ProHoster > blog > Gweinyddiaeth > Sut i reoli eich seilwaith rhwydwaith. Pennod tri. Diogelwch rhwydwaith. Rhan tri

Sut i reoli eich seilwaith rhwydwaith. Pennod tri. Diogelwch rhwydwaith. Rhan tri

Yr erthygl hon yw'r bumed yn y gyfres “Sut i Reoli Eich Seilwaith Rhwydwaith.” Gellir dod o hyd i gynnwys pob erthygl yn y gyfres a dolenni yma.

Bydd y rhan hon yn cael ei neilltuo i'r segmentau VPN Campws (Swyddfa) a Mynediad o Bell.

Sut i reoli eich seilwaith rhwydwaith. Pennod tri. Diogelwch rhwydwaith. Rhan tri

Gall dylunio rhwydwaith swyddfa ymddangos yn hawdd.

Yn wir, rydyn ni'n cymryd switshis L2 / L3 ac yn eu cysylltu â'i gilydd. Nesaf, rydym yn cynnal y gosodiad sylfaenol o filans a phyrth diofyn, yn sefydlu llwybro syml, yn cysylltu rheolwyr WiFi, pwyntiau mynediad, gosod a ffurfweddu ASA ar gyfer mynediad o bell, rydym yn falch bod popeth wedi gweithio. Yn y bôn, fel yr ysgrifennais eisoes yn un o'r rhai blaenorol erthyglau o'r cylch hwn, gall bron pob myfyriwr sydd wedi mynychu (a dysgu) dau semester o gwrs telathrebu ddylunio a ffurfweddu rhwydwaith swyddfa fel ei fod yn “gweithio rywsut.”

Ond po fwyaf y byddwch chi'n ei ddysgu, y lleiaf syml y mae'r dasg hon yn dechrau ymddangos. I mi yn bersonol, nid yw'r pwnc hwn, pwnc dylunio rhwydwaith swyddfa, yn ymddangos yn syml o gwbl, ac yn yr erthygl hon byddaf yn ceisio esbonio pam.

Yn fyr, mae cryn dipyn o ffactorau i'w hystyried. Yn aml mae'r ffactorau hyn yn gwrthdaro â'i gilydd ac mae'n rhaid ceisio cyfaddawd rhesymol.
Yr ansicrwydd hwn yw'r prif anhawster. Felly, wrth siarad am ddiogelwch, mae gennym driongl gyda thair fertig: diogelwch, cyfleustra i weithwyr, pris yr ateb.
A phob tro mae'n rhaid i chi chwilio am gyfaddawd rhwng y tri hyn.

pensaernïaeth

Fel enghraifft o bensaernïaeth ar gyfer y ddwy segment hyn, fel mewn erthyglau blaenorol, rwy'n argymell Cisco DIOGEL model: Campws Menter, Ymyl Rhyngrwyd Menter.

Mae'r rhain yn ddogfennau sydd braidd yn hen ffasiwn. Rwy'n eu cyflwyno yma oherwydd nid yw'r cynlluniau sylfaenol a'r dull gweithredu wedi newid, ond ar yr un pryd rwy'n hoffi'r cyflwyniad yn fwy nag yn dogfennaeth newydd.

Heb eich annog i ddefnyddio atebion Cisco, rwy'n dal i feddwl ei bod yn ddefnyddiol astudio'r dyluniad hwn yn ofalus.

Nid yw'r erthygl hon, yn ôl yr arfer, mewn unrhyw ffordd yn esgus ei bod yn gyflawn, ond yn hytrach yn ychwanegiad at y wybodaeth hon.

Ar ddiwedd yr erthygl, byddwn yn dadansoddi dyluniad swyddfa Cisco SAFE o ran y cysyniadau a amlinellir yma.

Egwyddorion cyffredinol

Rhaid i ddyluniad y rhwydwaith swyddfeydd, wrth gwrs, fodloni'r gofynion cyffredinol a drafodwyd yma yn y bennod “Meini prawf ar gyfer asesu ansawdd dylunio”. Ar wahân i bris a diogelwch, yr ydym yn bwriadu eu trafod yn yr erthygl hon, mae yna dri maen prawf o hyd y mae'n rhaid inni eu hystyried wrth ddylunio (neu wneud newidiadau):

  • scalability
  • rhwyddineb defnydd (hydrin)
  • argaeledd

Llawer o'r hyn a drafodwyd ar ei gyfer canolfannau data Mae hyn hefyd yn wir am y swyddfa.

Ond, serch hynny, mae gan y segment swyddfa ei fanylion ei hun, sy'n hollbwysig o safbwynt diogelwch. Hanfod y penodolrwydd hwn yw bod y segment hwn yn cael ei greu i ddarparu gwasanaethau rhwydwaith i weithwyr (yn ogystal â phartneriaid a gwesteion) y cwmni, ac, o ganlyniad, ar y lefel uchaf o ystyriaeth o'r broblem mae gennym ddwy dasg:

  • diogelu adnoddau cwmni rhag gweithredoedd maleisus a all ddod gan weithwyr (gwesteion, partneriaid) ac o'r feddalwedd a ddefnyddiant. Mae hyn hefyd yn cynnwys amddiffyniad rhag cysylltiad anawdurdodedig â'r rhwydwaith.
  • diogelu systemau a data defnyddwyr

A dim ond un ochr i'r broblem yw hon (neu yn hytrach, un fertig i'r triongl). Ar yr ochr arall mae cyfleustra defnyddwyr a phris yr atebion a ddefnyddir.

Gadewch i ni ddechrau trwy edrych ar yr hyn y mae defnyddiwr yn ei ddisgwyl gan rwydwaith swyddfa modern.

