Wie Sie die Netzwerkinfrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil drei

Dieser Artikel ist der fünfte Teil der Reihe «So behalten Sie die Kontrolle über Ihre Netzwerkinfrastruktur». Den Inhalt aller Artikel der Reihe sowie die Links finden Sie hier. hier.

Dieser Abschnitt behandelt die Segmente Campus (Büro) und Remote Access VPN.

Wie Sie die Netzwerkinfrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil drei

Auf den ersten Blick könnte man denken, dass das Design eines Büronetzwerks einfach ist.

In der Tat, wir nehmen L2/L3-Switches, verbinden sie miteinander. Anschließend konfigurieren wir grundlegend VLANs, Standardgateways, richten einfaches Routing ein, verbinden WiFi-Controller und Access Points, installieren und konfigurieren ASA für den Remote-Zugang und freuen uns, dass alles funktioniert. Im Grunde genommen, wie ich bereits in einem der vorherigen Artikel dieses Zyklus erwähnt habe, kann fast jeder Studierende, der zwei Semester Telekommunikationskurs besucht hat, ein Büronetzwerk so gestalten und einrichten, dass es "irgendwie funktioniert". Artikel Aber je mehr Sie lernen, desto weniger einfach erscheint diese Aufgabe. Für mich persönlich scheint das Thema Netzwerkdesign für Büros alles andere als einfach zu sein, und in diesem Artikel werde ich versuchen zu erklären, warum.

Doch je mehr Sie erfahren, desto weniger einfach erscheint Ihnen diese Aufgabe. Für mich persönlich ist das Thema, das Design eines Büronetzwerks, keineswegs einfach, und in diesem Artikel werde ich versuchen zu erklären, warum.

Kurz gesagt, es gibt eine Vielzahl von Faktoren zu berücksichtigen. Oft stehen diese Faktoren in Konflikt zueinander, weshalb man einen vernünftigen Kompromiss suchen muss.
Diese Unsicherheit stellt die hauptsächliche Herausforderung dar. Im Hinblick auf Sicherheit haben wir ein Dreieck mit drei Eckpunkten: Sicherheit, Benutzerfreundlichkeit für die Mitarbeiter und Kosten der Lösung.
Jedes Mal müssen wir einen Kompromiss zwischen diesen dreien finden.

Architektur von

Als Beispiel für die Architektur dieser beiden Segmente empfehle ich, wie in meinen vorherigen Artikeln, Cisco SAFE das Modell: Enterprise Campus, Enterprise Internet Edge.

Dies sind etwas veraltete Dokumente. Ich führe sie hier an, weil die grundlegenden Diagramme und Ansätze unverändert geblieben sind, aber ich die Darstellungen ansprechender finde als in der neuen Dokumentation..

Ohne Sie einzuladen, ausschließlich Cisco-Lösungen zu verwenden, halte ich es dennoch für nützlich, dieses Design eingehend zu studieren.

Dieser Artikel ist, wie gewohnt, keineswegs vollständig, sondern eher eine Ergänzung zu den dargestellten Informationen.

Am Ende des Artikels werden wir das Cisco SAFE-Design für Büros hinsichtlich der hier dargestellten Konzepte analysieren.

Allgemeine Prinzipien

Das Design des Büros Netzwerks sollte selbstverständlich die allgemeinen Anforderungen erfüllen, die besprochen wurden. hier Zusätzlich zu Kosten und Sicherheit, die wir in diesem Artikel erörtern werden, gibt es drei weitere Kriterien, die wir beim Entwurf (oder bei Änderungen) berücksichtigen müssen:

  • Skalierbarkeit
  • Bedienbarkeit (managability)
  • Verfügbarkeit (availability)

Vieles davon, was für von Rechenzentren diskutiert wurde, trifft ebenso auf das Büro zu.

Dennoch hat der Bürosektor seine eigene Spezifität, die aus sicherheitstechnischer Sicht kritisch ist. Diese Spezifität besteht darin, dass dieser Sektor zur Bereitstellung von Netzwerkdiensten für Mitarbeiter (sowie Partner und Gäste) des Unternehmens geschaffen wird. Folglich haben wir auf höchster Ebene zwei Aufgaben:

  • die Ressourcen des Unternehmens vor schädlichen Handlungen zu schützen, die von Mitarbeitern (Gästen, Partnern) sowie von der Software, die sie verwenden, ausgehen können. Dazu gehört auch der Schutz vor unbefugtem Zugang zum Netzwerk.
  • die Systeme und Daten der Benutzer selbst zu schützen.

Und das ist nur eine Seite des Problems (oder genauer gesagt, eine Spitze des Dreiecks). Auf der anderen Seite stehen Benutzerfreundlichkeit und die Kosten der eingesetzten Lösungen.

Lassen Sie uns damit beginnen, was Benutzer von einem modernen Büronetzwerk erwarten.

Benutzerfreundlichkeit

So sehe ich die „Netzwerknutzerfreundlichkeit“ für Büromitarbeiter:

  • Mobilität
  • Die Möglichkeit, eine Vielzahl gewohnter Geräte und Betriebssysteme nutzen zu können.
  • Einfacher Zugang zu allen erforderlichen Unternehmensressourcen.
  • Verfügbarkeit von Internetressourcen, einschließlich verschiedener Cloud-Services.
  • „Schnelle Netzwerkleistung“

All dies gilt sowohl für Mitarbeiter als auch für Gäste (oder Partner), und es ist Aufgabe der Ingenieure des Unternehmens, auf der Grundlage von Authentifizierung den Zugriff für verschiedene Nutzergruppen zu differenzieren.

