Aquest article és el cinquè de la sèrie "Com prendre el control de la vostra infraestructura de xarxa". Es pot trobar el contingut de tots els articles de la sèrie i els enllaços .
Aquesta part es dedicarà als segments Campus (oficina) i VPN d'accés remot.
El disseny de la xarxa d'oficines pot semblar fàcil.
De fet, agafem interruptors L2/L3 i els connectem entre ells. A continuació, realitzem la configuració bàsica de vilans i passarel·les per defecte, configurem un enrutament senzill, connectem controladors WiFi, punts d'accés, instal·lem i configurem ASA per a l'accés remot, estem contents que tot hagi funcionat. Bàsicament, com ja he escrit en un dels anteriors d'aquest cicle, gairebé tots els estudiants que han assistit (i han après) dos semestres d'un curs de telecomunicacions poden dissenyar i configurar una xarxa d'oficines perquè "funcioni d'alguna manera".
Però com més aprens, menys senzilla comença a semblar aquesta tasca. A mi personalment, aquest tema, el tema del disseny de xarxes d'oficines, no em sembla gens senzill, i en aquest article intentaré explicar per què.
En resum, hi ha molts factors a tenir en compte. Sovint, aquests factors estan en conflicte entre ells i s'ha de buscar un compromís raonable.
Aquesta incertesa és la principal dificultat. Així doncs, parlant de seguretat, tenim un triangle amb tres vèrtexs: seguretat, comoditat per als empleats, preu de la solució.
I cada vegada has de buscar un compromís entre aquests tres.
arquitectura
Com a exemple d'arquitectura per a aquests dos segments, com en articles anteriors, el recomano model: , .
Són documents una mica obsolets. Els presento aquí perquè els esquemes i l'enfocament fonamentals no han canviat, però al mateix temps m'agrada més la presentació que en .
Sense animar-vos a utilitzar les solucions de Cisco, encara crec que és útil estudiar amb atenció aquest disseny.
Aquest article, com és habitual, no pretén de cap manera ser complet, sinó que és un complement a aquesta informació.
Al final de l'article, analitzarem el disseny de l'oficina de Cisco SAFE en termes dels conceptes descrits aquí.
Principis generals
El disseny de la xarxa d'oficines ha de satisfer, per descomptat, els requisits generals que s'han comentat en el capítol “Criteris per avaluar la qualitat del disseny”. A més de preu i seguretat, que volem parlar en aquest article, encara hi ha tres criteris que hem de tenir en compte a l'hora de dissenyar (o fer canvis):
- escalabilitat
- facilitat d'ús (manejabilitat)
- disponibilitat
Gran part del que es va parlar Això també és cert per a l'oficina.
Però tot i així, el segment d'oficines té les seves pròpies especificitats, que són crítiques des del punt de vista de la seguretat. L'essència d'aquesta especificitat és que aquest segment es crea per oferir serveis de xarxa als empleats (així com als socis i convidats) de l'empresa i, com a resultat, al més alt nivell de consideració del problema tenim dues tasques:
- protegir els recursos de l'empresa d'accions malicioses que puguin provenir dels empleats (convidats, socis) i del programari que utilitzen. Això també inclou protecció contra connexions no autoritzades a la xarxa.
- protegir els sistemes i les dades dels usuaris
I aquest és només un costat del problema (o millor dit, un vèrtex del triangle). A l'altra banda hi ha la comoditat per a l'usuari i el preu de les solucions utilitzades.
Comencem mirant què espera un usuari d'una xarxa d'oficines moderna.
Instal·lacions
A continuació, es mostra com són les "equipaments de xarxa" per a un usuari d'oficina, al meu entendre:
- Mobilitat
- Capacitat per utilitzar tota la gamma de dispositius i sistemes operatius coneguts
- Fàcil accés a tots els recursos necessaris de l'empresa
- Disponibilitat de recursos d'Internet, inclosos diversos serveis al núvol
- "Funcionament ràpid" de la xarxa
Tot això s'aplica tant als empleats com als convidats (o socis), i és tasca dels enginyers de l'empresa diferenciar l'accés per a diferents grups d'usuaris en funció de l'autorització.
Vegem cada un d'aquests aspectes amb una mica més de detall.
