ProHoster > Blog > administration > Comment prendre le contrôle de votre infrastructure réseau. Chapitre trois. Sécurité Internet. Partie trois

Comment prendre le contrôle de votre infrastructure réseau. Chapitre trois. Sécurité Internet. Partie trois

Cet article est le cinquième de la série « Comment prendre le contrôle de votre infrastructure réseau ». Le contenu de tous les articles de la série et les liens peuvent être trouvés ici.

Cette partie sera consacrée aux segments VPN Campus (Bureau) & Accès distant.

Comment prendre le contrôle de votre infrastructure réseau. Chapitre trois. Sécurité Internet. Partie trois

La conception d’un réseau de bureau peut sembler simple.

En effet, on prend les switchs L2/L3 et on les connecte entre eux. Ensuite, nous effectuons la configuration de base des vilans et des passerelles par défaut, configurons un routage simple, connectons les contrôleurs WiFi, les points d'accès, installons et configurons l'ASA pour l'accès à distance, nous sommes heureux que tout ait fonctionné. En gros, comme je l'ai déjà écrit dans l'un des précédents articles de ce cycle, presque tous les étudiants ayant suivi (et appris) deux semestres d’un cours de télécommunications sont capables de concevoir et de configurer un réseau de bureau pour qu’il « fonctionne d’une manière ou d’une autre ».

Mais plus vous en apprenez, moins cette tâche semble simple. Pour moi personnellement, ce sujet, le sujet de la conception des réseaux de bureau, ne semble pas simple du tout, et dans cet article je vais essayer d'expliquer pourquoi.

Bref, il y a plusieurs facteurs à considérer. Ces facteurs sont souvent en conflit les uns avec les autres et un compromis raisonnable doit être recherché.
Cette incertitude est la principale difficulté. Ainsi, en parlant de sécurité, nous avons un triangle à trois sommets : sécurité, commodité pour les salariés, prix de la solution.
Et à chaque fois il faut chercher un compromis entre ces trois.

Architecture

A titre d'exemple d'architecture pour ces deux segments, comme dans les articles précédents, je recommande Cisco SÉCURISÉ modèle: Campus d'entreprise, Bord Internet d'entreprise.

Ce sont des documents quelque peu dépassés. Je les présente ici parce que les schémas et l'approche fondamentaux n'ont pas changé, mais en même temps j'aime plus la présentation que dans nouvelle documentation.

Sans vous encourager à utiliser les solutions Cisco, je pense tout de même qu'il est utile d'étudier attentivement cette conception.

Cet article, comme d’habitude, ne prétend en aucun cas être complet, mais constitue plutôt un complément à ces informations.

À la fin de l'article, nous analyserons la conception du bureau Cisco SAFE en fonction des concepts décrits ici.

Principes généraux

La conception du réseau de bureaux doit bien entendu répondre aux exigences générales évoquées ici dans le chapitre « Critères d'évaluation de la qualité de la conception ». Outre le prix et la sécurité, dont nous entendons parler dans cet article, il reste encore trois critères que nous devons prendre en compte lors de la conception (ou de la modification) :

  • évolutivité
  • facilité d'utilisation (gestion)
  • disponibilité

Une grande partie de ce qui a été discuté pour centres de données Cela est également vrai pour le bureau.

Mais le segment des bureaux a néanmoins ses propres spécificités, qui sont essentielles du point de vue de la sécurité. L'essence de cette spécificité est que ce segment est créé pour fournir des services de réseau aux employés (ainsi qu'aux partenaires et invités) de l'entreprise et, par conséquent, au plus haut niveau de considération du problème, nous avons deux tâches :

  • protéger les ressources de l'entreprise des actions malveillantes pouvant provenir des employés (invités, partenaires) et des logiciels qu'ils utilisent. Cela inclut également une protection contre les connexions non autorisées au réseau.
  • protéger les systèmes et les données des utilisateurs

Et ce n’est qu’un côté du problème (ou plutôt un sommet du triangle). De l’autre côté, il y a le confort d’utilisation et le prix des solutions utilisées.

Commençons par examiner ce qu'un utilisateur attend d'un réseau de bureau moderne.

Les installations

Voici à mon avis à quoi ressemblent les « commodités réseau » pour un utilisateur de bureau :

  • Mobilité
  • Capacité à utiliser la gamme complète d’appareils et de systèmes d’exploitation familiers
  • Accès facile à toutes les ressources nécessaires de l'entreprise
  • Disponibilité des ressources Internet, y compris divers services cloud
  • "Fonctionnement rapide" du réseau

Tout cela s’applique aussi bien aux employés qu’aux invités (ou partenaires), et il incombe aux ingénieurs de l’entreprise de différencier l’accès des différents groupes d’utilisateurs en fonction de l’autorisation.

