Ovaj članak je peti u seriji “Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom”. Sadržaj svih članaka u seriji i linkove možete pronaći .
Ovaj dio će biti posvećen Campus (Office) i VPN segmentima za daljinski pristup.
Dizajn kancelarijske mreže može izgledati lako.
Zaista, uzimamo L2/L3 prekidače i povezujemo ih jedan s drugim. Zatim vršimo osnovno podešavanje vilana i default gateway-a, postavljamo jednostavno rutiranje, povezujemo WiFi kontrolere, pristupne tačke, instaliramo i konfigurišemo ASA za daljinski pristup, drago nam je da je sve funkcionisalo. Uglavnom, kao što sam već napisao u jednom od prethodnih ovog ciklusa, gotovo svaki student koji je pohađao (i naučio) dva semestra kursa telekomunikacija može dizajnirati i konfigurirati kancelarijsku mrežu tako da „nekako funkcionira“.
Ali što više naučite, ovaj zadatak se čini manje jednostavnim. Meni lično ova tema, tema dizajna kancelarijskih mreža, ne deluje nimalo jednostavno, a u ovom članku pokušaću da objasnim zašto.
Ukratko, potrebno je uzeti u obzir dosta faktora. Često su ovi faktori u međusobnom sukobu i mora se tražiti razuman kompromis.
Ova neizvjesnost je glavna poteškoća. Dakle, kada je reč o bezbednosti, imamo trougao sa tri temena: sigurnost, pogodnost za zaposlene, cena rešenja.
I svaki put morate tražiti kompromis između ovo troje.
arhitektura
Kao primjer arhitekture za ova dva segmenta, kao iu prethodnim člancima, preporučujem model: , .
Ovo su pomalo zastarjeli dokumenti. Predstavljam ih ovdje jer se osnovne šeme i pristup nisu promijenili, ali mi se istovremeno više sviđa prezentacija nego u .
Bez ohrabrivanja da koristite Cisco rješenja, ipak mislim da je korisno pažljivo proučiti ovaj dizajn.
Ovaj članak, kao i obično, ni na koji način ne pretenduje da je potpun, već je prije dodatak ovim informacijama.
Na kraju članka analiziraćemo dizajn Cisco SAFE ureda u smislu ovdje navedenih koncepata.
Opšti principi
Dizajn kancelarijske mreže mora, naravno, zadovoljiti opšte zahtjeve o kojima se raspravljalo u poglavlju „Kriterijumi za ocjenu kvaliteta dizajna“. Osim cijene i sigurnosti, o kojima namjeravamo raspravljati u ovom članku, još uvijek postoje tri kriterija koje moramo uzeti u obzir prilikom dizajniranja (ili izmjena):
- skalabilnost
- jednostavnost upotrebe (upravljivost)
- dostupnost
Mnogo toga o čemu se raspravljalo Ovo važi i za kancelariju.
Ali ipak, kancelarijski segment ima svoje specifičnosti, koje su kritične sa sigurnosne tačke gledišta. Suština ove specifičnosti je da je ovaj segment kreiran za pružanje mrežnih usluga zaposlenima (kao i partnerima i gostima) kompanije, a kao rezultat toga, na najvišem nivou sagledavanja problema imamo dva zadatka:
- zaštiti resurse kompanije od zlonamjernih radnji koje mogu doći od zaposlenika (gosti, partnera) i od softvera koji koriste. Ovo također uključuje zaštitu od neovlaštenog povezivanja na mrežu.
- zaštiti sisteme i korisničke podatke
A ovo je samo jedna strana problema (ili bolje rečeno, jedan vrh trougla). S druge strane je praktičnost korisnika i cijena korištenih rješenja.
Počnimo tako što ćemo pogledati šta korisnik očekuje od moderne kancelarijske mreže.
Pogodnosti
Evo kako po mom mišljenju izgledaju "mrežne pogodnosti" za kancelarijskog korisnika:
- Mobilnost
- Mogućnost korištenja cijelog spektra poznatih uređaja i operativnih sistema
- Jednostavan pristup svim potrebnim resursima kompanije
- Dostupnost Internet resursa, uključujući razne usluge u oblaku
- "Brzi rad" mreže
Sve ovo se odnosi i na zaposlene i na goste (ili partnere), a zadatak inženjera kompanije je da na osnovu autorizacije razlikuju pristup za različite grupe korisnika.
