ProHoster > Blog > Bestjoer > Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer. Haadstik trije. Netwurk feiligens. Diel trije

Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer. Haadstik trije. Netwurk feiligens. Diel trije

Dit artikel is it fyfde yn 'e searje "Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer." De ynhâld fan alle artikels yn 'e searje en keppelings is te finen hjir.

Dit diel sil wijd wurde oan de Campus (Office) & VPN-segminten op ôfstân.

Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer. Haadstik trije. Netwurk feiligens. Diel trije

It ûntwerp fan kantoarnetwurk kin maklik lykje.

Yndied nimme wy L2 / L3-skeakels en ferbine se mei elkoar. Folgjende, wy fiere in basis opset fan vilans en standert poarten, ynstelle ienfâldige routing, ferbinen WiFi controllers, tagong punten, ynstallearje en konfigurearje ASA foar tagong op ôfstân, wy binne bliid dat alles wurke. Yn prinsipe, lykas ik al skreau yn ien fan de foarige artikels fan dizze syklus kin hast elke studint dy't twa semesters fan in telekomkursus hat bywenne (en leard) in kantoarnetwurk ûntwerpe en konfigurearje sadat it "op ien of oare manier wurket."

Mar hoe mear jo leare, hoe minder ienfâldich dizze taak begjint te lykjen. Foar my persoanlik liket dit ûnderwerp, it ûnderwerp fan kantoarnetwurkûntwerp, hielendal net ienfâldich, en yn dit artikel sil ik besykje út te lizzen wêrom.

Koartsein, d'r binne nochal wat faktoaren om te beskôgjen. Faak binne dizze faktoaren yn konflikt mei elkoar en moat in ridlik kompromis socht wurde.
Dizze ûnwissichheid is de wichtichste muoite. Dat, oer feiligens sprutsen, hawwe wy in trijehoek mei trije hoekpunten: feiligens, gemak foar meiwurkers, priis fan 'e oplossing.
En elke kear moatte jo sykje nei in kompromis tusken dizze trije.

arsjitektuer

As foarbyld fan in arsjitektuer foar dizze twa segminten, lykas yn eardere artikels, advisearje ik Cisco SAFE model: Enterprise Campus, Enterprise Internet Edge.

Dit binne wat ferâldere dokuminten. Ik presintearje se hjir omdat de fûnemintele regelingen en oanpak binne net feroare, mar tagelyk fyn ik de presintaasje mear as yn nije dokumintaasje.

Sûnder jo oan te moedigjen om Cisco-oplossingen te brûken, tink ik noch dat it nuttich is om dit ûntwerp foarsichtich te studearjen.

Dit artikel docht, lykas gewoanlik, op gjin inkelde manier as folslein, mar is earder in oanfolling op dizze ynformaasje.

Oan 'e ein fan it artikel sille wy it Cisco SAFE-kantoarûntwerp analysearje yn termen fan' e hjir sketste begripen.

Algemiene begjinsels

It ûntwerp fan it kantoarnetwurk moat fansels foldwaan oan de algemiene easken dy't besprutsen binne hjir yn it haadstik "Kriteria foar it beoardieljen fan ûntwerpkwaliteit". Njonken priis en feiligens, dy't wy yn dit artikel wolle besprekke, binne d'r noch trije kritearia dy't wy moatte beskôgje by it ûntwerpen (of it meitsjen fan feroaringen):

  • scalability
  • gemak fan gebrûk (behearberens)
  • beskikberens

In protte fan wat waard besprutsen foar data sintra Dat jildt ek foar it kantoar.

Mar dochs hat it kantoarsegment syn eigen spesifikaasjes, dy't kritysk binne út in feiligenspunt. De essinsje fan dizze spesifisiteit is dat dit segmint is makke om netwurktsjinsten te leverjen oan meiwurkers (lykas partners en gasten) fan it bedriuw, en as gefolch hawwe wy op it heechste nivo fan behanneling fan it probleem twa taken:

  • beskermje bedriuwsboarnen tsjin kweade aksjes dy't kinne komme fan meiwurkers (gasten, partners) en fan 'e software dy't se brûke. Dit omfettet ek beskerming tsjin unautorisearre ferbining mei it netwurk.
  • beskermje systemen en brûkersgegevens

En dit is mar ien kant fan it probleem (of leaver, ien hoekpunt fan 'e trijehoek). Oan 'e oare kant is it gemak fan brûkers en de priis fan' e brûkte oplossingen.