Examinons chacun de ces aspects un peu plus en détail.

Mobilité

Nous parlons de la possibilité de travailler et d'utiliser toutes les ressources nécessaires de l'entreprise depuis n'importe où dans le monde (bien sûr, là où Internet est disponible).

Cela s’applique pleinement au bureau. C'est pratique lorsque vous avez la possibilité de continuer à travailler depuis n'importe où dans le bureau, par exemple, recevoir du courrier, communiquer dans une messagerie d'entreprise, être disponible pour un appel vidéo, ... Ainsi, cela vous permet, d'une part, pour résoudre certains problèmes, communiquer « en direct » (par exemple, participer à des rassemblements), et d'autre part, être toujours en ligne, rester à l'écoute et résoudre rapidement certaines tâches urgentes et prioritaires. C'est très pratique et améliore réellement la qualité des communications.

Ceci est réalisé grâce à une conception appropriée du réseau WiFi.

Note:

Ici, la question se pose généralement : est-il suffisant d'utiliser uniquement le WiFi ? Cela signifie-t-il que vous pouvez arrêter d’utiliser les ports Ethernet au bureau ? Si nous parlons uniquement d'utilisateurs, et non de serveurs, qui sont encore raisonnables à connecter avec un port Ethernet classique, alors en général, la réponse est : oui, vous pouvez vous limiter uniquement au WiFi. Mais il y a des nuances.

Il existe des groupes d'utilisateurs importants qui nécessitent une approche distincte. Ce sont bien entendu des administrateurs. En principe, une connexion WiFi est moins fiable (en termes de perte de trafic) et plus lente qu'un port Ethernet classique. Cela peut être important pour les administrateurs. De plus, les administrateurs réseau, par exemple, peuvent en principe disposer de leur propre réseau Ethernet dédié aux connexions hors bande.

Il peut y avoir d'autres groupes/départements dans votre entreprise pour lesquels ces facteurs sont également importants.

Il y a un autre point important : la téléphonie. Peut-être que, pour une raison quelconque, vous ne souhaitez pas utiliser la VoIP sans fil et souhaitez utiliser des téléphones IP avec une connexion Ethernet classique.

En général, les entreprises pour lesquelles je travaillais disposaient généralement d’une connectivité WiFi et d’un port Ethernet.

Je souhaite que la mobilité ne se limite pas au seul bureau.

Pour garantir la possibilité de travailler à domicile (ou tout autre endroit disposant d'un accès Internet), une connexion VPN est utilisée. Dans le même temps, il est souhaitable que les salariés ne ressentent pas la différence entre le travail à domicile et le travail à distance, qui suppose le même accès. Nous verrons comment organiser cela un peu plus loin dans le chapitre « Système d'authentification et d'autorisation centralisé unifié ».

Note:

Très probablement, vous ne serez pas en mesure de fournir pleinement la même qualité de services pour le travail à distance qu'au bureau. Supposons que vous utilisez un Cisco ASA 5520 comme passerelle VPN. fiche de données cet appareil est capable de « digérer » seulement 225 Mbits de trafic VPN. Bien entendu, en termes de bande passante, la connexion via VPN est très différente du travail au bureau. De plus, si, pour une raison quelconque, la latence, la perte, la gigue (par exemple, vous souhaitez utiliser la téléphonie IP de bureau) pour vos services réseau sont importantes, vous ne recevrez pas non plus la même qualité que si vous étiez au bureau. Par conséquent, lorsque l’on parle de mobilité, nous devons être conscients des éventuelles limites.

Accès facile à toutes les ressources de l'entreprise

Cette tâche doit être résolue conjointement avec d'autres départements techniques.
La situation idéale est lorsque l'utilisateur n'a besoin de s'authentifier qu'une seule fois, et qu'il a ensuite accès à toutes les ressources nécessaires.
Fournir un accès facile sans sacrifier la sécurité peut améliorer considérablement la productivité et réduire le stress de vos collègues.

Note 1

La facilité d’accès ne dépend pas seulement du nombre de fois où vous devez saisir un mot de passe. Si, par exemple, conformément à votre politique de sécurité, pour vous connecter du bureau au centre de données, vous devez d'abord vous connecter à la passerelle VPN et en même temps vous perdez l'accès aux ressources du bureau, alors c'est également très , très gênant.

