ProHoster > Блог > Pagdumala > Giunsa pagdumala ang imong imprastraktura sa network. Ikatulo nga kapitulo. Seguridad sa network. Ikatulo nga bahin

Giunsa pagdumala ang imong imprastraktura sa network. Ikatulo nga kapitulo. Seguridad sa network. Ikatulo nga bahin

Kini nga artikulo mao ang ikalima sa serye nga "Unsaon Pagkontrol sa Imong Network Infrastructure." Ang sulod sa tanang artikulo sa serye ug mga link makita dinhi.

Kini nga bahin igahin sa mga bahin sa Campus (Opisina) & Remote access VPN.

Giunsa pagdumala ang imong imprastraktura sa network. Ikatulo nga kapitulo. Seguridad sa network. Ikatulo nga bahin

Ang disenyo sa network sa opisina morag sayon.

Sa tinuud, gikuha namon ang mga switch sa L2 / L3 ug gikonektar kini sa usag usa. Sunod, gihimo namon ang sukaranan nga pag-setup sa mga vilan ug default nga mga ganghaan, pag-set up sa yano nga ruta, pagkonekta sa mga tigkontrol sa WiFi, mga punto sa pag-access, pag-install ug pag-configure sa ASA alang sa hilit nga pag-access, ug nalipay nga nagtrabaho ang tanan. Sa panguna, ingon sa gisulat ko na sa usa sa nauna mga artikulo niini nga siklo, halos matag estudyante nga nakatambong (ug nakakat-on) sa duha ka semestre sa usa ka kurso sa telecom mahimong magdesinyo ug mag-configure sa usa ka network sa opisina aron kini "sa usa ka paagi molihok."

Apan kon mas daghan ang imong nakat-unan, dili kaayo sayon ​​kini nga buluhaton nga magsugod nga makita. Alang kanako sa personal, kini nga hilisgutan, ang hilisgutan sa disenyo sa network sa opisina, dili ingon yano, ug sa kini nga artikulo sulayan nako nga ipasabut kung ngano.

Sa laktud, adunay pipila ka mga butang nga pagatagdon. Kasagaran kini nga mga hinungdan magkasumpaki sa usag usa ug kinahanglan nga mangita usa ka makatarunganon nga pagkompromiso.
Kini nga kawalay kasiguruhan mao ang panguna nga kalisud. Mao nga, naghisgot bahin sa seguridad, kami adunay usa ka triyanggulo nga adunay tulo nga mga vertices: seguridad, kasayon ​​​​sa mga empleyado, presyo sa solusyon.
Ug sa matag higayon nga kinahanglan nimo pangitaon ang usa ka pagkompromiso tali niining tulo.

arkitektura

Isip usa ka pananglitan sa usa ka arkitektura alang niining duha ka mga bahin, sama sa miaging mga artikulo, akong girekomendar LUWAS ang Cisco modelo: Kampus sa Negosyo, Enterprise Internet Edge.

Kini mga medyo karaan nga mga dokumento. Gipresentar ko sila dinhi tungod kay ang sukaranan nga mga laraw ug pamaagi wala mausab, apan sa samang higayon ganahan ko sa presentasyon kaysa sa bag-ong dokumentasyon.

Sa walay pag-awhag kanimo sa paggamit sa mga solusyon sa Cisco, sa gihapon ako naghunahuna nga kini mapuslanon sa pag-ayo sa pagtuon niini nga disenyo.

Kini nga artikulo, sama sa naandan, wala sa bisan unsang paagi nagpakaaron-ingnon nga kompleto, apan usa ka pagdugang sa kini nga kasayuran.

Sa katapusan sa artikulo, atong analisahon ang Cisco SAFE nga disenyo sa opisina sa termino sa mga konsepto nga gilatid dinhi.

Kinatibuk-ang mga prinsipyo

Ang disenyo sa network sa opisina kinahanglan, siyempre, makatagbaw sa kinatibuk-ang mga kinahanglanon nga gihisgutan dinhi sa kapitulo nga "Kriterya sa pagtimbang-timbang sa kalidad sa disenyo". Gawas sa presyo ug kaluwasan, nga gusto natong hisgotan niining artikuloha, aduna pay tulo ka criteria nga kinahanglan natong tagdon sa dihang magdesinyo (o maghimog mga kausaban):

  • scalability
  • kasayon ​​sa pagdumala
  • anaa

Kadaghanan sa kung unsa ang gihisgutan mga sentro sa datos Tinuod usab kini alang sa opisina.

Bisan pa, ang bahin sa opisina adunay kaugalingon nga mga detalye, nga kritikal gikan sa usa ka punto sa seguridad. Ang esensya sa kini nga piho mao nga kini nga bahin gihimo aron mahatagan ang mga serbisyo sa network sa mga empleyado (ingon man mga kauban ug bisita) sa kompanya, ug, ingon usa ka sangputanan, sa labing kataas nga lebel sa pagkonsiderar sa problema, kami adunay duha nga mga buluhaton:

  • panalipdan ang mga kapanguhaan sa kompanya gikan sa malisyosong mga aksyon nga mahimong gikan sa mga empleyado (bisita, kauban) ug gikan sa software nga ilang gigamit. Naglakip usab kini sa proteksyon batok sa dili awtorisado nga koneksyon sa network.
  • pagpanalipod sa mga sistema ug data sa user

Ug kini usa lamang ka bahin sa problema (o hinoon, usa ka vertex sa triangle). Sa pikas bahin mao ang kasayon ​​sa tiggamit ug ang presyo sa mga solusyon nga gigamit.

Magsugod kita pinaagi sa pagtan-aw kung unsa ang gipaabut sa usa ka tiggamit gikan sa usa ka modernong network sa opisina.

