Denne artikel er den femte i serien "Sådan tager du kontrol over din netværksinfrastruktur." Indholdet af alle artikler i serien og links kan findes .
Denne del vil blive afsat til Campus (kontor) og VPN-segmenter med fjernadgang.
Kontornetværksdesign kan virke nemt.
Faktisk tager vi L2/L3-kontakter og forbinder dem med hinanden. Dernæst udfører vi den grundlæggende opsætning af vilans og standardgateways, opsætter simpel routing, forbinder WiFi-controllere, adgangspunkter, installerer og konfigurerer ASA til fjernadgang, vi er glade for at alt fungerede. I bund og grund, som jeg allerede skrev i en af de foregående af denne cyklus kan næsten alle studerende, der har deltaget i (og lært) to semestre af et telekomkursus, designe og konfigurere et kontornetværk, så det "på en eller anden måde fungerer."
Men jo mere du lærer, jo mindre enkel begynder denne opgave at virke. For mig personligt virker dette emne, emnet kontornetværksdesign, slet ikke simpelt, og i denne artikel vil jeg forsøge at forklare hvorfor.
Der er kort sagt en del faktorer at tage stilling til. Disse faktorer er ofte i konflikt med hinanden, og der skal søges et rimeligt kompromis.
Denne usikkerhed er den største vanskelighed. Så når vi taler om sikkerhed, har vi en trekant med tre hjørner: sikkerhed, bekvemmelighed for medarbejderne, prisen på løsningen.
Og hver gang skal du lede efter et kompromis mellem disse tre.
arkitektur
Som et eksempel på en arkitektur for disse to segmenter, som i tidligere artikler, anbefaler jeg model: , .
Det er noget forældede dokumenter. Jeg præsenterer dem her, fordi de grundlæggende ordninger og tilgang ikke har ændret sig, men jeg kan samtidig godt lide præsentationen mere end i .
Uden at opfordre dig til at bruge Cisco-løsninger, tror jeg stadig, det er nyttigt at studere dette design omhyggeligt.
Denne artikel foregiver som sædvanlig ikke på nogen måde at være komplet, men er snarere en tilføjelse til denne information.
I slutningen af artiklen vil vi analysere Cisco SAFE-kontordesignet i forhold til de begreber, der er skitseret her.
Generelle principper
Udformningen af kontornettet skal naturligvis tilfredsstille de generelle krav, der har været drøftet i kapitlet "Kriterier for vurdering af designkvalitet". Udover pris og sikkerhed, som vi agter at diskutere i denne artikel, er der stadig tre kriterier, som vi skal overveje, når vi designer (eller foretager ændringer):
- skalerbarhed
- brugervenlighed (håndterbarhed)
- tilgængelighed
Meget af det, der blev diskuteret for Det gælder også for kontoret.
Men stadigvæk har kontorsegmentet sine egne detaljer, som er kritiske ud fra et sikkerhedssynspunkt. Essensen af denne specificitet er, at dette segment er oprettet for at levere netværkstjenester til medarbejdere (såvel som partnere og gæster) i virksomheden, og som følge heraf har vi to opgaver på det højeste niveau af overvejelse af problemet:
- beskytte virksomhedens ressourcer mod ondsindede handlinger, der kan komme fra medarbejdere (gæster, partnere) og fra den software, de bruger. Dette omfatter også beskyttelse mod uautoriseret forbindelse til netværket.
- beskytte systemer og brugerdata
Og dette er kun den ene side af problemet (eller rettere, et hjørne af trekanten). På den anden side er brugervenligheden og prisen på de anvendte løsninger.
Lad os starte med at se på, hvad en bruger forventer af et moderne kontornetværk.
bekvemmelighed
Sådan ser "netværksfaciliteter" ud for en kontorbruger efter min mening:
- mobilitet
- Evne til at bruge hele rækken af velkendte enheder og operativsystemer
- Nem adgang til alle nødvendige virksomhedsressourcer
- Tilgængelighed af internetressourcer, herunder forskellige cloud-tjenester
- "Hurtig drift" af netværket
Alt dette gælder både for medarbejdere og gæster (eller samarbejdspartnere), og det er virksomhedens ingeniørers opgave at differentiere adgangen for forskellige brugergrupper baseret på autorisation.