Lassen Sie uns jeden dieser Aspekte etwas detaillierter betrachten.

Mobilität

Es geht darum, die Möglichkeit zu haben, von überall auf der Welt (natürlich wo Internet verfügbar ist) auf alle notwendigen Unternehmensressourcen zugreifen zu können.

Dies gilt auch für das Büro. Es ist praktisch, wenn Sie von jedem Punkt im Büro aus weiterarbeiten können, zum Beispiel E-Mails abrufen, im Unternehmensmessenger kommunizieren oder für Videoanrufe erreichbar sind. So können Sie einerseits einige Fragen durch "persönliche" Kommunikation klären (zum Beispiel an Meetings teilnehmen) und andererseits immer online sein, den Puls der Zeit halten und dringende, hochpriorisierte Aufgaben schnell lösen. Das ist sehr praktisch und verbessert tatsächlich die Qualität der Kommunikation.

Dies wird durch ein durchdachtes Design des WiFi-Netzwerks erreicht.

Hinweis

Hier stellt sich oft die Frage, ob es ausreichend ist, nur WiFi zu verwenden. Bedeutet das, dass man auf Ethernet-Ports im Büro verzichten kann? Wenn es nur um Benutzer geht und nicht um Server, die sinnvollerweise über einen herkömmlichen Ethernet-Port angeschlossen werden sollten, lautet die allgemeine Antwort: Ja, man kann sich auf WiFi beschränken. Aber es gibt Nuancen.

Es gibt wichtige Benutzergruppen, die einen besonderen Ansatz benötigen. Dazu gehören natürlich die Administratoren. Im Allgemeinen ist eine WiFi-Verbindung in Bezug auf Datenverlust weniger zuverlässig und bietet geringere Geschwindigkeiten als ein herkömmlicher Ethernet-Port. Dies kann für Administratoren entscheidend sein. Zudem haben Netzwerkadministratoren möglicherweise ein eigenes dediziertes Ethernet-Netzwerk für Out-of-Band-Verbindungen.

Möglicherweise gibt es in Ihrem Unternehmen auch andere Gruppen oder Abteilungen, für die diese Faktoren ebenfalls wichtig sind.

Ein weiterer wichtiger Punkt ist die Telefonie. Aus bestimmten Gründen möchten Sie vielleicht kein Wireless VoIP nutzen und bevorzugen IP-Telefone mit einer herkömmlichen Ethernet-Verbindung.

In den Unternehmen, in denen ich tätig war, gab es normalerweise sowohl WiFi- als auch Ethernet-Portmöglichkeiten.

Es wäre wünschenswert, dass die Mobilität nicht nur auf das Büro beschränkt ist.

Um die Möglichkeit zu gewährleisten, aus dem Homeoffice (oder jedem anderen Ort mit Internetzugang) zu arbeiten, wird eine VPN-Verbindung verwendet. Dabei ist es wichtig, dass die Mitarbeiter keinen Unterschied zwischen der Arbeit im Homeoffice und dem Remote-Arbeiten verspüren, was die gleichen Zugriffsrechte voraussetzt. Wie wir das organisieren können, werden wir später im Kapitel „Eingespielte zentrale Authentifizierungs- und Autorisierungssystem“ besprechen.

Hinweis

Vermutlich wird es Ihnen nicht gelingen, die gleiche Qualität der Services für Remote-Arbeit bereitzustellen wie im Büro. Angenommen, Sie verwenden als VPN-Gateway die Cisco ASA 5520. Gemäß Datenblatt Dieses Gerät kann lediglich 225 Mbit VPN-Datenverkehr bewältigen. Das bedeutet, dass die VPN-Verbindung in Bezug auf die Bandbreite stark von der Büroarbeit abweicht. Sollte es aus irgendwelchen Gründen zu Verzögerungen, Paketverlusten oder Jitter kommen (zum Beispiel, wenn Sie die Büro-IP-Telefonie nutzen möchten), wird die Qualität nicht die gleiche sein, als wären Sie im Büro. Daher sollten wir, wenn wir über Mobilität sprechen, mögliche Einschränkungen im Hinterkopf behalten.

Einfacher Zugang zu allen Unternehmensressourcen

Diese Aufgabe sollte gemeinsam mit anderen technischen Abteilungen angegangen werden.
Die ideale Situation besteht darin, dass sich der Benutzer nur einmal authentifizieren muss und danach Zugang zu allen erforderlichen Ressourcen erhält.
Die Bereitstellung eines einfachen Zugangs ohne Kompromisse bei der Sicherheit kann die Arbeitseffizienz erheblich steigern und den Stresslevel Ihrer Kollegen senken.

Hinweis 1

Zugänglichkeit bedeutet nicht nur, wie oft Sie Ihr Passwort eingeben müssen. Wenn Sie beispielsweise gemäß Ihrer Sicherheitsrichtlinie zuerst eine Verbindung zu einem VPN-Gateway herstellen müssen, um von Ihrem Büro aus auf das Rechenzentrum zuzugreifen, und dabei den Zugriff auf Bürosysteme verlieren, ist das äußerst unpraktisch.

