ProHoster > Blogi > Haldamine > Kuidas võtta enda kontrolli alla oma võrguinfrastruktuur. Kolmas peatükk. Võrgu turvalisus. Kolmas osa
Kuidas võtta enda kontrolli alla oma võrguinfrastruktuur. Kolmas peatükk. Võrgu turvalisus. Kolmas osa
See artikkel on viies sarjast "Kuidas oma võrguinfrastruktuuri kontrolli alla võtta". Sarja kõigi artiklite sisu ja lingid leiate siin.
See osa on pühendatud ülikoolilinnaku (kontori) ja kaugjuurdepääsu VPN-i segmentidele.
Kontorivõrgu kujundamine võib tunduda lihtne.
Tõepoolest, me võtame L2/L3 lülitid ja ühendame need omavahel. Järgmisena teostame vilanide ja vaikelüüside põhiseadistuse, seadistame lihtsa marsruutimise, ühendame WiFi-kontrollerid, pääsupunktid, installime ja konfigureerime ASA kaugjuurdepääsuks, meil on hea meel, et kõik toimis. Põhimõtteliselt nagu ma juba ühes eelmises kirjutasin artiklid Sellest tsüklist saab peaaegu iga õpilane, kes on osalenud (ja õppinud) kaks semestrit telekommunikatsioonikursustel, kujundada ja konfigureerida kontorivõrku nii, et see "kuidagi töötaks".
Kuid mida rohkem õpid, seda lihtsam see ülesanne tundub. Minu jaoks isiklikult ei tundu see teema, kontorivõrkude kujundamise teema, sugugi lihtne ja selles artiklis püüan selgitada, miks.
Lühidalt öeldes tuleb arvestada üsna paljude teguritega. Sageli on need tegurid omavahel vastuolus ja tuleb otsida mõistlik kompromiss.
See ebakindlus on peamine raskus. Nii et turvalisusest rääkides on meil kolmnurk kolme tipuga: turvalisus, mugavus töötajatele, lahenduse hind.
Ja iga kord tuleb otsida nende kolme vahel kompromissi.
Need on mõnevõrra aegunud dokumendid. Esitan need siin, sest põhimõttelised skeemid ja lähenemine pole muutunud, kuid samas meeldib mulle esitlus rohkem kui sees uus dokumentatsioon.
Julgustamata teid kasutama Cisco lahendusi, arvan siiski, et on kasulik seda disaini hoolikalt uurida.
See artikkel, nagu tavaliselt, ei pretendeeri kuidagi täielikkusele, vaid on pigem täiendus sellele teabele.
Artikli lõpus analüüsime Cisco SAFE kontorikujundust siin kirjeldatud kontseptsioonide osas.
Üldpõhimõtted
Kontorivõrgu disain peab loomulikult vastama üldnõuetele, millest on juttu olnud siin peatükis “Disaini kvaliteedi hindamise kriteeriumid”. Lisaks hinnale ja ohutusele, mida kavatseme selles artiklis arutada, on projekteerimisel (või muudatuste tegemisel) siiski kolm kriteeriumi:
skaleeritavus
kasutusmugavus (juhitavus)
kättesaadavus
Suur osa sellest, mille nimel arutati andmekeskused See kehtib ka kontori kohta.
Kuid sellegipoolest on kontorisegmendil oma spetsiifika, mis on turvalisuse seisukohast kriitilise tähtsusega. Selle eripära olemus seisneb selles, et see segment on loodud võrguteenuste pakkumiseks ettevõtte töötajatele (aga ka partneritele ja külalistele) ning sellest tulenevalt on meil probleemi kõrgeimal kaalumisel kaks ülesannet:
kaitsta ettevõtte ressursse pahatahtlike tegevuste eest, mis võivad pärineda töötajatelt (külalised, partnerid) ja nende kasutatavast tarkvarast. See hõlmab ka kaitset volitamata võrguühenduse eest.
kaitsta süsteeme ja kasutajaandmeid
Ja see on ainult probleemi üks pool (või õigemini kolmnurga üks tipp). Teisel pool on kasutajamugavus ja kasutatavate lahenduste hind.
Alustuseks vaatame, mida ootab kasutaja kaasaegselt kontorivõrgult.
Mugavused
Minu arvates näevad kontorikasutaja jaoks välja võrgumugavused:
Liikuvus
Võimalus kasutada kõiki tuttavaid seadmeid ja operatsioonisüsteeme
Lihtne juurdepääs kõigile vajalikele ettevõtte ressurssidele
Interneti-ressursside, sh erinevate pilveteenuste kättesaadavus
Võrgu "kiire töö".