Litte wy begjinne mei te sjen nei wat in brûker ferwachtet fan in moderne kantoarnetwurk.

Foarsjennings

Hjir is hoe't "netwurkfoarsjenningen" der útsjen foar in kantoarbrûker nei myn miening:

  • Mobiliteit
  • Mooglikheid om it folsleine oanbod fan fertroude apparaten en bestjoeringssystemen te brûken
  • Maklike tagong ta alle nedige bedriuwsboarnen
  • Beskikberens fan ynternetboarnen, ynklusyf ferskate wolktsjinsten
  • "Fast operaasje" fan it netwurk

Dit alles jildt foar sawol meiwurkers as gasten (of partners), en it is de taak fan 'e yngenieurs fan it bedriuw om tagong te ûnderskieden foar ferskate brûkersgroepen basearre op autorisaasje.

Litte wy elk fan dizze aspekten in bytsje mear yn detail sjen.

Mobiliteit

Wy prate oer de kâns om te wurkjen en alle nedige bedriuwsboarnen te brûken fan oeral yn 'e wrâld (fansels, wêr't it ynternet beskikber is).

Dit jildt folslein foar it kantoar. Dit is handich as jo de kâns hawwe om troch te wurkjen fan oeral yn it kantoar, bygelyks e-post ûntfange, kommunisearje yn in bedriuwsmessenger, beskikber wêze foar in fideoproep, ... Sa kinne jo, oan 'e iene kant, om guon problemen "live" kommunikaasje op te lossen (bygelyks meidwaan oan rally's), en oan 'e oare kant altyd online wêze, hâld jo finger oan' e pols en fluch wat driuwende taken mei hege prioriteit oplosse. Dit is heul handich en ferbettert echt de kwaliteit fan kommunikaasje.

Dit wurdt berikt troch goed WiFi-netwurkûntwerp.

Notysje

Hjir komt de fraach gewoanlik op: is it genôch om allinich WiFi te brûken? Betsjut dit dat jo kinne stopje mei it brûken fan Ethernet-poarten yn it kantoar? As wy it allinich oer brûkers hawwe, en net oer servers, dy't noch ridlik binne om te ferbinen mei in gewoane Ethernet-poarte, dan is it antwurd yn 't algemien: ja, jo kinne josels allinich beheine ta WiFi. Mar der binne nuânses.

D'r binne wichtige brûkersgroepen dy't in aparte oanpak fereaskje. Dit binne fansels bestjoerders. Yn prinsipe is in WiFi-ferbining minder betrouber (yn termen fan ferkearsferlies) en stadiger as in gewoane Ethernet-poarte. Dit kin wichtich wêze foar behearders. Dêrnjonken kinne bygelyks netwurkbehearders yn prinsipe in eigen wijd Ethernet-netwurk hawwe foar out-of-band-ferbiningen.

D'r kinne oare groepen/ôfdielingen yn jo bedriuw wêze wêrfoar dizze faktoaren ek wichtich binne.

Der is in oar wichtich punt - telefony. Miskien om ien of oare reden wolle jo gjin Wireless VoIP brûke en wolle jo IP-tillefoans brûke mei in gewoane Ethernet-ferbining.

Yn 't algemien hienen de bedriuwen wêr't ik foar wurke meastentiids sawol WiFi-ferbining as in Ethernet-poarte.

Ik wol graach dat mobiliteit net beheind wurdt ta allinich it kantoar.

Om de mooglikheid te garandearjen fan thús te wurkjen (of elk oar plak mei tagonklik ynternet), wurdt in VPN-ferbining brûkt. Tagelyk is it winsklik dat meiwurkers it ferskil net fiele tusken thúswurkjen en wurk op ôfstân, dat deselde tagong útgiet. Wy sille beprate hoe't jo dit in bytsje letter organisearje yn it haadstik "Unified sintralisearre autentikaasje- en autorisaasjesysteem."