Mwynderau

Dyma sut olwg sydd ar “amwynderau rhwydwaith” ar gyfer defnyddiwr swyddfa yn fy marn i:

  • Symudedd
  • Y gallu i ddefnyddio'r ystod lawn o ddyfeisiadau a systemau gweithredu cyfarwydd
  • Mynediad hawdd i holl adnoddau angenrheidiol y cwmni
  • Argaeledd adnoddau Rhyngrwyd, gan gynnwys gwasanaethau cwmwl amrywiol
  • "Gweithrediad cyflym" y rhwydwaith

Mae hyn i gyd yn berthnasol i weithwyr a gwesteion (neu bartneriaid), a thasg peirianwyr y cwmni yw gwahaniaethu mynediad ar gyfer gwahanol grwpiau defnyddwyr yn seiliedig ar awdurdodiad.

Gadewch i ni edrych ar bob un o'r agweddau hyn yn fwy manwl.

Symudedd

Rydym yn sôn am y cyfle i weithio a defnyddio'r holl adnoddau cwmni angenrheidiol o unrhyw le yn y byd (wrth gwrs, lle mae'r Rhyngrwyd ar gael).

Mae hyn yn gwbl berthnasol i'r swyddfa. Mae hyn yn gyfleus pan fyddwch chi'n cael y cyfle i barhau i weithio o unrhyw le yn y swyddfa, er enghraifft, derbyn post, cyfathrebu mewn negesydd corfforaethol, bod ar gael ar gyfer galwad fideo, ... Felly, mae hyn yn caniatáu ichi, ar y naill law, i ddatrys rhai problemau cyfathrebu “byw” (er enghraifft, cymryd rhan mewn ralïau), ac ar y llaw arall, byddwch bob amser ar-lein, cadwch eich bys ar y pwls a datrys rhai tasgau brys â blaenoriaeth uchel yn gyflym. Mae hyn yn gyfleus iawn ac yn wir yn gwella ansawdd y cyfathrebu.

Cyflawnir hyn trwy ddylunio rhwydwaith WiFi yn gywir.

Nodyn:

Yma mae'r cwestiwn yn codi fel arfer: a yw'n ddigon i ddefnyddio WiFi yn unig? A yw hyn yn golygu y gallwch chi roi'r gorau i ddefnyddio porthladdoedd Ethernet yn y swyddfa? Os ydym yn sôn am ddefnyddwyr yn unig, ac nid am weinyddion, sy'n dal yn rhesymol i gysylltu â phorthladd Ethernet rheolaidd, yna yn gyffredinol yr ateb yw: ie, gallwch gyfyngu'ch hun i WiFi yn unig. Ond mae yna arlliwiau.

Mae yna grwpiau defnyddwyr pwysig sydd angen ymagwedd ar wahân. Mae'r rhain, wrth gwrs, yn weinyddwyr. Mewn egwyddor, mae cysylltiad WiFi yn llai dibynadwy (o ran colli traffig) ac yn arafach na phorthladd Ethernet rheolaidd. Gall hyn fod yn arwyddocaol i weinyddwyr. Yn ogystal, gall gweinyddwyr rhwydwaith, er enghraifft,, mewn egwyddor, gael eu rhwydwaith Ethernet pwrpasol eu hunain ar gyfer cysylltiadau y tu allan i'r band.

Gall fod grwpiau/adrannau eraill yn eich cwmni y mae'r ffactorau hyn hefyd yn bwysig iddynt.

Mae pwynt pwysig arall - teleffoni. Efallai am ryw reswm nad ydych am ddefnyddio Wireless VoIP ac eisiau defnyddio ffonau IP gyda chysylltiad Ethernet rheolaidd.

Yn gyffredinol, roedd gan y cwmnïau yr oeddwn yn gweithio iddynt gysylltedd WiFi a phorthladd Ethernet fel arfer.

Hoffwn i symudedd beidio â chael ei gyfyngu i'r swyddfa yn unig.

Er mwyn sicrhau'r gallu i weithio gartref (neu unrhyw le arall gyda Rhyngrwyd hygyrch), defnyddir cysylltiad VPN. Ar yr un pryd, mae'n ddymunol nad yw gweithwyr yn teimlo'r gwahaniaeth rhwng gweithio gartref a gwaith o bell, sy'n rhagdybio yr un mynediad. Byddwn yn trafod sut i drefnu hyn ychydig yn ddiweddarach yn y bennod “System ddilysu ac awdurdodi ganolog unedig.”

Nodyn:

Yn fwyaf tebygol, ni fyddwch yn gallu darparu'n llawn yr un ansawdd o wasanaethau ar gyfer gwaith o bell ag sydd gennych yn y swyddfa. Gadewch i ni dybio eich bod yn defnyddio Cisco ASA 5520 fel eich porth VPN. Yn ôl Taflen data mae'r ddyfais hon yn gallu “treulio” dim ond 225 Mbit o draffig VPN. Hynny yw, wrth gwrs, o ran lled band, mae cysylltu trwy VPN yn wahanol iawn i weithio o'r swyddfa. Hefyd, os, am ryw reswm, bod hwyrni, colled, jitter (er enghraifft, rydych chi am ddefnyddio teleffoni IP swyddfa) ar gyfer eich gwasanaethau rhwydwaith yn arwyddocaol, ni fyddwch hefyd yn derbyn yr un ansawdd â phe baech yn y swyddfa. Felly, wrth sôn am symudedd, rhaid inni fod yn ymwybodol o gyfyngiadau posibl.

Mynediad hawdd i holl adnoddau'r cwmni

Dylid datrys y dasg hon ar y cyd ag adrannau technegol eraill.
Y sefyllfa ddelfrydol yw pan fydd angen i'r defnyddiwr ddilysu unwaith yn unig, ac ar ôl hynny mae ganddo fynediad at yr holl adnoddau angenrheidiol.
Gall darparu mynediad hawdd heb aberthu diogelwch wella cynhyrchiant yn sylweddol a lleihau straen ymhlith eich cydweithwyr.

