Tämä artikkeli on viides sarjassa "Kuinka ottaa verkkoinfrastruktuurisi hallintaan". Sarjan kaikkien artikkeleiden sisältö ja linkit löytyvät .
Tämä osa on omistettu kampus (toimisto) ja etäkäyttö VPN-segmenteille.
Toimistoverkon suunnittelu saattaa tuntua helpolta.
Todellakin, otamme L2/L3-kytkimet ja yhdistämme ne toisiinsa. Seuraavaksi suoritamme vilanien ja oletusyhdyskäytävien perusasetukset, määritämme yksinkertaisen reitityksen, yhdistämme WiFi-ohjaimet, tukiasemat, asennamme ja konfiguroimme ASA:n etäkäyttöä varten, olemme iloisia, että kaikki toimi. Periaatteessa, kuten jo kirjoitin yhdessä edellisistä Tämän syklin aikana lähes jokainen opiskelija, joka on osallistunut (ja oppinut) kaksi lukukautta tietoliikennekurssilla, voi suunnitella ja konfiguroida toimistoverkon niin, että se "jollain tavalla toimii".
Mutta mitä enemmän opit, sitä vähemmän yksinkertaiselta tämä tehtävä alkaa tuntua. Minulle henkilökohtaisesti tämä aihe, toimistoverkkosuunnittelun aihe, ei vaikuta ollenkaan yksinkertaiselta, ja tässä artikkelissa yritän selittää miksi.
Lyhyesti sanottuna on otettava huomioon useita tekijöitä. Usein nämä tekijät ovat ristiriidassa keskenään ja on löydettävä järkevä kompromissi.
Tämä epävarmuus on suurin vaikeus. Turvallisuudesta puhuttaessa meillä on siis kolmio, jossa on kolme huippua: turvallisuus, mukavuus työntekijöille, ratkaisun hinta.
Ja joka kerta, kun sinun on etsittävä kompromissia näiden kolmen välillä.
Arkkitehtuuri
Esimerkkinä näiden kahden segmentin arkkitehtuurista, kuten aiemmissa artikkeleissa, suosittelen malli: , .
Nämä ovat jokseenkin vanhentuneita asiakirjoja. Esitän ne täällä, koska perusmallit ja lähestymistapa eivät ole muuttuneet, mutta samalla pidän esityksestä enemmän kuin sisällä .
Kannustamatta sinua käyttämään Ciscon ratkaisuja, mielestäni on silti hyödyllistä tutkia tätä suunnittelua huolellisesti.
Tämä artikkeli, kuten tavallista, ei millään tavalla teeskentele olevan täydellinen, vaan se on pikemminkin lisäys näihin tietoihin.
Artikkelin lopussa analysoimme Cisco SAFE -toimistosuunnittelua tässä hahmoteltujen konseptien perusteella.
Yleiset periaatteet
Toimistoverkoston suunnittelun tulee tietysti täyttää ne yleiset vaatimukset, joista on keskusteltu luvussa "Suunnittelun laadun arviointikriteerit". Hinnan ja turvallisuuden lisäksi, joista aiomme keskustella tässä artikkelissa, on edelleen kolme kriteeriä, jotka meidän on otettava huomioon suunnittelussa (tai muutosten tekemisessä):
- skaalautuvuus
- helppokäyttöisyys (hallittavuus)
- saatavuus
Suuri osa siitä, mistä keskusteltiin Tämä pätee myös toimistoon.
Mutta silti toimistosegmentillä on omat erityispiirteensä, jotka ovat turvallisuuden kannalta kriittisiä. Tämän spesifisyyden ydin on, että tämä segmentti on luotu tarjoamaan verkkopalveluita yrityksen työntekijöille (sekä kumppaneille ja vieraille), ja tämän seurauksena ongelman korkeimmalla tasolla meillä on kaksi tehtävää:
- suojaa yrityksen resursseja haitallisilta toimilta, jotka voivat tulla työntekijöiltä (vieraat, kumppanit) ja heidän käyttämiltä ohjelmistoilta. Tämä sisältää myös suojan luvattomalta verkkoyhteydeltä.
- suojaa järjestelmiä ja käyttäjätietoja
Ja tämä on vain ongelman toinen puoli (tai pikemminkin yksi kolmion kärki). Toisella puolella on käyttömukavuus ja käytettyjen ratkaisujen hinta.
Aloitetaan tarkastelemalla, mitä käyttäjä odottaa nykyaikaiselta toimistoverkostolta.
mukavuus
Tältä "verkkopalvelut" näyttävät mielestäni toimistokäyttäjälle:
- liikkuvuus
- Kyky käyttää kaikkia tuttuja laitteita ja käyttöjärjestelmiä
- Helppo pääsy kaikkiin yrityksen tarvittaviin resursseihin
- Internet-resurssien saatavuus, mukaan lukien erilaiset pilvipalvelut
- Verkon "nopea toiminta".
Kaikki tämä koskee niin työntekijöitä kuin vieraita (tai kumppaneita), ja yrityksen insinöörien tehtävänä on erottaa pääsy eri käyttäjäryhmille valtuutuksen perusteella.
