Nowa zapora sieciowa – IPFire już w sklepie

Nowe rozwiązanie firewall – IPFire jest już dostępne w naszej ofercie. Jest to kolejne z rozwiązań Open Source oferowanych naszym klientom.

W porównaniu z dotychczasowymi rozwiązaniami takimi jak np. OPNsense, IPFire oparty jest na jądrze Linux, co pozwala użytkownikom na łatwiejsze dostosowywanie systemu do własnych potrzeb. System ten jest stworzony od podstaw przez społeczność projektu i posiada własny menadżer pakietów (pakfire) wraz z własnym repozytorium.

System poza podstawowymi funkcjonalnościami takimi jak zapora ogniowa, czy serwer VPN posiada także dodatkowo funkcjonalności IPS pozwalające na dogłębne skanowanie ruchu pozwalające na dokładne określenie czy jest on bezpieczny. Dodatkowo funkcje takie jak filtr adresów URL oraz Web Proxy pomagają zwiększyć bezpieczeństwo oraz kontrolę nad tym do czego dostęp mogą uzyskać pracownicy korzystający z serwerów wirtualnych.

Zapraszamy do zakupu rozwiązania w naszym sklepie oraz do zapoznania się z serią artykułów w naszej bazie wiedzy w której przedstawiamy przykładowe wdrożenia z zaporą IPFire.

W jaki sposób zoptymalizować wydajność Microsoft SQL Server na przykładzie raportów BI Comarch ERP Optima

W wielu przypadkach, wydajność serwerów bazodanowych jest w dużej mierze ograniczona przez dostępność zasobów, czyli ilość rdzeni, taktowanie procesora oraz rozmiar wolnej pamięci RAM. Jednak w niektórych przypadkach problemem jest złe formułowanie zapytań bądź ich nieoptymalne wykonywanie przez aplikacje. W takim przypadku Microsoft w swoim rozwiązaniu serwerowym SQL pozwala nam na automatyczną optymalizację wykonywanych kwerend. W przypadku zastosowania takiej funkcji, czasy wykonywania niektórych zapytań mogą zmaleć nawet o ponad połowę.

Aby móc skorzystać z takiego rozwiązania, pierwszą rzeczą którą musimy zrobić jest pobranie programu Microsoft SQL Server Management Studio. Pozwoli on na połączenie się do silnika bazy danych i ustawienie odpowiednich parametrów. Poza tym musimy mieć dostęp do konta użytkownika z uprawnieniami administratora, najlepiej konto „sa”.

Po poprawnej instalacji programu, uruchamiamy go i łączymy się do silnika bazy danych.

Następnie, po podłączeniu wchodzimy w folder Bazy danych i klikamy prawym przyciskiem myszy na firmową bazę danych i wchodzimy w jej właściwości.

Po otwarciu okna wchodzimy w zakładkę Options i znajdujemy część oznaczoną jako „Database Scoped Configuration”.

To tutaj mamy możliwość zmiany interesujących nas ustawień. Pierwszą rzeczą którą chcemy włączyć jest „Legacy Cadinality Estimation” a drugą, „Query Optimizer Fixes”. Po włączeniu obu, należy zapisać zmiany klikając OK u dołu okna. Po wykonaniu zmian w konfiguracji, należy zrestartować serwer SQL aby nowe ustawienia zostały zastosowane dla naszej bazy danych.

Procedurę można powtórzyć dla każdej z baz którą chcemy przyspieszyć jednak należy pamiętać że nie w każdym przypadku, zmiany będą zauważalne. Jeżeli programiści tworzący aplikację utworzyli zapytania w poprawny i wydajny sposób, przyspieszenie może być na bardzo niskim poziomie.

Z naszych testów na kilku aplikacjach komercyjnych jak np. Comarch ERP Optima czy Sage Symfonia, takie zmiany powodują znaczące skrócenie czasu pobierania danych. Dotyczy to w szczególności aplikacji Business Inteligence, jak np. Optima BI.

Jeżeli korzystasz z tych aplikacji, sprawdź czy w serwerze SQL są włączone powyższe opcje gdyż może to zaoszczędzić wiele czasu użytkownikom podczas codziennej pracy.

