Dieser Artikel ist der fünfte in der Reihe „So übernehmen Sie die Kontrolle über Ihre Netzwerkinfrastruktur“. Den Inhalt aller Artikel der Reihe und Links finden Sie hier .
Dieser Teil ist den Segmenten „Campus (Büro)“ und „Remote Access VPN“ gewidmet.
Das Design eines Büronetzwerks mag einfach erscheinen.
Tatsächlich nehmen wir L2/L3-Switches und verbinden sie miteinander. Als nächstes führen wir die Grundeinrichtung von Vilans und Standard-Gateways durch, richten einfaches Routing ein, verbinden WLAN-Controller, Access Points, installieren und konfigurieren ASA für den Fernzugriff, wir sind froh, dass alles geklappt hat. Im Grunde, wie ich bereits in einem der vorherigen Artikel geschrieben habe In diesem Zyklus kann fast jeder Student, der zwei Semester eines Telekommunikationskurses besucht (und gelernt) hat, ein Büronetzwerk so entwerfen und konfigurieren, dass es „irgendwie funktioniert“.
Aber je mehr Sie lernen, desto weniger einfach erscheint Ihnen diese Aufgabe. Für mich persönlich scheint dieses Thema, das Thema Büronetzwerkdesign, überhaupt nicht einfach zu sein, und in diesem Artikel werde ich versuchen zu erklären, warum.
Kurz gesagt, es gibt eine ganze Reihe von Faktoren zu berücksichtigen. Oft stehen diese Faktoren im Widerspruch zueinander und es muss ein vernünftiger Kompromiss gesucht werden.
Diese Unsicherheit ist die Hauptschwierigkeit. Wenn wir also über Sicherheit sprechen, haben wir ein Dreieck mit drei Eckpunkten: Sicherheit, Komfort für die Mitarbeiter, Preis der Lösung.
Und jedes Mal muss man nach einem Kompromiss zwischen diesen dreien suchen.
Architektur
Als Beispiel für eine Architektur für diese beiden Segmente empfehle ich, wie in den vorherigen Artikeln Modell: , .
Es handelt sich um etwas veraltete Dokumente. Ich stelle sie hier vor, weil sich die grundlegenden Schemata und der Ansatz nicht geändert haben, mir aber gleichzeitig die Präsentation besser gefällt als in .
Ohne Sie zum Einsatz von Cisco-Lösungen zu ermutigen, halte ich es dennoch für sinnvoll, dieses Design sorgfältig zu studieren.
Dieser Artikel erhebt wie üblich keinen Anspruch auf Vollständigkeit, sondern stellt vielmehr eine Ergänzung zu diesen Informationen dar.
Am Ende des Artikels analysieren wir das Cisco SAFE-Bürodesign im Hinblick auf die hier beschriebenen Konzepte.
Allgemeine Grundsätze
Selbstverständlich muss die Gestaltung des Büronetzwerks den besprochenen allgemeinen Anforderungen genügen im Kapitel „Kriterien zur Beurteilung der Designqualität“. Neben Preis und Sicherheit, auf die wir in diesem Artikel eingehen wollen, gibt es noch drei Kriterien, die wir bei der Gestaltung (oder Durchführung von Änderungen) berücksichtigen müssen:
- Skalierbarkeit
- Benutzerfreundlichkeit (Verwaltbarkeit)
- Verfügbarkeit
Vieles von dem, worüber diskutiert wurde Das gilt auch für das Büro.
Dennoch weist der Bürobereich seine eigenen Besonderheiten auf, die aus Sicherheitsgründen von entscheidender Bedeutung sind. Der Kern dieser Besonderheit besteht darin, dass dieses Segment für die Bereitstellung von Netzwerkdiensten für Mitarbeiter (sowie Partner und Gäste) des Unternehmens geschaffen wurde und wir daher auf der höchsten Ebene der Problembetrachtung zwei Aufgaben haben:
- Schützen Sie die Unternehmensressourcen vor böswilligen Handlungen, die von Mitarbeitern (Gästen, Partnern) und der von ihnen verwendeten Software ausgehen können. Dazu gehört auch der Schutz vor unbefugtem Zugriff auf das Netzwerk.
- Schützen Sie Systeme und Benutzerdaten
Und das ist nur eine Seite des Problems (oder besser gesagt, ein Scheitelpunkt des Dreiecks). Auf der anderen Seite stehen der Benutzerkomfort und der Preis der eingesetzten Lösungen.
Schauen wir uns zunächst an, was ein Benutzer von einem modernen Büronetzwerk erwartet.
Einrichtungen
So sehen meiner Meinung nach „Netzwerk-Annehmlichkeiten“ für einen Büronutzer aus:
- Мобильность
- Fähigkeit, die gesamte Palette bekannter Geräte und Betriebssysteme zu nutzen
- Einfacher Zugriff auf alle notwendigen Unternehmensressourcen
- Verfügbarkeit von Internetressourcen, einschließlich verschiedener Cloud-Dienste
- „Schneller Betrieb“ des Netzwerks
All dies gilt sowohl für Mitarbeiter als auch für Gäste (oder Partner), und es ist die Aufgabe der Ingenieure des Unternehmens, den Zugriff für verschiedene Benutzergruppen anhand der Berechtigungen zu differenzieren.