Katsotaanpa kutakin näistä näkökohdista hieman yksityiskohtaisemmin.
liikkuvuus
Puhumme mahdollisuudesta työskennellä ja käyttää kaikkia yrityksen tarvittavia resursseja mistä päin maailmaa tahansa (tietysti missä Internet on saatavilla).
Tämä koskee täysin toimistoa. Tämä on kätevää, kun sinulla on mahdollisuus jatkaa työskentelyä missä tahansa toimistossa, esimerkiksi vastaanottaa postia, kommunikoida yrityksen messengerissä, olla käytettävissä videopuhelua varten, ... Näin voit toisaalta ratkaisemaan joitain ongelmia "live-viestinnässä" (esimerkiksi osallistumaan mielenosoituksiin) ja toisaalta, olemaan aina online-tilassa, pitämään sormea pulssissa ja ratkaisemaan nopeasti joitain kiireellisiä korkean prioriteetin tehtäviä. Tämä on erittäin kätevää ja todella parantaa viestinnän laatua.
Tämä saavutetaan asianmukaisella WiFi-verkon suunnittelulla.
huomautus
Tässä herää yleensä kysymys: riittääkö pelkän WiFin käyttäminen? Tarkoittaako tämä, että voit lopettaa Ethernet-porttien käytön toimistossa? Jos puhumme vain käyttäjistä, emme palvelimista, jotka on silti järkevää yhdistää tavalliseen Ethernet-porttiin, niin yleensä vastaus on: kyllä, voit rajoittua vain WiFi-verkkoon. Mutta vivahteita on.
On tärkeitä käyttäjäryhmiä, jotka vaativat erillistä lähestymistapaa. Nämä ovat tietysti ylläpitäjiä. Periaatteessa WiFi-yhteys on vähemmän luotettava (liikennehäviön kannalta) ja hitaampi kuin tavallinen Ethernet-portti. Tämä voi olla merkittävää järjestelmänvalvojille. Lisäksi esimerkiksi verkon ylläpitäjillä voi periaatteessa olla oma Ethernet-verkko kaistan ulkopuolisia yhteyksiä varten.
Yrityksessäsi voi olla muitakin ryhmiä/osastoja, joille nämä tekijät ovat myös tärkeitä.
On toinen tärkeä kohta - puhelin. Ehkä jostain syystä et halua käyttää langatonta VoIP-yhteyttä ja haluat käyttää IP-puhelimia tavallisella Ethernet-yhteydellä.
Yleensä yrityksissä, joissa työskentelin, oli yleensä sekä WiFi-yhteys että Ethernet-portti.
Haluaisin, että liikkuvuus ei rajoitu vain toimistoon.
Kotoa (tai mistä tahansa muusta paikasta, jossa on saatavilla Internet-yhteys) työskentelyn varmistamiseksi käytetään VPN-yhteyttä. Samalla on toivottavaa, että työntekijät eivät tunne eroa kotona työskentelyn ja saman pääsyn edellyttävän etätyön välillä. Keskustelemme tämän järjestämisestä hieman myöhemmin luvussa "Yhdistetty keskitetty todennus- ja valtuutusjärjestelmä".
huomautus
Todennäköisesti et pysty täysin tarjoamaan samaa palvelulaatua etätyössä kuin sinulla on toimistossa. Oletetaan, että käytät VPN-yhdyskäytävänä Cisco ASA 5520. tämä laite pystyy "sulattamaan" vain 225 Mbit VPN-liikennettä. Eli kaistanleveyden kannalta VPN-yhteyden muodostaminen on hyvin erilaista kuin toimistotyöskentely. Lisäksi, jos jostain syystä viive, katoaminen, värinä (esimerkiksi haluat käyttää toimisto-IP-puhelinta) verkkopalveluissasi on merkittäviä, et myöskään saa samaa laatua kuin jos olisit toimistossa. Siksi liikkuvuudesta puhuttaessa meidän on oltava tietoisia mahdollisista rajoituksista.
Helppo pääsy kaikkiin yrityksen resursseihin
Tämä tehtävä tulisi ratkaista yhdessä muiden teknisten osastojen kanssa.
Ihanteellinen tilanne on, kun käyttäjän tarvitsee todentaa vain kerran ja sen jälkeen hänellä on pääsy kaikkiin tarvittaviin resursseihin.
Helpon pääsyn tarjoaminen turvallisuudesta tinkimättä voi parantaa merkittävästi tuottavuutta ja vähentää kollegoiden stressiä.
Huomautus 1
Helppokäyttöisyys ei tarkoita vain sitä, kuinka monta kertaa sinun on syötettävä salasana. Jos esimerkiksi suojauskäytäntösi mukaisesti yhteyden muodostamiseksi toimistosta datakeskukseen sinun on ensin muodostettava yhteys VPN-yhdyskäytävään ja samalla menetät pääsyn toimistoresursseihin, tämä on myös erittäin , erittäin epämukavaa.
