🥇Πώς να πάρετε τον έλεγχο της υποδομής του δικτύου σας. Κεφάλαιο τρίτο. Ασφάλεια δικτύου. Μέρος τρίτο

Αυτό το άρθρο είναι το πέμπτο της σειράς «Πώς να πάρετε τον έλεγχο της υποδομής δικτύου σας». Μπορείτε να βρείτε τα περιεχόμενα όλων των άρθρων της σειράς και τους συνδέσμους εδώ.

Αυτό το μέρος θα αφιερωθεί στα τμήματα Campus (Γραφείο) & VPN απομακρυσμένης πρόσβασης.

Ο σχεδιασμός δικτύου γραφείου μπορεί να φαίνεται εύκολος.

Πράγματι, παίρνουμε διακόπτες L2/L3 και τους συνδέουμε μεταξύ τους. Στη συνέχεια, πραγματοποιούμε μια βασική ρύθμιση των vilans και προεπιλεγμένων πυλών, ρυθμίζουμε απλή δρομολόγηση, συνδέουμε ελεγκτές WiFi, σημεία πρόσβασης, εγκαθιστούμε και διαμορφώνουμε το ASA για απομακρυσμένη πρόσβαση, χαιρόμαστε που όλα λειτούργησαν. Βασικά, όπως έγραψα ήδη σε ένα από τα προηγούμενα άρθρα αυτού του κύκλου, σχεδόν κάθε φοιτητής που έχει παρακολουθήσει (και έχει μάθει) δύο εξάμηνα ενός μαθήματος τηλεπικοινωνιών μπορεί να σχεδιάσει και να διαμορφώσει ένα δίκτυο γραφείου έτσι ώστε «κάπως να λειτουργεί».

Αλλά όσο περισσότερα μαθαίνετε, τόσο λιγότερο απλή αυτή η εργασία αρχίζει να φαίνεται. Για μένα προσωπικά, αυτό το θέμα, το θέμα του σχεδιασμού δικτύου γραφείου, δεν φαίνεται καθόλου απλό και σε αυτό το άρθρο θα προσπαθήσω να εξηγήσω γιατί.

Εν ολίγοις, υπάρχουν αρκετοί παράγοντες που πρέπει να ληφθούν υπόψη. Συχνά αυτοί οι παράγοντες έρχονται σε σύγκρουση μεταξύ τους και πρέπει να αναζητηθεί ένας εύλογος συμβιβασμός.
Αυτή η αβεβαιότητα είναι η κύρια δυσκολία. Έτσι, μιλώντας για την ασφάλεια, έχουμε ένα τρίγωνο με τρεις κορυφές: ασφάλεια, ευκολία για τους εργαζόμενους, τιμή λύσης.
Και κάθε φορά πρέπει να αναζητάς έναν συμβιβασμό μεταξύ αυτών των τριών.

Αρχιτεκτονική

Ως παράδειγμα αρχιτεκτονικής για αυτά τα δύο τμήματα, όπως και σε προηγούμενα άρθρα, προτείνω Cisco SAFE μοντέλο: Enterprise Campus, Enterprise Internet Edge.

Αυτά είναι κάπως ξεπερασμένα έγγραφα. Τα παρουσιάζω εδώ γιατί τα θεμελιώδη σχήματα και η προσέγγιση δεν έχουν αλλάξει, αλλά ταυτόχρονα μου αρέσει η παρουσίαση περισσότερο από ό,τι στο νέα τεκμηρίωση.

Χωρίς να σας ενθαρρύνω να χρησιμοποιήσετε λύσεις Cisco, εξακολουθώ να πιστεύω ότι είναι χρήσιμο να μελετήσετε προσεκτικά αυτό το σχέδιο.

Αυτό το άρθρο, ως συνήθως, δεν προσποιείται σε καμία περίπτωση ότι είναι πλήρες, αλλά είναι μάλλον μια προσθήκη σε αυτές τις πληροφορίες.

Στο τέλος του άρθρου, θα αναλύσουμε τη σχεδίαση γραφείου Cisco SAFE όσον αφορά τις έννοιες που περιγράφονται εδώ.

Γενικές αρχές

Ο σχεδιασμός του δικτύου γραφείων πρέπει φυσικά να ικανοποιεί τις γενικές απαιτήσεις που έχουν συζητηθεί εδώ στο κεφάλαιο «Κριτήρια για την αξιολόγηση της ποιότητας σχεδιασμού». Εκτός από την τιμή και την ασφάλεια, που σκοπεύουμε να συζητήσουμε σε αυτό το άρθρο, υπάρχουν ακόμη τρία κριτήρια που πρέπει να λάβουμε υπόψη κατά το σχεδιασμό (ή την πραγματοποίηση αλλαγών):

επεκτασιμότητα
ευκολία χρήσης (διαχειρισιμότητα)
διαθεσιμότητα

Πολλά από αυτά που συζητήθηκαν κέντρα δεδομένων Αυτό ισχύει και για το γραφείο.

Ωστόσο, το τμήμα γραφείου έχει τις δικές του ιδιαιτερότητες, οι οποίες είναι κρίσιμες από την άποψη της ασφάλειας. Η ουσία αυτής της ιδιαιτερότητας είναι ότι αυτό το τμήμα δημιουργείται για να παρέχει υπηρεσίες δικτύου σε υπαλλήλους (καθώς και συνεργάτες και επισκέπτες) της εταιρείας και, ως εκ τούτου, στο υψηλότερο επίπεδο εξέτασης του προβλήματος έχουμε δύο καθήκοντα:

προστασία των πόρων της εταιρείας από κακόβουλες ενέργειες που μπορεί να προέρχονται από υπαλλήλους (επισκέπτες, συνεργάτες) και από το λογισμικό που χρησιμοποιούν. Αυτό περιλαμβάνει επίσης προστασία από μη εξουσιοδοτημένη σύνδεση στο δίκτυο.
προστασία συστημάτων και δεδομένων χρηστών

Και αυτή είναι μόνο η μία πλευρά του προβλήματος (ή μάλλον, η μία κορυφή του τριγώνου). Από την άλλη πλευρά είναι η ευκολία του χρήστη και η τιμή των λύσεων που χρησιμοποιούνται.

Ας ξεκινήσουμε εξετάζοντας τι περιμένει ένας χρήστης από ένα σύγχρονο δίκτυο γραφείων.

Ανέσεις

Δείτε πώς μοιάζουν οι "παροχές δικτύου" για έναν χρήστη γραφείου κατά τη γνώμη μου:

Κινητικότητα
Δυνατότητα χρήσης πλήρους φάσματος γνωστών συσκευών και λειτουργικών συστημάτων
Εύκολη πρόσβαση σε όλους τους απαραίτητους πόρους της εταιρείας
Διαθεσιμότητα πόρων Διαδικτύου, συμπεριλαμβανομένων διαφόρων υπηρεσιών cloud
«Γρήγορη λειτουργία» του δικτύου

Όλα αυτά ισχύουν τόσο για τους εργαζόμενους όσο και για τους επισκέπτες (ή τους συνεργάτες) και είναι καθήκον των μηχανικών της εταιρείας να διαφοροποιήσουν την πρόσβαση για διαφορετικές ομάδες χρηστών βάσει εξουσιοδότησης.