Mga pasalig

Ania kung unsa ang hitsura sa "mga pasilidad sa network" alang sa usa ka tiggamit sa opisina sa akong opinyon:

  • Mobilisasyon
  • Abilidad sa paggamit sa bug-os nga han-ay sa pamilyar nga mga himan ug mga operating system
  • Sayon nga pag-access sa tanan nga kinahanglan nga mga kapanguhaan sa kompanya
  • Ang pagkaanaa sa mga kapanguhaan sa Internet, lakip ang lainlaing mga serbisyo sa panganod
  • "Paspas nga operasyon" sa network

Kining tanan magamit sa mga empleyado ug mga bisita (o mga kasosyo), ug kini ang tahas sa mga inhenyero sa kompanya nga magkalainlain ang pag-access alang sa lainlaing mga grupo sa tiggamit base sa pagtugot.

Atong tan-awon ang matag usa niini nga mga aspeto sa gamay nga detalye.

Mobilisasyon

Naghisgut kami mahitungod sa oportunidad sa pagtrabaho ug paggamit sa tanan nga gikinahanglan nga mga kapanguhaan sa kompanya gikan sa bisan asa sa kalibutan (siyempre, diin ang Internet anaa).

Kini hingpit nga magamit sa opisina. Kombenyente kini kung adunay ka oportunidad nga magpadayon sa pagtrabaho gikan sa bisan asa sa opisina, pananglitan, makadawat og mail, makigkomunikar sa usa ka corporate messenger, mahimong magamit alang sa usa ka video call, ... Busa, kini nagtugot kanimo, sa usa ka bahin, aron masulbad ang pipila ka mga isyu nga "live" nga komunikasyon (pananglitan, pag-apil sa mga rally), ug sa laing bahin, kanunay nga online, ipadayon ang imong tudlo sa pulso ug dali nga masulbad ang pipila ka dinalian nga mga buluhaton nga adunay taas nga prayoridad. Kini sayon ​​​​kaayo ug nagpauswag sa kalidad sa komunikasyon.

Kini makab-ot pinaagi sa husto nga disenyo sa WiFi network.

Mubo nga sulat

Dinhi kasagarang motungha ang pangutana: igo ba nga mogamit lang sa WiFi? Nagpasabot ba kini nga mahimo nimong hunongon ang paggamit sa mga pantalan sa Ethernet sa opisina? Kung naghisgot lang kami bahin sa mga tiggamit, ug dili bahin sa mga server, nga makatarunganon nga magkonektar sa usa ka regular nga pantalan sa Ethernet, nan sa kinatibuk-an ang tubag mao: oo, mahimo nimong limitahan ang imong kaugalingon sa WiFi lamang. Apan adunay mga nuances.

Adunay hinungdanon nga mga grupo sa tiggamit nga nanginahanglan usa ka lahi nga pamaagi. Kini, siyempre, mga administrador. Sa prinsipyo, ang koneksyon sa WiFi dili kaayo kasaligan (sa termino sa pagkawala sa trapiko) ug mas hinay kay sa usa ka regular nga Ethernet port. Kini mahimong mahinungdanon alang sa mga tigdumala. Dugang pa, ang mga tagdumala sa network, pananglitan, mahimo, sa prinsipyo, adunay ilang kaugalingon nga gipahinungod nga network sa Ethernet alang sa mga koneksyon sa gawas sa banda.

Mahimong adunay ubang mga grupo/departamento sa imong kompanya diin kini nga mga hinungdan hinungdanon usab.

Adunay laing importante nga punto - telephony. Tingali sa pipila ka rason dili nimo gusto nga mogamit sa Wireless VoIP ug gusto nga mogamit sa mga IP phone nga adunay regular nga koneksyon sa Ethernet.

Sa kinatibuk-an, ang mga kompanya nga akong gitrabahoan kasagaran adunay koneksyon sa WiFi ug usa ka Ethernet port.

Gusto ko nga ang paglihok dili limitado sa opisina lamang.

Aron masiguro ang abilidad sa pagtrabaho gikan sa balay (o bisan unsang lugar nga adunay accessible nga Internet), usa ka koneksyon sa VPN ang gigamit. Sa parehas nga oras, gitinguha nga ang mga empleyado dili mobati sa kalainan tali sa pagtrabaho gikan sa balay ug hilit nga trabaho, nga adunay parehas nga pag-access. Atong hisgotan kung giunsa kini pag-organisar sa ulahi sa kapitulo nga "Nahiusa nga sentralisadong pag-authenticate ug sistema sa pagtugot."

Mubo nga sulat

Lagmit, dili nimo hingpit nga mahatagan ang parehas nga kalidad sa mga serbisyo alang sa layo nga trabaho nga naa nimo sa opisina. Ibutang ta nga naggamit ka ug Cisco ASA 5520 isip imong VPN gateway. Sumala sa data sheet kini nga aparato makahimo sa "pagtunaw" lamang sa 225 Mbit sa trapiko sa VPN. Kana, siyempre, sa mga termino sa bandwidth, ang pagkonektar pinaagi sa VPN lahi kaayo sa pagtrabaho gikan sa opisina. Usab, kung, tungod sa pipila ka rason, ang latency, pagkawala, jitter (pananglitan, gusto nimong gamiton ang IP telephony sa opisina) alang sa imong mga serbisyo sa network mahinungdanon, dili ka usab makadawat sa sama nga kalidad sama nga anaa ka sa opisina. Busa, kung maghisgot bahin sa paglihok, kinahanglan naton mahibal-an ang posible nga mga limitasyon.

