ProHoster > بلوق > إدارة > كيفية التحكم في البنية التحتية لشبكتك. الفصل الثالث. أمن الشبكة. الجزء الثالث

كيفية التحكم في البنية التحتية لشبكتك. الفصل الثالث. أمن الشبكة. الجزء الثالث

هذه المقالة هي الخامسة في سلسلة "كيفية التحكم في البنية التحتية لشبكتك". يمكن العثور على محتويات جميع المقالات في السلسلة والروابط هنا.

سيتم تخصيص هذا الجزء لقطاعات VPN الخاصة بالحرم الجامعي (المكتب) والوصول عن بعد.

كيفية التحكم في البنية التحتية لشبكتك. الفصل الثالث. أمن الشبكة. الجزء الثالث

قد يبدو تصميم شبكة المكاتب سهلاً.

في الواقع، نحن نأخذ مفاتيح L2/L3 ونوصلها ببعضها البعض. بعد ذلك، نقوم بتنفيذ الإعداد الأساسي للبوابات الافتراضية والبوابات الافتراضية، وإعداد توجيه بسيط، وتوصيل وحدات تحكم WiFi، ونقاط الوصول، وتثبيت ASA وتكوينه للوصول عن بُعد، ويسعدنا أن كل شيء يعمل. في الأساس، كما كتبت بالفعل في واحدة من السابقة مقالات في هذه الدورة، يستطيع كل طالب تقريبًا حضر (وتعلم) فصلين دراسيين من دورة الاتصالات تصميم وتكوين شبكة مكتبية بحيث "تعمل بطريقة ما".

ولكن كلما تعلمت أكثر، كلما بدت هذه المهمة أقل بساطة. بالنسبة لي شخصيا، هذا الموضوع، موضوع تصميم شبكات المكاتب، لا يبدو بسيطا على الإطلاق، وفي هذا المقال سأحاول توضيح السبب.

باختصار، هناك عدد غير قليل من العوامل التي يجب مراعاتها. في كثير من الأحيان، تتعارض هذه العوامل مع بعضها البعض ويجب البحث عن حل وسط معقول.
وعدم اليقين هذا هو الصعوبة الرئيسية. لذا، عند الحديث عن الأمان، لدينا مثلث ذو ثلاث رؤوس: الأمان، والراحة للموظفين، وسعر الحل.
وفي كل مرة يتعين عليك البحث عن حل وسط بين هؤلاء الثلاثة.

هندسة معمارية

كمثال على بنية هذين القطاعين، كما في المقالات السابقة، أوصي سيسكو آمنة نموذج: الحرم الجامعي للمؤسسات, حافة الإنترنت للمؤسسات.

هذه وثائق قديمة إلى حد ما. أقدمها هنا لأن المخططات والنهج الأساسي لم يتغير، ولكن في نفس الوقت أحب العرض أكثر من ذلك وثائق جديدة.

دون تشجيعك على استخدام حلول Cisco، ما زلت أعتقد أنه من المفيد دراسة هذا التصميم بعناية.

هذه المقالة كالعادة لا تتظاهر بالاكتمال بأي حال من الأحوال، بل هي إضافة لهذه المعلومات.

في نهاية المقال، سنقوم بتحليل تصميم مكتب Cisco SAFE من حيث المفاهيم الموضحة هنا.

المبادئ العامة

وبطبيعة الحال، يجب أن يلبي تصميم شبكة المكاتب المتطلبات العامة التي تمت مناقشتها هنا في فصل "معايير تقييم جودة التصميم". إلى جانب السعر والسلامة، الذي نعتزم مناقشته في هذه المقالة، لا تزال هناك ثلاثة معايير يجب أن نأخذها في الاعتبار عند التصميم (أو إجراء التغييرات):

  • قابلية التوسع
  • سهولة الإدارة
  • التوفر

الكثير مما تمت مناقشته مراكز البيانات وهذا ينطبق أيضا على المكتب.

ولكن لا يزال لدى قطاع المكاتب تفاصيله الخاصة، والتي تعتبر بالغة الأهمية من وجهة نظر أمنية. جوهر هذه الخصوصية هو أن هذا القطاع تم إنشاؤه لتوفير خدمات الشبكة لموظفي الشركة (وكذلك الشركاء والضيوف)، ونتيجة لذلك، على أعلى مستوى من النظر في المشكلة، لدينا مهمتان:

  • حماية موارد الشركة من الإجراءات الضارة التي قد تأتي من الموظفين (الضيوف والشركاء) ومن البرامج التي يستخدمونها. يتضمن هذا أيضًا الحماية ضد الاتصال غير المصرح به بالشبكة.
  • حماية الأنظمة وبيانات المستخدم

وهذا ليس سوى جانب واحد من المشكلة (أو بالأحرى أحد رؤوس المثلث). وعلى الجانب الآخر هناك راحة المستخدم وسعر الحلول المستخدمة.

لنبدأ بالنظر إلى ما يتوقعه المستخدم من شبكة المكاتب الحديثة.

وسائل الراحة

إليك ما تبدو عليه "وسائل راحة الشبكة" بالنسبة لمستخدم المكتب في رأيي:

  • تنقلية
  • القدرة على استخدام مجموعة كاملة من الأجهزة وأنظمة التشغيل المألوفة
  • سهولة الوصول إلى جميع موارد الشركة الضرورية
  • توافر موارد الإنترنت، بما في ذلك الخدمات السحابية المختلفة
  • "التشغيل السريع" للشبكة

ينطبق كل هذا على كل من الموظفين والضيوف (أو الشركاء)، وتقع على عاتق مهندسي الشركة مهمة التمييز بين الوصول لمجموعات المستخدمين المختلفة بناءً على الترخيص.