Schauen wir uns jeden dieser Aspekte etwas genauer an.
Мобильность
Wir sprechen von der Möglichkeit, von überall auf der Welt (natürlich dort, wo das Internet verfügbar ist) zu arbeiten und alle notwendigen Unternehmensressourcen zu nutzen.
Dies gilt uneingeschränkt für das Büro. Dies ist praktisch, wenn Sie die Möglichkeit haben, von überall im Büro aus weiterzuarbeiten, z. B. E-Mails zu empfangen, in einem Unternehmens-Messenger zu kommunizieren, für einen Videoanruf verfügbar zu sein, ... Dadurch können Sie einerseits Um einige Probleme durch „Live“-Kommunikation zu lösen (z. B. an Kundgebungen teilzunehmen), müssen Sie andererseits immer online sein, am Puls der Zeit bleiben und schnell einige dringende Aufgaben mit hoher Priorität lösen. Das ist sehr praktisch und verbessert die Qualität der Kommunikation erheblich.
Dies wird durch das richtige WLAN-Netzwerkdesign erreicht.
Hinweis:
Hier stellt sich meist die Frage: Reicht es aus, nur WLAN zu nutzen? Bedeutet das, dass Sie auf die Verwendung von Ethernet-Ports im Büro verzichten können? Wenn wir nur über Benutzer und nicht über Server sprechen, deren Verbindung mit einem normalen Ethernet-Port immer noch sinnvoll ist, lautet die Antwort im Allgemeinen: Ja, Sie können sich nur auf WLAN beschränken. Aber es gibt Nuancen.
Es gibt wichtige Benutzergruppen, die eine gesonderte Herangehensweise erfordern. Das sind natürlich Administratoren. Grundsätzlich ist eine WLAN-Verbindung weniger zuverlässig (hinsichtlich Verkehrsverlusten) und langsamer als ein normaler Ethernet-Port. Dies kann für Administratoren von Bedeutung sein. Darüber hinaus können beispielsweise Netzwerkadministratoren grundsätzlich über ein eigenes dediziertes Ethernet-Netzwerk für Out-of-Band-Verbindungen verfügen.
Möglicherweise gibt es in Ihrem Unternehmen noch andere Gruppen/Abteilungen, für die diese Faktoren ebenfalls wichtig sind.
Es gibt noch einen weiteren wichtigen Punkt – Telefonie. Möglicherweise möchten Sie aus irgendeinem Grund kein drahtloses VoIP verwenden und IP-Telefone mit einer normalen Ethernet-Verbindung verwenden.
Im Allgemeinen verfügten die Unternehmen, für die ich arbeitete, sowohl über WLAN-Konnektivität als auch über einen Ethernet-Anschluss.
Ich möchte, dass Mobilität nicht nur auf das Büro beschränkt bleibt.
Um die Möglichkeit zu gewährleisten, von zu Hause aus (oder an jedem anderen Ort mit verfügbarem Internet) zu arbeiten, wird eine VPN-Verbindung verwendet. Gleichzeitig ist es wünschenswert, dass die Mitarbeiter den Unterschied zwischen der Arbeit von zu Hause aus und der Remote-Arbeit, die den gleichen Zugang voraussetzt, nicht spüren. Wir werden etwas später im Kapitel „Einheitliches zentrales Authentifizierungs- und Autorisierungssystem“ besprechen, wie dies organisiert werden kann.
Hinweis:
Höchstwahrscheinlich werden Sie bei der Remote-Arbeit nicht die gleiche Servicequalität wie im Büro bieten können. Nehmen wir an, dass Sie als VPN-Gateway einen Cisco ASA 5520 verwenden Dieses Gerät ist in der Lage, nur 225 Mbit VPN-Verkehr zu „verdauen“. Das heißt natürlich, dass sich die Verbindung über VPN in Bezug auf die Bandbreite stark von der Arbeit im Büro unterscheidet. Auch wenn aus irgendeinem Grund Latenz, Verlust oder Jitter (z. B. wenn Sie Büro-IP-Telefonie nutzen möchten) für Ihre Netzwerkdienste erheblich sind, erhalten Sie auch nicht die gleiche Qualität, als wären Sie im Büro. Wenn wir über Mobilität sprechen, müssen wir uns daher möglicher Einschränkungen bewusst sein.
Einfacher Zugriff auf alle Unternehmensressourcen
Diese Aufgabe soll gemeinsam mit anderen Fachabteilungen gelöst werden.
Im Idealfall muss sich der Benutzer nur einmal authentifizieren und hat danach Zugriff auf alle notwendigen Ressourcen.
Durch die Bereitstellung eines einfachen Zugriffs ohne Einbußen bei der Sicherheit kann die Produktivität erheblich gesteigert und der Stress unter Ihren Kollegen verringert werden.
Anmerkung 1
Beim einfachen Zugriff kommt es nicht nur darauf an, wie oft Sie ein Passwort eingeben müssen. Wenn Sie beispielsweise gemäß Ihrer Sicherheitsrichtlinie für die Verbindung vom Büro zum Rechenzentrum zunächst eine Verbindung zum VPN-Gateway herstellen müssen und gleichzeitig den Zugriff auf Büroressourcen verlieren, ist dies ebenfalls sehr schlimm , sehr unpraktisch.
