ProHoster > Блог > Administrado > Kiel regi vian retan infrastrukturon. Ĉapitro tri. Reta sekureco. Parto tri

Kiel regi vian retan infrastrukturon. Ĉapitro tri. Reta sekureco. Parto tri

Ĉi tiu artikolo estas la kvina en la serio "Kiel Preni Kontrolon de Via Reta Infrastrukturo". La enhavo de ĉiuj artikoloj en la serio kaj ligiloj troveblas tie.

Ĉi tiu parto estos dediĉita al la segmentoj de Kampuso (Oficejo) kaj Fora aliro VPN.

Kiel regi vian retan infrastrukturon. Ĉapitro tri. Reta sekureco. Parto tri

Oficeja reto-dezajno povas ŝajni facila.

Efektive, ni prenas L2/L3-ŝaltilojn kaj ligas ilin unu al la alia. Poste, ni efektivigas la bazan agordon de vilaanoj kaj defaŭltaj enirejoj, agordas simplan vojigon, konektas WiFi-regilojn, alirpunktojn, instalas kaj agordas ASA por fora aliro, ni ĝojas, ke ĉio funkciis. Esence, kiel mi jam skribis en unu el la antaŭaj artikoloj de ĉi tiu ciklo, preskaŭ ĉiu studento, kiu ĉeestis (kaj lernis) du semestrojn de telekomunika kurso povas desegni kaj agordi oficejan reton por ke ĝi "iel funkciu."

Sed ju pli vi lernas, des malpli simpla ĉi tiu tasko komencas ŝajni. Por mi persone, ĉi tiu temo, la temo de oficeja reto-dezajno, tute ne ŝajnas simpla, kaj en ĉi tiu artikolo mi provos klarigi kial.

Resume, estas sufiĉe da faktoroj por konsideri. Ofte ĉi tiuj faktoroj estas en konflikto inter si kaj akceptebla kompromiso devas esti serĉita.
Ĉi tiu necerteco estas la ĉefa malfacilaĵo. Do, parolante pri sekureco, ni havas triangulon kun tri verticoj: sekureco, komforto por dungitoj, prezo de la solvo.
Kaj ĉiufoje vi devas serĉi kompromison inter ĉi tiuj tri.

arkitekturo

Kiel ekzemplo de arkitekturo por ĉi tiuj du segmentoj, kiel en antaŭaj artikoloj, mi rekomendas Cisco SAFE modelo: Entreprena Kampuso, Enterprise Interreta Rando.

Ĉi tiuj estas iom malnoviĝintaj dokumentoj. Mi prezentas ilin ĉi tie ĉar la fundamentaj skemoj kaj aliro ne ŝanĝiĝis, sed samtempe mi ŝatas la prezenton pli ol en nova dokumentaro.

Sen instigi vin uzi Cisco-solvojn, mi ankoraŭ opinias, ke estas utile zorge studi ĉi tiun dezajnon.

Ĉi tiu artikolo, kiel kutime, neniel pretendas esti kompleta, sed prefere estas aldono al ĉi tiu informo.

Ĉe la fino de la artikolo, ni analizos la Cisco SAFE-oficejan dezajnon laŭ la konceptoj skizitaj ĉi tie.

Ĝeneralaj principoj

La dezajno de la oficeja reto devas, kompreneble, kontentigi la ĝeneralajn postulojn, kiuj estis diskutitaj tie en la ĉapitro "Kriterioj por taksi dezajnokvaliton". Krom prezo kaj sekureco, kiujn ni intencas diskuti en ĉi tiu artikolo, ekzistas ankoraŭ tri kriterioj, kiujn ni devas konsideri dum desegnado (aŭ farante ŝanĝoj):

  • skaleblo
  • facileco de uzo (regebleco)
  • havebleco

Multo de kio estis diskutita por datumcentroj Ĉi tio validas ankaŭ por la oficejo.

Sed tamen, la oficeja segmento havas siajn proprajn specifaĵojn, kiuj estas kritikaj de sekureca vidpunkto. La esenco de ĉi tiu specifeco estas, ke ĉi tiu segmento estas kreita por provizi retajn servojn al dungitoj (same kiel partneroj kaj gastoj) de la kompanio, kaj, kiel rezulto, ĉe la plej alta nivelo de konsidero de la problemo ni havas du taskojn:

  • protekti firmaajn rimedojn de malicaj agoj, kiuj povas veni de dungitoj (gastoj, partneroj) kaj de la programaro, kiun ili uzas. Ĉi tio ankaŭ inkluzivas protekton kontraŭ neaŭtorizita konekto al la reto.
  • protekti sistemojn kaj uzantajn datumojn

Kaj ĉi tio estas nur unu flanko de la problemo (aŭ pli ĝuste, unu vertico de la triangulo). Aliflanke estas uzanta oportuneco kaj la prezo de la uzataj solvoj.

Ni komencu rigardante, kion uzanto atendas de moderna oficeja reto.