دعونا نلقي نظرة على كل جانب من هذه الجوانب بمزيد من التفصيل.

تنقلية

نحن نتحدث عن فرصة العمل واستخدام جميع موارد الشركة اللازمة من أي مكان في العالم (بالطبع حيث يتوفر الإنترنت).

وهذا ينطبق تماما على المكتب. يعد هذا مناسبًا عندما تتاح لك الفرصة لمواصلة العمل من أي مكان في المكتب، على سبيل المثال، تلقي البريد، والتواصل عبر برنامج مراسلة الشركة، أو أن تكون متاحًا لإجراء مكالمة فيديو، ... وبالتالي، يتيح لك هذا، من ناحية، لحل بعض المشكلات، التواصل "المباشر" (على سبيل المثال، المشاركة في التجمعات)، ومن ناحية أخرى، كن دائمًا متصلاً بالإنترنت، وحافظ على إصبعك على النبض وحل بعض المهام العاجلة ذات الأولوية العالية بسرعة. هذا مريح للغاية ويحسن جودة الاتصالات حقًا.

يتم تحقيق ذلك من خلال التصميم المناسب لشبكة WiFi.

تعليق

هنا يطرح السؤال عادة: هل يكفي استخدام شبكة WiFi فقط؟ هل هذا يعني أنه يمكنك التوقف عن استخدام منافذ Ethernet في المكتب؟ إذا كنا نتحدث فقط عن المستخدمين، وليس عن الخوادم، التي لا تزال معقولة للاتصال بمنفذ إيثرنت عادي، فالإجابة بشكل عام هي: نعم، يمكنك تقييد نفسك بشبكة WiFi فقط. ولكن هناك فروق دقيقة.

هناك مجموعات مستخدمين مهمة تتطلب نهجًا منفصلاً. وهؤلاء بالطبع إداريون. من حيث المبدأ، يكون اتصال WiFi أقل موثوقية (من حيث فقدان حركة المرور) وأبطأ من منفذ Ethernet العادي. يمكن أن يكون هذا مهمًا للمسؤولين. بالإضافة إلى ذلك، يمكن لمسؤولي الشبكات، على سبيل المثال، من حيث المبدأ، أن يكون لديهم شبكة إيثرنت مخصصة خاصة بهم للاتصالات خارج النطاق.

قد تكون هناك مجموعات/أقسام أخرى في شركتك تعتبر هذه العوامل مهمة لها أيضًا.

هناك نقطة أخرى مهمة - الهاتف. ربما لسبب ما لا ترغب في استخدام Wireless VoIP وترغب في استخدام هواتف IP مع اتصال Ethernet عادي.

بشكل عام، الشركات التي عملت بها عادةً ما كان لديها اتصال WiFi ومنفذ Ethernet.

أود ألا يقتصر التنقل على المكتب فقط.

لضمان القدرة على العمل من المنزل (أو أي مكان آخر به إنترنت يمكن الوصول إليه)، يتم استخدام اتصال VPN. وفي الوقت نفسه، من المرغوب فيه ألا يشعر الموظفون بالفرق بين العمل من المنزل والعمل عن بعد، والذي يفترض نفس الوصول. سنناقش كيفية تنظيم ذلك لاحقًا في فصل "نظام المصادقة والترخيص المركزي الموحد".

تعليق

على الأرجح، لن تتمكن من تقديم نفس جودة الخدمات للعمل عن بعد بشكل كامل، والتي لديك في المكتب. لنفترض أنك تستخدم Cisco ASA 5520 كبوابة VPN الخاصة بك ورقة البيانات هذا الجهاز قادر على "هضم" 225 ميجابت فقط من حركة مرور VPN. وهذا، بالطبع، من حيث النطاق الترددي، فإن الاتصال عبر VPN يختلف تمامًا عن العمل من المكتب. أيضًا، إذا كان زمن الوصول أو الخسارة أو الارتعاش، لسبب ما، (على سبيل المثال، إذا كنت تريد استخدام هاتف IP المكتبي) لخدمات الشبكة الخاصة بك كبيرًا، فلن تحصل أيضًا على نفس الجودة كما لو كنت في المكتب. لذلك، عند الحديث عن التنقل، يجب أن نكون على دراية بالقيود المحتملة.

سهولة الوصول إلى جميع موارد الشركة

وينبغي حل هذه المهمة بالاشتراك مع الإدارات الفنية الأخرى.
الوضع المثالي هو عندما يحتاج المستخدم إلى المصادقة مرة واحدة فقط، وبعد ذلك يكون لديه حق الوصول إلى جميع الموارد اللازمة.
إن توفير الوصول السهل دون التضحية بالأمان يمكن أن يؤدي إلى تحسين الإنتاجية بشكل كبير وتقليل التوتر بين زملائك.

ملاحظة 1

لا تقتصر سهولة الوصول على عدد المرات التي يتعين عليك فيها إدخال كلمة المرور فحسب. على سبيل المثال، وفقًا لسياسة الأمان الخاصة بك، من أجل الاتصال من المكتب بمركز البيانات، يجب عليك أولاً الاتصال ببوابة VPN، وفي نفس الوقت تفقد الوصول إلى موارد المكتب، فهذا أيضًا أمر بالغ الأهمية غير مريح للغاية.

