Тази статия е петата от поредицата „Как да поемете контрола над вашата мрежова инфраструктура“. Можете да намерите съдържанието на всички статии от поредицата и връзките .
Тази част ще бъде посветена на сегментите Campus (Office) & Remote access VPN.
Проектирането на офисна мрежа може да изглежда лесно.
Наистина, ние вземаме превключватели L2/L3 и ги свързваме един към друг. След това извършваме основната настройка на vilans и шлюзове по подразбиране, настройваме просто маршрутизиране, свързваме WiFi контролери, точки за достъп, инсталираме и конфигурираме ASA за отдалечен достъп, радваме се, че всичко работи. По принцип, както вече писах в един от предишните от този цикъл почти всеки студент, който е присъствал (и научил) два семестъра на курс по телекомуникации, може да проектира и конфигурира офисна мрежа, така че тя „някак да работи“.
Но колкото повече научавате, толкова по-малко проста започва да изглежда тази задача. За мен лично тази тема, темата за проектиране на офис мрежи, не изглежда никак проста и в тази статия ще се опитам да обясня защо.
Накратко, има доста фактори, които трябва да се вземат предвид. Често тези фактори са в конфликт помежду си и трябва да се търси разумен компромис.
Тази несигурност е основната трудност. И така, говорейки за сигурност, имаме триъгълник с три върха: сигурност, удобство за служителите, цена на решението.
И всеки път трябва да търсите компромис между тези трите.
архитектура
Като пример за архитектура за тези два сегмента, както в предишни статии, препоръчвам модел: , .
Това са малко остарели документи. Представям ги тук, защото основните схеми и подход не са се променили, но в същото време представянето ми харесва повече от .
Без да ви насърчавам да използвате решенията на Cisco, все пак смятам, че е полезно внимателно да проучите този дизайн.
Тази статия, както обикновено, по никакъв начин не претендира за завършеност, а е по-скоро допълнение към тази информация.
В края на статията ще анализираме офис дизайна на Cisco SAFE по отношение на изложените тук концепции.
Общи принципи
Проектирането на офисната мрежа трябва, разбира се, да отговаря на общите изисквания, които бяха обсъдени в глава „Критерии за оценка на качеството на дизайна“. Освен цената и безопасността, които възнамеряваме да обсъдим в тази статия, все още има три критерия, които трябва да вземем предвид, когато проектираме (или правим промени):
- мащабируемост
- лекота на управление
- наличност
Голяма част от това, за което се обсъждаше Това важи и за офиса.
Но все пак офис сегментът има своите специфики, които са критични от гледна точка на сигурността. Същността на тази специфика е, че този сегмент е създаден за предоставяне на мрежови услуги на служители (както и партньори и гости) на компанията и в резултат на това на най-високо ниво на разглеждане на проблема имаме две задачи:
- защита на фирмените ресурси от злонамерени действия, които могат да идват от служители (гости, партньори) и от софтуера, който използват. Това включва и защита срещу неоторизирано свързване към мрежата.
- защита на системите и потребителските данни
И това е само едната страна на проблема (или по-скоро един връх на триъгълника). От друга страна е удобството за потребителя и цената на използваните решения.
Нека започнем, като разгледаме какво очаква потребителят от една модерна офис мрежа.
удобство
Ето как изглеждат „мрежовите удобства“ за офис потребител според мен:
- подвижност
- Възможност за използване на пълната гама от познати устройства и операционни системи
- Лесен достъп до всички необходими ресурси на компанията
- Наличие на интернет ресурси, включително различни облачни услуги
- "Бърза работа" на мрежата
Всичко това се отнася както за служителите, така и за гостите (или партньорите), а задачата на инженерите на компанията е да диференцират достъпа за различните потребителски групи въз основа на авторизация.
Нека разгледаме всеки от тези аспекти малко по-подробно.
подвижност
Говорим за възможността да работите и да използвате всички необходими ресурси на компанията от всяка точка на света (разбира се, където има интернет).
Това с пълна сила важи и за офиса. Това е удобно, когато имате възможност да продължите да работите от всяка точка на офиса, например да получавате поща, да общувате в корпоративен месинджър, да бъдете на разположение за видео разговор, ... Така това ви позволява, от една страна, за разрешаване на някои въпроси „на живо“ общуване (например участие в митинги), а от друга страна, бъдете винаги онлайн, дръжте пръста си на пулса и бързо решавайте някои спешни задачи с висок приоритет. Това е много удобно и наистина подобрява качеството на комуникацията.