Agrablaĵoj

Jen kiel aspektas "retaj agrablaĵoj" por oficeja uzanto laŭ mi:

  • Movebleco
  • Kapablo uzi la tutan gamon da konataj aparatoj kaj operaciumoj
  • Facila aliro al ĉiuj necesaj firmaaj rimedoj
  • Havebleco de interretaj rimedoj, inkluzive de diversaj nubaj servoj
  • "Rapida funkciado" de la reto

Ĉio ĉi validas kaj por dungitoj kaj gastoj (aŭ partneroj), kaj estas la tasko de la inĝenieroj de la firmao diferencigi aliron por malsamaj uzantgrupoj surbaze de rajtigo.

Ni rigardu ĉiun el ĉi tiuj aspektoj iom pli detale.

Movebleco

Ni parolas pri la ŝanco labori kaj uzi ĉiujn necesajn firmaajn rimedojn de ie ajn en la mondo (kompreneble, kie la Interreto estas disponebla).

Ĉi tio plene validas por la oficejo. Ĉi tio estas oportuna kiam vi havas la ŝancon daŭrigi labori de ie ajn en la oficejo, ekzemple, ricevi poŝton, komuniki en kompania mesaĝisto, esti disponebla por videovoko, ... Tiel, tio ebligas al vi, unuflanke, solvi iujn problemojn "vive" komunikado (ekzemple, partopreni en mitingoj), kaj aliflanke, esti ĉiam enreta, tenu vian fingron sur la pulso kaj rapide solvi iujn urĝajn altprioritatajn taskojn. Ĉi tio estas tre oportuna kaj vere plibonigas la kvaliton de komunikado.

Ĉi tio estas atingita per taŭga WiFi-reto-dezajno.

Noto

Ĉi tie kutime aperas la demando: ĉu sufiĉas uzi nur WiFi? Ĉu ĉi tio signifas, ke vi povas ĉesi uzi Ethernet-havenojn en la oficejo? Se ni parolas nur pri uzantoj, kaj ne pri serviloj, kiuj ankoraŭ estas raciaj konektiĝi per regula Ethernet-haveno, tiam ĝenerale la respondo estas: jes, vi povas limigi vin nur al WiFi. Sed estas nuancoj.

Estas gravaj uzantgrupoj, kiuj postulas apartan aliron. Ĉi tiuj estas, kompreneble, administrantoj. Principe, WiFi-konekto estas malpli fidinda (laŭ trafika perdo) kaj pli malrapida ol regula Ethernet-haveno. Ĉi tio povas esti grava por administrantoj. Krome, retaj administrantoj, ekzemple, povas, principe, havi sian propran diligentan Ethernet-reton por ekster-bendaj konektoj.

Eble ekzistas aliaj grupoj/fakoj en via kompanio, por kiuj ĉi tiuj faktoroj ankaŭ estas gravaj.

Estas alia grava punkto - telefonio. Eble ial vi ne volas uzi Sendratan VoIP kaj volas uzi IP-telefonojn kun regula Ethernet-konekto.

Ĝenerale, la kompanioj por kiuj mi laboris kutime havis kaj WiFi-konektecon kaj Ethernet-havenon.

Mi ŝatus, ke moviĝeblo ne limiĝu al nur la oficejo.

Por certigi la kapablon labori de hejmo (aŭ iu ajn alia loko kun alirebla Interreto), VPN-konekto estas uzata. Samtempe, estas dezirinde, ke dungitoj ne sentas la diferencon inter laborado hejme kaj fora laboro, kiu supozas la saman aliron. Ni diskutos kiel organizi ĉi tion iom poste en la ĉapitro "Unuigita centralizita aŭtentikigo kaj rajtigosistemo."

Noto

Plej verŝajne, vi ne povos plene provizi la saman kvaliton de servoj por fora laboro, kiun vi havas en la oficejo. Ni supozu, ke vi uzas Cisco ASA 5520 kiel vian VPN-enirejon datumpaĝo ĉi tiu aparato kapablas "digesti" nur 225 Mbit da VPN-trafiko. Tio estas, kompreneble, laŭ bendolarĝo, konekti per VPN estas tre malsama ol labori de la oficejo. Ankaŭ, se, ial, latenteco, perdo, tremo (ekzemple, vi volas uzi oficejan IP-telefonion) por viaj retservoj estas gravaj, vi ankaŭ ne ricevos la saman kvaliton kiel se vi estus en la oficejo. Tial, kiam oni parolas pri movebleco, ni devas konscii pri eblaj limigoj.

Facila aliro al ĉiuj firmaaj rimedoj

Ĉi tiu tasko devas esti solvita kune kun aliaj teknikaj fakoj.
La ideala situacio estas kiam la uzanto bezonas nur unufoje aŭtentikigi, kaj post tio li havas aliron al ĉiuj necesaj rimedoj.
Provizi facilan aliron sen oferi sekurecon povas signife plibonigi produktivecon kaj redukti streĉon inter viaj kolegoj.

Rimarko 1

Facileco de aliro ne temas nur pri kiom da fojoj vi devas enigi pasvorton. Se, ekzemple, konforme al via sekureca politiko, por konekti de la oficejo al la datumcentro, vi unue devas konektiĝi al la VPN-enirejo, kaj samtempe vi perdas aliron al oficejaj rimedoj, tiam ĉi tio ankaŭ estas tre tre. , tre maloportuna.