ملاحظة 2

هناك خدمات (على سبيل المثال، الوصول إلى معدات الشبكة) حيث يكون لدينا عادةً خوادم AAA المخصصة الخاصة بنا وهذا هو المعيار عندما يتعين علينا في هذه الحالة المصادقة عدة مرات.

توافر موارد الإنترنت

الإنترنت ليس مجرد ترفيه فحسب، بل هو أيضًا مجموعة من الخدمات التي يمكن أن تكون مفيدة جدًا للعمل. هناك أيضًا عوامل نفسية بحتة. يرتبط الإنسان المعاصر بأشخاص آخرين عبر الإنترنت من خلال العديد من المواضيع الافتراضية، وفي رأيي، لا حرج إذا استمر في الشعور بهذا الاتصال حتى أثناء العمل.

من وجهة نظر إضاعة الوقت، فلا حرج إذا كان الموظف، على سبيل المثال، يقوم بتشغيل Skype ويقضي 5 دقائق في التواصل مع أحد أفراد أسرته إذا لزم الأمر.

هل هذا يعني أن الإنترنت يجب أن يكون متاحًا دائمًا، هل يعني ذلك أنه يمكن للموظفين الوصول إلى جميع الموارد وعدم التحكم فيها بأي شكل من الأشكال؟

لا لا يعني ذلك بالطبع. يمكن أن يختلف مستوى انفتاح الإنترنت باختلاف الشركات - من الإغلاق الكامل إلى الانفتاح الكامل. سنناقش طرق التحكم في حركة المرور لاحقًا في الأقسام المتعلقة بالتدابير الأمنية.

القدرة على استخدام مجموعة كاملة من الأجهزة المألوفة

من المناسب، على سبيل المثال، أن تتاح لك الفرصة لمواصلة استخدام جميع وسائل الاتصال التي اعتدت عليها في العمل. لا توجد صعوبة في تنفيذ ذلك من الناحية الفنية. لهذا تحتاج إلى شبكة WiFi ووايلان ضيف.

من الجيد أيضًا أن تتاح لك الفرصة لاستخدام نظام التشغيل الذي اعتدت عليه. ولكن، في ملاحظتي، عادةً ما يُسمح بهذا فقط للمديرين والمسؤولين والمطورين.

مثال

يمكنك بالطبع اتباع مسار المحظورات، وحظر الوصول عن بعد، وحظر الاتصال من الأجهزة المحمولة، وقصر كل شيء على اتصالات إيثرنت الثابتة، وتقييد الوصول إلى الإنترنت، ومصادرة الهواتف المحمولة والأدوات الذكية بشكل إجباري عند نقطة التفتيش... وهذا المسار في الواقع، تتبع بعض المنظمات متطلبات أمنية متزايدة، وربما يكون ذلك مبررًا في بعض الحالات، ولكن... يجب أن توافق على أن هذا يبدو كمحاولة لوقف التقدم في منظمة واحدة. بالطبع، أود الجمع بين الفرص التي توفرها التقنيات الحديثة بمستوى كافٍ من الأمان.

"التشغيل السريع" للشبكة

تتكون سرعة نقل البيانات من الناحية الفنية من عدة عوامل. وعادةً لا تكون سرعة منفذ الاتصال الخاص بك هي الأكثر أهمية. لا يرتبط التشغيل البطيء لأحد التطبيقات دائمًا بمشاكل في الشبكة، ولكن في الوقت الحالي نحن مهتمون فقط بجزء الشبكة. تتعلق المشكلة الأكثر شيوعًا في "تباطؤ" الشبكة المحلية بفقدان الحزمة. يحدث هذا عادةً عند وجود مشاكل في اختناق أو L1 (OSI). وفي حالات نادرة، مع بعض التصميمات (على سبيل المثال، عندما تحتوي شبكاتك الفرعية على جدار حماية باعتباره البوابة الافتراضية وبالتالي تمر كل حركة المرور عبره)، قد يكون أداء الأجهزة منخفضًا.

لذلك، عند اختيار المعدات والهندسة المعمارية، تحتاج إلى ربط سرعات المنافذ النهائية والصناديق وأداء المعدات.

مثال

لنفترض أنك تستخدم محولات ذات منافذ 1 جيجابت كمحولات طبقة وصول. وهي متصلة ببعضها البعض عبر Etherchannel 2 × 10 جيجابت. كبوابة افتراضية، يمكنك استخدام جدار حماية مزود بمنافذ جيجابت، لتوصيلها بشبكة المكتب L2، تستخدم منفذي جيجابت مدمجين في قناة Etherchannel.

هذه البنية ملائمة تمامًا من وجهة نظر وظيفية، لأن... تمر كل حركة المرور عبر جدار الحماية، ويمكنك إدارة سياسات الوصول بشكل مريح، وتطبيق خوارزميات معقدة للتحكم في حركة المرور ومنع الهجمات المحتملة (انظر أدناه)، ولكن من وجهة نظر الإنتاجية والأداء، فإن هذا التصميم، بالطبع، به مشاكل محتملة. لذلك، على سبيل المثال، يمكن لمضيفين يقومان بتنزيل البيانات (بسرعة منفذ تبلغ 2 جيجابت) تحميل اتصال 1 جيجابت بجدار الحماية بالكامل، مما يؤدي إلى تدهور الخدمة لقطاع المكتب بأكمله.

