ProHoster > Blog > Amministrazione > Cumu piglià u cuntrollu di a vostra infrastruttura di rete. Capitulu trè. Sicurezza di a rete. Terza parte

Cumu piglià u cuntrollu di a vostra infrastruttura di rete. Capitulu trè. Sicurezza di a rete. Terza parte

Questu articulu hè u quintu in a serie "Cumu piglià u cuntrollu di a vostra infrastruttura di rete". U cuntenutu di tutti l'articuli in a serie è i ligami ponu esse truvati ccà.

Sta parte serà cunsacrata à i segmenti di u Campus (Office) & Remote access VPN.

Cumu piglià u cuntrollu di a vostra infrastruttura di rete. Capitulu trè. Sicurezza di a rete. Terza parte

U disignu di a rete di l'uffiziu pò esse faciule.

Infatti, pigliamu i switch L2 / L3 è li cunnettamu l'un à l'altru. In seguitu, realicemu a cunfigurazione basica di vilans è gateway predeterminati, cunfigurà un routing simplice, cunnetta cuntrolli WiFi, punti d'accessu, installate è cunfigurà ASA per l'accessu remoto, simu felici chì tuttu hà travagliatu. In fondu, cum'è aghju digià scrittu in unu di i precedenti articuli di stu ciclu, quasi ogni studiente chì hà assistitu (è hà amparatu) dui semestri di un cursu di telecomunicazione pò cuncepisce è cunfigurà una reta di l'uffiziu in modu chì "funziona in qualchì manera".

Ma più amparate, u menu simplice sta attività cumencia à pare. Per mè personalmente, stu tema, u tema di u disignu di a rete di l'uffiziu, ùn pare micca simplice per tuttu, è in questu articulu pruvaraghju di spiegà perchè.

In cortu, ci sò uni pochi di fatturi à cunsiderà. Spessu questi fattori sò in cunflittu cù l'altri è un cumprumissu raghjone deve esse cercatu.
Sta incertezza hè a principal difficultà. Allora, parlendu di sicurità, avemu un triangulu cù trè vertici: sicurità, cunvenzione per l'impiegati, prezzu di a suluzione.
È ogni volta ci vole à circà un cumprumissu trà sti trè.

architettura

Cum'è un esempiu di una architettura per questi dui segmenti, cum'è in articuli precedenti, ricumandemu Cisco SAFE mudellu: Campus Enterprise, Enterprise Internet Edge.

Quessi sò documenti un pocu obsoleti. I prisintà quì perchè i schemi fundamentali è l'approcciu ùn anu micca cambiatu, ma à u stessu tempu mi piace a presentazione più cà in nova documentazione.

Senza incuragisce à aduprà suluzioni Cisco, pensu sempre chì hè utile à studià cù cura stu disignu.

Stu articulu, cum'è di solitu, ùn in ogni modu pretende esse cumpletu, ma hè piuttostu un aghjuntu à sta infurmazione.

À a fine di l'articulu, analizzeremu u disignu di l'uffiziu Cisco SAFE in quantu à i cuncetti delineati quì.

Principii generichi

U disignu di a reta di l'uffiziu deve, sicuru, risponde à i requisiti generali chì sò stati discututi ccà in u capitulu "Criteri per a valutazione di a qualità di u disignu". In più di u prezzu è a sicurità, chì avemu intenzione di discutiri in questu articulu, ci sò ancu trè criterii chì duvemu cunsiderà quandu cuncepimentu (o fà cambiamenti):

  • scalabilità
  • facilità d'usu (gestionabilità)
  • dispunibilità

Gran parte di ciò chì hè statu discutitu centri di dati Questu hè ancu veru per l'uffiziu.

Ma ancu, u segmentu di l'uffiziu hà i so specifichi, chì sò critichi da un puntu di vista di sicurità. L'essenza di sta specificità hè chì stu segmentu hè creatu per furnisce servizii di rete à l'impiegati (cum'è i partenarii è l'invitati) di a cumpagnia, è, in u risultatu, à u più altu livellu di cunsiderazione di u prublema, avemu dui compiti:

  • prutegge e risorse di l'impresa da l'azzioni maliziusi chì ponu vene da l'impiegati (invitati, partenarii) è da u software chì utilizanu. Questu include ancu a prutezzione contra a cunnessione micca autorizata à a reta.
  • prutegge i sistemi è i dati di l'utilizatori

È questu hè solu un latu di u prublema (o megliu, un vertice di u triangulu). Da l'altra parte hè a cunvenzione di l'utilizatori è u prezzu di e soluzioni aduprate.

Cuminciamu per fighjà ciò chì un utilizatore aspetta da una reta di l'uffiziu mudernu.