Sayon nga pag-access sa tanan nga mga kapanguhaan sa kompanya

Kini nga buluhaton kinahanglan nga sulbaron kauban ang ubang mga departamento sa teknikal.
Ang sulundon nga kahimtang mao kung ang tiggamit kinahanglan ra nga mag-authenticate kausa, ug pagkahuman adunay siya access sa tanan nga kinahanglan nga mga kapanguhaan.
Ang paghatag og sayon ​​nga pag-access nga walay pagsakripisyo sa seguridad mahimong makapauswag sa pagka-produktibo ug makapamenos sa tensiyon sa imong mga kauban.

Pahayag 1

Ang kasayon ​​sa pag-access dili lang kung pila ka beses nimo kinahanglan nga mosulod sa usa ka password. Kung, pananglitan, uyon sa imong polisiya sa seguridad, aron makonektar gikan sa opisina ngadto sa data center, kinahanglan una nga magkonektar ka sa VPN gateway, ug sa samang higayon mawad-an ka og access sa mga kapanguhaan sa opisina, nan kini usab kaayo , dili kombenyente kaayo.

Pahayag 2

Adunay mga serbisyo (pananglitan, pag-access sa mga kagamitan sa network) diin kasagaran kami adunay kaugalingon nga gipahinungod nga mga server sa AAA ug kini ang naandan kung sa kini nga kaso kinahanglan namon nga i-authenticate sa daghang mga higayon.

Pagkabaton sa mga kapanguhaan sa Internet

Ang Internet dili lamang kalingawan, apan usa usab ka hugpong sa mga serbisyo nga mahimong mapuslanon kaayo alang sa trabaho. Naa pud puros psychological factors. Ang usa ka modernong tawo konektado sa ubang mga tawo pinaagi sa Internet pinaagi sa daghang mga virtual nga hilo, ug, sa akong opinyon, wala’y daotan kung magpadayon siya nga mobati niini nga koneksyon bisan kung nagtrabaho.

Gikan sa punto sa pagtan-aw sa pag-usik sa oras, wala’y daotan kung ang usa ka empleyado, pananglitan, adunay Skype nga nagdagan ug gigugol ang 5 minuto sa pagpakigsulti sa usa ka minahal kung kinahanglan.

Nagpasabut ba kini nga ang Internet kinahanglan kanunay nga magamit, nagpasabut ba kini nga ang mga empleyado adunay access sa tanan nga mga kapanguhaan ug dili kini makontrol sa bisan unsang paagi?

Dili kana nagpasabot nga, siyempre. Ang lebel sa pagkabukas sa Internet mahimong magkalainlain alang sa lainlaing mga kompanya - gikan sa hingpit nga pagsira hangtod sa hingpit nga pagkabukas. Atong hisgotan ang mga paagi aron makontrol ang trapiko sa ulahi sa mga seksyon sa mga lakang sa seguridad.

Abilidad sa paggamit sa bug-os nga han-ay sa pamilyar nga mga himan

Kombenyente kung, pananglitan, adunay ka higayon nga magpadayon sa paggamit sa tanan nga paagi sa komunikasyon nga imong naandan sa trabaho. Walay kalisud sa teknikal nga pagpatuman niini. Alang niini kinahanglan nimo ang WiFi ug usa ka bisita nga wilan.

Maayo usab kung adunay ka higayon nga magamit ang operating system nga imong naandan. Apan, sa akong obserbasyon, kasagaran kini gitugotan lamang sa mga managers, administrators ug developers.

Pananglitan:

Siyempre, mahimo nimong sundon ang agianan sa mga pagdili, pagdili sa hilit nga pag-access, pagdili sa pagkonekta gikan sa mga mobile device, limitahan ang tanan sa mga static nga koneksyon sa Ethernet, limitahan ang pag-access sa Internet, pinugos nga kumpiskahon ang mga cell phone ug gadget sa checkpoint ... ug kini nga agianan sa tinuod gisundan sa pipila ka mga organisasyon nga adunay dugang nga mga kinahanglanon sa seguridad, ug tingali sa pipila ka mga kaso kini mahimong makatarunganon, apan... kinahanglan nga mouyon ka nga kini morag usa ka pagsulay sa pagpahunong sa pag-uswag sa usa ka organisasyon. Siyempre, gusto nako nga ikombinar ang mga oportunidad nga gihatag sa modernong mga teknolohiya nga adunay igo nga lebel sa seguridad.

"Paspas nga operasyon" sa network

Ang katulin sa pagbalhin sa datos sa teknikal naglangkob sa daghang mga hinungdan. Ug ang katulin sa imong koneksyon nga pantalan kasagaran dili ang labing hinungdanon. Ang hinay nga operasyon sa usa ka aplikasyon dili kanunay nga nalangkit sa mga problema sa network, apan sa pagkakaron interesado lang kami sa bahin sa network. Ang labing kasagaran nga problema sa "paghinay" sa lokal nga network adunay kalabotan sa pagkawala sa packet. Kini kasagarang mahitabo kung adunay bottleneck o L1 (OSI) nga mga problema. Mas talagsa ra, uban sa pipila ka mga disenyo (pananglitan, kung ang imong mga subnet adunay firewall isip default gateway ug sa ingon ang tanan nga trapiko moagi niini), ang performance sa hardware mahimong kulang.

Busa, sa pagpili sa mga ekipo ug arkitektura, kinahanglan nimo nga i-correlate ang katulin sa mga end port, trunks ug performance sa kagamitan.

Pananglitan:

Ibutang ta nga naggamit ka og mga switch nga adunay 1 gigabit nga mga pantalan isip access layer switch. Sila konektado sa usag usa pinaagi sa Etherchannel 2 x 10 gigabits. Isip usa ka default gateway, mogamit ka og firewall nga adunay gigabit port, aron makonektar kung asa sa L2 office network imong gigamit ang 2 gigabit port nga gihiusa sa usa ka Etherchannel.

