ProHoster > Blog > İdarə > Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. Birinci hissə

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. Birinci hissə

Bu məqalə “Şəbəkə İnfrastrukturunuza Necə Nəzarət Edin” məqalələr silsiləsində üçüncüdür. Serialdakı bütün məqalələrin məzmunu və keçidləri ilə tanış ola bilərsiniz burada.

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. Birinci hissə

Təhlükəsizlik risklərinin tamamilə aradan qaldırılmasından danışmağın mənası yoxdur. Prinsipcə, biz onları sıfıra endirə bilmərik. Biz həmçinin başa düşməliyik ki, biz şəbəkəni getdikcə daha təhlükəsiz etməyə çalışdıqca, həllərimiz getdikcə daha da bahalaşır. Şəbəkəniz üçün məna kəsb edən xərc, mürəkkəblik və təhlükəsizlik arasında mübadilə tapmalısınız.

Əlbəttə ki, təhlükəsizlik dizaynı ümumi arxitekturaya üzvi şəkildə inteqrasiya olunur və istifadə olunan təhlükəsizlik həlləri şəbəkə infrastrukturunun miqyasına, etibarlılığına, idarə oluna bilməsinə, ... təsir göstərir ki, bu da nəzərə alınmalıdır.

Ancaq xatırlatmaq istəyirəm ki, indi biz şəbəkə yaratmaqdan danışmırıq. Bizim fikrimizcə ilkin şərtlər biz artıq dizaynı seçmişik, avadanlığı seçmişik və infrastrukturu yaratmışıq və bu mərhələdə, mümkünsə, əvvəllər seçilmiş yanaşma kontekstində “yaşamalı” və həllər tapmalıyıq.

İndi bizim vəzifəmiz şəbəkə səviyyəsində təhlükəsizliklə bağlı riskləri müəyyən etmək və onları ağlabatan səviyyəyə endirməkdir.

Şəbəkə təhlükəsizliyi auditi

Əgər təşkilatınız ISO 27k proseslərini həyata keçiribsə, o zaman təhlükəsizlik auditləri və şəbəkə dəyişiklikləri bu yanaşma çərçivəsində ümumi proseslərə mükəmməl uyğunlaşmalıdır. Amma bu standartlar hələ də konkret həllər haqqında deyil, konfiqurasiya haqqında deyil, dizaynla bağlı deyil... Heç bir dəqiq məsləhət, şəbəkənizin necə olmasını təfərrüatı ilə diktə edən standartlar yoxdur, bu işin mürəkkəbliyi və gözəlliyidir.

Mən bir neçə mümkün şəbəkə təhlükəsizliyi auditini qeyd edərdim:

  • avadanlıq konfiqurasiya auditi (bərkləşdirmə)
  • təhlükəsizlik dizayn auditi
  • giriş auditi
  • proses auditi

Avadanlıq konfiqurasiya auditi (bərkləşdirmə)

Görünür, əksər hallarda bu, şəbəkənizin təhlükəsizliyini yoxlamaq və təkmilləşdirmək üçün ən yaxşı başlanğıc nöqtəsidir. IMHO, bu Pareto qanununun yaxşı nümayişidir (20% səy nəticənin 80% -ni, qalan 80% səy isə nəticənin yalnız 20% -ni verir).

Nəticə odur ki, biz adətən təchizatçılardan avadanlıqları konfiqurasiya edərkən təhlükəsizlik üçün “ən yaxşı təcrübələr”lə bağlı tövsiyələrimiz olur. Buna "bərkləşmə" deyilir.

Siz həmçinin tez-tez bu tövsiyələrə əsasən anket tapa bilərsiniz (və ya özünüz yarada bilərsiniz), bu, avadanlıqınızın konfiqurasiyasının bu "ən yaxşı təcrübələrə" nə dərəcədə uyğun olduğunu müəyyən etməyə və nəticəyə uyğun olaraq şəbəkənizdə dəyişikliklər etməyə kömək edəcək. . Bu, praktiki olaraq heç bir xərc çəkmədən təhlükəsizlik risklərini olduqca asanlıqla azaltmağa imkan verəcək.