لقد نظرنا إلى أحد رؤوس المثلث، والآن دعونا ننظر في كيفية ضمان الأمن.

العلاجات

لذلك، بالطبع، عادة ما تكون رغبتنا (أو بالأحرى رغبة إدارتنا) هي تحقيق المستحيل، أي توفير أقصى قدر من الراحة مع أقصى قدر من الأمان والحد الأدنى من التكلفة.

دعونا نلقي نظرة على الأساليب التي لدينا لتوفير الحماية.

بالنسبة للمكتب، أود أن أبرز ما يلي:

  • نهج الثقة الصفرية في التصميم
  • مستوى عال من الحماية
  • رؤية الشبكة
  • نظام التوثيق والترخيص المركزي الموحد
  • فحص المضيف

بعد ذلك، سنتناول المزيد من التفاصيل حول كل جانب من هذه الجوانب.

صفر الثقة

عالم تكنولوجيا المعلومات يتغير بسرعة كبيرة. على مدى السنوات العشر الماضية، أدى ظهور تقنيات ومنتجات جديدة إلى مراجعة كبيرة لمفاهيم الأمان. قبل عشر سنوات، من وجهة نظر أمنية، قمنا بتقسيم الشبكة إلى مناطق ثقة، ومناطق منزوعة السلاح، ومناطق عدم ثقة، واستخدمنا ما يسمى بـ "حماية المحيط"، حيث كان هناك خطان للدفاع: عدم الثقة -> dmz وdmz -> يثق. أيضًا، كانت الحماية تقتصر عادةً على قوائم الوصول المستندة إلى رؤوس L10/L2 (OSI) (IP، ومنافذ TCP/UDP، وأعلام TCP). تم ترك كل ما يتعلق بالمستويات الأعلى، بما في ذلك L3، لنظام التشغيل ومنتجات الأمان المثبتة على الأجهزة المضيفة النهائية.

الآن تغير الوضع بشكل كبير. المفهوم الحديث الثقة صفر يأتي من حقيقة أنه لم يعد من الممكن اعتبار الأنظمة الداخلية، أي تلك الموجودة داخل المحيط، موثوقة، وأصبح مفهوم المحيط نفسه غير واضح.
بالإضافة إلى الاتصال بالإنترنت لدينا أيضا

  • مستخدمي VPN الوصول عن بعد
  • أدوات شخصية متنوعة، وأجهزة كمبيوتر محمولة، ومتصلة عبر شبكة WiFi المكتبية
  • المكاتب (الفرعية) الأخرى
  • التكامل مع البنية التحتية السحابية

كيف يبدو نهج الثقة المعدومة في الممارسة العملية؟

من الناحية المثالية، ينبغي السماح فقط بحركة المرور المطلوبة، وإذا كنا نتحدث عن الوضع المثالي، فيجب أن يكون التحكم ليس فقط على مستوى L3/L4، ولكن على مستوى التطبيق.

على سبيل المثال، إذا كان لديك القدرة على تمرير كل حركة المرور عبر جدار الحماية، فيمكنك محاولة الاقتراب من المثالية. لكن هذا الأسلوب يمكن أن يقلل بشكل كبير من إجمالي عرض النطاق الترددي لشبكتك، بالإضافة إلى أن التصفية حسب التطبيق لا تعمل دائمًا بشكل جيد.

عند التحكم في حركة المرور على جهاز توجيه أو محول L3 (باستخدام قوائم ACL القياسية)، تواجه مشكلات أخرى:

  • هذا هو تصفية L3/L4 فقط. لا يوجد ما يمنع المهاجم من استخدام المنافذ المسموح بها (مثل TCP 80) لتطبيقه (وليس http)
  • إدارة ACL المعقدة (يصعب تحليل قوائم ACL)
  • هذا ليس جدار حماية كامل الحالة، مما يعني أنك بحاجة إلى السماح صراحةً بحركة المرور العكسية
  • باستخدام المفاتيح، تكون عادةً مقيدًا بشدة بحجم TCAM، الأمر الذي يمكن أن يصبح مشكلة بسرعة إذا اتبعت نهج "السماح فقط بما تحتاجه"

تعليق

عند الحديث عن حركة المرور العكسية، يجب أن نتذكر أن لدينا الفرصة التالية (سيسكو)

السماح TCP أي أي المنشأة

لكن عليك أن تفهم أن هذا الخط يعادل سطرين:
السماح TCP أي أي ACK
السماح TCP أي أي أول

مما يعني أنه حتى لو لم يكن هناك مقطع TCP أولي مع علامة SYN (أي أن جلسة TCP لم تبدأ حتى في الإنشاء)، فإن قائمة التحكم بالوصول (ACL) هذه ستسمح بحزمة تحمل علامة ACK، والتي يمكن للمهاجم استخدامها لنقل البيانات.

وهذا يعني أن هذا الخط لا يحول بأي حال من الأحوال جهاز التوجيه الخاص بك أو محول L3 إلى جدار حماية كامل الحالة.

مستوى عالي من الحماية

В مقالة في القسم الخاص بمراكز البيانات، نظرنا في طرق الحماية التالية.

