ProHoster > Blogi > Haldamine > Kuidas võtta enda kontrolli alla oma võrguinfrastruktuur. Kolmas peatükk. Võrgu turvalisus. Kolmas osa

Kuidas võtta enda kontrolli alla oma võrguinfrastruktuur. Kolmas peatükk. Võrgu turvalisus. Kolmas osa

See artikkel on viies sarjast "Kuidas oma võrguinfrastruktuuri kontrolli alla võtta". Sarja kõigi artiklite sisu ja lingid leiate siin.

See osa on pühendatud ülikoolilinnaku (kontori) ja kaugjuurdepääsu VPN-i segmentidele.

Kuidas võtta enda kontrolli alla oma võrguinfrastruktuur. Kolmas peatükk. Võrgu turvalisus. Kolmas osa

Kontorivõrgu kujundamine võib tunduda lihtne.

Tõepoolest, me võtame L2/L3 lülitid ja ühendame need omavahel. Järgmisena teostame vilanide ja vaikelüüside põhiseadistuse, seadistame lihtsa marsruutimise, ühendame WiFi-kontrollerid, pääsupunktid, installime ja konfigureerime ASA kaugjuurdepääsuks, meil on hea meel, et kõik toimis. Põhimõtteliselt nagu ma juba ühes eelmises kirjutasin artiklid Sellest tsüklist saab peaaegu iga õpilane, kes on osalenud (ja õppinud) kaks semestrit telekommunikatsioonikursustel, kujundada ja konfigureerida kontorivõrku nii, et see "kuidagi töötaks".

Kuid mida rohkem õpid, seda lihtsam see ülesanne tundub. Minu jaoks isiklikult ei tundu see teema, kontorivõrkude kujundamise teema, sugugi lihtne ja selles artiklis püüan selgitada, miks.

Lühidalt öeldes tuleb arvestada üsna paljude teguritega. Sageli on need tegurid omavahel vastuolus ja tuleb otsida mõistlik kompromiss.
See ebakindlus on peamine raskus. Nii et turvalisusest rääkides on meil kolmnurk kolme tipuga: turvalisus, mugavus töötajatele, lahenduse hind.
Ja iga kord tuleb otsida nende kolme vahel kompromissi.

arhitektuur

Nagu eelmistes artiklites, soovitan nende kahe segmendi arhitektuuri näitena Cisco SAFE mudel: Ettevõtluslinnak, Enterprise Internet Edge.

Need on mõnevõrra aegunud dokumendid. Esitan need siin, sest põhimõttelised skeemid ja lähenemine pole muutunud, kuid samas meeldib mulle esitlus rohkem kui sees uus dokumentatsioon.

Julgustamata teid kasutama Cisco lahendusi, arvan siiski, et on kasulik seda disaini hoolikalt uurida.

See artikkel, nagu tavaliselt, ei pretendeeri kuidagi täielikkusele, vaid on pigem täiendus sellele teabele.

Artikli lõpus analüüsime Cisco SAFE kontorikujundust siin kirjeldatud kontseptsioonide osas.

Üldpõhimõtted

Kontorivõrgu disain peab loomulikult vastama üldnõuetele, millest on juttu olnud siin peatükis “Disaini kvaliteedi hindamise kriteeriumid”. Lisaks hinnale ja ohutusele, mida kavatseme selles artiklis arutada, on projekteerimisel (või muudatuste tegemisel) siiski kolm kriteeriumi:

  • skaleeritavus
  • kasutusmugavus (juhitavus)
  • kättesaadavus

Suur osa sellest, mille nimel arutati andmekeskused See kehtib ka kontori kohta.

Kuid sellegipoolest on kontorisegmendil oma spetsiifika, mis on turvalisuse seisukohast kriitilise tähtsusega. Selle eripära olemus seisneb selles, et see segment on loodud võrguteenuste pakkumiseks ettevõtte töötajatele (aga ka partneritele ja külalistele) ning sellest tulenevalt on meil probleemi kõrgeimal kaalumisel kaks ülesannet:

  • kaitsta ettevõtte ressursse pahatahtlike tegevuste eest, mis võivad pärineda töötajatelt (külalised, partnerid) ja nende kasutatavast tarkvarast. See hõlmab ka kaitset volitamata võrguühenduse eest.
  • kaitsta süsteeme ja kasutajaandmeid

Ja see on ainult probleemi üks pool (või õigemini kolmnurga üks tipp). Teisel pool on kasutajamugavus ja kasutatavate lahenduste hind.

Alustuseks vaatame, mida ootab kasutaja kaasaegselt kontorivõrgult.

