Гэты артыкул з'яўляецца пятым у цыкле артыкулаў "Як узяць сеткавую інфраструктуру пад свой кантроль". Змест усіх артыкулаў цыклу і спасылкі можна знайсці .
Гэтая частка будзе прысвечана Campus (Office) & Remote access VPN сегментам.
Можа здацца, што дызайн офіснай сеткі - гэта проста.
Сапраўды, бярэм L2/L3 камутатары, злучаем іх паміж сабой. Далей, вырабляем элементарную наладу віланаў, шлюзаў па змаўчанні, паднімаем просты роўтынг, падлучальны WiFi кантролеры, кропкі доступу, усталёўваны і наладжваем ASA для выдаленага доступу, цешымся, што ўсё зарабіла. У прынцыпе, як я ўжо пісаў у адной з папярэдніх гэтага цыклу, спраектаваць і наладзіць офісную сетку, каб «неяк працавала», можа амаль кожны студэнт, які праслухаў (і засвоіў) два семестры курса па тэлекаму.
Але чым больш вы даведаецеся, тым менш просты пачынае здавацца гэтая задача. Асабіста для мяне гэтая тэма, тэма дызайну офіснай сеткі, зусім не здаецца простай, і ў гэтым артыкуле я пастараюся растлумачыць чаму.
Калі сцісла, тое трэба ўлічваць даволі шмат фактараў. Часта гэтыя фактары знаходзяцца ў супярэчнасці адзін з адным і даводзіцца шукаць разумны кампраміс.
Вось гэтая нявызначанасць і з'яўляецца асноўнай складанасцю. Так, кажучы пра бяспеку, мы маем трыкутнік з трыма вяршынямі: бяспека, зручнасць для супрацоўнікаў, кошт рашэння.
І кожны раз даводзіцца шукаць кампраміс паміж гэтымі трыма.
Архітэктура
У якасці прыкладу архітэктуры для гэтых двух сегментаў я, як і ў папярэдніх артыкулах, рэкамендую мадэль: , .
Гэта крыху састарэлыя дакументы. Прыводжу іх тут, таму што прынцыпова схемы і падыход не змяніліся, але пры гэтым выклад мне падабаецца больш, чым у .
Не заклікаючы вас выкарыстоўваць менавіта Cisco рашэнні, я ўсё ж лічу карысна ўважліва вывучыць гэты дызайн.
Дадзены артыкул, як звычайна, ні ў якай меры не прэтэндуючы на паўнату, з'яўляецца хутчэй дадаткам да дадзенай інфармацыі.
У канцы артыкула, мы прааналізуем дызайн Cisco SAFE для офіса з пункту гледжання канцэпцый, выкладзеных тут.
агульныя прынцыпы
Дызайн офіснай сеткі, вядома, павінен задавальняць агульным патрабаванням, якія разглядаліся у главе "Крытэрыі ацэнкі якасці дызайну". Акрамя цаны і бяспекі, якія мы маем намер абмеркаваць у гэтым артыкуле, застаюцца яшчэ тры крытэрыі, якія мы павінны ўлічваць пры праектаванні (ці пры занясенні змен):
- маштабаванасць (scalability)
- зручнасць ва ўпраўленні (managability)
- даступнасць (availability)
Многае з таго, што абмяркоўвалася для таксама з'яўляецца справядлівым і для офіса.
Але, усё ж офісны сегмент мае сваю спецыфіку, якая з пункту гледжання бяспекі з`яўляецца крытычнай. Іста гэтай спецыфікі ў тым, што гэты сегмент ствараецца для падавання сеткавых сэрвісаў супрацоўнікам (а таксама партнёрам і гасцям) кампаніі, і, як следства, на самым верхнім узроўні разгляду праблемы мы маем дзве задачы:
- абараніць рэсурсы кампаніі ад шкоднасных дзеянняў, якія могуць зыходзіць ад супрацоўнікаў (гасцей, партнёраў) і ад праграмнага забеспячэння, якім яны карыстаюцца. Сюды таксама ўваходзіць і абарона ад несанкцыянаванага падключэння да сеткі.
- абараніць сістэмы і дадзеныя саміх карыстальнікаў
І гэта толькі адзін бок праблемы (а дакладней адна вяршыня трыкутніка). На іншым боку - выгода карыстача і кошт ужывальных рашэнняў.
Давайце пачнем з разгляду таго, што карыстач чакае ад сучаснай офіснай сеткі.
выгоды
Вось як на мой погляд выглядаюць "сеткавыя выгоды" для карыстача офіса:
- мабільнасць
- Магчымасць карыстацца ўсім спектрам звыклых прылад і аперацыйных сістэм
- Лёгкі доступ да ўсіх неабходных рэсурсаў кампаніі
- Даступнасць інтэрнэт рэсурсаў, у тым ліку і розных хмарных сэрвісаў
- «Хуткая праца» сеткі
Усё гэта адносіцца як да супрацоўнікаў, так і да гасцей (ці партнёраў), і гэта ўжо задача інжынераў кампаніі на аснове аўтарызацыі размежаваць доступы для розных груп карыстальнікаў.