  • جدار الحماية ذو الحالة (افتراضي)
  • حماية دوس/دوس
  • جدار الحماية للتطبيق
  • منع التهديدات (مكافحة الفيروسات، ومكافحة برامج التجسس، والضعف)
  • تصفية URL
  • تصفية البيانات (تصفية المحتوى)
  • حظر الملفات (حظر أنواع الملفات)

وفي حالة المكتب، يكون الوضع مشابهًا، لكن الأولويات مختلفة قليلاً. عادةً لا يكون توفر المكتب (التوفر) بالغ الأهمية كما هو الحال في مركز البيانات، في حين أن احتمالية حركة المرور الضارة "الداخلية" أعلى بكثير.
ولذلك فإن طرق الحماية التالية لهذه الشريحة تصبح بالغة الأهمية:

  • جدار الحماية للتطبيق
  • منع التهديدات (مكافحة الفيروسات، ومكافحة برامج التجسس، والضعف)
  • تصفية URL
  • تصفية البيانات (تصفية المحتوى)
  • حظر الملفات (حظر أنواع الملفات)

على الرغم من أن جميع طرق الحماية هذه، باستثناء جدار الحماية للتطبيقات، كانت ولا تزال تُحل تقليديًا على المضيفين النهائيين (على سبيل المثال، عن طريق تثبيت برامج مكافحة الفيروسات) واستخدام الوكلاء، فإن NGFWs الحديثة توفر أيضًا هذه الخدمات.

يسعى بائعو معدات الأمان إلى إنشاء حماية شاملة، لذا، إلى جانب الحماية المحلية، فإنهم يقدمون تقنيات سحابية متنوعة وبرامج عميل للمضيفين (حماية نقطة النهاية/EPP). لذلك، على سبيل المثال، من 2018 جارتنر ماجيك كوادرانت نرى أن Palo Alto وCisco لديهما EPPs خاصتان بهما (PA: Traps، Cisco: AMP)، لكنهما بعيدتان عن الريادة.

إن تمكين وسائل الحماية هذه (عادةً عن طريق شراء التراخيص) على جدار الحماية الخاص بك ليس إلزاميًا بالطبع (يمكنك اتباع المسار التقليدي)، ولكنه يوفر بعض الفوائد:

  • في هذه الحالة، هناك نقطة واحدة لتطبيق أساليب الحماية، مما يحسن الرؤية (راجع الموضوع التالي).
  • إذا كان هناك جهاز غير محمي على شبكتك، فإنه لا يزال يقع تحت "مظلة" حماية جدار الحماية
  • وباستخدام حماية جدار الحماية جنبًا إلى جنب مع حماية المضيف النهائي، فإننا نزيد من احتمالية اكتشاف حركة المرور الضارة. على سبيل المثال، يؤدي استخدام منع التهديدات على المضيفين المحليين وعلى جدار الحماية إلى زيادة احتمالية اكتشافها (شريطة أن تعتمد هذه الحلول بالطبع على منتجات برمجية مختلفة).

تعليق

على سبيل المثال، إذا كنت تستخدم Kaspersky كمضاد للفيروسات سواء على جدار الحماية أو على المضيفين النهائيين، فهذا بالطبع لن يزيد بشكل كبير من فرصك في منع هجوم الفيروس على شبكتك.

رؤية الشبكة

الفكرة المركزية الأمر بسيط - "شاهد" ما يحدث على شبكتك، سواء في الوقت الفعلي أو في البيانات التاريخية.

وأود أن أقسم هذه "الرؤية" إلى مجموعتين:

المجموعة الأولى: ما يوفره لك نظام المراقبة الخاص بك عادةً.

  • تحميل المعدات
  • قنوات التحميل
  • استخدام الذاكرة
  • إستخدام القرص
  • تغيير جدول التوجيه
  • حالة الارتباط
  • توافر المعدات (أو المضيفين)
  • ...

المجموعة الثانية: المعلومات المتعلقة بالسلامة.

  • أنواع مختلفة من الإحصائيات (على سبيل المثال، حسب التطبيق، حسب حركة مرور URL، وأنواع البيانات التي تم تنزيلها، وبيانات المستخدم)
  • ما تم حظره من قبل السياسات الأمنية ولأي سبب، وهي
    • تطبيق محظور
    • محظور على أساس الملكية الفكرية/البروتوكول/المنفذ/الأعلام/المناطق
    • منع التهديد
    • تصفية عنوان url
    • تصفية البيانات
    • حظر الملف
    • ...
  • إحصائيات حول هجمات DOS/DDOS
  • محاولات تحديد الهوية والترخيص الفاشلة
  • إحصائيات لجميع أحداث انتهاك سياسة الأمان المذكورة أعلاه
  • ...

في هذا الفصل الخاص بالأمن، سنهتم بالجزء الثاني.

توفر بعض جدران الحماية الحديثة (من تجربتي في Palo Alto) مستوى جيدًا من الرؤية. ولكن، بالطبع، يجب أن تمر حركة المرور التي تهتم بها عبر جدار الحماية هذا (وفي هذه الحالة لديك القدرة على حظر حركة المرور) أو أن تنعكس على جدار الحماية (يستخدم فقط للمراقبة والتحليل)، ويجب أن يكون لديك تراخيص لتمكين كافة هذه الخدمات .

هناك بالطبع طريقة بديلة أو بالأحرى الطريقة التقليدية مثلا

  • يمكن جمع إحصائيات الجلسة عبر netflow ثم استخدام أدوات مساعدة خاصة لتحليل المعلومات وتصور البيانات
  • منع التهديدات - برامج خاصة (مكافحة الفيروسات، ومكافحة برامج التجسس، وجدار الحماية) على المضيفين النهائيين
  • تصفية عناوين URL، وتصفية البيانات، وحظر الملفات - على الوكيل
  • من الممكن أيضًا تحليل tcpdump باستخدام على سبيل المثال. تذمر

يمكنك الجمع بين هذين النهجين، لاستكمال الميزات المفقودة أو تكرارها لزيادة احتمالية اكتشاف الهجوم.