Kini nga arkitektura labi ka kombenyente gikan sa usa ka punto sa pag-andar, tungod kay ... Ang tanan nga trapiko moagi sa firewall, ug komportable ka nga makadumala sa mga palisiya sa pag-access, ug magamit ang mga komplikadong algorithm aron makontrol ang trapiko ug mapugngan ang posible nga mga pag-atake (tan-awa sa ubos), apan gikan sa usa ka throughput ug performance nga punto sa panglantaw kini nga disenyo, siyempre, adunay potensyal nga mga problema. Mao nga, pananglitan, ang 2 nga mga host nga nag-download sa data (nga adunay usa ka tulin nga pantalan nga 1 gigabit) mahimo nga bug-os nga magkarga sa usa ka 2 gigabit nga koneksyon sa firewall, ug sa ingon mosangput sa pagkadaot sa serbisyo alang sa tibuuk nga bahin sa opisina.

Atong gitan-aw ang usa ka vertex sa triyanggulo, karon atong tan-awon kon unsaon nato pagsiguro ang seguridad.

Mga paagi sa pagpanalipod

Busa, siyempre, sa kasagaran ang atong tinguha (o hinoon, ang tinguha sa atong pagdumala) mao ang pagkab-ot sa imposible, nga mao, sa paghatag og maximum kasayon ​​uban sa maximum nga seguridad ug minimum nga gasto.

Atong tan-awon kung unsa nga mga pamaagi ang naa kanato aron mahatagan ang proteksyon.

Alang sa opisina, akong ipasiugda ang mosunod:

  • zero pagsalig nga pamaagi sa pagdesinyo
  • taas nga lebel sa proteksyon
  • visibility sa network
  • hiniusa nga sentralisadong authentication ug authorization system
  • pagsusi sa host

Sunod, atong hisgotan ang mas detalyado sa matag usa niini nga mga aspeto.

Zero nga Pagsalig

Ang kalibutan sa IT dali kaayo nga nagbag-o. Sulod lang sa miaging 10 ka tuig, ang pagtungha sa mga bag-ong teknolohiya ug produkto misangpot sa usa ka dakong rebisyon sa mga konsepto sa seguridad. Napulo ka tuig na ang milabay, gikan sa usa ka punto sa seguridad, among gibahin ang network ngadto sa pagsalig, dmz ug untrust zones, ug gigamit ang gitawag nga "perimeter protection", diin adunay 2 ka linya sa depensa: untrust -> dmz ug dmz -> pagsalig. Usab, ang proteksyon kasagaran limitado sa pag-access sa mga lista base sa L3/L4 (OSI) nga mga ulohan (IP, TCP/UDP port, TCP flags). Ang tanan nga may kalabutan sa mas taas nga lebel, lakip ang L7, gibilin sa OS ug mga produkto sa seguridad nga na-install sa katapusan nga mga host.

Karon ang kahimtang nausab pag-ayo. Modernong konsepto walay pagsalig naggikan sa kamatuoran nga dili na posible nga ikonsiderar ang mga internal nga sistema, nga mao, kadtong nahimutang sa sulod sa perimeter, ingon nga kasaligan, ug ang konsepto sa perimeter mismo nahimong hanap.
Gawas sa internet connection naa pud mi

  • hilit nga pag-access sa mga tiggamit sa VPN
  • lain-laing mga personal nga gadgets, nagdala laptops, konektado pinaagi sa opisina WiFi
  • uban pang (sangang buhatan).
  • panagsama sa imprastraktura sa panganod

Unsa ang hitsura sa Zero Trust approach sa praktis?

Sa tinuud, ang trapiko nga gikinahanglan lamang ang tugutan ug, kung maghisgot kita bahin sa usa ka sulundon, nan ang pagpugong kinahanglan dili lamang sa lebel sa L3 / L4, apan sa lebel sa aplikasyon.

Kung, pananglitan, ikaw adunay katakus nga ipasa ang tanan nga trapiko pinaagi sa usa ka firewall, nan mahimo nimong sulayan nga mapaduol sa sulundon. Apan kini nga pamaagi makapakunhod sa kinatibuk-ang bandwidth sa imong network, ug labut pa, ang pagsala pinaagi sa aplikasyon dili kanunay nga maayo.

Kung nagkontrol sa trapiko sa usa ka router o switch sa L3 (gamit ang mga standard nga ACL), makasugat ka og ubang mga problema:

  • Kini mao ang L3/L4 pagsala lamang. Wala’y makapugong sa usa ka tig-atake sa paggamit sa gitugotan nga mga pantalan (eg TCP 80) alang sa ilang aplikasyon (dili http)
  • komplikado nga pagdumala sa ACL (lisud sa pag-parse sa mga ACL)
  • Dili kini usa ka statefull nga firewall, nga nagpasabut nga kinahanglan nimo nga tin-aw nga tugutan ang reverse nga trapiko
  • uban sa mga switch kasagaran medyo hugot ka nga limitado sa gidak-on sa TCAM, nga mahimong dali nga mahimong problema kung imong gamiton ang "gitugotan ra ang imong kinahanglan" nga pamaagi

Mubo nga sulat

Naghisgot bahin sa reverse traffic, kinahanglan natong hinumdoman nga aduna kitay mosunod nga oportunidad (Cisco)

pagtugot sa tcp bisan unsang natukod

Apan kinahanglan nimong masabtan nga kini nga linya katumbas sa duha ka linya:
tugoti ang tcp bisan unsang ack
tugoti ang tcp bisan unsang una

Nga nagpasabot nga bisan kung walay inisyal nga bahin sa TCP nga adunay bandila sa SYN (nga mao, ang sesyon sa TCP wala gani magsugod sa pagtukod), kini nga ACL magtugot sa usa ka pakete nga adunay bandila sa ACK, nga magamit sa usa ka tig-atake sa pagbalhin sa datos.