Note 2

Il existe des services (par exemple, l'accès aux équipements réseau) pour lesquels nous disposons généralement de nos propres serveurs AAA dédiés et c'est la norme lorsque dans ce cas nous devons nous authentifier plusieurs fois.

Disponibilité des ressources Internet

Internet n'est pas seulement un divertissement, mais aussi un ensemble de services qui peuvent être très utiles pour le travail. Il existe également des facteurs purement psychologiques. Une personne moderne est connectée à d'autres personnes via Internet via de nombreux fils virtuels et, à mon avis, il n'y a rien de mal à ce qu'elle continue à ressentir cette connexion même en travaillant.

Du point de vue de la perte de temps, il n'y a rien de mal si un employé, par exemple, utilise Skype et passe 5 minutes à communiquer avec un proche si nécessaire.

Cela signifie-t-il qu'Internet doit toujours être disponible, cela signifie-t-il que les employés peuvent avoir accès à toutes les ressources et ne pas les contrôler d'aucune façon ?

Non, cela ne veut pas dire cela, bien sûr. Le niveau d'ouverture d'Internet peut varier selon les entreprises - de la fermeture complète à l'ouverture totale. Nous discuterons des moyens de contrôler le trafic plus tard dans les sections sur les mesures de sécurité.

Capacité à utiliser la gamme complète d'appareils familiers

C’est pratique lorsque, par exemple, vous avez la possibilité de continuer à utiliser tous les moyens de communication auxquels vous êtes habitué au travail. Il n’y a aucune difficulté à mettre en œuvre techniquement cela. Pour cela, vous avez besoin du WiFi et d'un wilan invité.

C’est également bien si vous avez la possibilité d’utiliser le système d’exploitation auquel vous êtes habitué. Mais, d’après mon observation, cela n’est généralement autorisé qu’aux gestionnaires, administrateurs et développeurs.

Exemple

Vous pouvez bien sûr suivre le chemin des interdictions, interdire l'accès à distance, interdire la connexion depuis des appareils mobiles, tout limiter aux connexions Ethernet statiques, limiter l'accès à Internet, confisquer obligatoirement les téléphones portables et les gadgets au poste de contrôle... et ce chemin est en fait suivi par certaines organisations avec des exigences de sécurité accrues, et peut-être que dans certains cas cela peut être justifié, mais... vous devez convenir que cela ressemble à une tentative d'arrêter le progrès dans une seule organisation. Bien entendu, je souhaite combiner les opportunités offertes par les technologies modernes avec un niveau de sécurité suffisant.

"Fonctionnement rapide" du réseau

Techniquement, la vitesse de transfert des données dépend de nombreux facteurs. Et la vitesse de votre port de connexion n’est généralement pas la plus importante. Le fonctionnement lent d’une application n’est pas toujours associé à des problèmes de réseau, mais pour l’instant nous ne nous intéressons qu’à la partie réseau. Le problème le plus courant lié au « ralentissement » du réseau local est lié à la perte de paquets. Cela se produit généralement en cas de goulot d'étranglement ou de problèmes L1 (OSI). Plus rarement, avec certaines conceptions (par exemple, lorsque vos sous-réseaux ont un pare-feu comme passerelle par défaut et que tout le trafic passe donc par lui), les performances matérielles peuvent faire défaut.

Par conséquent, lors du choix de l’équipement et de l’architecture, vous devez corréler les vitesses des ports d’extrémité, les lignes réseau et les performances de l’équipement.

Exemple

Supposons que vous utilisez des commutateurs dotés de ports 1 Gigabit comme commutateurs de couche d'accès. Ils sont connectés entre eux via Etherchannel 2 x 10 gigabits. En tant que passerelle par défaut, vous utilisez un pare-feu avec des ports Gigabit, pour vous connecter au réseau de bureau L2, vous utilisez 2 ports Gigabit combinés dans un Etherchannel.

Cette architecture est assez pratique d'un point de vue fonctionnel, car... Tout le trafic passe par le pare-feu et vous pouvez gérer confortablement les politiques d'accès et appliquer des algorithmes complexes pour contrôler le trafic et prévenir d'éventuelles attaques (voir ci-dessous), mais du point de vue du débit et des performances, cette conception présente bien sûr des problèmes potentiels. Ainsi, par exemple, 2 hôtes téléchargeant des données (avec une vitesse de port de 1 gigabit) peuvent charger complètement une connexion de 2 gigabits au pare-feu, et ainsi conduire à une dégradation du service pour l'ensemble du segment bureau.

