Kini nga artikulo mao ang ikatulo sa serye sa mga artikulo nga "Unsaon Pagkontrol sa Imong Network Infrastructure." Ang sulod sa tanang artikulo sa serye ug mga link makita .
Walay kapuslanan ang paghisgot mahitungod sa hingpit nga pagwagtang sa mga risgo sa seguridad. Sa prinsipyo, dili nato kini mapakunhod ngadto sa zero. Kinahanglan usab natong masabtan nga samtang kita naningkamot sa paghimo sa network nga mas luwas, ang atong mga solusyon nahimong mas ug mas mahal. Kinahanglan nimo nga makit-an ang usa ka trade-off tali sa gasto, pagkakomplikado, ug seguridad nga makatarunganon alang sa imong network.
Siyempre, ang disenyo sa seguridad organiko nga gisagol sa kinatibuk-ang arkitektura ug ang mga solusyon sa seguridad nga gigamit makaapekto sa scalability, kasaligan, pagdumala, ... sa imprastraktura sa network, nga kinahanglan usab nga tagdon.
Apan pahinumdoman ko ikaw nga karon wala kita maghisgot bahin sa paghimo og network. Sumala sa atong gipili na nato ang disenyo, gipili ang mga ekipo, ug gimugna ang imprastraktura, ug sa niini nga yugto, kung mahimo, kita kinahanglan nga "magpuyo" ug mangita og mga solusyon sa konteksto sa gipili kaniadto nga pamaagi.
Ang among tahas karon mao ang pag-ila sa mga risgo nga nalangkit sa seguridad sa lebel sa network ug pakunhuran kini sa makatarunganon nga lebel.
Pag-audit sa seguridad sa network
Kung ang imong organisasyon nagpatuman sa mga proseso sa ISO 27k, nan ang mga pag-audit sa seguridad ug mga pagbag-o sa network kinahanglan nga hapsay nga mohaum sa kinatibuk-ang mga proseso sa kini nga pamaagi. Apan kini nga mga sumbanan dili gihapon mahitungod sa piho nga mga solusyon, dili mahitungod sa pag-configure, dili mahitungod sa disenyo ... Walay klaro nga tambag, walay mga sumbanan nga nagdiktar sa detalye kon unsa ang kinahanglan sa imong network, kini ang pagkakomplikado ug katahum niini nga buluhaton.
Akong ipasiugda ang daghang posible nga pag-audit sa seguridad sa network:
- pag-audit sa configuration sa kagamitan (hardening)
- pag-audit sa disenyo sa seguridad
- access audit
- pag-audit sa proseso
Pag-audit sa configuration sa kagamitan (hardening)
Ingon og sa kadaghanan nga mga kaso kini ang labing kaayo nga punto sa pagsugod sa pag-awdit ug pagpaayo sa seguridad sa imong network. IMHO, kini usa ka maayo nga pagpakita sa balaod ni Pareto (20% sa paningkamot nagpatunghag 80% sa resulta, ug ang nahabilin nga 80% sa paningkamot nagpatungha lamang sa 20% sa resulta).
Ang hinungdan mao nga kasagaran kami adunay mga rekomendasyon gikan sa mga tigbaligya bahin sa "labing maayo nga mga gawi" alang sa seguridad kung gi-configure ang mga kagamitan. Gitawag kini nga "hardening".
Kanunay ka usab nga makit-an ang usa ka pangutana (o maghimo usa sa imong kaugalingon) base sa kini nga mga rekomendasyon, nga makatabang kanimo nga mahibal-an kung unsa ka maayo ang pag-configure sa imong kagamitan nga nagsunod sa kini nga "labing maayo nga mga gawi" ug, sumala sa sangputanan, paghimo mga pagbag-o sa imong network. . Makatugot kini kanimo nga makunhuran ang mga peligro sa seguridad nga dali ra, nga wala’y gasto.
Daghang mga pananglitan alang sa pipila ka mga operating system sa Cisco.
Pinasukad sa kini nga mga dokumento, usa ka lista sa mga kinahanglanon sa pag-configure alang sa matag klase sa kagamitan ang mahimo. Pananglitan, alang sa usa ka Cisco N7K VDC kini nga mga kinahanglanon mahimong tan-awon .
Niining paagiha, ang mga file sa pag-configure mahimong mabuhat alang sa lainlaing mga lahi sa aktibo nga kagamitan sa imong imprastraktura sa network. Sunod, mano-mano o gamit ang automation, mahimo nimong "i-upload" kini nga mga file sa pag-configure. Kung unsaon pag-automate kini nga proseso hisgotan sa detalye sa laing serye sa mga artikulo sa orkestrasyon ug automation.