Marc 1

Nid yw rhwyddineb mynediad yn ymwneud â faint o weithiau y mae'n rhaid i chi nodi cyfrinair yn unig. Os, er enghraifft, yn unol â'ch polisi diogelwch, er mwyn cysylltu o'r swyddfa i'r ganolfan ddata, rhaid i chi gysylltu â'r porth VPN yn gyntaf, ac ar yr un pryd rydych chi'n colli mynediad at adnoddau swyddfa, yna mae hyn hefyd yn iawn. , anghyfleus iawn.

Marc 2

Mae yna wasanaethau (er enghraifft, mynediad i offer rhwydwaith) lle mae gennym ni ein gweinyddion AAA pwrpasol ein hunain fel arfer a dyma'r norm pan fydd yn rhaid i ni ddilysu sawl gwaith yn yr achos hwn.

Argaeledd adnoddau Rhyngrwyd

Mae'r Rhyngrwyd nid yn unig yn adloniant, ond hefyd yn set o wasanaethau a all fod yn ddefnyddiol iawn ar gyfer gwaith. Mae yna hefyd ffactorau hollol seicolegol. Mae person modern yn gysylltiedig â phobl eraill trwy'r Rhyngrwyd trwy lawer o edafedd rhithwir, ac, yn fy marn i, nid oes dim o'i le os yw'n parhau i deimlo'r cysylltiad hwn hyd yn oed wrth weithio.

O safbwynt gwastraffu amser, nid oes dim o'i le os oes gan weithiwr, er enghraifft, Skype yn rhedeg ac yn treulio 5 munud yn cyfathrebu ag anwylyd os oes angen.

A yw hyn yn golygu y dylai'r Rhyngrwyd fod ar gael bob amser, a yw hyn yn golygu y gall gweithwyr gael mynediad i'r holl adnoddau a pheidio â'u rheoli mewn unrhyw ffordd?

Nid yw Na yn golygu hynny, wrth gwrs. Gall lefel agoredrwydd y Rhyngrwyd amrywio ar gyfer gwahanol gwmnïau - o gau'n llwyr i fod yn agored yn llwyr. Byddwn yn trafod ffyrdd o reoli traffig yn ddiweddarach yn yr adrannau ar fesurau diogelwch.

Y gallu i ddefnyddio'r ystod lawn o ddyfeisiadau cyfarwydd

Mae’n gyfleus, er enghraifft, pan fyddwch chi’n cael y cyfle i barhau i ddefnyddio’r holl ddulliau cyfathrebu rydych chi wedi arfer â nhw yn y gwaith. Nid oes unrhyw anhawster i weithredu hyn yn dechnegol. Ar gyfer hyn mae angen WiFi a wilan gwadd.

Mae hefyd yn dda os ydych chi'n cael y cyfle i ddefnyddio'r system weithredu rydych chi wedi arfer ag ef. Ond, yn fy arsylwi, dim ond i reolwyr, gweinyddwyr a datblygwyr y caniateir hyn fel arfer.

Enghraifft

Gallwch, wrth gwrs, ddilyn llwybr gwaharddiadau, gwahardd mynediad o bell, gwahardd cysylltu o ddyfeisiau symudol, cyfyngu popeth i gysylltiadau Ethernet statig, cyfyngu mynediad i'r Rhyngrwyd, atafaelu ffonau symudol a theclynnau yn orfodol yn y pwynt gwirio ... a'r llwybr hwn yn cael ei ddilyn mewn gwirionedd gan rai sefydliadau â gofynion diogelwch uwch, ac efallai mewn rhai achosion gellir cyfiawnhau hyn, ond... rhaid i chi gytuno bod hyn yn edrych fel ymgais i atal cynnydd mewn un sefydliad. Wrth gwrs, hoffwn gyfuno’r cyfleoedd y mae technolegau modern yn eu darparu â lefel ddigonol o ddiogelwch.

"Gweithrediad cyflym" y rhwydwaith

Yn dechnegol, mae cyflymder trosglwyddo data yn cynnwys llawer o ffactorau. Ac fel arfer nid cyflymder eich porthladd cysylltiad yw'r un pwysicaf. Nid yw gweithrediad araf cymhwysiad bob amser yn gysylltiedig â phroblemau rhwydwaith, ond am y tro dim ond rhan y rhwydwaith sydd gennym ddiddordeb. Mae'r broblem fwyaf cyffredin gyda "arafu" rhwydwaith lleol yn ymwneud â cholli pecynnau. Mae hyn fel arfer yn digwydd pan fydd tagfa neu broblemau L1 (OSI). Yn anaml, gyda rhai dyluniadau (er enghraifft, pan fydd gan eich is-rwydweithiau wal dân fel y porth rhagosodedig ac felly mae'r holl draffig yn mynd drwyddo), efallai y bydd perfformiad caledwedd yn ddiffygiol.

Felly, wrth ddewis offer a phensaernïaeth, mae angen i chi gydberthyn cyflymder porthladdoedd diwedd, boncyffion a pherfformiad offer.

Enghraifft

Gadewch i ni dybio eich bod yn defnyddio switshis gyda phorthladdoedd 1 gigabit fel switshis haen mynediad. Maent wedi'u cysylltu â'i gilydd trwy gigabits Etherchannel 2 x 10. Fel porth rhagosodedig, rydych chi'n defnyddio wal dân gyda phorthladdoedd gigabit, i gysylltu pa rai i'r rhwydwaith swyddfa L2 rydych chi'n defnyddio 2 borthladd gigabit wedi'u cyfuno i mewn i Etherchannel.

