Rapid Reconfiguration of Spanning Tree

Átírás

1 Távmunka szolgáltatás Szolgáltatási szabvány Az ajánlatban szereplı berendezések teljes mértékben megfelelnek a jelenleg érvényben lévı ITU-T ajánlásoknak és nemzetközi szabványoknak. Az alkalmazott berendezések illetve az összeköttetések összhangban vannak az alábbi táblázatban felsorolt ajánlásokkal Internet Protocol IEEE Standard for Information technology Telecommunications and information exchange between systems IEEE Std Local and metropolitan area networks Specific requirements; Part 3: Carrier sense multiple access with collision detection (CSMA/CD) access method and physical layer specifications RFC 0791 Internet Protocol. J. Postel. Sep RFC 1349 Type of Service in the Internet Protocol Suite. P. Almquist. July Definition of the Differentiated Services Field (DS Field) in the RFC 2474 IPv4 and IPv6 Headers. K. Nichols, S. Blake, F. Baker, D. Black. December The Addition of Explicit Congestion Notification RFC 3168 (ECN) to IP. K. Ramakrishnan, S. Floyd, D. Black. September RFC 3260 New Terminology and Clarifications for Diffserv. D. Grossman. April DoD standard Transmission Control Protocol, J. RFC 0761 Postel [ Jan ] [31]RFC 0768; User Datagram Protocol, J. Postel [ Aug ] RFC 0768 User Datagram Protocol, J. Postel [ Aug ] Ethernet interfaces IEEE 802.1d MAC Bridges IEEE 802.1p Traffic Class Expediting and Dynamic Multicast Filtering IEEE 802.1Q Virtual LANs IEEE 802.1s Multiple Spanning Trees IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3x Flow Control

2 Megajánlott kapcsolat Távmunka szolgáltatás Központi kialakítása és végponti környezet A Távmunka szolgáltatás célja, hogy a szolgáltatást igénybe vevı intézmények számára lehetıséget adjon hálózatának, alkalmazásainak biztonságos távoli elérésére olyan felhasználók esetében is, akik EKG kapcsolattal nem rendelkezı helyszínrıl (pl. kisebb kirendeltség) vagy éppen otthonról szeretnék munkájukat végezni. Központi környezet A központi környezet kialakításának célja, hogy egy egységes, központilag menedzselt és az EKG hálózatához illeszkedı, az intézmények részére költség hatékony megoldás nyújtson saját intézményi hálózatuk biztonságos elérésére. A távmunkások egy dedikált hálózati kapcsolaton keresztül beléphetnek a végfelhasználói hálózatba, az országos hálózat VPN koncentrátorán keresztül, emelt szintő azonosítással, titkosított adatcsatornán. A dedikált kapcsolat része az egységes végponti berendezés, mely garantálja a magas szintő adatbiztonságot és az egyértelmő azonosítást. Az EKG hálózatának és az intézmények biztonsági elvárásainak sajátosságait figyelembe véve kettıs azonosítást alkalmazunk: 1. lépés Az EKG központ azonosítja a bejelentkezı távmunkást és sikeres azonosítás után összekapcsolja az intézményi VPN-nel 2, lépés Az intézményi VPN szintjén azonosítják a távmunkást és sikeres azonosítás után a kapcsolat védett csatornán épül fel. A megoldás blokkvázlat szinten:

3 3 1. Központi infrastruktúra: Központi Címtár EKG Tőzfal IP Sec VPN csatorna EKG MPLS VPN koncentrátor Tőzfal Tőzfal Távmunka felhasználók adatai Intézmény 1 Intézmény 2 Intézményi szerver Dedikált kapcsolat IP Sec VPN csatorna Távmunkás IP tel. opció 2. Kliens oldal infrastruktúra: Tőzfal Cisco router VPN kliens T-Systems EKG tanúsítvány A megoldáshoz szükséges elemek: Távmunkás hozzáférés (dedikált adatkapcsolat) VPN koncentrátor IPSec VPN router/tőzfal Autentikációs tanúsítványok Elektronikus biztonsági megoldáselemek: o Tőzfal o Vírusszőrés o Behatolás védelem o Erıs autentikáció A javasolt távmunka megoldás elınyei: A dedikált hálózati kapcsolat alkalmazásával magas adatbiztonság érhetı el, Lehetıvé teszi az Internet elérését az EKG hálózatán keresztül (védett Internet elérés!) Az intézménye csökkenthetik a hiányzásokból eredı károkat (betegség, gépkocsi meghibásodása stb.), hiszen alkalmazottja szükség esetén akár otthonról is tudja folytatni munkáját, Olyan intézményi helyszínek is beköthetık a központi hálózatba, melyeket nem lehet gazdaságosan az EKG hálózatába bekapcsolni. A rendszertervben szereplı rendszerelemek bemutatása Dedikált adatkapcsolat