Anmerkung 2
Es gibt Dienste (z. B. Zugriff auf Netzwerkgeräte), bei denen wir normalerweise über eigene dedizierte AAA-Server verfügen. Dies ist die Norm, wenn wir uns in diesem Fall mehrmals authentifizieren müssen.
Verfügbarkeit von Internetressourcen
Das Internet ist nicht nur Unterhaltung, sondern auch eine Reihe von Diensten, die für die Arbeit sehr nützlich sein können. Es gibt auch rein psychologische Faktoren. Ein moderner Mensch ist über das Internet über viele virtuelle Fäden mit anderen Menschen verbunden, und meiner Meinung nach ist es nichts Falsches, wenn er diese Verbindung auch während der Arbeit weiterhin spürt.
Unter dem Gesichtspunkt der Zeitverschwendung ist nichts einzuwenden, wenn ein Mitarbeiter beispielsweise Skype läuft und bei Bedarf 5 Minuten damit verbringt, mit einem geliebten Menschen zu kommunizieren.
Bedeutet das, dass das Internet immer verfügbar sein sollte, bedeutet das, dass Mitarbeiter Zugriff auf alle Ressourcen haben und diese in keiner Weise kontrollieren können?
Nein, das heißt das natürlich nicht. Der Grad der Offenheit des Internets kann für verschiedene Unternehmen unterschiedlich sein – von völliger Schließung bis hin zu völliger Offenheit. Wir werden später in den Abschnitten über Sicherheitsmaßnahmen Möglichkeiten zur Verkehrskontrolle besprechen.
Möglichkeit, die gesamte Palette bekannter Geräte zu nutzen
Praktisch ist es, wenn Sie beispielsweise die Möglichkeit haben, weiterhin alle Kommunikationsmittel zu nutzen, die Sie von der Arbeit gewohnt sind. Die technische Umsetzung stellt keine Schwierigkeiten dar. Hierfür benötigen Sie WLAN und ein Gäste-WLAN.
Gut ist es auch, wenn man die Möglichkeit hat, das gewohnte Betriebssystem zu nutzen. Aber meiner Beobachtung nach ist dies normalerweise nur Managern, Administratoren und Entwicklern gestattet.
Beispiel
Sie können natürlich den Weg der Verbote gehen, den Fernzugriff verbieten, die Verbindung von mobilen Geräten verbieten, alles auf statische Ethernet-Verbindungen beschränken, den Zugang zum Internet beschränken, Mobiltelefone und Gadgets am Kontrollpunkt zwangsweise beschlagnahmen ... und diesen Weg wird tatsächlich von einigen Organisationen mit erhöhten Sicherheitsanforderungen befolgt, und vielleicht ist dies in manchen Fällen gerechtfertigt, aber... Sie müssen zustimmen, dass dies wie ein Versuch aussieht, den Fortschritt in einer einzelnen Organisation zu stoppen. Natürlich möchte ich die Möglichkeiten, die moderne Technologien bieten, mit einem ausreichenden Maß an Sicherheit verbinden.
„Schneller Betrieb“ des Netzwerks
Die Datenübertragungsgeschwindigkeit besteht technisch gesehen aus vielen Faktoren. Und die Geschwindigkeit Ihres Verbindungsports ist normalerweise nicht das Wichtigste. Der langsame Betrieb einer Anwendung ist nicht immer mit Netzwerkproblemen verbunden, aber im Moment interessiert uns nur der Netzwerkteil. Das häufigste Problem mit der „Verlangsamung“ des lokalen Netzwerks hängt mit Paketverlusten zusammen. Dies tritt normalerweise auf, wenn ein Engpass oder L1-(OSI-)Probleme vorliegen. In selteneren Fällen kann es bei einigen Designs zu Leistungsdefiziten bei der Hardware kommen (z. B. wenn Ihre Subnetze über eine Firewall als Standard-Gateway verfügen und somit der gesamte Datenverkehr über diese läuft).
Daher müssen Sie bei der Auswahl von Geräten und Architektur die Geschwindigkeiten von Endports, Trunks und Geräteleistung in Beziehung setzen.
Beispiel
Nehmen wir an, Sie verwenden Switches mit 1-Gigabit-Ports als Access-Layer-Switches. Sie sind über Etherchannel 2 x 10 Gigabit miteinander verbunden. Als Standard-Gateway nutzen Sie eine Firewall mit Gigabit-Ports, zur Anbindung an das L2-Büronetzwerk nutzen Sie 2 Gigabit-Ports zusammengefasst zu einem Etherchannel.
Diese Architektur ist aus funktionaler Sicht recht praktisch, weil... Der gesamte Datenverkehr geht durch die Firewall, und Sie können Zugriffsrichtlinien bequem verwalten und komplexe Algorithmen anwenden, um den Datenverkehr zu kontrollieren und mögliche Angriffe zu verhindern (siehe unten), aber aus Sicht des Durchsatzes und der Leistung birgt dieses Design natürlich potenzielle Probleme. So können beispielsweise 2 Hosts, die Daten herunterladen (mit einer Portgeschwindigkeit von 1 Gigabit), eine 2-Gigabit-Verbindung vollständig zur Firewall belasten und so zu einer Dienstverschlechterung für das gesamte Bürosegment führen.