Ας δούμε καθεμία από αυτές τις πτυχές με λίγο περισσότερες λεπτομέρειες.

Κινητικότητα

Μιλάμε για την ευκαιρία να εργαστείτε και να χρησιμοποιήσετε όλους τους απαραίτητους πόρους της εταιρείας από οπουδήποτε στον κόσμο (φυσικά, όπου είναι διαθέσιμο το Διαδίκτυο).

Αυτό ισχύει πλήρως για το γραφείο. Αυτό είναι βολικό όταν έχετε την ευκαιρία να συνεχίσετε να εργάζεστε από οπουδήποτε στο γραφείο, για παράδειγμα, να λαμβάνετε αλληλογραφία, να επικοινωνείτε σε εταιρικό messenger, να είστε διαθέσιμοι για βιντεοκλήση, ... Έτσι, αυτό σας επιτρέπει, από τη μία πλευρά, για να επιλύσετε ορισμένα ζητήματα «ζωντανής» επικοινωνίας (για παράδειγμα, συμμετοχή σε ράλι) και από την άλλη, να είστε πάντα συνδεδεμένοι, να κρατάτε το δάχτυλό σας στον παλμό και να επιλύετε γρήγορα ορισμένες επείγουσες εργασίες υψηλής προτεραιότητας. Αυτό είναι πολύ βολικό και βελτιώνει πραγματικά την ποιότητα των επικοινωνιών.

Αυτό επιτυγχάνεται με τη σωστή σχεδίαση δικτύου WiFi.

Σημείωση:

Εδώ τίθεται συνήθως το ερώτημα: αρκεί η χρήση μόνο WiFi; Αυτό σημαίνει ότι μπορείτε να σταματήσετε να χρησιμοποιείτε τις θύρες Ethernet στο γραφείο; Εάν μιλάμε μόνο για χρήστες και όχι για διακομιστές, οι οποίοι είναι ακόμα λογικό να συνδέονται με μια κανονική θύρα Ethernet, τότε γενικά η απάντηση είναι: ναι, μπορείτε να περιοριστείτε μόνο στο WiFi. Υπάρχουν όμως αποχρώσεις.

Υπάρχουν σημαντικές ομάδες χρηστών που απαιτούν ξεχωριστή προσέγγιση. Αυτοί είναι φυσικά διαχειριστές. Κατ 'αρχήν, μια σύνδεση WiFi είναι λιγότερο αξιόπιστη (από την άποψη της απώλειας κίνησης) και πιο αργή από μια κανονική θύρα Ethernet. Αυτό μπορεί να είναι σημαντικό για τους διαχειριστές. Επιπλέον, οι διαχειριστές δικτύου, για παράδειγμα, μπορούν, καταρχήν, να έχουν το δικό τους αποκλειστικό δίκτυο Ethernet για συνδέσεις εκτός ζώνης.

Μπορεί να υπάρχουν άλλες ομάδες/τμήματα στην εταιρεία σας για τις οποίες αυτοί οι παράγοντες είναι επίσης σημαντικοί.

Υπάρχει ένα άλλο σημαντικό σημείο - η τηλεφωνία. Ίσως για κάποιο λόγο δεν θέλετε να χρησιμοποιήσετε ασύρματο VoIP και θέλετε να χρησιμοποιήσετε τηλέφωνα IP με κανονική σύνδεση Ethernet.

Γενικά, οι εταιρείες που δούλευα είχαν συνήθως και συνδεσιμότητα WiFi και θύρα Ethernet.

Θα ήθελα η κινητικότητα να μην περιορίζεται μόνο στο γραφείο.

Για να εξασφαλιστεί η δυνατότητα εργασίας από το σπίτι (ή οποιοδήποτε άλλο μέρος με προσβάσιμο Διαδίκτυο), χρησιμοποιείται μια σύνδεση VPN. Ταυτόχρονα, είναι επιθυμητό οι εργαζόμενοι να μην αισθάνονται τη διαφορά μεταξύ της εργασίας από το σπίτι και της εξ αποστάσεως εργασίας, η οποία προϋποθέτει την ίδια πρόσβαση. Θα συζητήσουμε πώς να το οργανώσουμε λίγο αργότερα στο κεφάλαιο «Ενοποιημένο κεντρικό σύστημα ελέγχου ταυτότητας και εξουσιοδότησης».

Σημείωση:

Πιθανότατα, δεν θα μπορείτε να παρέχετε πλήρως την ίδια ποιότητα υπηρεσιών για απομακρυσμένη εργασία που έχετε στο γραφείο. Ας υποθέσουμε ότι χρησιμοποιείτε μια Cisco ASA 5520 ως πύλη VPN. Σύμφωνα με φύλλο δεδομένων αυτή η συσκευή είναι σε θέση να «χωνέψει» μόνο 225 Mbit κίνησης VPN. Αυτό είναι, φυσικά, όσον αφορά το εύρος ζώνης, η σύνδεση μέσω VPN είναι πολύ διαφορετική από την εργασία από το γραφείο. Επίσης, εάν, για κάποιο λόγο, η καθυστέρηση, η απώλεια, το jitter (για παράδειγμα, θέλετε να χρησιμοποιήσετε την τηλεφωνία IP γραφείου) για τις υπηρεσίες δικτύου σας είναι σημαντικές, δεν θα λάβετε επίσης την ίδια ποιότητα όπως αν ήσασταν στο γραφείο. Επομένως, όταν μιλάμε για κινητικότητα, πρέπει να έχουμε επίγνωση των πιθανών περιορισμών.

Εύκολη πρόσβαση σε όλους τους πόρους της εταιρείας

Αυτό το έργο θα πρέπει να επιλυθεί από κοινού με άλλα τεχνικά τμήματα.
Η ιδανική κατάσταση είναι όταν ο χρήστης χρειάζεται να πραγματοποιήσει έλεγχο ταυτότητας μόνο μία φορά και μετά έχει πρόσβαση σε όλους τους απαραίτητους πόρους.
Η παροχή εύκολης πρόσβασης χωρίς να θυσιάζει την ασφάλεια μπορεί να βελτιώσει σημαντικά την παραγωγικότητα και να μειώσει το άγχος μεταξύ των συναδέλφων σας.

Σημείωση 1

Η ευκολία πρόσβασης δεν αφορά μόνο το πόσες φορές πρέπει να εισάγετε έναν κωδικό πρόσβασης. Εάν, για παράδειγμα, σύμφωνα με την πολιτική ασφαλείας σας, για να συνδεθείτε από το γραφείο στο κέντρο δεδομένων, πρέπει πρώτα να συνδεθείτε στην πύλη VPN και ταυτόχρονα να χάσετε την πρόσβαση στους πόρους του γραφείου, τότε αυτό είναι επίσης πολύ , πολύ άβολο.