Nous avons examiné un sommet du triangle. Voyons maintenant comment garantir la sécurité.

Remèdes

Alors, bien sûr, généralement notre désir (ou plutôt le désir de notre direction) est de réaliser l'impossible, à savoir offrir un maximum de confort avec une sécurité maximale et un coût minimum.

Voyons quelles sont les méthodes dont nous disposons pour assurer la protection.

Pour le bureau, je soulignerais les éléments suivants :

  • approche de conception de confiance zéro
  • haut niveau de protection
  • visibilité du réseau
  • système d'authentification et d'autorisation centralisé unifié
  • vérification de l'hôte

Ensuite, nous nous attarderons un peu plus en détail sur chacun de ces aspects.

Zero Trust

Le monde informatique évolue très rapidement. Au cours des dix dernières années, l'émergence de nouvelles technologies et de nouveaux produits a conduit à une révision majeure des concepts de sécurité. Il y a dix ans, du point de vue de la sécurité, nous avons segmenté le réseau en zones de confiance, dmz et non de confiance, et avons utilisé ce que l'on appelle la « protection périmétrique », où il y avait 10 lignes de défense : untrust -> dmz et dmz -> confiance. De plus, la protection était généralement limitée aux listes d'accès basées sur les en-têtes L2/L3 (OSI) (IP, ports TCP/UDP, drapeaux TCP). Tout ce qui concernait les niveaux supérieurs, y compris L4, était laissé au système d'exploitation et aux produits de sécurité installés sur les hôtes finaux.

Aujourd’hui, la situation a radicalement changé. Concept moderne confiance zéro vient du fait qu’il n’est plus possible de considérer comme fiables les systèmes internes, c’est-à-dire ceux situés à l’intérieur du périmètre, et que la notion même de périmètre est devenue floue.
En plus de la connexion Internet, nous avons également

  • utilisateurs VPN d'accès à distance
  • divers gadgets personnels, ordinateurs portables apportés, connectés via le WiFi du bureau
  • autres (succursales)
  • intégration avec l'infrastructure cloud

À quoi ressemble l’approche Zero Trust en pratique ?

Idéalement, seul le trafic nécessaire devrait être autorisé et, si nous parlons d'un idéal, alors le contrôle ne devrait pas se faire uniquement au niveau L3/L4, mais également au niveau de l'application.

Si, par exemple, vous avez la possibilité de faire passer tout le trafic à travers un pare-feu, vous pouvez alors essayer de vous rapprocher de l'idéal. Mais cette approche peut réduire considérablement la bande passante totale de votre réseau, et de plus, le filtrage par application ne fonctionne pas toujours bien.

Lors du contrôle du trafic sur un routeur ou un commutateur L3 (à l'aide d'ACL standards), vous rencontrez d'autres problèmes :

  • Il s’agit uniquement d’un filtrage L3/L4. Rien n'empêche un attaquant d'utiliser les ports autorisés (par exemple TCP 80) pour son application (pas http)
  • gestion complexe des ACL (difficile d’analyser les ACL)
  • Il ne s'agit pas d'un pare-feu avec état, ce qui signifie que vous devez autoriser explicitement le trafic inverse.
  • avec les commutateurs, vous êtes généralement assez limité par la taille du TCAM, ce qui peut rapidement devenir un problème si vous adoptez l'approche « n'autoriser que ce dont vous avez besoin ».

Note:

En parlant de trafic inversé, nous devons nous rappeler que nous avons l'opportunité suivante (Cisco)

autoriser TCP tout établi

Mais il faut comprendre que cette ligne équivaut à deux lignes :
autoriser TCP à tout accusé de réception
autoriser TCP n'importe quel premier

Cela signifie que même s'il n'y avait pas de segment TCP initial avec l'indicateur SYN (c'est-à-dire que la session TCP n'a même pas commencé à s'établir), cette ACL autorisera un paquet avec l'indicateur ACK, qu'un attaquant pourra utiliser pour transférer des données.

Autrement dit, cette ligne ne transforme en aucun cas votre routeur ou commutateur L3 en un pare-feu complet.

Haut niveau de protection

В article Dans la section sur les centres de données, nous avons considéré les méthodes de protection suivantes.

