ProHoster > Blog > administración > Cómo tomar el control de su infraestructura de red. Capítulo tres. Seguridad de la red. Parte tres

Cómo tomar el control de su infraestructura de red. Capítulo tres. Seguridad de la red. Parte tres

Este artículo es el quinto de la serie "Cómo tomar el control de su infraestructura de red". Se pueden encontrar los contenidos de todos los artículos de la serie y los enlaces. aquí.

Esta parte estará dedicada a los segmentos VPN de campus (oficina) y acceso remoto.

Cómo tomar el control de su infraestructura de red. Capítulo tres. Seguridad de la red. Parte tres

El diseño de redes de oficinas puede parecer sencillo.

De hecho, tomamos interruptores L2/L3 y los conectamos entre sí. A continuación, realizamos la configuración básica de vilans y gateways predeterminados, configuramos enrutamiento simple, conectamos controladores WiFi, puntos de acceso, instalamos y configuramos ASA para acceso remoto, nos alegra que todo haya funcionado. Básicamente, como ya escribí en uno de los anteriores artículos de este ciclo, casi todos los estudiantes que han asistido (y aprendido) dos semestres de un curso de telecomunicaciones pueden diseñar y configurar una red de oficina para que “de alguna manera funcione”.

Pero cuanto más aprendes, menos sencilla empieza a parecerte esta tarea. Para mí personalmente, este tema, el tema del diseño de redes de oficinas, no parece nada sencillo, y en este artículo intentaré explicar por qué.

En definitiva, hay bastantes factores a considerar. A menudo estos factores están en conflicto entre sí y es necesario buscar un compromiso razonable.
Esta incertidumbre es la principal dificultad. Entonces, hablando de seguridad, tenemos un triángulo con tres vértices: seguridad, comodidad para los empleados, precio de la solución.
Y cada vez hay que buscar un compromiso entre estos tres.

Arquitectura

Como ejemplo de arquitectura para estos dos segmentos, como en artículos anteriores, recomiendo Cisco SEGURO modelo: Campus empresarial, Borde de Internet empresarial.

Estos son documentos algo obsoletos. Los presento aquí porque los esquemas y el enfoque fundamental no han cambiado, pero al mismo tiempo me gusta más la presentación que en nueva documentacion.

Sin animarle a utilizar las soluciones de Cisco, sigo pensando que es útil estudiar detenidamente este diseño.

Este artículo, como es habitual, no pretende de ninguna manera ser completo, sino que es un complemento a esta información.

Al final del artículo, analizaremos el diseño de la oficina Cisco SAFE en términos de los conceptos aquí descritos.

Principios Generales

El diseño de la red de oficinas debe, por supuesto, satisfacer los requisitos generales que se han comentado. aquí en el capítulo “Criterios para evaluar la calidad del diseño”. Además del precio y la seguridad, de los que pretendemos hablar en este artículo, todavía hay tres criterios que debemos considerar a la hora de diseñar (o realizar cambios):

  • escalabilidad
  • facilidad de manejo
  • disponibilidad

Gran parte de lo que se discutió durante centros de datos Esto también es válido para la oficina.

Pero aún así, el segmento de oficinas tiene sus propias particularidades, que son críticas desde el punto de vista de la seguridad. La esencia de esta especificidad es que este segmento se crea para brindar servicios de red a los empleados (así como a socios e invitados) de la empresa y, como resultado, en el nivel más alto de consideración del problema tenemos dos tareas:

  • proteger los recursos de la empresa de acciones maliciosas que puedan provenir de los empleados (invitados, socios) y del software que utilizan. Esto también incluye protección contra conexiones no autorizadas a la red.
  • proteger los sistemas y los datos de los usuarios

Y este es sólo un lado del problema (o más bien, un vértice del triángulo). Por otro lado está la comodidad del usuario y el precio de las soluciones utilizadas.

Comencemos analizando lo que un usuario espera de una red de oficina moderna.

Instalaciones

En mi opinión, así es como se ven las “servicios de red” para un usuario de oficina:

  • Movilidad
  • Capacidad para utilizar toda la gama de dispositivos y sistemas operativos familiares.
  • Fácil acceso a todos los recursos necesarios de la empresa.
  • Disponibilidad de recursos de Internet, incluidos varios servicios en la nube.
  • "Operación rápida" de la red.