Hinweis 2

Es gibt Dienste (zum Beispiel der Zugriff auf Netzwerkausrüstung), bei denen wir in der Regel unsere eigenen dedizierten AAA-Server haben. In diesen Fällen ist es normal, sich mehrfach authentifizieren zu müssen.

Verfügbarkeit von Internetressourcen

Das Internet ist nicht nur eine Quelle der Unterhaltung, sondern auch ein Satz von Diensten, die für die Arbeit äußerst nützlich sein können. Dazu kommen psychologische Faktoren. Der moderne Mensch ist durch viele virtuelle Fäden mit anderen Menschen verbunden, und ich finde es nicht schlecht, wenn er diese Verbindung auch während der Arbeit aufrechterhalten kann.

Aus der Sicht des Zeitverlusts ist es nicht schlimm, wenn ein Mitarbeiter beispielsweise Skype geöffnet hat und sich bei Bedarf 5 Minuten Zeit für ein Gespräch mit einer nahestehenden Person nimmt.

Bedeutet dies, dass das Internet immer zugänglich sein muss, und dass Mitarbeiter unkontrollierten Zugang zu allen Ressourcen haben sollten?

Nein, das bedeutet es selbstverständlich nicht. Der Grad der Offenheit des Internets kann für verschiedene Unternehmen unterschiedlich sein – von kompletter Geschlossenheit bis hin zu kompletter Offenheit. Die Methoden zur Kontrolle des Datenverkehrs werden wir später in den Abschnitten über Sicherheitslösungen besprechen.

Die Möglichkeit, mit sämtlichen gewohnten Geräten zu arbeiten

Es ist praktisch, wenn Sie beispielsweise weiterhin alle Ihnen vertrauten Kommunikationsmittel auch im Büro nutzen können. Technisch ist es nicht schwierig, dies umzusetzen. Dafür sind WiFi und ein Gast-VLAN erforderlich.

Außerdem ist es vorteilhaft, wenn Sie das Betriebssystem verwenden können, an das Sie gewöhnt sind. Aber meiner Beobachtung nach ist dies normalerweise nur Managern, Administratoren und Entwicklern erlaubt.

Beispiel

Es ist natürlich möglich, den Weg der Verbote zu gehen: den Remote-Zugriff zu verbieten, Verbindungen von mobilen Geräten auszuschließen, alles auf statische Ethernet-Verbindungen zu beschränken, den Internetzugang zu verwehren und zwingend Handys und Gadgets am Eingang zu konfiszieren... einige Organisationen mit erhöhten Sicherheitsanforderungen verfolgen tatsächlich diesen Ansatz, und in einigen Fällen mag das auch gerechtfertigt sein. Aber... seien wir ehrlich, das sieht eher nach einem Versuch aus, den Fortschritt in einer Organisation zu stoppen. Natürlich wäre es wünschenswert, die Möglichkeiten, die moderne Technologien bieten, mit einem angemessenen Sicherheitsniveau zu kombinieren.

„Schnelle Netzwerkleistung“

Die Datenübertragungsgeschwindigkeit wird durch viele Faktoren beeinflusst. Dabei ist die Geschwindigkeit Ihres Anschlussports in der Regel nicht der entscheidende Faktor. Langsame Anwendungsleistung muss nicht immer mit Netzwerkproblemen zusammenhängen, aber hier konzentrieren wir uns auf den Netzwerkbereich. Das häufigste Problem der „Verlangsamung“ eines lokalen Netzwerks ist der Paketverlust. Dies tritt typischerweise aufgrund eines Engpasses oder bei L1 (OSI) Problemen auf. Seltener, bei bestimmten Konfigurationen (zum Beispiel wenn Standardgateways in Ihren Subnetzen durch eine Firewall bereitgestellt werden und somit der gesamte Datenverkehr über diese läuft), kann die Leistung der Hardware unzureichend sein.

Daher müssen Sie bei der Auswahl von Hardware und Architektur die Geschwindigkeiten der Endports, Trunks und die Leistung der Hardware berücksichtigen.

Beispiel

Angenommen, Sie verwenden 1-Gigabit-Ports als Zugangsswitches. Diese sind über Etherchannel mit 2 x 10 Gigabit miteinander verbunden. Als Standardgateway nutzen Sie eine Firewall mit Gigabit-Ports, die über zwei Gigabit-Ports, die im Etherchannel zusammengefasst sind, mit dem L2-Netzwerk des Büros verbunden ist.

Diese Architektur ist funktional sehr praktisch, da der gesamte Traffic über die Firewall läuft und Sie die Zugriffspolitiken einfach verwalten sowie komplexe Traffic-Kontrollalgorithmen und potenzielle Angriffe verhindern können (siehe unten). Allerdings gibt es hinsichtlich der Bandbreite und Leistung potenzielle Probleme mit diesem Design. Wenn beispielsweise zwei Hosts Daten mit 1-Gigabit-Portgeschwindigkeit herunterladen, können sie die 2-Gigabit-Verbindung zur Firewall vollständig auslasten, was zu einer Verschlechterung des Services für den gesamten Bürobereich führen kann.