Kõik see puudutab nii töötajaid kui ka külalisi (või koostööpartnereid) ning ettevõtte inseneride ülesanne on eristada ligipääsu erinevatele kasutajagruppidele autoriseerimise alusel.
Vaatame kõiki neid aspekte veidi üksikasjalikumalt.
Liikuvus
Räägime võimalusest töötada ja kasutada kõiki vajalikke ettevõtte ressursse kõikjalt maailmast (loomulikult seal, kus internet on olemas).
See kehtib täielikult kontori kohta. See on mugav, kui teil on võimalus jätkata tööd kõikjal kontoris, näiteks võtta vastu kirju, suhelda ettevõtte messengeris, olla videokõne jaoks kättesaadav, ... Seega võimaldab see ühelt poolt mõne probleemi lahendamiseks "otsesuhtluses" (näiteks osalege miitingul), teisalt olge alati võrgus, hoidke kätt pulsil ja lahendage kiiresti mõned kiireloomulised prioriteetsed ülesanded. See on väga mugav ja parandab tõesti side kvaliteeti.
See saavutatakse korraliku WiFi-võrgu disainiga.
Märkus:
Siin tekib tavaliselt küsimus: kas piisab ainult WiFi kasutamisest? Kas see tähendab, et saate kontoris Etherneti portide kasutamise lõpetada? Kui me räägime ainult kasutajatest, mitte serveritest, mille ühendamine on siiski mõistlik tavalise Etherneti pordiga, siis üldiselt on vastus: jah, võite piirduda ainult WiFi-ga. Kuid on nüansse.
On olulisi kasutajarühmi, mis nõuavad eraldi lähenemist. Need on loomulikult administraatorid. Põhimõtteliselt on WiFi-ühendus vähem töökindel (liikluskadude osas) ja aeglasem kui tavaline Etherneti port. See võib olla administraatorite jaoks oluline. Lisaks võib näiteks võrguadministraatoritel põhimõtteliselt olla ribaväliste ühenduste jaoks oma spetsiaalne Etherneti võrk.
Teie ettevõttes võib olla ka teisi gruppe/osakondi, kelle jaoks need tegurid samuti olulised on.
On veel üks oluline punkt - telefon. Võib-olla ei taha te mingil põhjusel traadita VoIP-d kasutada ja soovite kasutada tavalise Etherneti ühendusega IP-telefone.
Üldiselt oli ettevõtetel, kus ma töötasin, tavaliselt nii WiFi-ühendus kui ka Etherneti port.
Tahaksin, et mobiilsus ei piirduks ainult kontoriga.
Kodus (või mõnes muus juurdepääsetava Internetiga kohas) töötamise võimaluse tagamiseks kasutatakse VPN-ühendust. Samas on soovitav, et töötajad ei tunneks vahet kodus töötamise ja kaugtöö vahel, mis eeldab sama ligipääsu. Kuidas seda korraldada, arutame veidi hiljem peatükis “Ühtne tsentraliseeritud autentimis- ja autoriseerimissüsteem”.
Märkus:
Tõenäoliselt ei saa te kaugtöö jaoks täielikult sama kvaliteediga teenuseid pakkuda kui kontoris. Oletame, et kasutate VPN-lüüsina Cisco ASA 5520. Vastavalt Andmeleht see seade on võimeline "seedima" ainult 225 Mbit VPN-liiklust. See tähendab, et ribalaiuse osas erineb VPN-i kaudu ühenduse loomine väga palju kontoris töötamisest. Samuti, kui teie võrguteenuste puhul on mingil põhjusel latentsus, kadu, värinad (näiteks soovite kasutada kontori IP-telefoni) märkimisväärsed, ei saa te ka sama kvaliteeti kui kontoris viibides. Seetõttu peame liikuvusest rääkides olema teadlikud võimalikest piirangutest.
Lihtne juurdepääs kõigile ettevõtte ressurssidele
See ülesanne tuleks lahendada koos teiste tehniliste osakondadega.
Ideaalne olukord on siis, kui kasutajal on vaja ainult üks kord autentida ja pärast seda on tal juurdepääs kõikidele vajalikele ressurssidele.
Lihtsa juurdepääsu pakkumine turvalisust ohverdamata võib oluliselt parandada tootlikkust ja vähendada kolleegide stressi.
Märkus 1
Juurdepääsu lihtsus ei seisne ainult selles, mitu korda peate parooli sisestama. Kui näiteks teie turvapoliitika kohaselt peate kontorist andmekeskusega ühenduse loomiseks esmalt looma ühenduse VPN-lüüsiga ja samal ajal kaotate juurdepääsu kontoriressurssidele, siis on see ka väga , väga ebamugav.