Това се постига чрез правилен дизайн на WiFi мрежа.
забележка
Тук обикновено възниква въпросът: достатъчно ли е да използвате само WiFi? Това означава ли, че можете да спрете да използвате Ethernet портове в офиса? Ако говорим само за потребители, а не за сървъри, които все още е разумно да се свързват с обикновен Ethernet порт, тогава като цяло отговорът е: да, можете да се ограничите само до WiFi. Но има нюанси.
Има важни потребителски групи, които изискват отделен подход. Това, разбира се, са администраторите. По принцип WiFi връзката е по-малко надеждна (по отношение на загуба на трафик) и по-бавна от обикновения Ethernet порт. Това може да бъде важно за администраторите. В допълнение мрежовите администратори, например, могат по принцип да имат собствена специална Ethernet мрежа за връзки извън лентата.
Може да има други групи/отдели във вашата компания, за които тези фактори също са важни.
Има още един важен момент - телефонията. Може би по някаква причина не искате да използвате безжичен VoIP и искате да използвате IP телефони с обикновена Ethernet връзка.
Като цяло компаниите, за които работех, обикновено имаха както WiFi свързаност, така и Ethernet порт.
Бих искал мобилността да не се ограничава само до офиса.
За да се осигури възможност за работа от вкъщи (или друго място с достъпен интернет), се използва VPN връзка. В същото време е желателно служителите да не усещат разликата между работата от вкъщи и дистанционната работа, която предполага еднакъв достъп. Ще обсъдим как да организираме това малко по-късно в главата „Единна централизирана система за удостоверяване и оторизация“.
забележка
Най-вероятно няма да можете да предоставите напълно същото качество на услугите за дистанционна работа, което имате в офиса. Да приемем, че използвате Cisco ASA 5520 като ваш VPN шлюз. това устройство е способно да „смила“ само 225 Mbit VPN трафик. Това е, разбира се, по отношение на честотната лента, свързването чрез VPN е много различно от работата от офиса. Също така, ако по някаква причина закъснението, загубата, трептенето (например, искате да използвате офисна IP телефония) за вашите мрежови услуги са значителни, вие също няма да получите същото качество, както ако сте в офиса. Ето защо, когато говорим за мобилност, трябва да сме наясно с възможните ограничения.
Лесен достъп до всички ресурси на компанията
Тази задача трябва да се решава съвместно с други технически отдели.
Идеалната ситуация е, когато потребителят трябва да се удостовери само веднъж и след това има достъп до всички необходими ресурси.
Осигуряването на лесен достъп, без да се жертва сигурността, може значително да подобри производителността и да намали стреса сред вашите колеги.
Забележка 1
Лесният достъп не е само колко пъти трябва да въведете парола. Ако, например, в съответствие с вашата политика за сигурност, за да се свържете от офиса към центъра за данни, първо трябва да се свържете с VPN шлюза и в същото време губите достъп до офис ресурси, тогава това също е много , много неудобно.
Забележка 2
Има услуги (например достъп до мрежово оборудване), при които обикновено имаме собствени специализирани AAA сървъри и това е норма, когато в този случай трябва да се удостоверяваме няколко пъти.
Наличие на интернет ресурси
Интернет е не само забавление, но и набор от услуги, които могат да бъдат много полезни за работа. Има и чисто психологически фактори. Съвременният човек е свързан с други хора чрез интернет чрез много виртуални нишки и според мен няма нищо лошо, ако той продължава да чувства тази връзка дори докато работи.
От гледна точка на загубата на време няма нищо лошо, ако някой служител например има пуснат Skype и при необходимост прекарва 5 минути в общуване с любим човек.
Това означава ли, че интернет трябва да е винаги достъпен, означава ли това, че служителите могат да имат достъп до всички ресурси и да не ги контролират по никакъв начин?
Не не означава това, разбира се. Степента на отвореност на Интернет може да варира за различните компании - от пълно затваряне до пълна отвореност. Ще обсъдим начините за контрол на трафика по-късно в разделите за мерките за сигурност.
Възможност за използване на пълната гама от познати устройства
Удобно е, когато например имате възможност да продължите да използвате всички средства за комуникация, с които сте свикнали на работа. Няма трудности при техническото изпълнение на това. За целта се нуждаете от WiFi и wilan за гости.