Amenità

Eccu ciò chì "amenità di rete" pare per un utilizatore di l'uffiziu in u mo parè:

  • Mobilità
  • Capacità di utilizà a gamma completa di i dispositi familiari è sistemi operativi
  • Accessu faciule à tutte e risorse necessarie di a cumpagnia
  • Disponibilità di risorse Internet, cumpresi diversi servizii cloud
  • "Fast funziunamentu" di a reta

Tuttu chistu s'applica à l'impiegati è à l'invitati (o partenarii), è hè u compitu di l'ingegneri di a cumpagnia di diferenzià l'accessu per i diversi gruppi d'utilizatori basatu annantu à l'autorizazione.

Fighjemu à ognunu di sti aspetti in un pocu più di dettu.

Mobilità

Parlemu di l'uppurtunità di travaglià è aduprà tutte e risorse necessarie di a cumpagnia da ogni locu in u mondu (di sicuru, induve l'Internet hè dispunibule).

Questu hè cumplettamente applicatu à l'uffiziu. Questu hè convenientu quandu avete l'uppurtunità di cuntinuà à travaglià da ogni locu in l'uffiziu, per esempiu, riceve mail, cumunicà in un messageru corporativu, esse dispunibule per una videocall, ... Cusì, questu permette, da una banda, per risolve certi prublemi di cumunicazione "viva" (per esempiu, participà à manifestazioni), è da l'altra banda, esse sempre in linea, tenite u to ditte nantu à u pulsu è risolve rapidamente alcuni travaglii urgenti d'alta priorità. Questu hè assai còmuda è veramente migliurà a qualità di e cumunicazioni.

Questu hè ottenutu da u disignu propiu di a rete WiFi.

Nota

Quì a quistione di solitu nasce: hè abbastanza à aduprà solu WiFi? Questu significa chì pudete piantà di utilizà porti Ethernet in l'uffiziu? Se parlemu solu di l'utilizatori, è micca di i servitori, chì sò sempre ragiunate per cunnette cù un portu Ethernet regulare, in generale, a risposta hè: iè, pudete limità solu à WiFi. Ma ci sò sfumature.

Ci sò gruppi d'utilizatori impurtanti chì necessitanu un approcciu separatu. Questi sò, sicuru, amministratori. In principiu, una cunnessione WiFi hè menu affidabile (in termini di perdita di trafficu) è più lenta chè un portu Ethernet regulare. Questu pò esse significativu per l'amministratori. Inoltre, l'amministratori di rete, per esempiu, ponu, in principiu, avè a so propria rete Ethernet dedicata per cunnessione fora di banda.

Ci ponu esse altri gruppi / dipartimenti in a vostra cumpagnia per quale sti fattori sò ancu impurtanti.

Ci hè un altru puntu impurtante - a telefonia. Forsi per qualchì mutivu ùn vulete micca usà Wireless VoIP è vulete usà telefoni IP cù una cunnessione Ethernet regulare.

In generale, l'imprese per i quali aghju travagliatu di solitu avianu una cunnessione WiFi è un portu Ethernet.

Mi piacerebbe chì a mobilità ùn sia micca limitata solu à l'uffiziu.

Per assicurà a capacità di travaglià da a casa (o qualsiasi altru locu cù Internet accessibile), una cunnessione VPN hè aduprata. À u listessu tempu, hè desideratu chì l'impiegati ùn sentenu micca a diffarenza trà u travagliu da casa è u travagliu remoto, chì assume u stessu accessu. Discuteremu cumu urganizà questu un pocu più tardi in u capitulu "Sistema di autentificazione è d'autorizazione unificatu centralizatu".

Nota

Hè assai prubabile, ùn puderete micca furnisce cumplettamente a stessa qualità di servizii per u travagliu remoto chì avete in l'uffiziu. Assumimu chì site cù un Cisco ASA 5520 cum'è a vostra porta VPN scheda tecnica stu dispusitivu hè capaci di "digerirà" solu 225 Mbit di trafficu VPN. Questu hè, sicuru, in termini di larghezza di banda, a cunnessione via VPN hè assai sfarente di travaglià da l'uffiziu. Inoltre, se, per qualchì mutivu, latenza, perdita, jitter (per esempiu, vulete usà a telefonia IP di l'uffiziu) per i vostri servizii di rete sò significativi, ùn riceverete micca a stessa qualità cum'è s'ellu era in l'uffiziu. Dunque, quandu si parla di mobilità, ci vole à esse cuscenti di e pussibuli limitazioni.

Accessu faciule à tutte e risorse di a cumpagnia

Stu compitu deve esse risolta cumuna cù altri dipartimenti tecnichi.
A situazione ideale hè quandu l'utilizatore solu deve autentificà una volta, è dopu avè accessu à tutte e risorse necessarie.
Furnisce un accessu faciule senza sacrificà a sicurità pò migliurà significativamente a produtividade è riduce u stress trà i vostri culleghi.