Huomautus 2
On palveluita (esim. pääsy verkkolaitteisiin), joissa meillä on yleensä omat AAA-palvelimet ja tämä on normaalia, kun tässä tapauksessa joudumme todentamaan useita kertoja.
Internet-resurssien saatavuus
Internet ei ole vain viihdettä, vaan myös joukko palveluita, jotka voivat olla erittäin hyödyllisiä työssä. On myös puhtaasti psykologisia tekijöitä. Nykyihminen on yhteydessä muihin ihmisiin Internetin kautta monien virtuaalisten säikeiden kautta, eikä siinä mielestäni ole mitään vikaa, jos hän jatkaa tämän yhteyden tuntemista työskennellessäänkin.
Ajan tuhlaamisen kannalta ei ole mitään väärää, jos työntekijällä on esimerkiksi Skype käynnissä ja hän viettää 5 minuuttia tarvittaessa läheisen kanssa kommunikoinnissa.
Tarkoittaako tämä sitä, että Internetin pitäisi olla aina saatavilla, tarkoittaako tämä sitä, että työntekijät voivat käyttää kaikkia resursseja eivätkä hallita niitä millään tavalla?
Ei, ei tietenkään tarkoita sitä. Internetin avoimuuden taso voi vaihdella eri yrityksissä - täydellisestä sulkeutumisesta täydelliseen avoimuuteen. Keskustelemme liikenteen ohjaamisesta myöhemmin turvatoimenpiteitä käsittelevissä osioissa.
Kyky käyttää kaikkia tuttuja laitteita
Se on kätevää, kun sinulla on esimerkiksi mahdollisuus jatkaa kaikkien työssä tottuneiden viestintävälineiden käyttöä. Tämän teknisessä toteuttamisessa ei ole vaikeuksia. Tätä varten tarvitset WiFin ja vieraswilanin.
On myös hyvä, jos sinulla on mahdollisuus käyttää käyttöjärjestelmää, johon olet tottunut. Mutta havaintoni mukaan tämä on yleensä sallittua vain johtajille, ylläpitäjille ja kehittäjille.
Esimerkki
Voit tietysti seurata kieltojen polkua, kieltää etäkäytön, kieltää yhteyden muodostamisen mobiililaitteista, rajoittaa kaiken staattisiin Ethernet-yhteyksiin, rajoittaa pääsyä Internetiin, takavarikoida pakollisesti matkapuhelimet ja laitteet tarkastuspisteessä... ja tämä polku Seuraa itse asiassa jotkut organisaatiot, joilla on korkeammat turvallisuusvaatimukset, ja ehkä joissain tapauksissa tämä voi olla perusteltua, mutta... sinun on myönnettävä, että tämä näyttää yritykseltä pysäyttää yhden organisaation kehitys. Tietysti haluaisin yhdistää nykytekniikan tarjoamat mahdollisuudet riittävään turvatasoon.
Verkon "nopea toiminta".
Tiedonsiirtonopeus koostuu teknisesti monista tekijöistä. Ja yhteysportin nopeus ei yleensä ole tärkein. Sovelluksen hidas toiminta ei aina liity verkkoongelmiin, mutta toistaiseksi olemme kiinnostuneita vain verkko-osasta. Yleisin paikallisverkon "hidastumisen" ongelma liittyy pakettien katoamiseen. Tämä tapahtuu yleensä pullonkaula- tai L1- (OSI)-ongelmien yhteydessä. Harvemmin joissakin malleissa (esimerkiksi kun aliverkoissasi on palomuuri oletusyhdyskäytävänä ja siten kaikki liikenne kulkee sen läpi), laitteiston suorituskyky saattaa olla heikko.
Siksi, kun valitset laitteita ja arkkitehtuuria, sinun on korreloitava pääteporttien, runkojen ja laitteiden suorituskyvyn nopeudet.
Esimerkki
Oletetaan, että käytät kytkimiä, joissa on 1 gigabitin portti pääsykerroksen kytkiminä. Ne on kytketty toisiinsa Etherchannel 2 x 10 gigabitin kautta. Oletusyhdyskäytävänä käytät palomuuria, jossa on gigabitin portti, jonka liittämiseksi L2-toimistoverkkoon käytät 2 gigabitin porttia yhdistettynä etherkanavaksi.
Tämä arkkitehtuuri on toiminnallisuuden kannalta varsin kätevä, koska... Kaikki liikenne kulkee palomuurin läpi, ja voit hallita käyttöoikeuskäytäntöjä mukavasti ja käyttää monimutkaisia algoritmeja liikenteen ohjaamiseen ja mahdollisten hyökkäysten estämiseen (katso alla), mutta suorituskyvyn ja suorituskyvyn näkökulmasta tässä suunnittelussa on tietysti mahdollisia ongelmia. Joten esimerkiksi kaksi dataa lataavaa isäntää (portin nopeudella 2 gigabit) voivat ladata 1 gigabitin yhteyden kokonaan palomuuriin ja siten johtaa palvelun heikkenemiseen koko toimistosegmentissä.