Todo esto se aplica tanto a los empleados como a los invitados (o socios), y es tarea de los ingenieros de la empresa diferenciar el acceso para diferentes grupos de usuarios en función de la autorización.

Veamos cada uno de estos aspectos con un poco más de detalle.

Movilidad

Estamos hablando de la oportunidad de trabajar y utilizar todos los recursos necesarios de la empresa desde cualquier parte del mundo (por supuesto, donde esté disponible Internet).

Esto se aplica plenamente a la oficina. Esto es conveniente cuando tienes la oportunidad de seguir trabajando desde cualquier lugar de la oficina, por ejemplo, recibir correo, comunicarte en un mensajero corporativo, estar disponible para una videollamada, ... Así, esto te permite, por un lado, para resolver algunos problemas de comunicación "en vivo" (por ejemplo, participar en mítines) y, por otro lado, estar siempre en línea, estar al tanto y resolver rápidamente algunas tareas urgentes de alta prioridad. Esto es muy conveniente y realmente mejora la calidad de las comunicaciones.

Esto se logra mediante un diseño adecuado de la red WiFi.

Nota

Aquí suele surgir la pregunta: ¿es suficiente con utilizar sólo WiFi? ¿Significa esto que puedes dejar de usar puertos Ethernet en la oficina? Si hablamos solo de usuarios, y no de servidores, a los que aún es razonable conectarse mediante un puerto Ethernet normal, entonces, en general, la respuesta es: sí, puede limitarse solo a WiFi. Pero hay matices.

Hay grupos de usuarios importantes que requieren un enfoque separado. Estos son, por supuesto, administradores. En principio, una conexión WiFi es menos fiable (en términos de pérdida de tráfico) y más lenta que un puerto Ethernet normal. Esto puede ser importante para los administradores. Además, los administradores de red, por ejemplo, pueden disponer en principio de una red Ethernet propia y dedicada para conexiones fuera de banda.

Puede haber otros grupos/departamentos en su empresa para los que estos factores también sean importantes.

Hay otro punto importante: la telefonía. Quizás por alguna razón no desee utilizar VoIP inalámbrico y desee utilizar teléfonos IP con una conexión Ethernet normal.

Por lo general, las empresas para las que trabajaba solían tener tanto conectividad WiFi como puerto Ethernet.

Me gustaría que la movilidad no se limitara sólo a la oficina.

Para garantizar la posibilidad de trabajar desde casa (o cualquier otro lugar con Internet accesible), se utiliza una conexión VPN. Al mismo tiempo, es deseable que los empleados no sientan la diferencia entre trabajar desde casa y trabajar a distancia, que supone el mismo acceso. Discutiremos cómo organizar esto un poco más adelante en el capítulo "Sistema unificado de autenticación y autorización centralizado".

Nota

Lo más probable es que no pueda brindar la misma calidad de servicios para el trabajo remoto que ofrece en la oficina. Supongamos que está utilizando un Cisco ASA 5520 como puerta de enlace VPN. hoja de datos este dispositivo es capaz de “digerir” sólo 225 Mbit de tráfico VPN. Eso es, por supuesto, en términos de ancho de banda, conectarse a través de VPN es muy diferente a trabajar desde la oficina. Además, si por alguna razón la latencia, pérdida, jitter (por ejemplo, quieres usar telefonía IP de oficina) para tus servicios de red son importantes, tampoco recibirás la misma calidad que si estuvieras en la oficina. Por eso, cuando hablamos de movilidad, debemos ser conscientes de las posibles limitaciones.

Fácil acceso a todos los recursos de la empresa.

Esta tarea deberá resolverse conjuntamente con otros departamentos técnicos.
La situación ideal es cuando el usuario solo necesita autenticarse una vez y luego tiene acceso a todos los recursos necesarios.
Proporcionar un acceso sencillo sin sacrificar la seguridad puede mejorar significativamente la productividad y reducir el estrés entre sus colegas.

Observación 1

La facilidad de acceso no se trata sólo de cuántas veces hay que introducir una contraseña. Si, por ejemplo, de acuerdo con su política de seguridad, para conectarse desde la oficina al centro de datos, primero debe conectarse a la puerta de enlace VPN y al mismo tiempo pierde el acceso a los recursos de la oficina, entonces esto también es muy , muy inconveniente.