4 4 Az EKG hálózathoz ajánlott egyedi és dedikált adatkapcsolat az ADSL, valamint GPRS/EDGE/UMTS/HSDPA technikát alkalmazza. Az alkalmazott technika miatt feltétlenül szükséges a tőzfal és a védett VPN csatorna alkalmazása a végpontokon és az adatátvitel során. Az IP Sec VPN szolgáltatás Az IPSec VPN egy olyan szolgáltatás, melynek igénybevételével egyetlen hálózatba köthetı tetszıleges számú, egymástól tetszıleges távolságban lévı pont anélkül, hogy fizikai értelemben saját hálózatot kellene építeni, vagy költséges módon közvetlen vonalakat kellene bérelni. Egy intézmény vagy vállalat mőködésének hatékonysága az egymástól akár több száz kilométerre található egységek egy hálózatba kötésével jelentısen növelhetı, a kommunikációs költségek pedig jelentısen csökkenthetık. A VPN által összekötött pontok közötti kommunikáció titkosított és dedikált IP csatornákon keresztül folyik, így a felhasználó szempontjából a VPN pontosan úgy mőködik, mintha saját különálló hálózattal rendelkezne. Mindez egy saját hálózat kiépítési és üzemeltetési költségeinek a töredékéért. A hálózatba kötni kívánt pontok dedikált adatkapcsolati hozzáférésen keresztül érik el a kívánt hálózatot (jelen esetben az EKG hálózatát és az intézményi hálózatot.). A csatlakozási pontokon és az EKG központban illetve intézményi végpontokon telepített megfelelı hardver, illetve szoftver eszközök biztosítják a tökéletes titkosítást és az IP csatorna dedikálását. Így a hálózaton belüli kommunikáció illetve az intézményi hálózat elérése teljesen biztonságos, illetéktelen nem férhet hozzá a kommunikáció tartalmához. A szolgáltatás elınyei: A VPN kialakítása sokkal kevesebbe kerül, mint egy vállalati, vagy vállalatközi magánhálózat kiépítése, akár saját adatátviteli infrastruktúra kiépítésével, akár dedikált (bérelt) vonalak bérlésével hasonlítjuk össze. A dedikált hálózat felügyelete a szolgáltató feladata, így ennek szervezési, tervezési és felügyeleti kérdéseivel nem kell az intézményeknek foglalkoznia. A szolgáltatás leírása: a telephelyek, távmunkások, dedikált ADSL hozzáférésen keresztül csatlakozhatnak az intézményi hálózathoz, központhoz illetve az EKG hálózatán keresztül érik el az Internetet a távmunkás végpontokon az IPSec VPN hálózat kialakítását Cisco eszközök végzik (router és VPN client SW) az EKG központban Cisco VPN koncentrátor valósítja meg az azonosítást és építi fel a védett csatornát,