Olemme tarkastelleet yhtä kolmion kärkeä, nyt katsotaan kuinka voimme varmistaa turvallisuuden.
korjaustoimenpiteitä
Joten tietysti yleensä toiveemme (tai pikemminkin johtomme toive) on saavuttaa mahdoton, nimittäin tarjota maksimaalista mukavuutta maksimaalisella turvallisuudella ja pienin kustannuksin.
Katsotaanpa, mitä menetelmiä meillä on suojan tarjoamiseksi.
Toimiston osalta korostan seuraavaa:
- nolla luottamusta lähestymistapa suunnitteluun
- korkea suojan taso
- verkon näkyvyyttä
- yhtenäinen keskitetty todennus- ja valtuutusjärjestelmä
- isännän tarkistus
Seuraavaksi käsittelemme hieman yksityiskohtaisemmin jokaista näistä näkökohdista.
Luottamus nollaan
IT-maailma muuttuu erittäin nopeasti. Viimeisten 10 vuoden aikana uusien teknologioiden ja tuotteiden ilmaantuminen on johtanut turvallisuuskonseptien laajaan uudistamiseen. Kymmenen vuotta sitten segmentoimme verkon turvallisuuden näkökulmasta luottamus-, dmz- ja epäluottamusvyöhykkeisiin ja käytimme ns. "kehäsuojausta", jossa oli 2 puolustuslinjaa: epäluottamus -> dmz ja dmz -> luottamus. Lisäksi suojaus rajoittui yleensä pääsyluetteloihin, jotka perustuivat L3/L4 (OSI) -otsikoihin (IP, TCP/UDP-portit, TCP-liput). Kaikki korkeampiin tasoihin liittyvä, mukaan lukien L7, jätettiin käyttöjärjestelmälle ja loppuisännille asennetuille tietoturvatuotteille.
Nyt tilanne on muuttunut dramaattisesti. Moderni konsepti johtuu siitä, että sisäisiä eli kehän sisällä olevia järjestelmiä ei enää voida pitää luotettavina, ja itse kehän käsite on hämärtynyt.
Internet-yhteyden lisäksi meillä on myös
- etäkäytön VPN-käyttäjät
- erilaisia henkilökohtaisia laitteita, tuotuja kannettavia tietokoneita, yhdistetty toimiston WiFin kautta
- muut (sivukonttorit).
- integrointi pilviinfrastruktuuriin
Miltä Zero Trust -lähestymistapa näyttää käytännössä?
Ihannetapauksessa vain vaadittava liikenne tulisi sallia, ja jos puhumme ihanteesta, ohjauksen tulisi olla paitsi L3/L4-tasolla, myös sovellustasolla.
Jos esimerkiksi pystyt ohjaamaan kaiken liikenteen palomuurin läpi, voit yrittää päästä lähemmäksi ihannetta. Mutta tämä lähestymistapa voi vähentää merkittävästi verkkosi kokonaiskaistanleveyttä, ja lisäksi suodatus sovellusten mukaan ei aina toimi hyvin.
Kun ohjaat liikennettä reitittimellä tai L3-kytkimellä (käyttäen tavallisia ACL-luetteloita), kohtaat muita ongelmia:
- Tämä on vain L3/L4-suodatus. Mikään ei estä hyökkääjää käyttämästä sallittuja portteja (esim. TCP 80) sovellukselleen (ei http)
- monimutkainen ACL-hallinta (vaikea jäsentää ACL-luetteloita)
- Tämä ei ole tilan täyttävä palomuuri, joten sinun on nimenomaisesti sallittava käänteinen liikenne
- kytkimillä TCAM:n koko rajoittaa sinua yleensä melko tiukasti, mikä voi nopeasti muodostua ongelmaksi, jos valitset "salli vain mitä tarvitset" -lähestymistavan.
huomautus
Käänteisestä liikenteestä puhuttaessa meidän on muistettava, että meillä on seuraava mahdollisuus (Cisco)
salli tcp:n kaikki perustetut
Mutta sinun on ymmärrettävä, että tämä rivi vastaa kahta riviä:
salli tcp kaikki ack
salli tcp kaikki rstMikä tarkoittaa, että vaikka alkuperäistä SYN-lipulla varustettua TCP-segmenttiä ei olisikaan (eli TCP-istuntoa ei edes alettu muodostaa), tämä ACL sallii paketin ACK-lipulla, jota hyökkääjä voi käyttää tietojen siirtämiseen.
Tämä linja ei siis millään tavalla muuta reititintäsi tai L3-kytkintäsi tilan täyttäväksi palomuuriksi.
Korkea suojaustaso
В Palvelinkeskuksia käsittelevässä osiossa tarkastelimme seuraavia suojausmenetelmiä.
- tilallinen palomuuri (oletus)
- ddos/dos-suojaus
- sovellusten palomuuri
- uhkien esto (virustorjunta, vakoiluohjelmien torjunta ja haavoittuvuus)
- URL-suodatus
- tietojen suodatus (sisällön suodatus)
- tiedostojen esto (tiedostotyyppien esto)
Toimiston tapauksessa tilanne on samanlainen, mutta prioriteetit ovat hieman erilaiset. Toimiston saatavuus (saatavuus) ei yleensä ole yhtä kriittinen kuin konesalin tapauksessa, kun taas "sisäisen" haitallisen liikenteen todennäköisyys on suuruusluokkaa suurempi.