Rimarko 2

Estas servoj (ekzemple, aliro al retaj ekipaĵoj) kie ni kutime havas niajn proprajn dediĉitajn AAA-servilojn kaj ĉi tio estas la normo kiam en ĉi tiu kazo ni devas aŭtentikigi plurajn fojojn.

Havebleco de interretaj rimedoj

Interreto ne estas nur distro, sed ankaŭ aro da servoj, kiuj povas esti tre utilaj por laboro. Estas ankaŭ pure psikologiaj faktoroj. Moderna homo estas konektita kun aliaj homoj per la Interreto per multaj virtualaj fadenoj, kaj, laŭ mi, estas nenio malbona se li daŭre sentas ĉi tiun ligon eĉ dum laboro.

El la vidpunkto de perdo de tempo, estas nenio malbona se dungito, ekzemple, havas Skajpon funkcianta kaj pasigas 5 minutojn komunikante kun amato se necese.

Ĉu tio signifas, ke interreto ĉiam devas esti disponebla, ĉu tio signifas, ke dungitoj povas havi aliron al ĉiuj rimedoj kaj ne kontroli ilin iel?

Ne ne signifas tion, kompreneble. La nivelo de malfermiteco de Interreto povas varii por malsamaj kompanioj - de kompleta fermo ĝis kompleta malfermo. Ni diskutos pri manieroj kontroli trafikon poste en la sekcioj pri sekurecaj mezuroj.

Kapablo uzi la tutan gamon da konataj aparatoj

Estas oportune kiam, ekzemple, vi havas la ŝancon daŭrigi uzi ĉiujn komunikilojn, al kiuj vi kutimas en la laboro. Ne estas malfacilaĵo teknike efektivigi ĉi tion. Por tio vi bezonas WiFi kaj gastan vilan.

Ankaŭ estas bone, se vi havas la ŝancon uzi la operaciumon, al kiu vi kutimas. Sed, laŭ mia observo, ĉi tio estas kutime nur permesita al administrantoj, administrantoj kaj programistoj.

Ekzemplo:

Vi povas, kompreneble, sekvi la vojon de malpermesoj, malpermesi foran aliron, malpermesi konekton de porteblaj aparatoj, limigi ĉion al senmovaj Ethernet-konektoj, limigi aliron al Interreto, devige konfiski poŝtelefonojn kaj aparatojn ĉe la transirejo... kaj ĉi tiu vojo. estas efektive sekvata de iuj organizoj kun pliigitaj sekurecaj postuloj, kaj eble en iuj kazoj tio povas esti pravigita, sed... vi devas konsenti, ke tio aspektas kiel provo ĉesigi progreson en ununura organizo. Kompreneble, mi ŝatus kombini la ŝancojn, kiujn provizas modernaj teknologioj, kun sufiĉa nivelo de sekureco.

"Rapida funkciado" de la reto

La rapido de transigo de datumoj teknike konsistas el multaj faktoroj. Kaj la rapideco de via koneksa haveno kutime ne estas la plej grava. La malrapida funkciado de aplikaĵo ne ĉiam rilatas al retaj problemoj, sed nuntempe ni interesiĝas nur pri la reto-parto. La plej ofta problemo kun loka reto "malrapidiĝo" rilatas al paka perdo. Ĉi tio kutime okazas kiam ekzistas proplemkolo aŭ L1 (OSI) problemoj. Pli malofte, kun iuj dezajnoj (ekzemple, kiam viaj subretoj havas fajroŝirmilon kiel la defaŭltan enirejon kaj tiel la tuta trafiko trairas ĝin), la aparataro-rendimento povas manki.

Sekve, kiam vi elektas ekipaĵon kaj arkitekturon, vi devas korelacii la rapidojn de finaj havenoj, trunkoj kaj ekipaĵagado.

Ekzemplo:

Ni supozu, ke vi uzas ŝaltilojn kun 1 gigabit-havenoj kiel alirtavolŝaltilojn. Ili estas konektitaj unu al la alia per Etherchannel 2 x 10 gigabitoj. Kiel defaŭlta enirejo, vi uzas fajroŝirmilon kun gigabit-havenoj, por konekti kiun al la oficeja reto L2 vi uzas 2 gigabit-havenojn kombinitajn en Etherchannel.

Ĉi tiu arkitekturo estas sufiĉe oportuna el funkcieca vidpunkto, ĉar... La tuta trafiko pasas tra la fajroŝirmilo, kaj vi povas komforte administri alirpolitikojn, kaj apliki kompleksajn algoritmojn por kontroli trafikon kaj malhelpi eblajn atakojn (vidu sube), sed de trairado kaj rendimento vidpunkto ĉi tiu dezajno, kompreneble, havas eblajn problemojn. Do, ekzemple, 2 gastigantoj elŝutantaj datumojn (kun havenrapideco de 1 gigabito) povas tute ŝarĝi 2 gigabitan konekton al la fajroŝirmilo, kaj tiel konduki al servodegradado por la tuta oficeja segmento.