Wir haben uns einen Eckpunkt des Dreiecks angesehen. Schauen wir uns nun an, wie wir die Sicherheit gewährleisten können.
Heilmittel
Normalerweise besteht unser Wunsch (oder vielmehr der Wunsch unseres Managements) darin, das Unmögliche zu erreichen, nämlich maximalen Komfort bei maximaler Sicherheit und minimalen Kosten zu bieten.
Schauen wir uns an, welche Methoden wir haben, um Schutz zu bieten.
Für das Büro würde ich Folgendes hervorheben:
- Zero-Trust-Ansatz beim Design
- hohes Schutzniveau
- Netzwerksichtbarkeit
- einheitliches zentrales Authentifizierungs- und Autorisierungssystem
- Host-Überprüfung
Als nächstes werden wir uns etwas detaillierter mit jedem dieser Aspekte befassen.
Zero Trust
Die IT-Welt verändert sich sehr schnell. Gerade in den letzten 10 Jahren hat das Aufkommen neuer Technologien und Produkte zu einer umfassenden Überarbeitung der Sicherheitskonzepte geführt. Vor zehn Jahren haben wir aus Sicherheitsgründen das Netzwerk in Trust-, DMZ- und Untrust-Zonen unterteilt und den sogenannten „Perimeterschutz“ verwendet, bei dem es zwei Verteidigungslinien gab: Untrust -> DMZ und DMZ -> Vertrauen. Außerdem war der Schutz normalerweise auf Zugriffslisten beschränkt, die auf L2/L3 (OSI)-Headern (IP, TCP/UDP-Ports, TCP-Flags) basierten. Alles, was mit höheren Ebenen, einschließlich L4, zu tun hat, wurde dem Betriebssystem und den auf den Endhosts installierten Sicherheitsprodukten überlassen.
Nun hat sich die Situation dramatisch verändert. Modernes Konzept kommt daher, dass es nicht mehr möglich ist, interne Systeme, also solche, die sich innerhalb des Perimeters befinden, als vertrauenswürdig zu betrachten, und dass das Konzept des Perimeters selbst verschwommen ist.
Zusätzlich zur Internetverbindung haben wir auch
- VPN-Benutzer mit Fernzugriff
- diverse persönliche Gadgets, mitgebrachte Laptops, verbunden über Büro-WLAN
- andere (Zweig-)Büros
- Integration mit der Cloud-Infrastruktur
Wie sieht der Zero-Trust-Ansatz in der Praxis aus?
Im Idealfall sollte nur der erforderliche Datenverkehr zugelassen werden, und im Idealfall sollte die Kontrolle nicht nur auf der L3/L4-Ebene, sondern auch auf der Anwendungsebene erfolgen.
Wenn Sie beispielsweise die Möglichkeit haben, den gesamten Datenverkehr durch eine Firewall zu leiten, können Sie versuchen, dem Ideal näher zu kommen. Dieser Ansatz kann jedoch die Gesamtbandbreite Ihres Netzwerks erheblich reduzieren und außerdem funktioniert die Filterung nach Anwendung nicht immer gut.
Bei der Steuerung des Datenverkehrs auf einem Router oder L3-Switch (mithilfe von Standard-ACLs) treten andere Probleme auf:
- Dies ist nur eine L3/L4-Filterung. Nichts hindert einen Angreifer daran, zulässige Ports (z. B. TCP 80) für seine Anwendung zu verwenden (nicht http).
- komplexe ACL-Verwaltung (schwer zu analysierende ACLs)
- Dies ist keine Statefull-Firewall, was bedeutet, dass Sie den umgekehrten Datenverkehr explizit zulassen müssen
- Bei Schaltern sind Sie normalerweise durch die Größe des TCAM ziemlich stark eingeschränkt, was schnell zu einem Problem werden kann, wenn Sie den Ansatz wählen, „nur das zuzulassen, was Sie brauchen“.
Hinweis:
Wenn wir über Rückwärtsverkehr sprechen, müssen wir bedenken, dass wir die folgende Möglichkeit haben (Cisco):
erlauben Sie TCP alle etablierten
Sie müssen jedoch verstehen, dass diese Zeile zwei Zeilen entspricht:
Erlaube TCP jede beliebige Bestätigung
Erlaube TCP jedes beliebige ersteDies bedeutet, dass diese ACL selbst dann ein Paket mit dem ACK-Flag zulässt, wenn es kein anfängliches TCP-Segment mit dem SYN-Flag gab (d. h. die TCP-Sitzung wurde noch nicht einmal aufgebaut), das ein Angreifer zum Übertragen von Daten verwenden kann.
Das heißt, diese Leitung verwandelt Ihren Router oder L3-Switch in keiner Weise in eine Statefull-Firewall.
Hohes Schutzniveau
В Im Abschnitt über Rechenzentren haben wir die folgenden Schutzmethoden betrachtet.
- Stateful Firewalling (Standard)
- DDoS/DoS-Schutz
- Anwendungs-Firewalling
- Bedrohungsprävention (Antivirus, Anti-Spyware und Schwachstellen)
- URL-Filterung
- Datenfilterung (Inhaltsfilterung)
- Dateiblockierung (Blockierung von Dateitypen)
Im Falle eines Büros ist die Situation ähnlich, die Prioritäten sind jedoch etwas anders. Die Büroverfügbarkeit (Verfügbarkeit) ist in der Regel nicht so kritisch wie im Fall eines Rechenzentrums, während die Wahrscheinlichkeit von „internem“ böswilligem Datenverkehr um Größenordnungen höher ist.