Siksi seuraavat suojausmenetelmät tälle segmentille tulevat kriittisiksi:
- sovellusten palomuuri
- uhkien esto (virustorjunta, vakoiluohjelmien torjunta ja haavoittuvuus)
- URL-suodatus
- tietojen suodatus (sisällön suodatus)
- tiedostojen esto (tiedostotyyppien esto)
Vaikka kaikki nämä suojausmenetelmät, lukuun ottamatta sovellusten palomuuria, on perinteisesti ratkaistu ja ratkaistaan edelleen pääkoneissa (esimerkiksi virustorjuntaohjelmia asentamalla) ja välityspalvelinten avulla, mutta nykyaikaiset NGFW:t tarjoavat myös näitä palveluita.
Turvalaitteiden toimittajat pyrkivät luomaan kattavan suojauksen, joten ne tarjoavat paikallisen suojauksen lisäksi erilaisia pilvitekniikoita ja asiakasohjelmistoja isännille (päätepisteen suojaus/EPP). Siis esimerkiksi alkaen Näemme, että Palo Altolla ja Ciscolla on omat EPP:nsä (PA: Traps, Cisco: AMP), mutta ne ovat kaukana johtajista.
Näiden suojausten ottaminen käyttöön (yleensä ostamalla lisenssejä) palomuurissa ei tietenkään ole pakollista (voit käyttää perinteistä reittiä), mutta se tarjoaa joitain etuja:
- tässä tapauksessa suojamenetelmien käyttöpiste on yksi, mikä parantaa näkyvyyttä (katso seuraava aihe).
- Jos verkossasi on suojaamaton laite, se kuuluu silti palomuurisuojauksen "sateenvarjon" alle
- Käyttämällä palomuurisuojausta yhdessä pääpalvelimen suojauksen kanssa lisäämme haitallisen liikenteen havaitsemisen todennäköisyyttä. Esimerkiksi uhkien ehkäisyn käyttäminen paikallisissa isännissä ja palomuurissa lisää havaitsemisen todennäköisyyttä (edellyttäen tietysti, että nämä ratkaisut perustuvat erilaisiin ohjelmistotuotteisiin)
huomautus
Jos esimerkiksi käytät Kasperskyä virustentorjuntaohjelmana sekä palomuurissa että pääkoneissa, tämä ei tietenkään paranna suuresti mahdollisuuksiasi estää virushyökkäystä verkossasi.
Verkkonäkyvyys
on yksinkertainen - "näe" mitä verkossasi tapahtuu sekä reaaliajassa että historiallisissa tiedoissa.
Jakaisin tämän "vision" kahteen ryhmään:
Ryhmä yksi: mitä valvontajärjestelmäsi yleensä tarjoaa sinulle.
- laitteiden lataus
- kanavien lataaminen
- muistin käyttö
- levyn käyttö
- reititystaulukon vaihtaminen
- linkin tila
- laitteiden (tai isäntien) saatavuus
- ...
Ryhmä kaksi: turvallisuuteen liittyviä tietoja.
- erilaisia tilastoja (esimerkiksi sovelluksen mukaan, URL-liikenteen mukaan, millaisia tietoja ladattiin, käyttäjätiedot)
- mitä turvallisuuspolitiikka esti ja mistä syystä, nimittäin
- kielletty sovellus
- kielletty IP/protokollan/portin/lippujen/vyöhykkeiden perusteella
- uhkien ehkäisy
- url-suodatus
- tietojen suodatus
- tiedostojen esto
- ...
- tilastot DOS/DDOS-hyökkäyksistä
- epäonnistuneet tunnistamis- ja valtuutusyritykset
- tilastot kaikista yllä olevista turvallisuuskäytäntörikkomuksista
- ...
Tässä turvallisuutta käsittelevässä luvussa olemme kiinnostuneita toisesta osasta.
Jotkut nykyaikaiset palomuurit (Palo Alton kokemuksestani) tarjoavat hyvän näkyvyyden. Mutta tietysti sinua kiinnostavan liikenteen on mentävä tämän palomuurin läpi (jolloin sinulla on mahdollisuus estää liikenne) tai peilattu palomuuriin (käytetään vain valvontaan ja analysointiin), ja sinulla on oltava lisenssit nämä palvelut.
Tietysti on olemassa vaihtoehtoinen tapa, tai pikemminkin perinteinen tapa, esim.
- Istuntotilastot voidaan kerätä netflow:n kautta ja käyttää sitten erityisiä apuohjelmia tiedon analysointiin ja visualisointiin
- uhkien esto – erikoisohjelmat (virustorjunta, vakoiluohjelmien torjunta, palomuuri) pääkoneissa
- URL-suodatus, tietojen suodatus, tiedostojen esto - välityspalvelimella
- on myös mahdollista analysoida tcpdump käyttämällä esim.