Notysje

Meast wierskynlik sille jo net folslein deselde kwaliteit fan tsjinsten kinne leverje foar wurk op ôfstân dy't jo op it kantoar hawwe. Litte wy oannimme dat jo in Cisco ASA 5520 brûke as jo VPN-gateway datablêd dit apparaat is yn steat om mar 225 Mbit VPN-ferkear te "fertarjen". Dat is, fansels, yn termen fan bânbreedte, ferbining fia VPN is hiel oars as wurkjen fanút it kantoar. Ek as, om ien of oare reden, latency, ferlies, jitter (jo wolle bygelyks kantoar IP-tillefoany brûke) foar jo netwurktsjinsten signifikant binne, krije jo ek net deselde kwaliteit as as jo op it kantoar wiene. Dêrom, as wy prate oer mobiliteit, moatte wy bewust wêze fan mooglike beheiningen.

Maklike tagong ta alle boarnen fan it bedriuw

Dizze taak moat wurde oplost tegearre mei oare technyske ôfdielings.
De ideale situaasje is as de brûker mar ien kear hoecht te ferifiearjen, en dêrnei hat hy tagong ta alle nedige boarnen.
It leverjen fan maklike tagong sûnder feiligens op te offerjen kin de produktiviteit signifikant ferbetterje en stress ûnder jo kollega's ferminderje.

Opmerking 1

Gemak fan tagong is net allinich oer hoefolle kearen jo in wachtwurd moatte ynfiere. As, bygelyks, yn oerienstimming mei jo feiligensbelied, om te ferbinen fan it kantoar nei it datasintrum, moatte jo earst ferbine mei de VPN-gateway, en tagelyk jo tagong ferlieze ta kantoarboarnen, dan is dit ek heul , hiel ûngemaklik.

Opmerking 2

D'r binne tsjinsten (bgl

Beskikberens fan ynternetboarnen

It ynternet is net allinnich ferdivedaasje, mar ek in set fan tsjinsten dy't kin wêze hiel nuttich foar wurk. Der binne ek suver psychologyske faktoaren. In moderne persoan is ferbûn mei oare minsken fia it ynternet fia in protte firtuele triedden, en, nei myn miening, is d'r neat mis as hy dizze ferbining bliuwt fiele, sels by it wurkjen.

Fanút it eachpunt fan tiidfergriemerij is der neat mis as in meiwurker bygelyks Skype hat en 5 minuten besteget oan kommunikaasje mei in leafste as it nedich is.

Betsjut dit dat it ynternet altyd beskikber wêze moat, betsjut dit dat meiwurkers tagong kinne hawwe ta alle boarnen en se op gjin inkelde manier kontrolearje?

Nee betsjut net dat, fansels. It nivo fan iepenheid fan it ynternet kin ferskille foar ferskate bedriuwen - fan folsleine sluting oant folsleine iepenheid. Wy sille manieren beprate om ferkear te kontrolearjen letter yn 'e seksjes oer feiligensmaatregels.

Mooglikheid om it folsleine oanbod fan fertroude apparaten te brûken

It is handich as jo bygelyks de kâns hawwe om troch te gean mei it brûken fan alle kommunikaasjemiddels wêr't jo oan wend binne op it wurk. D'r is gjin muoite om dit technysk út te fieren. Hjirfoar moatte jo WiFi en in gast wilan.

It is ek goed as jo de kâns hawwe om it bestjoeringssysteem te brûken dat jo wend binne. Mar, yn myn observaasje, is dit normaal allinich tastien foar managers, behearders en ûntwikkelders.

Foarbyld:

Jo kinne fansels it paad fan ferbod folgje, tagong op ôfstân ferbiede, ferbinen fan mobile apparaten ferbiede, alles beheine ta statyske Ethernet-ferbiningen, tagong ta it ynternet beheine, mobyltsjes en gadgets ferplichte konfiskearje by it kontrôlepunt ... en dit paad wurdt eins folge troch guon organisaasjes mei ferhege feiligens easken, en miskien yn guon gefallen dit kin wurde rjochtfeardige, mar ... jo moatte iens dat dit liket as in besykjen om te stopjen foarútgong yn in inkele organisaasje. Fansels wol ik de kânsen dy't moderne technologyen jouwe kombinearje mei in foldwaande feiligensnivo.

"Fast operaasje" fan it netwurk

Gegevensferfiersnelheid bestiet technysk út in protte faktoaren. En de snelheid fan jo ferbiningspoarte is normaal net de wichtichste. De stadige wurking fan in applikaasje is net altyd ferbûn mei netwurkproblemen, mar foar no binne wy ​​allinich ynteressearre yn it netwurkdiel. It meast foarkommende probleem mei lokale netwurk "fertraging" is relatearre oan pakketferlies. Dit bart meastentiids as d'r in flessehals of L1 (OSI) problemen is. Minder faak, mei guon ûntwerpen (bygelyks as jo subnets in firewall hawwe as de standert gateway en dus al it ferkear der troch giet), kinne hardwareprestaasjes ûntbrekke.