Daher sind die folgenden Schutzmethoden für dieses Segment von entscheidender Bedeutung:
- Anwendungs-Firewalling
- Bedrohungsprävention (Antivirus, Anti-Spyware und Schwachstellen)
- URL-Filterung
- Datenfilterung (Inhaltsfilterung)
- Dateiblockierung (Blockierung von Dateitypen)
Obwohl alle diese Schutzmethoden, mit Ausnahme der Anwendungs-Firewall, traditionell auf den End-Hosts (z. B. durch die Installation von Antivirenprogrammen) und mithilfe von Proxys gelöst wurden und werden, stellen moderne NGFWs diese Dienste ebenfalls bereit.
Anbieter von Sicherheitsausrüstung sind bestrebt, einen umfassenden Schutz zu schaffen. Daher bieten sie neben dem lokalen Schutz auch verschiedene Cloud-Technologien und Client-Software für Hosts (Endpunktschutz/EPP) an. Also zum Beispiel von Wir sehen, dass Palo Alto und Cisco ihre eigenen EPPs haben (PA: Traps, Cisco: AMP), aber weit von den Spitzenreitern entfernt sind.
Die Aktivierung dieser Schutzmaßnahmen (normalerweise durch den Kauf von Lizenzen) auf Ihrer Firewall ist natürlich nicht zwingend erforderlich (Sie können auch den herkömmlichen Weg wählen), bietet aber einige Vorteile:
- In diesem Fall gibt es einen einzigen Anwendungspunkt der Schutzmethoden, was die Sichtbarkeit verbessert (siehe nächstes Thema).
- Wenn sich in Ihrem Netzwerk ein ungeschütztes Gerät befindet, fällt es dennoch unter den „Dachschirm“ des Firewall-Schutzes
- Durch den Einsatz von Firewall-Schutz in Verbindung mit End-Host-Schutz erhöhen wir die Wahrscheinlichkeit, bösartigen Datenverkehr zu erkennen. Beispielsweise erhöht der Einsatz von Threat Prevention auf lokalen Hosts und auf einer Firewall die Erkennungswahrscheinlichkeit (vorausgesetzt natürlich, dass diese Lösungen auf unterschiedlichen Softwareprodukten basieren).
Hinweis:
Wenn Sie beispielsweise Kaspersky als Antivirenprogramm sowohl auf der Firewall als auch auf den Endhosts verwenden, erhöht dies Ihre Chancen, einen Virenangriff auf Ihr Netzwerk zu verhindern, natürlich nicht wesentlich.
Netzwerksichtbarkeit
ist ganz einfach: „Sehen“ Sie, was in Ihrem Netzwerk passiert, sowohl in Echtzeit als auch anhand historischer Daten.
Ich würde diese „Vision“ in zwei Gruppen einteilen:
Gruppe eins: was Ihr Überwachungssystem Ihnen normalerweise zur Verfügung stellt.
- Laden der Ausrüstung
- Ladekanäle
- Speichernutzung
- Festplattennutzung
- Ändern der Routing-Tabelle
- Linkstatus
- Verfügbarkeit von Geräten (oder Hosts)
- ...
Gruppe zwei: sicherheitsrelevante Informationen.
- verschiedene Arten von Statistiken (z. B. nach Anwendung, nach URL-Verkehr, welche Arten von Daten heruntergeladen wurden, Benutzerdaten)
- was durch Sicherheitsrichtlinien blockiert wurde und aus welchem Grund, nämlich
- verbotene Anwendung
- verboten basierend auf IP/Protokoll/Port/Flags/Zonen
- Bedrohungsprävention
- URL-Filterung
- Datenfilterung
- Dateiblockierung
- ...
- Statistiken zu DOS/DDOS-Angriffen
- fehlgeschlagene Identifikations- und Autorisierungsversuche
- Statistiken für alle oben genannten Sicherheitsrichtlinienverstöße
- ...
In diesem Kapitel zum Thema Sicherheit interessiert uns der zweite Teil.
Einige moderne Firewalls (aus meiner Erfahrung in Palo Alto) bieten ein gutes Maß an Sichtbarkeit. Aber natürlich muss der Datenverkehr, an dem Sie interessiert sind, diese Firewall passieren (in diesem Fall haben Sie die Möglichkeit, den Datenverkehr zu blockieren) oder auf der Firewall gespiegelt werden (wird nur zur Überwachung und Analyse verwendet), und Sie müssen über Lizenzen verfügen, um alles zu ermöglichen diese Dienste.
Es gibt natürlich auch einen alternativen Weg, oder besser gesagt den traditionellen Weg, zum Beispiel:
- Sitzungsstatistiken können über Netflow gesammelt und dann mit speziellen Dienstprogrammen zur Informationsanalyse und Datenvisualisierung verwendet werden
- Bedrohungsprävention – spezielle Programme (Antivirus, Anti-Spyware, Firewall) auf End-Hosts
- URL-Filterung, Datenfilterung, Dateiblockierung – auf Proxy
- es ist auch möglich, tcpdump z.B. zu analysieren.