ما هو النهج الذي يجب أن تختاره؟
يعتمد الأمر بشكل كبير على مؤهلات وتفضيلات فريقك.
هناك وهناك إيجابيات وسلبيات.

نظام التوثيق والترخيص المركزي الموحد

عند التصميم الجيد، فإن التنقل الذي ناقشناه في هذه المقالة يفترض أن لديك نفس الوصول سواء كنت تعمل من المكتب أو من المنزل، أو من المطار، أو من مقهى أو في أي مكان آخر (مع القيود التي ناقشناها أعلاه). يبدو أن ما هي المشكلة؟
لفهم مدى تعقيد هذه المهمة بشكل أفضل، دعونا نلقي نظرة على التصميم النموذجي.

مثال

  • لقد قمت بتقسيم جميع الموظفين إلى مجموعات. لقد قررت توفير الوصول عن طريق المجموعات
  • داخل المكتب، يمكنك التحكم في الوصول عبر جدار الحماية الخاص بالمكتب
  • يمكنك التحكم في حركة المرور من المكتب إلى مركز البيانات على جدار الحماية لمركز البيانات
  • يمكنك استخدام Cisco ASA كبوابة VPN وللتحكم في حركة المرور التي تدخل شبكتك من العملاء البعيدين، يمكنك استخدام قوائم ACL المحلية (في ASA)

الآن، لنفترض أنه تمت مطالبتك بإضافة وصول إضافي إلى موظف معين. في هذه الحالة، سيُطلب منك إضافة حق الوصول إليه فقط وليس لأي شخص آخر من مجموعته.

ولهذا يتعين علينا إنشاء مجموعة منفصلة لهذا الموظف، أي

  • إنشاء تجمع IP منفصل على ASA لهذا الموظف
  • أضف قائمة ACL جديدة على ASA واربطها بهذا العميل البعيد
  • إنشاء سياسات أمنية جديدة على جدران الحماية للمكاتب ومركز البيانات

من الجيد أن يكون هذا الحدث نادرًا. ولكن في ممارستي، كان هناك موقف عندما شارك الموظفون في مشاريع مختلفة، وهذه المجموعة من المشاريع بالنسبة للبعض منهم تغيرت في كثير من الأحيان، ولم يكن هناك 1-2 أشخاص، ولكن العشرات. وبطبيعة الحال، هناك حاجة إلى تغيير شيء هنا.

تم حل هذا بالطريقة التالية.

لقد قررنا أن يكون LDAP هو المصدر الوحيد للحقيقة الذي يحدد جميع عمليات الوصول الممكنة للموظفين. لقد أنشأنا جميع أنواع المجموعات التي تحدد مجموعات الوصول، وقمنا بتعيين كل مستخدم لمجموعة واحدة أو أكثر.

لذا، على سبيل المثال، لنفترض أن هناك مجموعات

  • ضيف (الوصول إلى الإنترنت)
  • الوصول المشترك (الوصول إلى الموارد المشتركة: البريد، قاعدة المعرفة، ...)
  • محاسبة
  • مشروع 1
  • مشروع 2
  • مسؤول قاعدة البيانات
  • مسؤول لينكس
  • ...

وإذا كان أحد الموظفين مشاركًا في كل من المشروع 1 والمشروع 2، وكان يحتاج إلى الوصول اللازم للعمل في هذين المشروعين، فسيتم تعيين هذا الموظف إلى المجموعات التالية:

  • ضيف
  • الوصول المشترك
  • مشروع 1
  • مشروع 2

كيف يمكننا الآن تحويل هذه المعلومات إلى إمكانية الوصول إلى معدات الشبكة؟

سياسة الوصول الديناميكي لـ Cisco ASA (DAP) (انظر www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) الحل مناسب تمامًا لهذه المهمة.

باختصار حول تنفيذنا، أثناء عملية التعريف/الترخيص، تتلقى ASA من LDAP مجموعة من المجموعات المقابلة لمستخدم معين و"تجمع" من عدة قوائم ACL محلية (كل منها تتوافق مع مجموعة) قائمة ACL ديناميكية مع جميع عمليات الوصول الضرورية ، وهو ما يتوافق تمامًا مع رغباتنا.

ولكن هذا مخصص فقط لاتصالات VPN. ولجعل الموقف مماثلاً لكل من الموظفين المتصلين عبر VPN والموظفين الموجودين في المكتب، تم اتخاذ الخطوة التالية.

عند الاتصال من المكتب، ينتهي الأمر بالمستخدمين الذين يستخدمون بروتوكول 802.1x إما في شبكة LAN ضيف (للضيوف) أو شبكة LAN مشتركة (لموظفي الشركة). علاوة على ذلك، للحصول على وصول محدد (على سبيل المثال، إلى المشاريع في مركز البيانات)، كان على الموظفين الاتصال عبر VPN.

للاتصال من المكتب ومن المنزل، تم استخدام مجموعات أنفاق مختلفة في ASA. يعد ذلك ضروريًا بالنسبة لأولئك الذين يتصلون من المكتب، فإن حركة المرور إلى الموارد المشتركة (التي يستخدمها جميع الموظفين، مثل البريد وخوادم الملفات ونظام التذاكر ونظام أسماء النطاقات، ...) لا تمر عبر ASA، ولكن عبر الشبكة المحلية . وبالتالي، لم نقم بتحميل ASA بحركة مرور غير ضرورية، بما في ذلك حركة المرور عالية الكثافة.