Σημείωση 2

Υπάρχουν υπηρεσίες (για παράδειγμα, πρόσβαση σε εξοπλισμό δικτύου) όπου συνήθως έχουμε τους δικούς μας αποκλειστικούς διακομιστές AAA και αυτός είναι ο κανόνας όταν σε αυτήν την περίπτωση πρέπει να ελέγξουμε την ταυτότητα πολλές φορές.

Διαθεσιμότητα πόρων Διαδικτύου

Το Διαδίκτυο δεν είναι μόνο ψυχαγωγία, αλλά και ένα σύνολο υπηρεσιών που μπορεί να είναι πολύ χρήσιμες για την εργασία. Υπάρχουν και καθαρά ψυχολογικοί παράγοντες. Ένας σύγχρονος άνθρωπος συνδέεται με άλλους ανθρώπους μέσω του Διαδικτύου μέσω πολλών εικονικών νημάτων και, κατά τη γνώμη μου, δεν υπάρχει τίποτα κακό αν συνεχίζει να αισθάνεται αυτή τη σύνδεση ακόμη και ενώ εργάζεται.

Από την άποψη της σπατάλης χρόνου, δεν υπάρχει τίποτα κακό αν ένας υπάλληλος, για παράδειγμα, έχει το Skype σε λειτουργία και αφιερώνει 5 λεπτά για να επικοινωνήσει με ένα αγαπημένο πρόσωπο εάν χρειαστεί.

Αυτό σημαίνει ότι το Διαδίκτυο πρέπει να είναι πάντα διαθέσιμο, σημαίνει αυτό ότι οι εργαζόμενοι μπορούν να έχουν πρόσβαση σε όλους τους πόρους και να μην τους ελέγχουν με κανέναν τρόπο;

Όχι, δεν σημαίνει αυτό, φυσικά. Το επίπεδο ανοίγματος του Διαδικτύου μπορεί να ποικίλλει για διαφορετικές εταιρείες - από το πλήρες κλείσιμο έως το πλήρες άνοιγμα. Θα συζητήσουμε τρόπους ελέγχου της κυκλοφορίας αργότερα στις ενότητες για τα μέτρα ασφαλείας.

Δυνατότητα χρήσης όλης της γκάμα γνωστών συσκευών

Είναι βολικό όταν, για παράδειγμα, έχετε την ευκαιρία να συνεχίσετε να χρησιμοποιείτε όλα τα μέσα επικοινωνίας που έχετε συνηθίσει στη δουλειά. Δεν υπάρχει καμία δυσκολία στην τεχνική εφαρμογή αυτού. Για αυτό χρειάζεστε WiFi και Wilan επισκέπτη.

Είναι επίσης καλό αν έχετε την ευκαιρία να χρησιμοποιήσετε το λειτουργικό σύστημα που έχετε συνηθίσει. Αλλά, κατά την παρατήρησή μου, αυτό επιτρέπεται συνήθως μόνο σε διαχειριστές, διαχειριστές και προγραμματιστές.

Παράδειγμα

Μπορείτε, φυσικά, να ακολουθήσετε το μονοπάτι των απαγορεύσεων, να απαγορεύσετε την απομακρυσμένη πρόσβαση, να απαγορεύσετε τη σύνδεση από φορητές συσκευές, να περιορίσετε τα πάντα σε στατικές συνδέσεις Ethernet, να περιορίσετε την πρόσβαση στο Διαδίκτυο, να κατασχέσετε υποχρεωτικά κινητά τηλέφωνα και gadget στο σημείο ελέγχου... και αυτή τη διαδρομή Στην πραγματικότητα ακολουθείται από ορισμένους οργανισμούς με αυξημένες απαιτήσεις ασφαλείας, και ίσως σε ορισμένες περιπτώσεις αυτό μπορεί να δικαιολογείται, αλλά... πρέπει να συμφωνήσετε ότι αυτό μοιάζει με μια προσπάθεια διακοπής της προόδου σε έναν μόνο οργανισμό. Φυσικά, θα ήθελα να συνδυάσω τις ευκαιρίες που παρέχουν οι σύγχρονες τεχνολογίες με ένα επαρκές επίπεδο ασφάλειας.

«Γρήγορη λειτουργία» του δικτύου

Η ταχύτητα μεταφοράς δεδομένων τεχνικά αποτελείται από πολλούς παράγοντες. Και η ταχύτητα της θύρας σύνδεσής σας συνήθως δεν είναι η πιο σημαντική. Η αργή λειτουργία μιας εφαρμογής δεν συνδέεται πάντα με προβλήματα δικτύου, αλλά προς το παρόν μας ενδιαφέρει μόνο το κομμάτι του δικτύου. Το πιο συνηθισμένο πρόβλημα με την "επιβράδυνση" του τοπικού δικτύου σχετίζεται με την απώλεια πακέτων. Αυτό συμβαίνει συνήθως όταν υπάρχει πρόβλημα συμφόρησης ή L1 (OSI). Πιο σπάνια, με ορισμένα σχέδια (για παράδειγμα, όταν τα υποδίκτυά σας έχουν ένα τείχος προστασίας ως προεπιλεγμένη πύλη και επομένως όλη η κίνηση περνά από αυτό), η απόδοση του υλικού μπορεί να λείπει.

Επομένως, κατά την επιλογή εξοπλισμού και αρχιτεκτονικής, πρέπει να συσχετίσετε τις ταχύτητες των τερματικών θυρών, των κορμών και της απόδοσης του εξοπλισμού.

Παράδειγμα

Ας υποθέσουμε ότι χρησιμοποιείτε διακόπτες με θύρες 1 gigabit ως διακόπτες επιπέδου πρόσβασης. Συνδέονται μεταξύ τους μέσω Etherchannel 2 x 10 gigabit. Ως προεπιλεγμένη πύλη, χρησιμοποιείτε ένα τείχος προστασίας με θύρες gigabit, για να το συνδέσετε στο δίκτυο γραφείου L2, χρησιμοποιείτε 2 θύρες gigabit συνδυασμένες σε ένα κανάλι Etherchannel.

Αυτή η αρχιτεκτονική είναι αρκετά βολική από λειτουργική άποψη, επειδή... Όλη η κίνηση περνά μέσα από το τείχος προστασίας και μπορείτε να διαχειριστείτε άνετα τις πολιτικές πρόσβασης και να εφαρμόσετε σύνθετους αλγόριθμους για να ελέγξετε την κυκλοφορία και να αποτρέψετε πιθανές επιθέσεις (δείτε παρακάτω), αλλά από άποψη απόδοσης και απόδοσης, αυτή η σχεδίαση, φυσικά, έχει πιθανά προβλήματα. Έτσι, για παράδειγμα, 2 κεντρικοί υπολογιστές που πραγματοποιούν λήψη δεδομένων (με ταχύτητα θύρας 1 gigabit) μπορούν να φορτώσουν πλήρως μια σύνδεση 2 gigabit στο τείχος προστασίας και έτσι να οδηγήσουν σε υποβάθμιση της υπηρεσίας για ολόκληρο το τμήμα του γραφείου.