Mugavused

Minu arvates näevad kontorikasutaja jaoks välja võrgumugavused:

  • Liikuvus
  • Võimalus kasutada kõiki tuttavaid seadmeid ja operatsioonisüsteeme
  • Lihtne juurdepääs kõigile vajalikele ettevõtte ressurssidele
  • Interneti-ressursside, sh erinevate pilveteenuste kättesaadavus
  • Võrgu "kiire töö".

Kõik see puudutab nii töötajaid kui ka külalisi (või koostööpartnereid) ning ettevõtte inseneride ülesanne on eristada ligipääsu erinevatele kasutajagruppidele autoriseerimise alusel.

Vaatame kõiki neid aspekte veidi üksikasjalikumalt.

Liikuvus

Räägime võimalusest töötada ja kasutada kõiki vajalikke ettevõtte ressursse kõikjalt maailmast (loomulikult seal, kus internet on olemas).

See kehtib täielikult kontori kohta. See on mugav, kui teil on võimalus jätkata tööd kõikjal kontoris, näiteks võtta vastu kirju, suhelda ettevõtte messengeris, olla videokõne jaoks kättesaadav, ... Seega võimaldab see ühelt poolt mõne probleemi lahendamiseks "otsesuhtluses" (näiteks osalege miitingul), teisalt olge alati võrgus, hoidke kätt pulsil ja lahendage kiiresti mõned kiireloomulised prioriteetsed ülesanded. See on väga mugav ja parandab tõesti side kvaliteeti.

See saavutatakse korraliku WiFi-võrgu disainiga.

Märkus:

Siin tekib tavaliselt küsimus: kas piisab ainult WiFi kasutamisest? Kas see tähendab, et saate kontoris Etherneti portide kasutamise lõpetada? Kui me räägime ainult kasutajatest, mitte serveritest, mille ühendamine on siiski mõistlik tavalise Etherneti pordiga, siis üldiselt on vastus: jah, võite piirduda ainult WiFi-ga. Kuid on nüansse.

On olulisi kasutajarühmi, mis nõuavad eraldi lähenemist. Need on loomulikult administraatorid. Põhimõtteliselt on WiFi-ühendus vähem töökindel (liikluskadude osas) ja aeglasem kui tavaline Etherneti port. See võib olla administraatorite jaoks oluline. Lisaks võib näiteks võrguadministraatoritel põhimõtteliselt olla ribaväliste ühenduste jaoks oma spetsiaalne Etherneti võrk.

Teie ettevõttes võib olla ka teisi gruppe/osakondi, kelle jaoks need tegurid samuti olulised on.

On veel üks oluline punkt - telefon. Võib-olla ei taha te mingil põhjusel traadita VoIP-d kasutada ja soovite kasutada tavalise Etherneti ühendusega IP-telefone.

Üldiselt oli ettevõtetel, kus ma töötasin, tavaliselt nii WiFi-ühendus kui ka Etherneti port.

Tahaksin, et mobiilsus ei piirduks ainult kontoriga.

Kodus (või mõnes muus juurdepääsetava Internetiga kohas) töötamise võimaluse tagamiseks kasutatakse VPN-ühendust. Samas on soovitav, et töötajad ei tunneks vahet kodus töötamise ja kaugtöö vahel, mis eeldab sama ligipääsu. Kuidas seda korraldada, arutame veidi hiljem peatükis “Ühtne tsentraliseeritud autentimis- ja autoriseerimissüsteem”.

Märkus:

Tõenäoliselt ei saa te kaugtöö jaoks täielikult sama kvaliteediga teenuseid pakkuda kui kontoris. Oletame, et kasutate VPN-lüüsina Cisco ASA 5520. Vastavalt Andmeleht see seade on võimeline "seedima" ainult 225 Mbit VPN-liiklust. See tähendab, et ribalaiuse osas erineb VPN-i kaudu ühenduse loomine väga palju kontoris töötamisest. Samuti, kui teie võrguteenuste puhul on mingil põhjusel latentsus, kadu, värinad (näiteks soovite kasutada kontori IP-telefoni) märkimisväärsed, ei saa te ka sama kvaliteeti kui kontoris viibides. Seetõttu peame liikuvusest rääkides olema teadlikud võimalikest piirangutest.

Lihtne juurdepääs kõigile ettevõtte ressurssidele

See ülesanne tuleks lahendada koos teiste tehniliste osakondadega.
Ideaalne olukord on siis, kui kasutajal on vaja ainult üks kord autentida ja pärast seda on tal juurdepääs kõikidele vajalikele ressurssidele.
Lihtsa juurdepääsu pakkumine turvalisust ohverdamata võib oluliselt parandada tootlikkust ja vähendada kolleegide stressi.