Sie können diese beiden Ansätze kombinieren, indem Sie fehlende Funktionen ergänzen oder duplizieren, um die Wahrscheinlichkeit der Erkennung eines Angriffs zu erhöhen.
Welchen Ansatz sollten Sie wählen?
Hängt stark von den Qualifikationen und Vorlieben Ihres Teams ab.
Sowohl dort als auch da gibt es Vor- und Nachteile.
Einheitliches zentrales Authentifizierungs- und Autorisierungssystem
Wenn die Mobilität, die wir in diesem Artikel besprochen haben, gut konzipiert ist, wird davon ausgegangen, dass Sie den gleichen Zugang haben, unabhängig davon, ob Sie im Büro oder zu Hause, am Flughafen, in einem Café oder anderswo arbeiten (mit den oben besprochenen Einschränkungen). Es scheint, was ist das Problem?
Um die Komplexität dieser Aufgabe besser zu verstehen, schauen wir uns ein typisches Design an.
Beispiel
- Sie haben alle Mitarbeiter in Gruppen eingeteilt. Sie haben sich entschieden, den Zugriff für Gruppen bereitzustellen
- Innerhalb des Büros kontrollieren Sie den Zugriff über die Büro-Firewall
- Den Datenverkehr vom Büro zum Rechenzentrum steuern Sie über die Rechenzentrums-Firewall
- Sie verwenden eine Cisco ASA als VPN-Gateway und zur Steuerung des Datenverkehrs, der von Remote-Clients in Ihr Netzwerk gelangt, verwenden Sie lokale (auf der ASA) ACLs
Angenommen, Sie werden gebeten, einem bestimmten Mitarbeiter zusätzlichen Zugriff hinzuzufügen. In diesem Fall werden Sie gebeten, nur ihm und keinem anderen Mitglied seiner Gruppe Zugriff zu gewähren.
Dazu müssen wir für diesen Mitarbeiter eine eigene Gruppe anlegen
- Erstellen Sie für diesen Mitarbeiter einen separaten IP-Pool auf der ASA
- Fügen Sie der ASA eine neue ACL hinzu und binden Sie sie an diesen Remote-Client
- Erstellen Sie neue Sicherheitsrichtlinien für Büro- und Rechenzentrums-Firewalls
Es ist gut, wenn dieses Ereignis selten ist. Aber in meiner Praxis gab es eine Situation, in der Mitarbeiter an verschiedenen Projekten beteiligt waren, und diese Projektgruppe wechselte bei einigen von ihnen ziemlich oft, und es waren nicht 1-2 Personen, sondern Dutzende. Natürlich musste hier etwas geändert werden.
Dies wurde auf folgende Weise gelöst.
Wir entschieden, dass LDAP die einzige Quelle der Wahrheit sein würde, die alle möglichen Mitarbeiterzugriffe bestimmt. Wir haben alle Arten von Gruppen erstellt, die Zugriffssätze definieren, und wir haben jeden Benutzer einer oder mehreren Gruppen zugewiesen.
Angenommen, es gäbe Gruppen
- Gast (Internetzugang)
- gemeinsamer Zugriff (Zugriff auf gemeinsame Ressourcen: E-Mail, Wissensdatenbank, ...)
- Buchhaltung
- Projekt 1
- Projekt 2
- Datenbankadministrator
- Linux-Administrator
- ...
Und wenn einer der Mitarbeiter sowohl an Projekt 1 als auch an Projekt 2 beteiligt war und für die Arbeit in diesen Projekten die erforderlichen Zugriffsrechte benötigte, wurde dieser Mitarbeiter den folgenden Gruppen zugeordnet:
- Gast
- gemeinsamer Zugang
- Projekt 1
- Projekt 2
Wie können wir diese Informationen nun in Zugriff auf Netzwerkgeräte umwandeln?
Cisco ASA Dynamic Access Policy (DAP) (siehe ) Lösung ist für diese Aufgabe genau richtig.
Kurz zu unserer Implementierung: Während des Identifizierungs-/Autorisierungsprozesses empfängt ASA von LDAP eine Reihe von Gruppen, die einem bestimmten Benutzer entsprechen, und „sammelt“ aus mehreren lokalen ACLs (von denen jede einer Gruppe entspricht) eine dynamische ACL mit allen erforderlichen Zugriffen , was unseren Wünschen voll und ganz entspricht.
Dies gilt jedoch nur für VPN-Verbindungen. Um die Situation sowohl für die per VPN verbundenen Mitarbeiter als auch für die im Büro gleichzustellen, wurde folgender Schritt unternommen.
Bei der Verbindung vom Büro aus landeten Benutzer, die das 802.1x-Protokoll verwendeten, entweder in einem Gast-LAN (für Gäste) oder einem gemeinsam genutzten LAN (für Firmenmitarbeiter). Um einen bestimmten Zugriff zu erhalten (z. B. auf Projekte in einem Rechenzentrum), mussten sich Mitarbeiter außerdem über VPN verbinden.
Für die Verbindung vom Büro und von zu Hause aus wurden auf der ASA unterschiedliche Tunnelgruppen genutzt. Dies ist notwendig, damit für diejenigen, die vom Büro aus eine Verbindung herstellen, der Datenverkehr zu gemeinsam genutzten Ressourcen (die von allen Mitarbeitern genutzt werden, wie z. B. E-Mail, Dateiserver, Ticketsystem, DNS usw.) nicht über die ASA, sondern über das lokale Netzwerk läuft . Daher haben wir die ASA nicht mit unnötigem Datenverkehr, einschließlich hochintensivem Datenverkehr, belastet.