Nota 1

A facilità d'accessu ùn hè micca solu quante volte avete da inserisce una password. Sè, per esempiu, in cunfurmità cù a vostra pulitica di sicurità, per cunnette da l'uffiziu à u centru di dati, prima devi cunnette à a porta VPN, è à u stessu tempu perdi l'accessu à e risorse di l'uffiziu, allora questu hè ancu assai. , assai inconveniente.

Nota 2

Ci sò servizii (per esempiu, l'accessu à l'equipaggiu di rete) induve avemu di solitu i nostri servitori AAA dedicati è questu hè a norma quandu in questu casu avemu autentificà parechje volte.

Disponibilità di risorse Internet

Internet ùn hè micca solu divertimentu, ma ancu un settore di servizii chì ponu esse assai utili per u travagliu. Ci sò ancu fatturi puramente psicologichi. Una persona muderna hè cunnessu cù l'altri populi via Internet per mezu di parechji fili virtuali, è, in my opinion, ùn ci hè nunda di male s'ellu cuntinueghja à sente sta cunnessione ancu mentre travaglia.

Da u puntu di vista di perde u tempu, ùn ci hè nunda di male se un impiigatu, per esempiu, hà Skype in esecuzione è passa 5 minuti à cumunicà cù un omu amatu se ne necessariu.

Questu significa chì l'Internet deve esse sempre dispunibule, questu significa chì l'impiegati ponu accede à tutte e risorse è micca cuntrullà in ogni modu?

No, ùn significa micca, sicuru. U livellu di apertura di l'Internet pò varià per e diverse cumpagnie - da a chiusura completa à l'apertura completa. Discuteremu e manere di cuntrullà u trafficu dopu in e sezioni nantu à e misure di sicurezza.

Capacità di utilizà a gamma completa di i dispositi familiari

Hè cunvene quandu, per esempiu, avete l'uppurtunità di cuntinuà aduprà tutti i mezi di cumunicazione chì site abituatu à u travagliu. Ùn ci hè micca difficultà à implementà tecnicamente questu. Per questu avete bisognu di WiFi è un wilan d'ospiti.

Hè ancu bè s'ellu avete l'uppurtunità di utilizà u sistema upirativu chì site abituatu. Ma, in a mo osservazione, questu hè generalmente permessu solu à i gestori, amministratori è sviluppatori.

Esempiu:

Pudete, sicuru, seguità a strada di pruibizioni, pruibisce l'accessu remotu, pruibisce a cunnessione da i dispositi mobili, limità tuttu à e cunnessione Ethernet statica, limità l'accessu à Internet, cunfiscà ubligatoriamente i telefoni cellulari è i gadgets à u puntu di cuntrollu ... è sta strada. hè in realtà seguita da alcune urganisazioni cù esigenze di sicurezza aumentate, è forsi in certi casi questu pò esse ghjustificatu, ma ... duvete accunsente chì questu pare un tentativu di piantà u prugressu in una sola urganizazione. Di sicuru, mi piacerebbe cumminà l'opportunità chì e tecnulugii muderni furniscenu cun un nivellu di sicurità abbastanza.

"Fast funziunamentu" di a reta

A velocità di trasferimentu di dati hè tecnicamente custituita da parechji fatturi. È a vitezza di u vostru portu di cunnessione ùn hè di solitu micca u più impurtante. L'operazione lenta di una applicazione ùn hè micca sempre assuciata à i prublemi di a rete, ma per avà avemu interessatu solu in a parte di a reta. U prublema più cumuna cù a "rallentamentu" di a rete locale hè ligata à a perdita di pacchetti. Questu generalmente accade quandu ci hè un collu di buttiglia o prublemi L1 (OSI). Più raramente, cù certi disinni (per esempiu, quandu i vostri subnets anu un firewall cum'è u gateway predeterminatu è cusì tuttu u trafficu passa per ellu), u rendiment hardware pò esse manca.

Dunque, quandu sceglite l'equipaggiu è l'architettura, avete bisognu di correlate a velocità di i porti finali, i tronchi è u rendiment di l'equipaggiu.

Esempiu:

Assumimu chì site aduprate switch cù porti 1 gigabit cum'è switch di strati d'accessu. Sò cunnessi l'un à l'altru via Etherchannel 2 x 10 gigabits. Cum'è una porta predeterminata, utilizate un firewall cù porti gigabit, per cunnette quale à a reta di l'uffiziu L2 utilizate porti 2 gigabit cumminati in un Etherchannel.

Questa architettura hè abbastanza còmuda da un puntu di vista di funziunalità, perchè ... Tuttu u trafficu passa per u firewall, è pudete gestisce cunfortu e pulitiche d'accessu, è applicà l'algoritmi cumplessi per cuntrullà u trafficu è prevene i pussibuli attacchi (vede quì sottu), ma da un puntu di vista di u rendiment è di u rendiment stu disignu, di sicuru, hà prublemi putenziali. Cusì, per esempiu, 2 hosts scaricamentu di dati (cù una velocità di portu di 1 gigabit) pò carricà cumplettamente una cunnessione 2 gigabit à u firewall, è cusì porta à a degradazione di u serviziu per tuttu u segmentu di l'uffiziu.