Pag-audit sa disenyo sa seguridad
Kasagaran, ang usa ka network sa negosyo naglangkob sa mosunod nga mga bahin sa usa ka porma o lain:
- DC (Mga serbisyo sa publiko DMZ ug Intranet data center)
- Access sa Internet
- Remote access VPN
- WAN ngilit
- Sanga
- Kampus (Opisina)
- core
Mga titulo nga gikuha gikan sa modelo, apan dili kinahanglan, siyempre, nga gilakip sa tukma niini nga mga ngalan ug niini nga modelo. Bisan pa, gusto nako nga hisgutan ang bahin sa esensya ug dili masamok sa mga pormalidad.
Alang sa matag usa niini nga mga bahin, ang mga kinahanglanon sa seguridad, mga peligro ug, sa ingon, ang mga solusyon magkalainlain.
Atong tan-awon ang matag usa kanila nga gilain alang sa mga problema nga mahimo nimong masugatan gikan sa usa ka punto sa pagdesinyo sa seguridad. Siyempre, gisubli nako pag-usab nga sa bisan unsang paagi kini nga artikulo dili magpakaaron-ingnon nga kompleto, nga dili sayon (kon dili imposible) nga makab-ot niining tinuod nga lawom ug daghang bahin nga hilisgutan, apan kini nagpakita sa akong personal nga kasinatian.
Walay hingpit nga solusyon (labing menos wala pa). Kanunay kini nga pagkompromiso. Apan hinungdanon nga ang desisyon sa paggamit sa usa ka pamaagi o lain gihimo nga mahunahunaon, nga adunay usa ka pagsabut sa mga bentaha ug disbentaha niini.
Data Center
Ang labing kritikal nga bahin gikan sa usa ka punto sa kaluwasan.
Ug, sama sa naandan, wala usab usa ka unibersal nga solusyon dinhi. Kini tanan nagdepende pag-ayo sa mga kinahanglanon sa network.
Kinahanglan ba ang firewall o dili?
Morag klaro ang tubag, apan ang tanan dili klaro sama sa kung unsa kini. Ug ang imong pagpili mahimong maimpluwensyahan dili lamang ang presyo.
Pananglitan 1. Mga paglangan.
Kung ang ubos nga latency usa ka kinahanglanon nga kinahanglanon tali sa pipila ka mga bahin sa network, nga, pananglitan, tinuod sa kaso sa usa ka pagbinayloay, nan dili kami makagamit sa mga firewall sa taliwala niini nga mga bahin. Lisud ang pagpangita sa mga pagtuon sa latency sa mga firewall, apan pipila ka mga modelo sa switch ang makahatag og latency nga mas ubos kay sa o sa han-ay sa 1 mksec, mao nga sa akong hunahuna kung ang mga microsecond importante kanimo, nan ang mga firewall dili para kanimo.
Pananglitan 2. Pagganap.
Ang throughput sa mga top L3 switch kasagaran usa ka han-ay sa magnitude nga mas taas kay sa throughput sa labing gamhanan nga mga firewall. Busa, sa kaso sa high-intensity nga trapiko, lagmit kinahanglan nimo nga tugutan kini nga trapiko sa pag-bypass sa mga firewall.
Pananglitan 3. Kasaligan
Ang mga firewall, ilabina ang modernong NGFW (Next-Generation FW) maoy komplikadong mga himan. Sila mas komplikado kay sa L3/L2 switch. Naghatag sila og daghang mga serbisyo ug mga kapilian sa pag-configure, mao nga dili ikatingala nga ang ilang kasaligan labi ka ubos. Kung ang pagpadayon sa serbisyo hinungdanon sa network, nan kinahanglan nimo nga pilion kung unsa ang motultol sa mas maayo nga pagkaanaa - seguridad nga adunay firewall o ang kayano sa usa ka network nga gitukod sa mga switch (o lainlaing mga klase sa tela) gamit ang mga regular nga ACL.
Sa kaso sa mga pananglitan sa ibabaw, lagmit (sama sa naandan) kinahanglan nimo nga mangita usa ka pagkompromiso. Tan-awa ang mosunod nga mga solusyon:
- kung nakahukom ka nga dili mogamit mga firewall sa sulod sa data center, nan kinahanglan nimo nga hunahunaon kung giunsa ang limitahan ang pag-access sa palibot sa perimeter kutob sa mahimo. Pananglitan, mahimo nimong ablihan ang gikinahanglan nga mga pantalan gikan sa Internet (alang sa trapiko sa kliyente) ug administratibong pag-access sa data center gikan lamang sa mga jump host. Sa jump hosts, himoa ang tanang gikinahanglang pagsusi (authentication/authorization, antivirus, logging,...)