Bəzi Cisco əməliyyat sistemləri üçün bir neçə nümunə.

Cisco IOS Konfiqurasiyasının Sərtləşdirilməsi
Cisco IOS-XR Konfiqurasiyasının Sərtləşdirilməsi
Cisco NX-OS Konfiqurasiyasının Sərtləşdirilməsi
Cisco Baseline Təhlükəsizlik Yoxlama Siyahısı

Bu sənədlər əsasında hər bir avadanlıq növü üçün konfiqurasiya tələblərinin siyahısı yaradıla bilər. Məsələn, Cisco N7K VDC üçün bu tələblər belə görünə bilər belə.

Bu yolla, şəbəkə infrastrukturunuzda müxtəlif növ aktiv avadanlıqlar üçün konfiqurasiya faylları yaradıla bilər. Sonra, əl ilə və ya avtomatlaşdırmadan istifadə edərək, bu konfiqurasiya fayllarını "yükləyə" bilərsiniz. Bu prosesin necə avtomatlaşdırılması orkestrləşdirmə və avtomatlaşdırma ilə bağlı başqa məqalələr seriyasında ətraflı müzakirə olunacaq.

Təhlükəsizlik dizayn auditi

Tipik olaraq, müəssisə şəbəkəsi bu və ya digər formada aşağıdakı seqmentləri ehtiva edir:

  • DC (İctimai xidmətlər DMZ və Intranet məlumat mərkəzi)
  • İnternet
  • Uzaqdan giriş VPN
  • WAN kənarı
  • Filial
  • Kampus (Ofis)
  • Özək

Başlıqlar götürülmüşdür Cisco SAFE model, lakin bu adlara və bu modelə dəqiq bağlı olmaq lazım deyil, əlbəttə. Yenə də mən mahiyyəti haqqında danışmaq və formallıqlara qapılmamaq istəyirəm.

Bu seqmentlərin hər biri üçün təhlükəsizlik tələbləri, risklər və müvafiq olaraq həll yolları fərqli olacaq.

Təhlükəsizlik dizaynı baxımından qarşılaşa biləcəyiniz problemlər üçün onların hər birinə ayrıca baxaq. Əlbətdə ki, bir daha təkrar edirəm ki, bu məqalə heç bir şəkildə özünü tamamlanmış kimi göstərmir, bu, həqiqətən də dərin və çoxşaxəli mövzuda əldə etmək asan (mümkün olmasa da) deyil, amma mənim şəxsi təcrübəmi əks etdirir.

Mükəmməl bir həll yoxdur (ən azı hələ). Həmişə bir kompromisdir. Ancaq bu və ya digər yanaşmadan istifadə etmək qərarının şüurlu şəkildə, həm müsbət, həm də mənfi tərəflərini başa düşərək qəbul edilməsi vacibdir.

Məlumat Mərkəzi

Təhlükəsizlik baxımından ən kritik seqment.
Həmişə olduğu kimi, burada da universal həll yoxdur. Hamısı şəbəkə tələblərindən çox asılıdır.

Firewall lazımdır, ya yox?

Cavabın aydın olduğu görünür, amma hər şey göründüyü qədər aydın deyil. Seçiminizə nəinki təsir edə bilərsiniz qiymət.

Məsələn 1. Gecikmələr.

Əgər aşağı gecikmə bəzi şəbəkə seqmentləri arasında mühüm tələbdirsə, məsələn, mübadilə zamanı doğrudur, onda biz bu seqmentlər arasında firewalllardan istifadə edə bilməyəcəyik. Firewalllarda gecikmə ilə bağlı araşdırmalar tapmaq çətindir, lakin bir neçə keçid modeli 1 mksec-dən az və ya daha az gecikmə təmin edə bilər, ona görə də düşünürəm ki, əgər mikrosaniyələr sizin üçün vacibdirsə, o zaman firewalllar sizin üçün deyil.