Damit war das Problem gelöst.
Wir bekamen
- die gleichen Zugriffsrechte sowohl für Verbindungen aus dem Büro als auch für Remote-Verbindungen
- Fehlen einer Servicebeeinträchtigung bei der Arbeit vom Büro aus, die mit der Übertragung von hochintensivem Datenverkehr über ASA verbunden ist
Welche weiteren Vorteile bietet dieser Ansatz?
In der Zugangsverwaltung. Zugänge können einfach an einer Stelle geändert werden.
Wenn beispielsweise ein Mitarbeiter das Unternehmen verlässt, entfernen Sie ihn einfach aus LDAP und er verliert automatisch jeglichen Zugriff.
Host-Überprüfung
Mit der Möglichkeit einer Remote-Verbindung laufen wir Gefahr, nicht nur einem Mitarbeiter des Unternehmens Zugang zum Netzwerk zu verschaffen, sondern auch der gesamten Schadsoftware, die höchstwahrscheinlich auf seinem Computer (z. B. zu Hause) vorhanden ist, und darüber hinaus über diese Software wir Möglicherweise verschafft er einem Angreifer Zugriff auf unser Netzwerk, indem er diesen Host als Proxy verwendet.
Für einen remote verbundenen Host ist es sinnvoll, die gleichen Sicherheitsanforderungen anzuwenden wie für einen In-Office-Host.
Dies setzt auch die „richtige“ Version des Betriebssystems, der Antiviren-, Anti-Spyware- und Firewall-Software und -Updates voraus. Typischerweise ist diese Funktion auf dem VPN-Gateway vorhanden (für ASA siehe z. B. ).
Es ist außerdem ratsam, dieselben Techniken zur Verkehrsanalyse und -blockierung (siehe „Hohes Schutzniveau“) anzuwenden, die Ihre Sicherheitsrichtlinie für den Büroverkehr anwendet.
Man kann davon ausgehen, dass Ihr Büronetzwerk nicht mehr auf das Bürogebäude und die darin befindlichen Hosts beschränkt ist.
Beispiel
Eine gute Technik besteht darin, jedem Mitarbeiter, der Fernzugriff benötigt, einen guten, praktischen Laptop zur Verfügung zu stellen und ihn zu verpflichten, sowohl im Büro als auch von zu Hause aus nur von diesem aus zu arbeiten.
Es verbessert nicht nur die Sicherheit Ihres Netzwerks, sondern ist auch sehr praktisch und wird von den Mitarbeitern meist positiv bewertet (sofern es sich um einen wirklich guten, benutzerfreundlichen Laptop handelt).
Über Augenmaß und Gleichgewicht
Im Grunde handelt es sich hier um ein Gespräch über den dritten Eckpunkt unseres Dreiecks – den Preis.
Schauen wir uns ein hypothetisches Beispiel an.
Beispiel
Sie haben ein Büro für 200 Personen. Sie haben beschlossen, es so bequem und sicher wie möglich zu machen.
Aus diesem Grund haben Sie beschlossen, den gesamten Datenverkehr durch die Firewall zu leiten, und daher ist die Firewall für alle Büro-Subnetze das Standard-Gateway. Zusätzlich zu der auf jedem Endhost installierten Sicherheitssoftware (Antiviren-, Anti-Spyware- und Firewall-Software) haben Sie sich auch dafür entschieden, alle möglichen Schutzmethoden auf die Firewall anzuwenden.
Um eine hohe Verbindungsgeschwindigkeit zu gewährleisten (alles aus Bequemlichkeitsgründen), haben Sie sich für Switches mit 10-Gigabit-Zugangsports als Zugangsschalter und leistungsstarke NGFW-Firewalls als Firewalls entschieden, zum Beispiel die Palo Alto 7K-Serie (mit 40-Gigabit-Ports), natürlich mit allen Lizenzen enthalten und natürlich ein Hochverfügbarkeitspaar.
Außerdem benötigen wir für die Arbeit mit dieser Gerätereihe natürlich mindestens ein paar hochqualifizierte Sicherheitsingenieure.
Als nächstes haben Sie beschlossen, jedem Mitarbeiter einen guten Laptop zu geben.
Insgesamt etwa 10 Millionen Dollar für die Implementierung, Hunderttausende Dollar (ich glaube eher eine Million) für den jährlichen Support und die Gehälter der Ingenieure.
Büro, 200 Leute...
Komfortabel? Ich denke, es ist ja.Sie kommen mit diesem Vorschlag zu Ihrer Geschäftsführung...
Vielleicht gibt es eine Reihe von Unternehmen auf der Welt, für die dies eine akzeptable und richtige Lösung ist. Wenn Sie Mitarbeiter dieses Unternehmens sind, gratuliere ich Ihnen, aber in den allermeisten Fällen bin ich mir sicher, dass Ihr Wissen vom Management nicht geschätzt wird.
Ist dieses Beispiel übertrieben? Das nächste Kapitel wird diese Frage beantworten.