Avemu vistu un vertice di u triangulu, avà fighjemu cumu pudemu assicurà a sicurità.

Rimedi

Allora, sicuru, di solitu u nostru desideriu (o megliu, u desideriu di a nostra gestione) hè di ottene l'impossibile, vale à dì, furnisce a massima comodità cù a massima sicurezza è u costu minimu.

Fighjemu chì metudi avemu da furnisce a prutezzione.

Per l'uffiziu, aghju evidenziatu i seguenti:

  • approcciu di fiducia zero à u disignu
  • altu livellu di prutezzione
  • visibilità di a rete
  • sistema unificatu di autentificazione è d'autorizazione centralizata
  • verificazione di l'ospite

In seguitu, andemu in un pocu più di dettu nantu à ognunu di sti aspetti.

ZeroTrust

U mondu IT hè cambiatu assai rapidamente. Appena più di l'ultimi 10 anni, l'emergenza di novi tecnulugia è prudutti hà purtatu à una rivisione maiò di cuncetti di sicurità. Dieci anni fà, da u puntu di vista di a sicurità, avemu segmentatu a reta in zoni di fiducia, dmz è untrust, è utilizate a chjamata "prutezzione perimetrale", induve ci era 2 linee di difesa: untrust -> dmz è dmz -> fiducia. Inoltre, a prutezzione era generalmente limitata à liste d'accessu basate nantu à l'intestazione L3 / L4 (OSI) (IP, porti TCP / UDP, bandieri TCP). Tuttu ciò chì riguarda i livelli più alti, cumpresu L7, hè stata lasciata à u SO è i prudutti di sicurità installati nantu à l'ospiti finali.

Avà a situazione hà cambiatu dramaticamente. Cuncepimentu mudernu fiducia zero vene da u fattu chì ùn hè più pussibule di cunsiderà sistemi internu, vale à dì, quelli chì si trovanu in u perimetru, cum'è fiducia, è u cuncettu di u perimetru stessu hè diventatu sfocata.
In più di cunnessione Internet avemu ancu

  • utilizatori VPN accessu remoto
  • diversi gadgets persunali, purtatu laptops, cunnessi via l'uffiziu WiFi
  • altre (succursali) uffizii
  • integrazione cù l'infrastruttura cloud

Chì ghjè l'approcciu Zero Trust in pratica?

Ideale, solu u trafficu chì hè necessariu deve esse permessu è, se parlemu di un ideale, allura u cuntrollu ùn deve esse micca solu à u livellu L3 / L4, ma à u livellu di l'applicazione.

Sè, per esempiu, avete a capacità di passà tuttu u trafficu attraversu un firewall, pudete pruvà à avvicinassi à l'ideale. Ma questu approcciu pò riduce significativamente a larghezza di banda tutale di a vostra reta, è in più, u filtru per applicazione ùn hè micca sempre bè.

Quandu u cuntrollu di u trafficu nantu à un router o un switch L3 (aduprendu ACL standard), scontri altri prublemi:

  • Questu hè solu filtrazione L3 / L4. Ùn ci hè nunda chì impedisce à un attaccu di utilizà porti permessi (per esempiu TCP 80) per a so applicazione (micca http)
  • gestione cumplessa di ACL (difficile da analizà ACL)
  • Questu ùn hè micca un firewall statefull, chì significa chì avete bisognu di permette esplicitamente u trafficu inversu
  • cù i switch sò generalmente assai limitati da a dimensione di u TCAM, chì pò diventà rapidamente un prublema si pigliate l'approcciu "permette solu ciò chì avete bisognu".

Nota

Parlendu di u trafficu inversu, avemu da ricurdà chì avemu l'oppurtunità seguente (Cisco)

permette tcp qualsiasi stabilitu

Ma avete bisognu di capisce chì sta linea hè equivalente à duie linee:
permette tcp ogni ack
permette tcp qualsiasi qualsiasi prima

Chì significa chì ancu s'ellu ùn ci era micca un segmentu TCP iniziale cù a bandiera SYN (vale à dì, a sessione TCP ùn hà ancu principiatu à stabilisce), questu ACL permetterà un pacchettu cù a bandiera ACK, chì un attaccante pò aduprà per trasfiriri dati.

Questu hè, sta linea ùn trasforma in alcun modu u vostru router o L3 switch in un firewall statefull.

Altu livellu di prutezzione

В articulu In a sezione nantu à i centri di dati, avemu cunsideratu i seguenti metudi di prutezzione.

