VPN, и с корпоративными логином/паролем), то он сможет получить доступ, но в сегмент с более ограниченными ресурсами в доступе. Например, врач внутри больницы может иметь полный доступ ко всему, но за пределами больницы он будет иметь ограниченный доступ, без возможности просматривать наиболее чувствительную информацию (личные данные больных, медицинские записи больных и т.п.). В решении Cisco такой функционал обеспечивает Cisco ISE/Identity Services Engine.

Важно правильно спроектировать сеть доступа Wi-Fi, так как здесь радиодизайн должен однозначно учитывать широкое применение мобильных устройств с низкой энергетикой. Решение в целом должно основываться на централизованной архитектуре с Wi-Fi контроллером во главе. Контроллер здесь управляет обновлением программного обеспечения, изменениями конфигураций, динамически управляет радиоресурсами, управляет связью сети WLAN с внешними серверами (ААА, DHCP, LDAP и т.п.), управляет аутентификацией пользователей, управляет функциями качества обслуживания пользователей и т.п.. Для качественного обслуживания маломощных мобильных устройств необходимо, чтобы сеть WLAN имела интегрированные механизмы контроля спектра и могла динамически реагировать на возникновение существенных источников интерференции, способных привести к деградации сервиса или вообще к невозможности Wi-Fi клиентами получать доступ к сети Wi-Fi. Всеми этим свойствами в максимальной степени обладает архитектура CUWN (Cisco Unified Wireless Network) с интегрированной технологией CleanAir — это фактически встроенный анализатор спектра и логика быстрого самовосстановления сети при негативном изменении радиообстановки. Такое решение позволяет иметь высочайший уровень надежности и доступности беспроводной сети при минимальном контроле со стороны ИТ-службы.

При выходе в Интернет сотрудников или гостей компании возможно также введение контроля трафика и ограничения доступа к ресурсам определенного типа или ограничение доступных сервисов на каких-либо веб-сайтах. Можно привести следующие популярные примеры:

  • нельзя войти на игровые сайты (категория Gambling),
  • можно пользоваться аккаунтом в социальной сети, но нельзя выкладывать фотографии,
  • нельзя получить доступ к сайту, который попал в лист закрытых, как источник распространения вирусов и вредоносных программ,
  • нельзя изменить уровень фильтрации результатов поиска в поисковых машинах, чтобы отсечь возможность поиска доступа сайтов определенных социально-нежелательных категорий.

В решении Cisco такой функционал обеспечивает Cisco IronPort.

В заключении хотелось бы еще раз подчеркнуть, что использование персональных мобильных устройств очень перспективно для любого бизнеса, включая госсектор (например в США в госсекторе BYOD развивается очень мощно), но необходимо порекомендовать формировать политики BYOD достаточно жесткими. И здесь надо четко понимать, что нельзя относится к персональным мобильным устройствам на корпоративной сети также, как к ноутбукам, которые выдает компания и полностью контролирует ИТ-служба. Компании могут потерять важную информацию, если политики безопасности для мобильных устройств будут недостаточно сильными.

Что же такое Cisco Jabber?

Последнее время участились вопросы, что же такое Cisco Jabber?

Существует некоторая путаница в терминологии, которую усугубляет совпадение с одним из названий популярного протокола передачи мгновенных сообщений XMPP.

Jabber – обобщенное название нового поколения программных клиентов Cisco.

Попробуем разобраться – какие клиенты и продукты входят в семейство Jabber, в чем их различие, на каких устройствах и ОС они работают, что для их работы необходимо.

Сгруппируем все существующие решения по категориям, основываясь на платформах на которых они работают.

В первой части рассмотрим клиенты, работающие на ПК.

ПК платформы — корпоративные полнофункциональные клиенты: Jabber for Windows и Jabber for Mac

Продукты по большому счету различающиеся только платформой (Windows-клиент пока несколько опережает по функционалу Mac, на котором, например, еще не реализована поддержка видеосвязи, но в планах Cisco к концу года обеспечить равный функционал клиентов для обеих платформ).

Jabber for Windows уже сегодня полнофункциональный клиент, поддерживающий видео и аудио звонки, сервисы отправки коротких сообщений, корпоративные и персональные адресные книги с отображением “присутствия” абонента, управление настольным телефоном (CTI), отображение сообщений голосовой почты (Visual voice mail) и многое другое.