Pogledajmo svaki od ovih aspekata malo detaljnije.
Mobilnost
Govorimo o mogućnosti rada i korišćenja svih potrebnih resursa kompanije sa bilo kog mesta u svetu (naravno, tamo gde je internet dostupan).
Ovo se u potpunosti odnosi na kancelariju. Ovo je zgodno kada imate priliku da nastavite raditi s bilo kojeg mjesta u kancelariji, na primjer, primati poštu, komunicirati u korporativnom messengeru, biti dostupni za video poziv,... Dakle, ovo vam omogućava, s jedne strane, za rješavanje nekih problema “živa” komunikacija (npr. učestvovanje na skupovima), a s druge strane, uvijek na mreži, držanje prsta na pulsu i brzo rješavanje nekih hitnih zadataka visokog prioriteta. Ovo je vrlo zgodno i zaista poboljšava kvalitetu komunikacije.
To se postiže pravilnim dizajnom WiFi mreže.
Napomena:
Ovdje se obično postavlja pitanje: da li je dovoljno koristiti samo WiFi? Da li to znači da možete prestati koristiti Ethernet portove u kancelariji? Ako govorimo samo o korisnicima, a ne o serverima, koje je još razumno povezati s običnim Ethernet portom, onda je općenito odgovor: da, možete se ograničiti samo na WiFi. Ali postoje nijanse.
Postoje važne grupe korisnika koje zahtijevaju poseban pristup. To su, naravno, administratori. U principu, WiFi veza je manje pouzdana (u smislu gubitka saobraćaja) i sporija od običnog Ethernet porta. Ovo može biti značajno za administratore. Osim toga, mrežni administratori, na primjer, mogu, u principu, imati vlastitu namjensku Ethernet mrežu za vanpojasne veze.
U vašoj kompaniji mogu postojati i druge grupe/odjeli za koje su ovi faktori također važni.
Postoji još jedna važna tačka - telefonija. Možda iz nekog razloga ne želite da koristite bežični VoIP i želite da koristite IP telefone sa redovnom Ethernet vezom.
Generalno, kompanije u kojima sam radio obično su imale i WiFi konekciju i Ethernet port.
Volio bih da mobilnost ne bude ograničena samo na ured.
Kako bi se osigurala mogućnost rada od kuće (ili bilo kojeg drugog mjesta s pristupačnim Internetom), koristi se VPN veza. Istovremeno, poželjno je da zaposleni ne osjećaju razliku između rada od kuće i rada na daljinu, koji podrazumijeva isti pristup. Razgovarat ćemo o tome kako to organizirati malo kasnije u poglavlju „Jedinstveni centralizirani sistem autentifikacije i autorizacije“.
Napomena:
Najvjerovatnije nećete moći u potpunosti pružiti isti kvalitet usluga za daljinski rad koji imate u kancelariji. Pretpostavimo da koristite Cisco ASA 5520 kao svoj VPN gateway ovaj uređaj je u stanju da "provari" samo 225 Mbit VPN saobraćaja. To je, naravno, u smislu propusnog opsega, povezivanje putem VPN-a se jako razlikuje od rada iz ureda. Takođe, ako su iz nekog razloga kašnjenje, gubitak, podrhtavanje (na primer, želite da koristite kancelarijsku IP telefoniju) za vaše mrežne usluge značajni, takođe nećete dobiti isti kvalitet kao da ste u kancelariji. Stoga, kada govorimo o mobilnosti, moramo biti svjesni mogućih ograničenja.
Jednostavan pristup svim resursima kompanije
Ovaj zadatak treba rješavati zajedno sa drugim tehničkim odjelima.
Idealna situacija je kada korisnik treba samo jednom da se autentifikuje, a nakon toga ima pristup svim potrebnim resursima.
Omogućavanje lakog pristupa bez žrtvovanja sigurnosti može značajno poboljšati produktivnost i smanjiti stres među vašim kolegama.
Napomena 1
Lakoća pristupa nije samo u tome koliko puta morate unijeti lozinku. Ako, na primjer, u skladu sa vašom sigurnosnom politikom, da biste se povezali iz ureda s podatkovnim centrom, morate se prvo povezati na VPN gateway, a istovremeno izgubite pristup kancelarijskim resursima, onda je to također vrlo , veoma nezgodno.