Märkus 1

Juurdepääsu lihtsus ei seisne ainult selles, mitu korda peate parooli sisestama. Kui näiteks teie turvapoliitika kohaselt peate kontorist andmekeskusega ühenduse loomiseks esmalt looma ühenduse VPN-lüüsiga ja samal ajal kaotate juurdepääsu kontoriressurssidele, siis on see ka väga , väga ebamugav.

Märkus 2

On teenuseid (näiteks juurdepääs võrguseadmetele), kus meil on tavaliselt oma spetsiaalsed AAA-serverid ja see on norm, kui sel juhul tuleb mitu korda autentida.

Interneti-ressursside kättesaadavus

Internet pole mitte ainult meelelahutus, vaid ka teenuste komplekt, mis võib olla tööl väga kasulik. On ka puhtalt psühholoogilisi tegureid. Kaasaegne inimene on Interneti kaudu teiste inimestega seotud paljude virtuaalsete lõimede kaudu ja minu meelest pole midagi hullu, kui ta tunneb seda sidet ka töötades edasi.

Ajaraiskamise seisukohalt pole midagi hullu, kui töötajal on näiteks Skype töös ja ta kulutab vajadusel 5 minutit kallimaga suhtlemisele.

Kas see tähendab, et Internet peaks alati kättesaadav olema, kas see tähendab, et töötajatel on juurdepääs kõikidele ressurssidele ja nad ei saa neid kuidagi kontrollida?

Ei ei tähenda seda muidugi. Interneti avatuse tase võib erinevate ettevõtete lõikes olla erinev – täielikust sulgemisest täieliku avatuseni. Liikluse kontrollimise viise käsitleme hiljem turvameetmeid käsitlevates osades.

Võimalus kasutada kõiki tuttavaid seadmeid

See on mugav, kui teil on näiteks võimalus jätkata kõigi tööl harjumuspäraste suhtlusvahendite kasutamist. Selle tehnilise rakendamisega ei teki raskusi. Selleks vajate WiFi-t ja külalist.

Samuti on hea, kui teil on võimalus kasutada operatsioonisüsteemi, millega olete harjunud. Kuid minu arvates on see tavaliselt lubatud ainult juhtidele, administraatoritele ja arendajatele.

Näide

Muidugi võite minna keeldude teed, keelata kaugjuurdepääsu, keelata mobiilsetest seadmetest ühenduse loomine, piirata kõike staatilise Etherneti ühendustega, piirata juurdepääsu Internetile, kohustuslikult konfiskeerida kontrollpunktis mobiiltelefone ja vidinaid... ja see tee Sellele järgneb tegelikult mõni kõrgendatud turvanõuetega organisatsioon ja võib-olla võib see mõnel juhul olla õigustatud, kuid... peate nõustuma, et see näib olevat katse peatada edasiminek ühes organisatsioonis. Muidugi tahaksin kombineerida kaasaegsete tehnoloogiate pakutavad võimalused piisava turvalisuse tasemega.

Võrgu "kiire töö".

Andmeedastuskiirus koosneb tehniliselt paljudest teguritest. Ja teie ühenduspordi kiirus ei ole tavaliselt kõige olulisem. Rakenduse aeglast tööd ei seostata alati võrguprobleemidega, kuid praegu huvitab meid ainult võrguosa. Kohaliku võrgu "aeglustumise" kõige levinum probleem on seotud pakettide kadumisega. See juhtub tavaliselt kitsaskoha või L1 (OSI) probleemide korral. Harvemini võib riistvara jõudlus puududa mõne kujundusega (näiteks kui teie alamvõrkudel on vaikelüüsiks tulemüür ja seega kogu liiklus käib selle kaudu).

Seetõttu peate seadmete ja arhitektuuri valimisel korreleerima lõppportide, magistraalide ja seadmete jõudluse kiirusi.

Näide

Oletame, et kasutate juurdepääsukihi lülititena 1 gigabitise pordiga lüliteid. Need on omavahel ühendatud Etherchanneli kaudu 2 x 10 gigabitti. Vaikelüüsina kasutate gigabitiste portidega tulemüüri, mille ühendamiseks L2 kontorivõrguga kasutate 2 gigabitist porti, mis on ühendatud Etherneti kanaliks.

See arhitektuur on funktsionaalsuse seisukohalt üsna mugav, sest... Kogu liiklus käib läbi tulemüüri ja saate mugavalt hallata juurdepääsupoliitikaid ja rakendada keerulisi algoritme liikluse juhtimiseks ja võimalike rünnakute vältimiseks (vt allpool), kuid läbilaskevõime ja jõudluse seisukohast võib sellel disainil loomulikult olla probleeme. Näiteks võivad 2 andmeid allalaadivat hosti (pordikiirusega 1 gigabit) täielikult laadida 2 gigabitise ühenduse tulemüüriga ja seega põhjustada teenuse halvenemist kogu kontorisegmendis.