Lad os se på hvert af disse aspekter lidt mere detaljeret.
mobilitet
Vi taler om muligheden for at arbejde og bruge alle de nødvendige virksomhedsressourcer fra hvor som helst i verden (selvfølgelig, hvor internettet er tilgængeligt).
Dette gælder fuldt ud for kontoret. Dette er praktisk, når du har mulighed for at fortsætte med at arbejde fra hvor som helst på kontoret, for eksempel modtage post, kommunikere i en virksomheds messenger, være tilgængelig for et videoopkald, ... Således giver dette dig på den ene side mulighed for at at løse nogle problemer "live" kommunikation (for eksempel deltage i stævner), og på den anden side altid være online, holde fingeren på pulsen og hurtigt løse nogle presserende højt prioriterede opgaver. Dette er meget praktisk og forbedrer virkelig kvaliteten af kommunikationen.
Dette opnås ved korrekt WiFi-netværksdesign.
bemærkning
Her opstår spørgsmålet normalt: er det nok kun at bruge WiFi? Betyder det, at du kan stoppe med at bruge Ethernet-porte på kontoret? Hvis vi kun taler om brugere, og ikke om servere, som stadig er rimelige at forbinde med en almindelig Ethernet-port, så er svaret generelt: ja, du kan begrænse dig til kun WiFi. Men der er nuancer.
Der er vigtige brugergrupper, som kræver en separat tilgang. Det er selvfølgelig administratorer. I princippet er en WiFi-forbindelse mindre pålidelig (med hensyn til trafiktab) og langsommere end en almindelig Ethernet-port. Dette kan være vigtigt for administratorer. Derudover kan netværksadministratorer for eksempel i princippet have deres eget dedikerede Ethernet-netværk til out-of-band-forbindelser.
Der kan være andre grupper/afdelinger i din virksomhed, for hvilke disse faktorer også er vigtige.
Der er en anden vigtig pointe - telefoni. Måske vil du af en eller anden grund ikke bruge trådløs VoIP og vil bruge IP-telefoner med en almindelig Ethernet-forbindelse.
Generelt havde de virksomheder, jeg arbejdede for, normalt både WiFi-forbindelse og en Ethernet-port.
Jeg vil gerne have, at mobilitet ikke er begrænset til kun kontoret.
For at sikre muligheden for at arbejde hjemmefra (eller et hvilket som helst andet sted med tilgængeligt internet), bruges en VPN-forbindelse. Samtidig er det ønskeligt, at medarbejderne ikke mærker forskel på hjemmearbejde og fjernarbejde, som forudsætter samme adgang. Vi vil diskutere, hvordan man organiserer dette lidt senere i kapitlet "United centralized authentication and authorization system."
bemærkning
Mest sandsynligt vil du ikke fuldt ud kunne levere den samme kvalitet af tjenester til fjernarbejde, som du har på kontoret. Lad os antage, at du bruger en Cisco ASA 5520 som din VPN-gateway. denne enhed er i stand til kun at "fordøje" 225 Mbit VPN-trafik. Det vil sige, hvad angår båndbredde, at forbindelse via VPN er meget anderledes end at arbejde fra kontoret. Desuden, hvis ventetiden, tab, jitter af en eller anden grund (f.eks. vil du bruge kontor IP-telefoni) til dine netværkstjenester er betydelige, vil du heller ikke modtage den samme kvalitet, som hvis du var på kontoret. Når vi taler om mobilitet, skal vi derfor være opmærksomme på mulige begrænsninger.
Nem adgang til alle virksomhedens ressourcer
Denne opgave bør løses i fællesskab med andre tekniske afdelinger.
Den ideelle situation er, når brugeren kun behøver at autentificere én gang, og derefter har han adgang til alle de nødvendige ressourcer.
At give nem adgang uden at ofre sikkerheden kan forbedre produktiviteten betydeligt og reducere stress blandt dine kolleger.
Note 1
Nem adgang handler ikke kun om, hvor mange gange du skal indtaste en adgangskode. Hvis du for eksempel i henhold til din sikkerhedspolitik for at oprette forbindelse fra kontoret til datacentret først skal oprette forbindelse til VPN-gatewayen, og du samtidig mister adgangen til kontorressourcer, så er dette også meget , meget ubelejligt.