Napomena 2
Postoje usluge (na primjer, pristup mrežnoj opremi) gdje obično imamo vlastite namjenske AAA servere i to je norma kada se u ovom slučaju više puta moramo autentifikovati.
Dostupnost Internet resursa
Internet nije samo zabava, već i skup usluga koje mogu biti vrlo korisne za posao. Tu su i čisto psihološki faktori. Moderna osoba je povezana sa drugim ljudima preko interneta kroz mnoge virtuelne niti i, po mom mišljenju, nema ničeg lošeg ako tu povezanost i dalje osjeća i dok radi.
Sa stanovišta gubljenja vremena, nema ništa loše ako zaposleni, na primjer, ima pokrenut Skype i provede 5 minuta u komunikaciji sa voljenom osobom ako je potrebno.
Da li to znači da internet uvijek treba da bude dostupan, da li to znači da zaposleni mogu imati pristup svim resursima i da ih ne kontroliraju ni na koji način?
Ne ne znači to, naravno. Nivo otvorenosti interneta može varirati za različite kompanije - od potpunog zatvaranja do potpune otvorenosti. O načinima kontrole saobraćaja ćemo raspravljati kasnije u odeljcima o sigurnosnim mjerama.
Mogućnost korištenja cijelog niza poznatih uređaja
Zgodno je kada, na primjer, imate priliku da nastavite koristiti sva sredstva komunikacije na koja ste navikli na poslu. Nema poteškoća u tehničkoj implementaciji ovoga. Za ovo vam je potreban WiFi i wilan za goste.
Takođe je dobro ako imate priliku da koristite operativni sistem na koji ste navikli. Ali, po mom zapažanju, ovo je obično dozvoljeno samo menadžerima, administratorima i programerima.
Primjer:
Možete, naravno, ići putem zabrana, zabraniti daljinski pristup, zabraniti povezivanje sa mobilnih uređaja, ograničiti sve na statične Ethernet veze, ograničiti pristup internetu, obavezno oduzeti mobitele i gadgete na kontrolnom punktu... i ovaj put zapravo slijede neke organizacije sa povećanim sigurnosnim zahtjevima, i možda u nekim slučajevima to može biti opravdano, ali... morate se složiti da ovo izgleda kao pokušaj da se zaustavi napredak u jednoj organizaciji. Naravno, želio bih spojiti mogućnosti koje pružaju moderne tehnologije sa dovoljnim nivoom sigurnosti.
"Brzi rad" mreže
Brzina prijenosa podataka tehnički se sastoji od mnogo faktora. A brzina vašeg priključka obično nije najvažnija. Spor rad aplikacije nije uvijek povezan s mrežnim problemima, ali za sada nas zanima samo mrežni dio. Najčešći problem sa "usporavanjem" lokalne mreže je vezan za gubitak paketa. Ovo se obično dešava kada postoji usko grlo ili problemi L1 (OSI). Ređe, kod nekih dizajna (na primer, kada vaše podmreže imaju zaštitni zid kao podrazumevani gateway i stoga sav saobraćaj prolazi kroz njega), performanse hardvera možda nedostaju.
Stoga, kada birate opremu i arhitekturu, morate povezati brzine krajnjih portova, trankova i performansi opreme.
Primjer:
Pretpostavimo da koristite prekidače sa 1 gigabitnim portovima kao prekidače sloja pristupa. Oni su međusobno povezani preko Etherchannel 2 x 10 gigabita. Kao podrazumevani gateway, koristite zaštitni zid sa gigabitnim portovima, za povezivanje sa L2 uredskom mrežom koristite 2 gigabitna porta kombinovana u Etherchannel.
Ova arhitektura je prilično zgodna sa aspekta funkcionalnosti, jer... Sav promet prolazi kroz zaštitni zid, a vi možete udobno upravljati politikama pristupa i primjenjivati složene algoritme za kontrolu prometa i sprječavanje mogućih napada (pogledajte dolje), ali sa stanovišta propusnosti i performansi ovaj dizajn, naravno, ima potencijalne probleme. Tako, na primjer, 2 hosta koji preuzimaju podatke (sa brzinom porta od 1 gigabita) mogu u potpunosti učitati 2 gigabitnu vezu na firewall i tako dovesti do degradacije usluge za cijeli segment ureda.
Pogledali smo jedan vrh trougla, a sada pogledajmo kako možemo osigurati sigurnost.