Εξετάσαμε μια κορυφή του τριγώνου, τώρα ας δούμε πώς μπορούμε να διασφαλίσουμε την ασφάλεια.

Θεραπείες

Έτσι, φυσικά, συνήθως η επιθυμία μας (ή μάλλον η επιθυμία της διοίκησής μας) είναι να πετύχουμε το αδύνατο, δηλαδή να παρέχουμε τη μέγιστη ευκολία με μέγιστη ασφάλεια και ελάχιστο κόστος.

Ας δούμε ποιες μεθόδους έχουμε για να παρέχουμε προστασία.

Για το γραφείο θα επισημάνω τα εξής:

προσέγγιση μηδενικής εμπιστοσύνης στο σχεδιασμό
υψηλό επίπεδο προστασίας
ορατότητα δικτύου
ενοποιημένο κεντρικό σύστημα ελέγχου ταυτότητας και εξουσιοδότησης
έλεγχος οικοδεσπότη

Στη συνέχεια, θα σταθούμε λίγο πιο αναλυτικά σε καθεμία από αυτές τις πτυχές.

Μηδενική εμπιστοσύνη

Ο κόσμος της πληροφορικής αλλάζει πολύ γρήγορα. Μόλις τα τελευταία 10 χρόνια, η εμφάνιση νέων τεχνολογιών και προϊόντων οδήγησε σε σημαντική αναθεώρηση των εννοιών ασφάλειας. Πριν από δέκα χρόνια, από την άποψη της ασφάλειας, τμηματοποιήσαμε το δίκτυο σε ζώνες εμπιστοσύνης, dmz και untrust και χρησιμοποιήσαμε τη λεγόμενη «περιμετρική προστασία», όπου υπήρχαν 2 γραμμές άμυνας: untrust -> dmz και dmz -> εμπιστοσύνη. Επίσης, η προστασία περιοριζόταν συνήθως σε λίστες πρόσβασης με βάση τις κεφαλίδες L3/L4 (OSI) (IP, θύρες TCP/UDP, σημαίες TCP). Όλα όσα σχετίζονται με υψηλότερα επίπεδα, συμπεριλαμβανομένου του L7, αφέθηκαν στο λειτουργικό σύστημα και στα προϊόντα ασφαλείας που είναι εγκατεστημένα στους τελικούς κεντρικούς υπολογιστές.

Τώρα η κατάσταση έχει αλλάξει δραματικά. Σύγχρονη έννοια μηδενική αξιοπιστία προέρχεται από το γεγονός ότι δεν είναι πλέον δυνατό να θεωρηθούν τα εσωτερικά συστήματα, δηλαδή αυτά που βρίσκονται εντός της περιμέτρου, ως αξιόπιστα, και η ίδια η έννοια της περιμέτρου έχει γίνει θολή.
Εκτός από σύνδεση στο διαδίκτυο έχουμε επίσης

χρήστες VPN απομακρυσμένης πρόσβασης
διάφορα προσωπικά gadgets, έφερε φορητούς υπολογιστές, συνδεδεμένους μέσω WiFi γραφείου
άλλα (υποκαταστήματα) γραφεία
ενσωμάτωση με υποδομές cloud

Πώς μοιάζει στην πράξη η προσέγγιση Zero Trust;

Ιδανικά, θα πρέπει να επιτρέπεται μόνο η κίνηση που απαιτείται και, αν μιλάμε για ιδανικό, τότε ο έλεγχος θα πρέπει να είναι όχι μόνο σε επίπεδο L3/L4, αλλά σε επίπεδο εφαρμογής.

Εάν, για παράδειγμα, έχετε τη δυνατότητα να περάσετε όλη την κίνηση μέσα από ένα τείχος προστασίας, τότε μπορείτε να προσπαθήσετε να πλησιάσετε το ιδανικό. Αλλά αυτή η προσέγγιση μπορεί να μειώσει σημαντικά το συνολικό εύρος ζώνης του δικτύου σας και, επιπλέον, το φιλτράρισμα ανά εφαρμογή δεν λειτουργεί πάντα καλά.

Κατά τον έλεγχο της κυκλοφορίας σε δρομολογητή ή διακόπτη L3 (χρησιμοποιώντας τυπικά ACL), αντιμετωπίζετε άλλα προβλήματα:

Αυτό είναι μόνο φιλτράρισμα L3/L4. Τίποτα δεν εμποδίζει έναν εισβολέα να χρησιμοποιήσει επιτρεπόμενες θύρες (π.χ. TCP 80) για την εφαρμογή του (όχι http)
σύνθετη διαχείριση ACL (δύσκολη η ανάλυση των ACL)
Αυτό δεν είναι ένα τείχος προστασίας με πλήρη κατάσταση, που σημαίνει ότι πρέπει να επιτρέψετε ρητά την αντίστροφη κυκλοφορία
με διακόπτες συνήθως περιορίζεστε αρκετά από το μέγεθος του TCAM, το οποίο μπορεί γρήγορα να γίνει πρόβλημα εάν ακολουθήσετε την προσέγγιση "επιτρέψτε μόνο αυτό που χρειάζεστε".

Σημείωση:

Μιλώντας για αντίστροφη κίνηση, πρέπει να θυμόμαστε ότι έχουμε την εξής ευκαιρία (Cisco)

άδεια tcp οποιαδήποτε καθιερωμένη

Αλλά πρέπει να καταλάβετε ότι αυτή η γραμμή είναι ισοδύναμη με δύο γραμμές:
άδεια tcp οποιαδήποτε ack
άδεια tcp οποιαδήποτε αρχή

Πράγμα που σημαίνει ότι ακόμα κι αν δεν υπήρχε αρχικό τμήμα TCP με τη σημαία SYN (δηλαδή, η συνεδρία TCP δεν άρχισε καν να δημιουργείται), αυτό το ACL θα επιτρέψει ένα πακέτο με τη σημαία ACK, το οποίο ένας εισβολέας μπορεί να χρησιμοποιήσει για τη μεταφορά δεδομένων.

Δηλαδή, αυτή η γραμμή σε καμία περίπτωση δεν μετατρέπει τον δρομολογητή σας ή τον διακόπτη L3 σε ένα τείχος προστασίας με πλήρη κατάσταση.

Υψηλό επίπεδο προστασίας

В άρθρο Στην ενότητα για τα κέντρα δεδομένων, εξετάσαμε τις ακόλουθες μεθόδους προστασίας.