Оба клиента требуют наличия в организации сервера CUP (Cisco Unified Presence) или аккаунта “облачного”  сервиса Webex Connect, что в России пока мало актуально. Полностью интегрированы с корпоративной телефонией, основанной на CUCM, но могут работать и без нее (через “облако”, или как только IM клиент). В случае наличия в организации CUCM телефонии в ближайшее время можно будет воспользоваться специальным предложением Cisco и получить Jabber и CUP сервер бесплатно (Программа Jabber for Everyone). Но использовать в этом варианте с Jabber можно только функционал коротких сообщений.

Для использования полного функционала необходимо, как минимум, наличие пользовательских лицензий Advanced UCL или CUWL Standard или, при использовании UCL модели лицензирования, — лицензия на использование клиента (JAB9-DSK-K9) + пользовательские лицензии.

Самих клиентов можно скачать в разделе поддержки Cisco.com (необходим CCO логин).

Резюмируя вышесказанное, Cisco Jabber – клиент для корпораций, способных инвестировать средства в IT инфраструктуру, либо уже имеющих инфраструктуру Cisco. По стоимости — это одно из самых дорогих решений программных клиентов Cisco. Но широкий функционал клиента оправдывает инвестированные в него средства.

ПК платформы: видеоклиенты Cisco Jabber Video for Telepresence (Mac и Windows)

По сути этот клиент – переименованный Cisco (или Tandberg :)) Movi. Функционал – только видео и голосовая связь. (Ничем, к слову, не уступающая “старшему брату”)

Но! Этот клиент можно попробовать и использовать бесплатно! Регистрируемся на CiscoJabberVideo.com, выкачиваем пакет установки – и пользуемся. Срок использования не ограничен, в функционале отсутствуют сервисы, рассчитанные на корпоративного пользователя (Например, “присутствие” и корпоративная адресная книга).

Для внутрикорпоративной установки необходим сервер VCS Contol + TMS (с лицензиями movi, jabber или pe (provisionig extention license)). Опционально необходим VCS Expressway, если необходимо обеспечить связь с Интернет. Небольшие организации (до 50 одновременно работающих клиентов) могу обойтись пакетом на базе одного сервера VCS Expressway – Movi Starter Pack Expressway edition, стоящим существенно дешевле.

Резюме: Cisco Jabber Video for Telepresence, клиент который подойдет организациям с ограниченным бюджетом, или в случаях когда требуется только видео. Еще один плюс этого клиента – более простое и понятное для специалистов мало знакомых с UC инфраструктурой Cisco управление и развертывание и уже сегодня — поддержка видео на Mac.

Вторая часть  — клиенты для планшетов.

Cisco Jabber for Android Tablet – Сегодня реализован только на планшете Cisco Cius. В планах – выпуск клиента и для других aндроид устройств, причем в начале следующего года ожидается тестовый клиент с функционалом только видео и только потом – полнофункциональный.

Cisco Jabber for IPad – один из наиболее интересных и востребованных клиентов.

Доступен для свободного скачивания через Apple Store. По функционалу схож с клиентом для ПК, за исключением функций интеграции с офисным окружением (управление настольным телефоном, передача рабочего стола).

Для работы в корпоративном окружении, при полнофункциональном использовании необходимо  наличие более дорогой, чем для клиента ПК, лицензии CUWL Premium или CUWL Professional. UCL модель лицензирования для Jabber for IPad не поддерживается.

При использовании только функционала голоса/видео, в отличие от клиента для ПК, не требует наличия CUP или аккаунта webex connect при работе с CUCM,  при использовании VCS — схема развертывания и лицензирования не отличается от ПК. Пока не поддерживает работу с сервером для SMB – VCS Starter Pack ExpressWay edition, из-за отличия в provisioning-схеме. В следующих версиях ПО эта поддержка будет добавлена. Может использовать бесплатный аккаунт, полученный при регистрации на CiscoJabberVideo.com

Третья часть — клиенты для смартфонов.

Учитывая, что сегодняшние смартфоны пока еще не так производительны, как ПК и планшеты, а их ОЗУ ограничено, сегодня Cisco предлагает пакет специализированных приложений, предоставляя пользователю возможность самостоятельно выбрать необходимый функционал и обеспечивая возможность их совместного использования.

Т.е., например, из чат сессии Jabber IM for iPhone – можно выполнить телефонный вызов с помощью jabber for iPhone и наоборот.