Давайце разгледзім крыху падрабязней кожны з гэтых аспектаў.
мабільнасць
Гаворка ідзе аб магчымасці працаваць і карыстацца ўсімі неабходнымі рэсурсамі кампаніі з любой кропкі свету (вядома, дзе даступны інтэрнэт).
У поўнай меры гэта адносіцца і да офіса. Гэта зручна, калі з любой кропкі офіса вы маеце магчымасць працягваць працаваць, напрыклад, атрымліваць пошту, весці зносіны ў карпаратыўным мэсэнджэры, быць даступным для відэа званка, … Такім чынам, гэта дазваляе вам, з аднаго боку, вырашаць некаторыя пытанні праз "жывое" зносіны (напрыклад, удзельнічаць у мітынгах), а з другога - быць заўсёды анлайн, трымаць руку на пульсе і хутка вырашаць некаторыя тэрміновыя высокапрыярытэтныя задачы. Гэта вельмі зручна і сапраўды паляпшае якасць камунікацый.
Гэта дасягаецца правільным дызайнам WiFi сеткі.
заўвагу
Тут звычайна ўзнікае пытанне, а ці дастаткова выкарыстоўваць толькі WiFi? Ці значыць гэта, што можна адмовіцца ад выкарыстання Ethernet партоў у офісе? Калі гаворка ідзе толькі аб карыстачах, а не аб серверах, якія, усё ж разумна падлучаць звычайным Ethernet портам, то ў агульным выглядзе адказ: так, можна абмежавацца толькі WiFi. Але ёсць нюансы.
Ёсць важныя групы карыстальнікаў, да якіх патрабуецца асобны падыход. Гэта, вядома ж, адміністратары. У прынцыпе, WiFi падлучэнне з'яўляецца менш надзейным (з пункту гледжання страты трафіку) і менш хуткасным, чым звычайны Ethernet порт. Гэта можа быць істотна для адміністратараў. Да таго ж у сеткавых адміністратараў, напрыклад, у прынцыпе можа быць свая выдзеленая Ethernet сетка для out-of-band падлучэнні.
Магчыма, у вашай кампаніі знойдуцца і іншыя групы / аддзелы, для якіх гэтыя фактары таксама важныя.
Ёсць яшчэ адзін важны момант - тэлефанія. Магчыма, па якіх-небудзь прычынах вы не жадаеце карыстацца Wireless VoIP і жадаеце выкарыстоўваць IP тэлефоны са звычайным Ethernet падлучэннем.
Увогуле, у тых кампаніях у якіх працаваў я, звычайна была магчымасць як WiFi падлучэнні, так і Ethernet портам.
Хацелася б, каб мабільнасць не абмяжоўвалася толькі офісам.
Для забеспячэння магчымасці працы з дому (ці любога іншага месца з даступным інтэрнэтам) выкарыстоўваецца VPN падлучэнне. Пры гэтым, пажадана, каб супрацоўнікі не адчувалі розніцу паміж працай з дому і выдаленай працай, што мяркуе наяўнасць тых жа доступаў. Як гэта арганізаваць мы будзем абмяркоўваць крыху пазней у главе «Адзіная цэнтралізаваная сістэма аўтэнтыфікацыі і аўтарызацыі».
заўвагу
Хутчэй за ўсё, вам не атрымаецца цалкам падаць тое ж якасць сэрвісаў для выдаленай працы, якія вы маеце ў офісе. Давайце выкажам здагадку, што ў якасці VPN шлюза вы карыстаецеся Cisco ASA 5520. У адпаведнасці з гэта прылада здольна "пераварыць" толькі 225 Мбіт VPN трафіку. Гэта значыць, вядома, з пункта гледжання прапускной здольнасці падлучэнне па VPN моцна адрозніваецца ад працы з офіса. Таксама калі, па нейкіх прычынах, затрымка, страты, джытар (напрыклад, вы хочаце карыстацца офіснай IP тэлефаніяй) для вашых сеткавых сэрвісаў з'яўляюцца істотнымі, вы таксама не атрымаеце той жа якасці, як калі б вы знаходзіліся ў офісе. Таму, гаворачы аб мабільнасці, мы павінны памятаць аб магчымых абмежаваннях.
Лёгкі доступ да ўсіх рэсурсаў кампаніі
Гэта задача павінна вырашацца сумесна з іншымі тэхнічнымі аддзеламі.
Ідэальная сітуацыя - калі карыстачу трэба аўтэнтыфікавацца толькі адзін раз, і пасля гэтага ён атрымлівае доступы да ўсіх неабходных рэсурсаў.
Прадастаўленне лёгкага доступу без шкоды бяспецы можа адчувальна павысіць эфектыўнасць працы і панізіць узровень стрэсу ў вашых калегаў.
