ProHoster > Blog > İdarə > Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. Üçüncü hissə

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. Üçüncü hissə

Bu məqalə “Şəbəkə İnfrastrukturunuza Necə Nəzarət Edin” seriyasının beşincisidir. Serialdakı bütün məqalələrin məzmunu və keçidləri ilə tanış ola bilərsiniz burada.

Bu hissə Kampus (Ofis) və Uzaqdan giriş VPN seqmentlərinə həsr olunacaq.

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. Üçüncü hissə

Ofis şəbəkəsinin dizaynı asan görünə bilər.

Həqiqətən, biz L2 / L3 açarlarını götürürük və onları bir-birinə bağlayırıq. Bundan sonra, biz vilanların və standart şlüzlərin əsas quraşdırılmasını həyata keçiririk, sadə marşrutlaşdırma qururuq, WiFi nəzarətçiləri, giriş nöqtələrini birləşdirir, uzaqdan giriş üçün ASA quraşdırırıq və konfiqurasiya edirik, hər şeyin işlədiyinə şadıq. Əsasən, əvvəlkilərdən birində yazdığım kimi məqalələr Bu dövrədə telekommunikasiya kursunun iki semestrində iştirak etmiş (və öyrənmiş) demək olar ki, hər bir tələbə ofis şəbəkəsini “birtəhər işləyəcək” şəkildə dizayn edə və konfiqurasiya edə bilər.

Ancaq nə qədər çox öyrənsən, bu tapşırıq bir o qədər sadə görünməyə başlayır. Şəxsən mənim üçün bu mövzu, ofis şəbəkəsinin dizaynı mövzusu heç də sadə görünmür və bu yazıda bunun səbəbini izah etməyə çalışacağam.

Bir sözlə, nəzərə alınmalı bir neçə amil var. Çox vaxt bu amillər bir-biri ilə ziddiyyət təşkil edir və ağlabatan bir kompromis axtarmaq lazımdır.
Bu qeyri-müəyyənlik əsas çətinlikdir. Beləliklə, təhlükəsizlik haqqında danışarkən, üç təpədən ibarət üçbucaq var: təhlükəsizlik, işçilər üçün rahatlıq, həllin qiyməti.
Və hər dəfə bu üçü arasında bir kompromis axtarmaq lazımdır.

memarlıq

Bu iki seqment üçün bir memarlıq nümunəsi olaraq, əvvəlki məqalələrdə olduğu kimi, tövsiyə edirəm Cisco SAFE model: Müəssisə Kampusu, Enterprise Internet Edge.

Bunlar bir qədər köhnəlmiş sənədlərdir. Onları burada ona görə təqdim edirəm ki, fundamental sxemlər və yanaşma dəyişməyib, amma eyni zamanda təqdimatı əvvəlkindən daha çox bəyənirəm. yeni sənədlər.

Sizi Cisco həllərindən istifadə etməyə təşviq etmədən, yenə də bu dizaynı diqqətlə öyrənməyin faydalı olduğunu düşünürəm.

Bu məqalə, həmişə olduğu kimi, heç bir şəkildə tam olduğunu iddia etmir, əksinə bu məlumatlara əlavədir.

Məqalənin sonunda biz burada qeyd olunan anlayışlar baxımından Cisco SAFE ofis dizaynını təhlil edəcəyik.

Ümumi prinsiplər

Ofis şəbəkəsinin dizaynı, əlbəttə ki, müzakirə olunan ümumi tələblərə cavab verməlidir burada “Dizayn keyfiyyətinin qiymətləndirilməsi meyarları” bölməsində. Bu məqalədə müzakirə etmək niyyətində olduğumuz qiymət və təhlükəsizliklə yanaşı, dizayn edərkən (və ya dəyişiklik edərkən) nəzərə almalı olduğumuz üç meyar var:

  • miqyaslılıq
  • idarəetmə asanlığı
  • mövcudluğu

Çox şey üçün müzakirə edildi məlumat mərkəzləri Bu, ofis üçün də keçərlidir.

Ancaq yenə də ofis seqmentinin təhlükəsizlik baxımından vacib olan öz xüsusiyyətləri var. Bu spesifikliyin mahiyyəti ondan ibarətdir ki, bu seqment şirkətin işçilərinə (həmçinin tərəfdaşlara və qonaqlara) şəbəkə xidmətləri göstərmək üçün yaradılıb və nəticədə problemin ən yüksək səviyyədə nəzərdən keçirilməsində qarşımızda iki vəzifə var:

  • şirkət resurslarını işçilərdən (qonaqlar, tərəfdaşlar) və onların istifadə etdiyi proqram təminatından gələ biləcək zərərli hərəkətlərdən qorumaq. Bu, həmçinin şəbəkəyə icazəsiz qoşulmadan qorunma da daxildir.
  • sistemləri və istifadəçi məlumatlarını qorumaq

Və bu, problemin yalnız bir tərəfidir (daha doğrusu, üçbucağın bir təpəsi). Digər tərəfdən, istifadəçinin rahatlığı və istifadə olunan həllərin qiyməti.

İstifadəçinin müasir ofis şəbəkəsindən nə gözlədiyinə baxaraq başlayaq.