Note 2
Der er tjenester (for eksempel adgang til netværksudstyr), hvor vi normalt har vores egne dedikerede AAA-servere, og det er normen, når vi i dette tilfælde skal autentificere flere gange.
Tilgængelighed af internetressourcer
Internettet er ikke kun underholdning, men også et sæt tjenester, der kan være meget nyttige til arbejdet. Der er også rent psykologiske faktorer. En moderne person er forbundet med andre mennesker via internettet gennem mange virtuelle tråde, og efter min mening er der intet galt, hvis han fortsætter med at føle denne forbindelse, selv mens han arbejder.
Ud fra et tidsspildesynspunkt er der ikke noget galt, hvis en medarbejder for eksempel har Skype kørende og bruger 5 minutter på at kommunikere med en man holder af, hvis det er nødvendigt.
Betyder det, at internettet altid skal være tilgængeligt, betyder det, at medarbejderne kan have adgang til alle ressourcer og ikke kontrollere dem på nogen måde?
Nej betyder det selvfølgelig ikke. Graden af åbenhed på internettet kan variere for forskellige virksomheder – fra fuldstændig lukning til fuldstændig åbenhed. Vi vil diskutere måder at kontrollere trafikken på senere i afsnittene om sikkerhedsforanstaltninger.
Evne til at bruge hele rækken af velkendte enheder
Det er praktisk, når du for eksempel har mulighed for at fortsætte med at bruge alle de kommunikationsmidler, du er vant til på arbejdet. Der er ingen problemer med at implementere dette teknisk. Til dette har du brug for WiFi og en gæst wilan.
Det er også godt, hvis du har mulighed for at bruge det styresystem, du er vant til. Men efter min observation er dette normalt kun tilladt for ledere, administratorer og udviklere.
Eksempel
Du kan selvfølgelig følge forbuddets vej, forbyde fjernadgang, forbyde forbindelse fra mobile enheder, begrænse alt til statiske Ethernet-forbindelser, begrænse adgangen til internettet, tvungent konfiskere mobiltelefoner og gadgets ved checkpointet... og denne vej efterfølges faktisk af nogle organisationer med øgede sikkerhedskrav, og måske i nogle tilfælde kan det være berettiget, men... du må være enig i, at dette ligner et forsøg på at stoppe fremskridt i en enkelt organisation. Jeg vil selvfølgelig gerne kombinere de muligheder, som moderne teknologier giver, med et tilstrækkeligt sikkerhedsniveau.
"Hurtig drift" af netværket
Dataoverførselshastigheden består teknisk set af mange faktorer. Og hastigheden på din forbindelsesport er normalt ikke den vigtigste. Den langsomme drift af en applikation er ikke altid forbundet med netværksproblemer, men indtil videre er vi kun interesserede i netværksdelen. Det mest almindelige problem med lokal netværks "slowdown" er relateret til pakketab. Dette sker normalt, når der er en flaskehals eller L1 (OSI) problemer. Mere sjældent, med nogle designs (f.eks. når dine undernet har en firewall som standardgateway og dermed al trafik går igennem den), kan hardwareydeevnen mangle.
Derfor skal du, når du vælger udstyr og arkitektur, korrelere hastighederne for slutporte, trunks og udstyrs ydeevne.
Eksempel
Lad os antage, at du bruger switches med 1 gigabit porte som access layer switche. De er forbundet med hinanden via Etherchannel 2 x 10 gigabit. Som standard gateway bruger du en firewall med gigabit porte, til at forbinde som til L2 kontornetværket du bruger 2 gigabit porte kombineret til en Etherchannel.
Denne arkitektur er ret praktisk ud fra et funktionalitetssynspunkt, fordi... Al trafik går gennem firewallen, og du kan nemt administrere adgangspolitikker og anvende komplekse algoritmer til at kontrollere trafik og forhindre mulige angreb (se nedenfor), men fra et gennemløbs- og ydeevnesynspunkt har dette design selvfølgelig potentielle problemer. Så for eksempel kan 2 værter, der downloader data (med en porthastighed på 1 gigabit) fuldstændig indlæse en 2 gigabit forbindelse til firewallen, og dermed føre til serviceforringelse for hele kontorsegmentet.