заўвага 1
Выгода доступу - гэта не толькі пра тое, колькі разоў вам даводзіцца ўводзіць пароль. Калі, напрыклад, у адпаведнасці з вашай палітыкай бяспекі, для падлучэння з офіса да дата-цэнтра вы павінны спачатку падлучыцца да VPN шлюза, і пры гэтым вы губляеце доступы да офісных рэсурсаў, тое гэта таксама вельмі і вельмі няёмка.
заўвага 2
Існуюць сэрвісы (напрыклад, доступ да сеткавага абсталявання), дзе мы звычайна маем свае вылучаныя AAA серверы і гэта норма, калі ў гэтым выпадку даводзіцца аўтэнтыфікавацца некалькі разоў.
Даступнасць інтэрнэт рэсурсаў
Інтэрнэт - гэта не толькі забаўка, але таксама і набор сэрвісаў, які можа быць вельмі карысны для працы. Ёсць яшчэ і чыста псіхалагічныя фактары. Сучасны чалавек праз інтэрнэт шматлікімі віртуальнымі нітачкамі звязаны з іншымі людзьмі, і, на мой погляд, няма нічога дрэннага, калі ён працягвае адчуваць гэтую сувязь нават падчас працы.
З пункту гледжання страты часу, няма нічога страшнага, калі ў супрацоўніка, напрыклад, запушчаны скайп, і ён патраціць 5 хвілін на зносіны з блізкім чалавекам пры неабходнасці.
Ці значыць гэта, што інтэрнэт заўсёды павінен быць даступны, ці значыць гэта, што супрацоўнікам можна адчыняць доступ да ўсіх рэсурсаў і ніяк не кантраляваць іх?
Няма не значыць, вядома. Узровень адкрытасці інтэрнэту можа быць розным для розных кампаній - ад поўнай закрытасці да поўнай адкрытасці. Спосабы кантролю за трафікам мы абмяркуем пазней у раздзелах, прысвечаным сродкам абароны.
Магчымасць карыстацца ўсім спектрам звыклых прылад
Зручна, калі вы, напрыклад, маеце магчымасць працягваць карыстацца ўсімі звыклымі для вас сродкамі камунікацыі і на працы. Няма цяжкасці тэхнічна рэалізаваць гэта. Для гэтага патрэбен WiFi і гасцявы вілан.
Таксама добра, калі ёсць магчымасць карыстацца той аперацыйнай сістэмай, да якой абвыклі. Але, па маім назіранні, як правіла, гэта дазволена толькі менеджэрам, адміністратарам і дэвелаперам.
Прыклад
Можна, вядома, пайсці па шляху забарон, забараніць выдалены доступ, забараніць падлучацца з мабільных прылад, абмежаваць усе статычнымі Ethernet падлучэннямі, абмежаваць доступ у інтэрнэт, у абавязковым парадку забіраць сотавыя тэлефоны і гаджэты на прахадной… і гэтым шляхам сапраўды ідуць некаторыя арганізацыі з падвышанымі патрабаваннямі да бяспекі, і, магчыма, у нейкіх выпадках гэта можа быць і апраўдана, але… пагадзіцеся, што гэта выглядае, як спроба спыніць прагрэс у асобна ўзятай арганізацыі. Вядома, хацелася б сумясціць магчымасці, якія даюць сучасныя тэхналогіі з дастатковым ўзровень бяспекі.
«Хуткая праца» сеткі
Хуткасць перадачы даных тэхнічна складаецца з многіх фактараў. І хуткасць вашага порта падлучэння звычайна не найважнейшы з іх. Не заўсёды павольная праца прыкладання звязана з сеткавымі праблемамі, але нас зараз цікавіць толькі сеткавая частка. Найбольш частая праблема "запаволення" працы лакальнай сеткі звязана са стратай пакетаў. Гэта звычайна адбываецца пры наяўнасці эфекту «бутэлькавага рыльца» ці пры L1 (OSI) праблемах. Радзей, пры некаторых дызайнах, (напрыклад, калі ў якасці шлюзаў па змаўчанні ў вашых падсетках выступае фаервол і, такім чынам, увесь трафік ідзе праз яго), можа бракаваць прадукцыйнасці абсталявання.
Таму, пры выбары абсталявання і архітэктуры вам трэба суаднесці хуткасці канчатковых партоў, транкаў і прадукцыйнасці абсталявання.
Прыклад
Выкажам здагадку, вы карыстаецеся ў якасці камутатараў узроўня доступу камутатары з 1 гігабітнымі партамі. Паміж сабой яны злучаныя праз Etherchannel 2 x 10 гігабіт. У якасці шлюза па змаўчанні вы выкарыстоўваеце фаервол з гігабітнымі партамі, для падлучэння якога да L2 сеткі офіса вы карыстаецеся 2 гігабітных порта, аб'яднанымі ў Etherchannel.