Rahatlıq

Fikrimcə, ofis istifadəçisi üçün “şəbəkə şəraiti” necə görünür:

  • Mobillik
  • Tanış cihazların və əməliyyat sistemlərinin tam çeşidindən istifadə etmək bacarığı
  • Bütün lazımi şirkət resurslarına asan giriş
  • İnternet resurslarının, o cümlədən müxtəlif bulud xidmətlərinin mövcudluğu
  • Şəbəkənin "sürətli işləməsi"

Bütün bunlar həm işçilərə, həm də qonaqlara (və ya tərəfdaşlara) aiddir və avtorizasiya əsasında müxtəlif istifadəçi qrupları üçün girişi fərqləndirmək şirkət mühəndislərinin vəzifəsidir.

Bu aspektlərin hər birinə bir az daha ətraflı baxaq.

Mobillik

Söhbət dünyanın istənilən yerindən (təbii ki, internetin mövcud olduğu yerdə) işləmək və bütün lazımi şirkət resurslarından istifadə etmək imkanından gedir.

Bu tamamilə ofisə aiddir. Bu, ofisin istənilən yerindən işləməyə davam etmək imkanınız olduqda rahatdır, məsələn, məktub qəbul etmək, korporativ messencerdə ünsiyyət qurmaq, video zəng üçün əlçatan olmaq, ... Beləliklə, bu, bir tərəfdən, bəzi problemləri həll etmək üçün "canlı" ünsiyyət (məsələn, mitinqlərdə iştirak etmək) və digər tərəfdən, həmişə onlayn olun, barmağınızı nəbzdə saxlayın və bəzi təcili yüksək prioritet vəzifələri tez həll edin. Bu, çox rahatdır və həqiqətən də rabitənin keyfiyyətini artırır.

Bu, düzgün WiFi şəbəkə dizaynı ilə əldə edilir.

Qeyd:

Burada adətən sual yaranır: yalnız WiFi-dən istifadə etmək kifayətdirmi? Bu, ofisdə Ethernet portlarından istifadəni dayandıra biləcəyiniz deməkdirmi? Əgər adi Ethernet portu ilə əlaqə saxlamaq üçün hələ də ağlabatan olan serverlərdən deyil, yalnız istifadəçilərdən danışırıqsa, ümumiyyətlə cavab belədir: bəli, özünüzü yalnız WiFi ilə məhdudlaşdıra bilərsiniz. Ancaq nüanslar var.

Ayrı bir yanaşma tələb edən mühüm istifadəçi qrupları var. Bunlar, əlbəttə ki, idarəçilərdir. Prinsipcə, WiFi bağlantısı adi Ethernet portundan daha az etibarlıdır (trafik itkisi baxımından) və daha yavaşdır. Bu, idarəçilər üçün əhəmiyyətli ola bilər. Bundan əlavə, məsələn, şəbəkə administratorları, prinsipcə, diapazondan kənar əlaqələr üçün öz xüsusi Ethernet şəbəkəsinə sahib ola bilərlər.

Şirkətinizdə bu amillərin vacib olduğu başqa qruplar/departamentlər də ola bilər.

Başqa bir vacib məqam var - telefoniya. Bəlkə də nədənsə siz Simsiz VoIP-dən istifadə etmək istəmirsiniz və adi Ethernet bağlantısı olan İP telefonlardan istifadə etmək istəyirsiniz.

Ümumiyyətlə, işlədiyim şirkətlərdə adətən həm WiFi bağlantısı, həm də Ethernet portu var idi.

İstərdim ki, mobillik təkcə ofislə məhdudlaşmasın.

Evdən (və ya əlçatan İnterneti olan hər hansı digər yerdən) işləmək qabiliyyətini təmin etmək üçün VPN bağlantısı istifadə olunur. Eyni zamanda, işçilərin evdən işləmək və eyni çıxışı nəzərdə tutan uzaqdan işləmək arasında fərqi hiss etməmələri arzu edilir. Bunu necə təşkil edəcəyimizi bir az sonra “Vahid mərkəzləşdirilmiş autentifikasiya və avtorizasiya sistemi” bölməsində müzakirə edəcəyik.

Qeyd:

Çox güman ki, ofisdə olduğunuz kimi uzaqdan işləmək üçün eyni keyfiyyətli xidmətləri tam təmin edə bilməyəcəksiniz. Fərz edək ki, siz VPN şlüzünüz kimi Cisco ASA 5520 istifadə edirsiniz. məlumat bazası bu cihaz cəmi 225 Mbit VPN trafikini “həzm etmək” qabiliyyətinə malikdir. Yəni, təbii ki, bant genişliyi baxımından VPN vasitəsilə qoşulmaq ofisdən işləməkdən çox fərqlidir. Həmçinin, əgər nədənsə şəbəkə xidmətləriniz üçün gecikmə, itki, titrəmə (məsələn, ofis IP telefoniyasından istifadə etmək istəyirsiniz) əhəmiyyətlidirsə, siz də ofisdə olduğunuz keyfiyyəti ala bilməyəcəksiniz. Buna görə də, mobillikdən danışarkən, mümkün məhdudiyyətlərdən xəbərdar olmalıyıq.

Bütün şirkət resurslarına asan giriş

Bu vəzifə digər texniki şöbələrlə birgə həll edilməlidir.
İdeal vəziyyət odur ki, istifadəçi yalnız bir dəfə autentifikasiya etməlidir və bundan sonra o, bütün lazımi resurslara çıxış əldə edir.
Təhlükəsizliyi itirmədən asan girişin təmin edilməsi məhsuldarlığı əhəmiyyətli dərəcədə yaxşılaşdıra və həmkarlarınız arasında stressi azalda bilər.