Praca zdalna na serwerach VPS w NSIX

Serwery VPS stały się standardem pracy zdalnej i są nieodzownym narzędziem w dzisiejszym świecie. Dzięki temu że klient ma pełną kontrolę nad tym co się na nim znajduje, może być on bezpiecznym miejscem do pracy, a dodatkowe formy zabezpieczenia które zostały omówione w poprzednich artykułach (tutaj i tutaj) dodatkowo zwiększają funkcjonalność i bezpieczeństwo korzystania z takiej usługi.

Jako że serwery VPS pozwalają na uruchamianie różnego rodzaju aplikacji, dostajemy dzięki temu możliwość zainstalowania na nich niemal niezliczonej ilości oprogramowania. Możemy uruchomić np. pakiet Office, oprogramowanie CRM, różnego rodzaju systemy ERP (Comarch Optima, Sage Symfonia, SAP, itp.). Jeżeli jednak chcemy aby serwer służył jako prywatna chmura na dane, istnieje możliwość zainstalowania serwera Nextcloud wraz z pakietem OnlyOffice, co pozwoli na przechowywanie plików i ich edycję z dowolnego miejsca oraz urządzenia na świecie – i to bezpłatnie.

Biorąc pod uwagę rozmaitość i różnorodność zastosowań serwerów VPS, dają one także możliwość przeniesienia większej ilości pracy z komputerów użytkowników końcowych na serwer. W efekcie można zaoszczędzić pieniądze np. na licencjach czy sprzęcie.

Przykładowe wdrożenie z systemem Windows Server

W przypadku kiedy użytkownik zakupi serwer VPS z oferty NSIX Data Center G2 z systemem Windows Server 2022, dostaje możliwość zainstalowania na nim m.in. pakietu Office Microsoft 365 dla przedsiębiorstw, Comarch ERP Optima oraz oprogramowania CRM do zarządzania bazą klientów.

Aby bezpiecznie i komfortowo łączyć się do zasobów zdalnych potrzebna będzie brama OPNsense wraz z usługą serwera OpenVPN, co pozwala bardzo skutecznie zabezpieczyć zasoby serwera przed dostępem ze strony nieupoważnionych osób. Otrzymujemy również możliwość zestawienia bezpiecznych, szyfrowanych połączeń pomiędzy klientem oraz serwerem, dzięki czemu nieautoryzowany dostęp jest w praktyce niezwykle trudny do zrealizowania.

W związku z tym, że cała praca jest wykonywana na serwerze, komputer użytkownika pozostaje nisko obciążony co pozwala na optymalizację zasobów i zakup tańszych jednostek a także oszczędności w zużyciu energii w biurze. Dodatkowo, pakiet Office zainstalowany na serwerze wymaga tylko i wyłącznie jednej licencji dla wielu użytkowników, nie ma potrzeby jego instalacji oraz zakupu dla każdego stanowiska. Dodatkowym atutem jest mobilność takiego rozwiązania, które jest całkowicie niezależne od urządzenia. Do połączenia z serwerem jest używany plik w postaci certyfikatu VPN, który można zaimportować np. do tabletu, telefonu czy innego komputera z systemem operacyjnym Windows, Linux lub MacOS. Całe opisywane w niniejszym artykule rozwiązanie znacząco podnosi bezpieczeństwo danych ponieważ nie są one przechowywane na komputerze użytkownika tylko przetwarzane są na serwerze zdalnym, w tzw. „chmurze” co w razie awarii komputera użytkownika nie wpływa w żaden sposób na wyniki jego pracy, a w razie usunięcia danych z serwera, dostępne są kopie zapasowe pozwalające na ich odzyskanie.

Przykładowe wdrożenie z systemem z rodziny Linux

W przypadku kiedy szukamy rozwiązania do bezpiecznego przechowywania plików w chmurze, istnieje powszechnie znane rozwiązanie „dysku chmurowego”, może to być np. usługa Nextcloud. Pozwala ona na przechowywanie różnego rodzaju danych we własnej chmurze dostępnej z dowolnego miejsca na świecie. Dostęp do danych może odbywać się poprzez aplikację przeglądarkową lub aplikację na komputer osobisty czy urządzenie mobilne. W przypadku aplikacji na komputer, pliki synchronizowane są do jednego z folderów w bardzo podobny sposób jak na przykład rozwiązanie OneDrive czy Google Drive. Zsynchronizowane pliki można przeglądać, modyfikować, usuwać z poziomu eksploratora plików na komputerze a aplikacja sama zadba o to, aby wszystkie foldery pozostały aktualne na wszystkich podłączonych do usługi urządzeniach. Dodatkowym atutem takiego rozwiązania jest to, że nie wymaga ono korzystania z zewnętrznych serwisów, a nad wszystkimi danymi administrator serwera posiada pełną kontrolę.