Планируется выпуск  и универсальных клиентов.

Cisco Jabber IM for iPhone

Клиент для отправки и приема мгновенных сообщений. Поддерживает адресную книгу с отображение статуса абонента. Требует наличия в организации CUP сервера, либо наличия у пользователя аккаунта webex connect.

Cisco Jabber IM for Android клиент, выпуск которого запланирован на 2-е полугодие 2012 г. 

Cisco Jabber for iPhone и Cisco Jabber for Android – клиенты, обеспечивающие функционал корпоративной телефонии на смартфоне пользователя, находящегося в зоне действия беспроводной сети организации. Обеспечивается полная интеграция с корпоративной сетью связи, основанной на CallManager с сервисами адресных книг и расширенной информации о контактах. Необходимо наличие лицензий мобильного пользователя, сконфигурированной на устройство требуемого типа (MOBILE-USR) + пользовательских лицензий на основное или дополнительное устройство или CUWL Premium или CUWL Professional.

Кроме перечисленных клиентов существуют клиенты и для других платформ и ОС (например, для Blackberry и Nokia Symbian), я перечислил самые распространенные. Также доступен клиент для интеграции с Lync — Cisco UC Integration for Lync (CUCILINC) и вариант для разработчиков ПО — Jabber Web SDK.

 

Обзорное видео о Cisco Jabber:

 

В этом ролике продемонстрированы 4 удобных функции Cisco Jabber, которые нужны всегда в повседневной работе: отправка скриншотов с помощью Cisco Jabber, использование значков-коммуникаторов, интеграция с Microsoft Office и переход из чата в видеоконференцию:

 

Cisco ASA 1000V Cloud Firewall доступен для заказа

Год назад, 31 августа, я уже писал про анонсированный нами межсетевой экран для виртуализированных сред — Cisco ASA 1000V Cloud Firewall. Межсетевой экран для облачных сред Cisco® ASA 1000V представляет собой виртуальное устройство обеспечения безопасности, которое расширяет возможности платформы многофункциональных устройств безопасности Cisco ASA для адекватной защиты не только физических, но и виртуальных, а также облачных инфраструктур.

Межсетевой экран для облачных сред Cisco ASA 1000V дополняет средства разграничения доступа и контроля сетевого трафика между виртуальными машинами, реализованные в устройстве Cisco Virtual Security Gateway (VSG), и обеспечивает безопасность в многопользовательских средах, поддержку базовой функциональности шлюзов безопасности и защиту от сетевых атак. Таким образом, устройство Cisco ASA 1000V позволяет формировать комплексное решение для обеспечения безопасности облачной среды. Кроме того, устройство Cisco ASA 1000V интегрируется с коммутатором Cisco Nexus® серии 1000V, который поддерживает несколько гипервизоров, чтобы исключить привязку к определенному поставщику, и позволяет одному экземпляру ASA1000V защищать несколько хостов
ESX для обеспечения гибкости развертывания и простоты управления. Динамическое управление многопользовательской средой на основе политик реализуется с помощью системы управления Cisco VNMC.

За этот год очертания только-только анонсированного продукта обрели конкретную форму — стала известна его функциональность, цена, варианты внедрения, модель управления и многие другие моменты. Но самое главное — Cisco ASA 1000V Cloud Firewall стал доступен к заказу. Более подробная информация о Cisco ASA 1000V доступна в русскоязычном бюллетене (pdf), а также на официальной странице продукта на сайте Cisco.

CCIE Security: как сдавать, чтобы сдать?

Как инженера по работе с партнерами Cisco, отвечающего за направление «Безопасность», меня довольно часто просят поделиться опытом, посоветовать тренинг или материалы для подготовки к лабораторному экзамену Cisco CCIE Security. В этом небольшом опусе я решила аккумулировать свои рекомендации по подготовке к сдаче данного экзамена. Надеюсь, что эту информацию найдут для себя полезной как кандидаты, уже близкие к сдаче лабы, так и те, кто только начинает подготовку. Возможно, кому-то эта статья поможет сдать экзамен с первой попытки.

Информационная безопасность (ИБ) – одна из наиболее динамично развивающихся отраслей в ИТ. Новые технологии требуют новых подходов к обеспечению ИБ, профиль угроз постоянно меняется. Обеспечение ИБ неизменно занимает одно из первых мест среди задач любой организации, поэтому спрос на специалистов в области ИБ не угасает.