Qeyd 1

Girişin asanlığı təkcə parolu neçə dəfə daxil etməyinizlə bağlı deyil. Məsələn, təhlükəsizlik siyasətinizə uyğun olaraq, ofisdən məlumat mərkəzinə qoşulmaq üçün əvvəlcə VPN şluzuna qoşulmalısınız və eyni zamanda ofis resurslarına çıxışı itirirsinizsə, bu da çox vacibdir. , çox əlverişsiz.

Qeyd 2

Bizim adətən öz xüsusi AAA serverlərimiz olan xidmətlər (məsələn, şəbəkə avadanlığına giriş) var və bu halda bir neçə dəfə autentifikasiya etməli olduğumuz zaman bu normadır.

İnternet resurslarının mövcudluğu

İnternet təkcə əyləncə deyil, həm də iş üçün çox faydalı ola biləcək xidmətlər toplusudur. Sırf psixoloji amillər də var. Müasir insan bir çox virtual tellər vasitəsilə internet vasitəsilə başqa insanlarla əlaqə qurur və məncə, işləyərkən də bu əlaqəni hiss etməyə davam etsə, heç bir qəbahət yoxdur.

Vaxt itkisi nöqteyi-nəzərindən bir işçinin, məsələn, Skype-ın işləməsi və lazım gələrsə, 5 dəqiqəsini sevdiyi insanla ünsiyyətə sərf etməsinin qəbahəti yoxdur.

Bu o deməkdir ki, İnternet həmişə mövcud olmalıdır, bu o deməkdirmi ki, işçilərin bütün resurslara çıxışı ola bilər və heç bir şəkildə onlara nəzarət edə bilməz?

Xeyr, əlbəttə ki, o demək deyil. İnternetin açıqlıq səviyyəsi müxtəlif şirkətlər üçün dəyişə bilər - tam bağlanmadan tam açıqlığa qədər. Biz daha sonra təhlükəsizlik tədbirləri bölmələrində trafikə nəzarət yollarını müzakirə edəcəyik.

Tanış cihazların tam çeşidindən istifadə etmək imkanı

Məsələn, işdə öyrəşdiyiniz bütün ünsiyyət vasitələrindən istifadə etməyə davam etmək imkanınız olduqda rahatdır. Bunun texniki cəhətdən həyata keçirilməsində heç bir çətinlik yoxdur. Bunun üçün sizə WiFi və qonaq wilan lazımdır.

Həm də öyrəşdiyiniz əməliyyat sistemindən istifadə etmək imkanınız olsa yaxşıdır. Ancaq mənim müşahidəmə görə, buna adətən yalnız menecerlər, idarəçilər və tərtibatçılar icazə verilir.

Misal

Siz, əlbəttə ki, qadağalar yolu ilə gedə, uzaqdan girişi qadağan edə, mobil cihazlardan qoşulmağı qadağan edə, hər şeyi statik Ethernet bağlantıları ilə məhdudlaşdıra, İnternetə çıxışı məhdudlaşdıra, nəzarət-buraxılış məntəqəsində mobil telefonları və qadcetləri məcburi olaraq müsadirə edə bilərsiniz... və bu yol faktiki olaraq artan təhlükəsizlik tələbləri olan bəzi təşkilatlar tərəfindən izlənilir və bəlkə də bəzi hallarda buna haqq qazandırıla bilər, lakin... razı olmalısınız ki, bu, tək təşkilatda irəliləyişi dayandırmaq cəhdi kimi görünür. Təbii ki, müasir texnologiyaların təmin etdiyi imkanları kifayət qədər təhlükəsizlik səviyyəsi ilə birləşdirmək istərdim.

Şəbəkənin "sürətli işləməsi"

Məlumat ötürmə sürəti texniki cəhətdən bir çox amillərdən ibarətdir. Bağlantı portunuzun sürəti ümumiyyətlə ən vacib deyil. Tətbiqin yavaş işləməsi həmişə şəbəkə problemləri ilə əlaqəli deyil, lakin hələlik biz yalnız şəbəkə hissəsi ilə maraqlanırıq. Lokal şəbəkənin "yavaşlaması" ilə bağlı ən çox rast gəlinən problem paket itkisi ilə bağlıdır. Bu, adətən darboğaz və ya L1 (OSI) problemləri olduqda baş verir. Daha nadir hallarda, bəzi dizaynlarda (məsələn, alt şəbəkələriniz standart şlüz kimi təhlükəsizlik divarına malik olduqda və beləliklə, bütün trafik ondan keçdikdə) aparat performansı zəif ola bilər.

Buna görə də, avadanlıq və arxitektura seçərkən, son portların sürətlərini, magistralları və avadanlıqların performansını əlaqələndirməlisiniz.

Misal

Tutaq ki, siz giriş qatının açarları kimi 1 gigabit portlu açarlardan istifadə edirsiniz. Onlar bir-birinə Etherchannel 2 x 10 gigabit vasitəsilə qoşulur. Defolt şlüz kimi siz gigabit portları olan təhlükəsizlik duvarından istifadə edirsiniz, L2 ofis şəbəkəsinə qoşulmaq üçün Etherchannel-də birləşdirilmiş 2 gigabit portdan istifadə edirsiniz.

Bu arxitektura funksionallıq baxımından olduqca əlverişlidir, çünki... Bütün trafik təhlükəsizlik duvarından keçir və siz giriş siyasətlərini rahat şəkildə idarə edə, trafikə nəzarət etmək və mümkün hücumların qarşısını almaq üçün mürəkkəb alqoritmlər tətbiq edə bilərsiniz (aşağıya baxın), lakin ötürmə qabiliyyəti və performans baxımından bu dizaynın, əlbəttə ki, potensial problemləri var. Beləliklə, məsələn, məlumatları endirən 2 host (1 giqabit port sürəti ilə) 2 giqabitlik bir əlaqəni firewallla tamamilə yükləyə bilər və beləliklə, bütün ofis seqmenti üçün xidmətin deqradasiyasına səbəb ola bilər.