Sredstva zaštite
Dakle, naravno, obično je naša želja (ili bolje rečeno, želja našeg menadžmenta) da postignemo nemoguće, odnosno da pružimo maksimalnu udobnost uz maksimalnu sigurnost i minimalne troškove.
Pogledajmo koje metode imamo da pružimo zaštitu.
Za kancelariju bih istakao sledeće:
- pristup dizajnu bez povjerenja
- visok nivo zaštite
- vidljivost mreže
- jedinstveni centralizovani sistem autentifikacije i autorizacije
- host checking
Zatim ćemo se zadržati malo detaljnije na svakom od ovih aspekata.
ZeroTrust
IT svijet se vrlo brzo mijenja. Samo u proteklih 10 godina, pojava novih tehnologija i proizvoda dovela je do velike revizije sigurnosnih koncepata. Prije deset godina, sa sigurnosne tačke gledišta, mrežu smo segmentirali na zone povjerenja, dmz i nepovjerenja, te koristili tzv. „perimetarsku zaštitu“, gdje su postojale 2 linije odbrane: nepovjerenje -> dmz i dmz -> povjerenje. Takođe, zaštita je obično bila ograničena na pristupne liste zasnovane na L3/L4 (OSI) zaglavljima (IP, TCP/UDP portovi, TCP zastavice). Sve što se tiče viših nivoa, uključujući L7, prepušteno je OS-u i sigurnosnim proizvodima instaliranim na krajnjim hostovima.
Sada se situacija dramatično promijenila. Moderan koncept proizilazi iz činjenice da unutrašnje sisteme, odnosno one koji se nalaze unutar perimetra više nije moguće smatrati pouzdanim, a sam koncept perimetra je postao zamagljen.
Osim internet konekcije imamo i
- VPN korisnici sa udaljenim pristupom
- razni lični gedžeti, doneseni laptopi, povezani preko kancelarijskog WiFi-a
- druge (filijale) kancelarije
- integracija sa infrastrukturom oblaka
Kako pristup Zero Trust izgleda u praksi?
U idealnom slučaju, treba dozvoliti samo onaj promet koji je potreban, a ako govorimo o idealnom, onda kontrola treba biti ne samo na nivou L3/L4, već na nivou aplikacije.
Ako, na primjer, imate mogućnost da sav promet prođete kroz zaštitni zid, onda možete pokušati da se približite idealu. Ali ovaj pristup može značajno smanjiti ukupnu propusnost vaše mreže, a osim toga, filtriranje prema aplikaciji ne funkcionira uvijek dobro.
Kada kontrolišete promet na ruteru ili L3 prekidaču (koristeći standardne ACL-ove), naići ćete na druge probleme:
- Ovo je samo L3/L4 filtriranje. Ništa ne sprečava napadača da koristi dozvoljene portove (npr. TCP 80) za svoju aplikaciju (ne http)
- složeno upravljanje ACL-ovima (teško za raščlanjivanje ACL-ova)
- Ovo nije zaštitni zid pun stanja, što znači da morate eksplicitno dozvoliti obrnuti promet
- sa prekidačima ste obično prilično čvrsto ograničeni veličinom TCAM-a, što može brzo postati problem ako uzmete pristup "dozvolite samo ono što vam treba"
Napomena:
Govoreći o obrnutom saobraćaju, moramo imati na umu da imamo sljedeću priliku (Cisco)
dozvoliti tcp bilo koji ustanovljen
Ali morate shvatiti da je ova linija ekvivalentna dvije linije:
dozvoli tcp bilo koji ack
dozvoli tcp bilo koji prviŠto znači da čak i ako nije postojao početni TCP segment sa SYN zastavicom (tj. TCP sesija nije ni počela da se uspostavlja), ovaj ACL će dozvoliti paket sa ACK zastavicom, koji napadač može koristiti za prenos podataka.
Odnosno, ova linija ni na koji način ne pretvara vaš ruter ili L3 prekidač u zaštitni zid pun stanja.
Visok nivo zaštite
В U dijelu o podatkovnim centrima razmotrili smo sljedeće metode zaštite.
- zaštitni zid sa stanjem (zadano)
- ddos/dos zaštita
- zaštitni zid aplikacija
- prevencija prijetnji (antivirus, anti-špijunski softver i ranjivost)
- Filtriranje URL-a
- filtriranje podataka (filtriranje sadržaja)
- blokiranje fajlova (blokiranje tipova datoteka)
U slučaju ureda, situacija je slična, ali su prioriteti malo drugačiji. Dostupnost (dostupnost) ureda obično nije toliko kritična kao u slučaju podatkovnog centra, dok je vjerovatnoća „unutrašnjeg“ zlonamjernog prometa za redove veličine veća.