Също така е добре, ако имате възможност да използвате операционната система, с която сте свикнали. Но според моите наблюдения това обикновено е разрешено само на мениджъри, администратори и разработчици.
Пример
Можете, разбира се, да следвате пътя на забраните, да забраните отдалечения достъп, да забраните свързването от мобилни устройства, да ограничите всичко до статични Ethernet връзки, да ограничите достъпа до интернет, задължително да конфискувате мобилни телефони и джаджи на контролно-пропускателния пункт... и този път всъщност се следва от някои организации с повишени изисквания за сигурност и може би в някои случаи това може да е оправдано, но... трябва да се съгласите, че това изглежда като опит да се спре напредъкът в една организация. Разбира се, бих искал да комбинирам възможностите, които съвременните технологии предоставят с достатъчно ниво на сигурност.
"Бърза работа" на мрежата
Скоростта на трансфер на данни технически се състои от много фактори. И скоростта на вашия порт за връзка обикновено не е най-важната. Бавната работа на приложението не винаги е свързана с мрежови проблеми, но засега ни интересува само мрежовата част. Най-често срещаният проблем със „забавянето“ на локалната мрежа е свързан със загуба на пакети. Това обикновено се случва, когато има пречка или L1 (OSI) проблеми. По-рядко при някои дизайни (например, когато вашите подмрежи имат защитна стена като шлюз по подразбиране и по този начин целият трафик преминава през нея), производителността на хардуера може да липсва.
Следователно, когато избирате оборудване и архитектура, трябва да съпоставите скоростите на крайните портове, стволове и производителността на оборудването.
Пример
Да приемем, че използвате комутатори с 1 гигабитови портове като комутатори на ниво достъп. Те са свързани помежду си чрез Etherchannel 2 x 10 гигабита. Като шлюз по подразбиране използвате защитна стена с гигабитови портове, за свързване на които към L2 офис мрежата използвате 2 гигабитови порта, комбинирани в Etherchannel.
Тази архитектура е доста удобна от функционална гледна точка, защото... Целият трафик минава през защитната стена и можете удобно да управлявате политики за достъп и да прилагате сложни алгоритми за контрол на трафика и предотвратяване на възможни атаки (вижте по-долу), но от гледна точка на пропускателна способност и производителност този дизайн, разбира се, има потенциални проблеми. Така например 2 хоста, изтеглящи данни (със скорост на порта 1 гигабит), могат напълно да заредят 2 гигабитова връзка към защитната стена и по този начин да доведат до влошаване на услугата за целия офис сегмент.
Разгледахме един връх на триъгълника, сега нека да видим как можем да осигурим сигурност.
средства за защита
Така че, разбира се, обикновено нашето желание (или по-скоро желанието на нашето ръководство) е да постигнем невъзможното, а именно да осигурим максимално удобство с максимална сигурност и минимални разходи.
Нека да разгледаме какви методи имаме за осигуряване на защита.
За офиса бих подчертал следното:
- подход с нулево доверие към дизайна
- високо ниво на защита
- видимост на мрежата
- единна централизирана система за удостоверяване и авторизация
- проверка на хоста
След това ще се спрем малко по-подробно на всеки от тези аспекти.
Нулево доверие
ИТ светът се променя много бързо. Само през последните 10 години появата на нови технологии и продукти доведе до основно преразглеждане на концепциите за сигурност. Преди десет години, от гледна точка на сигурността, сегментирахме мрежата на доверени, dmz и ненадеждни зони и използвахме така наречената „защита на периметъра“, където имаше 2 линии на защита: недоверие -> dmz и dmz -> Доверие. Освен това защитата обикновено беше ограничена до списъци за достъп, базирани на L3/L4 (OSI) заглавки (IP, TCP/UDP портове, TCP флагове). Всичко, свързано с по-високите нива, включително L7, беше оставено на операционната система и продуктите за сигурност, инсталирани на крайните хостове.
Сега ситуацията се промени драматично. Модерна концепция идва от факта, че вече не е възможно да се разглеждат вътрешните системи, тоест тези, разположени вътре в периметъра, като надеждни, а концепцията за самия периметър се размива.