Ni rigardis unu vertico de la triangulo, nun ni rigardu kiel ni povas certigi sekurecon.

Rimedoj

Do, kompreneble, kutime nia deziro (aŭ pli ĝuste, la deziro de nia administrado) estas atingi la neeblan, nome, provizi maksimuman oportunon kun maksimuma sekureco kaj minimuma kosto.

Ni rigardu kiajn metodojn ni havas por provizi protekton.

Por la oficejo, mi reliefigus la jenajn:

  • nula fida aliro al dezajno
  • alta nivelo de protekto
  • retvidebleco
  • unuigita centralizita aŭtentikigo kaj rajtigosistemo
  • kontrolado de gastiganto

Tuj poste, ni iom pli detale pri ĉiu el ĉi tiuj aspektoj.

Nula Fido

La IT-mondo ŝanĝiĝas tre rapide. Ĵus dum la lastaj 10 jaroj, la apero de novaj teknologioj kaj produktoj kaŭzis gravan revizion de sekurecaj konceptoj. Antaŭ dek jaroj, el sekureca vidpunkto, ni segmentis la reton en fidon, dmz kaj untrust-zonojn, kaj uzis la tiel nomatan "perimetra protekto", kie estis 2 defendlinioj: untrust -> dmz kaj dmz -> konfidi. Ankaŭ, protekto estis kutime limigita al alirlistoj bazitaj sur L3/L4 (OSI) titoloj (IP, TCP/UDP-havenoj, TCP-flagoj). Ĉio rilata al pli altaj niveloj, inkluzive de L7, estis lasita al la OS kaj sekurecaj produktoj instalitaj sur la finaj gastigantoj.

Nun la situacio draste ŝanĝiĝis. Moderna koncepto nula fido devenas de tio, ke ne plu eblas konsideri internajn sistemojn, tio estas, tiujn situantajn ene de la perimetro, kiel fidindajn, kaj la koncepto de la perimetro mem malklariĝis.
Krom interreta konekto ni ankaŭ havas

  • VPN-uzantoj de malproksima aliro
  • diversaj personaj aparatoj, alportitaj tekkomputiloj, konektitaj per oficeja WiFi
  • aliaj (branĉo) oficejoj
  • integriĝo kun nuba infrastrukturo

Kiel aspektas la aliro Zero Trust en la praktiko?

Ideale, nur la bezonata trafiko estu permesita kaj, se ni parolas pri idealo, tiam kontrolo estu ne nur ĉe la L3/L4-nivelo, sed ĉe la aplikaĵa nivelo.

Se, ekzemple, vi havas la kapablon trapasi la tutan trafikon tra fajroŝirmilo, tiam vi povas provi proksimiĝi al la idealo. Sed ĉi tiu aliro povas signife redukti la tutan bendolarĝon de via reto, kaj krome, filtri per aplikaĵo ne ĉiam funkcias bone.

Kiam vi kontrolas trafikon sur enkursigilo aŭ L3-ŝaltilo (uzante normajn ACLojn), vi renkontas aliajn problemojn:

  • Ĉi tio estas L3/L4-filtrado nur. Nenio malhelpas atakanton uzi permesitajn pordojn (ekz. TCP 80) por sia aplikaĵo (ne http)
  • kompleksa ACL-administrado (malfacila analizi ACLojn)
  • Ĉi tio ne estas plenplena fajroŝirmilo, tio signifas, ke vi devas eksplicite permesi inversan trafikon
  • kun ŝaltiloj vi estas kutime sufiĉe forte limigita de la grandeco de la TCAM, kiu povas rapide fariĝi problemo se vi prenas la "nur permesi kion vi bezonas" aliron.

Noto

Parolante pri inversa trafiko, ni devas memori, ke ni havas la sekvan ŝancon (Cisco)

permesi tcp ajnan ajn establitan

Sed vi devas kompreni, ke ĉi tiu linio estas ekvivalenta al du linioj:
permesi tcp ajnan ajn ack
permesi tcp ajnan unue

Kio signifas, ke eĉ se ne estis komenca TCP-segmento kun la SYN-flago (tio estas, la TCP-sesio eĉ ne komencis establi), ĉi tiu ACL permesos pakaĵeton kun la ACK-flago, kiun atakanto povas uzi por transdoni datumojn.

Tio estas, ĉi tiu linio neniel igas vian enkursigilon aŭ L3-ŝaltilon en plenplenan fajroŝirmilon.

Alta nivelo de protekto

В artikolo En la sekcio pri datumcentroj, ni konsideris la sekvajn protektajn metodojn.