5 5 az intézményi hálózat elérése és a védett csatorna kialakítása a távmunkás gépén telepített Cisco VPN client SW segítségével történik Az EKG központba ajánlott eszköz: ASA 5500 A Cisco ASA 5500 sorozat a kategóriájának legjobbja a távoli bejelentkezéső VPN eszközök között. Megbízhatósága, rugalmassága és az általa elérhetı költségmegtakarítás emelhetı ki elsısorban. A Cisco ASA 5500 eszköz támogatja mind az IPSec (akár a távoli hozzáférés, akár az állomások közötti változatról legyen szó), mind az SSL alapú VPN kapcsolatokat egyetlen megoldásban. Az ASA 5500 VPN koncentrátor egy olyan VPN platform, amelyek közepes és nagyvállalatok számára lett kifejlesztve, amelyek igénylik a T1/E1-tıl egészen a T3/E3-ig terjedı sávszélességeket, az eszköz kapacitása 50 Mbps. Egyidejőleg 2500 távoli hozzáférés IPSec VPN vagy 500 egyidejő SSL VPN kapcsolatot tud támogatni. Az ASA 5500 mind rendelkezésre állás, mind teljesítményét illetıen bıvíthetı. A távmunkás oldalon kétféle router ajánlunk: ASA5505-UL-BUN-k9 A Cisco Adaptive Security Appliance (Alkalmazkodó Biztonsági Eszköz) egy integrált biztonsági megoldás, amely egyaránt alkalmazható titkosítási és tőzfal funkciókra. Teljesítménye alapján alkalmas ki irodákba, telephelyekre és vállalalti távmunka végpontra egyaránt. Az ASA beépített FastEthernet porttal rendelkezik, amelybıl 2 tmogatja a PoE (Power over Ethernet) protokollt. Képes 10 (bıvítéssel 25) IPSec kapcsolat kiépítésére. Az eszköz az SSL technológiát is támogatja, amely alkalmazásával 2,10, vagy 25 kapcsolat kezelésére képes kiépítéstıl függıen. A teljes titkosított forgalom sávszélessége elérheti a 100Mbps-ot. Cisco 871 router A Cisco 870 Integrated Services Router (Integrált Szolgáltatásokat nyújtó Router) család tagjai fix konfigurációval rendelkezı eszközök, amelyek a különbözı DSL technológiákat, a szélessávú kábeleket és Metro Ethernet kapcsolatokat támogatják kis irodai környezetben. A Cisco 871 router 5 fast ethernet interfésszel rendelkezı konfiguráció, például ADSL kapcsolat kezdeményezésére. Az eszköz biztosítja a szükséges teljesítményt a különbözı alkalmazások egyidejő futtatásához, például főzfal, behatolás védelem, VPN titkosítás. A QoS jellemzıi lehetıvé teszik a hang és a videó forgalom optimalizálását. A Cisco Router and Security Manager egy olyan web-alapú konfigurációs eszköz, amely lehetıvé teszi a berendezés egyszerő telepítését és felügyeletét. A külsı in-line modulja biztosítja a tápellátást (többek között) az IP telefonok számára. Az IPSec VPN megoldás által nyújtható biztonság:

6 6 A VPN koncepció 3 szinten védi a Virtuális Magánhálózat tagjai közötti kommunikáció titkosságát. Biztosítja, hogy az adatokhoz a hálózat tagjain kívül senki se férhessen hozzá, ne kerüljenek idegen kézbe az adatok, senki ne tudjon hamis identitással bejelentkezni, tehát a hálózat pontosan úgy mőködjék, mintha az külvilágtól teljesen szeparált, önálló hálózat volna. A 3 szinten túl, opcionálisan egy negyedik védelmi vonal is beépíthetı, ez a tőzfal. A védelmi mechanizmusok a következı módokon valósulnak meg: Dedikált kommunikációs csatorna és adattitkosítás: Az adatok titkosított formában utaznak az adatcsatornán, csak az arra jogosultak képesek a dekódolásra, az üzenetekhez, adatcsomagokhoz, fájlokhoz, stb. való hozzáféréshez. Az alkalmazott IPSec csomagvédelem mellet további védelmi funkciók is alkalmazhatók, mint a csomagszőrés, portszőrés. Az adatcsomag authentikáció biztosítja, hogy senki ne legyen képes az adatcsomagok valódi tartalmát útközben visszafejteni értelmezni vagy módosítani. Az authentikációs eljárás során minden adatcsomag titkosított paramétereket kap, amely garantálja a csomag épségét és integritását, illetve hogy olyan formában érkezik meg rendeltetési helyére, ahogyan azt elindították. A titkos kulcsok cseréjérıl és az résztvevık közötti titkosított adatforgalom kialakításáért és bontásáról az IKE protokoll gondoskodik. Az adatok titkosítása történhet DES(56 bites), 3DES(168 bites), illetve AES (256 bites) titkosítással, az adatok integritásának megırzésére az MD5 illetve az SHA algoritmusok használhatók. Felhasználó azonosítás: A távolról történı bejelentkezések esetében a csomagok biztonságának garantálásán felül szükség van egy-egy további biztonsági lépcsıre is. A Virtuális Magánhálózathoz, az intézményi erıforrásokhoz csak azon személyek férhetnek hozzá, akiknek erre jogosultságuk van. Azon túl, hogy a jogosulatlan hozzáféréseket meghiúsítja és naplózza, a felhasználó azonosítás azt is lehetıvé teszi, hogy az esetleg különbözı jogosultságokkal rendelkezı felhasználók csak a nekik engedélyezett jogosultsági szintnek megfelelı adatokhoz férjenek hozzá és tevékenységeket végezzenek. A kialakításra kerülı VPN rendszerek képesek együttmőködni a már üzemelı authentikációs protokollokkal, valamint az intézményi és központi címtárakkal. Tőzfal általi védelem és behatolás érzékelés (opcionális): Az ajánlat Menedzselt informatikai biztonság -ról szóló részében javasolt megoldások itt is alkalmazhatóak Mobil Távmunka A szolgáltatás keretében a Magyar Telekom az Intézmények mobil termináljai és központja között IP alapú csomagkapcsolt (GPRS, EDGE, UMTS, HSDPA), pont-többpont (pont-multipont) adatkommunikációra alkalmas távközlési hálózat kiépítését és üzemeltetését biztosítja.