  • firewalling stateful (predefinitu)
  • prutezzione ddos/dos
  • firewall di l'applicazione
  • prevenzione di minacce (antivirus, anti-spyware è vulnerabilità)
  • Filtru URL
  • filtru di dati (filtru di cuntenutu)
  • bluccatu di schedari (bluccamentu di i tipi di schedari)

In u casu di un uffiziu, a situazione hè simile, ma i priurità sò pocu diffirenti. A dispunibilità di l'uffiziu (disponibilità) ùn hè di solitu micca cusì critica cum'è in u casu di un centru di dati, mentre chì a probabilità di trafficu maliziusu "internu" hè ordini di grandezza più altu.
Dunque, i seguenti metudi di prutezzione per stu segmentu diventanu critichi:

  • firewall di l'applicazione
  • prevenzione di minacce (anti-virus, anti-spyware, è vulnerabilità)
  • Filtru URL
  • filtru di dati (filtru di cuntenutu)
  • bluccatu di schedari (bluccamentu di i tipi di schedari)

Ancu s'è tutti sti metudi di prutezzione, cù l'eccezzioni di u firewalling di l'applicazioni, sò tradiziunale è cuntinueghjanu à esse risolti nantu à l'ospiti finali (per esempiu, installendu prugrammi antivirus) è utilizendu proxy, i NGFW muderni furniscenu ancu questi servizii.

I venditori di l'equipaggiu di sicurità s'impegnanu à creà una prutezzione cumpleta, cusì cù a prutezzione lucale, offrenu diverse tecnulugii di nuvola è software client per l'ospiti (prutezzione di u puntu finale / EPP). Cusì, per esempiu, da 2018 Gartner Magic Quadrant Avemu vistu chì Palo Alto è Cisco anu u so propiu EPP (PA: Traps, Cisco: AMP), ma sò luntanu da i capi.

L'attivazione di sti prutezzione (di solitu acquistendu licenze) nantu à u vostru firewall ùn hè di sicuru micca ubligatoriu (pudete andà à a strada tradiziunale), ma furnisce alcuni benefici:

  • in questu casu, ci hè un unicu puntu di applicazione di i metudi di prutezzione, chì migliurà a visibilità (vede u prossimu tema).
  • Se ci hè un dispositivu senza prutezzione in a vostra reta, allora hè sempre sottu à u "umbrella" di prutezzione firewall.
  • Utilizendu a prutezzione di firewall in cunjunzione cù a prutezzione di l'ospite finale, aumentemu a probabilità di detectà u trafficu maliziusu. Per esempiu, aduprendu a prevenzione di a minaccia nantu à l'ospiti lucali è in un firewall aumenta a probabilità di deteczione (sempre chì, sicuru, queste soluzioni sò basate nantu à diversi prudutti di software)

Nota

Sè, per esempiu, aduprate Kaspersky cum'è antivirus sia in u firewall sia in l'ospiti finali, allora questu, sicuru, ùn aumenterà micca assai e vostre probabilità di prevene un attaccu di virus in a vostra reta.

Visibilità di a rete

L 'idea principale hè simplice - "vede" ciò chì succede nantu à a vostra reta, in tempu reale è dati storichi.

Divisa sta "visione" in dui gruppi:

Gruppu unu: ciò chì u vostru sistema di surviglianza di solitu vi furnisce.

  • carica di l'equipaggiu
  • canali di carica
  • usu di memoria
  • usu di discu
  • cambià a tabella di routing
  • status di ligame
  • dispunibilità di l'equipaggiu (o ospiti)
  • ...

Gruppu dui: infurmazione nantu à a sicurità.

  • vari tipi di statistiche (per esempiu, per applicazione, per u trafficu URL, chì tipi di dati sò stati scaricati, dati d'utilizatori)
  • ciò chì era bluccatu da e pulitiche di sicurità è per quale ragione, vale à dì
    • applicazione pruibita
    • pruibitu basatu annantu à ip/protocol/port/flags/zones
    • prevenzione di minacce
    • filtrazione url
    • filtru di dati
    • bluccatu di u schedariu
    • ...
  • statistiche nantu à attacchi DOS/DDOS
  • tentativi falluti di identificazione è d'autorizazione
  • statistiche per tutti l'eventi di violazione di a pulitica di sicurezza sopra
  • ...

In stu capitulu nantu à a sicurità, avemu interessatu in a seconda parte.

Certi firewall muderni (da a mo sperienza Palo Alto) furnisce un bonu livellu di visibilità. Ma, sicuru, u trafficu chì site interessatu deve passà per questu firewall (in quale casu avete a capacità di bluccà u trafficu) o mirrored à u firewall (usatu solu per u monitoraghju è l'analisi), è avete bisognu di licenze per attivà tutti. sti servizii.