  • laŭŝtata fajroŝirmilo (defaŭlte)
  • ddos/dos protekto
  • aplikaĵa fajroŝirmilo
  • minaco-preventado (antiviruso, kontraŭ-spiono kaj vundebleco)
  • URL-filtrado
  • filtrado de datumoj (filtrado de enhavo)
  • dosierblokado (dosiertipoj blokado)

En la kazo de oficejo, la situacio estas simila, sed la prioritatoj estas iomete malsamaj. Oficeja havebleco (havebleco) estas kutime ne tiel kritika kiel en la kazo de datumcentro, dum la verŝajneco de "interna" malica trafiko estas ordoj de grandeco pli alta.
Tial, la sekvaj protektaj metodoj por ĉi tiu segmento iĝas kritikaj:

  • aplikaĵa fajroŝirmilo
  • minaco-preventado (kontraŭviruso, kontraŭ-spiono kaj vundebleco)
  • URL-filtrado
  • filtrado de datumoj (filtrado de enhavo)
  • dosierblokado (dosiertipoj blokado)

Kvankam ĉiuj ĉi tiuj protektaj metodoj, escepte de aplikaĵa fajroŝirmilo, tradicie estis kaj daŭre estas solvitaj ĉe la finaj gastigantoj (ekzemple, instalante kontraŭvirusajn programojn) kaj uzante prokurojn, modernaj NGFW-oj ankaŭ provizas ĉi tiujn servojn.

Vendistoj de sekurecaj ekipaĵoj strebas krei ampleksan protekton, do kune kun loka protekto, ili ofertas diversajn nubajn teknologiojn kaj klientajn programojn por gastigantoj (finpunktoprotekto/EPP). Do, ekzemple, de 2018 Gartner Magia Kvadranto Ni vidas, ke Palo Alto kaj Cisco havas siajn proprajn EPP-ojn (PA: Traps, Cisco: AMP), sed estas malproksime de la gvidantoj.

Ebligi ĉi tiujn protektojn (kutime aĉetante licencojn) sur via fajroŝirmilo kompreneble ne estas deviga (vi povas iri la tradician vojon), sed ĝi donas kelkajn avantaĝojn:

  • en ĉi tiu kazo, ekzistas ununura punkto de apliko de protektaj metodoj, kiu plibonigas videblecon (vidu la sekvan temon).
  • Se estas senprotekta aparato en via reto, ĝi ankoraŭ restas sub la "ombrelo" de fajroŝirmilo.
  • Uzante fajroŝirmitan protekton kune kun fina gastiganta protekto, ni pliigas la verŝajnecon detekti malican trafikon. Ekzemple, uzi minacpreventadon sur lokaj gastigantoj kaj sur fajroŝirmilo pliigas la verŝajnecon de detekto (kondiĉe, kompreneble, ke ĉi tiuj solvoj baziĝas sur malsamaj softvaraĵoj)

Noto

Se vi ekzemple uzas Kaspersky kiel antiviruson kaj ĉe la fajroŝirmilo kaj ĉe la finaj gastigantoj, tiam ĉi tio, kompreneble, ne multe pliigos viajn ŝancojn malhelpi virusan atakon sur via reto.

Reta videbleco

La ĉefa ideo estas simpla - "vidu" kio okazas en via reto, kaj en reala tempo kaj historiaj datumoj.

Mi dividus ĉi tiun "vizion" en du grupojn:

Grupo unu: kion via monitora sistemo kutime provizas al vi.

  • ekipaĵo ŝarĝo
  • ŝargado de kanaloj
  • uzado de memoro
  • uzado de disko
  • ŝanĝante la vojtabelon
  • ligilo statuso
  • havebleco de ekipaĵo (aŭ gastigantoj)
  • ...

Grupo du: sekurecaj informoj.

  • diversaj specoj de statistikoj (ekzemple, laŭ aplikaĵo, laŭ URL-trafiko, kiaj tipoj de datumoj estis elŝutitaj, uzantdatenoj)
  • kio estis blokita de sekurecaj politikoj kaj pro kia kialo, nome
    • malpermesita aplikado
    • malpermesite surbaze de ip/protokolo/port/flags/zones
    • minaco prevento
    • URL-filtrado
    • filtrado de datumoj
    • dosiero blokado
    • ...
  • statistiko pri DOS/DDOS-atakoj
  • malsukcesaj provoj de identigo kaj rajtigo
  • statistikoj por ĉiuj ĉi-supraj sekurecpolitikaj malobservoj
  • ...

En ĉi tiu ĉapitro pri sekureco, ni interesiĝas pri la dua parto.

Iuj modernaj fajroŝirmiloj (el mia sperto de Palo Alto) provizas bonan vidnivelon. Sed, kompreneble, la trafiko, pri kiu vi interesiĝas, devas trairi ĉi tiun fajroŝirmilon (en kiu kazo vi havas la kapablon bloki trafikon) aŭ spegulita al la fajroŝirmilo (uzata nur por monitorado kaj analizo), kaj vi devas havi licencojn por ebligi ĉiujn. ĉi tiuj servoj.

Ekzistas, kompreneble, alternativa maniero, aŭ pli ĝuste la tradicia maniero, ekzemple,

  • Sesiaj statistikoj povas esti kolektitaj per retfluo kaj tiam uzataj specialaj servaĵoj por informanalizo kaj datumbildigo
  • minaco-preventado - specialaj programoj (kontraŭviruso, kontraŭ-spiono, fajroŝirmilo) ĉe finaj gastigantoj
  • URL-filtrado, datuma filtrado, dosierblokado - sur prokurilo
  • eblas ankaŭ analizi tcpdump uzante ekz. snorto

Vi povas kombini ĉi tiujn du alirojn, kompletigante mankantajn funkciojn aŭ duobligante ilin por pliigi la verŝajnecon de detekti atakon.

