Hierdie artikel is die vyfde in die reeks "Hoe om beheer oor jou netwerkinfrastruktuur te neem." Die inhoud van alle artikels in die reeks en skakels kan gevind word .
Hierdie deel sal gewy word aan die Kampus (Kantoor) & Afstandtoegang VPN-segmente.
Kantoornetwerkontwerp lyk dalk maklik.
Inderdaad, ons neem L2/L3 skakelaars en verbind hulle met mekaar. Vervolgens voer ons die basiese opstelling van vilans en verstekpoorte uit, stel eenvoudige roetes op, koppel WiFi-beheerders, toegangspunte, installeer en konfigureer ASA vir afstandtoegang, ons is bly dat alles gewerk het. Basies, soos ek reeds in een van die vorige geskryf het van hierdie siklus kan byna elke student wat twee semesters van 'n telekommunikasiekursus bygewoon (en geleer het) 'n kantoornetwerk ontwerp en opstel sodat dit "op een of ander manier werk."
Maar hoe meer jy leer, hoe minder eenvoudig begin hierdie taak lyk. Vir my persoonlik lyk hierdie onderwerp, die onderwerp van kantoornetwerkontwerp, glad nie eenvoudig nie, en in hierdie artikel sal ek probeer verduidelik hoekom.
Kortom, daar is 'n hele paar faktore om in ag te neem. Dikwels is hierdie faktore in konflik met mekaar en 'n redelike kompromie moet gesoek word.
Hierdie onsekerheid is die grootste probleem. So, oor sekuriteit gepraat, ons het 'n driehoek met drie hoekpunte: sekuriteit, gerief vir werknemers, prys van die oplossing.
En elke keer moet jy soek na 'n kompromie tussen hierdie drie.
Argitektuur
As 'n voorbeeld van 'n argitektuur vir hierdie twee segmente, soos in vorige artikels, beveel ek aan model: , .
Dit is ietwat verouderde dokumente. Ek bied hulle hier aan omdat die fundamentele skemas en benadering nie verander het nie, maar terselfdertyd hou ek meer van die aanbieding as in .
Sonder om jou aan te moedig om Cisco-oplossings te gebruik, dink ek steeds dat dit nuttig is om hierdie ontwerp noukeurig te bestudeer.
Hierdie artikel gee, soos gewoonlik, geensins voor om volledig te wees nie, maar is eerder 'n toevoeging tot hierdie inligting.
Aan die einde van die artikel sal ons die Cisco SAFE-kantoorontwerp ontleed in terme van die konsepte wat hier uiteengesit word.
Algemene beginsels
Die ontwerp van die kantoornetwerk moet natuurlik aan die algemene vereistes wat bespreek is, voldoen in die hoofstuk “Kriteria vir die beoordeling van ontwerpkwaliteit”. Benewens prys en veiligheid, wat ons in hierdie artikel wil bespreek, is daar nog drie kriteria wat ons moet oorweeg wanneer ons ontwerp (of veranderinge aanbring):
- skaalbaarheid
- gemak van bestuur
- beskikbaarheid
Baie van dit waarvoor bespreek is Dit geld ook vir die kantoor.
Maar steeds het die kantoorsegment sy eie besonderhede, wat uit 'n sekuriteitsoogpunt krities is. Die essensie van hierdie spesifisiteit is dat hierdie segment geskep is om netwerkdienste aan werknemers (sowel as vennote en gaste) van die maatskappy te verskaf, en as gevolg hiervan, op die hoogste vlak van oorweging van die probleem het ons twee take:
- beskerm maatskappyhulpbronne teen kwaadwillige optrede wat van werknemers (gaste, vennote) en van die sagteware wat hulle gebruik kan kom. Dit sluit ook beskerming teen ongemagtigde verbinding met die netwerk in.
- stelsels en gebruikersdata te beskerm
En dit is net een kant van die probleem (of eerder, een hoekpunt van die driehoek). Aan die ander kant is gebruikersgerief en die prys van die oplossings wat gebruik word.
Kom ons begin deur te kyk na wat 'n gebruiker van 'n moderne kantoornetwerk verwag.
gerief
Hier is hoe "netwerkgeriewe" na my mening vir 'n kantoorgebruiker lyk:
- mobiliteit
- Vermoë om die volle reeks bekende toestelle en bedryfstelsels te gebruik
- Maklike toegang tot al die nodige maatskappyhulpbronne
- Beskikbaarheid van internethulpbronne, insluitend verskeie wolkdienste
- "Vinnige werking" van die netwerk
Dit alles geld vir beide werknemers en gaste (of vennote), en dit is die taak van die maatskappy se ingenieurs om toegang vir verskillende gebruikersgroepe te onderskei op grond van magtiging.