Освен интернет връзка разполагаме и с
- VPN потребители с отдалечен достъп
- различни лични джаджи, носени лаптопи, свързани чрез офис WiFi
- други (клонови) офиси
- интеграция с облачна инфраструктура
Как изглежда на практика подходът Zero Trust?
В идеалния случай трябва да бъде разрешен само необходимият трафик и ако говорим за идеал, тогава контролът трябва да бъде не само на ниво L3/L4, но и на ниво приложение.
Ако например имате възможност да прекарате целия трафик през защитна стена, тогава можете да опитате да се доближите до идеала. Но този подход може значително да намали общата честотна лента на вашата мрежа и освен това филтрирането по приложение не винаги работи добре.
Когато контролирате трафика на рутер или L3 комутатор (използвайки стандартни ACL), срещате други проблеми:
- Това е само L3/L4 филтриране. Нищо не пречи на атакуващия да използва разрешени портове (напр. TCP 80) за своето приложение (не http)
- сложно управление на ACL (трудно анализиране на ACL)
- Това не е защитна стена с пълно състояние, което означава, че трябва изрично да разрешите обратен трафик
- с превключвателите обикновено сте доста строго ограничени от размера на TCAM, което бързо може да се превърне в проблем, ако приемете подхода „разрешете само това, от което се нуждаете“
забележка
Говорейки за обратен трафик, трябва да помним, че имаме следната възможност (Cisco)
разреши tcp всеки установен
Но трябва да разберете, че този ред е еквивалентен на два реда:
разреши tcp всяко потвърждение
разреши tcp всяко всяко първоКоето означава, че дори и да не е имало първоначален TCP сегмент с флага SYN (т.е. TCP сесията дори не е започнала да се установява), този ACL ще позволи пакет с флага ACK, който атакуващият може да използва за прехвърляне на данни.
Това означава, че този ред по никакъв начин не превръща вашия рутер или L3 превключвател в защитна стена с пълно състояние.
Високо ниво на защита
В В раздела за центрове за данни разгледахме следните методи за защита.
- защитна стена с проследяване на състоянието (по подразбиране)
- ddos/dos защита
- защитна стена на приложението
- предотвратяване на заплахи (антивирус, антишпионски софтуер и уязвимост)
- URL филтриране
- филтриране на данни (филтриране на съдържание)
- блокиране на файлове (блокиране на типове файлове)
При офис ситуацията е подобна, но приоритетите са малко по-различни. Наличността на офис (наличност) обикновено не е толкова критична, колкото в случая с център за данни, докато вероятността от „вътрешен“ злонамерен трафик е с порядъци по-висока.
Следователно следните методи за защита за този сегмент стават критични:
- защитна стена на приложението
- предотвратяване на заплахи (антивирус, антишпионски софтуер и уязвимост)
- URL филтриране
- филтриране на данни (филтриране на съдържание)
- блокиране на файлове (блокиране на типове файлове)
Въпреки че всички тези методи за защита, с изключение на защитната стена на приложенията, традиционно са били и продължават да бъдат решавани на крайните хостове (например чрез инсталиране на антивирусни програми) и използване на прокси сървъри, съвременните NGFW също предоставят тези услуги.
Доставчиците на оборудване за сигурност се стремят да създадат цялостна защита, така че заедно с локалната защита, те предлагат различни облачни технологии и клиентски софтуер за хостове (защита на крайни точки/EPP). Така, например, от Виждаме, че Palo Alto и Cisco имат свои собствени EPP (PA: Traps, Cisco: AMP), но са далеч от лидерите.
Активирането на тези защити (обикновено чрез закупуване на лицензи) на вашата защитна стена, разбира се, не е задължително (можете да използвате традиционния път), но предоставя някои предимства:
- в този случай има една точка на приложение на методите за защита, което подобрява видимостта (вижте следващата тема).
- Ако във вашата мрежа има незащитено устройство, то все още попада под „чадъра“ на защитата на защитната стена
- Като използваме защитата на защитната стена заедно със защитата на крайния хост, ние увеличаваме вероятността от откриване на злонамерен трафик. Например, използването на предотвратяване на заплахи на локални хостове и на защитна стена увеличава вероятността от откриване (при условие, разбира се, че тези решения са базирани на различни софтуерни продукти)
забележка
Ако например използвате Kaspersky като антивирус както на защитната стена, така и на крайните хостове, това, разбира се, няма да увеличи значително шансовете ви да предотвратите вирусна атака във вашата мрежа.