Märkus 2
On teenuseid (näiteks juurdepääs võrguseadmetele), kus meil on tavaliselt oma spetsiaalsed AAA-serverid ja see on norm, kui sel juhul tuleb mitu korda autentida.
Interneti-ressursside kättesaadavus
Internet pole mitte ainult meelelahutus, vaid ka teenuste komplekt, mis võib olla tööl väga kasulik. On ka puhtalt psühholoogilisi tegureid. Kaasaegne inimene on Interneti kaudu teiste inimestega seotud paljude virtuaalsete lõimede kaudu ja minu meelest pole midagi hullu, kui ta tunneb seda sidet ka töötades edasi.
Ajaraiskamise seisukohalt pole midagi hullu, kui töötajal on näiteks Skype töös ja ta kulutab vajadusel 5 minutit kallimaga suhtlemisele.
Kas see tähendab, et Internet peaks alati kättesaadav olema, kas see tähendab, et töötajatel on juurdepääs kõikidele ressurssidele ja nad ei saa neid kuidagi kontrollida?
Ei ei tähenda seda muidugi. Interneti avatuse tase võib erinevate ettevõtete lõikes olla erinev – täielikust sulgemisest täieliku avatuseni. Liikluse kontrollimise viise käsitleme hiljem turvameetmeid käsitlevates osades.
Võimalus kasutada kõiki tuttavaid seadmeid
See on mugav, kui teil on näiteks võimalus jätkata kõigi tööl harjumuspäraste suhtlusvahendite kasutamist. Selle tehnilise rakendamisega ei teki raskusi. Selleks vajate WiFi-t ja külalist.
Samuti on hea, kui teil on võimalus kasutada operatsioonisüsteemi, millega olete harjunud. Kuid minu arvates on see tavaliselt lubatud ainult juhtidele, administraatoritele ja arendajatele.
Näide
Muidugi võite minna keeldude teed, keelata kaugjuurdepääsu, keelata mobiilsetest seadmetest ühenduse loomine, piirata kõike staatilise Etherneti ühendustega, piirata juurdepääsu Internetile, kohustuslikult konfiskeerida kontrollpunktis mobiiltelefone ja vidinaid... ja see tee Sellele järgneb tegelikult mõni kõrgendatud turvanõuetega organisatsioon ja võib-olla võib see mõnel juhul olla õigustatud, kuid... peate nõustuma, et see näib olevat katse peatada edasiminek ühes organisatsioonis. Muidugi tahaksin kombineerida kaasaegsete tehnoloogiate pakutavad võimalused piisava turvalisuse tasemega.
Võrgu "kiire töö".
Andmeedastuskiirus koosneb tehniliselt paljudest teguritest. Ja teie ühenduspordi kiirus ei ole tavaliselt kõige olulisem. Rakenduse aeglast tööd ei seostata alati võrguprobleemidega, kuid praegu huvitab meid ainult võrguosa. Kohaliku võrgu "aeglustumise" kõige levinum probleem on seotud pakettide kadumisega. See juhtub tavaliselt kitsaskoha või L1 (OSI) probleemide korral. Harvemini võib riistvara jõudlus puududa mõne kujundusega (näiteks kui teie alamvõrkudel on vaikelüüsiks tulemüür ja seega kogu liiklus käib selle kaudu).
Seetõttu peate seadmete ja arhitektuuri valimisel korreleerima lõppportide, magistraalide ja seadmete jõudluse kiirusi.
Näide
Oletame, et kasutate juurdepääsukihi lülititena 1 gigabitise pordiga lüliteid. Need on omavahel ühendatud Etherchanneli kaudu 2 x 10 gigabitti. Vaikelüüsina kasutate gigabitiste portidega tulemüüri, mille ühendamiseks L2 kontorivõrguga kasutate 2 gigabitist porti, mis on ühendatud Etherneti kanaliks.
See arhitektuur on funktsionaalsuse seisukohalt üsna mugav, sest... Kogu liiklus käib läbi tulemüüri ja saate mugavalt hallata juurdepääsupoliitikaid ja rakendada keerulisi algoritme liikluse juhtimiseks ja võimalike rünnakute vältimiseks (vt allpool), kuid läbilaskevõime ja jõudluse seisukohast võib sellel disainil loomulikult olla probleeme. Näiteks võivad 2 andmeid allalaadivat hosti (pordikiirusega 1 gigabit) täielikult laadida 2 gigabitise ühenduse tulemüüriga ja seega põhjustada teenuse halvenemist kogu kontorisegmendis.