Dêrom, by it kiezen fan apparatuer en arsjitektuer, moatte jo de snelheden fan einhavens, stammen en prestaasjes fan apparatuer korrelearje.

Foarbyld:

Litte wy oannimme dat jo skeakels brûke mei 1 gigabit-poarten as tagongslaach-skeakels. Se binne ferbûn mei elkoar fia Etherchannel 2 x 10 gigabits. As standert poarte brûke jo in brânmuorre mei gigabit-ports, om te ferbinen dy't mei it L2-kantoarnetwurk jo 2 gigabit-ports brûke kombineare yn in Etherchannel.

Dizze arsjitektuer is frij handich út in funksjoneel eachpunt, om't ... Alle ferkear giet troch de brânmuorre, en jo kinne noflik beheare tagong belied, en tapassen komplekse algoritmen foar in kontrôle ferkear en foar te kommen mooglike oanfallen (sjoch hjirûnder), mar út in trochstreaming en prestaasjes eachpunt dit ûntwerp, fansels, hat potinsjele problemen. Sa kinne bygelyks 2 hosts dy't gegevens downloade (mei in poartesnelheid fan 1 gigabit) in 2 gigabit-ferbining folslein laden nei de brânmuorre, en sa liede ta tsjinstdegradaasje foar it hiele kantoarsegment.

Wy hawwe ien hoekpunt fan 'e trijehoek sjoen, litte wy no sjen hoe't wy feiligens kinne garandearje.

Rêdingsmiddels

Dat, fansels, meastentiids is ús winsk (of leaver, de winsk fan ús behear) om it ûnmooglike te berikken, nammentlik maksimaal gemak te leverjen mei maksimale feiligens en minimale kosten.

Litte wy sjen nei hokker metoaden wy hawwe om beskerming te bieden.

Foar it kantoar soe ik it folgjende markearje:

  • nul fertrouwen oanpak foar ûntwerp
  • heech nivo fan beskerming
  • netwurk sichtberens
  • unifoarm sintralisearre autentikaasje- en autorisaasjesysteem
  • host kontrôle

Folgjende, wy sille dwaen yn in bytsje mear detail op elk fan dizze aspekten.

Nul fertrouwen

De IT-wrâld feroaret heul fluch. Krekt oer de ôfrûne 10 jier hat it ûntstean fan nije technologyen en produkten laat ta in grutte revyzje fan befeiligingskonsepten. Tsien jier lyn, út in feiligens eachpunt, wy segmentearre it netwurk yn fertrouwen, dmz en untrust sônes, en brûkten de saneamde "perimeter beskerming", dêr't d'r wiene 2 linen fan definsje: untrust -> dmz en dmz -> fertrouwe. Ek waard beskerming meastal beheind ta tagongslisten basearre op L3 / L4 (OSI) kopteksten (IP, TCP / UDP havens, TCP flaggen). Alles relatearre oan hegere nivo's, ynklusyf L7, waard oerlitten oan it OS en feiligensprodukten ynstalleare op 'e einhosts.

No is de situaasje dramatysk feroare. Modern konsept nul fertrouwen komt út it feit dat it is net mear mooglik om te beskôgje ynterne systemen, dat is, dy't lizze binnen de perimeter, as fertroud, en it konsept fan de perimeter sels is wazig wurden.
Neist ynternetferbining hawwe wy ek

  • VPN-brûkers op ôfstân tagong
  • ferskate persoanlike gadgets, brocht laptops, ferbûn fia kantoar WiFi
  • oare (ôfdielings)kantoaren
  • yntegraasje mei wolk ynfrastruktuer

Hoe sjocht de Zero Trust-oanpak der yn 'e praktyk út?

Ideaallik soe allinich it ferplichte ferkear tastien wurde en, as wy it oer in ideaal prate, dan moat kontrôle net allinich wêze op it L3/L4-nivo, mar op it tapassingsnivo.