Observación 2

Hay servicios (por ejemplo, acceso a equipos de red) donde normalmente tenemos nuestros propios servidores AAA dedicados y esta es la norma cuando en este caso tenemos que autenticarnos varias veces.

Disponibilidad de recursos de Internet.

Internet no es sólo entretenimiento, sino también un conjunto de servicios que pueden resultar de gran utilidad para el trabajo. También hay factores puramente psicológicos. Una persona moderna está conectada con otras personas a través de Internet a través de muchos hilos virtuales y, en mi opinión, no hay nada de malo si continúa sintiendo esta conexión incluso mientras trabaja.

Desde el punto de vista de la pérdida de tiempo, no hay nada de malo si un empleado, por ejemplo, tiene Skype funcionando y dedica 5 minutos a comunicarse con un ser querido si es necesario.

¿Significa esto que Internet siempre debe estar disponible? ¿Significa esto que los empleados pueden tener acceso a todos los recursos y no controlarlos de ninguna manera?

No, no significa eso, por supuesto. El nivel de apertura de Internet puede variar para las distintas empresas: desde un cierre total hasta una apertura total. Analizaremos formas de controlar el tráfico más adelante en las secciones sobre medidas de seguridad.

Capacidad para utilizar toda la gama de dispositivos familiares

Es conveniente cuando, por ejemplo, tienes la oportunidad de seguir utilizando todos los medios de comunicación a los que estás acostumbrado en el trabajo. No hay ninguna dificultad para implementar esto técnicamente. Para ello necesitas WiFi y una wilan para invitados.

También es bueno si tienes la oportunidad de utilizar el sistema operativo al que estás acostumbrado. Pero, en mi opinión, esto normalmente sólo está permitido a gerentes, administradores y desarrolladores.

ejemplo

Por supuesto, puedes seguir el camino de las prohibiciones, prohibir el acceso remoto, prohibir la conexión desde dispositivos móviles, limitar todo a conexiones Ethernet estáticas, limitar el acceso a Internet, confiscar obligatoriamente teléfonos móviles y gadgets en los puestos de control... y este camino En realidad, algunas organizaciones lo siguen con mayores requisitos de seguridad, y quizás en algunos casos esto pueda estar justificado, pero... debes estar de acuerdo en que esto parece un intento de detener el progreso en una sola organización. Por supuesto, me gustaría combinar las posibilidades que ofrecen las tecnologías modernas con un nivel suficiente de seguridad.

"Operación rápida" de la red.

La velocidad de transferencia de datos técnicamente consta de muchos factores. Y la velocidad de tu puerto de conexión no suele ser la más importante. El funcionamiento lento de una aplicación no siempre va asociado a problemas de red, pero por ahora sólo nos interesa la parte de red. El problema más común con la "desaceleración" de la red local está relacionado con la pérdida de paquetes. Esto suele ocurrir cuando hay un cuello de botella o problemas de L1 (OSI). Más raramente, con algunos diseños (por ejemplo, cuando sus subredes tienen un firewall como puerta de enlace predeterminada y, por lo tanto, todo el tráfico pasa a través de él), es posible que falte rendimiento del hardware.

Por lo tanto, al elegir el equipo y la arquitectura, es necesario correlacionar las velocidades de los puertos finales, las troncales y el rendimiento del equipo.

ejemplo

Supongamos que está utilizando conmutadores con puertos de 1 gigabit como conmutadores de capa de acceso. Están conectados entre sí mediante Etherchannel 2 x 10 gigabits. Como puerta de enlace predeterminada, utiliza un firewall con puertos gigabit, para conectarse a la red de la oficina L2 utiliza 2 puertos gigabit combinados en un Etherchannel.

Esta arquitectura es bastante conveniente desde el punto de vista de la funcionalidad, porque... Todo el tráfico pasa a través del firewall y usted puede administrar cómodamente las políticas de acceso y aplicar algoritmos complejos para controlar el tráfico y prevenir posibles ataques (ver más abajo), pero desde el punto de vista del rendimiento y el rendimiento, este diseño, por supuesto, tiene problemas potenciales. Así, por ejemplo, 2 hosts que descargan datos (con una velocidad de puerto de 1 gigabit) pueden cargar completamente una conexión de 2 gigabit al firewall y, por lo tanto, provocar una degradación del servicio para todo el segmento de oficinas.