Mobilitat
Estem parlant de l'oportunitat de treballar i utilitzar tots els recursos necessaris de l'empresa des de qualsevol lloc del món (per descomptat, on hi hagi Internet).
Això s'aplica totalment a l'oficina. Això és convenient quan tens l'oportunitat de continuar treballant des de qualsevol punt de l'oficina, per exemple, rebre correu, comunicar-te en un missatger corporatiu, estar disponible per a una videotrucada,... Així, això et permet, d'una banda, per resoldre alguns problemes de comunicació “en directe” (per exemple, participar en concentracions), i d'altra banda, estar sempre en línia, mantenir el dit al pols i resoldre ràpidament algunes tasques urgents d'alta prioritat. Això és molt convenient i millora realment la qualitat de les comunicacions.
Això s'aconsegueix mitjançant un disseny adequat de la xarxa WiFi.
Nota:
Aquí sol sorgir la pregunta: n'hi ha prou amb utilitzar només WiFi? Això vol dir que podeu deixar d'utilitzar ports Ethernet a l'oficina? Si estem parlant només d'usuaris, i no de servidors, que encara són raonables per connectar-se amb un port Ethernet normal, aleshores, en general, la resposta és: sí, només podeu limitar-vos a WiFi. Però hi ha matisos.
Hi ha grups d'usuaris importants que requereixen un enfocament separat. Aquests són, per descomptat, administradors. En principi, una connexió WiFi és menys fiable (en termes de pèrdua de trànsit) i més lenta que un port Ethernet normal. Això pot ser important per als administradors. A més, els administradors de xarxa, per exemple, poden, en principi, tenir la seva pròpia xarxa Ethernet dedicada per a connexions fora de banda.
Pot haver-hi altres grups/departaments a la vostra empresa per als quals aquests factors també són importants.
Hi ha un altre punt important: la telefonia. Potser per alguna raó no voleu utilitzar VoIP sense fil i voleu utilitzar telèfons IP amb una connexió Ethernet normal.
En general, les empreses per a les quals treballava normalment tenien connectivitat WiFi i port Ethernet.
M'agradaria que la mobilitat no es limités només a l'oficina.
Per garantir la possibilitat de treballar des de casa (o qualsevol altre lloc amb Internet accessible), s'utilitza una connexió VPN. Al mateix temps, és desitjable que els empleats no sentin la diferència entre el treball des de casa i el treball a distància, que suposa el mateix accés. Discutirem com organitzar-ho una mica més endavant al capítol "Sistema d'autorització i autenticació centralitzada unificada".
Nota:
El més probable és que no pugueu oferir completament la mateixa qualitat de serveis de treball remot que teniu a l'oficina. Suposem que esteu utilitzant un Cisco ASA 5520 com a passarel·la VPN aquest dispositiu és capaç de "digerir" només 225 Mbit de trànsit VPN. És a dir, per descomptat, en termes d'ample de banda, connectar-se mitjançant VPN és molt diferent de treballar des de l'oficina. A més, si, per algun motiu, la latència, la pèrdua, la fluctuació (per exemple, voleu utilitzar la telefonia IP de l'oficina) per als vostres serveis de xarxa són importants, tampoc rebeu la mateixa qualitat que si estiguéssiu a l'oficina. Per tant, quan parlem de mobilitat, hem de ser conscients de les possibles limitacions.
Fàcil accés a tots els recursos de l'empresa
Aquesta tasca s'ha de resoldre conjuntament amb altres departaments tècnics.
La situació ideal és quan l'usuari només necessita autenticar-se una vegada, i després té accés a tots els recursos necessaris.
Proporcionar un accés fàcil sense sacrificar la seguretat pot millorar significativament la productivitat i reduir l'estrès entre els vostres companys.
Observació 1
La facilitat d'accés no és només quantes vegades has d'introduir una contrasenya. Si, per exemple, d'acord amb la vostra política de seguretat, per connectar-vos des de l'oficina al centre de dades, primer heu de connectar-vos a la passarel·la VPN i, al mateix temps, perdeu l'accés als recursos de l'oficina, això també és molt , molt incòmode.
Observació 2
Hi ha serveis (per exemple, accés a equips de xarxa) on normalment tenim els nostres propis servidors dedicats AAA i això és la norma quan en aquest cas ens hem d'autenticar diverses vegades.