Oleme vaadanud kolmnurga üht tippu, nüüd vaatame, kuidas saame tagada turvalisuse.
Kaitsevahendid
Nii et loomulikult on tavaliselt meie soov (õigemini meie juhtkonna soov) saavutada võimatu, nimelt pakkuda maksimaalset mugavust maksimaalse turvalisuse ja minimaalsete kuludega.
Vaatame, millised meetodid on meil kaitse tagamiseks.
Kontori puhul tooksin esile järgmise:
null-usalduslähenemine disainile
kõrge kaitsetase
võrgu nähtavus
ühtne tsentraliseeritud autentimis- ja autoriseerimissüsteem
hosti kontrollimine
Järgmisena käsitleme neid kõiki aspekte veidi üksikasjalikumalt.
Null usaldus
IT-maailm muutub väga kiiresti. Viimase 10 aasta jooksul on uute tehnoloogiate ja toodete esilekerkimine viinud turvakontseptsioonide põhjaliku läbivaatamiseni. Kümme aastat tagasi segmenteerisime võrgu turvalisuse seisukohalt usaldus-, dmz- ja ebausaldusaladeks ning kasutasime nn perimeetrikaitset, kus oli 2 kaitseliini: ebausaldus -> dmz ja dmz -> usaldada. Samuti piirdus kaitse tavaliselt juurdepääsuloenditega, mis põhinesid L3/L4 (OSI) päistel (IP, TCP/UDP pordid, TCP lipud). Kõik, mis on seotud kõrgema tasemega, sealhulgas L7, jäeti lõpphostidesse installitud OS-i ja turbetoodete hooleks.
Nüüd on olukord kardinaalselt muutunud. Kaasaegne kontseptsioon null usaldust tuleneb sellest, et sisemisi ehk perimeetri sees asuvaid süsteeme ei saa enam usaldusväärseks pidada ning perimeetri enda mõiste on hägustunud.
Lisaks internetiühendusele on meil ka
kaugjuurdepääsu VPN-i kasutajad
erinevad isiklikud vidinad, kaasa võetud sülearvutid, ühendatud kontori WiFi kaudu
muud (haru)kontorid
integreerimine pilve infrastruktuuriga
Kuidas null-usalduse lähenemine praktikas välja näeb?
Ideaalis peaks olema lubatud ainult vajalik liiklus ja kui me räägime ideaalist, siis peaks juhtimine olema mitte ainult L3/L4 tasemel, vaid rakenduse tasemel.
Kui teil on näiteks võimalus kogu liiklus tulemüürist läbi lasta, siis võite proovida ideaalile lähemale jõuda. Kuid see lähenemisviis võib teie võrgu kogu ribalaiust märkimisväärselt vähendada ja pealegi ei tööta rakenduste järgi filtreerimine alati hästi.
Ruuteri või L3-lüliti liikluse juhtimisel (kasutades standardseid ACL-e) esineb muid probleeme.
See on ainult L3/L4 filtreerimine. Miski ei takista ründajat kasutamast oma rakenduse jaoks lubatud porte (nt TCP 80) (mitte http)
keeruline ACL-i haldus (ACL-ide sõelumine on keeruline)
See ei ole olekutäielik tulemüür, mis tähendab, et peate selgesõnaliselt lubama vastupidise liikluse
lülitite puhul on TCAM-i suurus tavaliselt üsna rangelt piiratud, mis võib kiiresti muutuda probleemiks, kui kasutate lähenemisviisi "luba ainult seda, mida vajate"
Märkus:
Pöördliiklusest rääkides peame meeles pidama, et meil on järgmine võimalus (Cisco)
luba tcp mis tahes kehtestatud
Kuid peate mõistma, et see rida võrdub kahe reaga:
luba tcp mis tahes ack
luba tcp mis tahes rst
Mis tähendab, et isegi kui esialgset SYN-lipuga TCP-segmenti ei olnud (st TCP-seanssi ei hakatud isegi looma), võimaldab see ACL-i ACK-lipuga paketti, mida ründaja saab kasutada andmete edastamiseks. .
See tähendab, et see rida ei muuda teie ruuterit või L3-lülitit mingil juhul olekutäielikuks tulemüüriks.