Mae'r bensaernïaeth hon yn eithaf cyfleus o safbwynt ymarferoldeb, oherwydd ... Mae'r holl draffig yn mynd trwy'r wal dân, a gallwch reoli polisïau mynediad yn gyfforddus, a chymhwyso algorithmau cymhleth i reoli traffig ac atal ymosodiadau posibl (gweler isod), ond o safbwynt trwybwn a pherfformiad, mae gan y dyluniad hwn, wrth gwrs, broblemau posibl. Felly, er enghraifft, gall 2 gwesteiwr sy'n lawrlwytho data (gyda chyflymder porthladd o 1 gigabit) lwytho cysylltiad 2 gigabit yn llwyr i'r wal dân, ac felly arwain at ddiraddio gwasanaeth ar gyfer y segment swyddfa gyfan.

Rydym wedi edrych ar un fertig o'r triongl, yn awr gadewch i ni edrych ar sut y gallwn sicrhau diogelwch.

Meddyginiaethau

Felly, wrth gwrs, fel arfer ein dymuniad (neu yn hytrach, dymuniad ein rheolaeth) yw cyflawni'r amhosibl, sef, darparu'r cyfleustra mwyaf posibl gyda'r diogelwch mwyaf a'r gost leiaf.

Gadewch i ni edrych ar ba ddulliau sydd gennym i ddarparu amddiffyniad.

Ar gyfer y swyddfa, hoffwn dynnu sylw at y canlynol:

  • ymagwedd sero ymddiriedaeth tuag at ddylunio
  • lefel uchel o amddiffyniad
  • gwelededd rhwydwaith
  • system ddilysu ac awdurdodi ganolog unedig
  • gwirio gwesteiwr

Nesaf, byddwn yn edrych ychydig yn fwy manwl ar bob un o'r agweddau hyn.

Ymddiriedolaeth Dim

Mae'r byd TG yn newid yn gyflym iawn. Ychydig dros y 10 mlynedd diwethaf, mae ymddangosiad technolegau a chynhyrchion newydd wedi arwain at adolygiad mawr o gysyniadau diogelwch. Ddeng mlynedd yn ôl, o safbwynt diogelwch, fe wnaethom rannu'r rhwydwaith yn barthau ymddiriedaeth, dmz ac anymddiriedaeth, a defnyddio'r hyn a elwir yn “amddiffyniad perimedr”, lle'r oedd 2 linell amddiffyn: diffyg ymddiriedaeth -> dmz a dmz -> ymddiried. Hefyd, roedd amddiffyniad fel arfer yn gyfyngedig i restrau mynediad yn seiliedig ar benawdau L3/L4 (OSI) (IP, porthladdoedd TCP/CDU, baneri TCP). Gadawyd popeth yn ymwneud â lefelau uwch, gan gynnwys L7, i'r OS a gosodwyd cynhyrchion diogelwch ar y gwesteiwyr terfynol.

Nawr mae'r sefyllfa wedi newid yn aruthrol. Cysyniad modern dim ymddiriedaeth yn dod o'r ffaith nad yw bellach yn bosibl ystyried systemau mewnol, hynny yw, y rhai sydd wedi'u lleoli y tu mewn i'r perimedr, fel yr ymddiriedir ynddynt, ac mae cysyniad y perimedr ei hun wedi mynd yn aneglur.
Yn ogystal â chysylltiad rhyngrwyd mae gennym ni hefyd

  • defnyddwyr VPN mynediad o bell
  • amrywiol declynnau personol, gliniaduron a gludwyd, wedi'u cysylltu trwy WiFi swyddfa
  • swyddfeydd (cangen) eraill
  • integreiddio â seilwaith cwmwl

Sut olwg sydd ar ymagwedd Zero Trust yn ymarferol?

Yn ddelfrydol, dim ond y traffig sydd ei angen y dylid ei ganiatáu ac, os ydym yn sôn am ddelfryd, yna dylai rheolaeth fod nid yn unig ar lefel L3/L4, ond ar lefel y cais.

Er enghraifft, os oes gennych chi'r gallu i basio'r holl draffig trwy wal dân, yna gallwch chi geisio dod yn agosach at y ddelfryd. Ond gall y dull hwn leihau cyfanswm lled band eich rhwydwaith yn sylweddol, ac ar ben hynny, nid yw hidlo trwy gais bob amser yn gweithio'n dda.

Wrth reoli traffig ar lwybrydd neu switsh L3 (gan ddefnyddio ACLs safonol), rydych chi'n dod ar draws problemau eraill:

  • Hidlo L3/L4 yn unig yw hwn. Nid oes dim yn atal ymosodwr rhag defnyddio porthladdoedd a ganiateir (ee TCP 80) ar gyfer eu cais (nid http)
  • rheolaeth ACL gymhleth (anodd eu dosrannu ACLs)
  • Nid yw hon yn wal dân urddasol, sy'n golygu bod angen i chi ganiatáu traffig o chwith yn benodol
  • gyda switshis rydych fel arfer yn gyfyngedig iawn gan faint y TCAM, a all ddod yn broblem yn gyflym os cymerwch y dull "caniatáu dim ond yr hyn sydd ei angen arnoch"

Nodyn:

Wrth siarad am draffig cefn, rhaid inni gofio bod gennym y cyfle canlynol (Cisco)

caniatáu tcp unrhyw sefydledig

Ond mae angen i chi ddeall bod y llinell hon yn cyfateb i ddwy linell:
caniatáu tcp unrhyw ack
caniatáu tcp unrhyw rst

Sy'n golygu, hyd yn oed os nad oedd segment TCP cychwynnol gyda'r faner SYN (hynny yw, ni ddechreuodd y sesiwn TCP sefydlu hyd yn oed), bydd yr ACL hwn yn caniatáu pecyn gyda baner ACK, y gall ymosodwr ei ddefnyddio i drosglwyddo data.

Hynny yw, nid yw'r llinell hon mewn unrhyw ffordd yn troi eich llwybrydd neu'ch switsh L3 yn wal dân urddasol.

Lefel uchel o ddiogelwch

В Erthygl Yn yr adran ar ganolfannau data, gwnaethom ystyried y dulliau diogelu canlynol.