Kom ons kyk na elkeen van hierdie aspekte in 'n bietjie meer detail.
mobiliteit
Ons praat oor die geleentheid om te werk en al die nodige maatskappyhulpbronne van enige plek in die wêreld te gebruik (natuurlik waar die internet beskikbaar is).
Dit geld ten volle vir die kantoor. Dit is gerieflik wanneer jy die geleentheid het om voort te gaan werk vanaf enige plek in die kantoor, byvoorbeeld, e-pos ontvang, in 'n korporatiewe boodskapper kommunikeer, beskikbaar wees vir 'n video-oproep, ... Dit laat jou dus aan die een kant toe, om sommige kwessies “regstreekse” kommunikasie op te los (byvoorbeeld, deel te neem aan saamtrekke), en aan die ander kant, altyd aanlyn wees, hou jou vinger op die pols en los 'n paar dringende hoë-prioriteit take vinnig op. Dit is baie gerieflik en verbeter werklik die kwaliteit van kommunikasie.
Dit word bereik deur behoorlike WiFi-netwerkontwerp.
opmerking
Hier ontstaan die vraag gewoonlik: is dit genoeg om net WiFi te gebruik? Beteken dit dat jy kan ophou om Ethernet-poorte in die kantoor te gebruik? As ons net oor gebruikers praat, en nie oor bedieners nie, wat steeds redelik is om met 'n gewone Ethernet-poort te koppel, dan is die antwoord oor die algemeen: ja, jy kan jouself beperk tot slegs WiFi. Maar daar is nuanses.
Daar is belangrike gebruikersgroepe wat 'n aparte benadering vereis. Dit is natuurlik administrateurs. In beginsel is 'n WiFi-verbinding minder betroubaar (wat verkeersverlies betref) en stadiger as 'n gewone Ethernet-poort. Dit kan betekenisvol wees vir administrateurs. Daarbenewens kan netwerkadministrateurs byvoorbeeld in beginsel hul eie toegewyde Ethernet-netwerk vir buitebandverbindings hê.
Daar kan ander groepe/departemente in jou maatskappy wees waarvoor hierdie faktore ook belangrik is.
Daar is nog 'n belangrike punt - telefonie. Miskien wil jy om een of ander rede nie Wireless VoIP gebruik nie en wil jy IP-fone met 'n gewone Ethernet-verbinding gebruik.
Oor die algemeen het die maatskappye vir wie ek gewerk het gewoonlik beide WiFi-konneksie en 'n Ethernet-poort gehad.
Ek wil graag hê dat mobiliteit nie net tot die kantoor beperk word nie.
Om die vermoë te verseker om van die huis af te werk (of enige ander plek met toeganklike internet), word 'n VPN-verbinding gebruik. Terselfdertyd is dit wenslik dat werknemers nie die verskil voel tussen werk van die huis af en afgeleë werk, wat dieselfde toegang veronderstel nie. Ons sal 'n bietjie later in die hoofstuk "Verenigde gesentraliseerde verifikasie- en magtigingstelsel" bespreek hoe om dit te organiseer.
opmerking
Heel waarskynlik sal jy nie ten volle dieselfde kwaliteit dienste vir afgeleë werk kan lewer as wat jy in die kantoor het nie. Kom ons neem aan dat jy 'n Cisco ASA 5520 as jou VPN-poort gebruik. hierdie toestel is in staat om slegs 225 Mbit VPN-verkeer te "verteer". Dit is natuurlik in terme van bandwydte, verbinding via VPN is baie anders as om van die kantoor af te werk. Ook, as, om een of ander rede, latency, verlies, jitter (byvoorbeeld, jy wil kantoor IP-telefonie gebruik) vir jou netwerkdienste beduidend is, sal jy ook nie dieselfde gehalte ontvang asof jy in die kantoor was nie. Daarom, wanneer ons oor mobiliteit praat, moet ons bewus wees van moontlike beperkings.
Maklike toegang tot alle maatskappyhulpbronne
Hierdie taak moet saam met ander tegniese departemente opgelos word.
Die ideale situasie is wanneer die gebruiker net een keer hoef te verifieer, en daarna het hy toegang tot al die nodige hulpbronne.
Om maklike toegang te verskaf sonder om sekuriteit in te boet, kan produktiwiteit aansienlik verbeter en stres onder jou kollegas verminder.
Opmerking 1
Gemak van toegang gaan nie net oor hoeveel keer jy 'n wagwoord moet invoer nie. As u, byvoorbeeld, in ooreenstemming met u sekuriteitsbeleid, om vanaf die kantoor na die datasentrum te koppel, u eers aan die VPN-poort moet koppel, en u terselfdertyd toegang tot kantoorhulpbronne verloor, dan is dit ook baie , baie ongerieflik.