Istnieje także możliwość korzystania z aplikacji w przeglądarce która pozwala na podstawowe operacje takie jak pobranie czy wysłanie pliku na serwer. Jeżeli jednak chcemy go zmodyfikować, należy go pobrać na swój komputer, edytować a następnie przesłać z powrotem, co może być dość uciążliwe dla użytkownika końcowego. Lepszym rozwiązaniem jest zastosowanie rozszerzenia OnlyOffice instalowanego na osobnym serwerze które pozwala edytować pliki tekstowe, Word, Excel itp. bezpośrednio z przeglądarki. Działa ono w bardzo podobny sposób jak aplikacje Microsoft Online czy Google Docs jednak pozwala na łatwą integrację z serwerem Nextcloud, jednocześnie podnosząc produktywność, a dzięki możliwości przeglądania oraz edycji plików z poziomu przeglądarki internetowej pracownicy mogą wykonywać swoje zadania z każdego miejsca.
OnlyOffice jest aplikacją Open Source, jednak w wersji darmowej pozwala jednocześnie na 20 połączeń co jest w zupełności wystarczające w małych i średnich firmach. W przypadku kiedy potrzeby jednoczesnych połączeń zwiększają się, istnieje możliwość dokupienia dodatkowych połączeń.

Podsumowanie

Powyżej przedstawiliśmy kilka przykładów w jaki sposób serwery VPS z oferty NSIX Data Center G2 mogą służyć z powodzeniem przy wprowadzaniu pracy zdalnej lub zmniejszeniu obciążenia komputerów w firmie. Powyższe scenariusze to jedynie mały wycinek tego, co można uruchomić na własnej infrastrukturze serwerów wirtualnych z naszej oferty. Tego typu przykładów jest znacznie więcej a ich liczba w przyszłości będzie tylko i wyłącznie rosła, dzięki czemu każdy użytkownik będzie w stanie znaleźć rozwiązanie dopasowane do swoich potrzeb.

Jak połączyć swoją sieć LAN w biurze z serwerem VPS w NSIX przez Internet

W ostatnim artykule na naszym blogu, opisaliśmy w jaki sposób należy zadbać o bezpieczeństwo swojej infrastruktury wirtualnej VPS, uruchomionej na przykład w naszym centrum danych. Skupiliśmy się w artykule na kwestii bezpieczeństwa oraz sposobu połączenia użytkowników końcowych do serwerów wirtualnych VPS z systemem Windows Server lub Linux, znajdujących się za zaporą sieciową, firewallem, – tzw. bramą.

W tym artykule opiszemy w jaki sposób można połączyć własną istniejącą sieć LAN, np. w biurze, poprzez bezpieczne szyfrowane połączenie przez Internet (sieć WAN) z serwerami wirtualnymi VPS zlokalizowanymi w naszym centrum danych.

Chcę połączyć swoją sieć wewnętrzną z infrastrukturą wirtualną serwerów VPS, co mam zrobić?

O ile w większości przypadków, rozwiązanie przedstawione w poprzednim artykule oparte na utworzeniu dostępów VPN SSL do serwera dla każdego użytkownika z osobna sprawdza się znakomicie w określonym scenariuszu, tak w niektórych wdrożeniach może być niewystarczające.