Oleme vaadanud kolmnurga üht tippu, nüüd vaatame, kuidas saame tagada turvalisuse.

Kaitsevahendid

Nii et loomulikult on tavaliselt meie soov (õigemini meie juhtkonna soov) saavutada võimatu, nimelt pakkuda maksimaalset mugavust maksimaalse turvalisuse ja minimaalsete kuludega.

Vaatame, millised meetodid on meil kaitse tagamiseks.

Kontori puhul tooksin esile järgmise:

  • null-usalduslähenemine disainile
  • kõrge kaitsetase
  • võrgu nähtavus
  • ühtne tsentraliseeritud autentimis- ja autoriseerimissüsteem
  • hosti kontrollimine

Järgmisena käsitleme neid kõiki aspekte veidi üksikasjalikumalt.

Null usaldus

IT-maailm muutub väga kiiresti. Viimase 10 aasta jooksul on uute tehnoloogiate ja toodete esilekerkimine viinud turvakontseptsioonide põhjaliku läbivaatamiseni. Kümme aastat tagasi segmenteerisime võrgu turvalisuse seisukohalt usaldus-, dmz- ja ebausaldusaladeks ning kasutasime nn perimeetrikaitset, kus oli 2 kaitseliini: ebausaldus -> dmz ja dmz -> usaldada. Samuti piirdus kaitse tavaliselt juurdepääsuloenditega, mis põhinesid L3/L4 (OSI) päistel (IP, TCP/UDP pordid, TCP lipud). Kõik, mis on seotud kõrgema tasemega, sealhulgas L7, jäeti lõpphostidesse installitud OS-i ja turbetoodete hooleks.

Nüüd on olukord kardinaalselt muutunud. Kaasaegne kontseptsioon null usaldust tuleneb sellest, et sisemisi ehk perimeetri sees asuvaid süsteeme ei saa enam usaldusväärseks pidada ning perimeetri enda mõiste on hägustunud.
Lisaks internetiühendusele on meil ka

  • kaugjuurdepääsu VPN-i kasutajad
  • erinevad isiklikud vidinad, kaasa võetud sülearvutid, ühendatud kontori WiFi kaudu
  • muud (haru)kontorid
  • integreerimine pilve infrastruktuuriga

Kuidas null-usalduse lähenemine praktikas välja näeb?

Ideaalis peaks olema lubatud ainult vajalik liiklus ja kui me räägime ideaalist, siis peaks juhtimine olema mitte ainult L3/L4 tasemel, vaid rakenduse tasemel.

Kui teil on näiteks võimalus kogu liiklus tulemüürist läbi lasta, siis võite proovida ideaalile lähemale jõuda. Kuid see lähenemisviis võib teie võrgu kogu ribalaiust märkimisväärselt vähendada ja pealegi ei tööta rakenduste järgi filtreerimine alati hästi.

Ruuteri või L3-lüliti liikluse juhtimisel (kasutades standardseid ACL-e) esineb muid probleeme.

  • See on ainult L3/L4 filtreerimine. Miski ei takista ründajat kasutamast oma rakenduse jaoks lubatud porte (nt TCP 80) (mitte http)
  • keeruline ACL-i haldus (ACL-ide sõelumine on keeruline)
  • See ei ole olekutäielik tulemüür, mis tähendab, et peate selgesõnaliselt lubama vastupidise liikluse
  • lülitite puhul on TCAM-i suurus tavaliselt üsna rangelt piiratud, mis võib kiiresti muutuda probleemiks, kui kasutate lähenemisviisi "luba ainult seda, mida vajate"

Märkus:

Pöördliiklusest rääkides peame meeles pidama, et meil on järgmine võimalus (Cisco)

luba tcp mis tahes kehtestatud

Kuid peate mõistma, et see rida võrdub kahe reaga:
luba tcp mis tahes ack
luba tcp mis tahes rst

Mis tähendab, et isegi kui esialgset SYN-lipuga TCP-segmenti ei olnud (st TCP-seanssi ei hakatud isegi looma), võimaldab see ACL-i ACK-lipuga paketti, mida ründaja saab kasutada andmete edastamiseks. .

See tähendab, et see rida ei muuda teie ruuterit või L3-lülitit mingil juhul olekutäielikuks tulemüüriks.

Kõrge kaitsetase

В siit Andmekeskuste jaotises käsitlesime järgmisi kaitsemeetodeid.