Məsələn 2. Performans.

Üst L3 açarlarının ötürmə qabiliyyəti adətən ən güclü firewallların ötürmə qabiliyyətindən daha yüksəkdir. Buna görə də, yüksək intensivlikli trafik vəziyyətində, çox güman ki, bu trafikin firewallları keçməsinə icazə verməli olacaqsınız.

Məsələn 3. Etibarlılıq.

Firewalllar, xüsusilə müasir NGFW (Next-Generation FW) mürəkkəb cihazlardır. Onlar L3/L2 açarlarından daha mürəkkəbdir. Çox sayda xidmət və konfiqurasiya variantları təqdim edirlər, buna görə də onların etibarlılığının daha aşağı olması təəccüblü deyil. Şəbəkə üçün xidmətin davamlılığı vacibdirsə, onda siz daha yaxşı əlçatanlığa nəyin səbəb olacağını seçməli ola bilərsiniz - təhlükəsizlik divarı ilə təhlükəsizlik və ya adi ACL-lərdən istifadə edən açarlar (və ya müxtəlif növ parçalar) üzərində qurulmuş şəbəkənin sadəliyi.

Yuxarıdakı nümunələrdə, çox güman ki, (hər zamankı kimi) bir kompromis tapmalı olacaqsınız. Aşağıdakı həll yollarına baxın:

  • məlumat mərkəzi daxilində firewalllardan istifadə etməmək qərarına gəlsəniz, o zaman perimetr ətrafında girişi mümkün qədər məhdudlaşdırmaq barədə düşünməlisiniz. Məsələn, İnternetdən yalnız lazımi portları aça bilərsiniz (müştəri trafiki üçün) və məlumat mərkəzinə yalnız keçid hostlarından inzibati giriş. Atlama hostlarında bütün lazımi yoxlamaları yerinə yetirin (identifikasiya/avtorizasiya, antivirus, giriş, ...)
  • PSEFABRIC-də təsvir edilən sxemə bənzər seqmentlərə məlumat mərkəzi şəbəkəsinin məntiqi bölməsindən istifadə edə bilərsiniz. misal p002. Bu halda, marşrutlaşdırma elə konfiqurasiya edilməlidir ki, gecikməyə həssas və ya yüksək intensivlikli trafik bir seqmentin “daxili”nə keçsin (p002, VRF halda) və firewalldan keçməsin. Fərqli seqmentlər arasında trafik təhlükəsizlik divarından keçməyə davam edəcək. Siz həmçinin təhlükəsizlik duvarı vasitəsilə trafikin yönləndirilməsinin qarşısını almaq üçün VRF-lər arasında sızan marşrutdan istifadə edə bilərsiniz
  • Siz həmçinin şəffaf rejimdə və yalnız bu amillərin (gecikmə/performans) əhəmiyyətli olmadığı VLAN-lar üçün firewalldan istifadə edə bilərsiniz. Ancaq hər bir satıcı üçün bu modun istifadəsi ilə bağlı məhdudiyyətləri diqqətlə öyrənməlisiniz
  • xidmət zənciri arxitekturasından istifadə etməyi düşünə bilərsiniz. Bu, yalnız lazımi trafikin firewalldan keçməsinə imkan verəcəkdir. Nəzəri cəhətdən gözəl görünür, amma istehsalda bu həlli heç vaxt görməmişəm. Biz təxminən 5 il əvvəl Cisco ACI/Juniper SRX/F3 LTM üçün xidmət zəncirini sınaqdan keçirdik, lakin o zaman bu həll bizə “xam” görünürdü.