  • waliau tân urddasol (diofyn)
  • amddiffyniad dos/dos
  • wal tân cais
  • atal bygythiadau (antifeirws, gwrth-ysbïwedd, a bregusrwydd)
  • Hidlo URL
  • hidlo data (hidlo cynnwys)
  • blocio ffeiliau (blocio mathau o ffeiliau)

Yn achos swyddfa, mae'r sefyllfa yn debyg, ond mae'r blaenoriaethau ychydig yn wahanol. Nid yw argaeledd swyddfa (argaeledd) fel arfer mor hanfodol ag yn achos canolfan ddata, tra bod y tebygolrwydd o draffig maleisus “mewnol” yn archebion o faint yn uwch.
Felly, mae'r dulliau amddiffyn canlynol ar gyfer y segment hwn yn dod yn hollbwysig:

  • wal tân cais
  • atal bygythiad (gwrth-feirws, gwrth-ysbïwedd, a bregusrwydd)
  • Hidlo URL
  • hidlo data (hidlo cynnwys)
  • blocio ffeiliau (blocio mathau o ffeiliau)

Er bod yr holl ddulliau amddiffyn hyn, ac eithrio waliau tân cymwysiadau, wedi cael eu datrys yn draddodiadol ac yn parhau i gael eu datrys ar y gwesteiwyr terfynol (er enghraifft, trwy osod rhaglenni gwrthfeirws) a defnyddio dirprwyon, mae NGFWs modern hefyd yn darparu'r gwasanaethau hyn.

Mae gwerthwyr offer diogelwch yn ymdrechu i greu amddiffyniad cynhwysfawr, felly ynghyd ag amddiffyniad lleol, maent yn cynnig amrywiol dechnolegau cwmwl a meddalwedd cleient ar gyfer gwesteiwyr (amddiffyn pwynt diwedd / EPP). Felly, er enghraifft, o 2018 Cwadrant Hud Gartner Gwelwn fod gan Palo Alto a Cisco eu EPPs eu hunain (PA: Traps, Cisco: AMP), ond maent ymhell o fod yn arweinwyr.

Nid yw galluogi'r amddiffyniadau hyn (fel arfer trwy brynu trwyddedau) ar eich wal dân yn orfodol wrth gwrs (gallwch ddilyn y llwybr traddodiadol), ond mae'n darparu rhai buddion:

  • yn yr achos hwn, mae un pwynt cymhwyso dulliau amddiffyn, sy'n gwella gwelededd (gweler y pwnc nesaf).
  • Os oes dyfais heb ei diogelu ar eich rhwydwaith, yna mae'n dal i ddod o dan yr “ymbarél” amddiffyn wal dân
  • Trwy ddefnyddio amddiffyniad wal dân ar y cyd ag amddiffyniad gwesteiwr terfynol, rydym yn cynyddu'r tebygolrwydd o ganfod traffig maleisus. Er enghraifft, mae defnyddio atal bygythiadau ar westeion lleol ac ar wal dân yn cynyddu'r tebygolrwydd o ganfod (ar yr amod, wrth gwrs, bod yr atebion hyn yn seiliedig ar wahanol gynhyrchion meddalwedd)

Nodyn:

Er enghraifft, os ydych chi'n defnyddio Kaspersky fel gwrthfeirws ar y wal dân ac ar y gwesteiwyr terfynol, yna ni fydd hyn, wrth gwrs, yn cynyddu'n fawr eich siawns o atal ymosodiad firws ar eich rhwydwaith.

Gwelededd rhwydwaith

Prif syniad yn syml - “gweler” beth sy'n digwydd ar eich rhwydwaith, mewn amser real a data hanesyddol.

Byddwn yn rhannu’r “weledigaeth” hon yn ddau grŵp:

Grŵp un: yr hyn y mae eich system fonitro fel arfer yn ei ddarparu i chi.

  • llwytho offer
  • sianeli llwytho
  • defnydd cof
  • defnydd disg
  • newid y tabl llwybro
  • statws cyswllt
  • argaeledd offer (neu westeion)
  • ...

Grŵp dau: gwybodaeth yn ymwneud â diogelwch.

  • gwahanol fathau o ystadegau (er enghraifft, yn ôl cymhwysiad, yn ôl traffig URL, pa fathau o ddata a lawrlwythwyd, data defnyddwyr)
  • beth gafodd ei rwystro gan bolisïau diogelwch ac am ba reswm, sef
    • cais gwaharddedig
    • gwahardd yn seiliedig ar ip/protocol/port/baneri/parthau
    • atal bygythiad
    • hidlo url
    • hidlo data
    • blocio ffeiliau
    • ...
  • ystadegau ar ymosodiadau DOS/DDOS
  • ymdrechion adnabod ac awdurdodi a fethwyd
  • ystadegau ar gyfer yr holl ddigwyddiadau torri polisi diogelwch uchod
  • ...

Yn y bennod hon ar ddiogelwch, mae gennym ddiddordeb yn yr ail ran.

Mae rhai waliau tân modern (o'm profiad Palo Alto) yn darparu lefel dda o welededd. Ond, wrth gwrs, rhaid i'r traffig y mae gennych ddiddordeb ynddo fynd trwy'r wal dân hon (ac os felly mae gennych y gallu i rwystro traffig) neu ei adlewyrchu i'r wal dân (a ddefnyddir ar gyfer monitro a dadansoddi yn unig), a rhaid bod gennych drwyddedau i alluogi'r cyfan. y gwasanaethau hyn.