Disponibilitat de recursos d'Internet
Internet no és només entreteniment, sinó també un conjunt de serveis que poden ser molt útils per a la feina. També hi ha factors purament psicològics. Una persona moderna es connecta amb altres persones a través d'Internet a través de molts fils virtuals i, al meu entendre, no passa res si continua sentint aquesta connexió fins i tot mentre treballa.
Des del punt de vista de perdre el temps, no hi ha res dolent si un empleat, per exemple, té Skype en funcionament i passa 5 minuts comunicant-se amb un ésser estimat si cal.
Això vol dir que Internet hauria d'estar sempre disponible, vol dir això que els empleats poden tenir accés a tots els recursos i no controlar-los de cap manera?
No, no vol dir això, és clar. El nivell d'obertura d'Internet pot variar segons les diferents empreses, des del tancament complet fins a l'obertura total. Més endavant parlarem de les maneres de controlar el trànsit en els apartats de mesures de seguretat.
Capacitat d'utilitzar tota la gamma de dispositius coneguts
És convenient quan, per exemple, tens l'oportunitat de seguir utilitzant tots els mitjans de comunicació als quals estàs acostumat a la feina. No hi ha cap dificultat per implementar-ho tècnicament. Per a això necessites WiFi i un wilan per a convidats.
També és bo si teniu l'oportunitat d'utilitzar el sistema operatiu al qual esteu acostumats. Però, segons la meva observació, normalment només es permet als administradors, administradors i desenvolupadors.
Exemple
Es pot, per descomptat, seguir el camí de les prohibicions, prohibir l'accés remot, prohibir la connexió des de dispositius mòbils, limitar-ho tot a connexions Ethernet estàtiques, limitar l'accés a Internet, requisar obligatòriament mòbils i aparells al control... i aquest camí. En realitat el segueixen algunes organitzacions amb requisits de seguretat més elevats, i potser en alguns casos això pot estar justificat, però... heu de convenir que això sembla un intent d'aturar el progrés en una sola organització. Per descomptat, m'agradaria combinar les oportunitats que ofereixen les tecnologies modernes amb un nivell de seguretat suficient.
"Funcionament ràpid" de la xarxa
La velocitat de transferència de dades consisteix tècnicament en molts factors. I la velocitat del vostre port de connexió no sol ser la més important. El funcionament lent d'una aplicació no sempre està associat a problemes de xarxa, però de moment només ens interessa la part de xarxa. El problema més comú amb la "desacceleració" de la xarxa local està relacionat amb la pèrdua de paquets. Això sol passar quan hi ha un coll d'ampolla o problemes L1 (OSI). Més rarament, amb alguns dissenys (per exemple, quan les vostres subxarxes tenen un tallafoc com a passarel·la predeterminada i, per tant, tot el trànsit el passa), pot ser que no hi hagi rendiment del maquinari.
Per tant, a l'hora d'escollir l'equip i l'arquitectura, cal correlacionar les velocitats dels ports finals, els troncs i el rendiment de l'equip.
Exemple
Suposem que utilitzeu commutadors amb ports d'1 gigabit com a commutadors de capa d'accés. Estan connectats entre si mitjançant Etherchannel 2 x 10 gigabits. Com a passarel·la predeterminada, utilitzeu un tallafoc amb ports gigabit, per connectar-lo a la xarxa d'oficina L2, utilitzeu ports de 2 gigabit combinats en un Etherchannel.
Aquesta arquitectura és força convenient des del punt de vista de la funcionalitat, perquè... Tot el trànsit passa pel tallafoc, i podeu gestionar còmodament les polítiques d'accés i aplicar algorismes complexos per controlar el trànsit i prevenir possibles atacs (vegeu més avall), però des del punt de vista de rendiment i rendiment aquest disseny, és clar, té problemes potencials. Així, per exemple, 2 amfitrions que descarreguen dades (amb una velocitat de port d'1 gigabit) poden carregar completament una connexió de 2 gigabits al tallafoc i, per tant, provocar una degradació del servei per a tot el segment d'oficines.
Hem mirat un vèrtex del triangle, ara mirem com podem garantir la seguretat.