Müdafiə səviyyəsi

İndi siz trafiki süzmək üçün hansı vasitələrdən istifadə etmək istədiyiniz sualına cavab verməlisiniz. NGFW-də adətən mövcud olan bəzi xüsusiyyətlər bunlardır (məsələn, burada):

  • dövlət təhlükəsizlik divarı (defolt)
  • proqram firewalling
  • təhlükənin qarşısının alınması (antivirus, anti-casus proqram və zəiflik)
  • URL filtrlənməsi
  • məlumatların filtrasiyası (məzmun filtri)
  • faylın bloklanması (fayl növlərinin bloklanması)
  • müdafiə edir

Həm də hər şey aydın deyil. Görünür ki, qorunma səviyyəsi nə qədər yüksək olsa, bir o qədər yaxşıdır. Ancaq bunu da nəzərə almaq lazımdır

  • Yuxarıdakı firewall funksiyalarından nə qədər çox istifadə etsəniz, təbii olaraq bir o qədər bahalı olacaq (lisenziyalar, əlavə modullar)
  • bəzi alqoritmlərin istifadəsi firewall ötürmə qabiliyyətini əhəmiyyətli dərəcədə azalda bilər və həmçinin gecikmələri artıra bilər, məsələn bax burada
  • Hər hansı bir kompleks həll kimi, kompleks qorunma üsullarının istifadəsi həllinizin etibarlılığını azalda bilər, məsələn, proqram təhlükəsizlik divarından istifadə edərkən, bəzi olduqca standart işləyən proqramların (dns, smb) bloklanması ilə qarşılaşdım.

Həmişə olduğu kimi, şəbəkəniz üçün ən yaxşı həlli tapmalısınız.

Hansı mühafizə funksiyalarının tələb oluna biləcəyi sualına qəti cavab vermək mümkün deyil. Birincisi, çünki bu, əlbəttə ki, ötürdüyünüz və ya saxladığınız və qorumağa çalışdığınız məlumatlardan asılıdır. İkincisi, reallıqda çox vaxt təhlükəsizlik vasitələrinin seçimi satıcıya inam və etibar məsələsidir. Siz alqoritmləri bilmirsiniz, onların nə qədər effektiv olduğunu bilmirsiniz və onları tam sınaqdan keçirə bilmirsiniz.

Buna görə də, kritik seqmentlərdə müxtəlif şirkətlərin təkliflərindən istifadə etmək yaxşı həll yolu ola bilər. Məsələn, siz firewallda antivirusu aktivləşdirə bilərsiniz, həm də hostlarda yerli olaraq antivirus qorunmasından (başqa istehsalçıdan) istifadə edə bilərsiniz.

Seqmentasiya

Söhbət verilənlər mərkəzi şəbəkəsinin məntiqi seqmentasiyasından gedir. Məsələn, VLAN-lara və alt şəbəkələrə bölmək də məntiqi seqmentasiyadır, lakin biz bunu aşkarlığına görə nəzərdən keçirməyəcəyik. FW təhlükəsizlik zonaları, VRF-lər (və onların müxtəlif təchizatçılara münasibətdə analoqları), məntiqi qurğular (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ... kimi obyektləri nəzərə alaraq maraqlı seqmentləşdirmə.

Bu cür məntiqi seqmentləşdirmə və hazırda tələb olunan məlumat mərkəzi dizaynının nümunəsi verilmişdir PSEFABRIC layihəsinin p002.

Şəbəkənizin məntiqi hissələrini müəyyən etdikdən sonra siz trafikin müxtəlif seqmentlər arasında necə hərəkət etdiyini, hansı cihazlarda filtrasiyanın həyata keçiriləcəyini və hansı vasitələrlə təsvir edə bilərsiniz.

Şəbəkənizdə aydın məntiqi bölmə yoxdursa və müxtəlif məlumat axınları üçün təhlükəsizlik siyasətlərinin tətbiqi qaydaları rəsmiləşdirilməyibsə, bu o deməkdir ki, siz bu və ya digər girişi açdığınız zaman bu problemi həll etmək məcburiyyətində qalırsınız və yüksək ehtimalla hər dəfə fərqli şəkildə həll edəcək.