Stoga, sljedeće metode zaštite za ovaj segment postaju kritične:
- zaštitni zid aplikacija
- prevencija prijetnji (anti-virus, anti-spyware i ranjivost)
- Filtriranje URL-a
- filtriranje podataka (filtriranje sadržaja)
- blokiranje fajlova (blokiranje tipova datoteka)
Iako su sve ove metode zaštite, s izuzetkom vatrozida aplikacija, tradicionalno bile i nastavljaju da se rješavaju na krajnjim hostovima (na primjer, instaliranjem antivirusnih programa) i korištenjem proksija, moderni NGFW-ovi također pružaju ove usluge.
Prodavci sigurnosne opreme nastoje stvoriti sveobuhvatnu zaštitu, pa uz lokalnu zaštitu nude različite tehnologije u oblaku i klijentski softver za hostove (end point protection/EPP). Tako, na primjer, iz Vidimo da Palo Alto i Cisco imaju svoje EPP (PA: Traps, Cisco: AMP), ali su daleko od lidera.
Omogućavanje ovih zaštita (obično kupovinom licenci) na vašem firewall-u naravno nije obavezno (možete ići tradicionalnim putem), ali pruža neke prednosti:
- u ovom slučaju postoji jedna tačka primjene metoda zaštite, koja poboljšava vidljivost (vidi sljedeću temu).
- Ako na vašoj mreži postoji nezaštićeni uređaj, on i dalje spada pod "kišobran" zaštite vatrozida
- Korištenjem zaštite zaštitnog zida u kombinaciji sa zaštitom krajnjeg hosta povećavamo vjerovatnoću otkrivanja zlonamjernog prometa. Na primjer, korištenje prevencije prijetnji na lokalnim hostovima i na firewall-u povećava vjerovatnoću otkrivanja (naravno, pod uvjetom da su ova rješenja bazirana na različitim softverskim proizvodima)
Napomena:
Ako, na primjer, koristite Kaspersky kao antivirus i na firewall-u i na krajnjim hostovima, onda to, naravno, neće značajno povećati vaše šanse da spriječite napad virusa na vašu mrežu.
Mrežna vidljivost
je jednostavno - "vidite" šta se dešava na vašoj mreži, u realnom vremenu i istorijskim podacima.
Ovu “viziju” bih podijelio u dvije grupe:
Grupa prva: ono što vam obično pruža vaš sistem za praćenje.
- utovar opreme
- učitavanje kanala
- korištenje memorije
- korištenje diska
- promenu tabele rutiranja
- status veze
- dostupnost opreme (ili domaćina)
- ...
Grupa dva: informacije vezane za sigurnost.
- razne vrste statistike (na primjer, po aplikaciji, prema URL prometu, koje vrste podataka su preuzete, korisnički podaci)
- šta je blokirano sigurnosnim politikama i iz kojeg razloga, naime
- zabranjena primena
- zabranjeno na osnovu ip/protocol/port/flags/zone
- sprečavanje pretnji
- url filtriranje
- filtriranje podataka
- blokiranje fajlova
- ...
- statistika o DOS/DDOS napadima
- neuspjeli pokušaji identifikacije i autorizacije
- statistike za sve gore navedene događaje kršenja sigurnosne politike
- ...
U ovom poglavlju o sigurnosti zanima nas drugi dio.
Neki moderni zaštitni zidovi (iz mog iskustva u Palo Altu) pružaju dobar nivo vidljivosti. Ali, naravno, promet koji vas zanima mora proći kroz ovaj firewall (u tom slučaju imate mogućnost blokiranja prometa) ili preslikati na firewall (koristi se samo za praćenje i analizu), i morate imati licence da biste omogućili sve ove usluge.
Postoji, naravno, alternativni način, odnosno tradicionalni način, npr.
- Statistika sesije se može prikupiti putem netflow-a, a zatim koristiti posebne uslužne programe za analizu informacija i vizualizaciju podataka
- prevencija prijetnji – posebni programi (anti-virus, anti-spyware, firewall) na krajnjim hostovima
- Filtriranje URL-a, filtriranje podataka, blokiranje fajlova – na proxy-u
- također je moguće analizirati tcpdump koristeći npr.
