Artikulu hau "Nola hartu zure sareko azpiegituraren kontrola" serieko bosgarrena da. Serieko artikulu guztien edukia eta estekak aurki daitezke .
Zati hau Campus (bulegoa) eta Urruneko sarbidea VPN segmentuei eskainiko zaie.
Bulegoko sarearen diseinua erraza dirudi.
Izan ere, L2/L3 etengailuak hartzen ditugu eta elkarri konektatzen ditugu. Ondoren, vilans eta atebide lehenetsien oinarrizko konfigurazioa egiten dugu, bideratze sinplea konfiguratzen dugu, WiFi kontrolagailuak konektatzen ditugu, sarbide puntuak, ASA instalatu eta konfiguratzen dugu urruneko sarbiderako, pozik gaude dena funtzionatu izana. Funtsean, aurreko batean idatzi nuen bezala ziklo honetako, telekomunikazio-ikastaro batean bi seihilekoan parte hartu (eta ikasi) duten ia ikasle guztiek bulego-sare bat diseinatu eta konfigura dezakete "nolabait funtziona dezan".
Baina zenbat eta gehiago ikasi, orduan eta errazago dirudi zeregin hori. Niri pertsonalki, gai hau, bulego sarearen diseinuaren gaia, ez zait batere erraza iruditzen, eta artikulu honetan zergatik azaltzen saiatuko naiz.
Laburbilduz, kontuan hartu beharreko faktore dezente daude. Askotan faktore hauek elkarren artean gatazkan daude eta arrazoizko konpromisoa bilatu behar da.
Ziurgabetasun hori da zailtasun nagusia. Beraz, segurtasunari buruz hitz eginez, hiru erpin dituen triangelu bat dugu: segurtasuna, langileentzako erosotasuna, irtenbidearen prezioa.
Eta hiru hauen arteko konpromisoa bilatu behar duzue bakoitzean.
arkitektura
Bi segmentu hauetarako arkitektura baten adibide gisa, aurreko artikuluetan bezala, gomendatzen dut eredua: , .
Dokumentu zaharkituak dira. Hemen aurkezten ditut oinarrizko eskemak eta ikuspegia aldatu ez direlako, baina, aldi berean, aurkezpena baino gehiago gustatzen zait. .
Cisco irtenbideak erabiltzera animatu gabe, oraindik diseinu hau arretaz aztertzea erabilgarria dela uste dut.
Artikulu honek, ohi bezala, ez du inola ere osatua denik itxuratzen, informazio horri gehigarri bat baizik.
Artikuluaren amaieran, Cisco SAFE bulegoaren diseinua aztertuko dugu hemen azaltzen diren kontzeptuen arabera.
Printzipio orokorrak
Bulego sarearen diseinuak, noski, eztabaidatu diren baldintza orokorrak bete behar ditu "Diseinuaren kalitatea ebaluatzeko irizpideak" kapituluan. Artikulu honetan eztabaidatu nahi dugun prezioa eta segurtasunaz gain, oraindik hiru irizpide kontuan hartu behar ditugu diseinatzerakoan (edo aldaketak egiterakoan):
- eskalagarritasuna
- erabiltzeko erraztasuna (kudeagarritasuna)
- erabilgarritasuna
Zertarako eztabaidatu zen asko Hau bulegorako ere egia da.
Baina, hala ere, bulegoko segmentuak bere berezitasunak ditu, segurtasunaren ikuspuntutik kritikoak direnak. Berezitasun horren funtsa da segmentu hau enpresako langileei (baita bazkideei eta gonbidatuei) sareko zerbitzuak eskaintzeko sortua dela, eta, ondorioz, arazoa kontuan hartzeko maila gorenean bi zeregin ditugu:
- babestu enpresaren baliabideak langileengandik (gonbidatuak, bazkideak) eta erabiltzen duten softwaretik etor daitezkeen ekintza maltzuretatik. Horrek sarera baimendu gabeko konexioaren aurkako babesa ere barne hartzen du.
- babestu sistemak eta erabiltzaileen datuak
Eta hau arazoaren alde bat baino ez da (edo, hobeto esanda, triangeluaren erpin bat). Beste aldean erabiltzaileen erosotasuna eta erabilitako soluzioen prezioa daude.
Has gaitezen erabiltzaile batek bulego sare moderno batetik zer espero duen aztertzen.
erosotasuna
Hona hemen nire ustez bulegoko erabiltzaile baten "sareko ekipamenduak" nolakoak diren:
- mugikortasun
- Gailu eta sistema eragile ezagunen sorta osoa erabiltzeko gaitasuna
- Sarbide erraza enpresaren baliabide guztietara
- Interneteko baliabideen erabilgarritasuna, hodeiko hainbat zerbitzu barne
- Sarearen "funtzionamendu azkarra".
Hori guztia langileei zein gonbidatuei (edo bazkideei) aplikatzen zaie, eta konpainiako ingeniarien zeregina da erabiltzaile talde ezberdinentzako sarbideak baimenaren arabera bereiztea.
Ikus ditzagun alderdi horietako bakoitza xehetasun pixka bat gehiagorekin.
mugikortasun
Munduko edozein tokitatik (noski, Internet eskuragarri dagoen tokitik) lan egiteko eta beharrezko baliabide guztiak erabiltzeko aukeraz ari gara.
Hau guztiz aplikatzen da bulegoan. Hau komenigarria da bulegoko edozein lekutatik lanean jarraitzeko aukera duzunean, adibidez, posta jaso, mezularitza korporatibo batean komunikatu, bideo-dei baterako erabilgarri egon,... Horrela, horrek aukera ematen dizu, alde batetik, Komunikazio "zuzeneko" arazo batzuk konpontzeko (adibidez, mitinetan parte hartzea), eta, bestetik, beti konektatuta egon, hatza pultsuan mantendu eta premiazko lehentasun handiko zeregin batzuk azkar konpondu. Hau oso erosoa da eta komunikazioen kalitatea benetan hobetzen du.
Hau WiFi sarearen diseinu egokiarekin lortzen da.
komentarioen
Hemen galdera sortzen da normalean: nahikoa al da WiFi soilik erabiltzea? Horrek esan nahi al du bulegoan Ethernet atakak erabiltzeari utzi diezaiokeela? Erabiltzaileez soilik ari bagara, eta ez zerbitzariez, oraindik ere arrazoizkoak diren Ethernet ataka arrunt batekin konektatzeko, orduan, orokorrean, erantzuna hauxe da: bai, WiFi-ra soilik muga zaitezke. Baina badira ñabardurak.
Erabiltzaile talde garrantzitsuak daude ikuspegi bereizia eskatzen dutenak. Horiek administratzaileak dira, noski. Printzipioz, WiFi konexioa ez da hain fidagarria (trafiko-galerari dagokionez) eta Ethernet ataka arrunta baino motelagoa. Hau esanguratsua izan daiteke administratzaileentzat. Gainera, sareko administratzaileek, esaterako, printzipioz, bandaz kanpoko konexioetarako Ethernet sare propioa izan dezakete.
Baliteke zure enpresan faktore horiek garrantzitsuak diren beste talde/sail batzuk egotea.
Bada beste puntu garrantzitsu bat - telefonia. Agian arrazoiren batengatik ez duzu Haririk gabeko VoIP erabili nahi eta Ethernet konexio arrunta duten IP telefonoak erabili nahi dituzu.
Oro har, lan egiten nuen enpresek WiFi konexioa eta Ethernet ataka izan ohi zituzten.
Mugikortasuna bulegora soilik ez mugatzea nahiko nuke.
Etxetik (edo Internet eskuragarria duen beste edozein lekutatik lan egiteko gaitasuna ziurtatzeko), VPN konexioa erabiltzen da. Aldi berean, komeni da langileek etxetik lan egitearen eta urrutiko lanaren arteko alderik ez sentitzea, sarbide bera suposatzen baitu. Hori nola antolatu pixka bat aurrerago "Autentifikazio eta baimen-sistema zentralizatu bateratua" kapituluan eztabaidatuko dugu.
komentarioen
Seguruenik, ezingo duzu guztiz eman bulegoan duzun urruneko lanerako zerbitzuen kalitate bera. Demagun Cisco ASA 5520 bat erabiltzen ari zarela VPN atebide gisa gailu honek VPN trafikoaren 225 Mbit soilik "digeritzeko" gai da. Hau da, noski, banda-zabalerari dagokionez, VPN bidez konektatzea oso desberdina da bulegotik lan egitearekin. Gainera, arrazoiren batengatik zure sareko zerbitzuetarako latentzia, galera, jitter (adibidez, bulegoko IP telefonia erabili nahi baduzu) nabarmenak badira, ez duzu bulegoan egongo bazina bezalako kalitatea ere jasoko. Horregatik, mugikortasunari buruz hitz egiterakoan, izan daitezkeen mugak ezagutu behar ditugu.
Enpresaren baliabide guztietarako sarbide erraza
Zeregin hori beste sail tekniko batzuekin batera konpondu behar da.
Egoera aproposa erabiltzaileak behin bakarrik autentifikatu behar duenean da, eta horren ostean beharrezko baliabide guztiak eskura ditzake.
Sarbide erraza eskaintzeak segurtasuna uko egin gabe produktibitatea nabarmen hobetu eta lankideen arteko estresa murrizten du.
1. oharra
Sartzeko erraztasuna ez da soilik pasahitza zenbat aldiz sartu behar duzun. Adibidez, zure segurtasun-politikaren arabera, bulegotik datu-zentrora konektatzeko, lehenik VPN atebidera konektatu behar baduzu eta, aldi berean, bulegoko baliabideetarako sarbidea galtzen baduzu, hori ere oso da. , oso deserosoa.
2. oharra
Badira zerbitzuak (adibidez, sareko ekipoetarako sarbidea) non normalean gure AAA zerbitzari dedikatuak ditugun eta kasu honetan hainbat aldiz autentifikatu behar dugunean ohikoa da.
Interneteko baliabideen erabilgarritasuna
Internet ez da entretenimendua bakarrik, lanerako oso erabilgarria izan daitekeen zerbitzu multzo bat ere bada. Faktore psikologiko hutsak ere badaude. Pertsona moderno bat beste pertsona batzuekin Internet bidez konektatzen da hari birtual askoren bidez, eta, nire ustez, ez dago gaizki lan egiten duen bitartean ere konexio hori sentitzen jarraitzen badu.
Denbora galtzearen ikuspuntutik, ez dago gaizki langile batek, adibidez, Skype martxan badu eta behar izanez gero 5 minutu igarotzen baditu maite batekin komunikatzen.
Horrek esan nahi al du Internet beti eskuragarri egon behar dela, horrek esan nahi du langileek baliabide guztietarako sarbidea izan dezaketela eta ez dituztela inola ere kontrolatu?
Ezetzak ez du hori esan nahi, noski. Interneten irekitasun-maila desberdina izan daiteke enpresa ezberdinen arabera - erabateko itxieratik erabateko irekitasunera. Trafikoa kontrolatzeko moduak aurrerago aztertuko ditugu segurtasun neurriei buruzko ataletan.
Gailu ezagunen sorta osoa erabiltzeko gaitasuna
Erosoa da, adibidez, lanean ohituta zauden komunikazio bide guztiak erabiltzen jarraitzeko aukera duzunean. Ez dago zailtasunik teknikoki hau ezartzeko. Horretarako WiFi eta gonbidatu wilan bat behar dituzu.
Ohituta zauden sistema eragilea erabiltzeko aukera baduzu ere ona da. Baina, nire behaketaren arabera, normalean kudeatzaile, administratzaile eta garatzaileei bakarrik onartzen zaie.
Adibidea
Noski, debekuen bidea jarraitu dezakezu, urrutiko sarbidea debekatu, gailu mugikorretatik konektatzea debekatu, dena Ethernet konexio estatikoetara mugatu, Interneterako sarbidea mugatu, sakelako telefonoak eta tramankuluak derrigorrez konfiskatu kontrolean... eta bide hori. Segurtasun-eskakizunak handitu dituzten erakunde batzuek jarraitzen dute, eta agian kasu batzuetan hori justifikatuta egon daiteke, baina... onartu behar duzu erakunde bakar batean aurrerapena geldiarazteko saiakera dela. Noski, teknologia modernoek ematen dituzten aukerak segurtasun maila nahikoarekin uztartu nahiko nituzke.
Sarearen "funtzionamendu azkarra".
Datuak transferitzeko abiadura teknikoki faktore asko ditu. Eta zure konexio portuaren abiadura ez da normalean garrantzitsuena. Aplikazio baten funtzionamendu geldoa ez da beti sareko arazoekin lotzen, baina oraingoz sarearen zatia bakarrik interesatzen zaigu. Sare lokalaren "moteltze" arazo ohikoena pakete galerarekin lotuta dago. Hau normalean botila-lepoa edo L1 (OSI) arazoak daudenean gertatzen da. Gutxiagotan, diseinu batzuekin (adibidez, zure azpisareek suebaki bat atebide lehenetsi gisa dutenean eta, beraz, trafiko guztia bertatik pasatzen denean), baliteke hardwarearen errendimendua falta izatea.
Hori dela eta, ekipoak eta arkitektura aukeratzerakoan, amaierako ataken, enborren eta ekipoen errendimenduaren abiadurak erlazionatu behar dituzu.
Adibidea
Demagun gigabit 1eko ataka duten etengailuak erabiltzen ari zarela sarbide-geruzen etengailu gisa. Elkarrekin konektatzen dira Etherchannel 2 x 10 gigabit bidez. Atebide lehenetsi gisa, gigabit atakak dituen suebaki bat erabiltzen duzu, eta L2 bulegoko sarera konektatzeko 2 gigabit atakak erabiltzen dituzu Etherchannel batean konbinatuta.
Arkitektura hau nahiko erosoa da funtzionalitatearen ikuspuntutik, zeren... Trafiko guztia suebakitik pasatzen da, eta sarbide-politikak eroso kudea ditzakezu, eta algoritmo konplexuak aplikatu trafikoa kontrolatzeko eta balizko erasoak saihesteko (ikus behean), baina errendimenduaren eta errendimenduaren ikuspuntutik diseinu honek, noski, arazo potentzialak ditu. Beraz, adibidez, datuak deskargatzen dituzten 2 ostalariek (1 gigabit-eko ataka-abiadurarekin) guztiz kargatu dezakete 2 gigabiteko konexio bat suebakira, eta, beraz, bulegoko segmentu osorako zerbitzuaren degradazioa ekar dezakete.
Triangeluaren erpin bat aztertu dugu, orain ikus dezagun nola bermatu dezakegun segurtasuna.
erremedioak
Beraz, noski, normalean gure nahia (edo hobeto esanda, gure kudeaketaren nahia) ezinezkoa lortzea da, hots, erosotasun handiena eskaintzea segurtasun eta kostu minimoarekin.
Ikus dezagun zein metodo ditugun babesa emateko.
Bulegorako, honako hauek nabarmenduko nituzke:
- diseinurako zero konfiantzazko ikuspegia
- babes maila altua
- sarearen ikusgarritasuna
- autentifikazio- eta baimen-sistema zentralizatu bateratua
- ostalariaren egiaztapena
Jarraian, apur bat gehiago sakonduko dugu alderdi horietako bakoitzean.
Zero Konfiantza
IT mundua oso azkar aldatzen ari da. Azken 10 urteotan, teknologia eta produktu berrien agerpenak segurtasun kontzeptuen berrikuspen handia ekarri du. Duela hamar urte, segurtasunaren ikuspuntutik, sarea segmentatu genuen konfiantzazko, dmz eta untrust zonetan, eta “perimetroko babesa” deritzona erabili genuen, non 2 defentsa-lerro zeuden: untrust -> dmz eta dmz -> konfiantza. Gainera, babesa normalean L3/L4 (OSI) goiburuetan oinarritutako sarbide-zerrendetara mugatzen zen (IP, TCP/UDP atakak, TCP banderak). Goi mailako mailekin lotutako guztia, L7 barne, azken ostalarietan instalatutako OS eta segurtasun produktuen esku geratu zen.
Orain egoera izugarri aldatu da. Kontzeptu modernoa barne-sistemak, hau da, perimetroaren barruan kokatutakoak, fidagarritzat hartu ezin direnetik dator eta perimetroaren kontzeptua bera lausotu egin da.
Interneteko konexioaz gain, badugu
- urruneko sarbidea VPN erabiltzaileak
- hainbat tramankulu pertsonal, eramangarriak ekarri, bulegoko WiFi bidez konektatuta
- beste (sukurtsal) bulegoak
- hodeiko azpiegiturekin integratzea
Zero Trust ikuspegia nolakoa da praktikan?
Egokiena, behar den trafikoa baino ez da onartu behar eta, ideal batez ari bagara, kontrola L3/L4 mailan ez ezik, aplikazio mailan ere egon beharko litzateke.
Adibidez, trafiko guztia suebaki batetik pasatzeko gaitasuna baduzu, idealera hurbiltzen saia zaitezke. Baina ikuspegi honek nabarmen murriztu dezake zure sarearen banda-zabalera osoa, eta, gainera, aplikazioaren arabera iragazteak ez du beti ondo funtzionatzen.
Bideratzaile edo L3 etengailu batean trafikoa kontrolatzean (ACL estandarrak erabiliz), beste arazo batzuk aurkituko dituzu:
- Hau L3/L4 iragazketa da soilik. Ez dago ezerk eragozten duen erasotzaileari baimendutako atakak erabiltzea (adibidez, TCP 80) bere aplikaziorako (ez http)
- ACL kudeaketa konplexua (ACLak analizatzea zaila)
- Hau ez da egoera osoko suebakia, hau da, alderantzizko trafikoa esplizituki baimendu behar duzu
- etengailuekin, normalean, TCAM-aren tamaina oso mugatuta zaude, eta hori azkar arazo bihurtu daiteke "behar duzuna bakarrik baimendu" ikuspegia hartzen baduzu.
komentarioen
Alderantzizko trafikoari buruz hitz egitean, gogoratu behar dugu aukera hau dugula (Cisco)
baimendu tcp edozein ezarritako edozein
Baina ulertu behar duzu lerro hau bi lerroren baliokidea dela:
baimendu tcp edozein edozein ack
baimendu tcp edozein edozein lehenHorrek esan nahi du SYN bandera duen hasierako TCP segmenturik ez bazegoen ere (hau da, TCP saioa ez zen ezartzen hasi ere egiten), ACL honek ACK bandera duen pakete bat baimenduko du, erasotzaileak datuak transferitzeko erabil dezakeela.
Hau da, linea honek ez du inola ere zure bideratzailea edo L3 etengailua egoera osoko suebaki bihurtzen.
Babes maila altua
В Datu-zentroei buruzko atalean, babes-metodo hauek kontuan hartu ditugu.
- egoera-suebakia (lehenetsia)
- ddos/dos babesa
- aplikazioen suebakia
- mehatxuen prebentzioa (birusen aurkakoa, espioiaren aurkakoa eta ahultasuna)
- URL iragaztea
- datuen iragazketa (edukiaren iragazketa)
- fitxategiak blokeatzea (fitxategi motak blokeatzea)
Bulego baten kasuan, egoera antzekoa da, baina lehentasunak apur bat desberdinak dira. Bulegoen erabilgarritasuna (erabilgarritasuna) ez da normalean datu-zentro baten kasuan bezain kritikoa, eta "barneko" trafiko gaiztoaren probabilitatea maila ordena handiagoa da.
Hori dela eta, segmentu honetarako babes-metodo hauek kritiko bihurtzen dira:
- aplikazioen suebakia
- mehatxuen prebentzioa (birusen aurkakoa, espioiaren aurkakoa eta ahultasuna)
- URL iragaztea
- datuen iragazketa (edukiaren iragazketa)
- fitxategiak blokeatzea (fitxategi motak blokeatzea)
Babes-metodo hauek guztiak, aplikazioen suebakia izan ezik, tradizionalki azken ostalarietan (adibidez, birusen aurkako programak instalatuz) eta proxyak erabiliz konpondu izan diren eta izaten jarraitzen dute, NGFW modernoek ere zerbitzu hauek eskaintzen dituzte.
Segurtasun-ekipamenduen saltzaileek babes integrala sortzen ahalegintzen dira, beraz, tokiko babesarekin batera, hodeiko teknologia eta bezero-software desberdinak eskaintzen dituzte ostalarientzako (bukaerako babesa/EPP). Beraz, adibidez, batetik Ikusten dugu Palo Alto eta Ciscok beren EPP propioak dituztela (PA: Traps, Cisco: AMP), baina liderretatik urrun daudela.
Babes hauek (normalean lizentziak erosiz) zure suebakian gaitzea ez da derrigorrezkoa (bide tradizionaletik joan zaitezke), baina abantaila batzuk ematen ditu:
- kasu honetan, babes metodoen aplikazio puntu bakarra dago, ikusgarritasuna hobetzen duena (ikus hurrengo gaia).
- Zure sarean babesik gabeko gailu bat badago, suebakiaren babesaren "aterki" azpian dago oraindik.
- Suebakiaren babesa amaierako ostalariaren babesarekin batera erabiliz gero, trafiko gaiztoa detektatzeko aukera handitzen dugu. Adibidez, tokiko ostalarietan eta suebaki batean mehatxuen prebentzioa erabiltzeak detektatzeko probabilitatea areagotzen du (baldin eta, noski, irtenbide hauek software produktu desberdinetan oinarritzen badira)
komentarioen
Adibidez, Kaspersky antibirus gisa erabiltzen baduzu bai suebakian eta baita azken ostalarietan ere, horrek, noski, ez du zure sarean birusen erasoa saihesteko aukera asko handituko.
Sareko ikusgarritasuna
erraza da - "ikusi" zer gertatzen ari den zure sarean, bai denbora errealean, bai datu historikoetan.
"Ikuspen" hau bi taldetan banatuko nuke:
Talde bat: zure monitorizazio sistemak eskaintzen dizuna.
- ekipoak kargatzea
- kargatzeko kanalak
- memoriaren erabilera
- diskoaren erabilera
- bideratze-taula aldatzea
- estekaren egoera
- ekipamenduen erabilgarritasuna (edo ostalariak)
- ...
Bigarren taldea: segurtasunari lotutako informazioa.
- hainbat estatistika mota (adibidez, aplikazioaren arabera, URL trafikoaren arabera, zer datu mota deskargatu ziren, erabiltzaileen datuak)
- segurtasun politikek zer blokeatu zuten eta zer arrazoirengatik, alegia
- debekatutako aplikazioa
- debekatuta ip/protokolo/port/flags/zonetan oinarrituta
- mehatxuen prebentzioa
- url iragazkia
- datuak iragaztea
- fitxategiak blokeatzea
- ...
- DOS/DDOS erasoei buruzko estatistikak
- identifikatzeko eta baimentzeko saiakerak huts egin ditu
- goiko segurtasun-politika urratze-gertaera guztien estatistikak
- ...
Segurtasunari buruzko kapitulu honetan, bigarren zatia interesatzen zaigu.
Suebaki moderno batzuek (nire Palo Alto esperientziatik) ikusgarritasun maila ona eskaintzen dute. Baina, jakina, interesatzen zaizun trafikoak suebaki honetatik igaro behar du (kasu horretan trafikoa blokeatzeko gaitasuna duzu) edo suebakira ispilu (monitorizazio eta analisirako soilik erabiltzen da), eta lizentziak izan behar dituzu guztiak gaitzeko. zerbitzu hauek.
Bada, noski, modu alternatibo bat, edo hobeto esanda, modu tradizionala, adibidez,
- Saioen estatistikak netflow bidez bil daitezke eta, ondoren, utilitate bereziak erabil daitezke informazioa aztertzeko eta datuak bistaratzeko
- mehatxuen prebentzioa: programa bereziak (birusen aurkakoa, espioiaren aurkakoa, suebakia) amaierako ostalarietan
- URL iragazketa, datuen iragazketa, fitxategien blokeoa - proxyan
- tcpdump aztertzea ere posible da, adibidez, erabiliz.
Bi ikuspegi hauek konbina ditzakezu, falta diren ezaugarriak osatuz edo bikoiztuz, eraso bat detektatzeko aukera areagotzeko.
Zein ikuspegi aukeratu behar duzu?
Zure taldearen kualifikazioen eta lehentasunen araberakoa da.
Bai hor eta baita alde onak eta txarrak ere.
Autentifikazio- eta baimen-sistema zentralizatu bateratua
Ongi diseinatuta dagoenean, artikulu honetan aztertu dugun mugikortasunak sarbide berdina duzula suposatzen du bulegotik edo etxetik lan egiten baduzu, aireportutik, kafetegitik edo beste edozein lekutatik (goian aipatu ditugun mugekin). Badirudi, zein da arazoa?
Zeregin honen konplexutasuna hobeto ulertzeko, ikus dezagun diseinu tipiko bat.
Adibidea
- Langile guztiak taldetan banatu dituzue. Sarbidea taldeka ematea erabaki duzu
- Bulegoaren barruan, sarbidea kontrolatzen duzu bulegoko suebakian
- Bulegotik datu-zentrorako trafikoa kontrolatzen duzu datu-zentroko suebakian
- Cisco ASA VPN atebide gisa erabiltzen duzu eta urruneko bezeroetatik sarean sartzen den trafikoa kontrolatzeko, tokiko (ASAn) ACLak erabiltzen dituzu.
Orain, demagun langile jakin bati sarbide gehigarria gehitzeko eskatzen zaizula. Kasu honetan, berari bakarrik eta bere taldeko beste inori sarbidea gehitzeko eskatuko zaizu.
Horretarako talde bereizi bat sortu behar dugu langile honentzat, hau da
- sortu ASAn IP multzo bereizia langile honentzat
- gehitu ACL berri bat ASAn eta lotu urruneko bezero horri
- sortu segurtasun-politika berriak bulegoko eta datu-zentroko suebakietan
Ongi da gertaera hau arraroa bada. Baina nire praktikan langileek proiektu ezberdinetan parte hartzen zuten egoera bat zegoen, eta horietako batzuentzat proiektu multzo hau sarritan aldatzen zen, eta ez zen 1-2 pertsona, dozenaka baizik. Jakina, hemen zerbait aldatu behar zen.
Hau honela konpondu zen.
Erabaki genuen LDAP izango zela langileen sarbide posible guztiak zehazten dituen egia iturri bakarra. Sarbide multzoak definitzen dituzten mota guztietako taldeak sortu ditugu, eta erabiltzaile bakoitza talde bat edo gehiago esleitu ditugu.
Beraz, demagun, adibidez, taldeak zeudela
- gonbidatua (Interneterako sarbidea)
- sarbide komuna (baliabide partekatuetarako sarbidea: posta, ezagutza-basea, ...)
- kontabilitate
- proiektua 1
- proiektua 2
- datu-basearen administratzailea
- linux administratzailea
- ...
Eta langileetako bat 1. proiektuan eta 2. proiektuan parte hartzen bazuen, eta proiektu horietan lan egiteko beharrezko sarbidea behar bazuen, orduan langile hau talde hauetara esleitu zen:
- gonbidatu
- sarbide komuna
- proiektua 1
- proiektua 2
Nola bihurtu dezakegu orain informazio hori sareko ekipoen sarbide batean?
Cisco ASA sarbide dinamikoaren politika (DAP) (ikus ) irtenbide egokia da zeregin honetarako.
Laburbilduz, gure ezarpenari buruz, identifikazio/baimen prozesuan, ASAk LDAPetik erabiltzaile jakin bati dagozkion talde multzo bat jasotzen du eta ACL lokal batzuetatik (bakoitza talde bati dagokiola) "biltzen" du ACL dinamiko bat beharrezko sarbide guztiak dituena. , gure nahiei guztiz bat datorrena.
Baina hau VPN konexioetarako bakarrik da. VPN bidez konektatutako langileen zein bulegoan daudenen egoera berdina izan dadin, pauso hau eman zen.
Bulegotik konektatzean, 802.1x protokoloa erabiltzen zuten erabiltzaileek gonbidatutako LAN batean (gonbidatuentzat) edo partekatutako LAN batean (enpresako langileentzat) amaitu zuten. Gainera, sarbide zehatza lortzeko (adibidez, datu-zentro bateko proiektuetarako), langileek VPN bidez konektatu behar zuten.
Bulegotik eta etxetik konektatzeko, ASAn tunel talde desberdinak erabili ziren. Hau beharrezkoa da bulegotik konektatzen direnentzat, partekatutako baliabideetarako trafikoa (langile guztiek erabiltzen dutena, hala nola posta, fitxategi-zerbitzariak, txartel-sistema, dns,...) ASAtik pasa ez dadin, sare lokaletik baizik. . Horrela, ASA ez genuen alferrikako trafikoarekin kargatu, intentsitate handiko trafikoa barne.
Horrela, arazoa konpondu zen.
Lortu dugu
- sarbide-multzo bera bulegotik zein urruneko konexioetarako
- ASAren bidez intentsitate handiko trafikoaren transmisioarekin lotutako bulegotik lan egitean zerbitzuaren degradaziorik eza
Ikuspegi honen beste zer abantaila?
Sarbideen administrazioan. Sarbideak leku bakarrean erraz alda daitezke.
Esate baterako, langile batek enpresa uzten badu, LDAPetik kendu besterik ez duzu eta automatikoki galduko du sarbide guztiak.
Ostalariaren egiaztapena
Urruneko konexioa egiteko aukerarekin, enpresako langile bat sarean sartzeaz gain, bere ordenagailuan oso litekeena den software gaizto guztia (adibidez, etxean) ere uzteko arriskua dugu, eta gainera, software honen bitartez baliteke ostalari hau proxy gisa erabiltzen duen erasotzaile bati gure sarerako sarbidea ematea.
Zentzuzkoa da urrunetik konektatutako ostalari batek bulegoko ostalari baten segurtasun-baldintza berdinak aplikatzea.
Honek sistema eragilearen, birusen aurkako, antiespioiaren eta suebakiaren softwarearen eta eguneraketen bertsio "zuzena" ere suposatzen du. Normalean, gaitasun hau VPN atebidean dago (ASArako ikus, adibidez, ).
Era berean, komeni da trafikoaren azterketa eta blokeo teknika berdinak aplikatzea (ikus "Babes-maila altua") zure segurtasun-politikak bulegoko trafikoari aplikatzen dizkionak.
Zentzuzkoa da pentsatzea zure bulego-sarea jada ez dela bulego-eraikinera eta bertako ostalarietara mugatzen.
Adibidea
Teknika ona da urrutiko sarbidea behar duen langile bakoitzari ordenagailu eramangarri on eta eroso bat eskaintzea eta lan egitea eskatzea, bai bulegoan, bai etxetik, bertatik soilik.
Zure sarearen segurtasuna hobetzen ez ezik, oso erosoa da eta normalean langileek ongi ikusten dute (eramangarri ona eta erabilerraza bada).
Proportzio eta oreka zentzuari buruz
Funtsean, hau gure triangeluaren hirugarren erpinaren inguruko elkarrizketa da - prezioari buruz.
Ikus dezagun adibide hipotetiko bat.
Adibidea
200 lagunentzako bulegoa duzu. Ahalik eta erosoena eta seguruena egitea erabaki duzu.
Hori dela eta, trafiko guztia suebakitik pasatzea erabaki duzu eta, beraz, bulegoko azpisare guztientzat suebakia da atebide lehenetsia. Amaierako ostalari bakoitzean instalatutako segurtasun-softwareaz gain (birusen aurkakoa, anti-spywarea eta suebakiaren softwarea), suebakian babes-metodo posible guztiak aplikatzea erabaki zenuen.
Konexio-abiadura handia bermatzeko (dena erosotasunerako), 10 Gigabit sarbide-atakuak dituzten etengailuak aukeratu dituzu sarbide-etengailu gisa, eta errendimendu handiko NGFW suebakiak suebaki gisa, adibidez, Palo Alto 7K seriea (40 Gigabit-eko portuekin), lizentzia guztiekin, jakina. barne eta, jakina, Erabilgarritasun Handiko bikotea.
Gainera, noski, ekipamendu-lerro honekin lan egiteko, gutxienez, gaitasun handiko segurtasun ingeniari pare bat behar ditugu.
Ondoren, langile bakoitzari ordenagailu eramangarri on bat ematea erabaki zenuen.
Guztira, 10 milioi dolar inguru ezartzeko, ehunka mila dolar (milioi bat hurbilago uste dut) urteko laguntza eta ingeniarientzako soldatak.
Bulegoa, 200 lagun...
Eroso? Uste dut baietz.Proposamen honekin zatoz zure zuzendaritzara...
Beharbada, munduan badaude irtenbide onargarria eta zuzena duten enpresa batzuk. Enpresa honetako langilea bazara, nire zorionak, baina kasu gehienetan, ziur nago zure ezagutzak ez dituela baloratuko zuzendaritzak.
Adibide hau gehiegizkoa al da? Hurrengo kapituluak galdera honi erantzungo dio.
Zure sarean ez baduzu goiko ezer ikusten, orduan hau da araua.
Kasu zehatz bakoitzerako, erosotasunaren, prezioaren eta segurtasunaren arteko arrazoizko konpromisoa aurkitu behar duzu. Askotan ez duzu NGFW beharrik ere zure bulegoan, eta suebakian L7 babesa ez da beharrezkoa. Nahikoa da ikusgarritasun eta alerta maila ona eskaintzea, eta kode irekiko produktuak erabiliz egin daiteke, adibidez. Bai, eraso baten aurrean zure erreakzioa ez da berehalakoa izango, baina gauza nagusia ikusiko duzula da, eta zure sailean prozesu egokiak ezarrita, azkar neutralizatu ahal izango dituzu.
Eta gogorarazten dizut, artikulu sorta honen kontzeptuaren arabera, ez zarela sare bat diseinatzen, lortu duzuna hobetzen saiatzen ari zarela.
Bulegoko arkitekturaren azterketa SEGURUA
Erreparatu karratu gorri honi, zeinari leku bat esleitu diot diagraman hemen eztabaidatu nahiko nukeena.
Hau da arkitekturaren giltzarrietako bat eta ziurgabetasun garrantzitsuenetako bat.
komentarioen
Inoiz ez dut FirePower-ekin konfiguratu edo lan egin (Cisco-ren suebaki-lerrotik - ASA soilik), beraz, beste edozein suebaki bezala tratatuko dut, Juniper SRX edo Palo Alto-k bezala, gaitasun berdinak dituela suposatuz.
Ohiko diseinuetatik, konexio honekin suebaki bat erabiltzeko 4 aukera posible baino ez ditut ikusten:
- azpisare bakoitzeko atebide lehenetsia switch bat da, suebakia modu gardenean dagoen bitartean (hau da, trafiko guztia bertatik igarotzen da, baina ez du L3 hop bat osatzen)
- azpisare bakoitzeko atebide lehenetsia firewall azpi-interfazeak (edo SVI interfazeak) dira, etengailuak L2-ren rola betetzen du.
- Switchean VRF desberdinak erabiltzen dira eta VRFen arteko trafikoa suebakitik igarotzen da, VRF bateko trafikoa etengailuko ACL-ek kontrolatzen du.
- trafiko guztia suebakian islatzen da azterketa eta jarraipena egiteko; trafikoa ez da bertatik pasatzen
1. oharra
Aukera hauen konbinazioak posible dira, baina sinpletasunagatik ez ditugu kontuan hartuko.
Oharra 2
PBR (zerbitzu-katearen arkitektura) erabiltzeko aukera ere badago, baina oraingoz hau, nire ustez irtenbide ederra izan arren, nahiko exotikoa da, beraz, ez dut hemen kontuan hartzen.
Dokumentuko fluxuen deskribapenetik, trafikoa oraindik suebakitik igarotzen dela ikusten dugu, hau da, Ciscoren diseinuaren arabera, laugarren aukera ezabatzen da.
Ikus ditzagun lehenengo bi aukerak.
Aukera hauekin, trafiko guztia suebakitik igarotzen da.
Orain ikus dezagun , begira eta ikusten dugu gure bulegoko banda zabalera osoa gutxienez 10 - 20 gigabit ingurukoa izatea nahi badugu, 4K bertsioa erosi behar dugula.
komentarioen
Banda zabalera osoaz hitz egiten dudanean, azpisareen arteko trafikoa esan nahi dut (eta ez vilana baten barruan).
GPL-tik ikusten dugu Threat Defense duen HA Bundle-rako, ereduaren araberako prezioa (4110 - 4150) ~ 0,5 - 2,5 milioi dolar bitartekoa dela.
Hau da, gure diseinua aurreko adibidearen antza hartzen hasten da.
Horrek esan nahi al du diseinu hau okerra dela?
Ez, horrek ez du esan nahi. Cisco-k duen produktu-lerroaren arabera ahalik eta babes onena eskaintzen dizu. Baina horrek ez du esan nahi zuretzat egin beharrekoa denik.
Printzipioz, bulego edo datu-zentro bat diseinatzerakoan sortzen den galdera ohikoa da, eta konpromisoa bilatu behar dela esan nahi du soilik.
Esate baterako, ez utzi trafiko guztia suebaki batetik igarotzen, kasu horretan 3. aukera nahiko ona iruditzen zait, edo (ikus aurreko atala) agian ez duzu Mehatxuen Defentsarik behar edo ez duzu horren inguruan suebakirik behar. sareko segmentua, eta monitorizazio pasibora mugatu behar duzu ordainpeko (ez garestiak) edo kode irekiko irtenbideak erabiliz, edo suebaki bat behar duzu, baina beste saltzaile batekoa.
Normalean beti dago ziurgabetasun hori eta ez dago erantzun argirik zein den zuretzako erabakirik egokiena.
Hau da zeregin honen konplexutasuna eta edertasuna.
Iturria: www.habr.com