Hemos analizado un vértice del triángulo, ahora veamos cómo podemos garantizar la seguridad.

Remedios

Por lo tanto, por supuesto, normalmente nuestro deseo (o más bien, el deseo de nuestra dirección) es lograr lo imposible, es decir, proporcionar la máxima comodidad con la máxima seguridad y el mínimo coste.

Veamos qué métodos tenemos para brindar protección.

Para la oficina destacaría lo siguiente:

  • enfoque de confianza cero para el diseño
  • alto nivel de protección
  • visibilidad de la red
  • sistema unificado centralizado de autenticación y autorización
  • comprobación de host

A continuación, nos detendremos un poco más en detalle en cada uno de estos aspectos.

Zero Trust

El mundo de las tecnologías de la información está cambiando muy rápidamente. En los últimos 10 años, la aparición de nuevas tecnologías y productos ha llevado a una importante revisión de los conceptos de seguridad. Hace diez años, desde el punto de vista de la seguridad, segmentamos la red en zonas de confianza, dmz y untrust, y utilizamos la llamada “protección perimetral”, donde había 2 líneas de defensa: untrust -> dmz y dmz -> confianza. Además, la protección generalmente se limitaba a listas de acceso basadas en encabezados L3/L4 (OSI) (IP, puertos TCP/UDP, indicadores TCP). Todo lo relacionado con los niveles superiores, incluido L7, se dejó en manos del sistema operativo y los productos de seguridad instalados en los hosts finales.

Ahora la situación ha cambiado dramáticamente. Concepto moderno cero confianza surge del hecho de que ya no es posible considerar confiables los sistemas internos, es decir, los ubicados dentro del perímetro, y el concepto de perímetro en sí se ha desdibujado.
Además de conexión a internet también tenemos

  • usuarios de VPN de acceso remoto
  • varios dispositivos personales, computadoras portátiles traidas, conectadas a través de WiFi de la oficina
  • otras oficinas (sucursales)
  • integración con la infraestructura de la nube

¿Cómo se ve en la práctica el enfoque Zero Trust?

Lo ideal sería permitir sólo el tráfico que se requiere y, si hablamos de lo ideal, entonces el control debería estar no sólo a nivel L3/L4, sino a nivel de aplicación.

Si, por ejemplo, tiene la capacidad de pasar todo el tráfico a través de un firewall, entonces puede intentar acercarse a lo ideal. Pero este enfoque puede reducir significativamente el ancho de banda total de su red y, además, el filtrado por aplicación no siempre funciona bien.

Al controlar el tráfico en un enrutador o conmutador L3 (usando ACL estándar), encuentra otros problemas:

  • Este es el filtrado L3/L4 únicamente. No hay nada que impida que un atacante utilice puertos permitidos (por ejemplo, TCP 80) para su aplicación (no http).
  • gestión compleja de ACL (difícil de analizar las ACL)
  • Este no es un firewall con estado completo, lo que significa que debe permitir explícitamente el tráfico inverso.
  • Con los interruptores, normalmente estás bastante limitado por el tamaño del TCAM, lo que puede convertirse rápidamente en un problema si adoptas el enfoque de "permitir sólo lo que necesitas".

Nota

Hablando de tráfico inverso, debemos recordar que tenemos la siguiente oportunidad (Cisco)

permitir tcp cualquiera establecido

Pero debes entender que esta línea equivale a dos líneas:
permitir tcp cualquier reconocimiento
permitir tcp cualquier primero

Lo que significa que incluso si no hubiera un segmento TCP inicial con el indicador SYN (es decir, la sesión TCP ni siquiera comenzó a establecerse), esta ACL permitirá un paquete con el indicador ACK, que un atacante puede usar para transferir datos.

Es decir, esta línea de ninguna manera convierte su enrutador o conmutador L3 en un firewall con estado completo.

Alto nivel de protección

В статье En la sección de centros de datos, consideramos los siguientes métodos de protección.