Els remeis
Així, per descomptat, normalment el nostre desig (o millor dit, el desig de la nostra gestió) és aconseguir l'impossible, és a dir, oferir la màxima comoditat amb la màxima seguretat i el mínim cost.
Vegem quins mètodes tenim per proporcionar protecció.
Pel que fa a l'oficina, destacaria el següent:
- enfocament de confiança zero per al disseny
- alt nivell de protecció
- visibilitat de la xarxa
- sistema centralitzat unificat d'autenticació i autorització
- comprovació de l'amfitrió
A continuació, ens detenem una mica més en detall en cadascun d'aquests aspectes.
Confiança Zero
El món de les TI està canviant molt ràpidament. Poc durant els últims 10 anys, l'aparició de noves tecnologies i productes ha portat a una revisió important dels conceptes de seguretat. Fa deu anys, des del punt de vista de la seguretat, vam segmentar la xarxa en zones de confiança, dmz i untrust, i vam utilitzar l'anomenada “protecció perimetral”, on hi havia 2 línies de defensa: untrust -> dmz i dmz -> confiar. A més, la protecció normalment es limitava a llistes d'accés basades en capçaleres L3/L4 (OSI) (IP, ports TCP/UDP, senyaladors TCP). Tot el relacionat amb nivells superiors, inclòs el L7, es va deixar al sistema operatiu i als productes de seguretat instal·lats als amfitrions finals.
Ara la situació ha canviat dràsticament. Concepte modern prové del fet que ja no es poden considerar de confiança els sistemes interns, és a dir, els situats dins del perímetre, i el concepte de perímetre en si s'ha desdibuixat.
A més de connexió a internet també tenim
- Usuaris de VPN d'accés remot
- diversos aparells personals, portàtils portats, connectats mitjançant WiFi d'oficina
- altres oficines (sucursals).
- integració amb la infraestructura del núvol
Com és l'enfocament Zero Trust a la pràctica?
Idealment, només s'hauria de permetre el trànsit que es requereixi i, si estem parlant d'un ideal, el control hauria de ser no només a nivell L3/L4, sinó a nivell d'aplicació.
Si, per exemple, teniu la capacitat de passar tot el trànsit a través d'un tallafoc, podeu intentar apropar-vos a l'ideal. Però aquest enfocament pot reduir significativament l'ample de banda total de la vostra xarxa i, a més, el filtratge per aplicació no sempre funciona bé.
Quan controleu el trànsit en un encaminador o commutador L3 (utilitzant ACL estàndard), trobareu altres problemes:
- Això només és filtrat L3/L4. No hi ha res que impedeix que un atacant utilitzi els ports permesos (per exemple, TCP 80) per a la seva aplicació (no http)
- gestió complexa d'ACL (difícil d'analitzar ACL)
- Aquest no és un tallafoc amb estat, el que significa que heu de permetre explícitament el trànsit invers
- amb els interruptors, normalment esteu força limitat per la mida del TCAM, que ràpidament es pot convertir en un problema si adopteu l'enfocament de "només permet el que necessites".
Nota:
Parlant de trànsit invers, hem de recordar que tenim la següent oportunitat (Cisco)
permetre tcp qualsevol establert
Però heu d'entendre que aquesta línia és equivalent a dues línies:
permet tcp qualsevol ack
permetre tcp qualsevol qualsevol primerAixò vol dir que encara que no hi hagués cap segment TCP inicial amb el senyalador SYN (és a dir, la sessió TCP ni tan sols es va començar a establir), aquesta ACL permetrà un paquet amb el senyalador ACK, que un atacant pot utilitzar per transferir dades.
És a dir, aquesta línia de cap manera converteix el vostre encaminador o commutador L3 en un tallafoc amb estat.
Alt nivell de protecció
В A l'apartat de centres de dades, hem considerat els següents mètodes de protecció.
- tallafocs amb estat (per defecte)
- protecció ddos/dos
- tallafocs d'aplicacions
- prevenció d'amenaces (antivirus, antispyware i vulnerabilitats)
- Filtrat d'URL
- filtrat de dades (filtrat de contingut)
- bloqueig de fitxers (bloqueig de tipus de fitxers)
En el cas d'una oficina, la situació és similar, però les prioritats són lleugerament diferents. La disponibilitat de l'oficina (disponibilitat) no sol ser tan crítica com en el cas d'un centre de dades, mentre que la probabilitat de trànsit maliciós "intern" és molt més gran.