τείχος προστασίας κατάστασης (προεπιλογή)
προστασία ddos/dos
τείχος προστασίας εφαρμογών
πρόληψη απειλών (antivirus, anti-spyware και ευπάθεια)
Φιλτράρισμα URL
φιλτράρισμα δεδομένων (φιλτράρισμα περιεχομένου)
αποκλεισμός αρχείων (αποκλεισμός τύπων αρχείων)

Στην περίπτωση ενός γραφείου, η κατάσταση είναι παρόμοια, αλλά οι προτεραιότητες είναι ελαφρώς διαφορετικές. Η διαθεσιμότητα του γραφείου (διαθεσιμότητα) συνήθως δεν είναι τόσο κρίσιμη όσο στην περίπτωση ενός κέντρου δεδομένων, ενώ η πιθανότητα «εσωτερικής» κακόβουλης κυκλοφορίας είναι τάξεις μεγέθους υψηλότερη.
Επομένως, οι ακόλουθες μέθοδοι προστασίας για αυτό το τμήμα καθίστανται κρίσιμες:

τείχος προστασίας εφαρμογών
πρόληψη απειλών (anti-virus, anti-spyware και ευπάθεια)
Φιλτράρισμα URL
φιλτράρισμα δεδομένων (φιλτράρισμα περιεχομένου)
αποκλεισμός αρχείων (αποκλεισμός τύπων αρχείων)

Αν και όλες αυτές οι μέθοδοι προστασίας, με εξαίρεση το τείχος προστασίας εφαρμογών, παραδοσιακά επιλύονται και συνεχίζουν να επιλύονται στους τελικούς κεντρικούς υπολογιστές (για παράδειγμα, εγκαθιστώντας προγράμματα προστασίας από ιούς) και χρησιμοποιώντας διακομιστές μεσολάβησης, τα σύγχρονα NGFW παρέχουν επίσης αυτές τις υπηρεσίες.

Οι πωλητές εξοπλισμού ασφαλείας προσπαθούν να δημιουργήσουν ολοκληρωμένη προστασία, επομένως μαζί με την τοπική προστασία, προσφέρουν διάφορες τεχνολογίες cloud και λογισμικό πελάτη για κεντρικούς υπολογιστές (προστασία σημείου τερματισμού/EPP). Έτσι, για παράδειγμα, από 2018 Gartner Magic Quadrant Βλέπουμε ότι το Palo Alto και η Cisco έχουν τα δικά τους EPP (PA: Traps, Cisco: AMP), αλλά απέχουν πολύ από τους ηγέτες.

Η ενεργοποίηση αυτών των προστασιών (συνήθως με την αγορά αδειών) στο τείχος προστασίας σας δεν είναι φυσικά υποχρεωτική (μπορείτε να ακολουθήσετε την παραδοσιακή διαδρομή), αλλά παρέχει ορισμένα πλεονεκτήματα:

σε αυτή την περίπτωση, υπάρχει ένα μόνο σημείο εφαρμογής μεθόδων προστασίας, που βελτιώνει την ορατότητα (βλ. επόμενο θέμα).
Εάν υπάρχει μια μη προστατευμένη συσκευή στο δίκτυό σας, τότε εξακολουθεί να εμπίπτει στην «ομπρέλα» της προστασίας του τείχους προστασίας
Χρησιμοποιώντας την προστασία τείχους προστασίας σε συνδυασμό με την προστασία τελικού κεντρικού υπολογιστή, αυξάνουμε την πιθανότητα εντοπισμού κακόβουλης κυκλοφορίας. Για παράδειγμα, η χρήση πρόληψης απειλών σε τοπικούς κεντρικούς υπολογιστές και σε ένα τείχος προστασίας αυξάνει την πιθανότητα εντοπισμού (εφόσον, φυσικά, αυτές οι λύσεις βασίζονται σε διαφορετικά προϊόντα λογισμικού)

Σημείωση:

Εάν, για παράδειγμα, χρησιμοποιείτε το Kaspersky ως antivirus τόσο στο τείχος προστασίας όσο και στους τελικούς κεντρικούς υπολογιστές, τότε αυτό, φυσικά, δεν θα αυξήσει σημαντικά τις πιθανότητές σας να αποτρέψετε μια επίθεση ιών στο δίκτυό σας.

Ορατότητα δικτύου

κεντρική ιδέα είναι απλό - «δείτε» τι συμβαίνει στο δίκτυό σας, τόσο σε πραγματικό χρόνο όσο και σε ιστορικά δεδομένα.

Θα χώριζα αυτό το «όραμα» σε δύο ομάδες:

Ομάδα ένα: τι σας παρέχει συνήθως το σύστημα παρακολούθησης.

φόρτωση εξοπλισμού
φόρτωση καναλιών
χρήση μνήμης
χρήση δίσκου
αλλαγή του πίνακα δρομολόγησης
κατάσταση συνδέσμου
διαθεσιμότητα εξοπλισμού (ή κεντρικών υπολογιστών)
...

Ομάδα δύο: πληροφορίες σχετικά με την ασφάλεια.

διάφοροι τύποι στατιστικών στοιχείων (για παράδειγμα, ανά εφαρμογή, ανά επισκεψιμότητα URL, ποιοι τύποι δεδομένων λήφθηκαν, δεδομένα χρήστη)
τι μπλοκαρίστηκε από τις πολιτικές ασφαλείας και για ποιο λόγο, συγκεκριμένα
- απαγορευμένη εφαρμογή
- απαγορεύεται με βάση ip/πρωτόκολλο/θύρα/σημαίες/ζώνες
- πρόληψη απειλών
- φιλτράρισμα url
- φιλτράρισμα δεδομένων
- αποκλεισμός αρχείων
- ...
στατιστικά στοιχεία για επιθέσεις DOS/DDOS
αποτυχημένες προσπάθειες αναγνώρισης και εξουσιοδότησης
στατιστικά για όλα τα παραπάνω συμβάντα παραβίασης της πολιτικής ασφαλείας
...

Σε αυτό το κεφάλαιο για την ασφάλεια, μας ενδιαφέρει το δεύτερο μέρος.

Ορισμένα μοντέρνα τείχη προστασίας (από την εμπειρία μου στο Palo Alto) παρέχουν ένα καλό επίπεδο ορατότητας. Αλλά, φυσικά, η κίνηση που σας ενδιαφέρει πρέπει να περάσει από αυτό το τείχος προστασίας (στην περίπτωση αυτή έχετε τη δυνατότητα να αποκλείσετε την κυκλοφορία) ή να αντικατοπτριστεί στο τείχος προστασίας (χρησιμοποιείται μόνο για παρακολούθηση και ανάλυση) και πρέπει να έχετε άδειες για να ενεργοποιήσετε όλα τα αυτές οι υπηρεσίες.