Kiun aliron vi elektu?
Tre dependas de la kvalifikoj kaj preferoj de via teamo.
Kaj tie kaj estas avantaĝoj kaj malavantaĝoj.

Unuigita centralizita aŭtentikigo kaj rajtigosistemo

Se bone desegnita, la movebleco, kiun ni diskutis en ĉi tiu artikolo, supozas, ke vi havas la saman aliron ĉu vi laboras de la oficejo aŭ de hejme, de la flughaveno, de kafejo aŭ ie ajn aliloke (kun la limigoj, kiujn ni diskutis supre). Ŝajnus, kio estas la problemo?
Por pli bone kompreni la kompleksecon de ĉi tiu tasko, ni rigardu tipan dezajnon.

Ekzemplo:

  • Vi dividis ĉiujn dungitojn en grupojn. Vi decidis doni aliron per grupoj
  • Ene de la oficejo, vi kontrolas aliron sur la oficeja fajroŝirmilo
  • Vi kontrolas trafikon de la oficejo al la datumcentro sur la datumcentra fajroŝirmilo
  • Vi uzas Cisco ASA kiel VPN-enirejon kaj por kontroli trafikon enirantan vian reton de foraj klientoj, vi uzas lokajn (sur la ASA) ACLs.

Nun, ni diru, ke vi petas aldoni plian aliron al certa dungito. En ĉi tiu kazo, vi petas aldoni aliron nur al li kaj neniu alia el lia grupo.

Por tio ni devas krei apartan grupon por ĉi tiu dungito, tio estas

  • kreu apartan IP-poolon sur la ASA por ĉi tiu dungito
  • aldonu novan ACL sur la ASA kaj ligu ĝin al tiu fora kliento
  • krei novajn sekurecpolitikojn pri oficejaj kaj datumcentraj fajromuroj

Estas bone, se ĉi tiu evento estas malofta. Sed en mia praktiko estis situacio, kiam dungitoj partoprenis en malsamaj projektoj, kaj ĉi tiu aro de projektoj por iuj el ili sufiĉe ofte ŝanĝiĝis, kaj ĝi ne estis 1-2 homoj, sed dekoj. Kompreneble, io necesas ŝanĝi ĉi tie.

Ĉi tio estis solvita en la sekva maniero.

Ni decidis, ke LDAP estus la sola fonto de vero, kiu determinas ĉiujn eblajn dungitajn alirojn. Ni kreis ĉiajn grupojn, kiuj difinas arojn de aliroj, kaj ni asignis ĉiun uzanton al unu aŭ pluraj grupoj.

Do, ekzemple, supozu ke ekzistis grupoj

  • gasto (Interreta aliro)
  • komuna aliro (aliro al komunaj rimedoj: poŝto, sciobazo, ...)
  • librotenado
  • projekto 1
  • projekto 2
  • administranto de datumbazoj
  • linukso administranto
  • ...

Kaj se unu el la dungitoj estis implikita en projekto 1 kaj projekto 2, kaj li bezonis la aliron necesan por labori en ĉi tiuj projektoj, tiam ĉi tiu dungito estis asignita al la sekvaj grupoj:

  • gasto
  • komuna aliro
  • projekto 1
  • projekto 2

Kiel ni nun povas transformi ĉi tiun informon en aliron al retaj ekipaĵoj?

Politiko de Dinamika Aliro de Cisco ASA (DAP) (vidu www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) solvo estas ĝuste por ĉi tiu tasko.

Mallonge pri nia efektivigo, dum la identigo/rajtigo, ASA ricevas de LDAP aron da grupoj respondaj al difinita uzanto kaj "kolektas" de pluraj lokaj ACL-oj (ĉiu el kiuj respondas al grupo) dinamikan ACL kun ĉiuj necesaj aliroj. , kiu plene respondas al niaj deziroj.

Sed ĉi tio estas nur por VPN-konektoj. Por ke la situacio estu sama por ambaŭ dungitoj konektitaj per VPN kaj tiuj en la oficejo, la sekva paŝo estis farita.

Konektante de la oficejo, uzantoj uzantaj la 802.1x-protokolon alvenis en aŭ gasta LAN (por gastoj) aŭ komuna LAN (por firmaaj dungitoj). Plue, por akiri specifan aliron (ekzemple al projektoj en datumcentro), dungitoj devis konektiĝi per VPN.

Por ligi de la oficejo kaj de hejme, malsamaj tunelgrupoj estis uzitaj sur la ASA. Ĉi tio estas necesa por ke por tiuj, kiuj konektas de la oficejo, trafiko al komunaj rimedoj (uzataj de ĉiuj dungitoj, kiel poŝto, dosierserviloj, biletsistemo, dns, ...) ne iru tra la ASA, sed tra la loka reto. . Tiel, ni ne ŝarĝis la ASA per nenecesa trafiko, inkluzive de altintensa trafiko.