Kõrge kaitsetase
В siit Andmekeskuste jaotises käsitlesime järgmisi kaitsemeetodeid.
olekupõhine tulemüür (vaikimisi)
ddos/dos kaitse
rakenduste tulemüür
ohtude ennetamine (viirusetõrje, nuhkvaratõrje ja haavatavus)
URL-i filtreerimine
andmete filtreerimine (sisu filtreerimine)
failide blokeerimine (failitüüpide blokeerimine)
Kontori puhul on olukord sarnane, kuid prioriteedid on veidi erinevad. Kontori kättesaadavus (kättesaadavus) ei ole tavaliselt nii kriitiline kui andmekeskuse puhul, samas kui "sisemise" pahatahtliku liikluse tõenäosus on suurusjärgus suurem.
Seetõttu muutuvad selle segmendi jaoks kriitiliseks järgmised kaitsemeetodid:
rakenduste tulemüür
ohtude ennetamine (viirusetõrje, nuhkvaratõrje ja haavatavus)
URL-i filtreerimine
andmete filtreerimine (sisu filtreerimine)
failide blokeerimine (failitüüpide blokeerimine)
Kuigi kõik need kaitsemeetodid, välja arvatud rakenduste tulemüür, on traditsiooniliselt lahendatud ja lahendatakse ka edaspidi lõpphostides (näiteks viirusetõrjeprogrammide installimisega) ja puhverserveri abil, pakuvad kaasaegsed NGFW-d ka neid teenuseid.
Turvaseadmete müüjad püüavad luua kõikehõlmavat kaitset, seega pakuvad nad koos kohaliku kaitsega hostidele erinevaid pilvetehnoloogiaid ja klienditarkvara (lõpp-punkti kaitse/EPP). Nii näiteks alates 2018 Gartner Magic Quadrant Näeme, et Palo Altol ja Ciscol on oma EPP-d (PA: Traps, Cisco: AMP), kuid need on liidritest kaugel.
Nende kaitsete lubamine (tavaliselt litsentside ostmise kaudu) tulemüüris ei ole loomulikult kohustuslik (võite minna traditsioonilisele teele), kuid see annab mõningaid eeliseid:
sel juhul on üks kaitsemeetodite rakenduspunkt, mis parandab nähtavust (vt järgmist teemat).
Kui teie võrgus on kaitsmata seade, kuulub see ikkagi tulemüüri kaitse alla
Kasutades tulemüüri kaitset koos lõpp-hosti kaitsega, suurendame pahatahtliku liikluse tuvastamise tõenäosust. Näiteks ohuennetuse kasutamine kohalikel hostidel ja tulemüüril suurendab tuvastamise tõenäosust (muidugi eeldusel, et need lahendused põhinevad erinevatel tarkvaratoodetel)
Märkus:
Kui kasutate näiteks Kasperskyt viirusetõrjena nii tulemüüris kui ka lõpphostides, siis loomulikult ei suurenda see oluliselt teie võimalusi viiruserünnakut võrgule ära hoida.
Võrgu nähtavus
keskne idee on lihtne – "vaata", mis teie võrgus toimub, nii reaalajas kui ka ajaloolistes andmetes.
Jagaksin selle "nägemuse" kahte rühma:
Esimene rühm: mida teie jälgimissüsteem teile tavaliselt pakub.
seadmete laadimine
kanalite laadimine
mälukasutus
ketta kasutamine
marsruutimistabeli muutmine
lingi olek
seadmete (või hostide) saadavus
...
Teine rühm: ohutusega seotud teavet.
erinevat tüüpi statistika (nt rakenduse, URL-i liikluse, allalaaditud andmete tüübi, kasutajaandmed)
mida turvapoliitika blokeeris ja mis põhjusel, nimelt
keelatud rakendus
keelatud IP/protokolli/pordi/lippude/tsoonide alusel
ohtude ennetamine
url-i filtreerimine
andmete filtreerimine
failide blokeerimine
...
statistika DOS/DDOS rünnakute kohta
ebaõnnestunud tuvastamise ja autoriseerimise katsed
statistika kõigi ülalnimetatud turvapoliitika rikkumise sündmuste kohta
...
Selles turvalisuse peatükis huvitab meid teine osa.
Mõned kaasaegsed tulemüürid (minu Palo Alto kogemusest) tagavad hea nähtavuse. Kuid loomulikult peab teid huvitav liiklus läbima selle tulemüüri (sel juhul on teil võimalus liiklust blokeerida) või tulemüüri peegeldatud (kasutatakse ainult jälgimiseks ja analüüsimiseks) ning teil peavad olema litsentsid, et võimaldada need teenused.