Дадзеная архітэктура дастаткова зручная з пункту гледжання функцыянальнасці, т.я. увесь трафік праходзіць праз фаервал, і вы можаце камфортна кіраваць палітыкамі доступу, і прымяняць складаныя алгарытмы кантролю трафіку і прадухілення магчымых нападаў (гл. далей), але з пункту гледжання прапускной здольнасці і прадукцыйнасці гэты дызайн, вядома, мае патэнцыйныя праблемы. Так, напрыклад, 2 хаста, пампуючыя дадзеныя (з хуткасцю порта ў 1 гігабіт) могуць цалкам загрузіць 2 гігабітнае падлучэнне да фаервала, і такім чынам прывесці да дэградацыі сэрвісу для ўсяго офіснага сегмента.
Мы разгледзелі адну вяршыню трыкутніка, зараз давайце разгледзім, якімі сродкамі мы можам забяспечыць бяспеку.
сродкі абароны
Такім чынам, вядома, звычайна, наша жаданне (а дакладней, жаданне нашага кіраўніцтва) - гэта дасягнуць немагчымага, а менавіта, даць максімальную зручнасць пры максімальнай абароненасці і мінімальнай цане.
Давайце разгледзім, якія ў нас ёсць метады для прадастаўлення абароны.
Для офіса я б вылучыў наступныя:
- zero trust падыход у дызайне
- высокі ўзровень абароны
- бачнасць сеткі
- адзіная цэнтралізаваная сістэма аўтэнтыфікацыі і аўтарызацыі
- праверка хаста (host checking)
Далей спынімся крыху падрабязней на кожным з гэтых аспектаў.
Нулявы давер
IT свет мяняецца вельмі хутка. Літаральна за апошнія 10 гадоў з'яўленне новых тэхналогій і прадуктаў прывялі да сур'ёзнага перагляду канцэпцый бяспекі. Яшчэ дзесяць гадоў назад з пункта гледжання бяспекі мы сегментавалі сетку на trust, dmz і untrust зоны, і ўжывалася так званая "абарона па перыметры", дзе было 2 лініі абароны: untrust -> dmz і dmz -> trust. Таксама абарона звычайна абмяжоўвалася спісамі доступу на аснове L3/L4 (OSI) загалоўкаў (IP, TCP/UDP парты, TCP сцягі). Усё, што дакраналася больш высокіх узроўняў, у тым ліку і L7, аддавалася на водкуп АС і прадуктам абароны, усталёўваных на канчатковых хастах.
Цяпер сітуацыя кардынальна змянілася. Сучасная канцэпцыя зыходзіць з таго, што ўжо немагчыма лічыць унутраныя, гэта значыць змешчаныя ўсярэдзіне перыметра, сістэмы даверанымі, ды і сама канцэпцыя перыметра стала размытай.
Апроч падлучэння да інтэрнэту мы таксама маем
- remote access VPN карыстальнікаў
- розныя асабістыя гаджэты, прынесеныя наўтбукі, якія падключаюцца праз офісны WiFi
- іншыя (branch) офісы
- інтэграцыю з хмарнай інфраструктурай
Як выглядае Zero Trust падыход на практыцы?
У ідэале, дазволены павінен быць толькі той трафік, які патрабуецца і, калі ўжо мы гаворым пра ідэал, то кантроль павінен быць не толькі на ўзроўні L3/L4, але на ўзроўні дадатку.
Калі, напрыклад, у вас ёсць магчымасць прапусціць увесь трафік праз фаервал, тыя вы можаце паспрабаваць наблізіцца да ідэалу. Але такі падыход можа істотна знізіць сумарную паласу прапускання вашай сеткі, і да таго ж фільтраванне па дадатку не заўсёды працуе добра.
Пры кантролі ж трафіку на маршрутызатары або L3 камутатары (выкарыстанне стандартных ACL) вы сутыкаецеся з іншымі праблемамі:
- гэта толькі L3/L4 фільтраванне. Нішто не замінае зламысніку выкарыстоўваць дазволеныя парты (напрыклад, TCP 80) для свайго прыкладання (не http)
- складаны менеджмент ACL (цяжка аналізаваць ACL)
- гэта не statefull фаервол, гэта значыць вам трэба відавочна дазваляць рэверсны трафік
- у выпадку камутатараў вы звычайна даволі жорстка абмежаваны памерам TCAM, што ў выпадку прымянення падыходу "дазваляць толькі тое, што трэба" можа хутка стаць праблемай
заўвагу
Кажучы пра рэверсны трафік, мы павінны памятаць, што ў нас ёсць наступная магчымасць (Cisco)
permit tcp any any established
Але трэба разумець, што гэты радок раўнасільны двум радкам:
permit tcp any any ack
permit tcp any any rstШто азначае, што нават калі не было першапачатковага TCP сегмента з SYN сцягам (гэта значыць TCP сесія нават не пачынала ўсталёўвацца) гэты ACL прапусціць пакет са сцягам ACK, чым зламыснік можа скарыстацца для перадачы дадзеных.
Гэта значыць гэты радок ні ў якай меры не ператварае ваш роўтар ці L3 камутатар у statefull фаервол.