Vi har set på det ene hjørne af trekanten, lad os nu se på, hvordan vi kan sikre sikkerheden.
Beskyttelsesmidler
Så selvfølgelig er vores ønske (eller rettere vores ledelses ønske) normalt at opnå det umulige, nemlig at give maksimal bekvemmelighed med maksimal sikkerhed og minimale omkostninger.
Lad os se på, hvilke metoder vi har til at yde beskyttelse.
Til kontoret vil jeg fremhæve følgende:
- nul tillid tilgang til design
- højt beskyttelsesniveau
- netværks synlighed
- forenet centraliseret autentificerings- og autorisationssystem
- værtskontrol
Dernæst vil vi dvæle lidt mere detaljeret ved hvert af disse aspekter.
Nul tillid
IT-verdenen ændrer sig meget hurtigt. I løbet af de seneste 10 år har fremkomsten af nye teknologier og produkter ført til en større revision af sikkerhedskoncepter. For ti år siden, ud fra et sikkerhedssynspunkt, segmenterede vi netværket i tillids-, dmz- og untrust-zoner og brugte den såkaldte "perimeterbeskyttelse", hvor der var 2 forsvarslinjer: untrust -> dmz og dmz -> tillid. Beskyttelsen var også normalt begrænset til adgangslister baseret på L3/L4 (OSI)-headere (IP, TCP/UDP-porte, TCP-flag). Alt relateret til højere niveauer, inklusive L7, blev overladt til OS og sikkerhedsprodukter installeret på slutværterne.
Nu har situationen ændret sig dramatisk. Moderne koncept kommer fra det faktum, at det ikke længere er muligt at betragte interne systemer, det vil sige dem, der er placeret inde i omkredsen, som betroede, og selve begrebet omkreds er blevet sløret.
Udover internetforbindelse har vi også
- VPN-brugere med fjernadgang
- forskellige personlige gadgets, medbragte bærbare computere, forbundet via kontor-WiFi
- andre (filial)kontorer
- integration med cloud-infrastruktur
Hvordan ser Zero Trust-tilgangen ud i praksis?
Ideelt set bør kun den trafik, der kræves, tillades, og hvis vi taler om et ideal, så skal kontrollen ikke kun være på L3/L4-niveau, men på applikationsniveau.
Hvis du for eksempel har mulighed for at passere al trafik gennem en firewall, så kan du forsøge at komme tættere på idealet. Men denne tilgang kan reducere den samlede båndbredde på dit netværk betydeligt, og desuden fungerer filtrering efter applikation ikke altid godt.
Når du kontrollerer trafikken på en router eller L3-switch (ved hjælp af standard ACL'er), støder du på andre problemer:
- Dette er kun L3/L4-filtrering. Der er intet, der forhindrer en angriber i at bruge tilladte porte (f.eks. TCP 80) til deres applikation (ikke http)
- kompleks ACL-styring (svært at parse ACL'er)
- Dette er ikke en statefull firewall, hvilket betyder, at du eksplicit skal tillade omvendt trafik
- med switches er du normalt ret stramt begrænset af størrelsen af TCAM'en, hvilket hurtigt kan blive et problem, hvis du tager "kun tillad hvad du har brug for" tilgangen
bemærkning
Når vi taler om omvendt trafik, skal vi huske, at vi har følgende mulighed (Cisco)
tillade tcp enhver etableret
Men du skal forstå, at denne linje svarer til to linjer:
tillade tcp enhver ack
tillade tcp nogen som helst førstHvilket betyder, at selvom der ikke var noget initialt TCP-segment med SYN-flaget (det vil sige, at TCP-sessionen ikke engang begyndte at etablere sig), vil denne ACL tillade en pakke med ACK-flaget, som en angriber kan bruge til at overføre data.
Det vil sige, at denne linje på ingen måde forvandler din router eller L3-switch til en statefull firewall.
Højt niveau af beskyttelse
В I afsnittet om datacentre overvejede vi følgende beskyttelsesmetoder.