Üçbucağın bir təpəsinə baxdıq, indi təhlükəsizliyi necə təmin edə biləcəyimizə baxaq.

Çağırışlar

Beləliklə, təbii ki, adətən bizim istəyimiz (daha doğrusu, rəhbərliyimizin istəyi) qeyri-mümkünə nail olmaq, yəni maksimum təhlükəsizlik və minimum xərclə maksimum rahatlığı təmin etməkdir.

Müdafiəni təmin etmək üçün hansı üsullara sahib olduğumuza baxaq.

Ofis üçün aşağıdakıları vurğulayıram:

  • dizayna sıfır etibar yanaşması
  • yüksək səviyyədə qorunma
  • şəbəkənin görünməsi
  • vahid mərkəzləşdirilmiş autentifikasiya və avtorizasiya sistemi
  • host yoxlanışı

Sonra, bu aspektlərin hər biri üzərində bir az daha ətraflı dayanacağıq.

Sıfır etibar

İT dünyası çox sürətlə dəyişir. Yalnız son 10 il ərzində yeni texnologiyaların və məhsulların ortaya çıxması təhlükəsizlik konsepsiyalarının əsaslı şəkildə yenidən nəzərdən keçirilməsinə səbəb olmuşdur. On il əvvəl, təhlükəsizlik baxımından biz şəbəkəni güvən, dmz və etibarsız zonalara böldük və 2 müdafiə xəttinin olduğu sözdə “perimetr mühafizəsindən” istifadə etdik: etibarsız -> dmz və dmz -> güvən. Həmçinin, qoruma adətən L3/L4 (OSI) başlıqlarına (IP, TCP/UDP portları, TCP bayraqları) əsaslanan giriş siyahıları ilə məhdudlaşırdı. L7 də daxil olmaqla daha yüksək səviyyələrlə bağlı hər şey OS və son hostlarda quraşdırılmış təhlükəsizlik məhsullarına buraxıldı.

İndi vəziyyət kəskin şəkildə dəyişib. Müasir konsepsiya sıfır etibar ondan irəli gəlir ki, artıq daxili sistemləri, yəni perimetrin daxilində yerləşənləri etibarlı hesab etmək mümkün deyil və perimetrin özü də bulanıqlaşıb.
İnternet bağlantımızdan əlavə bizdə də var

  • uzaqdan giriş VPN istifadəçiləri
  • ofis WiFi vasitəsilə qoşulmuş müxtəlif şəxsi gadgets, noutbuklar gətirdi
  • digər (filial) idarələri
  • bulud infrastrukturu ilə inteqrasiya

Zero Trust yanaşması praktikada necə görünür?

İdeal olaraq, yalnız tələb olunan trafikə icazə verilməlidir və əgər idealdan danışırıqsa, onda nəzarət yalnız L3/L4 səviyyəsində deyil, həm də tətbiq səviyyəsində olmalıdır.

Əgər, məsələn, bütün trafiki bir firewall vasitəsilə ötürmək qabiliyyətiniz varsa, o zaman ideala yaxınlaşmağa cəhd edə bilərsiniz. Ancaq bu yanaşma şəbəkənizin ümumi ötürmə qabiliyyətini əhəmiyyətli dərəcədə azalda bilər və bundan əlavə, tətbiqə görə filtrləmə həmişə yaxşı işləmir.

Bir marşrutlaşdırıcıda və ya L3 keçidində trafikə nəzarət edərkən (standart ACL-lərdən istifadə etməklə) digər problemlərlə qarşılaşırsınız:

  • Bu, yalnız L3/L4 filtrasiyasıdır. Təcavüzkarın tətbiqi üçün icazə verilən portlardan (məsələn, TCP 80) istifadə etməsinə heç nə mane olmur (http deyil)
  • kompleks ACL idarəetməsi (ACL-ləri təhlil etmək çətindir)
  • Bu tam təhlükəsizlik divarı deyil, yəni siz əks trafikə açıq şəkildə icazə verməlisiniz
  • açarları ilə siz adətən TCAM-ın ölçüsü ilə kifayət qədər məhdudlaşırsınız, “yalnız sizə lazım olana icazə verin” yanaşmasını qəbul etsəniz, bu, tez bir zamanda problemə çevrilə bilər.

Qeyd:

Əks trafikdən danışarkən, aşağıdakı imkanımız olduğunu xatırlamalıyıq (Cisco)

tcp hər hansı bir müəyyən icazə

Ancaq bu xəttin iki sətirə bərabər olduğunu başa düşməlisiniz:
tcp-ə hər hansı bir ack icazə verin
hər hansı bir tcp-ə icazə verin

Bu o deməkdir ki, SYN bayrağı ilə ilkin TCP seqmenti olmasa belə (yəni, TCP sessiyası qurulmağa belə başlamamışdı), bu ACL təcavüzkarın məlumat ötürmək üçün istifadə edə biləcəyi ACK bayrağı ilə paketə icazə verəcəkdir.

Yəni, bu xətt heç bir şəkildə marşrutlaşdırıcınızı və ya L3 keçidinizi tam təhlükəsizlik divarına çevirmir.

Yüksək səviyyəli qorunma

В məqalə Məlumat mərkəzləri bölməsində biz aşağıdakı qorunma üsullarını nəzərdən keçirdik.