Υπάρχει, βέβαια, ένας εναλλακτικός τρόπος, ή μάλλον ο παραδοσιακός τρόπος, για παράδειγμα,

Τα στατιστικά στοιχεία συνεδρίας μπορούν να συλλεχθούν μέσω netflow και στη συνέχεια να χρησιμοποιηθούν ειδικά βοηθητικά προγράμματα για ανάλυση πληροφοριών και οπτικοποίηση δεδομένων
πρόληψη απειλών – ειδικά προγράμματα (anti-virus, anti-spyware, firewall) σε τελικούς κεντρικούς υπολογιστές
Φιλτράρισμα URL, φιλτράρισμα δεδομένων, αποκλεισμός αρχείων – σε διακομιστή μεσολάβησης
είναι επίσης δυνατή η ανάλυση του tcpdump χρησιμοποιώντας π.χ. φύσημα

Μπορείτε να συνδυάσετε αυτές τις δύο προσεγγίσεις, συμπληρώνοντας χαρακτηριστικά που λείπουν ή αντιγράφοντας τα για να αυξήσετε την πιθανότητα ανίχνευσης επίθεσης.

Ποια προσέγγιση πρέπει να επιλέξετε;
Εξαρτάται σε μεγάλο βαθμό από τα προσόντα και τις προτιμήσεις της ομάδας σας.
Και εκεί και υπάρχουν πλεονεκτήματα και μειονεκτήματα.

Ενιαίο κεντρικό σύστημα ελέγχου ταυτότητας και εξουσιοδότησης

Όταν είναι καλά σχεδιασμένη, η κινητικότητα που συζητήσαμε σε αυτό το άρθρο προϋποθέτει ότι έχετε την ίδια πρόσβαση είτε εργάζεστε από το γραφείο είτε από το σπίτι, από το αεροδρόμιο, από μια καφετέρια ή οπουδήποτε αλλού (με τους περιορισμούς που συζητήσαμε παραπάνω). Φαίνεται, ποιο είναι το πρόβλημα;
Για να κατανοήσουμε καλύτερα την πολυπλοκότητα αυτής της εργασίας, ας δούμε ένα τυπικό σχέδιο.

Παράδειγμα

Έχετε χωρίσει όλους τους εργαζόμενους σε ομάδες. Αποφασίσατε να παρέχετε πρόσβαση ανά ομάδες

Μέσα στο γραφείο, ελέγχετε την πρόσβαση στο τείχος προστασίας του γραφείου

Εσείς ελέγχετε την κυκλοφορία από το γραφείο προς το κέντρο δεδομένων στο τείχος προστασίας του κέντρου δεδομένων

Χρησιμοποιείτε ένα Cisco ASA ως πύλη VPN και για να ελέγξετε την κυκλοφορία που εισέρχεται στο δίκτυό σας από απομακρυσμένους πελάτες, χρησιμοποιείτε τοπικά (στο ASA) ACL

Τώρα, ας υποθέσουμε ότι σας ζητείται να προσθέσετε πρόσθετη πρόσβαση σε έναν συγκεκριμένο υπάλληλο. Σε αυτήν την περίπτωση, σας ζητείται να προσθέσετε πρόσβαση μόνο σε αυτόν και σε κανέναν άλλον από την ομάδα του.

Για αυτό πρέπει να δημιουργήσουμε μια ξεχωριστή ομάδα για αυτόν τον υπάλληλο, δηλαδή

δημιουργήστε μια ξεχωριστή ομάδα IP στο ASA για αυτόν τον υπάλληλο

προσθέστε ένα νέο ACL στο ASA και συνδέστε το σε αυτόν τον απομακρυσμένο πελάτη

δημιουργήστε νέες πολιτικές ασφαλείας σε τείχη προστασίας γραφείου και κέντρου δεδομένων

Είναι καλό αν αυτό το γεγονός είναι σπάνιο. Αλλά στην πρακτική μου υπήρχε μια κατάσταση όπου οι εργαζόμενοι συμμετείχαν σε διαφορετικά έργα, και αυτό το σύνολο έργων για μερικούς από αυτούς άλλαζε αρκετά συχνά, και δεν ήταν 1-2 άτομα, αλλά δεκάδες. Φυσικά, κάτι έπρεπε να αλλάξει εδώ.

Αυτό λύθηκε με τον εξής τρόπο.

Αποφασίσαμε ότι το LDAP θα ήταν η μόνη πηγή αλήθειας που καθορίζει όλες τις πιθανές προσβάσεις των εργαζομένων. Δημιουργήσαμε όλα τα είδη ομάδων που ορίζουν σύνολα προσβάσεων και αντιστοιχίσαμε σε κάθε χρήστη μία ή περισσότερες ομάδες.

Έτσι, για παράδειγμα, ας υποθέσουμε ότι υπήρχαν ομάδες

επισκέπτης (πρόσβαση στο Διαδίκτυο)

κοινή πρόσβαση (πρόσβαση σε κοινόχρηστους πόρους: αλληλογραφία, βάση γνώσεων, ...)

λογιστική

έργο 1

έργο 2

διαχειριστής βάσης δεδομένων

διαχειριστής linux

...

Και αν ένας από τους υπαλλήλους συμμετείχε τόσο στο έργο 1 όσο και στο έργο 2 και χρειαζόταν την απαραίτητη πρόσβαση για να εργαστεί σε αυτά τα έργα, τότε αυτός ο υπάλληλος ανατέθηκε στις ακόλουθες ομάδες:

επισκέπτης

κοινή πρόσβαση

έργο 1

έργο 2

Πώς μπορούμε τώρα να μετατρέψουμε αυτές τις πληροφορίες σε πρόσβαση σε εξοπλισμό δικτύου;

Cisco ASA Dynamic Access Policy (DAP) (βλ www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) η λύση είναι η κατάλληλη για αυτήν την εργασία.

Εν συντομία σχετικά με την υλοποίησή μας, κατά τη διαδικασία αναγνώρισης/εξουσιοδότησης, η ASA λαμβάνει από το LDAP ένα σύνολο ομάδων που αντιστοιχούν σε έναν δεδομένο χρήστη και «συλλέγει» από πολλά τοπικά ACL (το καθένα από τα οποία αντιστοιχεί σε μια ομάδα) ένα δυναμικό ACL με όλες τις απαραίτητες προσβάσεις , που ανταποκρίνεται πλήρως στις επιθυμίες μας.

Αλλά αυτό είναι μόνο για συνδέσεις VPN. Για να είναι η ίδια η κατάσταση τόσο για τους εργαζόμενους που συνδέονται μέσω VPN όσο και για εκείνους στο γραφείο, έγινε το ακόλουθο βήμα.

Κατά τη σύνδεση από το γραφείο, οι χρήστες που χρησιμοποιούν το πρωτόκολλο 802.1x κατέληξαν είτε σε LAN επισκέπτη (για επισκέπτες) είτε σε κοινόχρηστο LAN (για τους υπαλλήλους της εταιρείας). Επιπλέον, για να αποκτήσουν συγκεκριμένη πρόσβαση (για παράδειγμα, σε έργα σε ένα κέντρο δεδομένων), οι εργαζόμενοι έπρεπε να συνδεθούν μέσω VPN.