7 7 Mőködési ábra: A Felhasználó oldali berendezésekhez csatlakoznak a mobil terminálok (mobiltelefon vagy kártyatelefon). A mobil terminálok juttatják a berendezések vagy közvetlenül a mobiltelefon adatait a Magyar Telekom GPRS/EDGE/UMTS/HSDPA hálózatán keresztül a Magyar Telekom magyarországi adatközpontjába. Az adatközpontban található adathálózati kapueszközben, az ún. GGSN-ben (Gateway Gprs Support Node - a Magyar Telekom Nyrt. adathálózata és a külsı hálózatok közötti kapcsolat kialakításában felelıs berendezés) található egy külön az adott ügyfél számára az adatközpontban létrehozott, saját APN (APN: Access Point Name - elérési pont amely az elérni kívánt külsı hálózatot azonosítja, jelen esetben a Felhasználó adathálózatát).

8 8 Az APN segítségével Ügyfél és a központja közötti adattovábbítási közegen, IP alapon jut el az adat a Felhasználó szerverközpontjába (belsı adathálózatára - LAN). A szolgáltatás belsı adathálózati elérés célú felhasználás csak T-Mobile magyarországi hálózatán, valamint elızetes igény esetén, a csomagkapcsolt adathálózati roaming partnerek hálózatán használható (nem alapbeállítás) és nem összeilleszthetı áramkörkapcsolt adatátviteli rendszerekkel. Dedikált (saját) APN A Felhasználó számára egyedileg létrehozott APN, amelyre kizárólag a Felhasználó által megjelölt végpontok (SIM-ek) csatlakozhatnak APN neve xxxx.co.hu vagy xxxx.gr.hu formátumú lehet. Az xxxx.co.hu formátumot alkalmazásával a Felhasználó végpontonkénti bontásban (SIM-ekre bontva) kapja meg az adatforgalomra vonatkozó számlát. Az xxxx.gr.hu formátum esetén a Felhasználó központi számlázással (nem SIM-ekre bontva), egy összegben kapja meg az adatforgalomra vonatkozó összesített számlát. A telefonokban a GPRS elérési pontnál a választott APN nevet kell beírni. Figyelembe kell venni a telefonok képességét, hogy milyen hosszú APN nevet tudnak kezelni. Ez gyártók és modellek szerint is változhat. IP cím kiosztás A Magyar Telekom Nyrt. igény szerint kétféle IP címkiosztási megoldást tud biztosítani Ügyfelei számára. Egy adott Megrendelı minden esetben ugyanazt az IP címet kaphassa meg (statikus IP cím kiosztás), míg egyes Megrendelıknek mindegy, hogy éppen milyen IP címet kapnak, de lényeg az, hogy egy adott tartományból (range) kapja azt meg (dinamikus IP cím kiosztás). Mindkét lehetıség biztosítható a Magyar Telekom Nyrt. és a Felhasználó együttmőködésével. Alábbiakban a bérlet vonali megoldás keretében mutatjuk be az IP cím kiosztás alternatíváit, de ezek a megoldások az ebben a fejezetben leírt másfajta közeg esetén is ugyanígy mőködnek. A Felhasználó és a Magyar Telekom Nyrt. adatközpontja közötti adattovábbítás leggyakrabban menedzselt bérelt vonalon keresztül történik. A változó portsebességő csatlakozásokat a szabványos n x 64 kbit/s idırésekben tudja fogadni a T-Mobile adatközpontjában mőködı router. Adatforgalmi roaming szolgáltatás A Mobil távmunka szolgáltatás belsı adathálózati elérés célú felhasználás keretében az adatforgalmi roaming szolgáltatás eléréséhez, a szolgáltatáshoz használt eszközökben a szükséges módosításokat el kell végezni. A Felhasználó (valamint partnervállalatai) számára egyedileg létrehozott APNhez kizárólag a Felhasználó (valamint partnervállalatai) által megjelölt SIM-ek csatlakozhatnak. A saját corporate APN beállítás esetén minimális