Opmerking 2
Daar is dienste (byvoorbeeld toegang tot netwerktoerusting) waar ons gewoonlik ons eie toegewyde AAA-bedieners het en dit is die norm wanneer ons in hierdie geval verskeie kere moet verifieer.
Beskikbaarheid van internetbronne
Die internet is nie net vermaak nie, maar ook 'n stel dienste wat baie nuttig vir werk kan wees. Daar is ook suiwer sielkundige faktore. 'n Moderne persoon is deur baie virtuele drade met ander mense verbind, en daar is na my mening niks verkeerd as hy aanhou om hierdie verbinding te voel selfs terwyl hy werk nie.
Uit die oogpunt van tydmors is daar niks fout as 'n werknemer byvoorbeeld Skype aan die gang het en 5 minute spandeer om met 'n geliefde te kommunikeer indien nodig.
Beteken dit dat die internet altyd beskikbaar moet wees, beteken dit dat werknemers toegang tot alle hulpbronne kan hê en dit op geen manier beheer nie?
Nee beteken dit natuurlik nie. Die vlak van openheid van die internet kan vir verskillende maatskappye verskil - van volledige sluiting tot volledige openheid. Ons sal later in die afdelings oor sekuriteitsmaatreëls maniere bespreek om verkeer te beheer.
Die vermoë om die volle reeks bekende toestelle te gebruik
Dit is gerieflik wanneer jy byvoorbeeld die geleentheid het om voort te gaan om al die kommunikasiemiddele waaraan jy gewoond is by die werk te gebruik. Daar is geen probleme om dit tegnies te implementeer nie. Hiervoor benodig jy WiFi en 'n gas wilan.
Dit is ook goed as jy die geleentheid het om die bedryfstelsel waaraan jy gewoond is, te gebruik. Maar, volgens my waarneming, word dit gewoonlik net aan bestuurders, administrateurs en ontwikkelaars toegelaat.
Voorbeeld
Jy kan natuurlik die pad van verbodsbepalings volg, afstandtoegang verbied, verbinding vanaf mobiele toestelle verbied, alles beperk tot statiese Ethernet-verbindings, toegang tot die internet beperk, selfone en toerusting verpligtend by die kontrolepunt konfiskeer ... en hierdie pad word eintlik gevolg deur sommige organisasies met verhoogde sekuriteitsvereistes, en miskien kan dit in sommige gevalle geregverdig wees, maar... jy moet saamstem dat dit lyk na 'n poging om vordering in 'n enkele organisasie te stop. Natuurlik wil ek graag die geleenthede wat moderne tegnologie bied kombineer met 'n voldoende vlak van sekuriteit.
"Vinnige werking" van die netwerk
Data-oordragspoed bestaan tegnies uit baie faktore. En die spoed van jou verbindingpoort is gewoonlik nie die belangrikste een nie. Die stadige werking van 'n toepassing word nie altyd met netwerkprobleme geassosieer nie, maar vir eers stel ons net in die netwerkdeel belang. Die mees algemene probleem met plaaslike netwerk "vertraging" hou verband met pakkieverlies. Dit vind gewoonlik plaas wanneer daar 'n bottelnek of L1 (OSI) probleme is. Meer selde, met sommige ontwerpe (byvoorbeeld, wanneer jou subnette 'n firewall as die verstekpoort het en dus alle verkeer daardeur gaan), kan hardeware werkverrigting ontbreek.
Daarom, wanneer u toerusting en argitektuur kies, moet u die snelhede van eindpoorte, stamme en toerustingprestasie korreleer.
Voorbeeld
Kom ons neem aan jy gebruik skakelaars met 1 gigabit-poorte as toegangslaagskakelaars. Hulle is met mekaar verbind via Etherchannel 2 x 10 gigabit. As 'n verstekpoort gebruik jy 'n firewall met gigabit-poorte, om aan die L2-kantoornetwerk te koppel, gebruik jy 2 gigabit-poorte gekombineer in 'n Etherchannel.
Hierdie argitektuur is redelik gerieflik vanuit 'n funksionaliteitsoogpunt, want ... Alle verkeer gaan deur die firewall, en jy kan gemaklik toegangsbeleide bestuur, en komplekse algoritmes toepas om verkeer te beheer en moontlike aanvalle te voorkom (sien hieronder), maar vanuit 'n deurset- en prestasie-oogpunt het hierdie ontwerp natuurlik potensiële probleme. So, byvoorbeeld, 2 gashere wat data aflaai (met 'n poortspoed van 1 gigabit) kan 'n 2 gigabit-verbinding heeltemal na die firewall laai, en dus lei tot diensagteruitgang vir die hele kantoorsegment.