- stateful firewalling (standard)
- ddos/dos beskyttelse
- applikations firewalling
- trusselforebyggelse (antivirus, anti-spyware og sårbarhed)
- URL-filtrering
- datafiltrering (indholdsfiltrering)
- filblokering (blokering af filtyper)
I tilfælde af et kontor er situationen den samme, men prioriteringerne er lidt anderledes. Office tilgængelighed (tilgængelighed) er normalt ikke så kritisk som i tilfældet med et datacenter, mens sandsynligheden for "intern" ondsindet trafik er størrelsesordener højere.
Derfor bliver følgende beskyttelsesmetoder for dette segment kritiske:
- applikations firewalling
- trusselforebyggelse (antivirus, anti-spyware og sårbarhed)
- URL-filtrering
- datafiltrering (indholdsfiltrering)
- filblokering (blokering af filtyper)
Selvom alle disse beskyttelsesmetoder, med undtagelse af applikationsfirewalling, traditionelt har været og fortsat bliver løst på slutværterne (for eksempel ved at installere antivirusprogrammer) og bruge proxyer, leverer moderne NGFW'er også disse tjenester.
Sikkerhedsudstyrsleverandører stræber efter at skabe omfattende beskyttelse, så sammen med lokal beskyttelse tilbyder de forskellige cloud-teknologier og klientsoftware til værter (endepunktsbeskyttelse/EPP). Altså fx fra Vi ser, at Palo Alto og Cisco har deres egne EPP'er (PA: Traps, Cisco: AMP), men er langt fra førende.
Aktivering af disse beskyttelser (normalt ved at købe licenser) på din firewall er naturligvis ikke obligatorisk (du kan gå den traditionelle vej), men det giver nogle fordele:
- i dette tilfælde er der et enkelt anvendelsespunkt for beskyttelsesmetoder, som forbedrer synlighed (se næste emne).
- Hvis der er en ubeskyttet enhed på dit netværk, falder den stadig under "paraplyen" af firewallbeskyttelse
- Ved at bruge firewallbeskyttelse sammen med end-host-beskyttelse øger vi sandsynligheden for at opdage skadelig trafik. For eksempel øger brugen af trusselsforebyggelse på lokale værter og på en firewall sandsynligheden for detektion (forudsat, selvfølgelig, at disse løsninger er baseret på forskellige softwareprodukter)
bemærkning
Hvis du for eksempel bruger Kaspersky som antivirus både på firewallen og på slutværterne, så vil det naturligvis ikke øge dine chancer synderligt for at forhindre et virusangreb på dit netværk.
Netværkssynlighed
er enkelt - "se" hvad der sker på dit netværk, både i realtid og historiske data.
Jeg vil opdele denne "vision" i to grupper:
Gruppe et: hvad dit overvågningssystem normalt giver dig.
- læsning af udstyr
- indlæsning af kanaler
- hukommelsesforbrug
- disk brug
- ændring af rutetabellen
- link status
- tilgængelighed af udstyr (eller værter)
- ...
Gruppe to: sikkerhedsrelateret information.
- forskellige typer af statistik (for eksempel efter applikation, efter URL-trafik, hvilke typer data der blev downloadet, brugerdata)
- hvad der var blokeret af sikkerhedspolitikker og af hvilken grund, nemlig
- forbudt anvendelse
- forbudt baseret på ip/protokol/port/flag/zoner
- trussel forebyggelse
- url-filtrering
- datafiltrering
- filblokering
- ...
- statistik over DOS/DDOS-angreb
- mislykkede identifikation og godkendelsesforsøg
- statistikker for alle ovennævnte hændelser vedrørende overtrædelse af sikkerhedspolitikken
- ...
I dette kapitel om sikkerhed er vi interesserede i den anden del.
Nogle moderne firewalls (fra min Palo Alto erfaring) giver et godt niveau af synlighed. Men selvfølgelig skal den trafik, du er interesseret i, gå gennem denne firewall (i så fald har du mulighed for at blokere trafik) eller spejlet til firewallen (bruges kun til overvågning og analyse), og du skal have licenser for at aktivere alle disse tjenester.
Der er selvfølgelig en alternativ måde, eller rettere den traditionelle måde, f.eks.