Высокі ўзровень абароны
В у раздзеле, прысвечаным дата-цэнтрам, мы разглядалі наступныя спосабы абароны.
- stateful firewalling (па змаўчанні)
- ddos/dos protection
- application firewalling
- threat prevention (antivirus, anti-spyware, and vulnerability)
- Фільтрацыя URL
- data filtering (content filtering)
- file blocking (file types blocking)
У выпадку офіса сітуацыя падобная, але прыярытэты крыху іншыя. Даступнасць офіса (availabilty) звычайна не так крытычная, як у выпадку дата-цэнтра, у той час як верагоднасць "ўнутранага" шкоднаснага трафіку на парадкі вышэй.
Таму наступныя метады абароны для дадзенага сегмента становяцца крытычнымі:
- application firewalling
- threat prevention (anti-virus, anti-spyware, and vulnerability)
- Фільтрацыя URL
- data filtering (content filtering)
- file blocking (file types blocking)
Хоць усе гэтыя метады абароны, за выключэннем application firewalling, традыцыйна вырашаліся і працягваюць вырашацца на канчатковых хастах (напрыклад, усталёўкай антывірусных праграм) і з дапамогай proxy, сучасныя NGFW таксама падаюць гэтыя сэрвісы.
Вендары security абсталявання імкнуцца да стварэння комплекснай абароны, таму нараўне з абаронай на лакальнай скрынцы, прапануюцца розныя хмарныя тэхналогіі і кліенцкі софт для хастоў (end point protection/ EPP). Так, напрыклад, з мы бачым, што Palo Alto і Cisco маюць свае EPP (PA: Traps, Cisco: AMP), але знаходзяцца далёка не ў лідарах.
Уключэнне гэтых абарон (звычайна з дапамогай пакупкі ліцэнзій) на фаерволе, вядома ж, не з'яўляецца абавязковым (вы можаце ісці традыцыйным шляхам), але дае некаторыя перавагі:
- у дадзеным выпадку з'яўляецца адзіны пункт ужывання метадаў абароны, што паляпшае visibility (гл. наступную тэму).
- калі ў вашай сетцы апынулася неабароненая прылада, то яно ўсё роўна пападае пад «парасон» абароны фаервала.
- выкарыстоўваючы абароны на фаервале сумесна з абаронай на канчатковых хастах, мы павялічваем верагоднасць выяўлення шкоднаснага трафіку. Напрыклад, выкарыстанне threat prevention на лакальных хастах і на фаерволе павялічвае верагоднасць выяўлення (пры ўмове, вядома, што ў аснове гэтых рашэнняў ляжаць розныя праграмныя прадукты)
заўвагу
Калі, напрыклад, у якасці антывіруса як на фаервале, так і на канчатковых хастах вы выкарыстоўваеце Касперскі, то гэта, зразумела, не моцна павялічыць вашы шанцы прадухіліць вірусны напад у вашай сетцы.
Бачнасць сеткі
простая - "бачыць", што адбываецца ў вашай сеткі, як у рэальным часе, так і гістарычныя дадзеныя.
Я б падзяліў гэтае «бачанне» на дзве групы:
Група першая: тое, што звычайна дае вам ваша сістэма маніторынгу.
- загрузка абсталявання
- загрузка каналаў
- выкарыстанне памяці
- выкарыстанне дыскаў
- змена табліцы маршрутызацыі
- стан лінкоў
- даступнасць абсталявання (або хастоў)
- ...
Група другая: інфармацыя, звязаная з бяспекай.
- рознага роду статыстыка (напрыклад, па прыкладаннях, па наведвальнасці URL, якія віды дадзеных спампоўваліся, дадзеныя па карыстальнікам)
- што было заблакавана палітыкамі бяспекі і з якой прычыны, а менавіта
- забароненае прыкладанне
- забаронена на аснове ip/protocol/port/flags/zones
- прадухіленне пагрозы
- фільтраванне URL
- фільтраванне дадзеных
- file blocking
- ...
- статыстыка па DOS/DDOS нападам
- няўдалыя спробы ідэнтыфікацыі і аўтарызацыі
- статыстыка па ўсіх вышэйпералічаных падзеях парушэнні палітык бяспекі
- ...
У дадзеным раздзеле, прысвечанай бяспецы, нас цікавіць менавіта другая частка.
Некаторыя сучасныя фаервалы (з маёй практыкі Palo Alto) падаюць добры ўзровень visibility. Але, вядома, трафік, які вас цікавіць павінен ісці праз гэты фаервол (у гэтым выпадку ў вас ёсць магчымасць блакавання трафіку) або люстэркавацца на фаервол (выкарыстоўваецца толькі для маніторынгу і аналізу), і ў вас павінны быць ліцэнзіі, якія дазваляюць уключыць усе гэтыя сэрвісы .