9 9 változtatásokat kell alkalmazni a végpontok szoftvereinek tárcsázó beállításainál, legfıképpen az APN neve nem Internet, hanem a saját APN. Leszakadások: Dedikált APN létrehozása esetén az alábbi esetekben nem kell leszakadásokkal számolni: csúcsidı kezdete egyéb idı kezdete kedvezményes idı kezdete Az alábbi esetekben fix leszakadással azonban továbbra is számolni kell: éjféli naptári forduló (0 óra 00 perc) határátlépés (szolgáltató váltás) Ügyfél és a Magyar Telekom Nyrt. központja közötti adattovábbítási szolgáltatás Magyar Telekom Nyrt. által Magyar Telekom Nyrt. által biztosított bérelt vonalas összeköttetés A Magyar Telekom Nyrt. dedikált, igény szerinti az egyidejő adathívások lebonyolítására alkalmas - portsebességő adatátviteli összeköttetést (bérelt vonalat) biztosít a Felhasználó számára a Felhasználó szerverközpontja és a magyar Telekom adatközpontja között IP alapú csomagkapcsolt adatforgalom céljából. Internet VPN Az Internet VPN kialakítása során minden egyes összekapcsolni kívánt hálózatrész és a nyilvános hálózat (Internet) közé biztonsági átjárókat (security- vagy VPN gateway) helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a nyilvános hálózatból érkezıket, ezzel titkosított csatorna épül ki a nyilvános internet hálózaton. VPN sajátosságai: a VPN az adatátvitel során alkalmaz valamiféle kódolást (encryption), a szolgáltatást a gép, vagy végfelhasználó csak egy komoly azonosítási eljárás (authentication) sikeressége után veheti igénybe, a megoldás törekszik elrejteni a privát hálózat belsı topológiáját (struktúráját) a potenciális külsı támadóktól. VPN titkosítás történhet: End-to-end (végponttól-végpontig), azaz a VPN kliensalkalmazással telepített mobil termináltól a LAN-ig A Magyar Telekom Nyrt. központjában lévı VPN gateway és a Felhasználó központjában elhelyezett VPN gateway között. A szolgáltatás keretében az EKG internet szolgáltatásán keresztül érjük el a BIXet (Budapest Internet exchange). A BIX-tıl a SZOLGÁLTATÓ VPN gatewayéig a SZOLGÁLTATÓ vállalja a kapcsolat biztosítását.

10 10 Rendelkezésre állás A Mobil távmunka szolgáltatás rendelkezésre-állása éves 98,2%, ami évente 157,7 óra kiesést jelent. A szolgáltatás sebességét a bázisállomás leterheltsége és a bázisállomástól való távolság befolyásolja, a maximális sebesség a PS adatmodul adatátviteli sebességétıl függ. A Mobil távmunka hozzáférés szolgáltatás minıségében a rádióhullámok terjedési tulajdonságai miatt idıben és térben változás állhat be, erre tekintettel az átvitt adatok esetleges hibáiból származó károkért a Magyar Telekom Nyrt. nem vállal felelısséget. A roaming partnerek hálózatába (a külföldi szakaszon) vagy onnan történı adattovábbítás esetén az átvitt adatok esetleges hibáiból származó károkért a Magyar Telekom Nyrt. nem vállal felelısséget. Magyar Telekom Nyrt. által kezelendı hibakategóriák (G1. hibakategória): Nincs térerı ott, ahol egyébként szokott lenni. Ha a végfelhasználó nem tud feljelentkezni a PS hálózatra és van térerı vagy ha a végfelhasználó fel tud jelentkezni a hálózatra, de nem tudja elérni (megpingelni) az appendix IP címet vagy telenet protokollal nem tudja elérni a Felhasználó oldali szervert (IP alapú hálózatok esetén!) Átviteli sebesség, válaszidı, újraadás problémák nem tartoznak a hibakategóriák közé, mert a Magyar Telekom Nyrt. nem képes azok mérésére, de segítséget nyújt a fenti hibák behatárolásában és kivizsgálásában az alábbiak szerint: Végfelhasználó gyızıdjön meg, hogy környezetében is ilyen problémák elıfordulnak-e. Amennyiben nem fordul elı, úgy tegye lehetıvé, hogy az adatátvitel ne a problémás helyszínen történjen meg. Amennyiben elıfordul környezetében másutt is a probléma, úgy tegyen bejelentést a szerzıdésben megadott hibabejelentı központba és a Magyar Telekom Nyrt. igyekszik lokálisan javítani a minıségen azzal, hogy a bejelentést követıen az adott helyszínen megjelenik és a helyszíni tesztelések után megteszi a szükséges lépéseket a minıség javításának érdekében. A Magyar Telekom Nyrt. jogosult a szolgáltatást karbantartás céljából szüneteltetni. A Magyar Telekom Nyrt. a tervezett karbantartás elızetesen egyezetett idıpontjáról az esedékesség elıtt írásban értesíti Ügyfelet.A szolgáltatás karbantartás célú szüneteltetése a jogviszony folytonosságát nem érinti Emelt szintő mobil biztonság NLG segítségével Alcatel-Lucent OmniAccess 3500 Nonstop Laptop Guardian