Για τη σύνδεση από το γραφείο και από το σπίτι, χρησιμοποιήθηκαν διαφορετικές ομάδες σήραγγας στο ASA. Αυτό είναι απαραίτητο ώστε για όσους συνδέονται από το γραφείο, η κίνηση σε κοινόχρηστους πόρους (που χρησιμοποιείται από όλους τους υπαλλήλους, όπως αλληλογραφία, διακομιστές αρχείων, σύστημα εισιτηρίων, dns, ...) δεν περνά μέσω του ASA, αλλά μέσω του τοπικού δικτύου . Έτσι, δεν φορτώσαμε το ASA με περιττή κίνηση, συμπεριλαμβανομένης της κίνησης υψηλής έντασης.

Έτσι, το πρόβλημα λύθηκε.
Πήραμε

το ίδιο σύνολο προσβάσεων και για συνδέσεις από το γραφείο και για απομακρυσμένες συνδέσεις

απουσία υποβάθμισης της υπηρεσίας κατά την εργασία από το γραφείο που σχετίζεται με τη μετάδοση κίνησης υψηλής έντασης μέσω ASA

Ποια άλλα πλεονεκτήματα αυτής της προσέγγισης;
Στη διαχείριση πρόσβασης. Οι προσβάσεις μπορούν εύκολα να αλλάξουν σε ένα μέρος.
Για παράδειγμα, εάν ένας υπάλληλος φύγει από την εταιρεία, τότε απλώς τον αφαιρείτε από το LDAP και αυτόματα χάνει κάθε πρόσβαση.

Έλεγχος οικοδεσπότη

Με τη δυνατότητα απομακρυσμένης σύνδεσης, διατρέχουμε τον κίνδυνο να επιτρέψουμε όχι μόνο έναν υπάλληλο της εταιρείας στο δίκτυο, αλλά και όλο το κακόβουλο λογισμικό που είναι πολύ πιθανό να υπάρχει στον υπολογιστή του (για παράδειγμα, στο σπίτι), και επιπλέον, μέσω αυτού του λογισμικού μπορεί να παρέχει πρόσβαση στο δίκτυό μας σε έναν εισβολέα που χρησιμοποιεί αυτόν τον κεντρικό υπολογιστή ως διακομιστή μεσολάβησης.

Είναι λογικό για έναν απομακρυσμένα συνδεδεμένο κεντρικό υπολογιστή να εφαρμόζει τις ίδιες απαιτήσεις ασφαλείας με έναν κεντρικό υπολογιστή εντός γραφείου.

Αυτό προϋποθέτει επίσης τη «σωστή» έκδοση του λειτουργικού συστήματος, του λογισμικού προστασίας από ιούς, του λογισμικού κατασκοπείας και του τείχους προστασίας και ενημερώσεων. Συνήθως, αυτή η δυνατότητα υπάρχει στην πύλη VPN (για ASA βλ., για παράδειγμα, εδώ).

Είναι επίσης συνετό να εφαρμόζετε τις ίδιες τεχνικές ανάλυσης και αποκλεισμού της κυκλοφορίας (δείτε «Υψηλό επίπεδο προστασίας») που εφαρμόζει η πολιτική ασφαλείας σας στην κίνηση γραφείου.

Είναι λογικό να υποθέσουμε ότι το δίκτυο του γραφείου σας δεν περιορίζεται πλέον στο κτίριο γραφείων και στους οικοδεσπότες μέσα σε αυτό.

Παράδειγμα

Μια καλή τεχνική είναι να παρέχετε σε κάθε εργαζόμενο που χρειάζεται απομακρυσμένη πρόσβαση ένα καλό, βολικό φορητό υπολογιστή και να του ζητάτε να εργάζονται, τόσο στο γραφείο όσο και από το σπίτι, μόνο από αυτόν.

Όχι μόνο βελτιώνει την ασφάλεια του δικτύου σας, αλλά είναι επίσης πολύ βολικό και συνήθως αντιμετωπίζεται ευνοϊκά από τους υπαλλήλους (αν είναι πραγματικά καλός, φιλικός προς το χρήστη φορητός υπολογιστής).

Σχετικά με την αίσθηση αναλογίας και ισορροπίας

Βασικά, αυτή είναι μια συζήτηση για την τρίτη κορυφή του τριγώνου μας - για την τιμή.
Ας δούμε ένα υποθετικό παράδειγμα.

Παράδειγμα

Έχετε ένα γραφείο για 200 άτομα. Αποφασίσατε να το κάνετε όσο πιο βολικό και ασφαλές γίνεται.

Επομένως, αποφασίσατε να περάσετε όλη την κίνηση μέσω του τείχους προστασίας και επομένως για όλα τα υποδίκτυα γραφείου το τείχος προστασίας είναι η προεπιλεγμένη πύλη. Εκτός από το λογισμικό ασφαλείας που είναι εγκατεστημένο σε κάθε τελικό κεντρικό υπολογιστή (λογισμικό προστασίας από ιούς, λογισμικό προστασίας από spyware και λογισμικό τείχους προστασίας), αποφασίσατε επίσης να εφαρμόσετε όλες τις πιθανές μεθόδους προστασίας στο τείχος προστασίας.

Για να εξασφαλίσετε υψηλή ταχύτητα σύνδεσης (όλα για ευκολία), επιλέξατε διακόπτες με 10 θύρες πρόσβασης Gigabit ως διακόπτες πρόσβασης και τείχη προστασίας NGFW υψηλής απόδοσης ως τείχη προστασίας, για παράδειγμα, τη σειρά Palo Alto 7K (με θύρες 40 Gigabit), φυσικά με όλες τις άδειες περιλαμβάνεται και, φυσικά, ένα ζευγάρι Υψηλής Διαθεσιμότητας.

Επίσης, φυσικά, για να δουλέψουμε με αυτή τη σειρά εξοπλισμού χρειαζόμαστε τουλάχιστον μερικούς μηχανικούς ασφαλείας υψηλής εξειδίκευσης.

Στη συνέχεια, αποφασίσατε να δώσετε σε κάθε εργαζόμενο ένα καλό φορητό υπολογιστή.

Συνολικά, περίπου 10 εκατομμύρια δολάρια για την υλοποίηση, εκατοντάδες χιλιάδες δολάρια (νομίζω πιο κοντά στο ένα εκατομμύριο) για ετήσια στήριξη και μισθούς για μηχανικούς.

Γραφείο, 200 άτομα...
Ανετος? Υποθέτω ότι είναι ναι.

Έρχεσαι με αυτήν την πρόταση στη διοίκησή σου...
Ίσως υπάρχουν αρκετές εταιρείες στον κόσμο για τις οποίες αυτή είναι μια αποδεκτή και σωστή λύση. Εάν είστε υπάλληλος αυτής της εταιρείας, συγχαρητήρια, αλλά στη συντριπτική πλειοψηφία των περιπτώσεων, είμαι σίγουρος ότι οι γνώσεις σας δεν θα εκτιμηθούν από τη διοίκηση.

Είναι υπερβολικό αυτό το παράδειγμα; Το επόμενο κεφάλαιο θα απαντήσει σε αυτή την ερώτηση.