  • olekupõhine tulemüür (vaikimisi)
  • ddos/dos kaitse
  • rakenduste tulemüür
  • ohtude ennetamine (viirusetõrje, nuhkvaratõrje ja haavatavus)
  • URL-i filtreerimine
  • andmete filtreerimine (sisu filtreerimine)
  • failide blokeerimine (failitüüpide blokeerimine)

Kontori puhul on olukord sarnane, kuid prioriteedid on veidi erinevad. Kontori kättesaadavus (kättesaadavus) ei ole tavaliselt nii kriitiline kui andmekeskuse puhul, samas kui "sisemise" pahatahtliku liikluse tõenäosus on suurusjärgus suurem.
Seetõttu muutuvad selle segmendi jaoks kriitiliseks järgmised kaitsemeetodid:

  • rakenduste tulemüür
  • ohtude ennetamine (viirusetõrje, nuhkvaratõrje ja haavatavus)
  • URL-i filtreerimine
  • andmete filtreerimine (sisu filtreerimine)
  • failide blokeerimine (failitüüpide blokeerimine)

Kuigi kõik need kaitsemeetodid, välja arvatud rakenduste tulemüür, on traditsiooniliselt lahendatud ja lahendatakse ka edaspidi lõpphostides (näiteks viirusetõrjeprogrammide installimisega) ja puhverserveri abil, pakuvad kaasaegsed NGFW-d ka neid teenuseid.

Turvaseadmete müüjad püüavad luua kõikehõlmavat kaitset, seega pakuvad nad koos kohaliku kaitsega hostidele erinevaid pilvetehnoloogiaid ja klienditarkvara (lõpp-punkti kaitse/EPP). Nii näiteks alates 2018 Gartner Magic Quadrant Näeme, et Palo Altol ja Ciscol on oma EPP-d (PA: Traps, Cisco: AMP), kuid need on liidritest kaugel.

Nende kaitsete lubamine (tavaliselt litsentside ostmise kaudu) tulemüüris ei ole loomulikult kohustuslik (võite minna traditsioonilisele teele), kuid see annab mõningaid eeliseid:

  • sel juhul on üks kaitsemeetodite rakenduspunkt, mis parandab nähtavust (vt järgmist teemat).
  • Kui teie võrgus on kaitsmata seade, kuulub see ikkagi tulemüüri kaitse alla
  • Kasutades tulemüüri kaitset koos lõpp-hosti kaitsega, suurendame pahatahtliku liikluse tuvastamise tõenäosust. Näiteks ohuennetuse kasutamine kohalikel hostidel ja tulemüüril suurendab tuvastamise tõenäosust (muidugi eeldusel, et need lahendused põhinevad erinevatel tarkvaratoodetel)

Märkus:

Kui kasutate näiteks Kasperskyt viirusetõrjena nii tulemüüris kui ka lõpphostides, siis loomulikult ei suurenda see oluliselt teie võimalusi viiruserünnakut võrgule ära hoida.

Võrgu nähtavus

keskne idee on lihtne – "vaata", mis teie võrgus toimub, nii reaalajas kui ka ajaloolistes andmetes.

Jagaksin selle "nägemuse" kahte rühma:

Esimene rühm: mida teie jälgimissüsteem teile tavaliselt pakub.

  • seadmete laadimine
  • kanalite laadimine
  • mälukasutus
  • ketta kasutamine
  • marsruutimistabeli muutmine
  • lingi olek
  • seadmete (või hostide) saadavus
  • ...

Teine rühm: ohutusega seotud teavet.

  • erinevat tüüpi statistika (nt rakenduse, URL-i liikluse, allalaaditud andmete tüübi, kasutajaandmed)
  • mida turvapoliitika blokeeris ja mis põhjusel, nimelt
    • keelatud rakendus
    • keelatud IP/protokolli/pordi/lippude/tsoonide alusel
    • ohtude ennetamine
    • url-i filtreerimine
    • andmete filtreerimine
    • failide blokeerimine
    • ...
  • statistika DOS/DDOS rünnakute kohta
  • ebaõnnestunud tuvastamise ja autoriseerimise katsed
  • statistika kõigi ülalnimetatud turvapoliitika rikkumise sündmuste kohta
  • ...

Selles turvalisuse peatükis huvitab meid teine ​​osa.

Mõned kaasaegsed tulemüürid (minu Palo Alto kogemusest) tagavad hea nähtavuse. Kuid loomulikult peab teid huvitav liiklus läbima selle tulemüüri (sel juhul on teil võimalus liiklust blokeerida) või tulemüüri peegeldatud (kasutatakse ainult jälgimiseks ja analüüsimiseks) ning teil peavad olema litsentsid, et võimaldada need teenused.