- mahimo nimong gamiton ang usa ka lohikal nga partisyon sa network sa data center ngadto sa mga bahin, susama sa laraw nga gihulagway sa PSEFABRIC . Sa kini nga kaso, ang routing kinahanglan nga i-configure sa paagi nga ang delay-sensitive o high-intensity nga trapiko moadto "sulod" sa usa ka bahin (sa kaso sa p002, VRF) ug dili moagi sa firewall. Ang trapiko tali sa lainlaing mga bahin magpadayon sa pag-agi sa firewall. Mahimo usab nimo gamiton ang pagtulo sa ruta tali sa mga VRF aron malikayan ang pag-redirect sa trapiko pinaagi sa firewall
- Mahimo ka usab nga mogamit usa ka firewall sa transparent mode ug alang lamang sa mga VLAN diin kini nga mga hinungdan (latency/performance) dili hinungdanon. Apan kinahanglan nimo nga tun-an pag-ayo ang mga pagdili nga nalangkit sa paggamit niini nga mod alang sa matag vendor
- mahimo nimong hunahunaon ang paggamit sa usa ka arkitektura sa kadena sa serbisyo. Kini magtugot lamang sa gikinahanglan nga trapiko nga moagi sa firewall. Nindot tan-awon sa teorya, apan wala pa nako makita kini nga solusyon sa produksiyon. Gisulayan namo ang kadena sa serbisyo alang sa Cisco ACI / Juniper SRX / F5 LTM mga 3 ka tuig na ang milabay, apan niadtong panahona kini nga solusyon ingon og "krude" kanamo.
Ang lebel sa proteksyon
Karon kinahanglan nimo nga tubagon ang pangutana kung unsang mga himan ang gusto nimong gamiton aron masala ang trapiko. Ania ang pipila sa mga bahin nga kasagaran anaa sa NGFW (pananglitan, ):
- stateful firewalling (default)
- aplikasyon nga firewall
- paglikay sa hulga (antivirus, anti-spyware, ug pagkahuyang)
- Pagsala sa URL
- pagsala sa datos (pagsala sa sulod)
- pag-block sa file (pag-block sa mga tipo sa file)
- proteksyon sa dos
Ug dili usab klaro ang tanan. Mopatim-aw nga kon mas taas ang lebel sa proteksyon, mas maayo. Apan kinahanglan nimo usab nga tagdon kana
- Ang labi pa sa mga function sa firewall sa ibabaw nga imong gigamit, labi ka mahal kini natural (mga lisensya, dugang nga mga module)
- ang paggamit sa pipila ka mga algorithm makapakunhod pag-ayo sa firewall throughput ug makadugang usab sa mga paglangan, tan-awa ang pananglitan
- sama sa bisan unsang komplikado nga solusyon, ang paggamit sa mga komplikado nga pamaagi sa pagpanalipod makapakunhod sa pagkakasaligan sa imong solusyon, pananglitan, kung gigamit ang firewall sa aplikasyon, nakit-an nako ang pag-block sa pipila nga medyo standard nga mga aplikasyon sa pagtrabaho (dns, smb)
Sama sa kanunay, kinahanglan nimo pangitaon ang labing kaayo nga solusyon alang sa imong network.
Imposible nga matubag ang tubag sa pangutana kung unsa nga mga gimbuhaton sa pagpanalipod ang mahimong kinahanglanon. Una, tungod kay kini siyempre nagdepende sa datos nga imong gipasa o gitipigan ug gisulayan nga panalipdan. Ikaduha, sa tinuud, kasagaran ang pagpili sa mga himan sa seguridad usa ka butang sa pagtuo ug pagsalig sa vendor. Wala ka kahibalo sa mga algorithm, wala ka mahibal-an kung unsa kini ka epektibo, ug dili nimo kini hingpit nga masulayan.
Busa, sa mga kritikal nga mga bahin, ang usa ka maayong solusyon mao ang paggamit sa mga tanyag gikan sa lainlaing mga kompanya. Pananglitan, mahimo nimong palihokon ang antivirus sa firewall, apan gamiton usab ang proteksyon sa antivirus (gikan sa laing tiggama) sa lokal sa mga host.