  • firewall con estado (predeterminado)
  • protección contra DDOS/DOS
  • firewall de aplicaciones
  • prevención de amenazas (antivirus, antispyware y vulnerabilidad)
  • Filtrado de URL
  • filtrado de datos (filtrado de contenidos)
  • bloqueo de archivos (bloqueo de tipos de archivos)

En el caso de una oficina, la situación es similar, pero las prioridades son ligeramente diferentes. La disponibilidad de la oficina (disponibilidad) no suele ser tan crítica como en el caso de un centro de datos, mientras que la probabilidad de tráfico malicioso "interno" es mucho mayor.
Por lo tanto, los siguientes métodos de protección para este segmento se vuelven críticos:

  • firewall de aplicaciones
  • prevención de amenazas (antivirus, antispyware y vulnerabilidad)
  • Filtrado de URL
  • filtrado de datos (filtrado de contenidos)
  • bloqueo de archivos (bloqueo de tipos de archivos)

Aunque todos estos métodos de protección, con la excepción del firewall de aplicaciones, tradicionalmente se han resuelto y se siguen resolviendo en los hosts finales (por ejemplo, instalando programas antivirus) y utilizando servidores proxy, los NGFW modernos también brindan estos servicios.

Los proveedores de equipos de seguridad se esfuerzan por crear una protección integral, por lo que, junto con la protección local, ofrecen varias tecnologías de nube y software de cliente para hosts (protección de punto final/EPP). Así, por ejemplo, desde Cuadrante Mágico de Gartner 2018 Vemos que Palo Alto y Cisco tienen sus propios EPP (PA: Traps, Cisco: AMP), pero están lejos de los líderes.

Por supuesto, habilitar estas protecciones (normalmente comprando licencias) en su firewall no es obligatorio (puede seguir la ruta tradicional), pero proporciona algunos beneficios:

  • en este caso, hay un único punto de aplicación de los métodos de protección, lo que mejora la visibilidad (ver el siguiente tema).
  • Si hay un dispositivo desprotegido en su red, todavía está bajo el "paraguas" de protección firewall
  • Al utilizar la protección del firewall junto con la protección del host final, aumentamos la probabilidad de detectar tráfico malicioso. Por ejemplo, el uso de la prevención de amenazas en hosts locales y en un firewall aumenta la probabilidad de detección (siempre, por supuesto, que estas soluciones se basen en diferentes productos de software).

Nota

Si, por ejemplo, utiliza Kaspersky como antivirus tanto en el firewall como en los hosts finales, esto, por supuesto, no aumentará en gran medida sus posibilidades de prevenir un ataque de virus en su red.

Visibilidad de la red

idea central es simple: "ver" lo que está sucediendo en su red, tanto en tiempo real como con datos históricos.

Yo dividiría esta “visión” en dos grupos:

Grupo uno: lo que normalmente le proporciona su sistema de seguimiento.

  • carga de equipos
  • canales de carga
  • uso de memoria
  • uso del disco
  • cambiar la tabla de enrutamiento
  • estado del enlace
  • disponibilidad de equipos (o hosts)
  • ...

Grupo dos: información relacionada con la seguridad.

  • varios tipos de estadísticas (por ejemplo, por aplicación, por tráfico de URL, qué tipos de datos se descargaron, datos de usuario)
  • qué fue bloqueado por las políticas de seguridad y por qué motivo, es decir
    • aplicación prohibida
    • prohibido según ip/protocolo/puerto/flags/zonas
    • prevención de amenazas
    • filtrado de URL
    • filtrado de datos
    • bloqueo de archivos
    • ...
  • estadísticas sobre ataques DOS/DDOS
  • intentos fallidos de identificación y autorización
  • estadísticas de todos los eventos de violación de la política de seguridad anteriores
  • ...

En este capítulo sobre seguridad, nos interesa la segunda parte.

Algunos firewalls modernos (según mi experiencia en Palo Alto) brindan un buen nivel de visibilidad. Pero, por supuesto, el tráfico que le interesa debe pasar a través de este firewall (en cuyo caso tiene la capacidad de bloquear el tráfico) o reflejarse en el firewall (usado solo para monitoreo y análisis), y debe tener licencias para habilitar todo. estos servicios.