Muidugi on alternatiivne viis, õigemini traditsiooniline viis, näiteks

  • Seansi statistikat saab koguda netflow kaudu ja seejärel kasutada teabe analüüsimiseks ja andmete visualiseerimiseks spetsiaalseid utiliite
  • ohtude ennetamine – spetsiaalsed programmid (viirusetõrje, nuhkvaratõrje, tulemüür) lõpphostides
  • URL-i filtreerimine, andmete filtreerimine, failide blokeerimine – puhverserveril
  • samuti on võimalik tcpdump analüüsida kasutades nt. nuuksuma

Saate neid kahte lähenemisviisi kombineerida, täiendades puuduvaid funktsioone või dubleerides neid, et suurendada rünnaku tuvastamise tõenäosust.

Millise lähenemisviisi peaksite valima?
See sõltub suuresti teie meeskonna kvalifikatsioonist ja eelistustest.
Nii seal kui ka seal on plusse ja miinuseid.

Ühtne tsentraliseeritud autentimis- ja autoriseerimissüsteem

Kui see on hästi kavandatud, eeldab selles artiklis käsitletud mobiilsus, et teil on sama juurdepääs olenemata sellest, kas töötate kontoris või kodus, lennujaamas, kohvikus või mujal (eespool käsitletud piirangutega). Näib, milles probleem?
Selle ülesande keerukuse paremaks mõistmiseks vaatame tüüpilist kujundust.

Näide

  • Olete jaganud kõik töötajad rühmadesse. Olete otsustanud anda juurdepääsu rühmade kaupa
  • Kontoris sees saate juhtida juurdepääsu kontori tulemüüri kaudu
  • Saate juhtida liiklust kontorist andmekeskusesse andmekeskuse tulemüüri kaudu
  • Kasutate VPN-lüüsina Cisco ASA-d ja kaugklientide kaudu võrku siseneva liikluse juhtimiseks kasutate kohalikke (ASA-s) ACL-e.

Oletame nüüd, et teil palutakse lisada teatud töötajale täiendav juurdepääs. Sel juhul palutakse teil lisada juurdepääs ainult temale ja mitte kellelegi teisele tema grupist.

Selleks peame looma selle töötaja jaoks eraldi rühma, st

  • looge selle töötaja jaoks ASA-s eraldi IP-kogum
  • lisage ASA-le uus ACL ja siduge see selle kaugkliendiga
  • luua uusi turvapoliitikaid kontori- ja andmekeskuse tulemüüridele

Hea, kui see sündmus on haruldane. Kuid minu praktikas oli olukord, kus töötajad osalesid erinevates projektides ja see projektide komplekt muutus mõnel neist üsna sageli ja see ei olnud 1-2 inimest, vaid kümneid. Muidugi oli siin vaja midagi muuta.

See lahendati järgmisel viisil.

Otsustasime, et LDAP on ainus tõeallikas, mis määrab kõik võimalikud töötajate juurdepääsud. Lõime igasuguseid gruppe, mis määravad juurdepääsude komplektid, ja määrasime iga kasutaja ühte või mitmesse rühma.

Oletame näiteks, et on rühmi

  • külaline (Interneti-juurdepääs)
  • ühine juurdepääs (juurdepääs jagatud ressurssidele: post, teadmistebaas jne)
  • raamatupidamine
  • projekt 1
  • projekt 2
  • andmebaasi administraator
  • Linuxi administraator
  • ...

Ja kui üks töötajatest osales nii projektis 1 kui ka projektis 2 ja tal oli nendes projektides töötamiseks vajalik juurdepääs, siis määrati see töötaja järgmistesse rühmadesse:

  • Külaline
  • ühine juurdepääs
  • projekt 1
  • projekt 2

Kuidas saaksime selle teabe nüüd võrguseadmete juurdepääsuks muuta?

Cisco ASA dünaamilise juurdepääsu poliitika (DAP) (vt www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) lahendus on just selle ülesande jaoks õige.

Lühidalt meie juurutusest, identifitseerimise/volitamise protsessi käigus saab ASA LDAP-lt antud kasutajale vastavate rühmade komplekti ja “kogub” mitmest kohalikust ACL-ist (millest igaüks vastab rühmale) dünaamilise ACL-i kõigi vajalike juurdepääsudega. , mis vastab täielikult meie soovidele.

Kuid see kehtib ainult VPN-ühenduste jaoks. Et olukord oleks sama nii VPN-i kaudu ühendatud töötajate kui ka kontoris viibijate jaoks, tehti järgmine samm.

Kontorist ühenduse loomisel sattusid 802.1x protokolli kasutavad kasutajad kas külaliskohtvõrku (külaliste jaoks) või jagatud kohtvõrku (ettevõtte töötajate jaoks). Lisaks pidid töötajad konkreetse juurdepääsu saamiseks (näiteks andmekeskuse projektidele) looma ühenduse VPN-i kaudu.