Tiel, la problemo estis solvita.
Ni ricevis

  • la sama aro de aliroj por ambaŭ konektoj de la oficejo kaj foraj ligoj
  • foresto de serva degenero dum laborado de la oficejo asociita kun la dissendo de altintensa trafiko tra ASA

Kiuj aliaj avantaĝoj de ĉi tiu aliro?
En administrado de aliro. Aliroj povas esti facile ŝanĝitaj en unu loko.
Ekzemple, se dungito forlasas la firmaon, tiam vi simple forigas lin de LDAP, kaj li aŭtomate perdas ĉian aliron.

Kontrolado de gastiganto

Kun la ebleco de fora konekto, ni riskas permesi ne nur kompanian dungiton en la reton, sed ankaŭ ĉiujn malicajn programojn, kiuj tre verŝajne ĉeestas en lia komputilo (ekzemple, hejme), kaj krome, per ĉi tiu programaro ni eble provizas aliron al nia reto al atakanto uzanta ĉi tiun gastiganton kiel prokurilon.

Ĝi havas sencon por malproksime konektita gastiganto apliki la samajn sekurecpostulojn kiel en-oficeja gastiganto.

Ĉi tio ankaŭ supozas la "ĝustan" version de la OS, kontraŭvirusa, kontraŭspiono kaj fajroŝirmila programaro kaj ĝisdatigoj. Tipe, ĉi tiu kapablo ekzistas sur la VPN-enirejo (por ASA vidu, ekzemple, tie).

Ankaŭ estas saĝe apliki la samajn trafikan analizon kaj blokajn teknikojn (vidu "Alta nivelo de protekto"), kiujn via sekureca politiko aplikas al oficeja trafiko.

Estas racie supozi, ke via oficeja reto ne plu estas limigita al la oficeja konstruaĵo kaj la gastigantoj en ĝi.

Ekzemplo:

Bona tekniko estas provizi ĉiun dungiton, kiu postulas foran aliron per bona, oportuna tekkomputilo kaj postuli ilin labori, kaj en la oficejo kaj hejme, nur de ĝi.

Ĝi ne nur plibonigas la sekurecon de via reto, sed ĝi ankaŭ estas vere oportuna kaj estas kutime rigardata favore de dungitoj (se ĝi estas vere bona, uzant-amika tekokomputilo).

Pri sento de proporcio kaj ekvilibro

Esence, ĉi tio estas konversacio pri la tria vertico de nia triangulo - pri prezo.
Ni rigardu hipotezan ekzemplon.

Ekzemplo:

Vi havas oficejon por 200 homoj. Vi decidis fari ĝin kiel eble plej oportuna kaj sekura.

Tial vi decidis pasi la tutan trafikon tra la fajroŝirmilo kaj tiel por ĉiuj oficejaj subretoj la fajroŝirmilo estas la defaŭlta enirejo. Krom la sekureca programaro instalita sur ĉiu fina gastiganto (kontraŭvirusa, kontraŭspiono kaj fajroŝirmilo), vi ankaŭ decidis apliki ĉiujn eblajn protektajn metodojn sur la fajroŝirmilo.

Por certigi altan konektan rapidon (ĉio por komforto), vi elektis ŝaltilojn kun 10 Gigabit-alirhavenoj kiel alirŝaltiloj, kaj alt-efikecajn NGFW-fajrmurojn kiel fajromurojn, ekzemple, Palo Alto 7K-serio (kun 40 Gigabit-havenoj), nature kun ĉiuj licencoj. inkluzivita kaj, nature, Alta Havebleca paro.

Ankaŭ, kompreneble, por labori kun ĉi tiu linio de ekipaĵo ni bezonas almenaŭ kelkajn tre kvalifikitajn sekurecajn inĝenierojn.

Poste, vi decidis doni al ĉiu dungito bonan tekkomputilon.

Entute, ĉirkaŭ 10 milionoj da dolaroj por efektivigo, centoj da miloj da dolaroj (mi pensas pli proksime al miliono) por ĉiujara subteno kaj salajroj por inĝenieroj.

Oficejo, 200 homoj...
Komforta? Mi supozas, ke jes.

Vi venas kun ĉi tiu propono al via administrado...
Eble estas kelkaj kompanioj en la mondo, por kiuj ĉi tio estas akceptebla kaj ĝusta solvo. Se vi estas dungito de ĉi tiu kompanio, mi gratulas, sed en la granda plimulto de kazoj, mi certas, ke via scio ne estos aprezata de la administrado.

Ĉu ĉi tiu ekzemplo estas troigita? La sekva ĉapitro respondos ĉi tiun demandon.

Se en via reto vi ne vidas iun el la supre, tiam ĉi tio estas la normo.
Por ĉiu specifa kazo, vi devas trovi vian propran akcepteblan kompromison inter oportuno, prezo kaj sekureco. Ofte vi eĉ ne bezonas NGFW en via oficejo, kaj L7-protekto sur la fajroŝirmilo ne estas bezonata. Sufiĉas provizi bonan nivelon de videbleco kaj atentigoj, kaj ĉi tio povas esti farita uzante malfermfontajn produktojn, ekzemple. Jes, via reago al atako ne estos tuja, sed la ĉefa afero estas, ke vi vidos ĝin, kaj kun la ĝustaj procezoj en via fako, vi povos rapide neŭtraligi ĝin.