Ci hè, sicuru, un modu alternativu, o piuttostu u modu tradiziunale, per esempiu,

  • E statistiche di sessione ponu esse raccolte via netflow è dopu utilizate utilità speciale per l'analisi di l'infurmazioni è a visualizazione di dati
  • prevenzione di minacce - prugrammi speciali (anti-virus, anti-spyware, firewall) nantu à l'ospiti finali
  • Filtru di l'URL, filtru di dati, bluccatu di file - nantu à proxy
  • hè ancu pussibule analizà tcpdump usendu per esempiu. snortà

Pudete cumminà sti dui approcci, cumplementendu e funzioni mancanti o duplicà per aumentà a probabilità di detectà un attaccu.

Quale approcciu duvete sceglie?
Dipende assai da e qualifiche è e preferenze di a vostra squadra.
Sia ci è ci sò pro è cuns.

Sistema d'autentificazione è d'autorizazione centralizatu unificatu

Quandu hè ben cuncepitu, a mobilità chì avemu discututu in questu articulu assume chì avete u stessu accessu sia chì travagliate da l'uffiziu o da a casa, da l'aeroportu, da un caffè, o in ogni altru locu (cù i limitazioni chì avemu discututu sopra). Sembra, chì hè u prublema?
Per capisce megliu a cumplessità di stu compitu, fighjemu un disignu tipicu.

Esempiu:

  • Avete divisu tutti l'impiegati in gruppi. Avete decisu di furnisce l'accessu per gruppi
  • Dentru l'uffiziu, cuntrole l'accessu nantu à u firewall di l'uffiziu
  • Cuntrolla u trafficu da l'uffiziu à u centru di dati nantu à u firewall di u centru di dati
  • Aduprate un Cisco ASA cum'è una porta VPN, è per cuntrullà u trafficu chì entra in a vostra reta da i clienti remoti, utilizate ACL lucali (nantu à l'ASA).

Avà, dicemu chì vi hè dumandatu à aghjunghje un accessu supplementu à un certu impiigatu. In stu casu, vi sò dumandatu à aghjunghje accessu solu à ellu è nimu altru da u so gruppu.

Per questu avemu da creà un gruppu separatu per questu impiigatu, vale à dì

  • creà una piscina IP separata nantu à l'ASA per questu impiigatu
  • aghjunghje una nova ACL nantu à l'ASA è ligate à quellu cliente remoto
  • creà novi pulitiche di sicurità nantu à i firewall di l'uffiziu è di u centru di dati

Hè bonu se questu avvenimentu hè raru. Ma in a mo pratica ci era una situazione quandu l'impiegati participanu à diversi prughjetti, è questu inseme di prughjetti per alcuni di elli hà cambiatu abbastanza spessu, è ùn era micca 1-2 persone, ma decine. Di sicuru, qualcosa deve esse cambiatu quì.

Questu hè stata risolta in a manera seguente.

Avemu decisu chì LDAP seria l'unica fonte di verità chì determina tutti l'accessi pussibuli di l'impiegati. Avemu creatu ogni tipu di gruppi chì definiscenu setti di accessi, è avemu assignatu ogni utilizatore à unu o più gruppi.

Dunque, per esempiu, supponi chì ci era gruppi

  • invitatu (accessu à Internet)
  • accessu cumunu (accessu à risorse spartute: mail, basa di cunniscenza, ...)
  • cuntabili
  • prughjettu 1
  • prughjettu 2
  • amministratore di basa di dati
  • amministratore linux
  • ...

È se unu di l'impiegati era implicatu in u prughjettu 1 è u prughjettu 2, è hà bisognu di l'accessu necessariu per travaglià in questi prughjetti, allora stu impiigatu hè stata assignata à i seguenti gruppi:

  • ospiti
  • accessu cumuni
  • prughjettu 1
  • prughjettu 2

Cumu pudemu turnà issa infurmazione in accessu à l'equipaggiu di rete?

Cisco ASA Politica di Accessu Dinamicu (DAP) (vede www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) a suluzione hè ghjustu per questu compitu.

In breve nantu à a nostra implementazione, durante u prucessu d'identificazione/autorizazione, ASA riceve da LDAP un inseme di gruppi chì currisponde à un utilizatore datu è "raccolte" da parechji ACL lucali (ognuna di e quali currisponde à un gruppu) una ACL dinamica cù tutti l'accessi necessarii. , chì currisponde pienamente à i nostri desideri.

Ma questu hè solu per e cunnessione VPN. Per fà a situazione listessa per i dui impiegati cunnessi via VPN è quelli in l'uffiziu, u passu dopu hè statu fattu.

Quandu si cunnetta da l'uffiziu, l'utilizatori chì utilizanu u protokollu 802.1x anu finitu in una LAN d'ospiti (per invitati) o una LAN cumuna (per l'impiegati di a cumpagnia). In più, per ottene un accessu specificu (per esempiu, à i prughjetti in un centru di dati), l'impiegati anu da cunnette via VPN.