Voit yhdistää nämä kaksi lähestymistapaa täydentämällä puuttuvia ominaisuuksia tai kopioimalla ne hyökkäyksen havaitsemisen todennäköisyyden lisäämiseksi.
Kumpi lähestymistapa kannattaa valita?
Riippuu suuresti tiimisi pätevyydestä ja mieltymyksistä.
Sekä siellä että siellä on hyviä ja huonoja puolia.
Yhtenäinen keskitetty todennus- ja valtuutusjärjestelmä
Hyvin suunniteltuna tässä artikkelissa käsittelemämme liikkuvuus edellyttää, että sinulla on samat käyttöoikeudet riippumatta siitä, työskenteletkö toimistossa tai kotoa, lentokentältä, kahvilassa tai missä tahansa muualla (yllä käsitellyillä rajoituksilla). Vaikuttaa siltä, mikä on ongelma?
Ymmärtääksemme paremmin tämän tehtävän monimutkaisuutta, katsotaanpa tyypillistä suunnittelua.
Esimerkki
- Olet jakanut kaikki työntekijät ryhmiin. Olet päättänyt tarjota pääsyn ryhmille
- Toimiston sisällä hallitset pääsyä toimiston palomuuriin
- Hallitset liikennettä toimistolta datakeskukseen konesalin palomuurilla
- Käytät Cisco ASA:ta VPN-yhdyskäytävänä ja etäasiakkaiden verkkoon tulevan liikenteen ohjaamiseen käytät paikallisia (ASAn) ACL-luetteloita.
Oletetaan nyt, että sinua pyydetään lisäämään tietyn työntekijän käyttöoikeudet. Tässä tapauksessa sinua pyydetään lisäämään käyttöoikeus vain hänelle eikä kenellekään muulle hänen ryhmästään.
Tätä varten meidän on luotava erillinen ryhmä tälle työntekijälle, eli
- luo tälle työntekijälle erillinen IP-varasto ASA:ssa
- lisää uusi ACL-luettelo ASA:han ja sitoa se kyseiseen etäasiakkaaseen
- luoda uusia suojauskäytäntöjä toimisto- ja datakeskusten palomuuriin
On hyvä, jos tämä tapahtuma on harvinainen. Mutta käytännössäni oli tilanne, jossa työntekijät osallistuivat erilaisiin projekteihin, ja tämä projektisarja joillekin heistä vaihtui melko usein, eikä kyse ollut 1-2 henkilöstä, vaan kymmenistä. Tietysti jotain tässä piti muuttaa.
Tämä on ratkaistu seuraavalla tavalla.
Päätimme, että LDAP olisi ainoa totuuden lähde, joka määrittää kaikki mahdolliset työntekijöiden käyttöoikeudet. Loimme kaikenlaisia ryhmiä, jotka määrittävät käyttöoikeusjoukkoja, ja määritimme jokaisen käyttäjän yhteen tai useampaan ryhmään.
Oletetaan esimerkiksi, että on ryhmiä
- vieras (internetyhteys)
- yhteinen pääsy (pääsy jaettuihin resursseihin: sähköposti, tietokanta, ...)
- kirjanpito
- projekti 1
- projekti 2
- tietokannan ylläpitäjä
- Linuxin ylläpitäjä
- ...
Ja jos yksi työntekijöistä oli mukana sekä projektissa 1 että projektissa 2 ja hän tarvitsi näissä projekteissa työskentelyyn tarvittavan pääsyn, tämä työntekijä määritettiin seuraaviin ryhmiin:
- vieras
- yhteinen pääsy
- projekti 1
- projekti 2
Kuinka voimme nyt muuttaa tämän tiedon verkkolaitteiden pääsyksi?
Cisco ASA Dynamic Access Policy (DAP) (katso ) ratkaisu on juuri oikea tähän tehtävään.
Lyhyesti toteutuksestamme: tunnistus-/valtuutusprosessin aikana ASA vastaanottaa LDAP:lta tiettyä käyttäjää vastaavien ryhmien joukon ja "kerää" useista paikallisista ACL-luetteloista (joista jokainen vastaa ryhmää) dynaamisen ACL:n kaikilla tarvittavilla käyttöoikeuksilla. , joka vastaa täysin toiveitamme.
Mutta tämä koskee vain VPN-yhteyksiä. Jotta tilanne olisi sama sekä VPN:n kautta yhteydessä oleville että toimistossa oleville työntekijöille, otettiin seuraava askel.
Kun muodostat yhteyden toimistosta, 802.1x-protokollaa käyttävät käyttäjät päätyivät joko vierasverkkoon (vieraat) tai jaettuun lähiverkkoon (yrityksen työntekijöille). Lisäksi työntekijöiden piti muodostaa yhteys VPN:n kautta saadakseen tietyn pääsyn (esimerkiksi datakeskuksen projekteihin).