Per tant, els mètodes de protecció següents per a aquest segment esdevenen crítics:
- tallafocs d'aplicacions
- prevenció d'amenaces (antivirus, antispyware i vulnerabilitats)
- Filtrat d'URL
- filtrat de dades (filtrat de contingut)
- bloqueig de fitxers (bloqueig de tipus de fitxers)
Tot i que tots aquests mètodes de protecció, amb l'excepció del tallafocs d'aplicacions, tradicionalment s'han resolt i continuen sent resolts als amfitrions finals (per exemple, mitjançant la instal·lació de programes antivirus) i utilitzant servidors intermediaris, els NGFW moderns també ofereixen aquests serveis.
Els venedors d'equips de seguretat s'esforcen per crear una protecció integral, de manera que, juntament amb la protecció local, ofereixen diverses tecnologies al núvol i programari de client per a amfitrions (protecció de punt final/EPP). Així, per exemple, de Veiem que Palo Alto i Cisco tenen els seus propis EPP (PA: Traps, Cisco: AMP), però estan lluny dels líders.
Per descomptat, habilitar aquestes proteccions (normalment mitjançant la compra de llicències) al vostre tallafoc no és obligatori (podeu seguir la ruta tradicional), però ofereix alguns avantatges:
- en aquest cas, hi ha un únic punt d'aplicació dels mètodes de protecció, que millora la visibilitat (vegeu el següent tema).
- Si hi ha un dispositiu sense protecció a la vostra xarxa, encara cau sota el "paraigua" de la protecció del tallafoc
- En utilitzar la protecció del tallafoc juntament amb la protecció de l'amfitrió final, augmentem la probabilitat de detectar trànsit maliciós. Per exemple, l'ús de la prevenció d'amenaces en amfitrions locals i en un tallafoc augmenta la probabilitat de detecció (sempre que, per descomptat, aquestes solucions es basin en diferents productes de programari)
Nota:
Si, per exemple, feu servir Kaspersky com a antivirus tant al tallafoc com als amfitrions finals, això, per descomptat, no augmentarà gaire les vostres possibilitats d'evitar un atac de virus a la vostra xarxa.
Visibilitat de la xarxa
és senzill: "vegeu" què passa a la vostra xarxa, tant en temps real com en dades històriques.
Dividiria aquesta "visió" en dos grups:
Grup XNUMX: el que normalment us proporciona el vostre sistema de monitorització.
- càrrega d'equips
- canals de càrrega
- ús de la memòria
- ús del disc
- canviant la taula d'encaminament
- estat de l'enllaç
- disponibilitat d'equips (o amfitrions)
- ...
Grup dos: informació relacionada amb la seguretat.
- diversos tipus d'estadístiques (per exemple, per aplicació, per trànsit d'URL, quins tipus de dades s'han baixat, dades d'usuari)
- què estava bloquejat per les polítiques de seguretat i per quin motiu, és a dir
- aplicació prohibida
- prohibit basat en ip/protocol/port/flags/zones
- prevenció d'amenaces
- filtrat d'URL
- filtrat de dades
- bloqueig de fitxers
- ...
- estadístiques sobre atacs DOS/DDOS
- intents fallits d'identificació i autorització
- estadístiques de tots els esdeveniments d'incompliment de la política de seguretat anteriors
- ...
En aquest capítol de seguretat, ens interessa la segona part.
Alguns tallafocs moderns (de la meva experiència a Palo Alto) ofereixen un bon nivell de visibilitat. Però, per descomptat, el trànsit que us interessa ha de passar per aquest tallafoc (en aquest cas teniu la possibilitat de bloquejar el trànsit) o reflectit al tallafoc (utilitzat només per a la supervisió i l'anàlisi), i heu de tenir llicències per habilitar tot. aquests serveis.
Hi ha, per descomptat, una via alternativa, o més aviat la tradicional, per exemple,
- Les estadístiques de sessió es poden recopilar mitjançant netflow i després utilitzar utilitats especials per a l'anàlisi de la informació i la visualització de dades
- prevenció d'amenaces: programes especials (antivirus, antispyware, tallafoc) als hosts finals
- Filtret d'URL, filtrat de dades, bloqueig de fitxers: al proxy
- també és possible analitzar tcpdump utilitzant p.