Por supuesto, existe una forma alternativa, o más bien la forma tradicional, por ejemplo,

  • Las estadísticas de la sesión se pueden recopilar a través de netflow y luego utilizar utilidades especiales para el análisis de información y la visualización de datos.
  • Prevención de amenazas: programas especiales (antivirus, antispyware, firewall) en los hosts finales.
  • Filtrado de URL, filtrado de datos, bloqueo de archivos – en proxy
  • También es posible analizar tcpdump usando, por ejemplo. bufido

Puede combinar estos dos enfoques, complementando las funciones que faltan o duplicándolas para aumentar la probabilidad de detectar un ataque.

¿Qué enfoque debería elegir?
Depende en gran medida de las calificaciones y preferencias de su equipo.
Tanto allí como allí hay pros y contras.

Sistema unificado centralizado de autenticación y autorización.

Cuando está bien diseñada, la movilidad que comentamos en este artículo supone que tienes el mismo acceso ya sea que trabajes desde la oficina o desde casa, desde el aeropuerto, desde una cafetería o cualquier otro lugar (con las limitaciones que comentamos anteriormente). Al parecer, ¿cuál es el problema?
Para comprender mejor la complejidad de esta tarea, veamos un diseño típico.

ejemplo

  • Ha dividido a todos los empleados en grupos. Has decidido proporcionar acceso por grupos.
  • Dentro de la oficina, usted controla el acceso mediante el firewall de la oficina
  • Usted controla el tráfico desde la oficina al centro de datos en el firewall del centro de datos.
  • Usted utiliza un Cisco ASA como puerta de enlace VPN y para controlar el tráfico que ingresa a su red desde clientes remotos, usa ACL locales (en el ASA).

Ahora, digamos que se le solicita que agregue acceso adicional a un determinado empleado. En este caso, se le pedirá que le agregue acceso solo a él y a nadie más de su grupo.

Para ello tenemos que crear un grupo separado para este empleado, es decir

  • cree un grupo de IP separado en el ASA para este empleado
  • agregue una nueva ACL en el ASA y vincúlela a ese cliente remoto
  • crear nuevas políticas de seguridad en firewalls de oficinas y centros de datos

Es bueno que este evento sea raro. Pero en mi práctica hubo una situación en la que los empleados participaron en diferentes proyectos, y este conjunto de proyectos para algunos de ellos cambiaba con bastante frecuencia, y no eran 1 o 2 personas, sino docenas. Por supuesto, aquí era necesario cambiar algo.

Esto se solucionó de la siguiente manera.

Decidimos que LDAP sería la única fuente de verdad que determina todos los accesos posibles de los empleados. Creamos todo tipo de grupos que definen conjuntos de accesos y asignamos a cada usuario a uno o más grupos.

Así, por ejemplo, supongamos que hubiera grupos

  • invitado (acceso a Internet)
  • acceso común (acceso a recursos compartidos: correo, base de conocimientos, ...)
  • contabilidad
  • proyecto 1
  • proyecto 2
  • administrador de base de datos
  • administrador de linux
  • ...

Y si uno de los empleados estaba involucrado tanto en el proyecto 1 como en el proyecto 2 y necesitaba el acceso necesario para trabajar en estos proyectos, entonces este empleado fue asignado a los siguientes grupos:

  • invitado
  • acceso común
  • proyecto 1
  • proyecto 2

¿Cómo podemos convertir ahora esta información en acceso a equipos de red?

Política de acceso dinámico (DAP) de Cisco ASA (consulte www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) la solución es perfecta para esta tarea.

Brevemente sobre nuestra implementación, durante el proceso de identificación/autorización, ASA recibe de LDAP un conjunto de grupos correspondientes a un usuario determinado y “recopila” de varias ACL locales (cada una de las cuales corresponde a un grupo) una ACL dinámica con todos los accesos necesarios , que corresponde plenamente a nuestros deseos.

Pero esto es sólo para conexiones VPN. Para que la situación sea la misma tanto para los empleados conectados a través de VPN como para los de la oficina, se tomó el siguiente paso.

Al conectarse desde la oficina, los usuarios que usaban el protocolo 802.1x terminaban en una LAN invitada (para invitados) o en una LAN compartida (para empleados de la empresa). Además, para obtener acceso específico (por ejemplo, a proyectos en un centro de datos), los empleados debían conectarse a través de VPN.