Kontorist ja kodust ühenduse loomiseks kasutati ASA-l erinevaid tunnelirühmi. See on vajalik selleks, et kontorist ühenduse loojate jaoks ei läheks liiklus jagatud ressurssidele (kasutavad kõik töötajad, nagu post, failiserverid, piletisüsteem, dns jne) mitte läbi ASA, vaid läbi kohaliku võrgu. . Seega ei koormanud me ASA-d mittevajaliku liiklusega, sealhulgas suure intensiivsusega liiklusega.

Seega sai probleem lahendatud.
Saime

  • samad juurdepääsud nii kontorist kui kaugühendustele
  • teenuse halvenemise puudumine kontoris töötades, mis on seotud suure intensiivsusega liikluse edastamisega ASA kaudu

Millised on selle lähenemisviisi muud eelised?
Juurdepääsu halduses. Juurdepääsu saab ühest kohast lihtsalt muuta.
Näiteks kui töötaja lahkub ettevõttest, eemaldate ta lihtsalt LDAP-st ja ta kaotab automaatselt igasuguse juurdepääsu.

Hosti kontrollimine

Kaugühenduse võimalusega on oht, et lubame võrku mitte ainult ettevõtte töötaja, vaid ka kogu tema arvutis (näiteks kodus) suure tõenäosusega leiduva pahatahtliku tarkvara ning pealegi selle tarkvara kaudu me võib anda juurdepääsu meie võrgule ründajale, kes kasutab seda hosti puhverserverina.

Kaugühendusega hosti puhul on mõistlik kohaldada samu turbenõudeid kui kontorisisesel hostil.

See eeldab ka OS-i, viirusetõrje, nuhkvaratõrje ja tulemüüri tarkvara ja värskenduste "õiget" versiooni. Tavaliselt on see võimalus VPN-lüüsis (ASA kohta vt näiteks siin).

Samuti on mõistlik rakendada samu liiklusanalüüsi ja blokeerimisvõtteid (vt “Kõrge kaitsetase”), mida teie turvapoliitika kontoriliikluse puhul rakendab.

On mõistlik eeldada, et teie kontorivõrk ei piirdu enam büroohoone ja selle sees olevate hostidega.

Näide

Hea võte on tagada igale kaugjuurdepääsu vajavale töötajale hea mugav sülearvuti ja nõuda nii kontoris kui ka kodus töötamist ainult sellelt.

See mitte ainult ei paranda teie võrgu turvalisust, vaid on ka väga mugav ja tavaliselt suhtuvad sellesse töötajad positiivselt (kui see on tõesti hea ja kasutajasõbralik sülearvuti).

Proportsiooni- ja tasakaalutundest

Põhimõtteliselt on see vestlus meie kolmnurga kolmandast tipust – hinnast.
Vaatame hüpoteetilist näidet.

Näide

Teil on kontor 200 inimesele. Otsustasite teha selle võimalikult mugavaks ja ohutuks.

Seetõttu otsustasite kogu liikluse tulemüürist läbi lasta ja seega on tulemüür kõigi kontori alamvõrkude jaoks vaikelüüsiks. Lisaks igasse lõppmasinasse installitud turbetarkvarale (viirusetõrje, nuhkvaratõrje ja tulemüüritarkvara) otsustasite tulemüüril rakendada ka kõiki võimalikke kaitsemeetodeid.

Suure ühenduse kiiruse tagamiseks (kõik mugavuse huvides) valisite pääsulülititeks 10 gigabitise juurdepääsupordiga kommutaatorid ja tulemüüriks suure jõudlusega NGFW tulemüürid, näiteks Palo Alto 7K seeria (40 gigabitise pordiga), loomulikult kõigi litsentsidega. kaasas ja loomulikult kõrge saadavuse paar.

Loomulikult vajame selle seadmesarjaga töötamiseks vähemalt paari kõrgelt kvalifitseeritud turvainseneri.

Järgmisena otsustasite kinkida igale töötajale hea sülearvuti.

Kokku umbes 10 miljonit dollarit juurutamiseks, sadu tuhandeid dollareid (ma arvan, et miljonile lähemal) iga-aastaseks toetuseks ja inseneride palkadeks.

Kontor, 200 inimest...
Mugav? Ma arvan, et see on jah.

Tulete selle ettepanekuga oma juhtkonnale...
Võib-olla on maailmas hulk ettevõtteid, kelle jaoks on see vastuvõetav ja õige lahendus. Kui olete selle ettevõtte töötaja, õnnitlen teid, kuid enamikul juhtudel olen kindel, et juhtkond ei hinda teie teadmisi.

Kas see näide on liialdatud? Järgmine peatükk annab sellele küsimusele vastuse.