  • dövlət təhlükəsizlik divarı (defolt)
  • ddos/dos qorunması
  • proqram firewalling
  • təhlükənin qarşısının alınması (antivirus, anti-casus proqram və zəiflik)
  • URL filtrlənməsi
  • məlumatların filtrasiyası (məzmun filtri)
  • faylın bloklanması (fayl növlərinin bloklanması)

Ofis vəziyyətində vəziyyət oxşardır, lakin prioritetlər bir qədər fərqlidir. Ofisin əlçatanlığı (mövcudluğu) adətən məlumat mərkəzində olduğu kimi kritik deyil, “daxili” zərərli trafik ehtimalı isə daha yüksəkdir.
Beləliklə, bu seqment üçün aşağıdakı qorunma üsulları kritik hala gəlir:

  • proqram firewalling
  • təhlükənin qarşısının alınması (antivirus, anti-casus proqram və zəiflik)
  • URL filtrlənməsi
  • məlumatların filtrasiyası (məzmun filtri)
  • faylın bloklanması (fayl növlərinin bloklanması)

Tətbiq firewallinqi istisna olmaqla, bütün bu qorunma üsulları ənənəvi olaraq son hostlarda (məsələn, antivirus proqramları quraşdırmaq yolu ilə) və proksilərdən istifadə etməklə həll edilib və həll olunmağa davam etsə də, müasir NGFW-lər də bu xidmətləri təqdim edir.

Təhlükəsizlik avadanlığı satıcıları hərtərəfli qorunma yaratmağa çalışırlar, buna görə də yerli mühafizə ilə yanaşı, onlar hostlar üçün müxtəlif bulud texnologiyaları və müştəri proqram təminatı təklif edirlər (son nöqtənin qorunması/EPP). Beləliklə, məsələn, from 2018 Gartner Magic Quadrant Biz görürük ki, Palo Alto və Cisco-nun öz EPP-ləri var (PA: Traps, Cisco: AMP), lakin liderlərdən uzaqdır.

Firewallunuzda bu qorumaları aktivləşdirmək (adətən lisenziyalar almaqla) əlbəttə ki, məcburi deyil (ənənəvi marşrutla gedə bilərsiniz), lakin bu, bəzi üstünlükləri təmin edir:

  • bu halda, görmə qabiliyyətini yaxşılaşdıran mühafizə üsullarının tətbiqinin vahid nöqtəsi var (növbəti mövzuya baxın).
  • Şəbəkənizdə qorunmayan cihaz varsa, o, hələ də firewall qorunmasının "çətiri" altına düşür.
  • Son host qorunması ilə birlikdə firewall qorunmasından istifadə etməklə, zərərli trafikin aşkarlanması ehtimalını artırırıq. Məsələn, yerli hostlarda və firewallda təhlükənin qarşısının alınması aşkarlanma ehtimalını artırır (əlbəttə ki, bu həllər müxtəlif proqram məhsullarına əsaslandıqda)

Qeyd:

Məsələn, Kaspersky-ni həm firewallda, həm də son hostlarda antivirus kimi istifadə edirsinizsə, bu, əlbəttə ki, şəbəkənizdə virus hücumunun qarşısını almaq şansınızı o qədər də artırmayacaq.

Şəbəkənin görünməsi

mərkəzi ideyası sadədir - həm real vaxtda, həm də tarixi məlumatda şəbəkənizdə baş verənlərə “baxın”.

Mən bu “görməni” iki qrupa ayırardım:

Birinci qrup: monitorinq sisteminizin adətən sizə nə təmin edir.

  • avadanlıqların yüklənməsi
  • yükləmə kanalları
  • yaddaş istifadəsi
  • disk istifadəsi
  • marşrutlaşdırma cədvəlinin dəyişdirilməsi
  • keçid statusu
  • avadanlıqların (və ya hostların) mövcudluğu
  • ...

İkinci qrup: təhlükəsizliklə bağlı məlumat.

  • müxtəlif növ statistikalar (məsələn, tətbiqə görə, URL trafikinə görə, hansı növ məlumatların yükləndiyi, istifadəçi məlumatları)
  • təhlükəsizlik siyasəti ilə nə bloklandı və hansı səbəbdən, yəni
    • qadağan tətbiq
    • ip/protokol/port/bayraqlar/zonalar əsasında qadağandır
    • təhlükənin qarşısının alınması
    • url filtri
    • məlumatların filtrasiyası
    • fayl bloklanması
    • ...
  • DOS/DDOS hücumlarının statistikası
  • uğursuz identifikasiya və icazə cəhdləri
  • yuxarıda göstərilən bütün təhlükəsizlik siyasətinin pozulması hadisələrinin statistikası
  • ...

Təhlükəsizliklə bağlı bu fəsildə biz ikinci hissə ilə maraqlanırıq.

Bəzi müasir firewalllar (mənim Palo Alto təcrübəmdən) yaxşı görmə səviyyəsini təmin edir. Lakin, əlbəttə ki, sizi maraqlandıran trafik bu firewalldan keçməlidir (bu halda siz trafiki bloklamaq imkanınız var) və ya firewall-a əks olunmalıdır (yalnız monitorinq və təhlil üçün istifadə olunur) və sizin bütün funksiyaları aktivləşdirmək üçün lisenziyalarınız olmalıdır. bu xidmətlər.