Možete kombinovati ova dva pristupa, nadopunjujući nedostajuće karakteristike ili ih duplirajući kako biste povećali vjerovatnoću otkrivanja napada.
Koji pristup odabrati?
U velikoj mjeri ovisi o kvalifikacijama i preferencijama vašeg tima.
I tu i tamo ima prednosti i mana.
Jedinstveni centralizovani sistem autentifikacije i autorizacije
Kada je dobro osmišljena, mobilnost o kojoj smo govorili u ovom članku pretpostavlja da imate isti pristup bilo da radite iz ureda ili od kuće, sa aerodroma, iz kafića ili bilo gdje drugdje (uz ograničenja o kojima smo gore govorili). Čini se, u čemu je problem?
Da bismo bolje razumjeli složenost ovog zadatka, pogledajmo tipičan dizajn.
Primjer:
- Podijelili ste sve zaposlene u grupe. Odlučili ste da omogućite pristup po grupama
- Unutar ureda kontrolirate pristup na kancelarijskom firewall-u
- Vi kontrolišete saobraćaj od kancelarije do data centra na firewall-u data centra
- Koristite Cisco ASA kao VPN gateway i za kontrolu prometa koji ulazi u vašu mrežu sa udaljenih klijenata, koristite lokalne (na ASA) ACL-ove
Sada, recimo da se od vas traži da dodate dodatni pristup određenom zaposleniku. U ovom slučaju, od vas se traži da dodate pristup samo njemu i nikome drugom iz njegove grupe.
Za ovo moramo napraviti posebnu grupu za ovog zaposlenika, tj
- kreirajte zasebno IP spremište na ASA za ovog zaposlenika
- dodajte novi ACL na ASA i povežite ga s tim udaljenim klijentom
- kreirajte nove sigurnosne politike na zaštitnim zidovima ureda i podatkovnog centra
Dobro je ako je ovaj događaj rijedak. Ali u mojoj praksi bila je situacija kada su zaposlenici sudjelovali u različitim projektima, a ovaj skup projekata za neke od njih se često mijenjao, i to nije bilo 1-2 osobe, već desetine. Naravno, tu je trebalo nešto promijeniti.
To je riješeno na sljedeći način.
Odlučili smo da će LDAP biti jedini izvor istine koji određuje sve moguće pristupe zaposlenika. Napravili smo sve vrste grupa koje definiraju skupove pristupa, a svakog korisnika smo dodijelili jednoj ili više grupa.
Tako, na primjer, pretpostavimo da postoje grupe
- gost (pristup internetu)
- zajednički pristup (pristup zajedničkim resursima: pošta, baza znanja,...)
- računovodstvo
- projekt 1
- projekt 2
- administrator baze podataka
- linux administrator
- ...
A ako je neko od zaposlenih bio uključen i u projekat 1 i u projekat 2, a njemu je bio potreban pristup neophodan za rad na ovim projektima, onda je ovaj zaposlenik raspoređen u sledeće grupe:
- gost
- zajednički pristup
- projekt 1
- projekt 2
Kako sada možemo ove informacije pretvoriti u pristup mrežnoj opremi?
Cisco ASA Politika dinamičkog pristupa (DAP) (vidi ) rješenje je pravo za ovaj zadatak.
Ukratko o našoj implementaciji, tokom procesa identifikacije/autorizacije, ASA prima od LDAP-a skup grupa koje odgovaraju datom korisniku i "prikuplja" od nekoliko lokalnih ACL-ova (od kojih svaki odgovara grupi) dinamički ACL sa svim potrebnim pristupima , što u potpunosti odgovara našim željama.
Ali ovo je samo za VPN veze. Kako bi situacija bila ista i za zaposlene povezane preko VPN-a i za one u kancelariji, poduzet je sljedeći korak.
Prilikom povezivanja iz kancelarije, korisnici koji koriste 802.1x protokol završili su ili u LAN-u za goste (za goste) ili u zajedničkom LAN-u (za zaposlene u kompaniji). Nadalje, da bi dobili određeni pristup (na primjer, projektima u data centru), zaposleni su se morali povezati putem VPN-a.