Sa ato pa, kini nga linya wala’y mahimo nga ang imong router o L3 switch nga usa ka statefull nga firewall.

Taas nga lebel sa proteksyon

В artikulo Sa seksyon sa mga sentro sa datos, among gikonsiderar ang mosunod nga mga pamaagi sa pagpanalipod.

  • stateful firewalling (default)
  • proteksyon sa ddos/dos
  • aplikasyon nga firewall
  • paglikay sa hulga (antivirus, anti-spyware, ug pagkahuyang)
  • Pagsala sa URL
  • pagsala sa datos (pagsala sa sulod)
  • pag-block sa file (pag-block sa mga tipo sa file)

Sa kaso sa usa ka opisina, parehas ang sitwasyon, apan ang mga prayoridad gamay ra. Ang pagkaanaa sa opisina (pagkaanaa) kasagaran dili ingon ka kritikal sama sa kaso sa usa ka data center, samtang ang kalagmitan sa "internal" nga malisyosong trapiko mao ang mga order sa magnitude nga mas taas.
Busa, ang mga mosunud nga pamaagi sa pagpanalipod alang sa kini nga bahin nahimong kritikal:

  • aplikasyon nga firewall
  • paglikay sa hulga (anti-virus, anti-spyware, ug pagkahuyang)
  • Pagsala sa URL
  • pagsala sa datos (pagsala sa sulod)
  • pag-block sa file (pag-block sa mga tipo sa file)

Bisan kung ang tanan nga kini nga mga pamaagi sa pagpanalipod, gawas sa aplikasyon nga firewall, naandan na ug padayon nga nasulbad sa katapusan nga mga host (pananglitan, pinaagi sa pag-install sa mga programa sa antivirus) ug paggamit sa mga proxy, ang mga modernong NGFW naghatag usab niini nga mga serbisyo.

Ang mga tigbaligya sa kahimanan sa seguridad naningkamot sa paghimo og komprehensibo nga proteksyon, busa uban sa lokal nga proteksyon, nagtanyag sila og lain-laing mga teknolohiya sa panganod ug software sa kliyente alang sa mga host (end point protection/EPP). Busa, pananglitan, gikan sa 2018 Gartner Magic Quadrant Atong nakita nga ang Palo Alto ug Cisco adunay kaugalingong EPP (PA: Traps, Cisco: AMP), apan layo sa mga lider.

Ang pagpagana niini nga mga panalipod (kasagaran pinaagi sa pagpalit og mga lisensya) sa imong firewall siyempre dili mandatory (mahimo kang moadto sa tradisyonal nga ruta), apan kini naghatag og pipila ka mga benepisyo:

  • sa kini nga kaso, adunay usa ka punto sa paggamit sa mga pamaagi sa pagpanalipod, nga nagpauswag sa visibility (tan-awa ang sunod nga hilisgutan).
  • Kung adunay usa ka dili mapanalipdan nga aparato sa imong network, nan kini nahulog sa ilawom sa "payong" sa pagpanalipod sa firewall
  • Pinaagi sa paggamit sa panalipod sa firewall inubanan sa panalipod sa end-host, among gipadako ang posibilidad nga makit-an ang makadaot nga trapiko. Pananglitan, ang paggamit sa pagpugong sa hulga sa mga lokal nga host ug sa usa ka firewall nagdugang sa posibilidad nga makit-an (gihatag, siyempre, nga kini nga mga solusyon gibase sa lainlaing mga produkto sa software)

Mubo nga sulat

Kung, pananglitan, imong gigamit ang Kaspersky ingon usa ka antivirus sa firewall ug sa katapusan nga mga host, nan kini, siyempre, dili kaayo makadugang sa imong higayon nga mapugngan ang pag-atake sa virus sa imong network.

Pagkakita sa network

Pangunang ideya yano - "tan-awa" kung unsa ang nahitabo sa imong network, sa tinuud nga oras ug makasaysayan nga datos.

Akong bahinon kini nga "panan-awon" sa duha ka grupo:

Unang grupo: unsa ang kasagarang gihatag sa imong monitoring system kanimo.

  • pagkarga sa kagamitan
  • loading channels
  • paggamit sa memorya
  • paggamit sa disk
  • pagbag-o sa routing table
  • status sa link
  • pagkaanaa sa kagamitan (o mga host)
  • ...

Ikaduhang grupo: impormasyon nga may kalabutan sa kaluwasan.

  • lain-laing mga matang sa estadistika (pananglitan, pinaagi sa aplikasyon, pinaagi sa trapiko sa URL, unsa nga mga matang sa datos ang na-download, data sa user)
  • unsa ang gibabagan sa mga palisiya sa seguridad ug sa unsa nga rason, nga mao
    • gidili nga aplikasyon
    • gidili base sa ip/protocol/port/flags/zones
    • pagpugong sa hulga
    • pagsala sa url
    • pagsala sa datos
    • pag-block sa file
    • ...
  • estadistika sa mga pag-atake sa DOS/DDOS
  • napakyas nga pag-ila ug pagtugot sa pagsulay
  • estadistika para sa tanang panghitabo sa paglapas sa polisiya sa seguridad sa ibabaw
  • ...

Niini nga kapitulo sa seguridad, kami interesado sa ikaduhang bahin.

Ang pipila ka modernong mga firewall (gikan sa akong kasinatian sa Palo Alto) naghatag ug maayong lebel sa visibility. Apan, siyempre, ang trapiko nga interesado ka kinahanglan nga moagi sa kini nga firewall (sa kini nga kaso ikaw adunay katakus sa pag-block sa trapiko) o salamin sa firewall (gigamit lamang alang sa pag-monitor ug pagtuki), ug kinahanglan ka adunay mga lisensya aron mahimo ang tanan. kini nga mga serbisyo.