Mae yna ffordd amgen, wrth gwrs, neu yn hytrach y ffordd draddodiadol, er enghraifft,

  • Gellir casglu ystadegau sesiwn trwy netflow ac yna defnyddio cyfleustodau arbennig ar gyfer dadansoddi gwybodaeth a delweddu data
  • atal bygythiad – rhaglenni arbennig (gwrth-feirws, gwrth-ysbïwedd, wal dân) ar westeion pen draw
  • Hidlo URL, hidlo data, blocio ffeiliau - ar ddirprwy
  • mae hefyd yn bosibl dadansoddi tcpdump gan ddefnyddio e.e. ffroenu

Gallwch gyfuno'r ddau ddull hyn, gan ategu nodweddion coll neu eu dyblygu i gynyddu'r tebygolrwydd o ganfod ymosodiad.

Pa ddull y dylech ei ddewis?
Mae'n dibynnu'n fawr ar gymwysterau a dewisiadau eich tîm.
Mae yna fanteision ac anfanteision hefyd.

System ddilysu ac awdurdodi ganolog unedig

Pan fydd wedi'i ddylunio'n dda, mae'r symudedd a drafodwyd gennym yn yr erthygl hon yn tybio bod gennych yr un mynediad p'un a ydych chi'n gweithio o'r swyddfa neu gartref, o'r maes awyr, o siop goffi neu unrhyw le arall (gyda'r cyfyngiadau a drafodwyd gennym uchod). Mae'n ymddangos, beth yw'r broblem?
Er mwyn deall cymhlethdod y dasg hon yn well, gadewch i ni edrych ar ddyluniad nodweddiadol.

Enghraifft

  • Rydych chi wedi rhannu'r holl weithwyr yn grwpiau. Rydych chi wedi penderfynu darparu mynediad fesul grŵp
  • Y tu mewn i'r swyddfa, chi sy'n rheoli mynediad ar wal dân y swyddfa
  • Chi sy'n rheoli traffig o'r swyddfa i'r ganolfan ddata ar wal dân y ganolfan ddata
  • Rydych chi'n defnyddio Cisco ASA fel porth VPN ac i reoli traffig sy'n dod i mewn i'ch rhwydwaith gan gleientiaid anghysbell, rydych chi'n defnyddio ACLs lleol (ar yr ASA).

Nawr, gadewch i ni ddweud y gofynnir i chi ychwanegu mynediad ychwanegol at weithiwr penodol. Yn yr achos hwn, gofynnir i chi ychwanegu mynediad ato ef yn unig a neb arall o'i grŵp.

Ar gyfer hyn mae'n rhaid i ni greu grŵp ar wahân ar gyfer y gweithiwr hwn, hynny yw

  • creu cronfa IP ar wahân ar yr ASA ar gyfer y cyflogai hwn
  • ychwanegu ACL newydd ar yr ASA a'i rwymo i'r cleient anghysbell hwnnw
  • creu polisïau diogelwch newydd ar waliau tân swyddfeydd a chanolfannau data

Mae'n dda os yw'r digwyddiad hwn yn brin. Ond yn fy arfer roedd sefyllfa pan fydd gweithwyr yn cymryd rhan mewn gwahanol brosiectau, ac mae'r set hon o brosiectau ar gyfer rhai ohonynt yn newid yn eithaf aml, ac nid oedd yn 1-2 o bobl, ond dwsinau. Wrth gwrs, roedd angen newid rhywbeth yma.

Datryswyd hyn yn y modd canlynol.

Fe wnaethom benderfynu mai LDAP fyddai'r unig ffynhonnell o wirionedd sy'n pennu'r holl fynediadau posibl i weithwyr. Fe wnaethon ni greu pob math o grwpiau sy'n diffinio setiau o fynediadau, ac fe wnaethom neilltuo pob defnyddiwr i un neu fwy o grwpiau.

Felly, er enghraifft, mae'n debyg bod yna grwpiau

  • gwestai (mynediad rhyngrwyd)
  • mynediad cyffredin (mynediad i adnoddau a rennir: post, cronfa wybodaeth, ...)
  • cyfrifyddu
  • prosiect 1
  • prosiect 2
  • gweinyddwr cronfa ddata
  • gweinyddwr linux
  • ...

Ac os oedd un o'r gweithwyr yn ymwneud â phrosiect 1 a phrosiect 2, a bod angen y mynediad angenrheidiol arno i weithio yn y prosiectau hyn, yna neilltuwyd y gweithiwr hwn i'r grwpiau canlynol:

  • gwestai
  • mynediad cyffredin
  • prosiect 1
  • prosiect 2

Sut gallwn ni nawr droi'r wybodaeth hon yn fynediad ar offer rhwydwaith?

Polisi Mynediad Dynamig Cisco ASA (DAP) (gweler www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) ateb yn iawn ar gyfer y dasg hon.

Yn gryno am ein gweithrediad, yn ystod y broses adnabod / awdurdodi, mae ASA yn derbyn set o grwpiau sy'n cyfateb i ddefnyddiwr penodol gan LDAP ac yn “casglu” o sawl ACL lleol (pob un ohonynt yn cyfateb i grŵp) ACL deinamig gyda'r holl fynediadau angenrheidiol , sy'n cyfateb yn llawn i'n dymuniadau.

Ond dim ond ar gyfer cysylltiadau VPN y mae hyn. Er mwyn gwneud y sefyllfa yr un fath ar gyfer y ddau weithiwr sy'n gysylltiedig trwy VPN a'r rhai yn y swyddfa, cymerwyd y cam canlynol.

Wrth gysylltu o'r swyddfa, roedd defnyddwyr a ddefnyddiodd y protocol 802.1x naill ai'n LAN gwestai (ar gyfer gwesteion) neu LAN a rennir (ar gyfer gweithwyr cwmni). Ymhellach, i gael mynediad penodol (er enghraifft, i brosiectau mewn canolfan ddata), roedd yn rhaid i weithwyr gysylltu trwy VPN.