Çox vaxt seqmentləşdirmə yalnız FW təhlükəsizlik zonalarına əsaslanır. Sonra aşağıdakı suallara cavab verməlisiniz:

  • hansı təhlükəsizlik zonalarına ehtiyacınız var
  • bu zonaların hər birinə hansı səviyyədə müdafiə tətbiq etmək istəyirsiniz
  • defolt olaraq zonadaxili trafikə icazə veriləcəkmi?
  • deyilsə, hər zonada hansı trafik filtrləmə siyasəti tətbiq olunacaq
  • hər bir zona cütü (mənbə/təyinat) üçün hansı trafik filtrləmə siyasətləri tətbiq olunacaq

TCAM

Ümumi problem həm marşrutlaşdırma, həm də giriş üçün kifayət qədər TCAM (Üçlü Məzmun Ünvanlı Yaddaş) olmamasıdır. IMHO, bu, avadanlıq seçərkən ən vacib məsələlərdən biridir, buna görə də bu məsələyə müvafiq qayğı ilə yanaşmaq lazımdır.

Misal 1. Yönləndirmə Cədvəli TCAM.

Nəzərdən keçirək Palo Alto 7k firewall
IPv4 yönləndirmə cədvəlinin ölçüsünün* = 32K olduğunu görürük
Üstəlik, bu sayda marşrutlar bütün VSYS-lər üçün ümumidir.

Tutaq ki, dizaynınıza görə siz 4 VSYS-dən istifadə etməyə qərar verdiniz.
Bu VSYS-lərin hər biri BGP vasitəsilə BB kimi istifadə etdiyiniz buludun iki MPLS PE-sinə qoşulur. Beləliklə, 4 VSYS bütün xüsusi marşrutları bir-biri ilə mübadilə edir və təxminən eyni marşrut dəstləri (lakin fərqli NH-lər) ilə bir yönləndirmə cədvəlinə malikdir. Çünki hər bir VSYS-də 2 BGP seansı (eyni parametrlərlə), sonra MPLS vasitəsilə qəbul edilən hər marşrutda 2 NH və müvafiq olaraq Yönləndirmə Cədvəlində 2 FIB girişi var. Əgər bunun data mərkəzində yeganə firewall olduğunu və onun bütün marşrutlar haqqında bilməli olduğunu fərz etsək, bu, məlumat mərkəzimizdəki marşrutların ümumi sayının 32K/(4 * 2) = 4K-dan çox ola bilməyəcəyi anlamına gələcək.

İndi, 2 məlumat mərkəzimiz olduğunu (eyni dizaynla) qəbul etsək və məlumat mərkəzləri arasında "uzanmış" VLAN-lardan istifadə etmək istəyiriksə (məsələn, vMotion üçün), onda marşrutlaşdırma problemini həll etmək üçün host marşrutlarından istifadə etməliyik. . Ancaq bu o deməkdir ki, 2 məlumat mərkəzi üçün 4096-dan çox mümkün hostumuz olmayacaq və əlbəttə ki, bu kifayət etməyə bilər.

Misal 2. ACL TCAM.

L3 açarlarında (və ya L3 açarlarından istifadə edən digər həllərdə, məsələn, Cisco ACI) trafiki filtrləməyi planlaşdırırsınızsa, avadanlıq seçərkən TCAM ACL-ə diqqət yetirməlisiniz.

Tutaq ki, siz Cisco Catalyst 4500-ün SVI interfeyslərinə girişi idarə etmək istəyirsiniz. Sonra, buradan göründüyü kimi bu yazı, interfeyslərdə gedən (həmçinin daxil olan) trafikə nəzarət etmək üçün yalnız 4096 TCAM xəttindən istifadə edə bilərsiniz. Hansı ki, TCAM3 istifadə edərkən sizə təxminən 4000 min ACE (ACL xətləri) verəcəkdir.