Adunay, siyempre, usa ka alternatibo nga paagi, o hinoon ang tradisyonal nga paagi, pananglitan,

  • Ang mga estadistika sa sesyon mahimong kolektahon pinaagi sa netflow ug dayon gamiton ang mga espesyal nga kagamitan alang sa pagtuki sa impormasyon ug paghanduraw sa datos
  • paglikay sa hulga - espesyal nga mga programa (anti-virus, anti-spyware, firewall) sa katapusan nga mga host
  • Pagsala sa URL, pagsala sa datos, pag-block sa file - sa proxy
  • posible usab nga analisahon ang tcpdump gamit e.g. miumik

Mahimo nimong i-combine kining duha ka mga pamaagi, pagpuno sa nawala nga mga bahin o pagdoble niini aron madugangan ang posibilidad nga makit-an ang usa ka pag-atake.

Unsang paagiha ang imong pilion?
Nagdepende kaayo sa mga kwalipikasyon ug gusto sa imong team.
Anaa ug adunay mga pro ug kontra.

Nahiusa nga sentralisadong authentication ug authorization system

Kung maayo ang pagkadisenyo, ang paglihok nga among gihisgutan sa kini nga artikulo nagtuo nga parehas ka nga adunay access kung nagtrabaho ka gikan sa opisina o gikan sa balay, gikan sa airport, gikan sa usa ka coffee shop o bisan diin (uban ang mga limitasyon nga among gihisgutan sa ibabaw). Morag, unsa ang problema?
Aron mas masabtan ang pagkakomplikado niini nga buluhaton, atong tan-awon ang usa ka tipikal nga disenyo.

Pananglitan:

  • Imong gibahin ang tanang empleyado ngadto sa mga grupo. Nakahukom ka nga maghatag access sa mga grupo
  • Sa sulod sa opisina, gikontrol nimo ang pag-access sa firewall sa opisina
  • Gikontrol nimo ang trapiko gikan sa opisina hangtod sa data center sa firewall sa data center
  • Gigamit nimo ang Cisco ASA ingon usa ka gateway sa VPN ug aron makontrol ang trapiko nga mosulod sa imong network gikan sa mga hilit nga kliyente, gigamit nimo ang lokal (sa ASA) nga mga ACL

Karon, ingnon ta nga gihangyo ka nga magdugang dugang nga pag-access sa usa ka piho nga empleyado. Sa kini nga kaso, gihangyo ka nga idugang ang pag-access lamang kaniya ug wala’y lain gikan sa iyang grupo.

Alang niini kinahanglan namon nga maghimo usa ka lahi nga grupo alang sa kini nga empleyado, kana

  • paghimo og bulag nga IP pool sa ASA alang niini nga empleyado
  • pagdugang og bag-ong ACL sa ASA ug ihigot kini sa hilit nga kliyente
  • paghimo og bag-ong mga polisiya sa seguridad sa mga firewall sa opisina ug data center

Maayo kung panagsa ra kini nga panghitabo. Apan sa akong praktis adunay usa ka sitwasyon kung ang mga empleyado miapil sa lainlaing mga proyekto, ug kini nga hugpong sa mga proyekto alang sa pipila kanila kanunay nga nausab, ug dili 1-2 ka tawo, apan dosena. Siyempre, adunay kinahanglan nga usbon dinhi.

Nasulbad kini sa mosunod nga paagi.

Nakahukom kami nga ang LDAP mao ra ang tinubdan sa kamatuoran nga nagtino sa tanan nga posible nga pag-access sa empleyado. Gihimo namo ang tanang matang sa mga grupo nga naghubit sa mga set sa mga access, ug among gi-assign ang matag user sa usa o daghan pang grupo.

Busa, pananglitan, pananglitan adunay mga grupo

  • bisita (Internet access)
  • komon nga pag-access (pag-access sa gipaambit nga mga kapanguhaan: mail, base sa kahibalo, ...)
  • accounting
  • proyekto 1
  • proyekto 2
  • data base administrator
  • linux administrator
  • ...

Ug kung ang usa sa mga empleyado nalambigit sa proyekto 1 ug proyekto 2, ug kinahanglan niya ang pag-access nga gikinahanglan aron magtrabaho niini nga mga proyekto, nan kini nga empleyado gi-assign sa mga mosunod nga grupo:

  • bisita
  • komon nga pag-access
  • proyekto 1
  • proyekto 2

Sa unsang paagi nato karon mahimo kining impormasyon ngadto sa access sa network equipment?

Cisco ASA Dynamic Access Policy (DAP) (tan-awa www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) nga solusyon mao ang husto alang niini nga buluhaton.

Sa mubo bahin sa among pagpatuman, sa panahon sa proseso sa pag-ila/awtorisasyon, ang ASA nakadawat gikan sa LDAP usa ka hugpong sa mga grupo nga katumbas sa usa ka gihatag nga tiggamit ug "nagkolekta" gikan sa daghang mga lokal nga ACL (ang matag usa katumbas sa usa ka grupo) usa ka dinamikong ACL nga adunay tanan nga kinahanglan nga mga pag-access , nga bug-os nga nahiuyon sa among mga gusto.

Apan kini alang lamang sa mga koneksyon sa VPN. Aron maparehas ang sitwasyon para sa mga empleyado nga konektado pinaagi sa VPN ug sa mga naa sa opisina, ang mosunod nga lakang gihimo.

Kung nagkonektar gikan sa opisina, ang mga tiggamit nga naggamit sa 802.1x protocol natapos sa usa ka bisita nga LAN (para sa mga bisita) o usa ka gipaambit nga LAN (para sa mga empleyado sa kompanya). Dugang pa, aron makakuha og piho nga pag-access (pananglitan, sa mga proyekto sa usa ka sentro sa datos), ang mga empleyado kinahanglan nga magkonektar pinaagi sa VPN.