I gysylltu o'r swyddfa ac o'r cartref, defnyddiwyd gwahanol grwpiau twnnel ar yr ASA. Mae hyn yn angenrheidiol er mwyn i'r rhai sy'n cysylltu o'r swyddfa, nad yw traffig i adnoddau a rennir (a ddefnyddir gan yr holl weithwyr, megis post, gweinyddwyr ffeiliau, system docynnau, dns, ...) yn mynd trwy'r ASA, ond trwy'r rhwydwaith lleol . Felly, ni wnaethom lwytho'r ASA â thraffig diangen, gan gynnwys traffig dwysedd uchel.

Felly, cafodd y broblem ei datrys.
Cawsom

  • yr un set o fynedfeydd ar gyfer y ddau gysylltiad o'r swyddfa a chysylltiadau o bell
  • absenoldeb diraddio gwasanaeth wrth weithio o'r swyddfa yn gysylltiedig â throsglwyddo traffig dwysedd uchel trwy ASA

Pa fanteision eraill o'r dull hwn?
Mewn gweinyddu mynediad. Gellir newid mynedfeydd yn hawdd mewn un lle.
Er enghraifft, os yw gweithiwr yn gadael y cwmni, yna rydych chi'n ei dynnu o LDAP, ac mae'n colli pob mynediad yn awtomatig.

Gwirio gwesteiwr

Gyda'r posibilrwydd o gysylltiad o bell, rydym yn rhedeg y risg o ganiatáu nid yn unig gweithiwr cwmni i mewn i'r rhwydwaith, ond hefyd yr holl feddalwedd maleisus sy'n debygol iawn o fod yn bresennol ar ei gyfrifiadur (er enghraifft, cartref), ac ar ben hynny, trwy'r feddalwedd hon rydym yn efallai ein bod yn darparu mynediad i'n rhwydwaith i ymosodwr sy'n defnyddio'r gwesteiwr hwn fel dirprwy.

Mae'n gwneud synnwyr i westeiwr sydd wedi'i gysylltu o bell gymhwyso'r un gofynion diogelwch â gwesteiwr yn y swyddfa.

Mae hyn hefyd yn rhagdybio'r fersiwn “cywir” o'r OS, meddalwedd gwrth-firws, gwrth-ysbïwedd a wal dân a diweddariadau. Yn nodweddiadol, mae'r gallu hwn yn bodoli ar borth VPN (ar gyfer ASA gweler, er enghraifft, yma).

Mae hefyd yn ddoeth defnyddio'r un technegau dadansoddi traffig a blocio (gweler “Lefel uchel o amddiffyniad”) ag y mae eich polisi diogelwch yn berthnasol i draffig swyddfa.

Mae'n rhesymol tybio nad yw eich rhwydwaith swyddfa bellach yn gyfyngedig i adeilad y swyddfa a'r gwesteiwyr sydd ynddo.

Enghraifft

Techneg dda yw darparu gliniadur da, cyfleus i bob gweithiwr sydd angen mynediad o bell ac sy'n ei gwneud yn ofynnol iddynt weithio, yn y swyddfa ac o gartref, yn unig ohono.

Nid yn unig y mae'n gwella diogelwch eich rhwydwaith, ond mae hefyd yn gyfleus iawn ac fel arfer yn cael ei weld yn ffafriol gan weithwyr (os yw'n liniadur da iawn, hawdd ei ddefnyddio).

Ynglŷn ag ymdeimlad o gymesuredd a chydbwysedd

Yn y bôn, mae hwn yn sgwrs am y trydydd fertig ein triongl - am bris.
Gadewch i ni edrych ar enghraifft ddamcaniaethol.

Enghraifft

Mae gennych swyddfa ar gyfer 200 o bobl. Fe wnaethoch chi benderfynu ei wneud mor gyfleus ac mor ddiogel â phosib.

Felly, penderfynasoch basio'r holl draffig trwy'r wal dân ac felly ar gyfer pob is-rwydwaith swyddfa, y wal dân yw'r porth rhagosodedig. Yn ogystal â'r meddalwedd diogelwch a osodwyd ar bob gwesteiwr pen (gwrth-firws, gwrth-ysbïwedd, a meddalwedd wal dân), fe wnaethoch chi hefyd benderfynu cymhwyso'r holl ddulliau amddiffyn posibl ar y wal dân.

Er mwyn sicrhau cyflymder cysylltiad uchel (i gyd er hwylustod), dewisoch switshis gyda 10 porthladd mynediad Gigabit fel switshis mynediad, a waliau tân NGFW perfformiad uchel fel waliau tân, er enghraifft, cyfres Palo Alto 7K (gyda 40 porthladd Gigabit), yn naturiol gyda'r holl drwyddedau cynnwys ac, yn naturiol, pâr Argaeledd Uchel.

Hefyd, wrth gwrs, i weithio gyda'r llinell hon o offer mae angen o leiaf cwpl o beirianwyr diogelwch cymwys iawn arnom.

Nesaf, fe wnaethoch chi benderfynu rhoi gliniadur da i bob gweithiwr.

Cyfanswm, tua 10 miliwn o ddoleri ar gyfer gweithredu, cannoedd o filoedd o ddoleri (rwy'n meddwl yn nes at filiwn) ar gyfer cymorth blynyddol a chyflogau ar gyfer peirianwyr.

Swyddfa, 200 o bobl...
Cyfforddus? Mae'n debyg ei fod yn ydy.

Rydych chi'n dod â'r cynnig hwn i'ch rheolwyr ...
Efallai bod yna nifer o gwmnïau yn y byd y mae hwn yn ateb derbyniol a chywir ar eu cyfer. Os ydych chi'n gyflogai i'r cwmni hwn, fy llongyfarchiadau, ond yn y mwyafrif helaeth o achosion, rwy'n siŵr na fydd eich gwybodaeth yn cael ei gwerthfawrogi gan y rheolwyr.

A yw'r enghraifft hon wedi'i gorliwio? Bydd y bennod nesaf yn ateb y cwestiwn hwn.