Ons het na een hoekpunt van die driehoek gekyk, kom ons kyk nou hoe ons sekuriteit kan verseker.
middels
So, natuurlik, gewoonlik is ons begeerte (of eerder, die begeerte van ons bestuur) om die onmoontlike te bereik, naamlik om maksimum gerief te bied met maksimum sekuriteit en minimum koste.
Kom ons kyk na watter metodes ons het om beskerming te bied.
Vir die kantoor wil ek die volgende uitlig:
- nul vertroue benadering tot ontwerp
- hoë vlak van beskerming
- netwerk sigbaarheid
- verenigde gesentraliseerde verifikasie- en magtigingstelsel
- gasheer nagaan
Vervolgens gaan ons in 'n bietjie meer besonderhede oor elk van hierdie aspekte stilstaan.
Nul vertroue
Die IT-wêreld verander baie vinnig. Net oor die afgelope 10 jaar het die opkoms van nuwe tegnologieë en produkte gelei tot 'n groot hersiening van sekuriteitskonsepte. Tien jaar gelede, vanuit 'n sekuriteitsoogpunt, het ons die netwerk in trust-, dmz- en untrust-sones gesegmenteer, en die sogenaamde "perimeterbeskerming" gebruik, waar daar 2 verdedigingslinie was: untrust -> dmz en dmz -> vertroue. Beskerming was ook gewoonlik beperk tot toegangslyste gebaseer op L3/L4 (OSI)-opskrifte (IP, TCP/UDP-poorte, TCP-vlae). Alles wat verband hou met hoër vlakke, insluitend L7, is oorgelaat aan die bedryfstelsel en sekuriteitsprodukte wat op die eindgashere geïnstalleer is.
Nou het die situasie dramaties verander. Moderne konsep kom van die feit dat dit nie meer moontlik is om interne stelsels, dit wil sê dié wat binne die omtrek geleë is, as betroubaar te beskou nie, en die konsep van die omtrek self het vaag geword.
Benewens internet konneksie het ons ook
- VPN-gebruikers met afstandtoegang
- verskeie persoonlike toestelle, skootrekenaars gebring, via kantoor-WiFi gekoppel
- ander (tak)kantore
- integrasie met wolkinfrastruktuur
Hoe lyk die Zero Trust-benadering in die praktyk?
Ideaal gesproke moet slegs die verkeer wat benodig word toegelaat word en, as ons van 'n ideaal praat, dan moet beheer nie net op die L3/L4-vlak wees nie, maar op die toepassingsvlak.
As jy byvoorbeeld die vermoë het om alle verkeer deur 'n firewall te laat slaag, dan kan jy probeer om nader aan die ideaal te kom. Maar hierdie benadering kan die totale bandwydte van jou netwerk aansienlik verminder, en boonop werk filter volgens toepassing nie altyd goed nie.
Wanneer u verkeer op 'n roeteerder of L3-skakelaar beheer (met standaard ACL's), ondervind u ander probleme:
- Dit is slegs L3/L4-filtrering. Daar is niks wat 'n aanvaller keer om toegelate poorte (bv. TCP 80) vir hul toepassing te gebruik nie (nie http nie)
- komplekse ACL-bestuur (moeilik om ACL's te ontleed)
- Dit is nie 'n statefull firewall nie, wat beteken dat jy uitdruklik omgekeerde verkeer moet toelaat
- met skakelaars word jy gewoonlik redelik streng beperk deur die grootte van die TCAM, wat vinnig 'n probleem kan word as jy die "laat net toe wat jy nodig het" benadering volg
opmerking
As ons van omgekeerde verkeer praat, moet ons onthou dat ons die volgende geleentheid het (Cisco)
toelaat tcp enige enige gevestigde
Maar jy moet verstaan dat hierdie lyn gelykstaande is aan twee lyne:
laat tcp enige enige ack toe
laat tcp enige enige eerste toeWat beteken dat selfs al was daar geen aanvanklike TCP-segment met die SYN-vlag nie (dit wil sê, die TCP-sessie het nie eers begin vestig nie), hierdie ACL sal 'n pakkie met die ACK-vlag toelaat, wat 'n aanvaller kan gebruik om data oor te dra.
Dit wil sê, hierdie lyn verander geensins jou router of L3-skakelaar in 'n statefull firewall nie.
Hoë vlak van beskerming
В In die afdeling oor datasentrums het ons die volgende beskermingsmetodes oorweeg.