Cisco Certified Internetwork Expert является одним из самых престижных профессиональных статусов в ИТ индустрии. В настоящее время статус CCIE можно получить по одной из восьми специализаций. Сертификация CCIE Security появилась в 2002 году, и считается одной из самых сложных. На сегодняшний день в мире насчитывается около 3600 специалистов CCIE Security (данные на апрель 2012 г).

Как новоиспеченная обладательница заветной шайбочки, могу вас уверить, что для меня результат стоил затраченных усилий. Я сдала экзамен с третьей попытки, и в процессе подготовки проработала материалы различных центров подготовки, а также перепробовала множество методов обучения.

Итак, давайте начнем с общих рекомендаций, а затем перейдем к частным.

У моего котэ мотивация на высоте

Мотивация

У каждого инженера, вступившего на тернистый путь подготовки к экзамену, есть для этого свои причины и доводы. Главное, чтобы вы четко определили для себя, зачем вам нужен статус CCIE. Без сильной мотивации очень сложно достичь результата, т.к. подготовка к экзамену требует большого вложения времени, сил и материальных средств.

Структурированный подход

Достаточно тяжело совмещать подготовку с работой. У меня наиболее активным этапом подготовки были 2 последних месяца перед каждой попыткой. Последние 2-3 недели перед экзаменом нужно целиком посвятить занятиям, что называется, с отрывом от производства, по 8-10 часов в день.

Я составила календарный план подготовки по дням, включая выходные, в котором четко определа темы и задания для проработки на каждый день, а также время для занятий, и строго придерживалась этого плана. Важно предусмотреть дополнительное время на случай, если тема «не идет», или возникли проблемы при выполнении лабораторных заданий.

С чего начать?

Помню, после сдачи письменного экзамена, я вообще не знала, за что хвататься. Самое главное для меня в этот момент было – понять свой технический уровень, чтобы грамотно спланировать дальнейшую подготовку. Вдумчиво прочитайте Blueprint и Lab Exam Checklist и определите пробелы в ваших знаниях. Посмотрите на список оборудования, используемого на экзамене, и версии ПО. Ответьте на вопросы – насколько глубоко вы понимаете каждую из технологий, есть ли уже опыт внедрения данных технологий на практике, есть ли опыт работы с оборудованием? Исходя из своих ответов, планируйте время на каждую тему. Не забудьте оставить 2-3 дня перед экзаменом, чтобы просто отдохнуть. Отдых перед серьезным испытанием – залог успешной сдачи, поверьте человеку, сдававшему 3 раза🙂

Ведите свой собственный конспект или блог, куда пишите основные тезисы по темам, примеры конфигураций, баги, с которыми довелось столкнуться, и свои ошибки. Невозможно передать словами, как мне это помогло в дальнейшем. Объем информации для проработки очень велик, 1000-страничные руководства по настройке (Configuration guides) лишний раз перечитывать не станешь, «чтобы память освежить», а конспект как нельзя лучше подойдет для повторения пройденного материала.

Для более эффективной подготовки к экзамену найдите себе напарника или группу единомышленников. Идеально, если это будет инженер с аналогичным уровнем подготовки, которого вы знаете лично. Работа в паре (или группе) значительно облегчает подготовку, вы будете тянуться друг за другом, обсуждать задания и решения, делиться полезными ссылками и опытом. Как говориться, “одна голова хорошо, а две лучше”!😉

Учебные материалы

Существует два основных обучающих вендора, выпускающих курсы для подготовки к CCIE Security: Internetwork Expert и IPexpert, — а также книга Юсуфа Байджи с примерами лабораторных заданий. По уровню сложности заданий (от сложного к легкому) их можно классифицировать следующим образом: IPexpert, INE, Yusuf. Есть еще Netmetric Solutions, но я их материалами не пользовалась, хотя слышала хорошие отзывы.

Я свою подготовку начала с INE, прорешала Volume 1 и лабораторные со сложностью 6-8 из Volume 2 (чтобы наверняка, лучше прорешать на 2 раза), и только после этого – лабы Юсуфа, т.к. они больше всего по сложности и структуре похожи на реальный экзамен. У INE очень хорошо расписана теория и приведены понятные детальные решения. Также рекомендую посмотреть их видеокурс INE Advanced Technology Class Video Course.