11 11 Bevezetés Az Alcatel-Lucent Nonstop Laptop Guardian, röviden NLG megoldása egy biztonsági és hozzáférési eszköz laptopokhoz egy kártyában. Fıbb funkciói: 3G modem automatikus VPN-nel, SmartCard a teljes merevlemez titkosításhoz és beléptetéshez, 7/24 távmenedzsment lehetısége az IT-nek GPS helymeghatározással, frissítések és mentések továbbítása kikapcsolt laptop mellett. Megoldás elemei - NLG gateway : VPN koncentrátor és menedzsment szerver (appliance). - NLG kártya : beágyazott számítógép security és kommunikációs interfészekkel. - NLG kliensprogram: a kártya és a Windows közötti híd, anti-tampering funkcióval. Rendszer áttekintés A fenti rajz vázolja a rendszer fı elemeit, amelyek között a kommunikáció a következıképp zajlik: A notebook-ról minden kommunikáció az NLG kártyán keresztül halad, az automatikusan felépülı (és meg nem kerülhetı!) certificate alapú IPSec VPN-ben (AES256-SHA1) halad a forgalom tetszıleges (LAN/WIFI/3G) IP hálózaton keresztül a VPN koncentrátorhoz, az NLG Gateway-hez. Mind a kártya, mind a gateway tartalmaz tőzfalat. A Gateway a user authentikációt radius vagy domain alapon végzi. Sikeres authentikáció után a laptop felıl érkezı csomagok elhagyhatják a gatewayt és beléphetnek a corporate LAN-ra. A rendszer különbséget tesz a védett vállalati hálózaton kívülrıl és belülrıl bejelentkezı laptopok között. A kintrıl bejelentkezı laptopok minden hálózati forgalma (a publikus internetre irányuló forgalom is) áthalad az NLG kártyán, a VPN-en, a Gateway-en és a szerverfarm internet kijáratán keresztül lép ki a publikus internetre, amelyet proxy szerver és tőzfal is szőrhet. Így a laptoppal történı minden IP kommunikációt kontroll alatt tud tartani az IT. A belülrıl bejelentkezı laptopoknál a hálózati forgalom nem halad át az NLG kártyán, a hálózati kommunikáció ilyen esetben lényegében hasonló egy NLG nélküli laptophoz, azonban a kártya VPN-en kívüli biztonsági és menedzsment funkciói ekkor is élnek. Security funkciók