  • pare-feu avec état (par défaut)
  • protection ddos/dos
  • pare-feu d'applications
  • prévention des menaces (antivirus, anti-spyware et vulnérabilité)
  • Filtrage d'URL
  • filtrage des données (filtrage de contenu)
  • blocage de fichiers (blocage des types de fichiers)

Dans le cas d’un bureau, la situation est similaire, mais les priorités sont légèrement différentes. La disponibilité du bureau (disponibilité) n'est généralement pas aussi critique que dans le cas d'un centre de données, tandis que la probabilité d'un trafic malveillant « interne » est bien plus élevée.
Par conséquent, les méthodes de protection suivantes pour ce segment deviennent critiques :

  • pare-feu d'applications
  • prévention des menaces (antivirus, anti-spyware et vulnérabilité)
  • Filtrage d'URL
  • filtrage des données (filtrage de contenu)
  • blocage de fichiers (blocage des types de fichiers)

Bien que toutes ces méthodes de protection, à l'exception du pare-feu d'application, aient été et continuent d'être résolues traditionnellement sur les hôtes finaux (par exemple, en installant des programmes antivirus) et en utilisant des proxys, les NGFW modernes fournissent également ces services.

Les fournisseurs d'équipements de sécurité s'efforcent de créer une protection complète. Ainsi, en plus de la protection locale, ils proposent diverses technologies cloud et logiciels clients pour les hôtes (protection des points finaux/EPP). Ainsi, par exemple, de Quadrant magique Gartner 2018 On voit que Palo Alto et Cisco ont leurs propres EPP (PA : Traps, Cisco : AMP), mais sont loin d'être les leaders.

L'activation de ces protections (généralement en achetant des licences) sur votre pare-feu n'est bien sûr pas obligatoire (vous pouvez emprunter la voie traditionnelle), mais cela présente certains avantages :

  • dans ce cas, il existe un point unique d'application des méthodes de protection, ce qui améliore la visibilité (voir le sujet suivant).
  • S'il existe un appareil non protégé sur votre réseau, il relève toujours du « parapluie » de la protection par pare-feu.
  • En associant la protection par pare-feu à la protection de l'hôte final, nous augmentons la probabilité de détecter un trafic malveillant. Par exemple, utiliser la prévention des menaces sur des hôtes locaux et sur un pare-feu augmente la probabilité de détection (à condition bien sûr que ces solutions soient basées sur des produits logiciels différents)

Note:

Si, par exemple, vous utilisez Kaspersky comme antivirus à la fois sur le pare-feu et sur les hôtes finaux, cela n'augmentera bien sûr pas considérablement vos chances d'empêcher une attaque de virus sur votre réseau.

Visibilité du réseau

idée centrale est simple : « voyez » ce qui se passe sur votre réseau, à la fois en temps réel et avec des données historiques.

Je diviserais cette « vision » en deux groupes :

Groupe un : ce que votre système de surveillance vous fournit habituellement.

  • chargement de l'équipement
  • chargement des canaux
  • utilisation de la mémoire
  • utilisation du disque
  • changer la table de routage
  • statut du lien
  • disponibilité du matériel (ou des hôtes)
  • ...

Deuxième groupe : informations relatives à la sécurité.

  • divers types de statistiques (par exemple, par application, par trafic URL, quels types de données ont été téléchargées, données utilisateur)
  • ce qui a été bloqué par les politiques de sécurité et pour quelle raison, à savoir
    • application interdite
    • interdit en fonction de l'adresse IP/du protocole/du port/des drapeaux/des zones
    • prévention des menaces
    • filtrage d'url
    • filtrage des données
    • blocage de fichiers
    • ...
  • statistiques sur les attaques DOS/DDOS
  • échec des tentatives d'identification et d'autorisation
  • statistiques pour tous les événements de violation de la politique de sécurité ci-dessus
  • ...

Dans ce chapitre sur la sécurité, nous nous intéressons à la deuxième partie.

Certains pare-feu modernes (issus de mon expérience à Palo Alto) offrent un bon niveau de visibilité. Mais, bien sûr, le trafic qui vous intéresse doit passer par ce pare-feu (auquel cas vous avez la possibilité de bloquer le trafic) ou être mis en miroir sur le pare-feu (utilisé uniquement pour la surveillance et l'analyse), et vous devez disposer de licences pour activer tout. ces prestations.

Il existe bien sûr une méthode alternative, ou plutôt la méthode traditionnelle, par exemple :

  • Les statistiques de session peuvent être collectées via netflow, puis utilisées par des utilitaires spéciaux pour l'analyse des informations et la visualisation des données.
  • prévention des menaces – programmes spéciaux (antivirus, anti-spyware, pare-feu) sur les hôtes finaux
  • Filtrage d'URL, filtrage de données, blocage de fichiers – sur proxy
  • il est également possible d'analyser tcpdump en utilisant par ex. grognement

Vous pouvez combiner ces deux approches, en complétant les fonctionnalités manquantes ou en les dupliquant pour augmenter la probabilité de détecter une attaque.