Muidugi on alternatiivne viis, õigemini traditsiooniline viis, näiteks
Seansi statistikat saab koguda netflow kaudu ja seejärel kasutada teabe analüüsimiseks ja andmete visualiseerimiseks spetsiaalseid utiliite
URL-i filtreerimine, andmete filtreerimine, failide blokeerimine – puhverserveril
samuti on võimalik tcpdump analüüsida kasutades nt. nuuksuma
Saate neid kahte lähenemisviisi kombineerida, täiendades puuduvaid funktsioone või dubleerides neid, et suurendada rünnaku tuvastamise tõenäosust.
Millise lähenemisviisi peaksite valima?
See sõltub suuresti teie meeskonna kvalifikatsioonist ja eelistustest.
Nii seal kui ka seal on plusse ja miinuseid.
Ühtne tsentraliseeritud autentimis- ja autoriseerimissüsteem
Kui see on hästi kavandatud, eeldab selles artiklis käsitletud mobiilsus, et teil on sama juurdepääs olenemata sellest, kas töötate kontoris või kodus, lennujaamas, kohvikus või mujal (eespool käsitletud piirangutega). Näib, milles probleem?
Selle ülesande keerukuse paremaks mõistmiseks vaatame tüüpilist kujundust.
Näide
Olete jaganud kõik töötajad rühmadesse. Olete otsustanud anda juurdepääsu rühmade kaupa
Kontoris sees saate juhtida juurdepääsu kontori tulemüüri kaudu
Saate juhtida liiklust kontorist andmekeskusesse andmekeskuse tulemüüri kaudu
Kasutate VPN-lüüsina Cisco ASA-d ja kaugklientide kaudu võrku siseneva liikluse juhtimiseks kasutate kohalikke (ASA-s) ACL-e.
Oletame nüüd, et teil palutakse lisada teatud töötajale täiendav juurdepääs. Sel juhul palutakse teil lisada juurdepääs ainult temale ja mitte kellelegi teisele tema grupist.
Selleks peame looma selle töötaja jaoks eraldi rühma, st
looge selle töötaja jaoks ASA-s eraldi IP-kogum
lisage ASA-le uus ACL ja siduge see selle kaugkliendiga
luua uusi turvapoliitikaid kontori- ja andmekeskuse tulemüüridele
Hea, kui see sündmus on haruldane. Kuid minu praktikas oli olukord, kus töötajad osalesid erinevates projektides ja see projektide komplekt muutus mõnel neist üsna sageli ja see ei olnud 1-2 inimest, vaid kümneid. Muidugi oli siin vaja midagi muuta.
See lahendati järgmisel viisil.
Otsustasime, et LDAP on ainus tõeallikas, mis määrab kõik võimalikud töötajate juurdepääsud. Lõime igasuguseid gruppe, mis määravad juurdepääsude komplektid, ja määrasime iga kasutaja ühte või mitmesse rühma.
Oletame näiteks, et on rühmi
külaline (Interneti-juurdepääs)
ühine juurdepääs (juurdepääs jagatud ressurssidele: post, teadmistebaas jne)
raamatupidamine
projekt 1
projekt 2
andmebaasi administraator
Linuxi administraator
...
Ja kui üks töötajatest osales nii projektis 1 kui ka projektis 2 ja tal oli nendes projektides töötamiseks vajalik juurdepääs, siis määrati see töötaja järgmistesse rühmadesse:
Külaline
ühine juurdepääs
projekt 1
projekt 2
Kuidas saaksime selle teabe nüüd võrguseadmete juurdepääsuks muuta?
Lühidalt meie juurutusest, identifitseerimise/volitamise protsessi käigus saab ASA LDAP-lt antud kasutajale vastavate rühmade komplekti ja “kogub” mitmest kohalikust ACL-ist (millest igaüks vastab rühmale) dünaamilise ACL-i kõigi vajalike juurdepääsudega. , mis vastab täielikult meie soovidele.
Kuid see kehtib ainult VPN-ühenduste jaoks. Et olukord oleks sama nii VPN-i kaudu ühendatud töötajate kui ka kontoris viibijate jaoks, tehti järgmine samm.
Kontorist ühenduse loomisel sattusid 802.1x protokolli kasutavad kasutajad kas külaliskohtvõrku (külaliste jaoks) või jagatud kohtvõrku (ettevõtte töötajate jaoks). Lisaks pidid töötajad konkreetse juurdepääsu saamiseks (näiteks andmekeskuse projektidele) looma ühenduse VPN-i kaudu.