Podeu combinar aquests dos enfocaments, complementant les funcions que falten o duplicant-les per augmentar la probabilitat de detectar un atac.
Quin enfocament hauríeu de triar?
Depèn molt de les qualificacions i preferències del vostre equip.
Tant allà com hi ha pros i contres.
Sistema centralitzat d'autenticació i autorització
Quan està ben dissenyada, la mobilitat que comentem en aquest article suposa que tens el mateix accés tant si treballes des de l'oficina com des de casa, des de l'aeroport, des d'una cafeteria o qualsevol altre lloc (amb les limitacions que hem comentat anteriorment). Sembla, quin és el problema?
Per entendre millor la complexitat d'aquesta tasca, mirem un disseny típic.
Exemple
- Heu dividit tots els empleats en grups. Heu decidit facilitar l'accés per grups
- Dins de l'oficina, controleu l'accés al tallafoc de l'oficina
- Controleu el trànsit de l'oficina al centre de dades al tallafoc del centre de dades
- Utilitzeu un Cisco ASA com a passarel·la VPN i per controlar el trànsit que entra a la vostra xarxa des de clients remots, feu servir ACL locals (a l'ASA).
Ara, suposem que se us demana que afegiu accés addicional a un empleat determinat. En aquest cas, se us demana que afegiu accés només a ell i a ningú més del seu grup.
Per a això hem de crear un grup separat per a aquest empleat, és a dir
- creeu un grup d'IP independent a l'ASA per a aquest empleat
- afegir una nova ACL a l'ASA i lligar-la a aquest client remot
- crear noves polítiques de seguretat als tallafocs d'oficines i centres de dades
És bo si aquest esdeveniment és rar. Però a la meva pràctica hi va haver una situació en què els empleats van participar en diferents projectes, i aquest conjunt de projectes per a alguns d'ells va canviar amb força freqüència, i no eren 1-2 persones, sinó desenes. Per descomptat, calia canviar alguna cosa aquí.
Això es va resoldre de la següent manera.
Vam decidir que LDAP seria l'única font de veritat que determina tots els possibles accessos dels empleats. Hem creat tot tipus de grups que defineixen conjunts d'accessos, i hem assignat cada usuari a un o més grups.
Així, per exemple, suposem que hi hagués grups
- convidat (accés a Internet)
- accés comú (accés a recursos compartits: correu, base de coneixement, ...)
- comptabilitat
- projecte 1
- projecte 2
- administrador de bases de dades
- administrador linux
- ...
I si un dels empleats estava implicat tant en el projecte 1 com en el projecte 2, i necessitava l'accés necessari per treballar en aquests projectes, aquest empleat estava assignat als grups següents:
- convidat
- accés comú
- projecte 1
- projecte 2
Com podem convertir aquesta informació en accés en equips de xarxa?
Política d'accés dinàmic (DAP) de Cisco ASA (vegeu ) la solució és adequada per a aquesta tasca.
Breument sobre la nostra implementació, durant el procés d'identificació/autorització, ASA rep de LDAP un conjunt de grups corresponents a un usuari determinat i "recull" de diverses ACL locals (cadascun d'ells correspon a un grup) una ACL dinàmica amb tots els accessos necessaris. , que s'ajusta plenament als nostres desitjos.
Però això només és per a connexions VPN. Perquè la situació sigui la mateixa tant per als empleats connectats mitjançant VPN com per als de l'oficina, es va fer el següent pas.
Quan es connectaven des de l'oficina, els usuaris que utilitzaven el protocol 802.1x van acabar a una LAN convidada (per a convidats) o una LAN compartida (per als empleats de l'empresa). A més, per obtenir un accés específic (per exemple, a projectes en un centre de dades), els empleats havien de connectar-se mitjançant VPN.
Per connectar-se des de l'oficina i des de casa, es van utilitzar diferents grups de túnels a l'ASA. Això és necessari perquè, per als que es connecten des de l'oficina, el trànsit als recursos compartits (utilitzats per tots els empleats, com ara correu, servidors de fitxers, sistema de tickets, dns, ...) no passi per l'ASA, sinó per la xarxa local. . Així, no vam carregar l'ASA amb trànsit innecessari, inclòs el trànsit d'alta intensitat.