Jeżeli w biurze lub dowolnej innej lokalizacji znajduje się drukarka fiskalna, czytnik kodów albo inne urządzenie podłączane do sieci LAN, które musi mieć dostęp do serwera wirtualnego VPS, np. z zainstalowanym systemem ERP, a nie ma możliwości uruchomienia na takim urządzeniu połączenia VPN z wykorzystaniem certyfikatów VPN SSL, np. za pomocą serwera OpenVPN dointegrowanego do bramy OPNsense, lub inna usługa VPN została już wdrożona i nie zamierzamy dodawać kolejnej, komplikując konfigurację sieciową, istnieje możliwość utworzenia połączenia tunelowego pomiędzy swoją własną infrastrukturą (siecią LAN) a zdalną bramą OPNsense, poprzez protokół IPSec albo konfigurację serwera OpenVPN w trybie site-to-site. W zależności jaka technologia będzie preferowana lub co będzie obsługiwane przez nasze urządzenie w sieci LAN, wykorzystać można IPsec albo szyfrowany tunel site-to-site, pozostawiając niezmienioną adresację LAN.

IPSec

Protokół IPSec jest to rozwiązanie obsługiwane przez znaczącą większość urządzeń, przez co jest jednym z najpopularniejszych sposobów na zestawienie połączeń tunelowych pomiędzy dwiema lokalizacjami. Dodatkową zaletą tego rozwiązania jest możliwość szyfrowania transmisji, dzięki czemu ryzyko nieautoryzowanego dostępu jest znacząco minimalizowane lub w praktyce nieautoryzowany dostęp do sieci jest bardzo trudny do wykonania. Ponadto konfiguracja połączenia IPSec jest stosunkowo prosta, co pozwala na jego skonfigurowanie nawet niezaawansowanym użytkownikom.

Istnieje jednak możliwość, iż protokół ten mimo swojego szerokiego wdrożenia, na różnych urządzeniach może działać w inny sposób, przez co niewykluczone są problemy z jego wdrożeniem. Dodatkowo opcje szyfrowania dostępne w tym rozwiązaniu są dosyć ograniczone, przez co jest to dobre rozwiązanie dla niewrażliwych danych, bądź wdrożeń które nie wymagają mocnego szyfrowania transmisji.

Openvpn site-to-site

Rozwiązaniem, które umożliwia zestawienie połączenia Site-to-Site dostępnym w OPNsense jest serwer OpenVPN. Poza niewątpliwą zaletą, iż jest to rozwiązanie Open Source, oferuje on duży wybór algorytmów szyfrujących oraz możliwość generowania profili połączenia wykorzystujących certyfikaty SSL/TLS. Kolejną zaletą jest możliwość wybrania typu transmisji (TCP/UDP) oraz dogodnego dla nas portu na zaporze sieciowej do komunikacji a ponadto umożliwia praktycznie nieograniczoną możliwość konfiguracji. Dodatkowymi atutami są także duża baza wiedzy oraz mocne wsparcie społeczności, które pozwalają na względnie szybkie wdrożenie VPN w formie site-to-site (S2S). Dzięki takiemu zestawowi funkcjonalności, jest to rozwiązanie preferowane przez NSIX Data Center we wszystkich scenariuszach zakładających bramę SDN / Firewall na serwerze VPS oraz VPN w formie S2S.

Należy pamiętać, że z wysokim poziomem zabezpieczeń, wiąże się wysokie zużycie zasobów, głównie procesora na obliczenia związane z szyfrowaniem. Jednak takowy problem można rozwiązać dzięki możliwości skalowania serwerów wirtualnych VPS z naszej oferty G2, poprzez dodanie kolejnych rdzeni vCPU. Wystarczy skontaktować się z naszym działem wsparcia technicznego aby ustalić nowy plan oraz moment zwiększenia ilości rdzeni.

Konfiguracja

Jeżeli użytkownik jest w stanie wykonać konfigurację tunelu VPN S2S we własnym zakresie, może tego dokonać za pomocą przystępnego GUI bramy OPNsense które przeprowadzi go przez kreator konfiguracji. (Podlinkowane, tak samo jak wyżej mogę jeszcze zrobić drugi art. o samej konfiguracji VPN i dodać drugi link) Jeżeli jednak konfiguracja VPN ma zostać wykonana przez specjalistów, nasze wsparcie techniczne Premier Support obejmuje tego typu usługi Dzięki niej, nasi technicy zajmą się wdrożeniem danego rozwiązania, biorąc pod uwagę wymagania sprzętowe oraz zabezpieczenie całego środowiska serwerowego VPS.