Per cunnette da l'uffiziu è da a casa, diversi gruppi di tunnel sò stati utilizati in l'ASA. Questu hè necessariu per chì per quelli chì sò cunnessi da l'uffiziu, u trafficu à e risorse spartute (aduprate da tutti l'impiegati, cum'è mail, servitori di file, sistema di biglietti, dns, ...) ùn passa micca per l'ASA, ma per a reta lucale. . Cusì, ùn avemu micca carricu l'ASA cun trafficu innecessariu, cumpresu u trafficu d'alta intensità.

Cusì, u prublema hè stata risolta.
Avemu avutu

  • u listessu settore di accessi per e duie cunnessione da l'uffiziu è cunnessione remota
  • assenza di degradazione di serviziu quandu u travagliu da l'uffiziu assuciatu cù a trasmissione di trafficu d'alta intensità attraversu ASA

Chì altri vantaghji di stu approcciu?
In l'amministrazione di l'accessu. L'accessi ponu esse facilmente cambiati in un locu.
Per esempiu, se un impiigatu abbanduneghja l'impresa, allora solu l'eliminate da LDAP, è perde automaticamente tutti l'accessu.

Verificazione di l'ospite

Cù a pussibilità di cunnessione remota, corremu u risicu di permette micca solu un impiigatu di a cumpagnia in a reta, ma ancu tutti i prugrammi maliziusi chì sò assai prubabilmente presenti in u so urdinatore (per esempiu, in casa), è in più, attraversu stu software avemu pò esse furnisce l'accessu à a nostra reta à un attaccu chì utilizeghja questu host cum'è proxy.

Hè sensu per un host cunnessu remotamente per applicà i stessi requisiti di sicurezza cum'è un host in-office.

Questu assume ancu a versione "corretta" di u SO, anti-virus, anti-spyware è software di firewall è aghjurnamenti. Di genere, sta capacità esiste nantu à a porta VPN (per ASA vede, per esempiu, ccà).

Hè ancu sàviu di applicà a listessa analisi di trafficu è e tecniche di bloccu (vede "Altu livellu di prutezzione") chì a vostra pulitica di sicurità applica à u trafficu di l'uffiziu.

Hè ragiunate per suppone chì a vostra reta di l'uffiziu ùn hè più limitata à l'edificiu di l'uffiziu è l'ospiti in questu.

Esempiu:

Una bona tecnica hè di furnisce à ogni impiigatu chì esige un accessu remotu cun un laptop bonu è cunvene è esigene di travaglià, sia in l'uffiziu sia da casa, solu da ellu.

Micca solu migliurà a sicurità di a vostra reta, ma hè ancu veramente cunvene è hè generalmente vistu favorevolmente da l'impiegati (s'ellu hè un laptop veramente bonu è user-friendly).

Circa un sensu di proporzione è equilibriu

In fondu, questu hè una conversazione nantu à u terzu vertice di u nostru triangulu - nantu à u prezzu.
Fighjemu un esempiu ipoteticu.

Esempiu:

Avete un uffiziu per 200 persone. Avete decisu di fà u più còmode è sicuru pussibule.

Dunque, avete decisu di passà tuttu u trafficu attraversu u firewall è cusì per tutti i subnets di l'uffiziu u firewall hè a porta predeterminata. In più di u software di sicurità installatu nantu à ogni host finale (anti-virus, anti-spyware, è software firewall), avete ancu decisu di applicà tutti i metudi di prutezzione pussibuli nantu à u firewall.

Per assicurà una alta velocità di cunnessione (tuttu per comodità), avete sceltu switches cù porti d'accessu 10 Gigabit cum'è switch d'accessu, è firewalls NGFW high-performance cum'è firewall, per esempiu, a serie Palo Alto 7K (cù porti 40 Gigabit), naturalmente cù tutte e licenze. inclusa è, naturalmente, una coppia d'Alta Disponibilità.

Inoltre, sicuru, per travaglià cù questa linea di equipaghji avemu bisognu di almenu un coppiu di ingegneri di sicurità altamente qualificati.

Dopu, avete decisu di dà à ogni impiigatu un bon laptop.

Totale, circa 10 milioni di dollari per l'implementazione, centinaie di millaie di dollari (pensu più vicinu à un milione) per u sustegnu annuale è i salarii per l'ingegneri.

Uffiziu, 200 persone...
Cunfortu? Pensu chì hè sì.

Venite cù sta pruposta à a vostra gestione...
Forsi ci sò parechje cumpagnie in u mondu per quale questu hè una suluzione accettabile è curretta. Sè vo site un impiigatu di sta cumpagnia, i mo felicitazione, ma in a maiò parte di i casi, sò sicuru chì a vostra cunniscenza ùn serà micca apprezzata da a gestione.

Hè stu esempiu esageratu ? U prossimu capitulu risponde à sta quistione.