Za povezivanje iz ureda i od kuće korištene su različite grupe tunela na ASA. Ovo je neophodno kako za one koji se povezuju iz kancelarije, saobraćaj ka zajedničkim resursima (koje koriste svi zaposleni, kao što su mail, fajl serveri, tiket sistem, dns,...) ne bi išao preko ASA, već preko lokalne mreže . Dakle, nismo opteretili ASA nepotrebnim prometom, uključujući i promet visokog intenziteta.
Time je problem riješen.
Imamo
- isti skup pristupa za obje veze iz ureda i udaljene veze
- odsustvo degradacije usluge pri radu iz kancelarije povezano sa prenosom saobraćaja visokog intenziteta preko ASA
Koje su još prednosti ovog pristupa?
U administraciji pristupa. Pristupi se mogu lako promijeniti na jednom mjestu.
Na primjer, ako zaposlenik napusti kompaniju, onda ga jednostavno uklonite iz LDAP-a i on automatski gubi svaki pristup.
Host checking
Sa mogućnošću daljinskog povezivanja, rizikujemo da ne samo zaposlenika kompanije omogućimo pristup mreži, već i sav zlonamjerni softver koji je vrlo vjerovatno prisutan na njegovom računaru (npr. kućnom), a osim toga, preko ovog softvera mi možda pruža pristup našoj mreži napadaču koji koristi ovaj host kao proxy.
Ima smisla da udaljeni povezani host primjenjuje iste sigurnosne zahtjeve kao i host u uredu.
Ovo također pretpostavlja "ispravnu" verziju OS-a, antivirusni, anti-špijunski softver i softver i ažuriranja zaštitnog zida. Obično ova mogućnost postoji na VPN gateway-u (za ASA pogledajte, na primjer, ).
Također je mudro primijeniti iste tehnike analize prometa i blokiranja (pogledajte “Visoki nivo zaštite”) koje vaša sigurnosna politika primjenjuje na kancelarijski promet.
Razumno je pretpostaviti da vaša kancelarijska mreža više nije ograničena na poslovnu zgradu i domaćine u njoj.
Primjer:
Dobra tehnika je da se svakom zaposlenom kome je potreban daljinski pristup obezbedi dobar, zgodan laptop i zahteva od njega da radi, kako u kancelariji tako i od kuće, samo sa njega.
Ne samo da poboljšava sigurnost vaše mreže, već je i zaista zgodan i zaposleni ga obično pozitivno gledaju (ako se radi o stvarno dobrom laptopu prilagođenom korisniku).
O osjećaju za proporciju i ravnotežu
U osnovi, ovo je razgovor o trećem vrhu našeg trougla - o cijeni.
Pogledajmo hipotetički primjer.
Primjer:
Imate kancelariju za 200 ljudi. Odlučili ste da ga učinite što praktičnijim i sigurnijim.
Stoga ste odlučili da sav promet prođete kroz zaštitni zid i stoga za sve kancelarijske podmreže zaštitni zid je podrazumevani gateway. Pored sigurnosnog softvera instaliranog na svakom krajnjem hostu (anti-virus, anti-spyware i firewall softver), također ste odlučili primijeniti sve moguće metode zaštite na firewall-u.
Da biste osigurali veliku brzinu veze (sve radi praktičnosti), odabrali ste prekidače sa 10 Gigabit pristupnih portova kao pristupne prekidače i NGFW vatrozide visokih performansi kao vatrozide, na primjer, Palo Alto 7K serija (sa 40 Gigabit portova), naravno sa svim licencama uključen i, naravno, par visoke dostupnosti.
Takođe, naravno, za rad sa ovom linijom opreme potrebno nam je barem nekoliko visokokvalifikovanih sigurnosnih inženjera.
Zatim ste odlučili da svakom zaposlenom date dobar laptop.
Ukupno, oko 10 miliona dolara za implementaciju, stotine hiljada dolara (mislim da je blizu milion) za godišnju podršku i plate za inženjere.
Kancelarija, 200 ljudi...
Udoban? Valjda je da.Dolazite sa ovim predlogom svom menadžmentu...
Možda postoji niz kompanija u svijetu za koje je ovo prihvatljivo i ispravno rješenje. Ako ste zaposlenik ove kompanije, moje čestitke, ali u velikoj većini slučajeva, siguran sam da vaše znanje neće biti cijenjeno od strane menadžmenta.
Je li ovaj primjer pretjeran? Sledeće poglavlje će odgovoriti na ovo pitanje.
Ako na vašoj mreži ne vidite ništa od gore navedenog, onda je to norma.