Əgər qeyri-kafi TCAM problemi ilə qarşılaşırsınızsa, o zaman, ilk növbədə, əlbəttə ki, optimallaşdırma imkanlarını nəzərdən keçirməlisiniz. Beləliklə, Yönləndirmə Cədvəlinin ölçüsü ilə bağlı problem yaranarsa, marşrutları toplamaq imkanını nəzərdən keçirməlisiniz. Girişlər, audit girişləri üçün TCAM ölçüsü ilə bağlı problem yaranarsa, köhnəlmiş və üst-üstə düşən qeydləri silin və ola bilsin ki, girişlərin açılması prosedurunu yenidən nəzərdən keçirin (girişlərin auditi bölməsində ətraflı müzakirə olunacaq).

Yüksək mövcudluğu

Sual budur: firewall üçün HA-dan istifadə etməliyəm və ya iki müstəqil qutunu “paralel” quraşdırmalıyam və onlardan biri uğursuz olarsa, trafiki ikincidən keçirməliyəm?

Cavabın aydın olduğu görünür - HA istifadə edin. Bu sualın hələ də ortaya çıxmasının səbəbi, təəssüf ki, nəzəri və reklam 99 və praktikada əlçatanlığın bir neçə onluq faizlərinin o qədər də çəhrayı olmadığı ortaya çıxır. HA məntiqi olaraq olduqca mürəkkəb bir şeydir və müxtəlif avadanlıqlarda və müxtəlif satıcılarla (istisnalar yox idi) biz problemlər və səhvlər və xidmət dayanmalarını tutduq.

HA-dan istifadə etsəniz, fərdi qovşaqları söndürmək, xidməti dayandırmadan onlar arasında keçid etmək imkanınız olacaq, bu, məsələn, təkmilləşdirmələr edərkən vacibdir, lakin eyni zamanda hər iki qovşağın işləməməsi ehtimalı sıfırdan çox deyil. eyni vaxtda pozulacaq və həmçinin növbəti yeniləmə satıcının vəd etdiyi kimi rəvan getməyəcək (yeniləməni laboratoriya avadanlıqlarında yoxlamaq imkanınız varsa, bu problemdən qaçınmaq olar).

Əgər siz HA-dan istifadə etmirsinizsə, o zaman ikiqat uğursuzluq nöqteyi-nəzərindən riskləriniz xeyli aşağıdır (çünki sizdə 2 müstəqil firewall var), lakin... seanslar sinxronlaşdırılmır, onda bu firewalllar arasında hər dəfə keçid etdikdə siz trafik itirəcəksiniz. Siz, əlbəttə ki, vətəndaşlığı olmayan təhlükəsizlik divarından istifadə edə bilərsiniz, lakin sonra bir firewall istifadə nöqtəsi əsasən itirilir.

Buna görə də, əgər audit nəticəsində tənha təhlükəsizlik divarları aşkar etmisinizsə və şəbəkənizin etibarlılığını artırmaq barədə düşünürsünüzsə, HA, əlbəttə ki, tövsiyə olunan həllərdən biridir, lakin bununla əlaqədar çatışmazlıqları da nəzərə almalısınız. bu yanaşma ilə və bəlkə də xüsusi olaraq şəbəkəniz üçün başqa bir həll daha uyğun olardı.

İdarəetmə qabiliyyəti

Prinsipcə, HA həm də idarə oluna bilənliyə aiddir. 2 qutunu ayrıca konfiqurasiya etmək və konfiqurasiyaları sinxronlaşdırmaq problemi ilə məşğul olmaq əvəzinə, siz onları bir cihazınız kimi idarə edirsiniz.

Ancaq bəlkə də bir çox məlumat mərkəziniz və bir çox firewallınız var, onda bu sual yeni səviyyədə yaranır. Və sual yalnız konfiqurasiya ilə bağlı deyil, həm də haqqındadır

  • ehtiyat konfiqurasiyaları
  • yeniləmələr
  • təkmilləşdirmələr
  • monitorinq
  • giriş

Bütün bunları isə mərkəzləşdirilmiş idarəetmə sistemləri həll edə bilər.

Beləliklə, məsələn, Palo Alto firewalllarından istifadə edirsinizsə, o zaman panorama belə bir həlldir.

Davam etmək.

Mənbə: www.habr.com

Добавить комментарий