Kui te oma võrgus midagi ülalnimetatust ei näe, on see norm.
Iga konkreetse juhtumi puhul peate leidma oma mõistliku kompromissi mugavuse, hinna ja ohutuse vahel. Sageli ei vaja te isegi oma kontoris NGFW-d ja tulemüüri L7 kaitse pole vajalik. Piisab hea nähtavuse ja hoiatuste tagamisest ning seda saab teha näiteks avatud lähtekoodiga tooteid kasutades. Jah, teie reaktsioon rünnakule ei ole kohene, kuid peamine on see, et te seda näete ja õigete protsesside korral teie osakonnas saate selle kiiresti neutraliseerida.

Ja lubage mul teile meelde tuletada, et selle artiklisarja kontseptsiooni kohaselt ei kujunda te võrku, vaid proovite ainult täiustada seda, mida olete saanud.

Bürooarhitektuuri OHUTU analüüs

Pöörake tähelepanu sellele punasele ruudule, mille järgi ma diagrammil koha eraldasin SAFE Secure Campus Architecture Guidemida ma tahaksin siin arutada.

Kuidas võtta enda kontrolli alla oma võrguinfrastruktuur. Kolmas peatükk. Võrgu turvalisus. Kolmas osa

See on arhitektuuri üks võtmekohti ja üks olulisemaid määramatusi.

Märkus:

Ma pole kunagi FirePowerit seadistanud ega sellega töötanud (Cisco tulemüüri sarjast – ainult ASA), seega käsitlen seda nagu mis tahes muud tulemüüri, nagu Juniper SRX või Palo Alto, eeldusel, et sellel on samad võimalused.

Tavalistest kujundustest näen selle ühendusega tulemüüri kasutamiseks ainult 4 võimalikku võimalust:

  • iga alamvõrgu vaikelüüs on lüliti, samal ajal kui tulemüür on läbipaistvas režiimis (st kogu liiklus läbib seda, kuid see ei moodusta L3-hüpet)
  • iga alamvõrgu vaikelüüsiks on tulemüüri alamliidesed (või SVI liidesed), lüliti mängib L2 rolli
  • lülitil kasutatakse erinevaid VRF-e ja liiklus VRF-ide vahel käib läbi tulemüüri, liiklust ühes VRF-is juhib lüliti ACL
  • kogu liiklus peegeldub analüüsiks ja jälgimiseks tulemüüri; liiklus ei läbi seda

Märkus 1

Nende valikute kombinatsioonid on võimalikud, kuid lihtsuse huvides me neid ei käsitle.

Märkus2

Võimalus on kasutada ka PBR-i (service chain architecture), kuid praegu on see, kuigi minu meelest ilus lahendus, pigem eksootiline, nii et ma seda siin ei käsitle.

Dokumendis olevast voogude kirjeldusest näeme, et liiklus käib ikkagi läbi tulemüüri ehk vastavalt Cisco disainile jääb neljas variant ära.

Vaatame kõigepealt kahte esimest võimalust.
Nende valikute puhul toimub kogu liiklus tulemüüri kaudu.

Nüüd vaatame Andmeleht, vaata Cisco GPL ja näeme, et kui tahame, et meie kontori kogu ribalaius oleks vähemalt umbes 10–20 gigabitti, siis peame ostma 4K versiooni.

Märkus:

Kui ma räägin kogu ribalaiusest, pean silmas liiklust alamvõrkude vahel (ja mitte ühe vilana piires).

GPL-ist näeme, et Threat Defense’iga HA Bundle’i puhul on hind olenevalt mudelist (4110 - 4150) vahemikus ~0,5 - 2,5 miljonit dollarit.

See tähendab, et meie disain hakkab sarnanema eelmise näitega.

Kas see tähendab, et see disain on vale?
Ei, see ei tähenda seda. Cisco pakub teile parimat võimalikku kaitset oma tootesarja põhjal. Kuid see ei tähenda, et see oleks teie jaoks kohustuslik.

Põhimõtteliselt on see tavaline küsimus, mis tekib kontori või andmekeskuse projekteerimisel ja see tähendab vaid seda, et tuleb otsida kompromiss.

Näiteks ära lase kogu liiklust läbi tulemüüri, sel juhul tundub variant 3 mulle päris hea või (vt eelmist jaotist) võib-olla pole sul vaja Threat Defense’i või pole üldse vaja tulemüüri. võrgusegmendis ja peate piirduma passiivse jälgimisega, kasutades tasulisi (mitte kalleid) või avatud lähtekoodiga lahendusi, või vajate tulemüüri, kuid teiselt müüjalt.

Tavaliselt on see ebakindlus alati olemas ja pole selget vastust, milline otsus on teie jaoks parim.
See on selle ülesande keerukus ja ilu.

Allikas: www.habr.com

Lisa kommentaar