Wir haben nun eine Ecke des Dreiecks betrachtet. Lassen Sie uns nun untersuchen, welche Maßnahmen wir ergreifen können, um Sicherheit zu gewährleisten.

Schutzmaßnahmen

Unser Ziel ist es, das Unmögliche zu erreichen: den maximalen Komfort bei maximaler Sicherheit zu minimalen Kosten.

Schauen wir uns an, welche Methoden wir für den Schutz anbieten können.

Für das Büro würde ich Folgendes hervorheben:

  • Zero Trust-Ansatz im Design
  • hohes Schutzniveau
  • Netzwerktransparenz
  • einiges zentrales Authentifizierungs- und Autorisierungssystem
  • Host-Überprüfung

Nun möchten wir näher auf jeden dieser Aspekte eingehen.

Zero Trust

Die IT-Welt verändert sich rasant. In den letzten zehn Jahren haben neue Technologien und Produkte zu einem grundlegenden Umdenken in Sicherheitskonzepten geführt. Vor einem Jahrzehnt segmentierten wir Netzwerke in vertrauenswürdige, DMZ- und untrusted Zonen und verwendeten die sogenannte "Perimetersicherheit", die über zwei Verteidigungslinien verfügte: untrusted → DMZ und DMZ → vertrauenswürdig. Der Schutz beschränkte sich üblicherweise auf Zugriffslisten basierend auf L3/L4 (OSI) Headern (IP, TCP/UDP-Ports, TCP-Flags). Höhere Schichten, einschließlich L7, wurden den Betriebssystemen und Sicherheitsprodukten überlassen, die auf den Endgeräten installiert waren.

Heute hat sich die Situation grundlegend verändert. Das moderne Konzept Zero Trust geht davon aus, dass es nicht mehr möglich ist, interne Systeme, also solche innerhalb des Perimeters, als vertrauenswürdig zu betrachten, und das Konzept des Perimeters selbst ist ebenfalls verschwommen geworden.
Neben der Internetanbindung verfügen wir auch über

  • Remote Access VPN für Benutzer,
  • verschiedene persönliche Geräte, mitgebrachte Laptops, die über das Büro-WiFi verbunden sind,
  • andere (Branch-) Büros,
  • die Integration in die Cloud-Infrastruktur.

Wie sieht der Zero Trust-Ansatz in der Praxis aus?

Idealerweise sollte nur der Verkehr erlaubt sein, der tatsächlich benötigt wird, und wenn wir schon von Idealen sprechen, sollte die Kontrolle nicht nur auf der Ebene L3/L4, sondern auch auf Anwendungsebene erfolgen.

Wenn Sie beispielsweise die Möglichkeit haben, den gesamten Verkehr über eine Firewall zu leiten, können Sie sich dem Ideal nähern. Doch ein solcher Ansatz kann die Gesamtdatenrate Ihres Netzwerks erheblich verringern, und zudem funktioniert die Filterung auf Anwendungsebene nicht immer optimal.

Bei der Kontrolle des Verkehrs auf dem Router oder L3-Switch (Verwendung von Standard-ACLs) stoßen Sie auf andere Probleme:

  • Es handelt sich nur um L3/L4-Filterung. Nichts hindert einen Angreifer daran, erlaubte Ports (z.B. TCP 80) für seine Anwendung (nicht http) zu verwenden.
  • Komplexes ACL-Management (schwierig zu analysierende ACLs).
  • Es handelt sich nicht um eine stateful Firewall, das heißt, Sie müssen den rückläufigen Verkehr explizit erlauben.
  • Bei Switches sind Sie in der Regel stark durch die Größe des TCAM eingeschränkt, was bei der Anwendung des Ansatzes 'nur das Erlauben, was notwendig ist' schnell problematisch werden kann.

Hinweis

Wenn wir über rückläufigen Verkehr sprechen, sollten wir uns auch der folgenden Möglichkeit (Cisco) bewusst sein.

permit tcp any any established

Es ist jedoch wichtig zu verstehen, dass diese Zeile zwei Zeilen entspricht:
permit tcp any any ack
permit tcp any any rst

Das bedeutet, dass dieser ACL auch dann Pakete mit dem ACK-Flag zulässt, wenn kein ursprüngliches TCP-Segment mit dem SYN-Flag vorlag (d.h. die TCP-Sitzung wurde nicht einmal initialisiert), was von einem Angreifer ausgenutzt werden kann, um Daten zu übertragen.

Diese Zeile macht Ihren Router oder L3-Switch also keineswegs zu einer stateful Firewall.

Hoher Sicherheitsstandard.

In Artikel Im Abschnitt über Rechenzentren haben wir die folgenden Schutzmethoden betrachtet.

  • stateful Firewalling (standardmäßig)
  • ddos/dos protection
  • Anwendungsfirewalling
  • Bedrohungsprävention (Antivirus, Anti-Spyware und Schwachstellenmanagement)
  • URL-Filterung
  • Datenfilterung (Inhaltsfilterung)
  • Datei-Blockierung (Blockierung von Dateitypen)

Im Büro ist die Situation ähnlich, aber die Prioritäten sind etwas anders. Die Verfügbarkeit des Büros ist in der Regel nicht so kritisch wie im Fall eines Rechenzentrums, während die Wahrscheinlichkeit von 'internem' schädlichen Traffic um ein Vielfaches höher ist.
Daher werden die folgenden Schutzmethoden für diesen Bereich entscheidend:

  • Anwendungsfirewalling
  • threat prevention (Anti-Virus, Anti-Spyware und Vulnerability)
  • URL-Filterung
  • Datenfilterung (Inhaltsfilterung)
  • Datei-Blockierung (Blockierung von Dateitypen)

Obwohl all diese Schutzmethoden, abgesehen von der Application-Firewalling, traditionell auf den Endgeräten (z. B. durch Installation von Antivirenprogrammen) und über Proxys umgesetzt wurden und weiterhin werden, bieten moderne NGFW auch diese Dienste an.