- stateful firewalling (verstek)
- ddos/dos beskerming
- aansoek firewalling
- bedreigingsvoorkoming (antivirus, anti-spioenware en kwesbaarheid)
- URL-filter
- datafiltrering (inhoudfiltrering)
- lêer blokkering (lêer tipes blokkering)
In die geval van 'n kantoor is die situasie soortgelyk, maar die prioriteite verskil effens. Kantoorbeskikbaarheid (beskikbaarheid) is gewoonlik nie so krities soos in die geval van 'n datasentrum nie, terwyl die waarskynlikheid van "interne" kwaadwillige verkeer ordes groter is.
Daarom word die volgende beskermingsmetodes vir hierdie segment krities:
- aansoek firewalling
- bedreigingsvoorkoming (antivirus, anti-spioenware en kwesbaarheid)
- URL-filter
- datafiltrering (inhoudfiltrering)
- lêer blokkering (lêer tipes blokkering)
Alhoewel al hierdie beskermingsmetodes, met die uitsondering van toepassings-firewalling, tradisioneel op die eindgashere opgelos is en steeds opgelos is (byvoorbeeld deur antivirusprogramme te installeer) en gevolmagtigdes te gebruik, bied moderne NGFW's ook hierdie dienste.
Verskaffers van sekuriteitstoerusting streef daarna om omvattende beskerming te skep, so saam met plaaslike beskerming bied hulle verskeie wolktegnologieë en kliëntsagteware vir gashere (eindpuntbeskerming/EPP). So, byvoorbeeld, van Ons sien dat Palo Alto en Cisco hul eie EPP's (PA: Traps, Cisco: AMP) het, maar ver van die leiers is.
Dit is natuurlik nie verpligtend om hierdie beskermings (gewoonlik deur lisensies te koop) op jou firewall te aktiveer nie (jy kan die tradisionele roete volg), maar dit bied wel 'n paar voordele:
- in hierdie geval is daar 'n enkele punt van toepassing van beskermingsmetodes, wat sigbaarheid verbeter (sien die volgende onderwerp).
- As daar 'n onbeskermde toestel op jou netwerk is, val dit steeds onder die "sambreel" van brandmuurbeskerming
- Deur brandmuurbeskerming te gebruik in samewerking met eindgasheerbeskerming, verhoog ons die waarskynlikheid om kwaadwillige verkeer op te spoor. Byvoorbeeld, die gebruik van bedreigingsvoorkoming op plaaslike gashere en op 'n firewall verhoog die waarskynlikheid van opsporing (mits natuurlik hierdie oplossings op verskillende sagtewareprodukte gebaseer is)
opmerking
As jy byvoorbeeld Kaspersky as 'n antivirus op die firewall en op die eindgashere gebruik, sal dit natuurlik nie jou kanse om 'n virusaanval op jou netwerk te voorkom aansienlik verhoog nie.
Netwerksigbaarheid
is eenvoudig - "sien" wat op jou netwerk gebeur, beide in reële tyd en historiese data.
Ek sou hierdie "visie" in twee groepe verdeel:
Groep een: wat jou moniteringstelsel jou gewoonlik voorsien.
- toerusting laai
- laai kanale
- geheue gebruik
- skyf gebruik
- verander die roetetabel
- skakel status
- beskikbaarheid van toerusting (of gashere)
- ...
Groep twee: veiligheidsverwante inligting.
- verskillende tipes statistieke (byvoorbeeld volgens toepassing, volgens URL-verkeer, watter tipe data afgelaai is, gebruikerdata)
- wat deur sekuriteitsbeleide geblokkeer is en om watter rede, nl
- verbode toepassing
- verbied op grond van ip/protokol/poort/vlae/sones
- bedreiging voorkoming
- url filter
- datafiltrering
- lêer blokkering
- ...
- statistieke oor DOS/DDOS-aanvalle
- mislukte identifikasie- en magtigingspogings
- statistieke vir al die bogenoemde veiligheidsbeleidskendinggebeure
- ...
In hierdie hoofstuk oor sekuriteit stel ons belang in die tweede deel.
Sommige moderne brandmure (van my Palo Alto-ervaring) bied 'n goeie vlak van sigbaarheid. Maar natuurlik moet die verkeer waarin jy belangstel deur hierdie firewall gaan (in welke geval jy die vermoë het om verkeer te blokkeer) of weerspieël na die firewall (slegs gebruik vir monitering en ontleding), en jy moet lisensies hê om alle hierdie dienste.
Daar is natuurlik 'n alternatiewe manier, of eerder die tradisionele manier, bv.
- Sessiestatistieke kan via netvloei ingesamel word en dan spesiale nutsprogramme vir inligtingsanalise en datavisualisering gebruik word
- bedreigingsvoorkoming – spesiale programme (antivirus, anti-spioenware, firewall) op eindgashere
- URL-filtrering, datafiltrering, lêerblokkering - op instaanbediener
- dit is ook moontlik om tcpdump te ontleed deur bv.