Kontorist ja kodust ühenduse loomiseks kasutati ASA-l erinevaid tunnelirühmi. See on vajalik selleks, et kontorist ühenduse loojate jaoks ei läheks liiklus jagatud ressurssidele (kasutavad kõik töötajad, nagu post, failiserverid, piletisüsteem, dns jne) mitte läbi ASA, vaid läbi kohaliku võrgu. . Seega ei koormanud me ASA-d mittevajaliku liiklusega, sealhulgas suure intensiivsusega liiklusega.
Seega sai probleem lahendatud.
Saime
samad juurdepääsud nii kontorist kui kaugühendustele
teenuse halvenemise puudumine kontoris töötades, mis on seotud suure intensiivsusega liikluse edastamisega ASA kaudu
Millised on selle lähenemisviisi muud eelised?
Juurdepääsu halduses. Juurdepääsu saab ühest kohast lihtsalt muuta.
Näiteks kui töötaja lahkub ettevõttest, eemaldate ta lihtsalt LDAP-st ja ta kaotab automaatselt igasuguse juurdepääsu.
Hosti kontrollimine
Kaugühenduse võimalusega on oht, et lubame võrku mitte ainult ettevõtte töötaja, vaid ka kogu tema arvutis (näiteks kodus) suure tõenäosusega leiduva pahatahtliku tarkvara ning pealegi selle tarkvara kaudu me võib anda juurdepääsu meie võrgule ründajale, kes kasutab seda hosti puhverserverina.
Kaugühendusega hosti puhul on mõistlik kohaldada samu turbenõudeid kui kontorisisesel hostil.
See eeldab ka OS-i, viirusetõrje, nuhkvaratõrje ja tulemüüri tarkvara ja värskenduste "õiget" versiooni. Tavaliselt on see võimalus VPN-lüüsis (ASA kohta vt näiteks siin).
Samuti on mõistlik rakendada samu liiklusanalüüsi ja blokeerimisvõtteid (vt “Kõrge kaitsetase”), mida teie turvapoliitika kontoriliikluse puhul rakendab.
On mõistlik eeldada, et teie kontorivõrk ei piirdu enam büroohoone ja selle sees olevate hostidega.
Näide
Hea võte on tagada igale kaugjuurdepääsu vajavale töötajale hea mugav sülearvuti ja nõuda nii kontoris kui ka kodus töötamist ainult sellelt.
See mitte ainult ei paranda teie võrgu turvalisust, vaid on ka väga mugav ja tavaliselt suhtuvad sellesse töötajad positiivselt (kui see on tõesti hea ja kasutajasõbralik sülearvuti).
Proportsiooni- ja tasakaalutundest
Põhimõtteliselt on see vestlus meie kolmnurga kolmandast tipust – hinnast.
Vaatame hüpoteetilist näidet.
Näide
Teil on kontor 200 inimesele. Otsustasite teha selle võimalikult mugavaks ja ohutuks.
Seetõttu otsustasite kogu liikluse tulemüürist läbi lasta ja seega on tulemüür kõigi kontori alamvõrkude jaoks vaikelüüsiks. Lisaks igasse lõppmasinasse installitud turbetarkvarale (viirusetõrje, nuhkvaratõrje ja tulemüüritarkvara) otsustasite tulemüüril rakendada ka kõiki võimalikke kaitsemeetodeid.
Suure ühenduse kiiruse tagamiseks (kõik mugavuse huvides) valisite pääsulülititeks 10 gigabitise juurdepääsupordiga kommutaatorid ja tulemüüriks suure jõudlusega NGFW tulemüürid, näiteks Palo Alto 7K seeria (40 gigabitise pordiga), loomulikult kõigi litsentsidega. kaasas ja loomulikult kõrge saadavuse paar.
Loomulikult vajame selle seadmesarjaga töötamiseks vähemalt paari kõrgelt kvalifitseeritud turvainseneri.
Järgmisena otsustasite kinkida igale töötajale hea sülearvuti.
Kokku umbes 10 miljonit dollarit juurutamiseks, sadu tuhandeid dollareid (ma arvan, et miljonile lähemal) iga-aastaseks toetuseks ja inseneride palkadeks.
Kontor, 200 inimest...
Mugav? Ma arvan, et see on jah.
Tulete selle ettepanekuga oma juhtkonnale...
Võib-olla on maailmas hulk ettevõtteid, kelle jaoks on see vastuvõetav ja õige lahendus. Kui olete selle ettevõtte töötaja, õnnitlen teid, kuid enamikul juhtudel olen kindel, et juhtkond ei hinda teie teadmisi.
Kas see näide on liialdatud? Järgmine peatükk annab sellele küsimusele vastuse.