Quelle approche choisir ?
Cela dépend fortement des qualifications et des préférences de votre équipe.
Il y a des avantages et des inconvénients.

Système d'authentification et d'autorisation centralisé unifié

Lorsqu'elle est bien conçue, la mobilité dont nous avons parlé dans cet article suppose que vous ayez le même accès que vous travailliez au bureau ou à domicile, depuis l'aéroport, depuis un café ou ailleurs (avec les limitations dont nous avons parlé ci-dessus). Il semblerait, quel est le problème ?
Pour mieux comprendre la complexité de cette tâche, examinons une conception typique.

Exemple

  • Vous avez divisé tous les employés en groupes. Vous avez décidé de donner l'accès par groupes
  • Au bureau, vous contrôlez les accès sur le pare-feu du bureau
  • Vous contrôlez le trafic du bureau vers le centre de données sur le pare-feu du centre de données
  • Vous utilisez un Cisco ASA comme passerelle VPN et pour contrôler le trafic entrant dans votre réseau à partir de clients distants, vous utilisez des ACL locales (sur l'ASA).

Supposons maintenant qu'il vous soit demandé d'ajouter un accès supplémentaire à un certain employé. Dans ce cas, il vous est demandé d'ajouter l'accès uniquement à lui et à personne d'autre de son groupe.

Pour cela, nous devons créer un groupe distinct pour cet employé, c'est-à-dire

  • créer un pool IP distinct sur l'ASA pour cet employé
  • ajoutez une nouvelle ACL sur l'ASA et liez-la à ce client distant
  • créer de nouvelles politiques de sécurité sur les pare-feu des bureaux et des centres de données

C'est bien si cet événement est rare. Mais dans ma pratique, il y avait une situation où les employés participaient à différents projets, et cet ensemble de projets pour certains d'entre eux changeait assez souvent, et il ne s'agissait pas de 1 à 2 personnes, mais de dizaines. Bien sûr, quelque chose devait être changé ici.

Cela a été résolu de la manière suivante.

Nous avons décidé que LDAP serait la seule source de vérité déterminant tous les accès possibles des employés. Nous avons créé toutes sortes de groupes qui définissent des ensembles d'accès, et nous avons attribué à chaque utilisateur un ou plusieurs groupes.

Supposons par exemple qu'il y ait des groupes

  • invité (accès Internet)
  • accès commun (accès aux ressources partagées : mail, base de connaissances, ...)
  • comptabilité
  • projet 1
  • projet 2
  • administrateur de base de données
  • administrateur Linux
  • ...

Et si l'un des employés était impliqué à la fois dans le projet 1 et dans le projet 2, et qu'il avait besoin des accès nécessaires pour travailler sur ces projets, alors cet employé était affecté aux groupes suivants :

  • invité
  • accès commun
  • projet 1
  • projet 2

Comment transformer désormais ces informations en accès sur les équipements réseaux ?

Politique d'accès dynamique (DAP) Cisco ASA (voir www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-Generation-firewalls/108000-dap-deploy-guide.html) la solution convient parfaitement à cette tâche.

En bref sur notre implémentation, lors du processus d'identification/autorisation, ASA reçoit de LDAP un ensemble de groupes correspondant à un utilisateur donné et « collecte » depuis plusieurs ACL locales (dont chacune correspond à un groupe) une ACL dynamique avec tous les accès nécessaires , ce qui correspond pleinement à nos souhaits.

Mais cela ne concerne que les connexions VPN. Afin que la situation soit la même pour les employés connectés via VPN et ceux du bureau, l'étape suivante a été franchie.

Lors de la connexion depuis le bureau, les utilisateurs utilisant le protocole 802.1x se retrouvaient soit dans un réseau local invité (pour les invités), soit dans un réseau local partagé (pour les employés de l'entreprise). De plus, pour obtenir un accès spécifique (par exemple à des projets dans un centre de données), les employés devaient se connecter via VPN.

Pour se connecter depuis le bureau et depuis la maison, différents groupes de tunnels ont été utilisés sur l'ASA. Ceci est nécessaire pour que pour ceux qui se connectent depuis le bureau, le trafic vers les ressources partagées (utilisées par tous les employés, comme la messagerie, les serveurs de fichiers, le système de tickets, le DNS, ...) ne passe pas par l'ASA, mais par le réseau local. . Ainsi, nous n’avons pas chargé l’ASA de trafic inutile, y compris de trafic de haute intensité.