Ёсць, вядома, і альтэрнатыўны шлях, ну а дакладней традыцыйны шлях, напрыклад,
- статыстыку па сесіях можна збіраць праз netflow і потым выкарыстоўваць спецыяльныя ўтыліты для аналізу інфармацыі і візуалізацыі дадзеных
- threat prevention - спецыяльныя праграмы (anti-virus, anti-spyware, firewall) на канчатковых хастах
- URL filtering, data filtering, file blocking - на проксі
- таксама можна аналізаваць tcpdump з дапамогай, напрыклад,
Можна сумясціць гэтыя два падыходу, дапаўняючы якія адсутнічаюць функцыі ці дублюючы іх для падвышэння верагоднасці выяўлення нападу.
Які падыход абраць?
Моцна залежыць ад кваліфікацыі і пераваг вашай каманды.
І там, і там ёсць плюсы і мінусы.
Адзіная цэнтралізаваная сістэма аўтэнтыфікацыі і аўтарызацыі
Пры добрым дызайне, мабільнасць, якую мы абмяркоўвалі ў гэтым артыкуле, мяркуе, што вы маеце аднолькавыя доступы, працуючы з офіса ці з дому, з аэрапорта, з кафэ ці любой іншай кропкі (з абмежаваннямі, якія мы абмеркавалі вышэй). Здавалася б, у чым праблема?
Для таго, каб лепш зразумець складанасць дадзенай задачы давайце разгледзім тыповы дызайн.
Прыклад
- Вы разбілі ўсіх супрацоўнікаў на групы. Вы вырашылі прадастаўляць доступы па групах
- Унутры офіса вы кантралюеце доступы на офісным фаерволе
- Трафік з офіса ў дата-цэнтр вы кантралюеце на фаерволе дата-цэнтра
- У якасці VPN шлюза вы карыстаецеся Cisco ASA і для кантролю трафіку, уваходнага ў вашу сетку ад надзеленых кліентаў, вы ўжываеце лакальныя (на ASA) ACL
Зараз, напрыклад, вас просяць дадаць дадатковы доступ пэўнаму супрацоўніку. Пры гэтым вас просяць дадаць доступ толькі яму і больш нікому з ягонай групы.
Для гэтага мы павінны стварыць асобную групу для гэтага супрацоўніка, гэта значыць
- на ASA стварыць асобны IP пул для гэтага супрацоўніка
- дадаць новы ACL на ASA і прывязаць яго да гэтага выдаленага кліента
- стварыць новыя security policy на офісным і дата-цэнтр фаервалах
Добра, калі гэтая падзея рэдкая. Але ў маёй практыцы была сітуацыя, калі супрацоўнікі ўдзельнічалі ў розных праектах, і гэты набор праектаў для некаторых з іх мяняўся даволі часта, і гэта было не 1 -2 чалавекі, а дзясяткі. Вядома, тут трэба было нешта мяняць.
Гэта было вырашана наступным чынам.
Мы вырашылі, што адзінай крыніцай ісціны, вызначальнай усе магчымыя доступы супрацоўніка будзе LDAP. Мы стварылі разнастайныя групы, якія вызначаюць наборы доступаў і кожнага карыстальніка мы прывязвалі да адной або некалькіх груп.
Так, напрыклад, выкажам здагадку, што былі групы
- guest (доступ у Інтэрнэт)
- common access (доступы да агульных рэсурсаў: пошта, база ведаў, …)
- бухгалтарскі ўлік
- праект 1
- праект 2
- data base administrator
- linux administrator
- ...
І калі нехта з супрацоўнікаў быў задзейнічаны, як у праекце 1, так і ў праекце 2, і яму патрабаваліся доступы неабходныя для працы ў гэтых праектах, то гэты супрацоўнік прывязваўся да адпаведна да груп:
- госць
- common access
- праект 1
- праект 2
Як жа зараз гэтую інфармацыю ператварыць у доступы на сеткавым абсталяванні?
Cisco ASA Dynamic Access Policy (DAP) (гл. ) рашэнне як раз падыходзіць для гэтай задачы.
Калі сцісла аб нашай рэалізацыі, то падчас ідэнтыфікацыі/аўтарызацыі ASA атрымлівае ад LDAP набор груп, якія адпавядаюць дадзенаму карыстачу і «збірае» з некалькіх лакальных ACL (кожны з якіх адпавядае групе) дынамічны ACL са ўсімі неабходнымі доступамі, што цалкам адпавядае нашым пажаданням.
Але гэта толькі для VPN падлучэнняў. Каб зрабіць сітуацыю аднолькавай як для супрацоўнікаў, падлучаных праз VPN, так і для тых, хто знаходзіцца ў офісе, быў зроблены наступны крок.
Пры падлучэнні з офіса, карыстачы пры дапамозе пратаколу 802.1x пападалі альбо ў гасцявы вілан (для госцяў), ці ў вілан з агульнымі доступамі (для супрацоўнікаў кампаніі). Далей, для атрымання спецыфічных доступаў (напрыклад, да праектаў у дата-цэнтры) супрацоўнікі павінны былі падлучацца па VPN.