Kaj mi memorigu vin, ke laŭ la koncepto de ĉi tiu serio de artikoloj, vi ne desegnas reton, vi nur provas plibonigi tion, kion vi ricevis.

SEKURA analizo de oficeja arkitekturo

Atentu ĉi tiun ruĝan kvadraton, per kiu mi asignis lokon sur la diagramo de SAFE Secure Campus Architecture Guidekiujn mi ŝatus diskuti ĉi tie.

Kiel regi vian retan infrastrukturon. Ĉapitro tri. Reta sekureco. Parto tri

Ĉi tio estas unu el la ŝlosilaj lokoj de arkitekturo kaj unu el la plej gravaj necertecoj.

Noto

Mi neniam instalis aŭ laboris kun FirePower (de la fajroŝirmilo de Cisco - nur ASA), do mi traktos ĝin kiel ajnan alian fajroŝirmilon, kiel Juniper SRX aŭ Palo Alto, supozante ke ĝi havas la samajn kapablojn.

El la kutimaj dezajnoj, mi vidas nur 4 eblajn eblojn por uzi fajroŝirmilon kun ĉi tiu konekto:

  • la defaŭlta enirejo por ĉiu subreto estas ŝaltilo, dum la fajroŝirmilo estas en travidebla reĝimo (tio estas, la tuta trafiko trairas ĝin, sed ĝi ne formas L3-salton)
  • la defaŭlta enirejo por ĉiu subreto estas la fajroŝirmilaj sub-interfacoj (aŭ SVI-interfacoj), la ŝaltilo ludas la rolon de L2
  • malsamaj VRFoj estas uzitaj sur la ŝaltilo, kaj trafiko inter VRFoj pasas tra la fajroŝirmilo, trafiko ene de unu VRF estas kontrolita per la ACL sur la ŝaltilo.
  • ĉiu trafiko estas spegulita al la fajroŝirmilo por analizo kaj monitorado; trafiko ne trairas ĝin

Rimarko 1

Kombinaĵoj de ĉi tiuj opcioj eblas, sed por simpleco ni ne konsideros ilin.

Noto 2

Ankaŭ ekzistas la ebleco uzi PBR (servĉena arkitekturo), sed nuntempe ĉi tio, kvankam bela solvo laŭ mi, estas sufiĉe ekzotika, do mi ne konsideras ĝin ĉi tie.

De la priskribo de la fluoj en la dokumento, ni vidas, ke la trafiko ankoraŭ trairas la fajroŝirmilon, tio estas, laŭ la dezajno de Cisco, la kvara opcio estas forigita.

Ni unue rigardu la unuajn du eblojn.
Kun ĉi tiuj opcioj, la tuta trafiko trairas la fajroŝirmilon.

Nun ni rigardu datumpaĝo, rigardu Cisco GPL kaj ni vidas, ke se ni volas, ke la tuta bendolarĝo por nia oficejo estu almenaŭ ĉirkaŭ 10 - 20 gigabitoj, tiam ni devas aĉeti la 4K-version.

Noto

Kiam mi parolas pri la tuta bendolarĝo, mi celas trafikon inter subretoj (kaj ne ene de unu vilano).

De la GPL ni vidas, ke por la HA Bundle kun Threat Defense, la prezo depende de la modelo (4110 - 4150) varias de ~0,5 - 2,5 milionoj da dolaroj.

Tio estas, nia dezajno komencas simili la antaŭan ekzemplon.

Ĉu ĉi tio signifas, ke ĉi tiu dezajno estas malĝusta?
Ne, tio ne signifas. Cisco donas al vi la plej bonan eblan protekton bazitan sur la produktserio kiun ĝi havas. Sed tio ne signifas, ke ĝi estas nepra por vi.

En principo, ĉi tio estas ofta demando, kiu ŝprucas dum desegnado de oficejo aŭ datumcentro, kaj ĝi nur signifas, ke kompromiso devas esti serĉita.

Ekzemple, ne lasu la tutan trafikon trapasi fajroŝirmilon, tiukaze opcio 3 ŝajnas al mi sufiĉe bona, aŭ (vidu antaŭan sekcion) eble vi ne bezonas Minacdefendon aŭ tute ne bezonas fajroŝirmilon pri tio. retsegmento, kaj vi nur bezonas limigi vin al pasiva monitorado per pagitaj (ne multekostaj) aŭ malfermfontaj solvoj, aŭ vi bezonas fajroŝirmilon, sed de malsama vendisto.

Kutime ĉiam estas ĉi tiu necerteco kaj ne ekzistas klara respondo pri kiu decido estas la plej bona por vi.
Jen la komplekseco kaj beleco de ĉi tiu tasko.

fonto: www.habr.com

Aldoni komenton