- Sessionsstatistik kan indsamles via netflow og derefter bruges specielle hjælpeprogrammer til informationsanalyse og datavisualisering
- trusselforebyggelse – specielle programmer (antivirus, anti-spyware, firewall) på endeværter
- URL-filtrering, datafiltrering, filblokering – på proxy
- det er også muligt at analysere tcpdump vha. f.eks.
Du kan kombinere disse to tilgange, supplere manglende funktioner eller duplikere dem for at øge sandsynligheden for at opdage et angreb.
Hvilken tilgang skal du vælge?
Det afhænger i høj grad af dit holds kvalifikationer og præferencer.
Både der og der er fordele og ulemper.
Samlet centraliseret godkendelses- og autorisationssystem
Når den er godt designet, antager den mobilitet, vi diskuterede i denne artikel, at du har den samme adgang, uanset om du arbejder fra kontoret eller hjemmefra, fra lufthavnen, fra en kaffebar eller andre steder (med de begrænsninger, vi diskuterede ovenfor). Det ser ud til, hvad er problemet?
For bedre at forstå kompleksiteten af denne opgave, lad os se på et typisk design.
Eksempel
- I har inddelt alle medarbejdere i grupper. Du har besluttet at give adgang for grupper
- Inde på kontoret styrer du adgangen på kontorets firewall
- Du styrer trafikken fra kontoret til datacentret på datacenterets firewall
- Du bruger en Cisco ASA som en VPN-gateway, og for at styre trafik, der kommer ind i dit netværk fra fjernklienter, bruger du lokale (på ASA) ACL'er
Lad os nu sige, at du bliver bedt om at tilføje yderligere adgang til en bestemt medarbejder. I dette tilfælde bliver du bedt om kun at tilføje adgang til ham og ingen andre fra hans gruppe.
Til dette skal vi oprette en separat gruppe for denne medarbejder, dvs
- oprette en separat IP-pulje på ASA for denne medarbejder
- tilføj en ny ACL på ASA og bind den til den eksterne klient
- oprette nye sikkerhedspolitikker på kontor- og datacenterfirewalls
Det er godt, hvis denne begivenhed er sjælden. Men i min praksis var der en situation, hvor medarbejdere deltog i forskellige projekter, og dette sæt af projekter for nogle af dem ændrede sig ret ofte, og det var ikke 1-2 personer, men dusinvis. Her skulle der selvfølgelig ændres noget.
Dette blev løst på følgende måde.
Vi besluttede, at LDAP ville være den eneste kilde til sandhed, der bestemmer alle mulige medarbejderadgange. Vi oprettede alle slags grupper, der definerer sæt af adgange, og vi tildelte hver bruger til en eller flere grupper.
Så antag for eksempel, at der var grupper
- gæst (internetadgang)
- fælles adgang (adgang til delte ressourcer: mail, vidensbase, ...)
- regnskab
- projekt 1
- projekt 2
- database Administrator
- linux administrator
- ...
Og hvis en af medarbejderne var involveret i både projekt 1 og projekt 2, og han havde brug for den nødvendige adgang til at arbejde i disse projekter, så blev denne medarbejder tilknyttet følgende grupper:
- gæst
- fælles adgang
- projekt 1
- projekt 2
Hvordan kan vi nu omdanne disse oplysninger til adgang på netværksudstyr?
Cisco ASA Dynamic Access Policy (DAP) (se ) løsning er den helt rigtige til denne opgave.
Kort om vores implementering, under identifikations-/autorisationsprocessen modtager ASA fra LDAP et sæt grupper svarende til en given bruger og "samler" fra flere lokale ACL'er (som hver svarer til en gruppe) en dynamisk ACL med alle nødvendige adgange , hvilket fuldt ud svarer til vores ønsker.
Men dette er kun til VPN-forbindelser. For at gøre situationen den samme for både medarbejdere tilsluttet via VPN og dem på kontoret, blev følgende trin taget.
Ved tilslutning fra kontoret endte brugere, der brugte 802.1x-protokollen, enten i et gæste-LAN (for gæster) eller et delt LAN (for virksomhedens ansatte). For at opnå specifik adgang (for eksempel til projekter i et datacenter) skulle medarbejderne desuden oprette forbindelse via VPN.