Za svaki konkretan slučaj morate pronaći svoj razumni kompromis između pogodnosti, cijene i sigurnosti. Često vam ni ne treba NGFW u vašoj kancelariji, a L7 zaštita na firewall-u nije potrebna. Dovoljno je obezbijediti dobar nivo vidljivosti i upozorenja, a to se može učiniti korištenjem open source proizvoda, na primjer. Da, vaša reakcija na napad neće biti trenutna, ali najvažnije je da ćete to vidjeti, a uz odgovarajuće procese u vašem odjelu moći ćete je brzo neutralizirati.
I da vas podsjetim da, prema konceptu ove serije članaka, vi ne dizajnirate mrežu, već samo pokušavate poboljšati ono što ste dobili.
SIGURNA analiza kancelarijske arhitekture
Obratite pažnju na ovaj crveni kvadrat kojem sam dodijelio mjesto na dijagramu o čemu bih želeo da diskutujem ovde.
Ovo je jedno od ključnih mjesta arhitekture i jedna od najvažnijih neizvjesnosti.
Napomena:
Nikada nisam postavljao niti radio sa FirePower-om (iz Ciscove linije zaštitnog zida - samo ASA), tako da ću ga tretirati kao bilo koji drugi zaštitni zid, kao što je Juniper SRX ili Palo Alto, pod pretpostavkom da ima iste mogućnosti.
Od uobičajenih dizajna, vidim samo 4 moguće opcije za korištenje firewall-a s ovom vezom:
- podrazumevani gateway za svaku podmrežu je prekidač, dok je firewall u transparentnom režimu (to jest, sav saobraćaj ide kroz njega, ali ne formira L3 skok)
- podrazumevani gateway za svaku podmrežu su pod-sučelja zaštitnog zida (ili SVI sučelja), prekidač igra ulogu L2
- na komutatoru se koriste različiti VRF-ovi, a promet između VRF-ova ide kroz zaštitni zid, promet unutar jednog VRF-a kontrolira ACL na prekidaču
- sav promet se preslikava na firewall radi analize i praćenja; promet ne prolazi kroz njega
Napomena 1
Moguće su kombinacije ovih opcija, ali ih zbog jednostavnosti nećemo razmatrati.
Napomena2
Postoji i mogućnost korištenja PBR (arhitekture lanca usluga), ali za sada je ovo, iako lijepo rješenje po mom mišljenju, prilično egzotično, pa ga ovdje ne razmatram.
Iz opisa tokova u dokumentu vidimo da saobraćaj i dalje ide kroz firewall, odnosno u skladu sa Cisco dizajnom, četvrta opcija je eliminisana.
Pogledajmo prvo prve dvije opcije.
Sa ovim opcijama sav promet prolazi kroz zaštitni zid.
Sada pogledajmo , gledaj i vidimo da ako želimo da ukupna propusnost za našu kancelariju bude barem oko 10 - 20 gigabita, onda moramo kupiti 4K verziju.
Napomena:
Kada govorim o ukupnom propusnom opsegu, mislim na promet između podmreža (a ne unutar jedne vilane).
Iz GPL-a vidimo da za HA Bundle sa Threat Defense, cijena ovisno o modelu (4110 - 4150) varira od ~0,5 - 2,5 miliona dolara.
Odnosno, naš dizajn počinje ličiti na prethodni primjer.
Znači li to da je ovaj dizajn pogrešan?
Ne, to ne znači to. Cisco vam pruža najbolju moguću zaštitu na osnovu linije proizvoda koju ima. Ali to ne znači da to morate učiniti.
U principu, ovo je uobičajeno pitanje koje se nameće prilikom projektovanja kancelarije ili data centra, a to samo znači da treba tražiti kompromis.
Na primjer, ne dozvolite da sav promet prolazi kroz zaštitni zid, u tom slučaju mi se opcija 3 čini prilično dobrom, ili (pogledajte prethodni odjeljak) možda vam ne treba zaštita od prijetnji ili vam uopće ne treba zaštitni zid na tome mrežni segment, a vi se samo trebate ograničiti na pasivno praćenje koristeći plaćena (ne skupa) ili open source rješenja, ili vam je potreban firewall, ali drugog proizvođača.
Obično uvijek postoji ta neizvjesnost i nema jasnog odgovora koja je odluka najbolja za vas.
To je složenost i ljepota ovog zadatka.
izvor: www.habr.com