Hersteller von Sicherheitsausrüstung streben nach einem umfassenden Schutz. Daher werden neben lokalen Lösungen auch verschiedene Cloud-Technologien und Client-Software für Hosts (End Point Protection/EPP) angeboten. So sehen wir zum Beispiel, dass der Magic Quadrant von Gartner für 2018 zeigt, dass Palo Alto und Cisco ihre eigenen EPP Lösungen haben (PA: Traps, Cisco: AMP), jedoch nicht zu den führenden Anbietern gehören.

Das Aktivieren dieser Schutzmaßnahmen (in der Regel durch den Erwerb von Lizenzen) auf der Firewall ist zwar nicht zwingend erforderlich (Sie können den traditionellen Weg gehen), bietet aber einige Vorteile:

  • In diesem Fall entsteht ein einheitlicher Anwendungsbereich für Schutzmethoden, was die Sichtbarkeit verbessert (siehe nächstes Thema).
  • Wenn in Ihrem Netzwerk ein ungeschütztes Gerät vorhanden ist, fällt es dennoch unter den "Schutzschirm" der Firewall.
  • Durch die Kombination von Schutzmaßnahmen an der Firewall und an den Endgeräten erhöhen wir die Wahrscheinlichkeit, schädlichen Verkehr zu erkennen. Beispielsweise steigert die Nutzung von Bedrohungsverhütung an lokalen Hosts und an der Firewall die Erkennungswahrscheinlichkeit (vorausgesetzt, dass diesen Lösungen unterschiedliche Softwareprodukte zugrunde liegen).

Hinweis

Wenn Sie beispielsweise Kaspersky sowohl als Antivirensoftware auf Ihrer Firewall als auch auf den Endgeräten verwenden, wird dies Ihre Chancen, einen Virenangriff in Ihrem Netzwerk zu verhindern, nicht erheblich steigern.

Netzwerktransparenz

Die Grundidee bedeutet schlichtweg, dass Sie sehen, was in Ihrem Netzwerk passiert, sowohl in Echtzeit als auch historische Daten.

Ich würde diese «Sichtbarkeit» in zwei Gruppen unterteilen:

Gruppe eins: das, was normalerweise von Ihrem Monitoringsystem bereitgestellt wird.

  • Auslastung der Hardware
  • Auslastung der Bandbreite
  • Speichernutzung
  • Festplattennutzung
  • Änderungen in der Routing-Tabelle
  • Link-Status
  • Verfügbarkeit der Hardware (oder Hosts)

Gruppe zwei: Sicherheitsbezogene Informationen.

  • verschiedene Statistiken (z.B. über Anwendungen, Webbesuche, welche Daten heruntergeladen wurden, Informationen zu Benutzern)
  • was durch Sicherheitsrichtlinien blockiert wurde und aus welchem Grund, nämlich
    • verbotene Anwendung
    • blockiert basierend auf IP/Protokoll/Port/Flags/Zonen
    • Bedrohungsverhinderung
    • URL-Filterung
    • Datenfilterung
    • Dateiblockierung
  • Statistiken zu DOS/DDOS-Angriffen
  • fehlgeschlagene Identifizierungs- und Autorisierungsversuche
  • Statistiken zu allen oben genannten Ereignissen von Sicherheitsrichtlinienverletzungen

In diesem Abschnitt über Sicherheit interessiert uns insbesondere der zweite Teil.

Einige moderne Firewalls (aus meiner Erfahrung Palo Alto) bieten ein gutes Maß an Sichtbarkeit. Der Verkehr, der Sie interessiert, muss jedoch durch diese Firewall geleitet werden (in diesem Fall haben Sie die Möglichkeit, den Verkehr zu blockieren) oder wird zur Firewall gespiegelt (nur zur Überwachung und Analyse verwendet), und Sie müssen Lizenzen besitzen, die es ermöglichen, all diese Dienste zu aktivieren.

Es gibt natürlich auch einen alternativen Ansatz, genauer gesagt den traditionellen Weg, zum Beispiel

  • die Sitzungsstatistik kann über NetFlow gesammelt werden, und anschließend können spezielle Tools zur Analyse der Informationen und zur Visualisierung der Daten verwendet werden.
  • Bedrohungsverhinderung – spezielle Programme (Antivirus, Antispyware, Firewall) auf den Endgeräten.
  • URL-Filterung, Datenfilterung, Dateisperrung – über Proxy.
  • Sie können auch tcpdump analysieren, zum Beispiel mit Snort.

Sie können diese beiden Ansätze kombinieren, indem Sie fehlende Funktionen ergänzen oder sie zur Erhöhung der Wahrscheinlichkeit einer Angriffserkennung duplizieren.