For at forbinde fra kontoret og hjemmefra blev der brugt forskellige tunnelgrupper på ASA. Dette er nødvendigt, så for dem, der opretter forbindelse fra kontoret, går trafik til delte ressourcer (brugt af alle medarbejdere, såsom mail, filservere, billetsystem, dns, ...) ikke gennem ASA, men gennem det lokale netværk . Vi belastede således ikke ASA'en med unødvendig trafik, herunder højintensiv trafik.
Dermed var problemet løst.
Vi fik
- det samme sæt af adgange for både forbindelser fra kontoret og fjernforbindelser
- fravær af serviceforringelse ved arbejde fra kontoret i forbindelse med transmission af højintensiv trafik gennem ASA
Hvilke andre fordele ved denne tilgang?
I adgangsadministration. Adgange kan nemt ændres ét sted.
Hvis en medarbejder for eksempel forlader virksomheden, så fjerner du ham blot fra LDAP, og han mister automatisk al adgang.
Værtskontrol
Med muligheden for fjernforbindelse risikerer vi at tillade ikke kun en virksomhedsmedarbejder at komme ind på netværket, men også al den ondsindede software, der med stor sandsynlighed findes på hans computer (f.eks. hjemmet), og desuden, gennem denne software, kan give adgang til vores netværk til en hacker, der bruger denne vært som proxy.
Det giver mening for en fjernforbundet vært at anvende de samme sikkerhedskrav som en vært på kontoret.
Dette forudsætter også den "korrekte" version af operativsystemet, anti-virus, anti-spyware og firewall-software og opdateringer. Typisk findes denne mulighed på VPN-gatewayen (for ASA se f.eks. ).
Det er også klogt at anvende de samme trafikanalyse- og blokeringsteknikker (se "Højt beskyttelsesniveau"), som din sikkerhedspolitik gælder for kontortrafik.
Det er rimeligt at antage, at dit kontornetværk ikke længere er begrænset til kontorbygningen og værterne i den.
Eksempel
En god teknik er at give hver medarbejder, der har brug for fjernadgang, en god, praktisk bærbar computer og kræve, at de arbejder, både på kontoret og hjemmefra, kun fra den.
Det forbedrer ikke kun sikkerheden på dit netværk, men det er også rigtig praktisk og bliver normalt set positivt af medarbejderne (hvis det er en rigtig god, brugervenlig bærbar computer).
Om sans for proportioner og balance
Grundlæggende er dette en samtale om det tredje toppunkt i vores trekant - om prisen.
Lad os se på et hypotetisk eksempel.
Eksempel
Du har et kontor til 200 personer. Du besluttede at gøre det så bekvemt og så sikkert som muligt.
Derfor besluttede du at sende al trafik gennem firewallen, og for alle kontorundernet er firewallen standardgatewayen. Ud over den sikkerhedssoftware, der er installeret på hver slutvært (antivirus, anti-spyware og firewall-software), har du også besluttet at anvende alle mulige beskyttelsesmetoder på firewallen.
For at sikre høj forbindelseshastighed (alt for nemheds skyld) valgte du switche med 10 Gigabit-adgangsporte som adgangsswitche og højtydende NGFW-firewalls som firewalls, for eksempel Palo Alto 7K-serien (med 40 Gigabit-porte), naturligvis med alle licenser inkluderet og naturligvis et High Availability-par.
For at arbejde med denne serie af udstyr har vi naturligvis også brug for mindst et par højt kvalificerede sikkerhedsingeniører.
Dernæst besluttede du at give hver medarbejder en god bærbar computer.
I alt omkring 10 millioner dollars til implementering, hundredtusindvis af dollars (jeg tror nærmere en million) til årlig support og løn til ingeniører.
Kontor, 200 personer...
Komfortabel? Det er vist ja.Du kommer med dette forslag til din ledelse...
Måske er der en række virksomheder i verden, for hvilke dette er en acceptabel og korrekt løsning. Hvis du er ansat i denne virksomhed, så tillykke, men i langt de fleste tilfælde er jeg sikker på, at din viden ikke vil blive værdsat af ledelsen.
Er dette eksempel overdrevet? Det næste kapitel vil besvare dette spørgsmål.