IPexpert нам даже снится

К третьей попытке я готовилась по материалам IPexpert, прорешала лабы из Volume 2. Уровень сложности у них не указан, но, по опыту могу сказать, что сложность сценариев возрастает с порядковым номером. У меня сложилось впечатление, что они гораздо сложнее экзамена и очень похожи друг на друга, но не такие прямолинейные, как лабы INE. Лабы IPexpert заставляют думать над порядком выполнения заданий, выстраивать логику. В целом, 2-3 лабы IPexpert стоит прорешать, даже если вы готовитесь по материалам INE.

Большого внимания при подготовке требует изучение различных типов атак и методов их предотвращения. В данном вопросе лучше опираться на материалы и примеры с www.cisco.com В конце статьи приведены ссылки на полезные материалы по этой теме. Вообще, изучение документации Cisco и запоминание, где какие примеры и документы находятся – отдельная задача при подготовке.

Где взять оборудование?

Конечно же, идеально собрать свой собственный рэк на реальном оборудовании. Но если такой возможности нет – не беда, есть другие варианты.

Вариант «для бедных» – эмуляция работы реального оборудования. Оборудование и ПО для 3-ей версии экзамена можно сэмулировать в Dynamips, про это есть много информации на форуме. Большая часть функционала будет работать, но некоторые функции коммутаторов Catalyst не эмулируются. Для 4-ой версии часть оборудования пока не эмулируется (например WLC), так что первопроходцам придется искать другие пути.

В целом, этот вариант подготовки можно рекомендовать виртуозам по игре в бубен, ловящим кайф от траблшутинга всего подряд и как попало. Слишком много сил и времени нужно потратить, чтобы эмулированная топология «взлетела», а работать все равно будет нестабильно. Мне глюки GNS-а быстро стали действовать на нервы, и я принялась искать другие варианты.

Вариант «для богатых» — аренда река. Конечно же, INE и IPexpert предлагают рэки в аренду для подготовки по своим топологиям. Есть и сторонние конторы, предлагающие рэки подешевле. Можно найти предложения по аренде рэка 24×7 в пределах 150$.

Буткампы – нужны ли они?

По своему опыту могу сказать, что буткампы стоят потраченных денег, особенно если за вас платит работодатель😉 Но на буткамп нужно идти уже подготовленным, желательно за месяц-полтора до экзамена, чтобы было время провести работу над ошибками. Такие тренинги позволяют окунуться в лабораторную атмосферу, проверить свое умение решать задания на скорость, сложность и совместимость различных технологий. Но два самых главных преимущества любого живого тренинга – возможность задавать вопросы инструктору и общение с другими кандидатами. Вы встретите таких же как вы инженеров, с примерно таким же уровнем подготовки, которые тоже будут сдавать экзамен в ближайшие 2 месяца после тренинга.

Так как я искала буткампы еще для 3-ей версии экзамена, сейчас эта информация может для многих оказаться уже неактуальной, но на всякий случай, поделюсь.

Для подготовки я ездила на CCIE Security One Week Lab Boot Camp от IPexpert, предварительно прослушав INE Advanced Technology Class Video Course и прорешав INE Workbook 1&2. Буткамп включает 4 mock-лабы, которые нужно решить за неделю, в нем есть задания на траблшутинг и в целом лабы очень разнообразные и сложные. Есть еще 5-Day CCIE Security (3.0) Lab Preparation Boot Camp, который включает в себя объяснения инструктора по технологическим топикам с демонстрацией решений. Сами студенты ничего не настраивают руками. Вроде бы, для 4-ой версии IPexpert собирается поменять структуру тренинга и включить в него лабораторные упражнения для студентов. Однако хорошей и более дешевой заменой такому тренингу может быть INE Advanced Technology Class Video Course.

Считаю, что у IPexpert на момент написания статьи самый лучший буткамп, сценарии включают задания на траблшутинг и качество лабораторных заданий  очень высокое. Но есть и минус – его не проводят в России.

В России буткампы проводит компания Fastlane при наборе группы от двух человек, но тренинг стоит дороже. Структура тренинга тоже отличается. В начале каждого дня короткий инструктаж, разбор некоторых примеров, в конце дня – анализ проделанной за день работы. На все задания есть решения, и их можно посмотреть после выполнения каждого из заданий. В последний день курса – полноценная лаба на целый день, решение которой можно смотреть только после окончания всей лабы. Еще один день можно дополнительно выделить под обсуждение теоретических вопросов с инструктором и ответов на всевозможные вопросы, а также на обсуждение рекомендаций по сдаче экзамена.