Welchen Ansatz sollten Sie wählen?
Es hängt stark von den Fähigkeiten und Präferenzen Ihres Teams ab.
Beide haben Vor- und Nachteile.

Ein zentrales System zur Authentifizierung und Autorisierung

Bei einem guten Design bedeutet die Mobilität, die wir in diesem Artikel besprochen haben, dass Sie von jedem Ort aus, sei es im Büro, zu Hause, am Flughafen, in einem Café oder an einem anderen Ort (mit den oben besprochenen Einschränkungen), über die gleichen Zugriffe verfügen. Was könnte daran problematisch sein?
Um die Komplexität dieser Aufgabe besser zu verstehen, lassen Sie uns ein typisches Design betrachten.

Beispiel

  • Sie haben alle Mitarbeiter in Gruppen aufgeteilt. Sie haben entschieden, den Zugriff nach Gruppen zu gewähren.
  • Innerhalb des Büros kontrollieren Sie die Zugriffe über die Büro-Firewall.
  • Den Verkehr vom Büro zum Rechenzentrum überwachen Sie über die Firewall des Rechenzentrums.
  • Als VPN-Gateway verwenden Sie Cisco ASA und zur Kontrolle des Verkehrs, der von den zugewiesenen Kunden in Ihr Netzwerk gelangt, setzen Sie lokale (auf der ASA) ACL ein.

Jetzt stellen Sie sich vor, Sie werden gebeten, bestimmten Mitarbeitern zusätzliche Zugriffe zu gewähren. Dabei sollen diese Zugänge nur für ihn und nicht für niemanden aus seiner Gruppe gewährt werden.

Dafür müssen wir eine separate Gruppe für diesen Mitarbeiter erstellen, das heißt

  • einen separaten IP-Pool auf der ASA für diesen Mitarbeiter einrichten
  • eine neue ACL auf der ASA hinzufügen und sie an diesen Remote-Client binden
  • neue Sicherheitsrichtlinien auf den Firewall-Systemen im Büro und im Rechenzentrum erstellen

Das ist in Ordnung, wenn dieses Ereignis selten ist. Aber in meiner Erfahrung gab es Situationen, in denen Mitarbeiter an verschiedenen Projekten teilnahmen, und dieser Satz von Projekten sich für einige von ihnen recht häufig änderte. Es waren nicht nur 1-2 Personen, sondern Dutzende. Natürlich musste hier etwas verändert werden.

Das wurde auf folgende Weise gelöst.

Wir haben beschlossen, dass die einzige vertrauenswürdige Quelle, die alle möglichen Zugänge eines Mitarbeiters bestimmt, LDAP sein wird. Wir haben sämtliche Gruppen erstellt, die Zugangssätze definieren, und jeden Benutzer haben wir einer oder mehreren Gruppen zugeordnet.

Nehmen wir zum Beispiel an, dass es folgende Gruppen gab

  • guest (Zugang zum Internet)
  • common access (Zugänge zu gemeinsamen Ressourcen: E-Mail, Wissensdatenbank, …)
  • accounting
  • project 1
  • project 2
  • Datenbankadministrator
  • Linux-Administrator

Wenn ein Mitarbeiter sowohl in Projekt 1 als auch in Projekt 2 tätig war und die erforderlichen Zugriffe für die Arbeit in diesen Projekten benötigte, wurde dieser Mitarbeiter den entsprechenden Gruppen zugeordnet:

  • guest
  • allgemeiner Zugang
  • project 1
  • project 2

Wie können wir diese Informationen nun in Zugriffe auf das Netzwerkgerät umwandeln?

Die Cisco ASA Dynamic Access Policy (DAP) (siehe www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) ist genau die richtige Lösung für diese Aufgabe.

Kurz gesagt, bei unserer Implementierung erhält die ASA im Identifikations-/Autorisierungsprozess von LDAP eine Menge Gruppen, die dem jeweiligen Benutzer entsprechen, und 'stellt' aus mehreren lokalen ACLs (jede entspricht einer Gruppe) eine dynamische ACL mit allen erforderlichen Zugriffsrechten zusammen, was unseren Anforderungen vollständig entspricht.

Dies gilt jedoch nur für VPN-Verbindungen. Um die Situation sowohl für Mitarbeiter, die über VPN verbunden sind, als auch für diejenigen im Büro einheitlich zu gestalten, wurde folgender Schritt unternommen.

Beim Anschluss aus dem Büro gelangten die Benutzer über das 802.1x-Protokoll entweder in das Gäste-VLAN (für Gäste) oder in das VLAN mit gemeinsamen Zugängen (für Mitarbeiter des Unternehmens). Um spezifische Zugriffe (z.B. auf Projekte im Rechenzentrum) zu erhalten, mussten die Mitarbeiter eine VPN-Verbindung herstellen.

Für den Anschluss aus dem Büro und von zu Hause wurden unterschiedliche Tunnelgruppen auf der ASA verwendet. Dies war notwendig, damit der Datenverkehr zu gemeinsamen Ressourcen (die von allen Mitarbeitern genutzt werden, wie E-Mail, Dateiserver, Ticketsystem, DNS, ...) für die aus dem Büro verbundenen Benutzer nicht über die ASA, sondern über das lokale Netzwerk verläuft. So wurden wir die ASA nicht mit unnötigem, insbesondere hochintensivem Datenverkehr belasten.