Hvis du på dit netværk ikke kan se noget af ovenstående, så er dette normen.
For hvert enkelt tilfælde skal du finde dit eget rimelige kompromis mellem bekvemmelighed, pris og sikkerhed. Ofte har du ikke engang brug for NGFW på dit kontor, og L7-beskyttelse på firewallen er ikke påkrævet. Det er nok at give et godt niveau af synlighed og advarsler, og det kan for eksempel gøres ved hjælp af open source-produkter. Ja, din reaktion på et angreb vil ikke være øjeblikkelig, men det vigtigste er, at du vil se det, og med de rigtige processer på plads i din afdeling, vil du hurtigt kunne neutralisere det.
Og lad mig minde dig om, at i henhold til konceptet i denne artikelserie, designer du ikke et netværk, du forsøger kun at forbedre det, du har.
SIKKER analyse af kontorarkitektur
Vær opmærksom på denne røde firkant, som jeg tildelte en plads på diagrammet fra som jeg gerne vil diskutere her.
Dette er et af arkitekturens nøglesteder og en af de vigtigste usikkerheder.
bemærkning
Jeg har aldrig opsat eller arbejdet med FirePower (fra Ciscos firewall-linje - kun ASA), så jeg vil behandle den som enhver anden firewall, som Juniper SRX eller Palo Alto, forudsat at den har de samme muligheder.
Af de sædvanlige designs ser jeg kun 4 mulige muligheder for at bruge en firewall med denne forbindelse:
- standardgatewayen for hvert undernet er en switch, mens firewallen er i transparent tilstand (det vil sige al trafik går igennem den, men den danner ikke et L3-hop)
- standardgatewayen for hvert undernet er firewall-undergrænseflader (eller SVI-grænseflader), switchen spiller rollen som L2
- forskellige VRF'er bruges på switchen, og trafik mellem VRF'er går gennem firewallen, trafikken inden for en VRF styres af ACL'en på switchen
- al trafik spejles til firewallen til analyse og overvågning; trafik går ikke igennem den
Note 1
Kombinationer af disse muligheder er mulige, men for nemheds skyld vil vi ikke overveje dem.
Bemærk 2
Der er også mulighed for at bruge PBR (service chain architecture), men indtil videre er dette, selvom det er en smuk løsning efter min mening, ret eksotisk, så jeg overvejer det ikke her.
Fra beskrivelsen af strømmene i dokumentet ser vi, at trafikken stadig går gennem firewallen, det vil sige, i overensstemmelse med Cisco-designet, er den fjerde mulighed elimineret.
Lad os først se på de to første muligheder.
Med disse muligheder går al trafik gennem firewallen.
Lad os nu se , se og vi ser, at hvis vi ønsker, at den samlede båndbredde for vores kontor skal være mindst omkring 10 - 20 gigabit, så skal vi købe 4K-versionen.
bemærkning
Når jeg taler om den samlede båndbredde, mener jeg trafik mellem undernet (og ikke inden for en vilana).
Fra GPL ser vi, at for HA Bundle med Threat Defense varierer prisen afhængigt af modellen (4110 - 4150) fra ~0,5 - 2,5 millioner dollars.
Det vil sige, at vores design begynder at ligne det forrige eksempel.
Betyder det, at dette design er forkert?
Nej, det betyder det ikke. Cisco giver dig den bedst mulige beskyttelse baseret på den produktlinje, det har. Men det betyder ikke, at det er et must-do for dig.
Det er i princippet et almindeligt spørgsmål, der opstår, når man designer et kontor eller datacenter, og det betyder kun, at der skal søges et kompromis.
Lad f.eks. ikke al trafik gå gennem en firewall, i så fald forekommer mulighed 3 ret god for mig, eller (se forrige afsnit) måske har du ikke brug for Threat Defense eller slet ikke brug for en firewall på det netværkssegment, og du skal blot begrænse dig til passiv overvågning ved hjælp af betalte (ikke dyre) eller open source-løsninger, eller du har brug for en firewall, men fra en anden leverandør.
Normalt er der altid denne usikkerhed, og der er ikke noget klart svar på, hvilken beslutning der er den bedste for dig.
Dette er kompleksiteten og skønheden ved denne opgave.
Kilde: www.habr.com