Segmentasyon
Naghisgot kami bahin sa lohikal nga pagbahinbahin sa network sa data center. Pananglitan, ang pagbahin ngadto sa mga VLAN ug mga subnet usa usab ka lohikal nga pagbahinbahin, apan dili nato kini tagdon tungod sa pagkaklaro niini. Makapaikag nga pagbahinbahin nga gikonsiderar ang mga entidad sama sa FW security zones, VRFs (ug ang ilang mga analogue nga may kalabotan sa lainlaing mga vendor), lohikal nga aparato (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...
Usa ka pananglitan sa ingon nga lohikal nga pagbahinbahin ug ang karon nga gipangayo nga disenyo sa sentro sa datos gihatag sa .
Sa pagkahubit sa lohikal nga mga bahin sa imong network, mahimo nimong ihulagway kung giunsa ang paglihok sa trapiko tali sa lainlaing mga bahin, kung diin himuon ang pagsala sa mga aparato ug kung unsa ang paagi.
Kung ang imong network wala’y klaro nga lohikal nga partisyon ug ang mga lagda alang sa pagpadapat sa mga palisiya sa seguridad alang sa lainlaing mga pag-agos sa datos dili pormal, kini nagpasabut nga kung imong ablihan kini o kana nga pag-access, mapugos ka nga sulbaron kini nga problema, ug adunay usa ka taas nga posibilidad nga ikaw masulbad kini sa matag higayon nga lahi.
Kasagaran ang pagbahin gibase lamang sa FW security zones. Dayon kinahanglan nimong tubagon ang mosunod nga mga pangutana:
- unsa nga mga security zone ang imong gikinahanglan
- unsa nga lebel sa proteksyon ang gusto nimong i-apply sa matag usa niini nga mga zone
- tugotan ba ang intra-zone nga trapiko pinaagi sa default?
- kung dili, unsa nga mga palisiya sa pagsala sa trapiko ang magamit sa matag sona
- unsa nga mga polisiya sa pagsala sa trapiko ang ipadapat sa matag parisan sa mga sona (tinubdan/destinasyon)
TCAM
Usa ka kasagarang problema mao ang dili igo nga TCAM (Ternary Content Addressable Memory), alang sa pag-routing ug alang sa mga access. IMHO, kini mao ang usa sa labing importante nga mga isyu sa diha nga ang pagpili sa mga ekipo, mao nga kamo kinahanglan nga pagtagad niini nga isyu uban sa tukma nga matang sa pag-atiman.
Pananglitan 1. Pagpasa sa Talaan TCAM.
Hunahunaon naton firewall
Atong nakita nga ang IPv4 forwarding table size* = 32K
Dugang pa, kini nga gidaghanon sa mga ruta kasagaran alang sa tanan nga mga VSYS.Atong hunahunaon nga sumala sa imong desinyo nakahukom ka nga gamiton ang 4 VSYS.
Ang matag usa niini nga mga VSYS konektado pinaagi sa BGP ngadto sa duha ka MPLS PE sa panganod nga imong gigamit isip BB. Sa ingon, ang 4 VSYS nagbinayloay sa tanan nga piho nga mga ruta sa usag usa ug adunay usa ka lamesa sa pagpasa nga adunay gibana-bana nga parehas nga mga set sa mga ruta (apan lainlain ang mga NH). Kay ang matag VSYS adunay 2 ka sesyon sa BGP (nga adunay parehas nga mga setting), unya ang matag ruta nga nadawat pinaagi sa MPLS adunay 2 NH ug, sumala niana, 2 ka FIB entries sa Forwarding Table. Kung atong hunahunaon nga kini ra ang firewall sa data center ug kinahanglan nga mahibal-an ang tanan nga mga ruta, nan kini nagpasabut nga ang kinatibuk-ang gidaghanon sa mga ruta sa among data center dili mahimong sobra sa 32K / (4 * 2) = 4K.Karon, kung atong hunahunaon nga kita adunay 2 data centers (nga adunay sama nga disenyo), ug gusto namong gamiton ang mga VLAN nga "giinat" tali sa mga sentro sa datos (pananglitan, alang sa vMotion), unya aron masulbad ang problema sa routing, kinahanglan namong gamiton ang mga ruta sa host. . Apan kini nagpasabot nga alang sa 2 data centers kita adunay dili labaw pa kay sa 4096 posible nga mga host ug, siyempre, kini mahimong dili igo.
Pananglitan 2. ACL TCAM.
Kung nagplano ka nga i-filter ang trapiko sa mga switch sa L3 (o uban pang mga solusyon nga naggamit mga switch sa L3, pananglitan, Cisco ACI), unya kung nagpili mga kagamitan kinahanglan nimo nga hatagan pagtagad ang TCAM ACL.