Somit war die Aufgabe gelöst.
Wir erhielten

  • denselben Zugriffssatz, sowohl für Verbindungen aus dem Büro als auch für Remote-Zugänge.
  • das Fehlen einer Serviceverschlechterung bei der Arbeit aus dem Büro, die mit der Übertragung hochintensiven Datenverkehrs über die ASA verbunden ist.

Was ist ein weiteres Vorteil dieses Ansatzes?
In der Verwaltung der Zugriffe. Zugriffe können an einem zentralen Ort schnell geändert werden.
Beispielsweise, wenn ein Mitarbeiter das Unternehmen verlässt, entfernen Sie ihn einfach aus dem LDAP, und er verliert automatisch alle Zugriffsrechte.

Hostprüfung

Bei der Möglichkeit eines Remote-Zugriffs besteht das Risiko, nicht nur Mitarbeiter des Unternehmens, sondern auch schädliche Software, die mit großer Wahrscheinlichkeit auf ihrem Computer (z. B. zu Hause) vorhanden ist, in das Netzwerk zu lassen. Darüber hinaus könnten wir durch diese Software möglicherweise einem Angreifer den Zugang zu unserem Netzwerk ermöglichen, der diesen Host als Proxy nutzt.

Es ist sinnvoll, für Hosts, die remote verbunden sind, die gleichen Sicherheitsanforderungen anzuwenden wie für Hosts, die sich im Büro befinden.

Dazu gehört unter anderem eine „richtige“ Version des Betriebssystems, Antiviren-, Antispyware- und Firewall-Software sowie Updates. Diese Möglichkeit besteht normalerweise am VPN-Gateway (siehe beispielsweise für ASA, hier).

Es ist auch sinnvoll, die gleichen Methoden zur Analyse und Blockierung des Datenverkehrs (siehe „Hohes Schutzniveau“) anzuwenden, die gemäß Ihrer Sicherheitsrichtlinien für den Bürodatverkehr verwendet werden.

Es ist vernünftig anzunehmen, dass Ihr Büro-Netzwerk jetzt nicht mehr auf das Bürogebäude und die dort befindlichen Hosts beschränkt ist.

Beispiel

Eine gute Maßnahme ist es, jedem Mitarbeiter, der Remote-Zugriff benötigt, einen guten, komfortablen Laptop zur Verfügung zu stellen und von ihm zu verlangen, sowohl im Büro als auch von zu Hause aus mit diesem Gerät zu arbeiten.

Das verbessert nicht nur die Sicherheit Ihres Netzwerks, sondern ist auch wirklich praktisch und wird von den Mitarbeitern in der Regel positiv aufgenommen (wenn es sich tatsächlich um einen guten und benutzerfreundlichen Laptop handelt).

Über das Gefühl von Maß und Balance

Im Grunde genommen handelt es sich um das Gespräch über die dritte Spitze unseres Dreiecks – über den Preis.
Lassen Sie uns ein hypothetisches Beispiel betrachten.

Beispiel

Sie haben ein Büro mit 200 Personen. Sie haben sich entschieden, es so komfortabel und sicher wie möglich zu gestalten.

Daher haben Sie beschlossen, den gesamten Datenverkehr über die Firewall zu leiten, und für alle Subnetze im Büro fungiert die Firewall als Standardgateway. Neben der Sicherheitssoftware, die auf jedem Endgerät installiert ist (Antivirus-, Anti-Spyware- und Firewall-Software), haben Sie auch beschlossen, alle möglichen Schutzmethoden an der Firewall anzuwenden.

Um eine hohe Verbindungsgeschwindigkeit zu gewährleisten (alles für Ihren Komfort), haben Sie Switches mit 10-Gigabit-Zugangsports gewählt, und für Firewalls – leistungsstarke NGFW-Firewalls, wie beispielsweise die Palo Alto der Serie 7K (mit 40-Gigabit-Ports), selbstverständlich inklusive aller erforderlichen Lizenzen und in einer High Availability-Konfiguration.

Außerdem benötigen wir für den Betrieb dieser Geräteserie mindestens ein paar hochqualifizierte Security-Ingenieure.

Darüber hinaus haben Sie beschlossen, jedem Mitarbeiter ein hochwertiges Laptop zur Verfügung zu stellen.

Insgesamt belaufen sich die Kosten für die Implementierung auf etwa 10 Millionen Dollar, mit Hunderttausenden von Dollar (ich denke, es wird eher näher an einer Million sein) für die jährliche Unterstützung und die Gehälter der Ingenieure.

Büro, 200 Personen…
Praktisch? Wahrscheinlich, ja.

Sie bringen dieses Angebot Ihrem Management vor…
Möglicherweise gibt es auf der Welt eine Anzahl von Unternehmen, für die dies eine akzeptable und richtig Lösung ist. Wenn Sie ein Mitarbeiter in einem solchen Unternehmen sind – herzlichen Glückwunsch, aber in den überwiegenden meisten Fällen bin ich mir sicher, dass Ihr Wissen von der Geschäftsführung nicht geschätzt wird.

Ist dieses Beispiel übertrieben? Das nächste Kapitel wird diese Frage beantworten.