Сдаем экзамен

Вот и наступил долгожданный день лабы. Как сдавать, чтобы сдать?

CLI — наше все!

Если к моменту сдачи пришло чувство уверенности в знании и понимании технологий, то главными сложностями на экзамене для вас станут управление временем и управление стрессом. Еще раз отмечу, что очень важно накануне выспаться и отдохнуть, приехать на место сдачи заранее и не забыть взять с собой паспорт.

Секции экзамена включают в себя следующие разделы: Firewalls (ASA, ZFW, CBAC), VPN, IPS, Identity Management, Control Plane and Management Plane, Advances IOS Security, Attack Mitigation.  В 3-ей версии экзамена CCIE Security задания пока выдаются в печатном виде, в четвертой же версии все материалы будут доступны только в электронном виде.

Перед началом экзамена нужно внимательно выслушать инструкции проктора, при необходимости, задать ему вопросы. Затем внимательно прочитать ВСЕ задания, если нужно, нарисовать схему, на которой отметить, где какие технологии нужно настроить, чтобы сразу отследить связи, оптимальную последовательность выполнения и подводные камни. В принципе, если вы подобным образом уже практиковались для тренировки в процессе подготовки, то на самом экзамене схему можно и не рисовать, т.к. топология довольно простая и быстро запоминается.

Затем необходимо на всех устройствах просмотреть конфигурацию командой sh run, отметить для себя и записать всякого рода аномалии и странности. Обязательно нужно сделать резервное копирование начальных конфигураций всех устройств во флеш-память. Затем надо проверить IP адресацию и настройки VLANов, сравнить их с диаграммами в задании. Не забудьте включить логирование событий на всех устройствах (log on, logg con 7), в конце ACL не ленитесь добавлять deny ip any any log, а для ZFW и CBAC — вводить команду ip inspect log drop-pkt.

Далее – начинаем выполнять задания. В первую очередь делаем Inline IPS, NTP, NAT, Transparent FW, затем – все по порядку. Наверняка попадется противное задание за 2-3 балла на какую-нибудь редкую и малоизвестную команду или технологию. Если вам вообще не понятно, как делать задание, и быстрый поиск в документации не дал результатов, то лучше задание пропустить и больше времени потратить на задания за 5-6 баллов и на проверку своей работы.

В ходе экзамена главное – не паниковать, если что-то не получается, и не суетиться. Необходимо очень внимательно читать каждое слово в задании и проверять каждое решение после его настройки. Не нужно бояться задавать вопросы проктору, он там не для того, чтобы вас завалить. Если не можете найти проблемы в течение 15-20 минут, лучше спросить проктора. Возможно, это баг, и проктор поможет решить проблему. Помните, что в этом случае по правилам проктор не может добавить больше 10 минут к экзамену.

Я для себя выбрала следующие ориентиры по времени. Если первые три секции сделаны до обеда – все идет хорошо. На полную проверку решения должно остаться 1,5-2 часа, один час – очень мало. ОБЯЗАТЕЛЬНО проверяйте все задания в конце экзамена. Как минимум 1-2 ошибки, которые спасут вам несколько драгоценных баллов, вы точно найдете. Перед проверкой лучше перезагрузиться, предварительно все еще раз сохранив.

Документация на экзамене

Документацией пользоваться можно, но мне известны случаи, когда прокси-сервер был недоступен, и у кандидатов не было доступа к документации практически до самого конца экзамена. Или доступ был очень медленный. Поэтому готовьтесь так, чтобы обращаться к документации только в крайних случаях. Поиск по документации в процессе сдачи экзамена отключен. Нужно очень хорошо ориентироваться в документах, четко знать, где что расположено, уметь пользоваться Command Reference и Master Index для поиска команд и уточнения значения операндов.

Хотя в интернете можно найти множество подобных историй и всевозможных советов по сдаче CCIE, я постаралась привести те вещи, которые лично мне очень помогли при подготовке. Конечно, не бывает единственно правильного подхода, и каждый найдет свой собственный путь к CCIE Security.

Желаю удачи в подготовке и на экзамене!

Полезные ссылки