Se nant'à a vostra reta ùn vede nunda di sopra, allora questu hè a norma.
Per ogni casu specificu, avete bisognu di truvà u vostru propiu cumprumissu raghjone trà comodità, prezzu è sicurità. Spessu ùn avete mancu bisognu di NGFW in u vostru uffiziu, è a prutezzione L7 in u firewall ùn hè micca necessariu. Hè abbastanza per furnisce un bonu livellu di visibilità è alerti, è questu pò esse fattu cù i prudutti open source, per esempiu. Iè, a vostra reazione à un attaccu ùn serà micca immediata, ma u principale hè chì vi vede, è cù i prucessi ghjusti in u vostru dipartimentu, puderà neutralizà rapidamente.

È lasciami ricurdà chì, secondu u cuncettu di sta serie d'articuli, ùn site micca cuncepimentu di una rete, solu pruvate à migliurà ciò chì avete.

Analisi SAFE di l'architettura di l'uffiziu

Prestate attenzione à questu quadru rossu cù quale aghju attribuitu un postu nantu à u schema da SAFE Secure Campus Architecture Guidechì vogliu discutiri quì.

Cumu piglià u cuntrollu di a vostra infrastruttura di rete. Capitulu trè. Sicurezza di a rete. Terza parte

Questu hè unu di i lochi chjave di l'architettura è una di e incertezze più impurtanti.

Nota

Ùn aghju mai stallatu o travagliatu cù FirePower (da a linea di firewall di Cisco - solu ASA), cusì u tratteraghju cum'è qualsiasi altru firewall, cum'è Juniper SRX o Palo Alto, assumendu chì hà e stesse capacità.

Di i disinni di solitu, vecu solu 4 opzioni pussibuli per utilizà un firewall cù questa cunnessione:

  • u gateway predeterminatu per ogni subnet hè un switch, mentri u firewall hè in modu trasparente (vale à dì, tuttu u trafficu passa per ellu, ma ùn forma micca un L3 hop)
  • u gateway predeterminatu per ogni subnet hè a sub-interfacce di firewall (o interfacce SVI), u cambiamentu ghjoca u rolu di L2
  • Diversi VRF sò usati nantu à u switch, è u trafficu trà VRF passa per u firewall, u trafficu in un VRF hè cuntrullatu da l'ACL in u switch.
  • tuttu u trafficu hè riflessu à u firewall per l'analisi è u seguimentu di u trafficu ùn passa micca

Nota 1

Cumminzioni di sti opzioni sò pussibuli, ma per a simplicità ùn avemu micca cunsideratu.

Nota 2

Ci hè ancu a pussibilità di usà PBR (architettura di a catena di serviziu), ma per avà questu, ancu s'ellu hè una bella suluzione in u mo parè, hè piuttostu esoticu, per quessa ùn sò micca cunsideratu quì.

Da a descrizzione di i flussi in u documentu, vedemu chì u trafficu passa sempre per u firewall, vale à dì, in cunfurmità cù u disignu Cisco, a quarta opzione hè eliminata.

Fighjemu prima e prime duie opzioni.
Cù queste opzioni, tuttu u trafficu passa per u firewall.

Avà guardemu scheda tecnica, guarda Cisco GPL è vedemu chì se vulemu chì a larghezza di banda tutale per u nostru uffiziu sia almenu circa 10 - 20 gigabits, allora duvemu cumprà a versione 4K.

Nota

Quandu parlu di a larghezza di banda tutale, vogliu dì u trafficu trà subnets (è micca in una vilana).

Da a GPL vedemu chì per u Bundle HA cù a Difesa di Minaccia, u prezzu secondu u mudellu (4110 - 4150) varieghja da ~ 0,5 - 2,5 million dollars.

Questu hè, u nostru disignu cumencia à s'assumiglia à l'esempiu precedente.

Questu significa chì stu disignu hè sbagliatu?
Innò, questu ùn significa micca. Cisco vi dà a megliu prutezzione pussibule basatu annantu à a linea di produttu chì hà. Ma questu ùn significa micca chì hè un must-do per voi.

In principiu, questa hè una quistione cumuna chì sorge quandu si cuncepisce un uffiziu o un centru di dati, è significa solu chì un cumprumissu deve esse cercatu.

Per esempiu, ùn lasciate micca chì tuttu u trafficu passa per un firewall, in quale casu l'opzione 3 mi pare abbastanza bona, o (vede a sezione precedente) forse ùn avete micca bisognu di Threat Defense o ùn avete micca bisognu di un firewall in tuttu. segmentu di a rete, è avete solu bisognu di limità à u monitoraghju passivu utilizendu soluzioni pagate (micca caru) o open source, o avete bisognu di un firewall, ma da un altru venditore.

Di solitu ci hè sempre sta incertezza è ùn ci hè micca una risposta chjara per quale decisione hè u megliu per voi.
Questa hè a cumplessità è a bellezza di stu compitu.

Source: www.habr.com

Add a comment