U kan hierdie twee benaderings kombineer, ontbrekende kenmerke aanvul of dit dupliseer om die waarskynlikheid te verhoog om 'n aanval op te spoor.
Watter benadering moet jy kies?
Hang hoogs af van die kwalifikasies en voorkeure van jou span.
Sowel daar as daar is voor- en nadele.
Eenvormige gesentraliseerde verifikasie- en magtigingstelsel
Wanneer dit goed ontwerp is, aanvaar die mobiliteit wat ons in hierdie artikel bespreek het dat jy dieselfde toegang het of jy van die kantoor of van die huis af werk, vanaf die lughawe, vanaf 'n koffiewinkel of enige ander plek (met die beperkings wat ons hierbo bespreek het). Dit wil voorkom, wat is die probleem?
Om die kompleksiteit van hierdie taak beter te verstaan, kom ons kyk na 'n tipiese ontwerp.
Voorbeeld
- Jy het alle werknemers in groepe verdeel. Jy het besluit om toegang deur groepe te verskaf
- Binne die kantoor beheer jy toegang op die kantoor se firewall
- Jy beheer verkeer vanaf die kantoor na die datasentrum op die datasentrum-brandmuur
- Jy gebruik 'n Cisco ASA as 'n VPN-poort en om verkeer wat jou netwerk van afgeleë kliënte binnekom te beheer, gebruik jy plaaslike (op die ASA) ACL's
Nou, kom ons sê jy word gevra om bykomende toegang tot 'n sekere werknemer by te voeg. In hierdie geval word u gevra om slegs toegang tot hom en niemand anders van sy groep by te voeg nie.
Hiervoor moet ons 'n aparte groep vir hierdie werknemer skep, dit wil sê
- skep 'n aparte IP-poel op die ASA vir hierdie werknemer
- voeg 'n nuwe ACL op die ASA by en bind dit aan daardie afgeleë kliënt
- skep nuwe sekuriteitsbeleide op kantoor- en datasentrum-firewalls
Dit is goed as hierdie gebeurtenis skaars is. Maar in my praktyk was daar 'n situasie wanneer werknemers aan verskillende projekte deelgeneem het, en hierdie stel projekte vir sommige van hulle het redelik gereeld verander, en dit was nie 1-2 mense nie, maar dosyne. Natuurlik moes iets hier verander word.
Dit is op die volgende manier opgelos.
Ons het besluit dat LDAP die enigste bron van waarheid sou wees wat alle moontlike werknemertoegange bepaal. Ons het allerhande groepe geskep wat stelle toegange definieer, en ons het elke gebruiker aan een of meer groepe toegewys.
So, byvoorbeeld, veronderstel daar was groepe
- gas (internettoegang)
- algemene toegang (toegang tot gedeelde hulpbronne: pos, kennisbasis, ...)
- rekeningkundige
- projek 1
- projek 2
- databasis administrateur
- linux administrateur
- ...
En as een van die werknemers betrokke was by beide projek 1 en projek 2, en hy het die nodige toegang nodig gehad om in hierdie projekte te werk, dan is hierdie werknemer aan die volgende groepe toegewys:
- gas
- gemeenskaplike toegang
- projek 1
- projek 2
Hoe kan ons nou hierdie inligting omskep in toegang op netwerktoerusting?
Cisco ASA Dynamic Access Policy (DAP) (sien ) oplossing is net reg vir hierdie taak.
Kortliks oor ons implementering, tydens die identifikasie/magtigingsproses, ontvang ASA vanaf LDAP 'n stel groepe wat ooreenstem met 'n gegewe gebruiker en "versamel" van verskeie plaaslike ACL's (wat elkeen ooreenstem met 'n groep) 'n dinamiese ACL met al die nodige toegang , wat ten volle ooreenstem met ons wense.
Maar dit is slegs vir VPN-verbindings. Om die situasie dieselfde te maak vir beide werknemers wat via VPN gekoppel is en dié in die kantoor, is die volgende stap geneem.
Wanneer hulle vanaf die kantoor koppel, het gebruikers wat die 802.1x-protokol gebruik, in óf 'n gas-LAN (vir gaste) of 'n gedeelde LAN (vir maatskappywerknemers) beland. Verder, om spesifieke toegang te verkry (byvoorbeeld tot projekte in 'n datasentrum), moes werknemers via VPN koppel.
Om van die kantoor en van die huis af te verbind, is verskillende tonnelgroepe op die ASA gebruik. Dit is nodig sodat vir diegene wat vanaf die kantoor koppel, verkeer na gedeelde hulpbronne (wat deur alle werknemers gebruik word, soos pos, lêerbedieners, kaartjiestelsel, dns, ...) nie deur die ASA gaan nie, maar deur die plaaslike netwerk . Ons het dus nie die ASA met onnodige verkeer gelaai nie, insluitend hoë-intensiteit verkeer.