Aron makakonektar gikan sa opisina ug gikan sa balay, lain-laing mga grupo sa tunel ang gigamit sa ASA. Gikinahanglan kini aron alang sa mga nagkonektar gikan sa opisina, ang trapiko sa gipaambit nga mga kapanguhaan (gigamit sa tanan nga mga empleyado, sama sa mail, file server, sistema sa tiket, dns, ...) dili moagi sa ASA, apan pinaagi sa lokal nga network . Sa ingon, wala namo gikarga ang ASA sa wala kinahanglana nga trapiko, lakip ang kusog nga trapiko.

Sa ingon, nasulbad ang problema.
Nakuha namo

  • parehas nga set sa mga access alang sa parehas nga koneksyon gikan sa opisina ug hilit nga koneksyon
  • wala’y pagkadaot sa serbisyo kung nagtrabaho gikan sa opisina nga may kalabotan sa pagpasa sa high-intensity nga trapiko pinaagi sa ASA

Unsa ang ubang mga bentaha niini nga pamaagi?
Sa pagdumala sa pag-access. Ang mga pag-access dali nga mabag-o sa usa ka lugar.
Pananglitan, kung ang usa ka empleyado mobiya sa kompanya, unya tangtangon ra nimo siya sa LDAP, ug awtomatiko siyang mawad-an sa tanan nga pag-access.

Pagsusi sa host

Uban sa posibilidad sa hilit nga koneksyon, kita adunay risgo sa pagtugot dili lamang sa usa ka empleyado sa kompanya ngadto sa network, apan usab sa tanan nga mga malisyosong software nga lagmit anaa sa iyang computer (pananglitan, balay), ug dugang pa, pinaagi niini nga software kita mahimong naghatag og access sa among network sa usa ka tig-atake nga naggamit niini nga host isip proxy.

Makatarunganon alang sa usa ka layo nga konektado nga host nga magamit ang parehas nga mga kinahanglanon sa seguridad sama sa usa ka in-office host.

Giangkon usab niini ang "husto" nga bersyon sa OS, anti-virus, anti-spyware, ug firewall software ug mga update. Kasagaran, kini nga kapabilidad anaa sa VPN gateway (alang sa ASA tan-awa, pananglitan, dinhi).

Maalamon usab ang paggamit sa parehas nga pagtuki sa trapiko ug mga pamaagi sa pag-block (tan-awa ang "Taas nga lebel sa proteksyon") nga ang imong palisiya sa seguridad magamit sa trapiko sa opisina.

Makatarunganon nga hunahunaon nga ang imong network sa opisina dili na limitado sa bilding sa opisina ug ang mga host sa sulod niini.

Pananglitan:

Ang usa ka maayo nga teknik mao ang paghatag sa matag empleyado nga nanginahanglan sa layo nga pag-access sa usa ka maayo, kombenyente nga laptop ug kinahanglan sila nga magtrabaho, sa opisina ug gikan sa balay, gikan lamang niini.

Dili lamang kini makapauswag sa seguridad sa imong network, apan kini usab sayon ​​​​ug kasagaran gitan-aw nga paborable sa mga empleyado (kung kini usa ka maayo kaayo, user-friendly nga laptop).

Mahitungod sa pagbati sa proporsiyon ug balanse

Sa panguna, kini usa ka panag-istoryahanay bahin sa ikatulo nga vertex sa among triangle - bahin sa presyo.
Atong tan-awon ang usa ka hypothetical nga pananglitan.

Pananglitan:

Naa kay opisina para sa 200 ka tawo. Nakahukom ka nga himoon kini nga sayon ​​ug luwas kutob sa mahimo.

Busa, nakahukom ka nga ipasa ang tanan nga trapiko sa firewall ug sa ingon alang sa tanan nga mga subnet sa opisina ang firewall mao ang default gateway. Dugang pa sa security software nga na-install sa matag end host (anti-virus, anti-spyware, ug firewall software), nakahukom ka usab nga gamiton ang tanang posibleng pamaagi sa pagpanalipod sa firewall.

Aron maseguro ang taas nga tulin sa koneksyon (tanan alang sa kasayon), gipili nimo ang mga switch nga adunay 10 Gigabit access ports isip access switch, ug high-performance NGFW firewalls isip firewalls, pananglitan, Palo Alto 7K series (nga adunay 40 Gigabit ports), natural sa tanang lisensya. gilakip ug, natural, usa ka High Availability nga pares.

Ingon usab, siyempre, aron magtrabaho sa kini nga linya sa kagamitan kinahanglan namon labing menos usa ka pares nga mga kwalipikado nga mga inhinyero sa seguridad.

Sunod, nakahukom ka nga hatagan ang matag empleyado og maayong laptop.

Sa kinatibuk-an, mga 10 milyon nga dolyar alang sa pagpatuman, gatusan ka libo nga mga dolyar (sa akong hunahuna mas duol sa usa ka milyon) alang sa tinuig nga suporta ug suweldo sa mga inhenyero.

Opisina, 200 ka tawo...
Komportable? Abi nakog oo.

Mianhi ka uban niini nga sugyot sa imong pagdumala...
Tingali adunay daghang mga kompanya sa kalibutan diin kini usa ka madawat ug husto nga solusyon. Kung ikaw usa ka empleyado niini nga kompanya, akong pahalipay, apan sa kadaghanan sa mga kaso, sigurado ako nga ang imong kahibalo dili mapasalamatan sa pagdumala.

Gipasobrahan ba kini nga pananglitan? Ang sunod nga kapitulo motubag niini nga pangutana.