Així, el problema es va resoldre.
Nosaltres tenim
- el mateix conjunt d'accessos tant per a connexions des de l'oficina com per connexions remotes
- absència de degradació del servei quan es treballa des de l'oficina associada a la transmissió de trànsit d'alta intensitat a través d'ASA
Quins altres avantatges d'aquest enfocament?
En administració d'accés. Els accessos es poden canviar fàcilment en un sol lloc.
Per exemple, si un empleat abandona l'empresa, simplement l'elimineu de LDAP i automàticament perd tot l'accés.
Comprovació de l'amfitrió
Amb la possibilitat de connexió remota, correm el risc de permetre que no només un empleat de l'empresa entri a la xarxa, sinó també tot el programari maliciós que és molt probable que estigui present al seu ordinador (per exemple, a casa), i a més, a través d'aquest programari pot estar proporcionant accés a la nostra xarxa a un atacant que utilitza aquest amfitrió com a servidor intermediari.
Té sentit que un amfitrió connectat de forma remota aplique els mateixos requisits de seguretat que un amfitrió a l'oficina.
Això també suposa la versió "correcta" del sistema operatiu, l'antivirus, el programari espia i el programari i les actualitzacions del tallafoc. Normalment, aquesta capacitat existeix a la passarel·la VPN (per a ASA vegeu, per exemple, ).
També és aconsellable aplicar les mateixes tècniques d'anàlisi de trànsit i de bloqueig (vegeu "Alt nivell de protecció") que la vostra política de seguretat s'aplica al trànsit de l'oficina.
És raonable suposar que la vostra xarxa d'oficines ja no es limita a l'edifici d'oficines i als amfitrions que hi ha.
Exemple
Una bona tècnica és proporcionar a cada empleat que requereixi accés remot un ordinador portàtil bo i còmode i obligar-li a treballar, tant a l'oficina com des de casa, només des d'ella.
No només millora la seguretat de la vostra xarxa, sinó que també és molt còmode i els empleats solen veure'ls favorablement (si és un ordinador portàtil molt bo i fàcil d'utilitzar).
Sobre el sentit de la proporció i l'equilibri
Bàsicament, es tracta d'una conversa sobre el tercer vèrtex del nostre triangle: sobre el preu.
Vegem un exemple hipotètic.
Exemple
Tens una oficina per a 200 persones. Heu decidit fer-ho el més còmode i segur possible.
Per tant, heu decidit passar tot el trànsit a través del tallafoc i, per tant, per a totes les subxarxes d'oficina, el tallafoc és la passarel·la predeterminada. A més del programari de seguretat instal·lat a cada host final (programari antivirus, anti-espia i tallafoc), també heu decidit aplicar tots els mètodes de protecció possibles al tallafoc.
Per garantir una alta velocitat de connexió (tot per comoditat), heu escollit commutadors amb ports d'accés de 10 Gigabit com a commutadors d'accés i tallafocs NGFW d'alt rendiment com a tallafocs, per exemple, la sèrie Palo Alto 7K (amb ports de 40 Gigabit), naturalment amb totes les llicències. inclòs i, naturalment, un parell d'alta disponibilitat.
També, és clar, per treballar amb aquesta línia d'equips necessitem almenys un parell d'enginyers de seguretat altament qualificats.
A continuació, vau decidir donar a cada empleat un bon ordinador portàtil.
Total, uns 10 milions de dòlars per a la implementació, centenars de milers de dòlars (crec que més a prop d'un milió) per al suport anual i els sous dels enginyers.
Oficina, 200 persones...
Còmode? Suposo que sí.Veniu amb aquesta proposta a la vostra direcció...
Potser hi ha diverses empreses al món per a les quals aquesta és una solució acceptable i correcta. Si sou un empleat d'aquesta empresa, la meva enhorabona, però en la gran majoria dels casos, estic segur que els vostres coneixements no seran apreciats per la direcció.
Aquest exemple és exagerat? El següent capítol respondrà a aquesta pregunta.
Si a la vostra xarxa no veieu cap de les anteriors, aquesta és la norma.