Wenn Sie in Ihrem Netzwerk nichts davon sehen, ist dies die Norm.
Für jeden Einzelfall müssen Sie Ihren eigenen sinnvollen Kompromiss zwischen Komfort, Preis und Sicherheit finden. Oft benötigen Sie in Ihrem Büro nicht einmal NGFW und ein L7-Schutz auf der Firewall ist nicht erforderlich. Es reicht aus, ein gutes Maß an Sichtbarkeit und Warnmeldungen bereitzustellen, und dies kann beispielsweise mithilfe von Open-Source-Produkten erfolgen. Ja, Ihre Reaktion auf einen Angriff wird nicht sofort erfolgen, aber das Wichtigste ist, dass Sie ihn sehen und mit den richtigen Prozessen in Ihrer Abteilung in der Lage sind, ihn schnell zu neutralisieren.
Und ich möchte Sie daran erinnern, dass Sie gemäß dem Konzept dieser Artikelserie kein Netzwerk entwerfen, sondern nur versuchen, das zu verbessern, was Sie haben.
SICHERE Analyse der Büroarchitektur
Achten Sie auf dieses rote Quadrat, mit dem ich einen Platz im Diagramm zugewiesen habe worüber ich hier gerne sprechen möchte.
Dies ist einer der Schlüsselorte der Architektur und eine der größten Unsicherheiten.
Hinweis:
Ich habe FirePower (aus der Firewall-Reihe von Cisco – nur ASA) noch nie eingerichtet oder damit gearbeitet, daher werde ich es wie jede andere Firewall wie Juniper SRX oder Palo Alto behandeln, vorausgesetzt, es verfügt über die gleichen Fähigkeiten.
Von den üblichen Ausführungen sehe ich bei dieser Verbindung nur 4 mögliche Möglichkeiten, eine Firewall zu nutzen:
- Das Standard-Gateway für jedes Subnetz ist ein Switch, während sich die Firewall im transparenten Modus befindet (d. h. der gesamte Datenverkehr wird durch ihn geleitet, es wird jedoch kein L3-Hop gebildet).
- Das Standard-Gateway für jedes Subnetz sind die Firewall-Subschnittstellen (oder SVI-Schnittstellen), der Switch spielt die Rolle von L2
- Auf dem Switch werden verschiedene VRFs verwendet und der Datenverkehr zwischen VRFs durchläuft die Firewall. Der Datenverkehr innerhalb eines VRF wird von der ACL auf dem Switch gesteuert
- Der gesamte Datenverkehr wird zur Analyse und Überwachung an die Firewall gespiegelt; der Datenverkehr passiert diese nicht
Anmerkung 1
Kombinationen dieser Optionen sind möglich, werden aber der Einfachheit halber nicht berücksichtigt.
Anmerkung 2
Es besteht auch die Möglichkeit, PBR (Service-Chain-Architektur) zu verwenden, aber im Moment ist dies meiner Meinung nach zwar eine schöne Lösung, aber eher exotisch, weshalb ich hier nicht darüber nachdenke.
Aus der Beschreibung der Abläufe im Dokument sehen wir, dass der Datenverkehr weiterhin durch die Firewall geht, d. h. gemäß dem Cisco-Design entfällt die vierte Option.
Schauen wir uns zunächst die ersten beiden Optionen an.
Bei diesen Optionen wird der gesamte Datenverkehr durch die Firewall geleitet.
Jetzt schauen wir schau und wir sehen, dass wir die 10K-Version kaufen müssen, wenn wir eine Gesamtbandbreite für unser Büro von mindestens etwa 20 bis 4 Gigabit haben wollen.
Hinweis:
Wenn ich von der Gesamtbandbreite spreche, meine ich den Verkehr zwischen Subnetzen (und nicht innerhalb einer Vilana).
Aus der GPL sehen wir, dass der Preis für das HA-Bundle mit Threat Defense je nach Modell (4110 – 4150) zwischen ca. 0,5 und 2,5 Millionen Dollar variiert.
Das heißt, unser Design beginnt dem vorherigen Beispiel zu ähneln.
Bedeutet das, dass dieses Design falsch ist?
Nein, das bedeutet nicht. Cisco bietet Ihnen basierend auf der Produktlinie den bestmöglichen Schutz. Das heißt aber nicht, dass es ein Muss für Sie ist.
Grundsätzlich handelt es sich hierbei um eine häufig gestellte Frage bei der Gestaltung eines Büros oder Rechenzentrums und bedeutet lediglich, dass nach einem Kompromiss gesucht werden muss.
Lassen Sie zum Beispiel nicht den gesamten Datenverkehr durch eine Firewall laufen. In diesem Fall scheint mir Option 3 ziemlich gut zu sein, oder (siehe vorheriger Abschnitt) vielleicht brauchen Sie keine Bedrohungsabwehr oder brauchen dafür überhaupt keine Firewall Netzwerksegment, und Sie müssen sich nur auf die passive Überwachung mit kostenpflichtigen (nicht teuren) oder Open-Source-Lösungen beschränken, oder Sie benötigen eine Firewall, aber von einem anderen Anbieter.
Normalerweise besteht immer diese Unsicherheit und es gibt keine klare Antwort, welche Entscheidung für Sie die beste ist.
Darin liegt die Komplexität und Schönheit dieser Aufgabe.
Source: habr.com