وهكذا تم حل المشكلة.
حصلنا

  • نفس مجموعة الوصول لكل من الاتصالات من المكتب والاتصالات عن بعد
  • يرتبط غياب تدهور الخدمة عند العمل من المكتب بنقل حركة المرور عالية الكثافة عبر ASA

ما هي المزايا الأخرى لهذا النهج؟
في إدارة الوصول. يمكن تغيير الوصول بسهولة في مكان واحد.
على سبيل المثال، إذا ترك أحد الموظفين الشركة، فأنت ببساطة تقوم بإزالته من LDAP، وسيفقد كل إمكانية الوصول تلقائيًا.

فحص المضيف

مع إمكانية الاتصال عن بعد، فإننا نخاطر بالسماح ليس فقط لموظف الشركة بالدخول إلى الشبكة، ولكن أيضًا جميع البرامج الضارة التي من المحتمل جدًا أن تكون موجودة على جهاز الكمبيوتر الخاص به (على سبيل المثال، المنزل)، علاوة على ذلك، من خلال هذا البرنامج نحن ربما يوفر الوصول إلى شبكتنا لمهاجم يستخدم هذا المضيف كوكيل.

من المنطقي أن يطبق المضيف المتصل عن بعد نفس متطلبات الأمان التي يطبقها المضيف الموجود في المكتب.

يفترض هذا أيضًا الإصدار "الصحيح" من نظام التشغيل وبرامج مكافحة الفيروسات وبرامج مكافحة التجسس وجدار الحماية والتحديثات. عادة، توجد هذه الإمكانية على بوابة VPN (بالنسبة لـ ASA، راجع، على سبيل المثال، هنا).

ومن الحكمة أيضًا تطبيق نفس تحليل حركة المرور وتقنيات الحظر (راجع "المستوى العالي من الحماية") التي تطبقها سياسة الأمان الخاصة بك على حركة المرور في المكتب.

من المعقول أن نفترض أن شبكة مكتبك لم تعد تقتصر على مبنى المكاتب والمضيفين داخله.

مثال

الأسلوب الجيد هو تزويد كل موظف يحتاج إلى الوصول عن بعد بجهاز كمبيوتر محمول جيد ومريح ومطالبته بالعمل، سواء في المكتب أو من المنزل، منه فقط.

فهو لا يعمل على تحسين أمان شبكتك فحسب، بل إنه أيضًا مريح جدًا وعادةً ما ينظر إليه الموظفون بشكل إيجابي (إذا كان جهاز كمبيوتر محمولًا جيدًا وسهل الاستخدام).

حول الشعور بالتناسب والتوازن

في الأساس، هذه محادثة حول الرأس الثالث لمثلثنا - حول السعر.
دعونا نلقي نظرة على مثال افتراضي.

مثال

لديك مكتب يتسع لـ 200 شخص. لقد قررت أن تجعل الأمر مريحًا وآمنًا قدر الإمكان.

ولذلك، قررت تمرير كل حركة المرور عبر جدار الحماية، وبالتالي فإن جدار الحماية هو البوابة الافتراضية لجميع شبكات المكاتب الفرعية. بالإضافة إلى برنامج الأمان المثبت على كل مضيف نهائي (برنامج مكافحة الفيروسات، ومكافحة برامج التجسس، وجدار الحماية)، فقد قررت أيضًا تطبيق كافة أساليب الحماية الممكنة على جدار الحماية.

لضمان سرعة اتصال عالية (كل ذلك من أجل الراحة)، اخترت محولات ذات 10 منافذ وصول جيجابت كمفاتيح وصول، وجدران حماية NGFW عالية الأداء كجدران حماية، على سبيل المثال، سلسلة Palo Alto 7K (مع 40 منفذ جيجابت)، بشكل طبيعي مع جميع التراخيص متضمن، وبطبيعة الحال، زوج عالي التوفر.

وبطبيعة الحال، للعمل مع هذا الخط من المعدات، نحتاج على الأقل إلى اثنين من مهندسي الأمن المؤهلين تأهيلا عاليا.

بعد ذلك، قررت أن تمنح كل موظف جهاز كمبيوتر محمولًا جيدًا.

المجموع، حوالي 10 ملايين دولار للتنفيذ، ومئات الآلاف من الدولارات (أعتقد أنها أقرب إلى المليون) للدعم السنوي ورواتب المهندسين.

مكتب 200 شخص...
مريح؟ أعتقد أنه نعم.

أتيت بهذا الاقتراح إلى إدارتك...
ربما يوجد عدد من الشركات في العالم يعتبر هذا الحل مقبولًا وصحيحًا لها. إذا كنت موظفًا في هذه الشركة، فتهنئتي، ولكن في الغالبية العظمى من الحالات، أنا متأكد من أن معرفتك لن يتم تقديرها من قبل الإدارة.

هل هذا المثال مبالغ فيه؟ الفصل القادم سوف يجيب على هذا السؤال.