Per a cada cas concret, heu de trobar el vostre propi compromís raonable entre comoditat, preu i seguretat. Sovint ni tan sols necessiteu NGFW a la vostra oficina i no cal la protecció L7 al tallafoc. N'hi ha prou amb proporcionar un bon nivell de visibilitat i alertes, i això es pot fer mitjançant productes de codi obert, per exemple. Sí, la vostra reacció davant un atac no serà immediata, però el més important és que el veuràs i, amb els processos adequats al teu departament, podràs neutralitzar-lo ràpidament.
I et recordo que, segons el concepte d'aquesta sèrie d'articles, no estàs dissenyant una xarxa, només estàs intentant millorar el que tens.
Anàlisi SAFE de l'arquitectura d'oficines
Fixeu-vos en aquest quadrat vermell amb el qual he assignat un lloc al diagrama que m'agradaria parlar aquí.
Aquest és un dels llocs clau de l'arquitectura i una de les incerteses més importants.
Nota:
Mai he configurat ni treballat amb FirePower (de la línia de tallafocs de Cisco, només ASA), així que el tractaré com qualsevol altre tallafoc, com ara Juniper SRX o Palo Alto, suposant que té les mateixes capacitats.
Dels dissenys habituals, només veig 4 opcions possibles per utilitzar un tallafoc amb aquesta connexió:
- la passarel·la predeterminada per a cada subxarxa és un commutador, mentre que el tallafoc està en mode transparent (és a dir, tot el trànsit passa per ella, però no forma un salt L3)
- la passarel·la predeterminada per a cada subxarxa són les subinterfícies del tallafoc (o interfícies SVI), l'interruptor fa el paper de L2
- S'utilitzen diferents VRF a l'interruptor i el trànsit entre VRF passa pel tallafoc, el trànsit dins d'un VRF està controlat per l'ACL de l'interruptor.
- tot el trànsit es reflecteix al tallafoc per a l'anàlisi i el seguiment; el trànsit no passa per ell
Observació 1
Les combinacions d'aquestes opcions són possibles, però per simplicitat no les tindrem en compte.
Nota 2
També hi ha la possibilitat d'utilitzar PBR (arquitectura de cadena de serveis), però de moment aquesta, tot i que al meu entendre és una solució bonica, és més aviat exòtica, així que no ho estic plantejant aquí.
A partir de la descripció dels fluxos al document, veiem que el trànsit encara passa pel tallafoc, és a dir, d'acord amb el disseny de Cisco, s'elimina la quarta opció.
Vegem primer les dues primeres opcions.
Amb aquestes opcions, tot el trànsit passa pel tallafoc.
Ara mirem , mira i veiem que si volem que l'ample de banda total de la nostra oficina sigui almenys d'uns 10 - 20 gigabits, hem de comprar la versió 4K.
Nota:
Quan parlo de l'ample de banda total, em refereixo al trànsit entre subxarxes (i no dins d'una vilana).
Des de la GPL veiem que per al paquet HA amb Threat Defense, el preu segons el model (4110 - 4150) varia entre ~0,5 i 2,5 milions de dòlars.
És a dir, el nostre disseny comença a assemblar-se a l'exemple anterior.
Això vol dir que aquest disseny és incorrecte?
No, això no vol dir això. Cisco us ofereix la millor protecció possible segons la línia de productes de què disposa. Però això no vol dir que sigui imprescindible per a tu.
En principi, aquesta és una pregunta habitual que sorgeix a l'hora de dissenyar una oficina o un centre de dades, i només vol dir que s'ha de buscar un compromís.
Per exemple, no deixeu que tot el trànsit passi per un tallafoc, en aquest cas l'opció 3 em sembla força bona, o (vegeu la secció anterior) potser no necessiteu Threat Defense o no necessiteu un tallafoc en absolut. segment de xarxa, i només cal limitar-se al control passiu mitjançant solucions de pagament (no cares) o de codi obert, o necessiteu un tallafoc, però d'un proveïdor diferent.
Normalment sempre hi ha aquesta incertesa i no hi ha una resposta clara sobre quina decisió és la millor per a vostè.
Aquesta és la complexitat i la bellesa d'aquesta tasca.
Font: www.habr.com