Εάν στο δίκτυό σας δεν βλέπετε τίποτα από τα παραπάνω, τότε αυτό είναι ο κανόνας.
Για κάθε συγκεκριμένη περίπτωση, πρέπει να βρείτε τον δικό σας εύλογο συμβιβασμό μεταξύ ευκολίας, τιμής και ασφάλειας. Συχνά δεν χρειάζεστε καν NGFW στο γραφείο σας και δεν απαιτείται προστασία L7 στο τείχος προστασίας. Αρκεί να παρέχετε ένα καλό επίπεδο ορατότητας και ειδοποιήσεων, και αυτό μπορεί να γίνει χρησιμοποιώντας, για παράδειγμα, προϊόντα ανοιχτού κώδικα. Ναι, η αντίδρασή σας σε μια επίθεση δεν θα είναι άμεση, αλλά το κυριότερο είναι ότι θα τη δείτε και με τις σωστές διαδικασίες στο τμήμα σας, θα μπορέσετε να την εξουδετερώσετε γρήγορα.

Και να σας υπενθυμίσω ότι, σύμφωνα με το concept αυτής της σειράς άρθρων, δεν σχεδιάζετε ένα δίκτυο, απλώς προσπαθείτε να βελτιώσετε αυτό που αποκτήσατε.

ΑΣΦΑΛΗ ανάλυση αρχιτεκτονικής γραφείου

Δώστε προσοχή σε αυτό το κόκκινο τετράγωνο με το οποίο διέθεσα μια θέση στο διάγραμμα από Οδηγός Αρχιτεκτονικής SAFE Secure Campusπου θα ήθελα να συζητήσω εδώ.

Αυτό είναι ένα από τα βασικά σημεία της αρχιτεκτονικής και μια από τις πιο σημαντικές αβεβαιότητες.

Σημείωση:

Δεν έχω εγκαταστήσει ή δουλέψει ποτέ με το FirePower (από τη σειρά τείχους προστασίας της Cisco - μόνο ASA), επομένως θα το αντιμετωπίσω όπως οποιοδήποτε άλλο τείχος προστασίας, όπως το Juniper SRX ή το Palo Alto, υποθέτοντας ότι έχει τις ίδιες δυνατότητες.

Από τα συνηθισμένα σχέδια, βλέπω μόνο 4 πιθανές επιλογές για τη χρήση τείχους προστασίας με αυτήν τη σύνδεση:

η προεπιλεγμένη πύλη για κάθε υποδίκτυο είναι ένας διακόπτης, ενώ το τείχος προστασίας είναι σε διαφανή λειτουργία (δηλαδή, όλη η κίνηση περνά από αυτό, αλλά δεν σχηματίζει άλμα L3)
η προεπιλεγμένη πύλη για κάθε υποδίκτυο είναι οι υποδιεπαφές του τείχους προστασίας (ή οι διεπαφές SVI), ο διακόπτης παίζει το ρόλο του L2
χρησιμοποιούνται διαφορετικά VRF στο μεταγωγέα και η κίνηση μεταξύ των VRF περνά μέσα από το τείχος προστασίας, η κίνηση εντός ενός VRF ελέγχεται από το ACL στον διακόπτη
όλη η κίνηση αντικατοπτρίζεται στο τείχος προστασίας για ανάλυση και παρακολούθηση· η κίνηση δεν περνά από αυτό

Σημείωση 1

Συνδυασμοί αυτών των επιλογών είναι δυνατοί, αλλά για λόγους απλότητας δεν θα τους εξετάσουμε.

Σημείωση 2

Υπάρχει επίσης η δυνατότητα χρήσης PBR (αρχιτεκτονική αλυσίδας υπηρεσιών), αλλά προς το παρόν αυτή, αν και μια όμορφη λύση κατά τη γνώμη μου, είναι μάλλον εξωτική, οπότε δεν το σκέφτομαι εδώ.

Από την περιγραφή των ροών στο έγγραφο, βλέπουμε ότι η κίνηση εξακολουθεί να περνά μέσα από το τείχος προστασίας, δηλαδή, σύμφωνα με τη σχεδίαση της Cisco, η τέταρτη επιλογή εξαλείφεται.

Ας δούμε πρώτα τις δύο πρώτες επιλογές.
Με αυτές τις επιλογές, όλη η κίνηση περνά μέσα από το τείχος προστασίας.

Τώρα ας δούμε φύλλο δεδομένων, Κοίτα Cisco GPL και βλέπουμε ότι αν θέλουμε το συνολικό εύρος ζώνης για το γραφείο μας να είναι τουλάχιστον γύρω στα 10 - 20 gigabit, τότε πρέπει να αγοράσουμε την έκδοση 4K.

Σημείωση:

Όταν μιλάω για το συνολικό εύρος ζώνης, εννοώ την κίνηση μεταξύ υποδικτύων (και όχι εντός ενός vilana).

Από την GPL βλέπουμε ότι για το HA Bundle with Threat Defense, η τιμή ανάλογα με το μοντέλο (4110 - 4150) κυμαίνεται από ~0,5 - 2,5 εκατομμύρια δολάρια.

Δηλαδή, το σχέδιό μας αρχίζει να μοιάζει με το προηγούμενο παράδειγμα.

Αυτό σημαίνει ότι αυτό το σχέδιο είναι λάθος;
Όχι, αυτό δεν σημαίνει. Η Cisco σας προσφέρει την καλύτερη δυνατή προστασία με βάση τη σειρά προϊόντων που διαθέτει. Αλλά αυτό δεν σημαίνει ότι είναι απαραίτητο για εσάς.

Κατ 'αρχήν, αυτό είναι ένα κοινό ερώτημα που προκύπτει κατά το σχεδιασμό ενός γραφείου ή ενός κέντρου δεδομένων και σημαίνει μόνο ότι πρέπει να αναζητηθεί συμβιβασμός.

Για παράδειγμα, μην αφήνετε όλη την κίνηση να περνά μέσα από ένα τείχος προστασίας, οπότε η επιλογή 3 μου φαίνεται πολύ καλή ή (δείτε την προηγούμενη ενότητα) ίσως δεν χρειάζεστε Threat Defense ή δεν χρειάζεστε καθόλου τείχος προστασίας σε αυτό τμήμα δικτύου και πρέπει απλώς να περιοριστείτε στην παθητική παρακολούθηση χρησιμοποιώντας επί πληρωμή (όχι ακριβές) ή λύσεις ανοιχτού κώδικα ή χρειάζεστε ένα τείχος προστασίας, αλλά από διαφορετικό προμηθευτή.

Συνήθως υπάρχει πάντα αυτή η αβεβαιότητα και δεν υπάρχει ξεκάθαρη απάντηση για το ποια απόφαση είναι η καλύτερη για εσάς.
Αυτή είναι η πολυπλοκότητα και η ομορφιά αυτού του έργου.

Πηγή: www.habr.com

Πώς να αποκτήσετε τον έλεγχο της υποδομής του δικτύου σας. Κεφάλαιο τρίτο. Ασφάλεια δικτύου. Μέρος τρίτο