Видимост на мрежата
е проста - „вижте“ какво се случва във вашата мрежа, както в реално време, така и в исторически данни.
Бих разделил тази „визия“ на две групи:
Първа група: това, което обикновено ви предоставя вашата система за наблюдение.
- зареждане на оборудването
- зареждане на канали
- използване на паметта
- използване на диска
- промяна на таблицата за маршрутизиране
- състояние на връзката
- наличие на оборудване (или хостове)
- ...
Втора група: информация, свързана с безопасността.
- различни видове статистики (например по приложение, по URL трафик, какви типове данни са изтеглени, потребителски данни)
- какво е било блокирано от политиките за сигурност и по каква причина, а именно
- забранено приложение
- забранено въз основа на ip/протокол/порт/флагове/зони
- предотвратяване на заплахи
- URL филтриране
- филтриране на данни
- блокиране на файлове
- ...
- статистика за DOS/DDOS атаки
- неуспешни опити за идентификация и авторизация
- статистика за всички горепосочени събития за нарушаване на правилата за сигурност
- ...
В тази глава за сигурността ни интересува втората част.
Някои модерни защитни стени (от моя опит в Пало Алто) осигуряват добро ниво на видимост. Но, разбира се, трафикът, който ви интересува, трябва да минава през тази защитна стена (в който случай имате възможността да блокирате трафика) или огледално към защитната стена (използва се само за наблюдение и анализ) и трябва да имате лицензи, за да активирате всички тези услуги.
Има, разбира се, алтернативен начин, или по-скоро традиционния начин, напр.
- Статистиката за сесията може да се събира чрез netflow и след това да се използват специални помощни програми за анализ на информация и визуализация на данни
- предотвратяване на заплахи – специални програми (антивирус, антишпионски софтуер, защитна стена) на крайните хостове
- URL филтриране, филтриране на данни, блокиране на файлове – на прокси
- също така е възможно да се анализира tcpdump, като се използва напр.
Можете да комбинирате тези два подхода, като допълвате липсващи функции или ги дублирате, за да увеличите вероятността за откриване на атака.
Какъв подход да изберете?
До голяма степен зависи от квалификацията и предпочитанията на вашия екип.
И там, и има плюсове и минуси.
Единна централизирана система за удостоверяване и авторизация
Когато е добре проектирана, мобилността, която обсъдихме в тази статия, предполага, че имате еднакъв достъп, независимо дали работите от офиса или от вкъщи, от летището, от кафене или където и да е другаде (с ограниченията, които обсъдихме по-горе). Изглежда, какъв е проблемът?
За да разберем по-добре сложността на тази задача, нека разгледаме типичен дизайн.
Пример
- Разделили сте всички служители на групи. Решихте да предоставите достъп по групи
- Вътре в офиса вие контролирате достъпа на защитната стена на офиса
- Вие контролирате трафика от офиса към центъра за данни на защитната стена на центъра за данни
- Използвате Cisco ASA като VPN шлюз и за да контролирате трафика, влизащ във вашата мрежа от отдалечени клиенти, използвате локални (на ASA) ACL
Сега, да кажем, че сте помолени да добавите допълнителен достъп до определен служител. В този случай ще бъдете помолени да добавите достъп само до него и никой друг от неговата група.
За целта трябва да създадем отделна група за този служител, т.е
- създайте отделен IP пул на ASA за този служител
- добавете нов ACL към ASA и го свържете към този отдалечен клиент
- създаване на нови политики за сигурност на защитните стени на офиси и центрове за данни
Добре е, ако това събитие е рядко. Но в моята практика имаше ситуация, когато служителите участваха в различни проекти и този набор от проекти за някои от тях се променяше доста често и не беше 1-2 души, а десетки. Разбира се, тук трябваше нещо да се промени.
Това беше решено по следния начин.
Решихме, че LDAP ще бъде единственият източник на истина, който определя всички възможни достъпи на служители. Създадохме всякакви групи, които определят набори от достъпи, и присвоихме всеки потребител към една или повече групи.
Да предположим, че има групи
- гост (достъп до интернет)
- общ достъп (достъп до споделени ресурси: поща, база знания, ...)
- счетоводство
- проект 1
- проект 2
- администратор на база данни
- linux администратор
- ...