Sodoende is die probleem opgelos.
Ons het
- dieselfde stel toegange vir beide verbindings vanaf die kantoor en afgeleë verbindings
- afwesigheid van diensdegradasie wanneer daar vanaf die kantoor gewerk word wat verband hou met die oordrag van hoë-intensiteit verkeer deur ASA
Watter ander voordele van hierdie benadering?
In toegangsadministrasie. Toegange kan maklik op een plek verander word.
Byvoorbeeld, as 'n werknemer die maatskappy verlaat, verwyder jy hom eenvoudig van LDAP, en hy verloor outomaties alle toegang.
Gasheer nagaan
Met die moontlikheid van afstandverbinding loop ons die risiko om nie net 'n maatskappywerknemer in die netwerk toe te laat nie, maar ook al die kwaadwillige sagteware wat heel waarskynlik op sy rekenaar (byvoorbeeld tuis) teenwoordig is, en bowendien, deur hierdie sagteware wat ons verskaf moontlik toegang tot ons netwerk aan 'n aanvaller wat hierdie gasheer as 'n instaanbediener gebruik.
Dit maak sin vir 'n gasheer wat op afstand gekoppel is om dieselfde sekuriteitsvereistes as 'n gasheer in die kantoor toe te pas.
Dit veronderstel ook die "korrekte" weergawe van die bedryfstelsel, anti-virus, anti-spioenware, en firewall sagteware en opdaterings. Tipies bestaan hierdie vermoë op die VPN-poort (vir ASA sien bv. ).
Dit is ook wys om dieselfde verkeersontleding en blokkeringstegnieke toe te pas (sien “Hoë vlak van beskerming”) wat jou sekuriteitsbeleid op kantoorverkeer van toepassing is.
Dit is redelik om te aanvaar dat jou kantoornetwerk nie meer beperk is tot die kantoorgebou en die gashere daarin nie.
Voorbeeld
'n Goeie tegniek is om elke werknemer wat afstandtoegang benodig van 'n goeie, gerieflike skootrekenaar te voorsien en vereis dat hulle, beide in die kantoor en van die huis af, net daarvandaan moet werk.
Dit verbeter nie net die sekuriteit van jou netwerk nie, maar dit is ook baie gerieflik en word gewoonlik gunstig deur werknemers beskou (as dit 'n baie goeie, gebruikersvriendelike skootrekenaar is).
Oor 'n sin vir proporsie en balans
Basies is dit 'n gesprek oor die derde hoekpunt van ons driehoek - oor prys.
Kom ons kyk na 'n hipotetiese voorbeeld.
Voorbeeld
Jy het 'n kantoor vir 200 mense. Jy het besluit om dit so gerieflik en so veilig as moontlik te maak.
Daarom het jy besluit om alle verkeer deur die firewall te stuur en dus vir alle kantoorsubnette is die firewall die verstekpoort. Benewens die sekuriteitsagteware wat op elke eindgasheer geïnstalleer is (antivirus-, antispioenasie- en firewallsagteware), het jy ook besluit om alle moontlike beskermingsmetodes op die firewall toe te pas.
Om hoë verbindingspoed te verseker (alles gerieflikheidshalwe), het jy skakelaars met 10 Gigabit toegangpoorte as toegangskakelaars gekies, en hoëprestasie NGFW-brandmure as firewalls, byvoorbeeld Palo Alto 7K-reeks (met 40 Gigabit-poorte), natuurlik met alle lisensies ingesluit en natuurlik 'n Hoë Beskikbaarheid-paar.
Om met hierdie reeks toerusting te werk, het ons ook ten minste 'n paar hoogs gekwalifiseerde sekuriteitsingenieurs nodig.
Vervolgens het jy besluit om elke werknemer 'n goeie skootrekenaar te gee.
Totaal, sowat 10 miljoen dollar vir implementering, honderde duisende dollars (ek dink nader aan 'n miljoen) vir jaarlikse ondersteuning en salarisse vir ingenieurs.
Kantoor, 200 mense...
Gemaklik? Ek dink dit is ja.Jy kom met hierdie voorstel na jou bestuur...
Miskien is daar 'n aantal maatskappye in die wêreld waarvoor dit 'n aanvaarbare en korrekte oplossing is. As jy 'n werknemer van hierdie maatskappy is, my geluk, maar in die oorgrote meerderheid van gevalle is ek seker dat jou kennis nie deur die bestuur waardeer sal word nie.
Is hierdie voorbeeld oordrewe? Die volgende hoofstuk sal hierdie vraag beantwoord.
As jy nie een van die bogenoemde op jou netwerk sien nie, dan is dit die norm.