Ainsi, le problème a été résolu.
Nous avons reçu

  • le même ensemble d'accès pour les connexions depuis le bureau et les connexions à distance
  • absence de dégradation du service lors du travail depuis le bureau associée à la transmission de trafic de haute intensité via ASA

Quels autres avantages de cette approche ?
Dans la gestion des accès. Les accès peuvent être facilement modifiés en un seul endroit.
Par exemple, si un employé quitte l'entreprise, vous le supprimez simplement de LDAP et il perd automatiquement tout accès.

Vérification de l'hôte

Avec la possibilité de connexion à distance, nous courons le risque de laisser entrer sur le réseau non seulement un employé de l'entreprise, mais également tous les logiciels malveillants très probablement présents sur son ordinateur (par exemple, à la maison), et de plus, grâce à ce logiciel, nous peut fournir l'accès à notre réseau à un attaquant utilisant cet hôte comme proxy.

Il est logique qu'un hôte connecté à distance applique les mêmes exigences de sécurité qu'un hôte au bureau.

Cela suppose également la version « correcte » du système d’exploitation, des logiciels antivirus, anti-spyware et pare-feu ainsi que des mises à jour. Généralement, cette fonctionnalité existe sur la passerelle VPN (pour ASA, voir, par exemple, ici).

Il est également judicieux d'appliquer les mêmes techniques d'analyse du trafic et de blocage (voir « Niveau élevé de protection ») que votre politique de sécurité applique au trafic du bureau.

Il est raisonnable de supposer que votre réseau de bureau ne se limite plus au bâtiment de bureaux et aux hôtes qui s'y trouvent.

Exemple

Une bonne technique consiste à fournir à chaque employé ayant besoin d'un accès à distance un ordinateur portable de qualité et pratique et à lui demander de travailler, au bureau et à domicile, uniquement à partir de celui-ci.

Non seulement il améliore la sécurité de votre réseau, mais il est également très pratique et est généralement perçu favorablement par les employés (s'il s'agit d'un très bon ordinateur portable convivial).

À propos du sens des proportions et de l’équilibre

Fondamentalement, il s’agit d’une conversation sur le troisième sommet de notre triangle : le prix.
Regardons un exemple hypothétique.

Exemple

Vous disposez d'un bureau pour 200 personnes. Vous avez décidé de le rendre aussi pratique et sûr que possible.

Par conséquent, vous avez décidé de faire passer tout le trafic via le pare-feu et donc pour tous les sous-réseaux du bureau, le pare-feu est la passerelle par défaut. En plus des logiciels de sécurité installés sur chaque hôte final (logiciels antivirus, anti-spyware et pare-feu), vous avez également décidé d'appliquer toutes les méthodes de protection possibles sur le pare-feu.

Pour garantir une vitesse de connexion élevée (le tout pour plus de commodité), vous avez choisi des commutateurs avec 10 ports d'accès Gigabit comme commutateurs d'accès et des pare-feu NGFW hautes performances comme pare-feu, par exemple la série Palo Alto 7K (avec 40 ports Gigabit), naturellement avec toutes les licences inclus et, bien sûr, une paire haute disponibilité.

Bien entendu, pour travailler avec cette gamme d’équipements, nous avons besoin d’au moins deux ingénieurs en sécurité hautement qualifiés.

Ensuite, vous avez décidé de donner à chaque employé un bon ordinateur portable.

Au total, environ 10 millions de dollars pour la mise en œuvre, des centaines de milliers de dollars (je pense plus près d'un million) pour le soutien annuel et les salaires des ingénieurs.

Bureau, 200 personnes...
Confortable? Je suppose que c'est oui.

Vous présentez cette proposition à votre direction...
Il existe peut-être un certain nombre d'entreprises dans le monde pour lesquelles il s'agit d'une solution acceptable et correcte. Si vous êtes salarié de cette entreprise, mes félicitations, mais dans la grande majorité des cas, je suis sûr que vos connaissances ne seront pas appréciées par la direction.

Cet exemple est-il exagéré ? Le prochain chapitre répondra à cette question.