И ако един от служителите е участвал както в проект 1, така и в проект 2 и се нуждае от достъпа, необходим за работа в тези проекти, тогава този служител е назначен в следните групи:
- гост
- общ достъп
- проект 1
- проект 2
Как можем сега да превърнем тази информация в достъп до мрежово оборудване?
Политика за динамичен достъп (DAP) на Cisco ASA (вижте ) решението е точно за тази задача.
Накратко за нашата реализация, по време на процеса на идентификация/упълномощаване, ASA получава от LDAP набор от групи, съответстващи на даден потребител, и „събира“ от няколко локални ACL (всеки от които съответства на група) динамичен ACL с всички необходими достъпи , което напълно отговаря на нашите желания.
Но това е само за VPN връзки. За да бъде ситуацията еднаква както за служителите, свързани чрез VPN, така и за тези в офиса, беше предприета следната стъпка.
Когато се свързват от офиса, потребителите, използващи протокола 802.1x, се озовават или в LAN за гости (за гости), или в споделена LAN (за служители на компанията). Освен това, за да получат специфичен достъп (например до проекти в център за данни), служителите трябваше да се свържат чрез VPN.
За свързване от офиса и от дома в ASA бяха използвани различни тунелни групи. Това е необходимо, така че за тези, които се свързват от офиса, трафикът към споделени ресурси (използвани от всички служители, като поща, файлови сървъри, тикет система, dns, ...) не минава през ASA, а през локалната мрежа . По този начин не натоварихме ASA с ненужен трафик, включително трафик с висока интензивност.
Така проблемът беше решен.
Имаме
- един и същ набор от достъпи както за връзки от офиса, така и за отдалечени връзки
- липса на влошаване на услугата при работа от офиса, свързано с предаване на трафик с висока интензивност през ASA
Какви други предимства има този подход?
В администрацията на достъпа. Достъпите могат лесно да се променят на едно място.
Например, ако служител напусне компанията, вие просто го премахвате от LDAP и той автоматично губи пълен достъп.
Проверка на хоста
С възможността за отдалечена връзка рискуваме да допуснем в мрежата не само служител на компанията, но и целия злонамерен софтуер, който е много вероятно да присъства на неговия компютър (например дома), и освен това чрез този софтуер ние може да предоставя достъп до нашата мрежа на нападател, използващ този хост като прокси.
Логично е отдалечено свързан хост да прилага същите изисквания за сигурност като хост в офиса.
Това също предполага „правилната“ версия на операционната система, антивирусен софтуер, антишпионски софтуер и софтуер за защитна стена и актуализации. Обикновено тази възможност съществува на VPN шлюза (за ASA вижте например ).
Също така е разумно да приложите същия анализ на трафика и техники за блокиране (вижте „Високо ниво на защита“), които вашата политика за сигурност прилага към офис трафика.
Разумно е да се предположи, че вашата офис мрежа вече не е ограничена до офис сградата и хостовете в нея.
Пример
Добра техника е да осигурите на всеки служител, който има нужда от отдалечен достъп, добър, удобен лаптоп и да го задължите да работи, както в офиса, така и от вкъщи, само от него.
Той не само подобрява сигурността на вашата мрежа, но също така е наистина удобен и обикновено се гледа положително от служителите (ако е наистина добър, удобен за потребителя лаптоп).
За чувството за мярка и баланс
По принцип това е разговор за третия връх на нашия триъгълник - за цената.
Нека да разгледаме един хипотетичен пример.
Пример
Имате офис за 200 души. Решихте да го направите възможно най-удобен и безопасен.
Следователно сте решили да прекарате целия трафик през защитната стена и по този начин за всички офисни подмрежи защитната стена е шлюзът по подразбиране. В допълнение към софтуера за сигурност, инсталиран на всеки краен хост (антивирусен, антишпионски софтуер и софтуер за защитна стена), вие също решихте да приложите всички възможни методи за защита на защитната стена.
За да осигурите висока скорост на връзката (всичко за удобство), вие избирате комутатори с 10 гигабитови порта за достъп като комутатори за достъп и високопроизводителни NGFW защитни стени като защитни стени, например серия Palo Alto 7K (с 40 гигабитови порта), естествено с всички лицензи включени и, естествено, двойка с висока наличност.
Освен това, разбира се, за да работим с тази линия оборудване, се нуждаем от поне няколко висококвалифицирани инженери по сигурността.
След това решихте да дадете на всеки служител добър лаптоп.