Os na welwch unrhyw un o'r uchod ar eich rhwydwaith, yna dyma'r norm.
Ar gyfer pob achos penodol, mae angen ichi ddod o hyd i'ch cyfaddawd rhesymol eich hun rhwng cyfleustra, pris a diogelwch. Yn aml nid oes angen NGFW arnoch hyd yn oed yn eich swyddfa, ac nid oes angen amddiffyniad L7 ar y wal dân. Mae'n ddigon i ddarparu lefel dda o welededd a rhybuddion, a gellir gwneud hyn gan ddefnyddio cynhyrchion ffynhonnell agored, er enghraifft. Ydy, ni fydd eich ymateb i ymosodiad ar unwaith, ond y prif beth yw y byddwch yn ei weld, a chyda'r prosesau cywir ar waith yn eich adran, byddwch yn gallu ei niwtraleiddio'n gyflym.

A gadewch imi eich atgoffa, yn ôl cysyniad y gyfres hon o erthyglau, nad ydych chi'n dylunio rhwydwaith, dim ond ceisio gwella'r hyn a gawsoch yr ydych.

Dadansoddiad DIOGEL o bensaernïaeth swyddfa

Rhowch sylw i'r sgwâr coch hwn y dyrannais le ar y diagram ohono SAFE Secure Campus Architecture Guideyr hoffwn ei drafod yma.

Sut i reoli eich seilwaith rhwydwaith. Pennod tri. Diogelwch rhwydwaith. Rhan tri

Dyma un o fannau allweddol pensaernïaeth ac un o'r ansicrwydd pwysicaf.

Nodyn:

Nid wyf erioed wedi sefydlu neu weithio gyda FirePower (o linell wal dân Cisco - dim ond ASA), felly byddaf yn ei drin fel unrhyw wal dân arall, fel Juniper SRX neu Palo Alto, gan dybio bod ganddo'r un galluoedd.

O'r dyluniadau arferol, dim ond 4 opsiwn posibl a welaf ar gyfer defnyddio wal dân gyda'r cysylltiad hwn:

  • switsh yw'r porth rhagosodedig ar gyfer pob isrwyd, tra bod y wal dân mewn modd tryloyw (hynny yw, mae'r holl draffig yn mynd drwyddo, ond nid yw'n ffurfio hop L3)
  • y porth rhagosodedig ar gyfer pob is-rwydwaith yw'r is-ryngwynebau wal dân (neu ryngwynebau SVI), mae'r switsh yn chwarae rôl L2
  • mae gwahanol VRFs yn cael eu defnyddio ar y switsh, ac mae traffig rhwng VRFs yn mynd trwy'r wal dân, mae traffig o fewn un VRF yn cael ei reoli gan yr ACL ar y switsh
  • caiff yr holl draffig ei adlewyrchu i'r wal dân ar gyfer dadansoddi a monitro; nid yw traffig yn mynd drwyddo

Marc 1

Mae cyfuniadau o'r opsiynau hyn yn bosibl, ond er mwyn symlrwydd ni fyddwn yn eu hystyried.

Nodyn2

Mae yna hefyd y posibilrwydd o ddefnyddio PBR (pensaernïaeth cadwyn gwasanaeth), ond am y tro mae hyn, er ei fod yn ateb hardd yn fy marn i, braidd yn egsotig, felly nid wyf yn ei ystyried yma.

O'r disgrifiad o'r llif yn y ddogfen, gwelwn fod y traffig yn dal i fynd drwy'r wal dân, hynny yw, yn unol â dyluniad Cisco, mae'r pedwerydd opsiwn yn cael ei ddileu.

Gadewch i ni edrych ar y ddau opsiwn cyntaf yn gyntaf.
Gyda'r opsiynau hyn, mae'r holl draffig yn mynd trwy'r wal dân.

Nawr gadewch i ni edrych Taflen data, edrych Cisco GPL a gwelwn, os ydym am i gyfanswm y lled band ar gyfer ein swyddfa fod o leiaf tua 10 - 20 gigabits, yna rhaid inni brynu'r fersiwn 4K.

Nodyn:

Pan fyddaf yn siarad am gyfanswm y lled band, rwy'n golygu traffig rhwng subnets (ac nid o fewn un filana).

O'r GPL gwelwn, ar gyfer y Bwndel HA gyda Threat Defense, fod y pris yn dibynnu ar y model (4110 - 4150) yn amrywio o ~0,5 - 2,5 miliwn o ddoleri.

Hynny yw, mae ein dyluniad yn dechrau ymdebygu i'r enghraifft flaenorol.

A yw hyn yn golygu bod y dyluniad hwn yn anghywir?
Na, nid yw hynny'n ei olygu. Mae Cisco yn rhoi'r amddiffyniad gorau posibl i chi yn seiliedig ar y llinell gynnyrch sydd ganddo. Ond nid yw hynny'n golygu ei fod yn rhaid i chi ei wneud.

Mewn egwyddor, mae hwn yn gwestiwn cyffredin sy'n codi wrth ddylunio swyddfa neu ganolfan ddata, a dim ond yn golygu bod angen ceisio cyfaddawd.

Er enghraifft, peidiwch â gadael i'r holl draffig fynd trwy wal dân, ac os felly mae opsiwn 3 yn ymddangos yn eithaf da i mi, neu (gweler yr adran flaenorol) efallai nad oes angen Threat Defense arnoch chi neu nad oes angen wal dân o gwbl arnoch ar hynny segment rhwydwaith, a does ond angen i chi gyfyngu'ch hun i fonitro goddefol gan ddefnyddio datrysiadau taledig (nid drud) neu ffynhonnell agored, neu mae angen wal dân arnoch chi, ond gan werthwr gwahanol.

Fel arfer mae ansicrwydd bob amser ac nid oes ateb clir ynghylch pa benderfyniad sydd orau i chi.
Dyma gymhlethdod a harddwch y dasg hon.

Ffynhonnell: hab.com

Ychwanegu sylw