Для падлучэння з офіса і з хаты ўжываліся розныя тунэльныя групы на ASA. Гэта неабходна для таго, каб для якія падключыліся з офіса трафік да агульных рэсурсаў (выкарыстоўваным усімі супрацоўнікамі, такім як пошта, файлавыя серверы, тыкетная сістэма, dns, …) хадзіў не праз ASA, а праз лакальную сетку. Такім чынам, мы не загружалі ASA лішнім трафікам, у тым ліку і высокаінтэнсіўным.
Такім чынам, задача была вырашана.
Мы атрымалі
- аднолькавы набор доступаў, як для падлучэнняў з офіса, так і для выдаленага падлучэння
- адсутнасць дэградацыі сэрвісу пры працы з офіса, звязанага з перадачай высокаінтэнсіўнага трафіку праз ASA
У чым яшчэ перавага дадзенага падыходу?
У адміністраванні доступаў. Доступы лёгка мяняюцца, у адным месцы.
Напрыклад, калі супрацоўнік пакінуў кампанію, тыя вы проста выдаляеце яго з LDAP, і ён аўтаматычна губляе ўсе доступы.
Праверка хаста (host checking)
Пры магчымасці выдаленага падлучэння мы атрымліваем рызыку дапусціць у сетку не толькі супрацоўніка кампаніі, але таксама і ўвесь шкоднасны софт, які з немалой верагоднасцю прысутнічае на яго кампутары (напрыклад, хатнім), і больш за тое, праз гэты софт мы, магчыма, адкрываем доступ у нашу сетку зламысніку, які выкарыстоўвае дадзены хост як проксі.
Разумна для хаста, які падключаецца выдалена, ужываць тыя ж патрабаванні да бяспекі, што і да хаста, змешчаным у офісе.
Гэта ў тым ліку мяркуе і "правільную" версію АС, anti-virus, anti-spyware, і firewall software і абнаўленняў. Звычайна, гэтая магчымасць існуе на VPN шлюзе (для ASA глядзі, напрыклад, ).
Таксама разумна прымяніць тыя ж метады аналізу і блакіроўкі трафіку (гл «Высокі ўзровень абароны»), што ў адпаведнасці з вашай палітыкай бяспекі прымяняецца да офіснага трафіку.
Разумна зыходзіць са здагадкі, што зараз ваша офісная сетка не абмяжоўваецца офісным будынкам і хастамі, змешчанымі ў ім.
Прыклад
Добры прыём - забяспечыць кожнага супрацоўніка, якому патрабуецца выдалены доступ, добрым, зручным наўтбукам і запатрабаваць працаваць, як у офісе, так і з дому толькі з яго.
Гэта не толькі павялічвае ўзровень бяспекі вашай сеткі, але таксама сапраўды зручна і звычайна ўспрымаецца супрацоўнікамі дадатна (калі гэта сапраўды добры і зручны наўтбук).
Аб пачуцці меры і балансе
У прынцыпе, гэта размова аб трэцяй вяршыні нашага трыкутніка - аб кошце.
Давайце разгледзім гіпатэтычны прыклад.
Прыклад
У вас офіс на 200 чалавек. Вы вырашылі зрабіць яго максімальна зручным і максімальна бяспечным.
Таму ўвесь трафік вы вырашылі прапускаць праз фаервал і такім чынам для ўсіх падсетак офіса фаервал з'яўляецца шлюзам па змаўчанні. Акрамя security софту, усталяванага на кожны канчатковы хост (anti-virus, anti-spyware, and firewall software), вы таксама вырашылі ўжыць усе магчымыя метады абароны на фаерволе.
Для забеспячэння высокай хуткасці падлучэння (усё для выгоды) у якасці камутатараў доступу вы абралі камутатары з 10-гігабітнымі партамі доступу, у якасці фаервалаў — высокапрадукцыйныя NGFW фаервалы, напрыклад, Palo Alto серыі 7K (c 40 гігабітнымі партамі), натуральна з усімі ўключанымі ліцэнзіямі і, натуральна, High Availability пару.
Таксама, вядома, для працы з гэтай лінейкай абсталявання нам патрэбныя хаця б парачка высокакваліфікаваных security інжынераў.
Далей, кожнаму супрацоўніку вы вырашылі выдаць па добрым наўтбуку.
Разам, каля 10 мільёнаў долараў на ўкараненне, сотні тысяч долараў (думаю бліжэй да мільёна) на штогадовую падтрымку і зарплаты інжынерам.
Офіс, 200 чалавек…
Зручна? Мусіць, так.Вы прыходзьце з гэтай прапановай да вашага кіраўніцтва…
Магчыма, у свеце і ёсць нейкая колькасць кампаній, для якіх гэта прымальнае і правільнае рашэнне. Калі вы супрацоўнік гэтай кампаніі - мае віншаванні, але ў пераважнай большасці выпадкаў, упэўнены, вашы веды не будуць ацэнены кіраўніцтвам.
Ці ўтрыраваны гэты прыклад? Наступны раздзел дасць адказ на гэтае пытанне.