Təbii ki, alternativ yol, daha doğrusu ənənəvi yol var, məsələn,

  • Sessiya statistikası netflow vasitəsilə toplana bilər və sonra məlumat təhlili və məlumatların vizuallaşdırılması üçün xüsusi yardım proqramlarından istifadə edilə bilər
  • təhlükənin qarşısının alınması – son hostlarda xüsusi proqramlar (antivirus, anti-casus proqram, firewall).
  • URL filtri, məlumatların filtrasiyası, faylın bloklanması – proxy-də
  • tcpdump-u məsələn, istifadə edərək təhlil etmək də mümkündür. qarğa

Siz bu iki yanaşmanı birləşdirə, çatışmayan xüsusiyyətləri tamamlaya və ya hücumun aşkarlanması ehtimalını artırmaq üçün onları təkrarlaya bilərsiniz.

Hansı yanaşmanı seçməlisiniz?
Komandanızın ixtisas və üstünlüklərindən çox asılıdır.
Həm var, həm də müsbət və mənfi cəhətləri var.

Vahid mərkəzləşdirilmiş autentifikasiya və avtorizasiya sistemi

Yaxşı dizayn edildikdə, bu məqalədə müzakirə etdiyimiz mobillik, ofisdən və ya evdən, hava limanından, qəhvəxanadan və ya başqa bir yerdən işləməyinizdən asılı olmayaraq (yuxarıda müzakirə etdiyimiz məhdudiyyətlərlə) eyni çıxışa malik olduğunuzu nəzərdə tutur. Deyəsən, problem nədir?
Bu tapşırığın mürəkkəbliyini daha yaxşı başa düşmək üçün tipik bir dizayna baxaq.

Misal

  • Siz bütün işçiləri qruplara ayırdınız. Siz qruplar üzrə girişi təmin etmək qərarına gəldiniz
  • Ofis daxilində siz ofisin təhlükəsizlik divarında girişi idarə edirsiniz
  • Siz məlumat mərkəzinin təhlükəsizlik divarında ofisdən məlumat mərkəzinə gedən trafikə nəzarət edirsiniz
  • Siz Cisco ASA-dan VPN şlüzü kimi istifadə edirsiniz və uzaq müştərilərdən şəbəkənizə daxil olan trafikə nəzarət etmək üçün yerli (ASA-da) ACL-lərdən istifadə edirsiniz.

İndi deyək ki, sizdən müəyyən bir işçiyə əlavə giriş əlavə etməyiniz xahiş olunur. Bu halda, sizdən yalnız ona və onun qrupundan başqa heç kimə giriş əlavə etməyiniz xahiş olunur.

Bunun üçün bu işçi üçün ayrıca qrup yaratmalıyıq, yəni

  • bu işçi üçün ASA-da ayrıca IP hovuz yaradın
  • ASA-ya yeni ACL əlavə edin və onu uzaq müştəriyə bağlayın
  • ofis və məlumat mərkəzi firewalllarında yeni təhlükəsizlik siyasətləri yaradın

Bu hadisə nadir olsa yaxşıdır. Amma mənim təcrübəmdə elə bir vəziyyət var idi ki, işçilər müxtəlif layihələrdə iştirak edirdilər və bəziləri üçün bu layihələr dəsti tez-tez dəyişirdi və 1-2 nəfər yox, onlarla idi. Təbii ki, burada nəyisə dəyişmək lazım idi.

Bu, aşağıdakı şəkildə həll edildi.

Biz qərara gəldik ki, LDAP bütün mümkün işçi çıxışlarını müəyyən edən yeganə həqiqət mənbəyi olacaqdır. Biz giriş dəstlərini müəyyən edən bütün növ qruplar yaratdıq və hər bir istifadəçini bir və ya bir neçə qrupa təyin etdik.

Beləliklə, məsələn, fərz edək ki, qruplar var idi

  • qonaq (İnternetə çıxış)
  • ümumi giriş (ortaq resurslara giriş: poçt, bilik bazası, ...)
  • mühasibat
  • layihə 1
  • layihə 2
  • verilənlər bazası administratoru
  • linux administratoru
  • ...

İşçilərdən biri həm layihə 1, həm də 2-ci layihədə iştirak edibsə və bu layihələrdə işləmək üçün lazımi girişə ehtiyacı varsa, bu işçi aşağıdakı qruplara təyin edildi:

  • qonaq
  • ümumi giriş
  • layihə 1
  • layihə 2

İndi bu məlumatı şəbəkə avadanlığına girişə necə çevirə bilərik?

Cisco ASA Dinamik Giriş Siyasəti (DAP) (bax www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) həll bu vəzifə üçün tam uyğundur.

Tətbiqimiz haqqında qısaca olaraq, identifikasiya/icazə vermə prosesi zamanı ASA LDAP-dan verilmiş istifadəçiyə uyğun qruplar toplusunu alır və bir neçə yerli ACL-dən (hər biri qrupa uyğundur) bütün lazımi girişlərə malik dinamik ACL “toplayır”. , bu bizim istəklərimizə tam uyğundur.

Ancaq bu yalnız VPN bağlantıları üçündür. Həm VPN vasitəsilə qoşulan işçilər, həm də ofisdəkilər üçün vəziyyəti eyni etmək üçün aşağıdakı addım atıldı.

Ofisdən qoşulduqda, 802.1x protokolundan istifadə edən istifadəçilər ya qonaq LAN (qonaqlar üçün) və ya ortaq LAN (şirkət işçiləri üçün) ilə başa çatır. Bundan əlavə, xüsusi giriş əldə etmək üçün (məsələn, məlumat mərkəzindəki layihələrə) işçilər VPN vasitəsilə qoşulmalı idilər.