Общо около 10 милиона долара за внедряване, стотици хиляди долари (мисля, че по-близо до милион) за годишна поддръжка и заплати на инженерите.
Офис, 200 човека...
Удобно? Предполагам, че е да.Вие идвате с това предложение до вашето ръководство...
Може би в света има редица компании, за които това е приемливо и правилно решение. Ако сте служител на тази компания, моите поздравления, но в по-голямата част от случаите съм сигурен, че знанията ви няма да бъдат оценени от ръководството.
Преувеличен ли е този пример? Следващата глава ще отговори на този въпрос.
Ако във вашата мрежа не виждате нищо от горното, това е норма.
За всеки конкретен случай трябва да намерите своя разумен компромис между удобство, цена и безопасност. Често дори не се нуждаете от NGFW във вашия офис и L7 защита на защитната стена не е необходима. Достатъчно е да осигурите добро ниво на видимост и предупреждения, като това може да стане с помощта на продукти с отворен код например. Да, вашата реакция на атака няма да бъде незабавна, но най-важното е, че ще я видите и с правилните процеси във вашия отдел ще можете бързо да я неутрализирате.
И нека ви напомня, че според концепцията на тази поредица от статии вие не проектирате мрежа, а само се опитвате да подобрите това, което имате.
SAFE анализ на офис архитектура
Обърнете внимание на този червен квадрат, от който отделих място на диаграмата които бих искал да обсъдя тук.
Това е едно от ключовите места на архитектурата и една от най-важните несигурности.
забележка
Никога не съм настройвал или работил с FirePower (от линията защитна стена на Cisco - само ASA), така че ще я третирам като всяка друга защитна стена, като Juniper SRX или Palo Alto, ако приемем, че има същите възможности.
От обичайните дизайни виждам само 4 възможни опции за използване на защитна стена с тази връзка:
- шлюзът по подразбиране за всяка подмрежа е комутатор, докато защитната стена е в прозрачен режим (т.е. целият трафик минава през нея, но не образува L3 хоп)
- шлюзът по подразбиране за всяка подмрежа е подинтерфейсите на защитната стена (или SVI интерфейси), комутаторът играе ролята на L2
- на суич се използват различни VRF и трафикът между VRF минава през защитната стена, трафикът в рамките на един VRF се контролира от ACL на суича
- целият трафик се отразява към защитната стена за анализ и наблюдение; трафикът не минава през нея
Забележка 1
Възможни са комбинации от тези опции, но за простота няма да ги разглеждаме.
Бележка 2
Има и възможност за използване на PBR (service chain architecture), но засега това, макар и красиво решение според мен, е доста екзотично, така че не го разглеждам тук.
От описанието на потоците в документа виждаме, че трафикът все още минава през защитната стена, тоест в съответствие с дизайна на Cisco четвъртата опция е елиминирана.
Нека първо разгледаме първите два варианта.
С тези опции целият трафик преминава през защитната стена.
Сега да погледнем , виж и виждаме, че ако искаме общата честотна лента за нашия офис да бъде поне около 10 - 20 гигабита, тогава трябва да купим 4K версията.
забележка
Когато говоря за обща честотна лента, имам предвид трафик между подмрежи (а не в рамките на една vilana).
От GPL виждаме, че за HA Bundle с Threat Defense цената в зависимост от модела (4110 - 4150) варира от ~0,5 - 2,5 милиона долара.
Тоест нашият дизайн започва да прилича на предишния пример.
Това означава ли, че този дизайн е грешен?
Не, това не означава. Cisco ви предоставя възможно най-добрата защита въз основа на продуктовата линия, която притежава. Но това не означава, че е задължително за вас.
По принцип това е често срещан въпрос, който възниква при проектиране на офис или център за данни и означава само, че трябва да се търси компромис.
Например, не позволявайте на целия трафик да минава през защитна стена, в който случай вариант 3 ми се струва доста добър или (вижте предишния раздел) може би нямате нужда от защита от заплахи или изобщо нямате нужда от защитна стена мрежов сегмент и просто трябва да се ограничите до пасивно наблюдение, като използвате платени (не скъпи) или решения с отворен код, или имате нужда от защитна стена, но от друг доставчик.
Обикновено винаги има тази несигурност и няма ясен отговор кое решение е най-доброто за вас.
Това е сложността и красотата на тази задача.
Източник: www.habr.com