12 12 Full Disk Encryption támogatás, az NLG kártya a SmartCard. McAfee Safeboot FDE teljesen integrált, de más FDE megoldásokkal is együttmőködik. GPS: a kártya helyzete a notebook kikapcsolt állapotában is lekérdezhetı. Remote Lock: a laptophoz történı hozzáférés a gateway-rıl bármikor azonnal megvonható, a notebook zárolható. Remote Kill: elveszett/ellopott notebook remote kill paranccsal az NLG kártya SmartCard-jában tárolt kulcsok törölhetık, így a Full Disk Encryption-nel védett lemez elérhetetlenné válik. A remote kill bekapcsolt notebook-ot azonnal reset-el, de természetesen kikapcsolt gép mellett is végrehajtódik a SmartCard törlése, az NLG kártya a PCtıl függetlenül 7/24 vezérelhetı. Kétfaktorú hitelesítés: a laptopra bejelentkezéshez az NLG kártyára és a username/password párra, vagy az NLG kártya SmartCard PIN-jére van szükség. A kártya-laptop-user összekapcsolás kikényszeríthetı, a három komponens bármelyikének cseréje a belépést megakadályozza. Automatikus VPN: a corporate LAN-on kívüli laptopnál már windows logon elıtt megtörténik az automatikus VPN felépítés, minden forgalom a VPN-en halad át, amelyet adminisztrátori jogkörő felhasználó sem tud kikerülni, sem az NLG klienst eltávolítani. Ezáltal a vállalati policy teljes körő kikényszerítése megvalósul. Tőzfal és proxy: az NLG kártyában csomagszőrı és proxy funkció is megtalálható, amely a gateway-rıl programozható. Az NLG kliensszoftver alkalmazás tőzfalat tartalmaz. Továbbá az NLG gateway egyben egy jól konfigurálható tőzfal is. Anti-tampering: az NLG kliens a számítógépen local admin jogú felhasználóval szemben is védett, továbbá NAC megoldásokkal. Kommunikáció, menedzsment o 3G modem: amennyiben a notebook nem csatlakozik LAN vagy WFI hálózathoz, a kártya 3G modemével HSDPA hozzáférés lehetséges (quad-band) és a mobilinternet hozzáférés felett épül fel a VPN kapcsolat. o Off-peak backup upload: A notebookon lévı adatokról (3rd party mentıszoftverrel) készült mentések az NLG kártya védett flash memóriájára másolódnak, ahonnan a 3G feletti VPN-en keresztül másolódnak fel a központi mentıszerverre. A megoldás elınye, hogy a mentés akkor is eljut a mentı szerverre, ha a laptopot közben kikapcsolták.

13 13 o Off-peak patch download: az elızı megoldás megfordítása: a kártya letölti a patch-eket, vírusfrissítést, még akkor is ha a laptop ki van kapcsolva. A laptop bekapcsolása után azonnal kezdıdhet a patch-ek telepítése, így elérhetı, hogy a patchek letöltése ne zavarja a felhasználó munkáját. o Remote access: a felhasználó az AutoVPN miatt mindig elérhetı az IT számára, így hibabejelentés esetén a támogatást adó félnek lehetısége van bejelentkezni a laptopra, amely nagyban megkönnyíti és felgyorsítja a hibaelhárítást, különösen az IT szakértelemmel kevésbé rendelkezı felhasználók esetén Installáció, migráció A végpontok csatlakoztatása érdekében elvégzendı munkálatokról és a távmunka szolgáltatás elemeirıl Általános Kivitelezési Tervet (High Level Design), majd a helyszínekhez illetve adott eszközökhöz kapcsolódó Részletes Kivitelezési Tervet (Low Level Design) készítünk a szerzıdés aláírása után. A fejlesztési terveket, a fejlesztések ütemezését a megrendelı képviselıivel egyeztetve, az ajánlati felhívásban szereplı elvárásoknak megfelelıen készítjük el Átvételi teszt Az átadás-átvételi tesztek során vállaljuk, hogy az átvételi dokumentumban részletezett, elıre meghatározott paraméterek mérését elvégezzük és sikerességét dokumentáljuk, majd a tesztjegyzıkönyvben átadjuk Hálózat felügyelet, hibajelentés és hibajavítás A szolgáltató vállalja az LLD-ben felsorolt routerek üzemeltetését a szolgáltató független, országos menedzsment hálózatán keresztül, a vállalt szolgáltatási mutatók tartását. A Szolgáltató az Intézmények részére egykapus folyamatos 24 órás hibabejelentı és hibaelhárító szolgáltatást nyújt. A Magyar Telekom által üzemeltetett eszközök felügyeletét hálózatfelügyeleti rendszerünkbe integráltan végezzük, hibabejelentéseket hibajegykezelı rendszerünkben nyomon követhetı módon rögzítjük. A hibaelhárítást a szerzıdésben rögzített SLA szolgáltatási szinthez rögzített idın belül elvégezzük. Részletes leírás az 1. számú függelékben található.