Ofisdən və evdən qoşulmaq üçün ASA-da müxtəlif tunel qruplarından istifadə edilmişdir. Bu, ofisdən qoşulanlar üçün paylaşılan resurslara trafikin (poçt, fayl serverləri, bilet sistemi, dns, ... kimi bütün işçilər tərəfindən istifadə olunur) ASA-dan deyil, yerli şəbəkədən keçməsi üçün lazımdır. . Beləliklə, biz ASA-nı lazımsız trafiklə, o cümlədən yüksək intensiv trafiklə yükləmədik.

Beləliklə, problem həll edildi.
Aldıq

  • həm ofisdən, həm də uzaqdan bağlantılar üçün eyni giriş dəsti
  • ASA vasitəsilə yüksək intensiv trafikin ötürülməsi ilə bağlı ofisdən işləyərkən xidmətin pozulmasının olmaması

Bu yanaşmanın başqa hansı üstünlükləri var?
Giriş administrasiyasında. Girişlər bir yerdə asanlıqla dəyişdirilə bilər.
Məsələn, bir işçi şirkəti tərk edərsə, siz onu sadəcə olaraq LDAP-dan çıxarırsınız və o, avtomatik olaraq bütün girişi itirir.

Host yoxlanılır

Uzaqdan qoşulma imkanı ilə biz təkcə şirkət işçisini deyil, həm də onun kompüterində (məsələn, evdə) mövcud olan bütün zərərli proqram təminatını şəbəkəyə daxil etmək riskini daşıyırıq və üstəlik, bu proqram vasitəsilə biz bu hostu proxy kimi istifadə edən təcavüzkarın şəbəkəmizə girişini təmin edə bilər.

Uzaqdan qoşulmuş hostun ofisdaxili host ilə eyni təhlükəsizlik tələblərini tətbiq etməsi məntiqlidir.

Bu, həmçinin ƏS-nin, antivirusun, anti-casus proqram təminatının və firewall proqramının və yeniləmələrinin “düzgün” versiyasını nəzərdə tutur. Tipik olaraq, bu imkan VPN şlüzində mövcuddur (ASA üçün bax, məsələn, burada).

Təhlükəsizlik siyasətinizin ofis trafikinə tətbiq etdiyi eyni trafik təhlili və bloklama üsullarını (bax: “Yüksək qorunma”) tətbiq etmək müdrikdir.

Ofis şəbəkənizin artıq ofis binası və onun içindəki hostlarla məhdudlaşmadığını düşünmək ağlabatandır.

Misal

Yaxşı bir texnika uzaqdan giriş tələb edən hər bir işçini yaxşı, rahat noutbukla təmin etmək və onlardan həm ofisdə, həm də evdə işləməyi tələb etməkdir.

Bu, təkcə şəbəkənizin təhlükəsizliyini yaxşılaşdırmır, həm də həqiqətən rahatdır və adətən işçilər tərəfindən müsbət baxılır (əgər bu, həqiqətən yaxşı, istifadəçi dostu noutbukdursa).

Mütənasiblik və tarazlıq hissi haqqında

Əsasən, bu, üçbucağımızın üçüncü zirvəsi - qiymət haqqında söhbətdir.
Gəlin hipotetik bir nümunəyə baxaq.

Misal

200 nəfərlik ofisiniz var. Siz onu mümkün qədər rahat və təhlükəsiz etmək qərarına gəldiniz.

Buna görə də, siz bütün trafiki firewalldan keçirməyə qərar verdiniz və beləliklə, bütün ofis alt şəbəkələri üçün firewall standart şluzdur. Hər bir son hostda quraşdırılmış təhlükəsizlik proqram təminatına (antivirus, anti-casus proqram və firewall proqramı) əlavə olaraq, siz həmçinin firewallda bütün mümkün mühafizə üsullarını tətbiq etmək qərarına gəldiniz.

Yüksək qoşulma sürətini təmin etmək üçün (hamısı rahatlıq üçün) giriş açarları kimi 10 Gigabit giriş portu olan açarları və təhlükəsizlik duvarı kimi yüksək performanslı NGFW firewallları seçdiniz, məsələn, Palo Alto 7K seriyası (40 Gigabit port ilə), təbii ki, bütün lisenziyalarla. daxildir və təbii ki, Yüksək Əlçatımlılıq cütü.

Həmçinin, əlbəttə ki, bu avadanlıq xətti ilə işləmək üçün ən azı bir neçə yüksək ixtisaslı təhlükəsizlik mühəndisinə ehtiyacımız var.

Sonra, hər bir işçiyə yaxşı bir noutbuk vermək qərarına gəldiniz.

Ümumilikdə, həyata keçirmək üçün təxminən 10 milyon dollar, mühəndislər üçün illik dəstək və maaşlar üçün yüz minlərlə dollar (məncə bir milyona yaxındır).

Ofis, 200 nəfər...
Rahatdır? Güman edirəm ki, bəli.

Rəhbərliyinizə bu təkliflə gəlirsiniz...
Bəlkə də dünyada bir sıra şirkətlər var ki, onlar üçün bu məqbul və düzgün həll yoludur. Əgər siz bu şirkətin işçisisinizsə, sizi təbrik edirəm, lakin əksər hallarda əminəm ki, sizin bilikləriniz rəhbərlik tərəfindən qiymətləndirilməyəcək.

Bu misal şişirdilib? Növbəti fəsil bu suala cavab verəcək.