Kung sa imong network wala nimo makita ang bisan unsa sa ibabaw, nan kini ang naandan.
Alang sa matag piho nga kaso, kinahanglan nimo pangitaon ang imong kaugalingon nga makatarunganon nga pagkompromiso tali sa kasayon, presyo ug kaluwasan. Kasagaran dili nimo kinahanglan ang NGFW sa imong opisina, ug dili kinahanglan ang proteksyon sa L7 sa firewall. Igo na ang paghatag usa ka maayo nga lebel sa visibility ug mga alerto, ug mahimo kini gamit ang mga open source nga produkto, pananglitan. Oo, ang imong reaksyon sa usa ka pag-atake dili dayon, apan ang panguna nga butang mao nga makita nimo kini, ug sa husto nga mga proseso nga naa sa lugar sa imong departamento, dali nimo nga ma-neutralize kini.

Ug pahinumdoman ko ikaw nga, sumala sa konsepto sa kini nga serye sa mga artikulo, wala ka nagdesinyo sa usa ka network, naningkamot ka nga mapaayo ang imong nakuha.

LUWAS nga pagtuki sa arkitektura sa opisina

Hatagi'g pagtagad kining pula nga kwadro diin akong gigahin ang usa ka dapit sa diagram gikan sa LUWAS nga Secure Campus Architecture Guidenga gusto nakong hisgutan dinhi.

Giunsa pagdumala ang imong imprastraktura sa network. Ikatulo nga kapitulo. Seguridad sa network. Ikatulo nga bahin

Kini mao ang usa sa mga yawe nga mga dapit sa arkitektura ug usa sa labing importante nga walay kasigurohan.

Mubo nga sulat

Wala pa ako nag-set up o nagtrabaho kauban ang FirePower (gikan sa linya sa firewall sa Cisco - ASA ra), mao nga tagdon ko kini sama sa bisan unsang ubang firewall, sama sa Juniper SRX o Palo Alto, nga nagtuo nga parehas kini nga mga kapabilidad.

Sa naandan nga mga disenyo, 4 ra ang akong nakita nga posible nga mga kapilian sa paggamit sa usa ka firewall nga adunay kini nga koneksyon:

  • ang default gateway alang sa matag subnet usa ka switch, samtang ang firewall naa sa transparent mode (nga mao, ang tanan nga trapiko moagi niini, apan dili kini usa ka L3 hop)
  • ang default gateway alang sa matag subnet mao ang firewall sub-interfaces (o SVI interface), ang switch nagdula sa papel sa L2
  • lainlain nga VRF ang gigamit sa switch, ug ang trapiko tali sa mga VRF moagi sa firewall, ang trapiko sulod sa usa ka VRF kontrolado sa ACL sa switch
  • ang tanan nga trapiko gisalamin sa firewall alang sa pag-analisar ug pag-monitor; ang trapiko dili moagi niini

Pahayag 1

Ang mga kombinasyon niini nga mga kapilian posible, apan alang sa kayano dili nato kini tagdon.

Nota2

Adunay usab ang posibilidad sa paggamit sa PBR (serbisyo sa kadena nga arkitektura), apan sa pagkakaron kini, bisan kung usa ka matahum nga solusyon sa akong opinyon, labi ka exotic, mao nga wala nako kini gikonsiderar dinhi.

Gikan sa paghulagway sa mga dagan sa dokumento, atong makita nga ang trapiko moagi gihapon sa firewall, nga mao, sumala sa disenyo sa Cisco, ang ikaupat nga kapilian giwagtang.

Atong tan-awon una ang unang duha ka mga kapilian.
Uban niini nga mga kapilian, ang tanan nga trapiko moagi sa firewall.

Karon atong tan-awon data sheet, tan-awa Cisco GPL ug atong makita nga kung gusto nato nga ang total bandwidth para sa atong opisina mahimong labing menos sa 10 - 20 gigabits, nan kinahanglan natong paliton ang 4K nga bersyon.

Mubo nga sulat

Kung naghisgot ako bahin sa kinatibuk-ang bandwidth, gipasabut nako ang trapiko tali sa mga subnet (ug dili sa sulod sa usa ka vilana).

Gikan sa GPL atong makita nga alang sa HA Bundle nga adunay Threat Defense, ang presyo depende sa modelo (4110 - 4150) nagkalainlain gikan sa ~ 0,5 - 2,5 milyon nga dolyar.

Sa ato pa, ang among disenyo nagsugod nga susama sa miaging pananglitan.

Nagpasabot ba kini nga kini nga disenyo sayop?
Dili, wala kana magpasabot. Gihatagan ka sa Cisco ang labing kaayo nga posible nga proteksyon base sa linya sa produkto nga naa niini. Apan wala kana magpasabut nga kini kinahanglan nga buhaton alang kanimo.

Sa prinsipyo, kini usa ka kasagaran nga pangutana nga mitungha kung nagdesinyo sa usa ka opisina o sentro sa datos, ug nagpasabut lamang kini nga kinahanglan pangitaon ang usa ka pagkompromiso.

Pananglitan, ayaw tugoti ang tanan nga trapiko nga moagi sa usa ka firewall, diin ang opsyon 3 ingon og maayo alang kanako, o (tan-awa ang miaging seksyon) tingali dili nimo kinahanglan ang Threat Defense o dili kinahanglan ang usa ka firewall sa kana. bahin sa network, ug kinahanglan nimo nga limitahan ang imong kaugalingon sa passive nga pag-monitor gamit ang bayad (dili mahal) o bukas nga gigikanan nga mga solusyon, o kinahanglan nimo ang usa ka firewall, apan gikan sa usa ka lahi nga vendor.

Kasagaran adunay kini nga kawalay kasiguruhan ug wala’y klaro nga tubag kung unsang desisyon ang labing kaayo alang kanimo.
Kini ang pagkakomplikado ug katahum niini nga buluhaton.

Source: www.habr.com

Idugang sa usa ka comment