Kui te oma võrgus midagi ülalnimetatust ei näe, on see norm.
Iga konkreetse juhtumi puhul peate leidma oma mõistliku kompromissi mugavuse, hinna ja ohutuse vahel. Sageli ei vaja te isegi oma kontoris NGFW-d ja tulemüüri L7 kaitse pole vajalik. Piisab hea nähtavuse ja hoiatuste tagamisest ning seda saab teha näiteks avatud lähtekoodiga tooteid kasutades. Jah, teie reaktsioon rünnakule ei ole kohene, kuid peamine on see, et te seda näete ja õigete protsesside korral teie osakonnas saate selle kiiresti neutraliseerida.
Ja lubage mul teile meelde tuletada, et selle artiklisarja kontseptsiooni kohaselt ei kujunda te võrku, vaid proovite ainult täiustada seda, mida olete saanud.
Bürooarhitektuuri OHUTU analüüs
Pöörake tähelepanu sellele punasele ruudule, mille järgi ma diagrammil koha eraldasin SAFE Secure Campus Architecture Guidemida ma tahaksin siin arutada.
See on arhitektuuri üks võtmekohti ja üks olulisemaid määramatusi.
Märkus:
Ma pole kunagi FirePowerit seadistanud ega sellega töötanud (Cisco tulemüüri sarjast – ainult ASA), seega käsitlen seda nagu mis tahes muud tulemüüri, nagu Juniper SRX või Palo Alto, eeldusel, et sellel on samad võimalused.
Tavalistest kujundustest näen selle ühendusega tulemüüri kasutamiseks ainult 4 võimalikku võimalust:
iga alamvõrgu vaikelüüs on lüliti, samal ajal kui tulemüür on läbipaistvas režiimis (st kogu liiklus läbib seda, kuid see ei moodusta L3-hüpet)
iga alamvõrgu vaikelüüsiks on tulemüüri alamliidesed (või SVI liidesed), lüliti mängib L2 rolli
lülitil kasutatakse erinevaid VRF-e ja liiklus VRF-ide vahel käib läbi tulemüüri, liiklust ühes VRF-is juhib lüliti ACL
kogu liiklus peegeldub analüüsiks ja jälgimiseks tulemüüri; liiklus ei läbi seda
Märkus 1
Nende valikute kombinatsioonid on võimalikud, kuid lihtsuse huvides me neid ei käsitle.
Märkus2
Võimalus on kasutada ka PBR-i (service chain architecture), kuid praegu on see, kuigi minu meelest ilus lahendus, pigem eksootiline, nii et ma seda siin ei käsitle.
Dokumendis olevast voogude kirjeldusest näeme, et liiklus käib ikkagi läbi tulemüüri ehk vastavalt Cisco disainile jääb neljas variant ära.
Vaatame kõigepealt kahte esimest võimalust.
Nende valikute puhul toimub kogu liiklus tulemüüri kaudu.
Nüüd vaatame Andmeleht, vaata Cisco GPL ja näeme, et kui tahame, et meie kontori kogu ribalaius oleks vähemalt umbes 10–20 gigabitti, siis peame ostma 4K versiooni.
Märkus:
Kui ma räägin kogu ribalaiusest, pean silmas liiklust alamvõrkude vahel (ja mitte ühe vilana piires).
GPL-ist näeme, et Threat Defense’iga HA Bundle’i puhul on hind olenevalt mudelist (4110 - 4150) vahemikus ~0,5 - 2,5 miljonit dollarit.
See tähendab, et meie disain hakkab sarnanema eelmise näitega.
Kas see tähendab, et see disain on vale?
Ei, see ei tähenda seda. Cisco pakub teile parimat võimalikku kaitset oma tootesarja põhjal. Kuid see ei tähenda, et see oleks teie jaoks kohustuslik.
Põhimõtteliselt on see tavaline küsimus, mis tekib kontori või andmekeskuse projekteerimisel ja see tähendab vaid seda, et tuleb otsida kompromiss.
Näiteks ära lase kogu liiklust läbi tulemüüri, sel juhul tundub variant 3 mulle päris hea või (vt eelmist jaotist) võib-olla pole sul vaja Threat Defense’i või pole üldse vaja tulemüüri. võrgusegmendis ja peate piirduma passiivse jälgimisega, kasutades tasulisi (mitte kalleid) või avatud lähtekoodiga lahendusi, või vajate tulemüüri, kuid teiselt müüjalt.
Tavaliselt on see ebakindlus alati olemas ja pole selget vastust, milline otsus on teie jaoks parim.
See on selle ülesande keerukus ja ilu.