Si sur votre réseau vous ne voyez aucun des éléments ci-dessus, c'est la norme.
Pour chaque cas spécifique, vous devez trouver votre propre compromis raisonnable entre commodité, prix et sécurité. Souvent, vous n'avez même pas besoin de NGFW dans votre bureau et la protection L7 sur le pare-feu n'est pas requise. Il suffit d’offrir un bon niveau de visibilité et d’alertes, et cela peut se faire grâce à des produits open source par exemple. Oui, votre réaction à une attaque ne sera pas immédiate, mais l’essentiel est que vous la voyiez, et avec les bons processus en place dans votre service, vous pourrez la neutraliser rapidement.

Et permettez-moi de vous rappeler que, selon le concept de cette série d'articles, vous ne concevez pas un réseau, vous essayez seulement d'améliorer ce que vous avez.

Analyse SÉCURISÉE de l'architecture de bureau

Faites attention à ce carré rouge avec lequel j'ai attribué une place sur le schéma de Guide d'architecture de campus sécurisé SAFEdont je voudrais discuter ici.

Comment prendre le contrôle de votre infrastructure réseau. Chapitre trois. Sécurité Internet. Partie trois

C’est l’un des lieux clés de l’architecture et l’une des incertitudes les plus importantes.

Note:

Je n'ai jamais configuré ni travaillé avec FirePower (de la gamme de pare-feu de Cisco - uniquement ASA), je le traiterai donc comme n'importe quel autre pare-feu, comme Juniper SRX ou Palo Alto, en supposant qu'il ait les mêmes capacités.

Parmi les conceptions habituelles, je ne vois que 4 options possibles pour utiliser un pare-feu avec cette connexion :

  • la passerelle par défaut pour chaque sous-réseau est un commutateur, tandis que le pare-feu est en mode transparent (c'est-à-dire que tout le trafic le traverse, mais il ne forme pas de saut L3)
  • la passerelle par défaut pour chaque sous-réseau est les sous-interfaces du pare-feu (ou interfaces SVI), le switch joue le rôle de L2
  • différents VRF sont utilisés sur le commutateur et le trafic entre les VRF passe par le pare-feu, le trafic au sein d'un VRF est contrôlé par l'ACL sur le commutateur
  • tout le trafic est mis en miroir sur le pare-feu à des fins d'analyse et de surveillance ; le trafic ne le traverse pas

Note 1

Des combinaisons de ces options sont possibles, mais par souci de simplicité, nous ne les considérerons pas.

Note 2

Il existe également la possibilité d'utiliser le PBR (architecture de chaîne de services), mais pour l'instant, bien que ce soit une belle solution à mon avis, c'est plutôt exotique, donc je ne l'envisage pas ici.

D'après la description des flux dans le document, nous voyons que le trafic passe toujours par le pare-feu, c'est-à-dire que conformément à la conception de Cisco, la quatrième option est éliminée.

Examinons d'abord les deux premières options.
Avec ces options, tout le trafic passe par le pare-feu.

Maintenant on regarde fiche de donnéesregarde Cisco GPL et nous voyons que si nous voulons que la bande passante totale de notre bureau soit d'au moins environ 10 à 20 gigabits, alors nous devons acheter la version 4K.

Note:

Quand je parle de bande passante totale, je parle du trafic entre les sous-réseaux (et non au sein d'un même vilana).

D'après la GPL, nous voyons que pour le HA Bundle avec Threat Defense, le prix selon le modèle (4110 - 4150) varie de ~0,5 à 2,5 millions de dollars.

Autrement dit, notre conception commence à ressembler à l’exemple précédent.

Cela signifie-t-il que cette conception est fausse ?
Non, cela ne veut pas dire ça. Cisco vous offre la meilleure protection possible en fonction de sa gamme de produits. Mais cela ne veut pas dire que c’est une obligation pour vous.

En principe, il s'agit d'une question courante qui se pose lors de la conception d'un bureau ou d'un centre de données, et cela signifie simplement qu'un compromis doit être recherché.

Par exemple, ne laissez pas tout le trafic passer par un pare-feu, auquel cas l'option 3 me semble plutôt bonne, ou (voir section précédente) peut-être que vous n'avez pas besoin de Threat Defense ou que vous n'avez pas du tout besoin de pare-feu à ce sujet. segment de réseau, et il vous suffit de vous limiter à une surveillance passive à l'aide de solutions payantes (pas chères) ou open source, ou vous avez besoin d'un pare-feu, mais d'un fournisseur différent.

Habituellement, il y a toujours cette incertitude et il n’y a pas de réponse claire quant à la décision qui vous convient le mieux.
C'est là toute la complexité et la beauté de cette tâche.

Source: habr.com

Ajouter un commentaire