Yhteyden muodostamiseen toimistosta ja kotoa käsin ASA:ssa käytettiin erilaisia tunneliryhmiä. Tämä on tarpeen, jotta toimistosta yhteyden muodostavien liikenne jaettuihin resursseihin (kaikki työntekijät käyttävät, kuten sähköposti, tiedostopalvelimet, lippujärjestelmä, dns jne.) ei kulje ASA:n, vaan paikallisen verkon kautta. . Emme siis kuormittaneet ASA:ta tarpeettomasti, mukaan lukien korkean intensiteetin liikenne.
Siten ongelma ratkesi.
Meillä on
- samat käyttöoikeudet sekä toimisto- että etäyhteyksille
- palvelun heikkenemisen puuttuminen työskennellessäsi toimistosta, joka liittyy korkean intensiteetin liikenteen välittämiseen ASA:n kautta
Mitä muita etuja tästä lähestymistavasta on?
Käyttöoikeuksien hallinnassa. Kulut voidaan helposti vaihtaa yhdestä paikasta.
Jos työntekijä esimerkiksi lähtee yrityksestä, poistat hänet LDAP:sta ja hän menettää automaattisesti kaiken pääsyn.
Isännän tarkistus
Etäyhteyden mahdollisuuden ansiosta olemme vaarassa päästää verkkoon paitsi yrityksen työntekijän, myös kaikki haittaohjelmat, jotka ovat erittäin todennäköisesti hänen tietokoneessaan (esimerkiksi kotona), ja lisäksi tämän ohjelmiston kautta me saattaa tarjota pääsyn verkkoomme hyökkääjälle, joka käyttää tätä isäntää välityspalvelimena.
On järkevää, että etäyhteydessä oleva isäntä soveltaa samoja suojausvaatimuksia kuin toimiston isäntä.
Tämä edellyttää myös "oikean" käyttöjärjestelmän version, virustorjunta-, vakoiluohjelmien torjunta- ja palomuuriohjelmiston ja päivitykset. Yleensä tämä ominaisuus on VPN-yhdyskäytävässä (katso ASA:sta esimerkiksi ).
On myös viisasta käyttää samoja liikenneanalyysi- ja estotekniikoita (katso ”Korkea suojaustaso”), joita tietoturvakäytäntösi koskee toimistoliikenteessä.
On järkevää olettaa, että toimistoverkostosi ei enää rajoitu toimistorakennukseen ja sen sisällä oleviin isänteihin.
Esimerkki
Hyvä tekniikka on tarjota jokaiselle etäkäyttöä tarvitsevalle työntekijälle hyvä, kätevä kannettava tietokone ja vaatia työskentelemään sekä toimistossa että kotoa vain sen kautta.
Se ei ainoastaan paranna verkkosi turvallisuutta, vaan se on myös todella kätevä, ja työntekijät suhtautuvat siihen yleensä myönteisesti (jos se on todella hyvä, käyttäjäystävällinen kannettava tietokone).
Suhteellisuuden ja tasapainon tunteesta
Pohjimmiltaan tämä on keskustelu kolmiomme kolmannesta kärjestä - hinnasta.
Katsotaanpa hypoteettista esimerkkiä.
Esimerkki
Sinulla on toimisto 200 hengelle. Päätit tehdä siitä mahdollisimman kätevän ja turvallisen.
Siksi päätit siirtää kaiken liikenteen palomuurin läpi, joten palomuuri on oletusyhdyskäytävä kaikissa toimiston aliverkoissa. Kumpaankin pääkoneeseen asennettujen suojausohjelmistojen (virus-, vakoiluohjelmien torjunta- ja palomuuriohjelmisto) lisäksi päätit myös käyttää kaikkia mahdollisia suojausmenetelmiä palomuurissa.
Varmistaaksesi nopean yhteysnopeuden (kaikki käyttömukavuuden vuoksi) valitsit kytkimet, joissa on 10 gigabitin pääsyportti, ja palomuureiksi tehokkaat NGFW-palomuurit, esimerkiksi Palo Alto 7K -sarjan (40 gigabitin portilla), luonnollisesti kaikilla lisensseillä. mukana ja luonnollisesti High Availability -pari.
Lisäksi tarvitsemme tietysti ainakin pari korkeasti koulutettua turvainsinööriä työskennelläksemme tämän laitesarjan kanssa.
Seuraavaksi päätit antaa jokaiselle työntekijälle hyvän kannettavan tietokoneen.
Yhteensä noin 10 miljoonaa dollaria toteutukseen, satoja tuhansia dollareita (mielestäni lähempänä miljoonaa) vuotuiseen tukeen ja insinöörien palkoihin.
Toimisto, 200 henkilöä...
Mukava? Taitaa olla kyllä.Tulet tämän ehdotuksen kanssa johdolle...
Ehkä maailmassa on useita yrityksiä, joille tämä on hyväksyttävä ja oikea ratkaisu. Jos olet tämän yrityksen työntekijä, onnitteluni, mutta suurimmassa osassa tapauksista olen varma, että johto ei arvosta tietämystäsi.
Onko tämä esimerkki liioiteltu? Seuraava luku vastaa tähän kysymykseen.