Ibutang ta nga gusto nimong kontrolon ang pag-access sa mga interface sa SVI sa Cisco Catalyst 4500. Unya, ingon sa makita gikan sa , aron makontrol ang outgoing (ingon man ang umaabot) nga trapiko sa mga interface, mahimo nimong gamiton ang 4096 TCAM nga mga linya lamang. Nga kung gamiton ang TCAM3 maghatag kanimo mga 4000 ka libo nga ACE (mga linya sa ACL).
Kung nag-atubang ka sa problema sa dili igo nga TCAM, nan, una sa tanan, siyempre, kinahanglan nimo nga tagdon ang posibilidad sa pag-optimize. Mao nga, kung adunay problema sa gidak-on sa Forwarding Table, kinahanglan nimo nga tagdon ang posibilidad sa pagtipon sa mga ruta. Sa kaso sa usa ka problema sa TCAM gidak-on alang sa accesses, audit accesses, pagtangtang outdated ug nagsapaw-sapaw nga mga rekord, ug posibling rebisahon ang pamaagi sa pag-abli accesses (paghisgot sa detalye sa kapitulo sa auditing accesses).
Labaw nga Pagkasakop
Ang pangutana mao: kinahanglan ba nako gamiton ang HA alang sa mga firewall o mag-install og duha ka independenteng mga kahon nga "parallel" ug, kung ang usa niini mapakyas, rota ang trapiko sa ikaduha?
Morag klaro ang tubag - gamita ang HA. Ang hinungdan ngano nga kini nga pangutana mitungha gihapon mao nga, sa kasubo, ang teoretikal ug pag-anunsyo 99 ug daghang mga porsyento nga porsyento sa pagka-access sa praktis nahimo’g layo sa labi ka rosas. Ang HA mao ang lohikal nga usa ka komplikado nga butang, ug sa lain-laing mga ekipo, ug uban sa lain-laing mga vendors (walay mga eksepsiyon), kami nadakpan mga problema ug mga bug ug pag-undang sa serbisyo.
Kung gigamit nimo ang HA, adunay ka higayon nga i-off ang mga indibidwal nga node, pagbalhin sa taliwala nila nga wala’y paghunong sa serbisyo, nga hinungdanon, pananglitan, kung maghimo mga pag-upgrade, apan sa parehas nga oras adunay ka layo sa zero nga posibilidad nga ang duha nga mga node mabuak sa samang higayon, ug usab nga sa sunod nga pag-upgrade dili mahitabo nga hapsay sama sa gisaad sa vendor (kini nga problema mahimong malikayan kon ikaw adunay oportunidad sa pagsulay sa pag-upgrade sa mga kagamitan sa laboratoryo).
Kung dili nimo gamiton ang HA, nan gikan sa punto sa panglantaw sa doble nga kapakyasan ang imong mga risgo mas ubos (tungod kay ikaw adunay 2 nga independente nga mga firewall), apan sukad... Ang mga sesyon wala ma-synchronize, unya sa matag higayon nga mobalhin ka sa taliwala niini nga mga firewall mawad-an ka sa trapiko. Mahimo nimo, siyempre, mogamit sa stateless firewalling, apan ang punto sa paggamit sa usa ka firewall sa kadaghanan nawala.
Busa, kung ingon usa ka sangputanan sa pag-audit nadiskobrehan nimo ang nag-inusara nga mga firewall, ug naghunahuna ka bahin sa pagdugang sa pagkakasaligan sa imong network, nan ang HA, siyempre, usa sa girekomenda nga mga solusyon, apan kinahanglan nimo usab nga tagdon ang mga kakulangan nga nalangkit. uban niini nga pamaagi ug, tingali, ilabi na sa imong network, laing solusyon ang mas angay.
Pagdumala
Sa prinsipyo, ang HA mahitungod usab sa pagkontrolar. Imbis nga i-configure ang 2 nga mga kahon nga gilain ug atubangon ang problema sa pagpadayon sa pag-sync sa mga pag-configure, gidumala nimo kini ingon nga adunay usa ka aparato.
Apan tingali adunay daghang mga sentro sa datos ug daghang mga firewall, nan kini nga pangutana mitungha sa usa ka bag-ong lebel. Ug ang pangutana dili lamang bahin sa pagsumpo, apan bahin usab
- backup nga mga configuration
- mga update
- pag-upgrade
- pagmonitor
- logging
Ug kining tanan masulbad pinaagi sa sentralisadong sistema sa pagdumala.
Busa, pananglitan, kon ikaw naggamit sa Palo Alto firewalls, nan mao ni nga solusyon.
Ang pagpadayon.
Source: www.habr.com