Para conectar desde la oficina y desde casa se utilizaron diferentes grupos de túneles en el ASA. Esto es necesario para que, para quienes se conectan desde la oficina, el tráfico hacia los recursos compartidos (utilizados por todos los empleados, como correo, servidores de archivos, sistema de tickets, dns,...) no pase por el ASA, sino por la red local. . Por lo tanto, no cargamos el ASA con tráfico innecesario, incluido el tráfico de alta intensidad.

Así, el problema quedó resuelto.
Tenemos

  • el mismo conjunto de accesos tanto para conexiones desde la oficina como para conexiones remotas
  • ausencia de degradación del servicio cuando se trabaja desde la oficina asociada con la transmisión de tráfico de alta intensidad a través de ASA

¿Qué otras ventajas de este enfoque?
En administración de acceso. Los accesos se pueden cambiar fácilmente en un solo lugar.
Por ejemplo, si un empleado deja la empresa, simplemente lo elimina de LDAP y automáticamente pierde todo acceso.

Comprobación del anfitrión

Con la posibilidad de conexión remota, corremos el riesgo de permitir el ingreso a la red no solo de un empleado de la empresa, sino también de todo el software malicioso que muy probablemente esté presente en su computadora (por ejemplo, en casa), y además, a través de este software puede estar proporcionando acceso a nuestra red a un atacante que utiliza este host como proxy.

Tiene sentido que un host conectado remotamente aplique los mismos requisitos de seguridad que un host en la oficina.

Esto también supone la versión "correcta" del software y las actualizaciones del sistema operativo, antivirus, antispyware y firewall. Normalmente, esta capacidad existe en la puerta de enlace VPN (para ASA, consulte, por ejemplo, aquí).

También es aconsejable aplicar el mismo análisis de tráfico y técnicas de bloqueo (consulte “Alto nivel de protección”) que su política de seguridad aplica al tráfico de la oficina.

Es razonable suponer que la red de su oficina ya no se limita al edificio de oficinas y los hosts que se encuentran dentro de él.

ejemplo

Una buena técnica es proporcionar a cada empleado que requiera acceso remoto una computadora portátil buena y conveniente y exigirle que trabaje, tanto en la oficina como desde casa, solo desde ella.

No solo mejora la seguridad de su red, sino que también es muy conveniente y, por lo general, los empleados lo ven con buenos ojos (si es una computadora portátil realmente buena y fácil de usar).

Sobre el sentido de proporción y equilibrio.

Básicamente, esta es una conversación sobre el tercer vértice de nuestro triángulo: el precio.
Veamos un ejemplo hipotético.

ejemplo

Tienes una oficina para 200 personas. Decidiste hacerlo lo más conveniente y seguro posible.

Por lo tanto, decidió pasar todo el tráfico a través del firewall y, por lo tanto, para todas las subredes de la oficina, el firewall es la puerta de enlace predeterminada. Además del software de seguridad instalado en cada host final (antivirus, antispyware y firewall), también decidió aplicar todos los métodos de protección posibles en el firewall.

Para garantizar una alta velocidad de conexión (todo por conveniencia), eligió conmutadores con puertos de acceso de 10 Gigabit como conmutadores de acceso y firewalls NGFW de alto rendimiento como firewalls, por ejemplo, la serie Palo Alto 7K (con puertos de 40 Gigabit), naturalmente con todas las licencias. incluido y, por supuesto, un par de alta disponibilidad.

Además, por supuesto, para trabajar con esta línea de equipos necesitamos al menos un par de ingenieros de seguridad altamente calificados.

A continuación, decidió regalarle a cada empleado una buena computadora portátil.

En total, unos 10 millones de dólares para la implementación, cientos de miles de dólares (creo que más cerca de un millón) para soporte anual y salarios de los ingenieros.

Oficina, 200 personas...
¿Cómodo? Supongo que sí.

Vienes con esta propuesta a tu gestión...
Quizás haya varias empresas en el mundo para las que ésta sea una solución aceptable y correcta. Si es empleado de esta empresa, le felicito, pero en la gran mayoría de los casos, estoy seguro de que la dirección no apreciará sus conocimientos.

¿Es este ejemplo exagerado? El próximo capítulo responderá a esta pregunta.