Калі ў вашай сетцы, вы не бачыце чагосьці з пералічанага вышэй, то гэта норма.
Для кожнага канкрэтнага выпадку вам трэба знайсці свой разумны кампраміс паміж зручнасцю, коштам і бяспекай. Часта нават не патрабуецца NGFW ў вашым офісе, не патрабуецца L7 абарона на фаервале. Дастаткова забяспечыць добры ўзровень visibility і абвестак, і гэта можа быць зроблена з выкарыстанне open source прадуктаў, напрыклад. Так, ваша рэакцыя на напад не будзе імгненнай, але галоўнае, што вы яе ўбачыце, і пры наяўнасці правільных працэсаў у вашым аддзеле здолееце хутка нейтралізаваць яе.
І, нагадаю, што па задуме цыклу гэтых артыкулаў, вы не займаецеся праектаваннем сеткі, вы толькі спрабуеце палепшыць тое, што вам дасталася.
Аналіз SAFE архітэктуры офіса
Звярніце ўвагу на гэты чырвоны квадрат, якім я вылучыў месца на схеме з , якое я б хацеў тут абмеркаваць.
Гэта адно з ключавых месцаў архітэктуры і адна з найважнейшых нявызначанасцяў.
заўвагу
Я ніколі не наладжваў і не працаваў з FirePower (з лінейкі фаервалаў Cisco – толькі з ASA), таму я буду разглядаць яго, як любы іншы фаервол, напрыклад, як Juniper SRX ці Palo Alto, мяркуючы, што ў яго ёсць тыя ж магчымасці.
Са звычайных канструкцый я бачу толькі 4 магчымыя варыянты выкарыстання фаервала пры такім падлучэнні:
- шлюзам па змаўчанні для кожнай падсеткі з'яўляецца камутатар, пры гэтым фаервол знаходзіцца ў transparent модзе (гэта значыць увесь трафік ідзе праз яго, але ён не ўтворыць L3 хоп)
- шлюзам па змаўчанні для кожнай падсеткі з'яўляюцца саб-інтэрфейсы фаервала (ці SVI інтэрфейсы), камутатар гуляе ролю L2
- на камутатары выкарыстоўваюцца розныя VRF, і трафік паміж VRF ідзе праз фаервол, трафік усярэдзіне аднаго VRF кантралюецца ACL на камутатары
- увесь трафік люстэркуецца на фаервол для аналізу і маніторынгу, трафік праз яго не ідзе
заўвага 1
Магчымыя камбінацыі гэтых варыянтаў, але для прастаты мы не будзем іх разглядаць.
Заўвага2
Яшчэ ёсць магчымасць выкарыстання PBR (архітэктура service chain), але пакуль гэта, хаця і прыгожае на мой погляд рашэнне, з'яўляецца хутчэй экзотыкай, таму я не разглядаю яго тут.
З апісання струменяў у дакуменце мы бачым, што ўсё ж трафік ідзе праз фаервол, гэта значыць, у адпаведнасці з дызайнам Cisco чацвёрты варыянт адпадае.
Давайце разгледзім спачатку першыя два варыянты.
Пры гэтых варыянтах увесь трафік ідзе праз фаервал.
Цяпер глядзім , глядзім і бачым, што калі мы хочам сумарную паласу прапускання для нашага офіса мець хаця б у раёне 10 - 20 гігабіт, то мы павінны купляць 4K версію.
заўвагу
Калі я кажу пра сумарную паласу я маю на ўвазе трафік паміж падсеткамі (а не ўнутры аднаго вілан).
З GPL мы бачым, што для HA Bundle з Threat Defense кошт у залежнасці ад мадэлі (4110 – 4150) вар'іруецца ад ~0,5 – 2,5 млн. даляраў.
Гэта значыць, наш дызайн пачынае нагадваць папярэдні прыклад.
Ці значыць гэта, што гэты дызайн няправільны?
Не, не значыць. Cisco дае вам максімальна магчымую абарону на аснове лінейкі прадуктаў, якую яна мае. Але гэта не значыць, што гэта "маст-ду" для вас.
У прынцыпе, гэта звычайнае пытанне, якое ўзнікае пры дызайне офіса ці дата-цэнтра, і гэта значыць толькі тое, што трэба шукаць кампраміс.
Напрыклад, не ўвесь трафік пускаць праз фаервол, і ў гэтым выпадку трэці варыянт мне здаецца даволі сімпатычным, ці (гл. папярэдня частка), магчыма, вам не патрэбна "Threat Defense" ці наогул не патрэбен фаервол у гэтым сегменце сеткі, і вам дастаткова абмежавацца пасіўным маніторынгам з выкарыстаннем платных (не дарагіх) або open source рашэнняў, або фаервол патрэбен, але іншага вендара.
Звычайна заўсёды ёсць гэтая нявызначанасць і няма адназначнага адказу, якое рашэнне з'яўляецца для вас найлепшым.
У гэтым складанасць і прыгажосць гэтай задачы.
Крыніца: habr.com