إذا كنت لا ترى أيًا مما سبق على شبكتك، فهذا هو القاعدة.
في كل حالة محددة، تحتاج إلى إيجاد حل وسط معقول بين الراحة والسعر والسلامة. في كثير من الأحيان، لا تحتاج حتى إلى NGFW في مكتبك، كما أن حماية L7 على جدار الحماية غير مطلوبة. ويكفي توفير مستوى جيد من الرؤية والتنبيهات، ويمكن القيام بذلك باستخدام المنتجات مفتوحة المصدر، على سبيل المثال. نعم، لن يكون رد فعلك على الهجوم فوريًا، ولكن الشيء الرئيسي هو أنك ستراه، ومع وجود العمليات الصحيحة في قسمك، ستتمكن من تحييده بسرعة.

واسمحوا لي أن أذكرك أنه وفقًا لمفهوم هذه السلسلة من المقالات، فإنك لا تقوم بتصميم شبكة، بل تحاول فقط تحسين ما حصلت عليه.

التحليل الآمن للهندسة المعمارية المكتبية

انتبه إلى هذا المربع الأحمر الذي خصصت منه مكانًا على الرسم التخطيطي دليل هندسة الحرم الجامعي الآمن والآمنالذي أود مناقشته هنا.

كيفية التحكم في البنية التحتية لشبكتك. الفصل الثالث. أمن الشبكة. الجزء الثالث

هذا هو أحد الأماكن الرئيسية للهندسة المعمارية وواحد من أهم الشكوك.

تعليق

لم أقم مطلقًا بإعداد FirePower أو العمل معه (من خط جدار الحماية الخاص بشركة Cisco - ASA فقط)، لذا سأعامله مثل أي جدار حماية آخر، مثل Juniper SRX أو Palo Alto، على افتراض أنه يتمتع بنفس الإمكانات.

من بين التصاميم المعتادة، أرى فقط 4 خيارات ممكنة لاستخدام جدار الحماية مع هذا الاتصال:

  • البوابة الافتراضية لكل شبكة فرعية عبارة عن محول، بينما يكون جدار الحماية في الوضع الشفاف (أي أن كل حركة المرور تمر عبره، ولكنها لا تشكل قفزة L3)
  • البوابة الافتراضية لكل شبكة فرعية هي الواجهات الفرعية لجدار الحماية (أو واجهات SVI)، ويلعب المحول دور L2
  • يتم استخدام VRFs مختلفة على المحول، وتمر حركة المرور بين VRFs عبر جدار الحماية، ويتم التحكم في حركة المرور داخل VRF واحد بواسطة قائمة التحكم بالوصول (ACL) الموجودة على المحول
  • يتم عكس كل حركة المرور إلى جدار الحماية لتحليلها ومراقبتها، ولا تمر حركة المرور عبره

ملاحظة 1

مجموعات من هذه الخيارات ممكنة، ولكن من أجل البساطة لن نأخذها في الاعتبار.

ملاحظة 2

هناك أيضًا إمكانية استخدام PBR (هندسة سلسلة الخدمة)، ولكن في الوقت الحالي، على الرغم من أن هذا الحل جميل في رأيي، إلا أنه غريب إلى حد ما، لذلك لا أفكر فيه هنا.

من وصف التدفقات في المستند، نرى أن حركة المرور لا تزال تمر عبر جدار الحماية، أي، وفقا لتصميم Cisco، يتم استبعاد الخيار الرابع.

دعونا نلقي نظرة على الخيارين الأولين أولاً.
باستخدام هذه الخيارات، تمر كل حركة المرور عبر جدار الحماية.

الآن ننظر ورقة البيانات، ينظر سيسكو جي بي إل ونحن نرى أنه إذا أردنا أن يكون إجمالي عرض النطاق الترددي لمكتبنا حوالي 10 - 20 جيجابت على الأقل، فيجب علينا شراء الإصدار 4K.

تعليق

عندما أتحدث عن إجمالي عرض النطاق الترددي، أعني حركة المرور بين الشبكات الفرعية (وليس داخل فيلا واحدة).

من GPL نرى أنه بالنسبة لحزمة HA مع الدفاع عن التهديدات، فإن السعر اعتمادًا على الطراز (4110 - 4150) يتراوح من ~0,5 - 2,5 مليون دولار.

أي أن تصميمنا يبدأ يشبه المثال السابق.

هل هذا يعني أن هذا التصميم خاطئ؟
لا، هذا لا يعني ذلك. تمنحك Cisco أفضل حماية ممكنة استنادًا إلى خط الإنتاج الموجود لديها. ولكن هذا لا يعني أنه أمر لا بد منه بالنسبة لك.

من حيث المبدأ، هذا سؤال شائع يطرح عند تصميم مكتب أو مركز بيانات، ويعني فقط ضرورة البحث عن حل وسط.

على سبيل المثال، لا تدع كل حركة المرور تمر عبر جدار الحماية، وفي هذه الحالة يبدو الخيار 3 جيدًا جدًا بالنسبة لي، أو (راجع القسم السابق) ربما لا تحتاج إلى الدفاع عن التهديدات أو لا تحتاج إلى جدار حماية على الإطلاق في هذا الشأن قطاع الشبكة، وتحتاج فقط إلى الحد من المراقبة السلبية باستخدام الحلول المدفوعة (غير باهظة الثمن) أو مفتوحة المصدر، أو تحتاج إلى جدار حماية، ولكن من بائع مختلف.

عادةً ما يكون هناك دائمًا عدم اليقين هذا ولا توجد إجابة واضحة حول القرار الأفضل بالنسبة لك.
هذا هو تعقيد وجمال هذه المهمة.

المصدر: www.habr.com

إضافة تعليق