Jos verkossasi ei näy mitään yllä olevista, tämä on normi.
Jokaisessa yksittäistapauksessa sinun on löydettävä oma kohtuullinen kompromissi mukavuuden, hinnan ja turvallisuuden välillä. Usein et edes tarvitse NGFW:tä toimistossasi, eikä palomuurin L7-suojausta tarvita. Riittää, kun tarjotaan hyvä näkyvyys ja hälytykset, ja tämä voidaan tehdä esimerkiksi avoimen lähdekoodin tuotteilla. Kyllä, reaktiosi hyökkäykseen ei ole välitön, mutta tärkeintä on, että näet sen, ja kun osastollasi on oikeat prosessit, voit nopeasti neutraloida sen.
Ja haluan muistuttaa, että tämän artikkelisarjan käsitteen mukaan et suunnittele verkostoa, yrität vain parantaa saamaasi.
TURVALLINEN toimistoarkkitehtuurin analyysi
Kiinnitä huomiota tähän punaiseen neliöön, josta olen osoittanut paikan kaaviossa josta haluaisin keskustella täällä.
Tämä on yksi arkkitehtuurin keskeisistä paikoista ja yksi tärkeimmistä epävarmuustekijöistä.
huomautus
En ole koskaan asentanut FirePoweria tai työskennellyt sen kanssa (Ciscon palomuurisarjasta - vain ASA), joten käsittelen sitä kuten mitä tahansa muuta palomuuria, kuten Juniper SRX:tä tai Palo Altoa, olettaen, että sillä on samat ominaisuudet.
Tavallisista malleista näen vain 4 mahdollista vaihtoehtoa palomuurin käyttämiseen tällä yhteydellä:
- kunkin aliverkon oletusyhdyskäytävä on kytkin, kun palomuuri on läpinäkyvässä tilassa (eli kaikki liikenne kulkee sen läpi, mutta se ei muodosta L3-hyppää)
- kunkin aliverkon oletusyhdyskäytävä on palomuurialiliitännät (tai SVI-liitännät), kytkimen roolissa on L2
- kytkimessä käytetään erilaisia VRF:itä ja VRF:ien välinen liikenne kulkee palomuurin läpi, yhden VRF:n liikennettä ohjaa kytkimen ACL.
- kaikki liikenne peilataan palomuuriin analysointia ja valvontaa varten; liikenne ei kulje sen läpi
Huomautus 1
Näiden vaihtoehtojen yhdistelmät ovat mahdollisia, mutta yksinkertaisuuden vuoksi emme ota niitä huomioon.
Muistio 2
On myös mahdollista käyttää PBR:tä (service chain architecture), mutta toistaiseksi tämä, vaikka mielestäni kaunis ratkaisu, on melko eksoottinen, joten en ota sitä tässä huomioon.
Dokumentin virtojen kuvauksesta näemme, että liikenne kulkee edelleen palomuurin läpi, eli Ciscon suunnittelun mukaan neljäs vaihtoehto on eliminoitu.
Katsotaanpa ensin kahta ensimmäistä vaihtoehtoa.
Näillä vaihtoehdoilla kaikki liikenne kulkee palomuurin läpi.
Katso nyt , ilme ja näemme, että jos haluamme toimistomme kokonaiskaistanleveyden olevan vähintään noin 10-20 gigabittiä, meidän on ostettava 4K-versio.
huomautus
Kun puhun kokonaiskaistanleveydestä, tarkoitan liikennettä aliverkkojen välillä (eikä yhden vilanan sisällä).
GPL:stä näemme, että HA Bundle with Threat Defense -paketin hinta vaihtelee mallista riippuen (4110 - 4150) ~0,5 - 2,5 miljoonan dollarin välillä.
Eli suunnittelumme alkaa muistuttaa edellistä esimerkkiä.
Tarkoittaako tämä, että tämä suunnittelu on väärä?
Ei, se ei tarkoita sitä. Cisco tarjoaa parhaan mahdollisen suojan sen tuotevalikoiman perusteella. Mutta se ei tarkoita, että se on pakko tehdä sinulle.
Periaatteessa tämä on yleinen kysymys, joka nousee esille toimistoa tai konesalia suunniteltaessa, ja se tarkoittaa vain sitä, että on etsittävä kompromissia.
Älä esimerkiksi anna kaiken liikenteen kulkea palomuurin läpi, jolloin vaihtoehto 3 vaikuttaa minusta melko hyvältä tai (katso edellinen osio) et ehkä tarvitse uhkatorjuntaa tai et tarvitse palomuuria ollenkaan. verkkosegmentissä, ja sinun täytyy vain rajoittua passiiviseen valvontaan käyttämällä maksullisia (ei kalliita) tai avoimen lähdekoodin ratkaisuja, tai tarvitset palomuurin, mutta toiselta toimittajalta.
Yleensä tätä epävarmuutta on aina, eikä ole selvää vastausta siihen, mikä päätös on sinulle paras.
Tämä on tämän tehtävän monimutkaisuus ja kauneus.
Lähde: will.com