Si en su red no ve nada de lo anterior, entonces esta es la norma.
Para cada caso específico, es necesario encontrar su propio compromiso razonable entre conveniencia, precio y seguridad. A menudo ni siquiera necesita NGFW en su oficina y no se requiere protección L7 en el firewall. Basta con proporcionar un buen nivel de visibilidad y alertas, y esto se puede hacer utilizando productos de código abierto, por ejemplo. Sí, su reacción ante un ataque no será inmediata, pero lo principal es que lo verá y, con los procesos adecuados implementados en su departamento, podrá neutralizarlo rápidamente.

Y déjame recordarte que, según el concepto de esta serie de artículos, no estás diseñando una red, sólo estás intentando mejorar lo que tienes.

Análisis SEGURO de la arquitectura de oficinas

Presta atención a este cuadrado rojo al que le asigné un lugar en el diagrama de Guía de arquitectura de campus seguro SAFEque me gustaría discutir aquí.

Cómo tomar el control de su infraestructura de red. Capítulo tres. Seguridad de la red. Parte tres

Este es uno de los lugares clave de la arquitectura y una de las incertidumbres más importantes.

Nota

Nunca configuré ni trabajé con FirePower (de la línea de firewall de Cisco, solo ASA), por lo que lo trataré como cualquier otro firewall, como Juniper SRX o Palo Alto, suponiendo que tenga las mismas capacidades.

De los diseños habituales, solo veo 4 opciones posibles para usar un firewall con esta conexión:

  • la puerta de enlace predeterminada para cada subred es un conmutador, mientras que el firewall está en modo transparente (es decir, todo el tráfico pasa por él, pero no forma un salto L3)
  • la puerta de enlace predeterminada para cada subred son las subinterfaces del firewall (o interfaces SVI), el conmutador desempeña el papel de L2
  • Se utilizan diferentes VRF en el conmutador y el tráfico entre VRF pasa a través del firewall; el tráfico dentro de un VRF está controlado por la ACL del conmutador.
  • todo el tráfico se refleja en el firewall para su análisis y monitoreo; el tráfico no pasa a través de él

Observación 1

Son posibles combinaciones de estas opciones, pero por simplicidad no las consideraremos.

Nota 2

También existe la posibilidad de utilizar PBR (arquitectura de cadena de servicios), pero por ahora, aunque en mi opinión es una solución hermosa, es bastante exótica, por lo que no la consideraré aquí.

De la descripción de los flujos en el documento vemos que el tráfico aún pasa por el firewall, es decir, de acuerdo con el diseño de Cisco, se elimina la cuarta opción.

Veamos primero las dos primeras opciones.
Con estas opciones, todo el tráfico pasa por el firewall.

Ahora mira hoja de datosmirar GPL de Cisco y vemos que si queremos que el ancho de banda total de nuestra oficina sea de al menos unos 10 - 20 gigabits, entonces debemos comprar la versión 4K.

Nota

Cuando hablo del ancho de banda total, me refiero al tráfico entre subredes (y no dentro de una vilana).

De la GPL vemos que para el paquete HA con Threat Defense, el precio según el modelo (4110 - 4150) varía entre ~0,5 y 2,5 millones de dólares.

Es decir, nuestro diseño empieza a parecerse al ejemplo anterior.

¿Significa esto que este diseño es incorrecto?
No, eso no significa eso. Cisco le brinda la mejor protección posible según la línea de productos que tiene. Pero eso no significa que sea algo que debas hacer.

En principio, esta es una pregunta común que surge al diseñar una oficina o un centro de datos, y sólo significa que es necesario buscar un compromiso.

Por ejemplo, no permita que todo el tráfico pase a través de un firewall, en cuyo caso la opción 3 me parece bastante buena, o (consulte la sección anterior) tal vez no necesite Threat Defense o no necesite ningún firewall en eso. segmento de red, y solo necesita limitarse al monitoreo pasivo utilizando soluciones pagas (no costosas) o de código abierto, o necesita un firewall, pero de un proveedor diferente.

Por lo general, siempre existe esta incertidumbre y no hay una respuesta clara sobre qué decisión es la mejor para usted.
Ésta es la complejidad y la belleza de esta tarea.

Fuente: habr.com

Añadir un comentario