Wenn Sie in Ihrem Netzwerk nichts von dem oben Aufgezählten sehen, ist das normal.
In jedem spezifischen Fall müssen Sie einen vernünftigen Kompromiss zwischen Benutzerfreundlichkeit, Preis und Sicherheit finden. Oft ist sogar kein NGFW in Ihrem Büro erforderlich und L7-Schutz auf der Firewall ist nicht notwendig. Es reicht aus, ein gutes Maß an Sichtbarkeit und Benachrichtigungen sicherzustellen, und das kann durch die Nutzung von Open-Source-Produkten erreicht werden. Ja, Ihre Reaktion auf einen Angriff wird nicht sofort erfolgen, aber das Wesentliche ist, dass Sie ihn sehen und mit den richtigen Prozessen in Ihrer Abteilung in der Lage sind, schnell zu neutralisieren.

Und ich möchte daran erinnern, dass Sie im Sinne dieses Artikels nicht das Netzwerk entwerfen, sondern versuchen, das zu verbessern, was Sie erhalten haben.

Analyse der SAFE-Architektur des Büros

Beachten Sie dieses rote Quadrat, das ich auf dem Diagramm hervorgehoben habe SAFE Secure Campus Architecture Guide, das ich hier diskutieren möchte.

Wie Sie die Netzwerkinfrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil drei

Es ist eines der Schlüsselstellen in der Architektur und eine der wichtigsten Unsicherheiten.

Hinweis

Ich habe noch nie mit FirePower (aus der Cisco-Firewall-Serie – nur mit ASA) gearbeitet, daher werde ich es wie jede andere Firewall betrachten, zum Beispiel wie die Juniper SRX oder Palo Alto, unter der Annahme, dass sie die gleichen Funktionen hat.

Aus den gängigen Konfigurationen sehe ich vier mögliche Einsatzszenarien für eine Firewall bei dieser Anbindung:

  • der Standard-Gateway für jedes Subnetz ist ein Switch, während die Firewall im Transparentmodus arbeitet (das bedeutet, dass der gesamte Verkehr durch sie hindurchgeht, aber sie einen L3-Hop nicht bildet)
  • der Standard-Gateway für jedes Subnetz sind die Sub-Interfaces der Firewall (oder SVI-Interfaces), der Switch fungiert als L2
  • auf dem Switch werden verschiedene VRFs verwendet, und der Verkehr zwischen den VRFs geht über die Firewall, der Verkehr innerhalb eines VRFs wird durch ACLs auf dem Switch kontrolliert
  • sämtlicher Verkehr wird zur Analyse und Überwachung auf die Firewall gespiegelt, der Verkehr geht nicht darüber

Hinweis 1

Kombinationen dieser Optionen sind möglich, aber zur Vereinfachung werden wir sie nicht betrachten.

Hinweis 2

Es besteht auch die Möglichkeit, PBR (Service-Chain-Architektur) zu verwenden, aber bisher ist das, obwohl ich es als ansprechende Lösung betrachte, eher exotisch und daher hier nicht von Interesse.

Aus der Beschreibung der Ströme im Dokument sehen wir, dass der Verkehr tatsächlich durch die Firewall geleitet wird, das heißt, gemäß dem Cisco-Design fällt die vierte Option weg.

Lassen Sie uns zunächst die ersten beiden Optionen betrachten.
In diesen Optionen läuft der gesamte Verkehr über die Firewall.

Jetzt sehen wir uns an, Datenblatt, betrachten wir, Cisco GPL und erkennen, dass wir eine Gesamtdatenrate für unser Büro von mindestens 10 bis 20 Gigabit benötigen, was bedeutet, dass wir die 4K-Version kaufen müssen.

Hinweis

Wenn ich von der Gesamtdatenrate spreche, meine ich den Verkehr zwischen den Subnetzen (nicht innerhalb eines VLANs).

Aus der GPL sehen wir, dass der Preis für das HA Bundle mit Threat Defense je nach Modell (4110–4150) zwischen ~0,5 und 2,5 Millionen Dollar variiert.

Das heißt, unser Design ähnelt dem vorherigen Beispiel.

Bedeutet das, dass dieses Design fehlerhaft ist?
Nein, das bedeutet es nicht. Cisco bietet Ihnen den bestmöglichen Schutz basierend auf der Produktreihe, die es hat. Aber das bedeutet nicht, dass das ein „Must-Have“ für Sie ist.

Im Grunde genommen ist das eine alltägliche Frage, die bei der Gestaltung eines Büros oder Rechenzentrums aufkommt, und es bedeutet nur, dass man einen Kompromiss finden muss.

Zum Beispiel sollte nicht der gesamte Datenverkehr über die Firewall geleitet werden. In diesem Fall erscheint mir die dritte Option ziemlich ansprechend, oder (siehe vorherigen Abschnitt) möglicherweise benötigen Sie 'Threat Defense' nicht oder überhaupt keine Firewall in diesem Netzwerksegment. Stattdessen könnten Sie sich mit passivem Monitoring mittels kostengünstiger oder Open-Source-Lösungen begnügen, vielleicht ist jedoch eine Firewall eines anderen Anbieters erforderlich.

Normalerweise gibt es immer diese Ungewissheit, und es gibt keine eindeutige Antwort darauf, welche Lösung für Sie die beste ist.
Darin liegt die Komplexität und die Schönheit dieser Aufgabe.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster