ProHoster > وبلاگ > اداره > چگونه زیرساخت شبکه خود را کنترل کنیم فصل سه. امنیت شبکه. قسمت سوم

چگونه زیرساخت شبکه خود را کنترل کنیم فصل سه. امنیت شبکه. قسمت سوم

این مقاله پنجمین مقاله از مجموعه «چگونه زیرساخت شبکه خود را کنترل کنیم» است. محتویات تمام مقالات این مجموعه و پیوندها را می توان یافت اینجا.

این بخش به بخش های پردیس (دفتر) و دسترسی از راه دور VPN اختصاص داده خواهد شد.

چگونه زیرساخت شبکه خود را کنترل کنیم فصل سه. امنیت شبکه. قسمت سوم

طراحی شبکه اداری ممکن است آسان به نظر برسد.

در واقع، سوئیچ های L2/L3 را می گیریم و آنها را به یکدیگر وصل می کنیم. در مرحله بعد، ما یک راه‌اندازی اولیه از ویلان‌ها و دروازه‌های پیش‌فرض را انجام می‌دهیم، مسیریابی ساده را راه‌اندازی می‌کنیم، کنترل‌کننده‌های WiFi، نقاط دسترسی را به هم متصل می‌کنیم، ASA را برای دسترسی از راه دور نصب و پیکربندی می‌کنیم، خوشحالیم که همه چیز کار کرد. اساساً همانطور که قبلاً در یکی از موارد قبلی نوشتم مقالات در این چرخه، تقریباً هر دانشجویی که دو ترم از یک دوره مخابراتی را شرکت کرده (و یاد گرفته است) می تواند یک شبکه اداری را طراحی و پیکربندی کند تا "به نحوی کار کند".

اما هر چه بیشتر یاد بگیرید، این کار ساده تر به نظر می رسد. برای من شخصا این مبحث یعنی مبحث طراحی شبکه اداری اصلا ساده به نظر نمی رسد و در این مقاله سعی می کنم دلیل آن را توضیح دهم.

به طور خلاصه، چندین فاکتور وجود دارد که باید در نظر گرفته شود. اغلب این عوامل با یکدیگر در تضاد هستند و باید به دنبال سازش منطقی بود.
این عدم قطعیت مشکل اصلی است. بنابراین، در مورد امنیت، ما یک مثلث با سه رأس داریم: امنیت، راحتی برای کارکنان، قیمت راه حل.
و هر بار باید به دنبال سازش بین این سه باشید.

معماری

به عنوان نمونه ای از معماری برای این دو بخش، مانند مقالات قبلی، توصیه می کنم سیسکو ایمن مدل: پردیس سازمانی, Enterprise Internet Edge.

اینها تا حدودی اسناد قدیمی هستند. من آنها را در اینجا ارائه می دهم زیرا طرح ها و رویکرد اساسی تغییر نکرده است، اما در عین حال من ارائه را بیشتر از مستندات جدید.

بدون تشویق شما به استفاده از راهکارهای سیسکو، همچنان فکر می کنم مطالعه دقیق این طرح مفید است.

این مقاله، طبق معمول، به هیچ وجه وانمود نمی‌کند که کامل است، بلکه افزوده‌ای به این اطلاعات است.

در پایان مقاله، طراحی دفتر سیسکو SAFE را از نظر مفاهیمی که در اینجا شرح داده شده است، تحلیل خواهیم کرد.

اصول عمومی

طراحی شبکه اداری البته باید الزامات کلی را که در مورد آن صحبت شد برآورده کند اینجا در فصل "معیارهای ارزیابی کیفیت طراحی". علاوه بر قیمت و ایمنی که در این مقاله قصد داریم به آنها بپردازیم، هنوز سه معیار وجود دارد که هنگام طراحی (یا ایجاد تغییرات) باید در نظر بگیریم:

  • مقیاس پذیری
  • سهولت استفاده (قابلیت مدیریت)
  • دسترسی

بسیاری از آنچه برای آن بحث شد مراکز داده این در مورد دفتر نیز صادق است.

اما همچنان بخش اداری ویژگی های خاص خود را دارد که از نظر امنیتی بسیار مهم است. ماهیت این ویژگی این است که این بخش برای ارائه خدمات شبکه به کارکنان (و همچنین شرکا و مهمانان) شرکت ایجاد شده است و در نتیجه در بالاترین سطح بررسی مشکل ما دو وظیفه داریم:

  • از منابع شرکت در برابر اقدامات مخربی که ممکن است از سوی کارمندان (مهمانان، شرکا) و از نرم افزاری که آنها استفاده می کنند، محافظت کنید. این همچنین شامل محافظت در برابر اتصال غیرمجاز به شبکه است.
  • حفاظت از سیستم ها و داده های کاربر

و این فقط یک ضلع مشکل است (یا بهتر است بگوییم یک راس مثلث). در طرف دیگر راحتی کاربر و قیمت راه حل های مورد استفاده است.

بیایید با بررسی انتظارات یک کاربر از یک شبکه اداری مدرن شروع کنیم.

امکانات

در اینجا به نظر من "امکانات شبکه" برای یک کاربر آفیس به نظر می رسد:

  • تحرک
  • امکان استفاده از طیف کامل دستگاه ها و سیستم عامل های آشنا
  • دسترسی آسان به تمام منابع ضروری شرکت
  • در دسترس بودن منابع اینترنتی، از جمله خدمات ابری مختلف
  • "عملکرد سریع" شبکه

همه اینها هم در مورد کارمندان و هم برای مهمانان (یا شرکا) صدق می کند و این وظیفه مهندسان شرکت است که دسترسی گروه های مختلف کاربر را بر اساس مجوز متمایز کنند.

بیایید هر یک از این جنبه ها را با کمی جزئیات بیشتر بررسی کنیم.

تحرک

ما در مورد فرصت کار و استفاده از تمام منابع لازم شرکت در هر نقطه از جهان (البته در جایی که اینترنت در دسترس است) صحبت می کنیم.

این به طور کامل در مورد دفتر صدق می کند. این زمانی راحت است که شما این فرصت را دارید که از هر جایی در دفتر کار خود را ادامه دهید، به عنوان مثال، نامه دریافت کنید، در یک پیام رسان شرکتی ارتباط برقرار کنید، برای یک تماس ویدیویی در دسترس باشید، ... بنابراین، این به شما امکان می دهد، از یک طرف، برای حل برخی از مسائل ارتباط "زنده" (مثلاً شرکت در تجمعات)، و از طرف دیگر، همیشه آنلاین باشید، انگشت خود را روی نبض خود نگه دارید و به سرعت برخی از وظایف فوری و با اولویت بالا را حل کنید. این بسیار راحت است و واقعاً کیفیت ارتباطات را بهبود می بخشد.

این امر با طراحی مناسب شبکه وای فای به دست می آید.

توجه داشته باشید

در اینجا معمولاً این سؤال مطرح می شود: آیا استفاده از WiFi فقط کافی است؟ آیا این بدان معنی است که می توانید استفاده از پورت های اترنت را در آفیس متوقف کنید؟ اگر ما فقط در مورد کاربران صحبت می کنیم و نه در مورد سرورهایی که هنوز هم برای اتصال با یک پورت اترنت معمولی منطقی هستند، به طور کلی پاسخ این است: بله، می توانید خود را فقط به WiFi محدود کنید. اما تفاوت های ظریف وجود دارد.

گروه های کاربری مهمی وجود دارند که نیاز به رویکرد جداگانه دارند. اینها البته مدیران هستند. در اصل، اتصال WiFi کمتر از یک پورت اترنت معمولی (از نظر کاهش ترافیک) قابل اعتمادتر و کندتر است. این می تواند برای مدیران مهم باشد. علاوه بر این، به عنوان مثال، مدیران شبکه، در اصل، می توانند شبکه اترنت اختصاصی خود را برای اتصالات خارج از باند داشته باشند.

ممکن است گروه ها/بخش های دیگری در شرکت شما وجود داشته باشد که این عوامل نیز برای آنها مهم هستند.

نکته مهم دیگری وجود دارد - تلفن. شاید به دلایلی نمی خواهید از VoIP بی سیم استفاده کنید و می خواهید از تلفن های IP با اتصال اترنت معمولی استفاده کنید.

به طور کلی، شرکت هایی که من در آنها کار می کردم معمولاً هم اتصال WiFi و هم یک پورت اترنت داشتند.

من دوست دارم تحرک فقط به دفتر محدود نشود.

برای اطمینان از توانایی کار از خانه (یا هر مکان دیگری با اینترنت در دسترس)، از اتصال VPN استفاده می شود. در عین حال، مطلوب است که کارمندان تفاوتی بین کار از خانه و کار از راه دور، که دسترسی یکسان را فرض می کند، احساس نکنند. ما در مورد نحوه سازماندهی این موضوع کمی بعد در فصل "سیستم احراز هویت متمرکز و مجوز یکپارچه" بحث خواهیم کرد.

توجه داشته باشید

به احتمال زیاد، شما نمی توانید به طور کامل همان کیفیت خدماتی را که برای کارهای از راه دور در دفتر دارید ارائه دهید. بیایید فرض کنیم که شما از Cisco ASA 5520 به عنوان دروازه VPN خود استفاده می کنید. ورق اطلاعات این دستگاه قادر است تنها 225 مگابیت ترافیک VPN را "هضم" کند. البته از نظر پهنای باند، اتصال از طریق VPN با کار در دفتر بسیار متفاوت است. همچنین، اگر بنا به دلایلی تاخیر، از دست دادن، لرزش (مثلاً می‌خواهید از تلفن IP اداری استفاده کنید) برای خدمات شبکه‌تان قابل توجه باشد، کیفیتی را که در دفتر هستید نیز دریافت نخواهید کرد. بنابراین، هنگام صحبت از تحرک، باید از محدودیت های احتمالی آگاه باشیم.

دسترسی آسان به تمامی منابع شرکت

این وظیفه باید به طور مشترک با سایر بخش های فنی حل شود.
وضعیت ایده آل زمانی است که کاربر فقط یک بار نیاز به احراز هویت داشته باشد و پس از آن به تمام منابع لازم دسترسی داشته باشد.
ارائه دسترسی آسان بدون به خطر انداختن امنیت می تواند به طور قابل توجهی بهره وری را بهبود بخشد و استرس را در بین همکاران شما کاهش دهد.

تذکر 1

سهولت دسترسی فقط به این نیست که چند بار باید رمز عبور را وارد کنید. اگر به عنوان مثال، مطابق با سیاست امنیتی خود، برای اتصال از دفتر به مرکز داده، ابتدا باید به دروازه VPN متصل شوید و در عین حال دسترسی به منابع آفیس را از دست بدهید، این نیز بسیار است. ، بسیار ناخوشایند

تذکر 2

خدماتی وجود دارد (مثلاً دسترسی به تجهیزات شبکه) که ما معمولاً سرورهای AAA اختصاصی خود را داریم و این امری عادی است که در این مورد باید چندین بار احراز هویت کنیم.

در دسترس بودن منابع اینترنتی

اینترنت تنها سرگرمی نیست، بلکه مجموعه ای از خدمات است که می تواند برای کار بسیار مفید باشد. عوامل کاملاً روانی نیز وجود دارد. یک فرد مدرن از طریق شبکه های مجازی بسیاری از طریق اینترنت با افراد دیگر در ارتباط است و به نظر من اگر حتی در حین کار نیز این ارتباط را احساس کند هیچ اشکالی ندارد.

از نظر اتلاف وقت، اگر مثلاً یک کارمند اسکایپ را اجرا کند و در صورت لزوم 5 دقیقه را صرف ارتباط با یکی از عزیزان کند، اشکالی ندارد.

آیا این بدان معناست که اینترنت همیشه باید در دسترس باشد، آیا این بدان معناست که کارکنان می توانند به همه منابع دسترسی داشته باشند و به هیچ وجه آنها را کنترل نکنند؟

نه البته به این معنی نیست. سطح باز بودن اینترنت برای شرکت های مختلف می تواند متفاوت باشد - از بسته شدن کامل تا باز بودن کامل. ما در بخش های مربوط به اقدامات امنیتی بعداً در مورد راه های کنترل ترافیک صحبت خواهیم کرد.

امکان استفاده از طیف کامل دستگاه های آشنا

برای مثال زمانی که شما این فرصت را دارید که به استفاده از تمام وسایل ارتباطی که در محل کار به آنها عادت دارید ادامه دهید، راحت است. هیچ مشکلی در اجرای فنی این کار وجود ندارد. برای این کار به وای فای و ویلان مهمان نیاز دارید.

همچنین اگر فرصتی برای استفاده از سیستم عاملی که به آن عادت دارید، خوب است. اما، به نظر من، این معمولاً فقط به مدیران، مدیران و توسعه دهندگان مجاز است.

مثال

البته می توانید مسیر ممنوعیت ها را دنبال کنید، دسترسی از راه دور را ممنوع کنید، اتصال از دستگاه های تلفن همراه را ممنوع کنید، همه چیز را به اتصالات اترنت ثابت محدود کنید، دسترسی به اینترنت را محدود کنید، تلفن های همراه و وسایل را در ایست بازرسی اجباری مصادره کنید... و این مسیر در واقع توسط برخی سازمان ها با الزامات امنیتی افزایش یافته دنبال می شود، و شاید در برخی موارد این امر توجیه پذیر باشد، اما ... باید قبول کنید که این به نظر تلاشی برای متوقف کردن پیشرفت در یک سازمان است. البته، من دوست دارم فرصت هایی را که فناوری های مدرن فراهم می کند با سطح کافی از امنیت ترکیب کنم.

"عملکرد سریع" شبکه

سرعت انتقال داده از نظر فنی شامل عوامل زیادی است. و سرعت درگاه اتصال شما معمولاً مهم ترین نیست. عملکرد کند یک برنامه همیشه با مشکلات شبکه همراه نیست، اما در حال حاضر فقط به بخش شبکه علاقه مندیم. رایج ترین مشکل با "کاهش سرعت" شبکه محلی مربوط به از دست دادن بسته است. این معمولا زمانی رخ می دهد که گلوگاه یا مشکلات L1 (OSI) وجود داشته باشد. به ندرت، با برخی از طراحی ها (به عنوان مثال، زمانی که زیرشبکه های شما دارای یک فایروال به عنوان دروازه پیش فرض هستند و بنابراین تمام ترافیک از آن عبور می کند)، ممکن است عملکرد سخت افزاری کم باشد.

بنابراین، هنگام انتخاب تجهیزات و معماری، باید سرعت پورت‌های انتهایی، ترانک و عملکرد تجهیزات را با هم مرتبط کنید.

مثال

بیایید فرض کنیم از سوئیچ هایی با پورت های 1 گیگابیتی به عنوان سوئیچ های لایه دسترسی استفاده می کنید. آنها از طریق Etherchannel 2 x 10 گیگابیت به یکدیگر متصل می شوند. به عنوان یک دروازه پیش فرض، شما از یک فایروال با پورت های گیگابیتی استفاده می کنید که برای اتصال آن به شبکه اداری L2 از 2 پورت گیگابیت ترکیب شده در یک Etherchannel استفاده می کنید.

این معماری از نظر عملکرد بسیار راحت است، زیرا ... تمام ترافیک از طریق فایروال می گذرد، و شما می توانید به راحتی سیاست های دسترسی را مدیریت کنید، و الگوریتم های پیچیده ای را برای کنترل ترافیک و جلوگیری از حملات احتمالی اعمال کنید (به پایین مراجعه کنید)، اما از نقطه نظر توان عملیاتی و عملکرد، این طراحی، البته، مشکلات بالقوه ای دارد. بنابراین، برای مثال، 2 هاست دانلود داده (با سرعت پورت 1 گیگابیت) می توانند اتصال 2 گیگابیتی را به طور کامل به فایروال بارگذاری کنند و در نتیجه منجر به کاهش خدمات برای کل بخش اداری شود.

ما به یک راس مثلث نگاه کرده‌ایم، حالا بیایید ببینیم چگونه می‌توانیم امنیت را تضمین کنیم.

درمان ها

بنابراین، معمولاً آرزوی ما (یا بهتر است بگوییم، خواسته مدیریت ما) دستیابی به غیرممکن است، یعنی ارائه حداکثر راحتی با حداکثر امنیت و حداقل هزینه.

بیایید ببینیم چه روش هایی برای ارائه حفاظت داریم.

برای دفتر، موارد زیر را برجسته می کنم:

  • رویکرد اعتماد صفر به طراحی
  • سطح بالای حفاظت
  • دید شبکه
  • سیستم یکپارچه احراز هویت و مجوز
  • چک کردن میزبان

در ادامه، در مورد هر یک از این جنبه ها با جزئیات بیشتری صحبت خواهیم کرد.

اعتماد صفر

دنیای فناوری اطلاعات به سرعت در حال تغییر است. درست در طول 10 سال گذشته، ظهور فناوری‌ها و محصولات جدید منجر به بازنگری اساسی در مفاهیم امنیتی شده است. ده سال پیش، از نقطه نظر امنیتی، ما شبکه را به مناطق اعتماد، dmz و untrust تقسیم کردیم و از به اصطلاح "حفاظت پیرامونی" استفاده کردیم که در آن 2 خط دفاع وجود داشت: untrust -> dmz و dmz -> اعتماد همچنین، حفاظت معمولاً محدود به لیست‌های دسترسی مبتنی بر هدرهای L3/L4 (OSI) (IP، پورت‌های TCP/UDP، پرچم‌های TCP) بود. همه چیز مربوط به سطوح بالاتر، از جمله L7، به سیستم عامل و محصولات امنیتی نصب شده در میزبان پایانی واگذار شد.

اکنون وضعیت به طرز چشمگیری تغییر کرده است. مفهوم مدرن اعتماد صفر از آنجا ناشی می‌شود که دیگر نمی‌توان سیستم‌های داخلی، یعنی آن‌هایی که در داخل محیط قرار دارند، مورد اعتماد در نظر گرفت و مفهوم خود محیط تار شده است.
ما علاوه بر اتصال به اینترنت نیز داریم

  • دسترسی از راه دور کاربران VPN
  • گجت های شخصی مختلف، لپ تاپ های آورده شده، از طریق وای فای اداری متصل می شوند
  • سایر دفاتر (شعبه)
  • ادغام با زیرساخت های ابری

رویکرد Zero Trust در عمل چگونه است؟

در حالت ایده آل، فقط ترافیک مورد نیاز باید مجاز باشد و اگر در مورد ایده آل صحبت می کنیم، کنترل باید نه تنها در سطح L3/L4، بلکه در سطح برنامه باشد.

برای مثال، اگر توانایی عبور تمام ترافیک از طریق فایروال را دارید، می توانید سعی کنید به ایده آل نزدیک شوید. اما این رویکرد می تواند به طور قابل توجهی کل پهنای باند شبکه شما را کاهش دهد و علاوه بر این، فیلتر کردن بر اساس برنامه همیشه خوب کار نمی کند.

هنگام کنترل ترافیک روی روتر یا سوئیچ L3 (با استفاده از ACLهای استاندارد)، با مشکلات دیگری روبرو می شوید:

  • این فقط فیلتر L3/L4 است. هیچ چیزی مانع از استفاده مهاجم از پورت های مجاز (به عنوان مثال TCP 80) برای برنامه خود (نه http) نمی شود.
  • مدیریت پیچیده ACL (تجزیه ACL ها دشوار است)
  • این یک فایروال کامل نیست، به این معنی که باید به طور صریح به ترافیک معکوس اجازه دهید
  • با سوئیچ‌ها معمولاً با اندازه TCAM بسیار محدود هستید، که اگر رویکرد «فقط به آنچه نیاز دارید اجازه بدهید» می‌تواند به سرعت تبدیل به یک مشکل شود.

توجه داشته باشید

در مورد ترافیک معکوس، باید به یاد داشته باشیم که فرصت زیر را داریم (سیسکو)

اجازه tcp هر گونه تاسیس

اما باید بدانید که این خط معادل دو خط است:
اجازه tcp هر گونه ack
اجازه tcp هر گونه rst

این بدان معنی است که حتی اگر هیچ قطعه TCP اولیه با پرچم SYN وجود نداشته باشد (یعنی جلسه TCP حتی شروع به ایجاد نشد)، این ACL به بسته ای با پرچم ACK اجازه می دهد که مهاجم می تواند از آن برای انتقال داده استفاده کند.

یعنی این خط به هیچ وجه روتر یا سوئیچ L3 شما را به یک فایروال statefull تبدیل نمی کند.

سطح بالای حفاظت

В مقاله در بخش مراکز داده، روش های حفاظتی زیر را در نظر گرفتیم.

  • فایروال حالتی (پیش فرض)
  • حفاظت ddos/dos
  • فایروال برنامه
  • پیشگیری از تهدید (آنتی ویروس، ضد جاسوس افزار و آسیب پذیری)
  • فیلتر کردن URL
  • فیلتر کردن داده ها (فیلتر محتوا)
  • مسدود کردن فایل (انواع فایل مسدود شده)

در مورد دفتر نیز وضعیت مشابه است، اما اولویت ها کمی متفاوت است. در دسترس بودن (در دسترس بودن) آفیس معمولاً به اندازه یک مرکز داده مهم نیست، در حالی که احتمال ترافیک مخرب «داخلی» مرتبه‌ای بالاتر است.
بنابراین، روش‌های حفاظتی زیر برای این بخش حیاتی می‌شوند:

  • فایروال برنامه
  • پیشگیری از تهدید (آنتی ویروس، ضد جاسوس افزار و آسیب پذیری)
  • فیلتر کردن URL
  • فیلتر کردن داده ها (فیلتر محتوا)
  • مسدود کردن فایل (انواع فایل مسدود شده)

اگرچه تمامی این روش های حفاظتی، به استثنای فایروال اپلیکیشن، به طور سنتی بر روی هاست های پایانی (مثلاً با نصب برنامه های آنتی ویروس) و استفاده از پراکسی ها حل شده و می شوند، اما NGFW های مدرن نیز این خدمات را ارائه می دهند.

فروشندگان تجهیزات امنیتی تلاش می کنند تا حفاظت جامع ایجاد کنند، بنابراین در کنار حفاظت محلی، فناوری های ابری مختلف و نرم افزار مشتری را برای میزبان ها (محافظت از نقطه پایانی / EPP) ارائه می دهند. بنابراین، برای مثال، از ربع جادویی گارتنر 2018 می بینیم که Palo Alto و Cisco EPP های خاص خود را دارند (PA: Traps، Cisco: AMP)، اما از رهبران دور هستند.

فعال کردن این حفاظت‌ها (معمولاً با خرید مجوزها) در فایروال شما اجباری نیست (شما می‌توانید مسیر سنتی را طی کنید)، اما مزایایی را به همراه دارد:

  • در این مورد، یک نقطه استفاده از روش های حفاظتی وجود دارد که باعث بهبود دید می شود (موضوع بعدی را ببینید).
  • اگر یک دستگاه محافظت نشده در شبکه شما وجود داشته باشد، همچنان تحت "چتر" محافظت از فایروال قرار می گیرد.
  • با استفاده از محافظت از فایروال در ارتباط با محافظت از میزبان پایانی، احتمال شناسایی ترافیک مخرب را افزایش می دهیم. به عنوان مثال، استفاده از پیشگیری از تهدید در میزبان های محلی و روی یک فایروال، احتمال شناسایی را افزایش می دهد (البته به شرطی که این راه حل ها بر اساس محصولات نرم افزاری مختلف باشد)

توجه داشته باشید

به عنوان مثال، اگر از Kaspersky به عنوان یک آنتی ویروس هم در فایروال و هم در میزبان نهایی استفاده می کنید، مطمئناً این کار شانس شما را برای جلوگیری از حمله ویروس به شبکه شما افزایش نمی دهد.

قابلیت مشاهده شبکه

ایده اصلی ساده است - "ببینید" چه اتفاقی در شبکه شما می افتد، هم در زمان واقعی و هم داده های تاریخی.

من این "چشم انداز" را به دو گروه تقسیم می کنم:

گروه یک: آنچه که سیستم مانیتورینگ شما معمولاً در اختیار شما قرار می دهد.

  • بارگیری تجهیزات
  • بارگذاری کانال ها
  • استفاده از حافظه
  • استفاده از دیسک
  • تغییر جدول مسیریابی
  • وضعیت پیوند
  • در دسترس بودن تجهیزات (یا میزبان)
  • ...

گروه دو: اطلاعات مربوط به ایمنی

  • انواع مختلف آمار (به عنوان مثال، بر اساس برنامه، ترافیک URL، نوع داده های دانلود شده، داده های کاربر)
  • چه چیزی توسط سیاست های امنیتی مسدود شده است و به چه دلیل، یعنی
    • برنامه ممنوع
    • بر اساس IP / پروتکل / پورت / پرچم / مناطق ممنوع است
    • پیشگیری از تهدید
    • فیلتر کردن آدرس اینترنتی
    • فیلتر کردن داده ها
    • مسدود کردن فایل
    • ...
  • آمار حملات DOS/DDOS
  • تلاش برای شناسایی و مجوز ناموفق
  • آمار مربوط به همه رویدادهای نقض خط مشی امنیتی بالا
  • ...

در این فصل امنیت، به بخش دوم علاقه مندیم.

برخی از فایروال های مدرن (از تجربه من در پالو آلتو) سطح خوبی از دید را ارائه می دهند. اما مطمئناً ترافیک مورد نظر شما باید از طریق این فایروال (در این صورت شما توانایی مسدود کردن ترافیک را دارید) یا به فایروال (فقط برای نظارت و تجزیه و تحلیل استفاده می شود) برود و شما باید مجوزهایی برای فعال کردن همه موارد داشته باشید. این خدمات

البته یک راه جایگزین وجود دارد، یا بهتر است بگوییم روش سنتی، برای مثال،

  • آمار جلسات را می توان از طریق netflow جمع آوری کرد و سپس از ابزارهای ویژه برای تجزیه و تحلیل اطلاعات و تجسم داده ها استفاده کرد
  • پیشگیری از تهدید - برنامه‌های ویژه (آنتی ویروس، ضد جاسوس‌افزار، فایروال) روی میزبان‌های نهایی
  • فیلتر کردن URL، فیلتر کردن داده ها، مسدود کردن فایل ها - در پروکسی
  • همچنین می توان tcpdump را با استفاده از مثال تجزیه و تحلیل کرد. خروپف

می‌توانید این دو رویکرد را ترکیب کنید، ویژگی‌های از دست رفته را تکمیل کنید یا آن‌ها را تکرار کنید تا احتمال شناسایی حمله را افزایش دهید.

کدام رویکرد را باید انتخاب کنید؟
تا حد زیادی به شرایط و ترجیحات تیم شما بستگی دارد.
هم وجود دارد و هم جوانب مثبت و منفی.

سیستم یکپارچه احراز هویت و مجوز

هنگامی که به خوبی طراحی شده باشد، تحرکی که در این مقاله مورد بحث قرار گرفتیم، فرض را بر این می‌گذارد که چه از دفتر کار یا از خانه، از فرودگاه، از کافی‌شاپ یا هر جای دیگری (با محدودیت‌هایی که در بالا به آن اشاره کردیم)، دسترسی یکسانی داشته باشید. به نظر می رسد، مشکل چیست؟
برای درک بهتر پیچیدگی این کار، بیایید به یک طراحی معمولی نگاه کنیم.

مثال

  • شما همه کارمندان را به گروه هایی تقسیم کرده اید. شما تصمیم گرفته اید که دسترسی به گروه ها را فراهم کنید
  • در داخل دفتر، شما دسترسی به فایروال دفتر را کنترل می کنید
  • شما ترافیک را از دفتر به مرکز داده در فایروال مرکز داده کنترل می کنید
  • شما از Cisco ASA به عنوان دروازه VPN استفاده می کنید و برای کنترل ترافیک ورودی به شبکه خود از کلاینت های راه دور، از ACL های محلی (در ASA) استفاده می کنید.

حال، فرض کنید از شما خواسته شده است که دسترسی بیشتری به یک کارمند خاص اضافه کنید. در این صورت از شما خواسته می شود که دسترسی را فقط به او اضافه کنید و هیچ کس دیگری از گروه او را اضافه کنید.

برای این کار باید یک گروه جداگانه برای این کارمند ایجاد کنیم، یعنی

  • برای این کارمند یک استخر IP جداگانه در ASA ایجاد کنید
  • یک ACL جدید در ASA اضافه کنید و آن را به مشتری راه دور متصل کنید
  • ایجاد سیاست های امنیتی جدید در فایروال های اداری و مرکز داده

خوب است اگر این اتفاق نادر باشد. اما در عمل من شرایطی وجود داشت که کارمندان در پروژه های مختلف شرکت می کردند و این مجموعه پروژه ها برای برخی از آنها اغلب تغییر می کرد و 1-2 نفر نبودند، بلکه ده ها نفر بودند. البته در اینجا باید چیزی تغییر می کرد.

این به روش زیر حل شد.

ما تصمیم گرفتیم که LDAP تنها منبع حقیقت باشد که همه دسترسی های ممکن کارمندان را تعیین می کند. ما انواع گروه هایی را ایجاد کردیم که مجموعه ای از دسترسی ها را تعریف می کنند و هر کاربر را به یک یا چند گروه اختصاص دادیم.

بنابراین، برای مثال، فرض کنید گروه هایی وجود دارند

  • مهمان (دسترسی به اینترنت)
  • دسترسی مشترک (دسترسی به منابع مشترک: نامه، پایگاه دانش، ...)
  • حسابداری
  • پروژه 1
  • پروژه 2
  • مدیر پایگاه داده
  • مدیر لینوکس
  • ...

و اگر یکی از کارکنان هم در پروژه 1 و هم در پروژه 2 شرکت داشت و به دسترسی لازم برای کار در این پروژه ها نیاز داشت، این کارمند در گروه های زیر قرار می گرفت:

  • مهمان
  • دسترسی مشترک
  • پروژه 1
  • پروژه 2

اکنون چگونه می توانیم این اطلاعات را به دسترسی در تجهیزات شبکه تبدیل کنیم؟

Cisco ASA Dynamic Access Policy (DAP) (نگاه کنید به www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) راه حل برای این کار مناسب است.

به طور خلاصه در مورد پیاده سازی ما، در طی فرآیند شناسایی/مجوز، ASA از LDAP مجموعه ای از گروه های مربوط به یک کاربر معین را دریافت می کند و از چندین ACL محلی (که هر کدام مربوط به یک گروه است) یک ACL پویا با تمام دسترسی های لازم "جمع آوری" می کند. ، که کاملاً با خواسته های ما مطابقت دارد.

اما این فقط برای اتصالات VPN است. برای یکسان کردن وضعیت برای هر دو کارمند متصل از طریق VPN و کسانی که در دفتر هستند، مرحله زیر انجام شد.

هنگام اتصال از دفتر، کاربرانی که از پروتکل 802.1x استفاده می‌کردند به یک LAN مهمان (برای مهمانان) یا یک LAN مشترک (برای کارمندان شرکت) ختم می‌شدند. علاوه بر این، برای به دست آوردن دسترسی خاص (به عنوان مثال، به پروژه ها در یک مرکز داده)، کارمندان مجبور بودند از طریق VPN متصل شوند.

برای اتصال از دفتر و از خانه، گروه های تونل مختلف در ASA استفاده شد. این امر ضروری است تا برای کسانی که از دفتر وصل می شوند، ترافیک به منابع مشترک (که توسط همه کارمندان استفاده می شود، مانند ایمیل، سرورهای فایل، سیستم بلیط، dns و ...) از طریق ASA انجام نشود، بلکه از طریق شبکه محلی انجام شود. . بنابراین، ما ASA را با ترافیک غیر ضروری از جمله ترافیک با شدت بالا بارگیری نکردیم.

بدین ترتیب مشکل حل شد.
گرفتیم

  • مجموعه ای از دسترسی ها برای هر دو اتصال از دفتر و اتصالات راه دور
  • عدم کاهش خدمات هنگام کار از دفتر مرتبط با انتقال ترافیک با شدت بالا از طریق ASA

مزایای دیگر این روش چیست؟
در مدیریت دسترسی. دسترسی ها را می توان به راحتی در یک مکان تغییر داد.
به عنوان مثال، اگر یک کارمند شرکت را ترک کند، شما به سادگی او را از LDAP حذف می کنید و او به طور خودکار تمام دسترسی ها را از دست می دهد.

بررسی میزبان

با امکان اتصال از راه دور، ما این خطر را داریم که نه تنها یک کارمند شرکت، بلکه به همه نرم افزارهای مخربی که به احتمال زیاد در رایانه او وجود دارد (مثلاً خانه) وارد شبکه شود و علاوه بر این، از طریق این نرم افزار ما ممکن است دسترسی به شبکه ما را در اختیار مهاجمی قرار دهد که از این میزبان به عنوان پراکسی استفاده می کند.

منطقی است که یک هاست متصل از راه دور همان الزامات امنیتی را به عنوان یک میزبان داخلی اعمال کند.

این همچنین نسخه "صحیح" سیستم عامل، نرم افزارها و به روز رسانی های آنتی ویروس، ضد جاسوس افزار و فایروال را فرض می کند. به طور معمول، این قابلیت در دروازه VPN وجود دارد (برای مثال، ASA را ببینید، اینجا).

همچنین عاقلانه است که از همان تکنیک‌های تحلیل ترافیک و مسدود کردن استفاده کنید (به «سطح حفاظت بالا» مراجعه کنید) که خط‌مشی امنیتی شما برای ترافیک اداری اعمال می‌شود.

منطقی است که فرض کنیم شبکه اداری شما دیگر محدود به ساختمان اداری و میزبان های داخل آن نیست.

مثال

یک تکنیک خوب این است که برای هر کارمندی که نیاز به دسترسی از راه دور دارد، یک لپ‌تاپ خوب و راحت تهیه کنید و از آن‌ها بخواهید که هم در دفتر و هم از خانه فقط از طریق آن کار کنند.

نه تنها امنیت شبکه شما را بهبود می بخشد، بلکه واقعاً راحت است و معمولاً توسط کارمندان به خوبی مشاهده می شود (اگر لپ تاپ واقعاً خوب و کاربر پسندی باشد).

درباره حس تناسب و تعادل

اساسا، این یک مکالمه در مورد راس سوم مثلث ما است - در مورد قیمت.
بیایید به یک مثال فرضی نگاه کنیم.

مثال

شما یک دفتر برای 200 نفر دارید. شما تصمیم گرفتید آن را تا حد امکان راحت و ایمن کنید.

بنابراین، شما تصمیم گرفتید که تمام ترافیک را از طریق فایروال عبور دهید و بنابراین برای همه زیرشبکه های اداری، فایروال دروازه پیش فرض است. علاوه بر نرم افزار امنیتی نصب شده بر روی هر میزبان نهایی (ضد ویروس، ضد جاسوس افزار و نرم افزار فایروال)، شما همچنین تصمیم گرفتید که تمام روش های حفاظتی ممکن را بر روی فایروال اعمال کنید.

برای اطمینان از سرعت اتصال بالا (همه برای راحتی)، سوئیچ هایی با 10 پورت دسترسی گیگابیتی به عنوان سوئیچ دسترسی و فایروال های NGFW با کارایی بالا به عنوان فایروال، به عنوان مثال سری Palo Alto 7K (با 40 پورت گیگابیتی) را به طور طبیعی با تمام مجوزها انتخاب کردید. شامل و طبیعتاً یک جفت با قابلیت دسترسی بالا.

همچنین، البته، برای کار با این خط از تجهیزات، حداقل به چند مهندس امنیتی با مهارت بالا نیاز داریم.

بعد، تصمیم گرفتید به هر کارمند یک لپ تاپ خوب بدهید.

مجموعاً حدود 10 میلیون دلار برای اجرا، صدها هزار دلار (فکر کنم نزدیک به یک میلیون) برای حمایت سالانه و حقوق مهندسان.

دفتر 200 نفر...
راحت؟ من حدس می زنم که بله.

شما با این پیشنهاد به مدیریت خود می آیید ...
شاید تعدادی از شرکت ها در دنیا وجود داشته باشند که این راه حل قابل قبول و درستی برای آنها باشد. اگر کارمند این شرکت هستید، به شما تبریک می گویم، اما در اکثریت قریب به اتفاق موارد، مطمئن هستم که دانش شما مورد قدردانی مدیریت قرار نخواهد گرفت.

آیا این مثال اغراق آمیز است؟ فصل بعدی به این سوال پاسخ خواهد داد.

اگر در شبکه خود هیچ یک از موارد فوق را نمی بینید، این یک هنجار است.
برای هر مورد خاص، باید سازش معقول خود را بین راحتی، قیمت و ایمنی پیدا کنید. اغلب شما حتی به NGFW در دفتر خود نیاز ندارید و حفاظت L7 روی فایروال مورد نیاز نیست. کافی است سطح خوبی از دید و هشدار ارائه شود و برای مثال می توان این کار را با استفاده از محصولات منبع باز انجام داد. بله، واکنش شما به یک حمله فوری نخواهد بود، اما نکته اصلی این است که شما آن را خواهید دید و با انجام فرآیندهای مناسب در بخش خود، قادر خواهید بود به سرعت آن را خنثی کنید.

و به شما یادآوری می کنم که طبق مفهوم این سری مقالات، شما شبکه ای را طراحی نمی کنید، بلکه فقط سعی دارید آنچه را که به دست آورده اید، بهبود بخشید.

تحلیل امن معماری اداری

به این مربع قرمز توجه کنید که من با آن یک مکان را روی نمودار از آن اختصاص دادم راهنمای معماری پردیس امن SAFEکه می خواهم در اینجا به آن بپردازم.

چگونه زیرساخت شبکه خود را کنترل کنیم فصل سه. امنیت شبکه. قسمت سوم

این یکی از مکان های کلیدی معماری و یکی از مهم ترین عدم قطعیت ها است.

توجه داشته باشید

من هرگز FirePower را راه‌اندازی نکرده‌ام یا با آن کار نکرده‌ام (از خط فایروال سیسکو - فقط ASA)، بنابراین مانند هر فایروال دیگری مانند Juniper SRX یا Palo Alto با آن رفتار می‌کنم، با این فرض که قابلیت‌های مشابهی دارد.

از طرح های معمول، من فقط 4 گزینه ممکن برای استفاده از فایروال با این اتصال را می بینم:

  • دروازه پیش فرض برای هر زیر شبکه یک سوئیچ است، در حالی که فایروال در حالت شفاف است (یعنی تمام ترافیک از آن عبور می کند، اما یک جهش L3 تشکیل نمی دهد)
  • دروازه پیش فرض برای هر زیر شبکه، واسط های فرعی فایروال (یا رابط های SVI) است، سوئیچ نقش L2 را بازی می کند.
  • VRF های مختلف روی سوئیچ استفاده می شود و ترافیک بین VRF ها از طریق فایروال می رود، ترافیک در یک VRF توسط ACL روی سوئیچ کنترل می شود.
  • تمام ترافیک برای تجزیه و تحلیل و نظارت به فایروال منعکس می شود؛ ترافیک از آن عبور نمی کند

تذکر 1

ترکیبی از این گزینه ها امکان پذیر است، اما برای سادگی، آنها را در نظر نخواهیم گرفت.

تبصره 2

همچنین امکان استفاده از PBR (معماری زنجیره خدمات) وجود دارد، اما در حال حاضر این، اگرچه به نظر من یک راه حل زیبا است، اما نسبتا عجیب و غریب است، بنابراین من آن را در اینجا در نظر نمی گیرم.

از توضیحات جریان ها در سند می بینیم که ترافیک همچنان از طریق فایروال می گذرد، یعنی مطابق با طراحی سیسکو گزینه چهارم حذف می شود.

بیایید ابتدا دو گزینه اول را بررسی کنیم.
با این گزینه ها، تمام ترافیک از طریق فایروال می گذرد.

حالا نگاه کن ورق اطلاعاتنگاه کن سیسکو GPL و می بینیم که اگر بخواهیم کل پهنای باند دفتر ما حداقل حدود 10 تا 20 گیگابیت باشد، باید نسخه 4K را بخریم.

توجه داشته باشید

وقتی در مورد پهنای باند کل صحبت می کنم، منظورم ترافیک بین زیرشبکه ها (و نه در یک ویلانا) است.

از GPL می بینیم که برای HA Bundle with Threat Defense، قیمت بسته به مدل (4110 - 4150) از ~0,5 - 2,5 میلیون دلار متغیر است.

یعنی طراحی ما شروع به شبیه شدن به نمونه قبلی می کند.

آیا این به این معنی است که این طراحی اشتباه است؟
نه، این به این معنی نیست. سیسکو بر اساس خط تولیدی که دارد بهترین محافظت ممکن را به شما می دهد. اما این بدان معنا نیست که انجام آن برای شما ضروری است.

در اصل، این یک سؤال رایج است که هنگام طراحی دفتر یا مرکز داده مطرح می شود و فقط به این معنی است که باید به دنبال مصالحه بود.

به عنوان مثال، اجازه ندهید تمام ترافیک از یک فایروال عبور کند، در این صورت گزینه 3 برای من بسیار خوب به نظر می رسد، یا (به بخش قبلی مراجعه کنید) شاید شما به Threat Defense یا اصلاً به فایروال در آن نیاز ندارید. بخش شبکه، و فقط باید خود را به نظارت غیرفعال با استفاده از راه حل های پولی (نه گران) یا منبع باز محدود کنید، یا به فایروال نیاز دارید، اما از یک فروشنده متفاوت.

معمولاً همیشه این عدم اطمینان وجود دارد و هیچ پاسخ روشنی در مورد اینکه کدام تصمیم برای شما بهترین است وجود ندارد.
این پیچیدگی و زیبایی این کار است.

منبع: www.habr.com

اضافه کردن نظر