Vir elke spesifieke geval moet jy jou eie redelike kompromie tussen gerief, prys en veiligheid vind. Dikwels het jy nie eers NGFW in jou kantoor nodig nie, en L7-beskerming op die firewall is nie nodig nie. Dit is genoeg om 'n goeie vlak van sigbaarheid en waarskuwings te verskaf, en dit kan gedoen word deur byvoorbeeld oopbronprodukte te gebruik. Ja, jou reaksie op 'n aanval sal nie onmiddellik wees nie, maar die belangrikste ding is dat jy dit sal sien, en met die regte prosesse in plek in jou departement, sal jy dit vinnig kan neutraliseer.
En laat ek jou herinner dat, volgens die konsep van hierdie reeks artikels, jy nie 'n netwerk ontwerp nie, jy probeer net verbeter wat jy gekry het.
VEILIGE ontleding van kantoorargitektuur
Gee aandag aan hierdie rooi vierkant waarmee ek 'n plek op die diagram toegeken het wat ek graag hier wil bespreek.
Dit is een van die sleutelplekke van argitektuur en een van die belangrikste onsekerhede.
opmerking
Ek het nog nooit FirePower opgestel of daarmee gewerk nie (van Cisco se firewall-lyn - slegs ASA), so ek sal dit soos enige ander firewall, soos Juniper SRX of Palo Alto, behandel, met die veronderstelling dat dit dieselfde vermoëns het.
Van die gewone ontwerpe sien ek slegs 4 moontlike opsies om 'n firewall met hierdie verbinding te gebruik:
- die verstekpoort vir elke subnet is 'n skakelaar, terwyl die firewall in deursigtige modus is (dit wil sê, alle verkeer gaan daardeur, maar dit vorm nie 'n L3-hop nie)
- die verstekpoort vir elke subnet is die firewall sub-koppelvlakke (of SVI-koppelvlakke), die skakelaar speel die rol van L2
- verskillende VRF's word op die skakelaar gebruik, en verkeer tussen VRF's gaan deur die firewall, verkeer binne een VRF word beheer deur die ACL op die skakelaar
- alle verkeer word weerspieël na die firewall vir ontleding en monitering; verkeer gaan nie daardeur nie
Opmerking 1
Kombinasies van hierdie opsies is moontlik, maar vir eenvoud sal ons dit nie oorweeg nie.
Nota 2
Daar is ook die moontlikheid om PBR (dienskettingargitektuur) te gebruik, maar vir nou is dit, hoewel 'n pragtige oplossing na my mening, taamlik eksoties, so ek oorweeg dit nie hier nie.
Uit die beskrywing van die vloei in die dokument, sien ons dat die verkeer steeds deur die firewall gaan, dit wil sê, in ooreenstemming met die Cisco-ontwerp, word die vierde opsie uitgeskakel.
Kom ons kyk eers na die eerste twee opsies.
Met hierdie opsies gaan alle verkeer deur die firewall.
Nou kom ons kyk , kyk en ons sien dat as ons wil hê dat die totale bandwydte vir ons kantoor ten minste rondom 10 - 20 gigabit moet wees, dan moet ons die 4K-weergawe koop.
opmerking
As ek praat oor die totale bandwydte, bedoel ek verkeer tussen subnette (en nie binne een vilana nie).
Uit die GPL sien ons dat vir die HA-bundel met Threat Defense, die prys afhangende van die model (4110 - 4150) wissel van ~0,5 - 2,5 miljoen dollar.
Dit wil sê, ons ontwerp begin soos die vorige voorbeeld lyk.
Beteken dit hierdie ontwerp is verkeerd?
Nee, dit beteken dit nie. Cisco gee jou die beste moontlike beskerming op grond van die produkreeks wat dit het. Maar dit beteken nie dat dit vir jou 'n moet-doen is nie.
In beginsel is dit 'n algemene vraag wat ontstaan wanneer 'n kantoor of datasentrum ontwerp word, en dit beteken net dat 'n kompromie gesoek moet word.
Byvoorbeeld, moenie dat alle verkeer deur die firewall gaan nie, in welke geval opsie 3 vir my redelik goed lyk, of (sien vorige afdeling) miskien het jy nie Threat Defense nodig nie of het jy glad nie 'n firewall nodig daarvoor nie netwerksegment, en jy hoef jouself net te beperk tot passiewe monitering deur betaalde (nie duur nie) of oopbronoplossings te gebruik, of jy benodig 'n firewall, maar van 'n ander verskaffer.
Gewoonlik is daar altyd hierdie onsekerheid en daar is geen duidelike antwoord oor watter besluit die beste vir jou is nie.
Dit is die kompleksiteit en skoonheid van hierdie taak.
Bron: will.com