Əgər şəbəkənizdə yuxarıda göstərilənlərdən heç birini görmürsünüzsə, bu, normadır.
Hər bir konkret hal üçün siz rahatlıq, qiymət və təhlükəsizlik arasında öz ağlabatan kompromisinizi tapmalısınız. Tez-tez ofisinizdə NGFW-yə belə ehtiyacınız olmur və firewallda L7 qorunması tələb olunmur. Yaxşı bir görmə səviyyəsini və xəbərdarlıqları təmin etmək kifayətdir və bu, məsələn, açıq mənbə məhsullarından istifadə etməklə edilə bilər. Bəli, hücuma reaksiyanız dərhal olmayacaq, amma əsas odur ki, siz onu görəcəksiz və şöbənizdə düzgün proseslər aparılmaqla onu tez bir zamanda zərərsizləşdirə biləcəksiniz.

Nəzərinizə çatdırım ki, bu silsilə məqalələrin konsepsiyasına əsasən, siz şəbəkə dizayn etmirsiniz, yalnız əldə etdiyinizi təkmilləşdirməyə çalışırsınız.

Ofis arxitekturasının SAFE təhlili

Diaqramda yer ayırdığım bu qırmızı kvadrata diqqət yetirin SAFE Secure Campus Arxitektura Bələdçisiburada müzakirə etmək istərdim.

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. Üçüncü hissə

Bu, memarlığın əsas yerlərindən biridir və ən mühüm qeyri-müəyyənliklərdən biridir.

Qeyd:

Mən heç vaxt FirePower quraşdırmamışam və onunla işləməmişəm (Cisco-nun firewall xəttindən - yalnız ASA), ona görə də onun eyni imkanlara malik olduğunu fərz etsək, Juniper SRX və ya Palo Alto kimi hər hansı digər firewall kimi davranacağam.

Adi dizaynlardan mən bu əlaqə ilə firewall istifadə etmək üçün yalnız 4 mümkün variant görürəm:

  • hər bir alt şəbəkə üçün standart şluz keçiddir, firewall şəffaf rejimdə olarkən (yəni bütün trafik ondan keçir, lakin L3 hopunu təşkil etmir)
  • hər bir alt şəbəkə üçün standart şluz firewall alt interfeysləridir (və ya SVI interfeysləri), keçid L2 rolunu oynayır
  • keçiddə müxtəlif VRF-lər istifadə olunur və VRF-lər arasındakı trafik firewalldan keçir, bir VRF daxilində trafik keçiddəki ACL tərəfindən idarə olunur
  • bütün trafik təhlil və monitorinq üçün firewallda əks olunur, trafik ondan keçmir

Qeyd 1

Bu variantların birləşməsi mümkündür, lakin sadəlik üçün onları nəzərdən keçirməyəcəyik.

Qeyd 2

PBR-dən (xidmət zənciri arxitekturasından) istifadə etmək imkanı da var, lakin hələlik bu, mənim fikrimcə gözəl bir həll olsa da, olduqca ekzotikdir, ona görə də burada nəzərə almıram.

Sənəddəki axınların təsvirindən görürük ki, trafik hələ də firewalldan keçir, yəni Cisco dizaynına uyğun olaraq dördüncü variant aradan qaldırılır.

Əvvəlcə ilk iki varianta baxaq.
Bu seçimlərlə bütün trafik təhlükəsizlik divarından keçir.

İndi baxaq məlumat bazası, bax Cisco GPL və görürük ki, ofisimizin ümumi ötürmə qabiliyyətinin ən azı 10 - 20 gigabit civarında olmasını istəyiriksə, o zaman 4K versiyasını almalıyıq.

Qeyd:

Mən ümumi bant genişliyi haqqında danışarkən, alt şəbəkələr arasındakı trafiki nəzərdə tuturam (bir vilana daxilində deyil).

GPL-dən görürük ki, Təhdid Müdafiəsi ilə HA Bundle üçün modeldən asılı olaraq qiymət (4110 - 4150) ~0,5 - 2,5 milyon dollar arasında dəyişir.

Yəni dizaynımız əvvəlki nümunəyə bənzəməyə başlayır.

Bu, bu dizaynın səhv olduğunu bildirirmi?
Xeyr, bu o demək deyil. Cisco malik olduğu məhsul xəttinə əsaslanaraq sizə mümkün olan ən yaxşı müdafiəni təqdim edir. Amma bu o demək deyil ki, bu sizin üçün mütləq edilməlidir.

Prinsipcə, bu, ofis və ya məlumat mərkəzi dizayn edərkən ortaya çıxan ümumi bir sualdır və bu, yalnız bir kompromis axtarmaq lazım olduğunu bildirir.

Məsələn, bütün trafikin firewalldan keçməsinə icazə verməyin, bu halda 3-cü seçim mənə olduqca yaxşı görünür və ya (əvvəlki bölməyə baxın) ola bilsin ki, sizin Təhdidlərdən Müdafiəyə ehtiyacınız yoxdur və ya bununla bağlı heç bir firewall lazım deyil. şəbəkə seqmenti və yalnız ödənişli (bahalı deyil) və ya açıq mənbə həllərindən istifadə edərək özünüzü passiv monitorinqlə məhdudlaşdırmalısınız, ya da sizə firewall lazımdır, lakin fərqli bir satıcıdan.

Adətən bu qeyri-müəyyənlik həmişə olur və hansı qərarın sizin üçün ən yaxşı olduğuna dair dəqiq cavab yoxdur.
Bu işin mürəkkəbliyi və gözəlliyi budur.

Mənbə: www.habr.com

Добавить комментарий