14 Tervezett karbantartás ÜFE munkának minısül minden olyan tervezett tevékenység, amely a Magyar Telekom Felhasználói részére nyújtott szolgáltatás megszakadását, illetve minıségének romlását okozza, vagy okozhatja. Az ügyfelet 15 nappal az esedékesség elıtt kell értesíteni az érintett ÜFE munkáról. Az értesítést a Magyar Telekom az ekg.ugyfelszolgalat@t-systems.hu mail címrıl küldi ki. A Felhasználó rendkívüli esetekben kérheti az ÜFE munka elhalasztását legkésıbb 3 munkanappal a tervezett munka megkezdése elıtt. Rendkívülinek azt az esetet kell tekinteni, amelyben a Felhasználó esetleges veszteségeinek megelızésével nem tud (vagy adott esetben nem is lehet) felkészülni a szolgáltatás kiesésére. Minden ilyen esetben legfeljebb egy alkalommal lehet elhalasztani a munkát. Az ÜFE munkák zavarmentes elvégzése, valamint az ügyfelek jobb kiszolgálása érdekében MAINTENANCE WINDOW -t ( Fenntartási ablakot ) alkalmazunk. A MAINTENANCE WINDOW a Magyar Telekom ügyfeleivel kötött megállapodásban az átviteli utak garantált éves rendelkezésre állásából kiszámolt leállási keretidı lehetséges felhasználási idıszaka (karbantartási idıszak). A MAINTENANCE WINDOW elv alapján az engedélyköteles ÜFE munkákat a megadott karbantartási idıszakban kell végezni. A MAINTENANCE WINDOW idıszakai: Hétfı, kedd, szerda, csütörtök: 23:00 - másnap 07:00-ig, A Felhasználó által kezdeményezett, tervezett, szolgáltatás kieséssel járó megszakadásról az idıpont elıtt 15 nappal az alábbi címre kérünk értesítést: noc_ufe_mbx@telekom.hu

15 Teljesítmény és rendelkezésre állás ADSL elérések névleges és garantált sávszélességei: Sebesség Feltöltés (kbps) Letöltés (kbps) ADSL elérés Garantált Maximum ADSL elérés Garantált Maximum ADSL elérés Garantált Maximum ADSL elérés Garantált Maximum ADSL elérés Garantált Maximum ADSL elérés Garantált Maximum Garantált ADSL elérés7 Maximum ADSL elérés Garantált Maximum ADSL elérések rendelkezésre állása éves 99%. Mobil elérés rendelkezésre állása éves 99% Szolgáltatási jelentések Az Ajánlattevı informatikai rendszerrel támogatott hibajegy kezelı rendszert üzemeltet. A támogató rendszerbıl a Felhasználó által bejelentett és hibajegyen rögzített hibaesemények adatai kerülnek legyőjtésre. Részletes leírás az 1. számú függelékben található Szolgáltatási színvonal A szolgáltató vállalja az SLA-ban rögzített rendelkezésre állási paraméterek betartása mellett, hogy biztosítja a Help Desk elérhetıségét, reakcióidıket és a hiba elhárítását.

16 16 Részletes leírás az 1. számú függelékben található Dokumentálási eljárások A végpontok EKG való csatlakoztatása érdekében elvégzendı munkálatokról és a nyújtott szolgálatások elemeirıl Általános Kivitelezési Tervet (High Level Design) Készítünk. Az intézményi csatlakozási szerzıdés aláírása után helyszínekhez illetve adott eszközökhöz kapcsolódó Részletes Kivitelezési Tervet (Low Level Design) készítünk. A Megvalósított rendszer dokumentációja az alábbi pontokat tartalmazza: A hálózat topológiájának rajza és leírása A hálózat kialakítása, a használt hálózati protokollok, beállítások magyarázata, konfigurációs file-ok A hálózat védelmi beállításai A hálózati eszközök jelszavai A hálózat átadásakor végzett tesztek mérési eredményei A hálózati eszközök típusa, sorozatszáma, szoftverek típusa, verziószáma Rendszermentési, feldolgozási és Log mentési eljárások A Szolgáltató üzemeltetési gyakorlata, hogy az eszközök konfigurációs állományát minden beavatkozás után menti egy rendszeren kívüli archíválási területre, mely biztosítja, hogy eszköz hiba esetén a leggyorsabban helyreállítható legyen a Szolgáltatás. A mentések a Szolgáltatónál maradnak. Szolgáltató azon eszközök esetében biztosítja a mentéseket, amelyeknél az üzemeltetési feladatokat szerzıdés szerint Szolgáltató végzi Szolgáltatás csomagok Az EKG távmunka csomaga következı funkciókat tartalmazza: Adatkapcsolat Végponti eszköz Az EKG mobil távmunka csomag a következı funkciókat tartalmazza: Központi dedikált APN Adat összeköttetés a Felhasználó és a Magyar Telekom Nyrt. adatközpontja között SIM kártya és szolgáltatás díja

17 17 Végponti eszköz Az EKG emelt biztonság távmunka csomaga következı funkciókat tartalmazza: Adatkapcsolat Végponti eszköz NLG biztonsági megoldás