As jo ​​​​bygelyks de mooglikheid hawwe om alle ferkear troch in firewall te stjoeren, dan kinne jo besykje om tichter by it ideaal te kommen. Mar dizze oanpak kin de totale bânbreedte fan jo netwurk signifikant ferminderje, en boppedat wurket filterjen op applikaasje net altyd goed.

By it kontrolearjen fan ferkear op in router of L3-skeakel (mei standert ACL's), komme jo oare problemen tsjin:

  • Dit is allinich L3/L4-filtering. D'r is neat dat in oanfaller tsjinhâldt om tastiene havens te brûken (bygelyks TCP 80) foar har applikaasje (net http)
  • kompleks ACL-behear (swier om ACL's te parsearjen)
  • Dit is gjin statefull firewall, wat betsjut dat jo eksplisyt reverse ferkear moatte tastean
  • mei skeakels binne jo meastentiids frij strak beheind troch de grutte fan 'e TCAM, wat gau in probleem wurde kin as jo de "allinne tastean wat jo nedich hawwe" oanpak nimme

Notysje

Sprekke oer reverse ferkear, moatte wy betinke dat wy de folgjende kâns hawwe (Cisco)

tastean tcp elk fêststeld

Mar jo moatte begripe dat dizze line is lykweardich oan twa rigels:
tastean tcp eltse eltse ack
tastean tcp eltse eltse rst

Wat betsjut dat sels as der gjin inisjele TCP-segmint wie mei de SYN-flagge (dat is, de TCP-sesje begon net iens te fêstigjen), dizze ACL sil in pakket mei de ACK-flagge tastean, dy't in oanfaller kin brûke om gegevens oer te bringen.

Dat is, dizze line feroaret jo router of L3-switch op gjin inkelde manier yn in statefull firewall.

Heech nivo fan beskerming

В artikel Yn 'e seksje oer datasintra hawwe wy de folgjende beskermingsmetoaden beskôge.

  • stateful firewalling (standert)
  • ddos / dos beskerming
  • applikaasje firewalling
  • bedrigingsprevinsje (antivirus, anty-spyware, en kwetsberens)
  • URL-filtering
  • gegevensfiltering (ynhâldfiltering)
  • bestân blokkearje (bestânstypen blokkearje)

Yn it gefal fan in kantoar is de situaasje fergelykber, mar de prioriteiten binne wat oars. Office-beskikberens (beskikberens) is meastentiids net sa kritysk as yn it gefal fan in datasintrum, wylst de kâns op "ynterne" kwea-aardich ferkear oarders fan grutte heger is.
Dêrom wurde de folgjende beskermingsmetoaden foar dit segmint kritysk:

  • applikaasje firewalling
  • bedrigingsprevinsje (anti-firus, anty-spyware, en kwetsberens)
  • URL-filtering
  • gegevensfiltering (ynhâldfiltering)
  • bestân blokkearje (bestânstypen blokkearje)

Hoewol al dizze beskermingsmetoaden, mei útsûndering fan applikaasje-firewalling, tradisjoneel west hawwe en wurde oplost op 'e ein-hosts (bygelyks troch it ynstallearjen fan antivirusprogramma's) en it brûken fan proxy's, leverje moderne NGFW's ek dizze tsjinsten.

Ferkeapers fan feiligensapparatuer stribje dernei om wiidweidige beskerming te meitsjen, dus tegearre mei lokale beskerming biede se ferskate wolktechnologyen en kliïntsoftware foar hosts (einpuntbeskerming / EPP). Sa bygelyks fan 2018 Gartner Magic Quadrant Wy sjogge dat Palo Alto en Cisco hawwe harren eigen EPPs (PA: Traps, Cisco: AMP), mar binne fier fan 'e lieders.

It ynskeakeljen fan dizze beskermingen (meastentiids troch lisinsjes te keapjen) op jo firewall is fansels net ferplicht (jo kinne de tradisjonele rûte gean), mar it leveret wol wat foardielen:

  • yn dit gefal is d'r ien punt fan tapassing fan beskermingsmetoaden, dy't de sichtberens ferbettert (sjoch it folgjende ûnderwerp).
  • As d'r in net beskerme apparaat is op jo netwurk, dan falt it noch ûnder de "paraplu" fan firewallbeskerming
  • Troch brânmuorrebeskerming te brûken yn kombinaasje mei ein-hostbeskerming, ferheegje wy de kâns op it ûntdekken fan kwea-aardich ferkear. Bygelyks, it brûken fan bedrigingsprevinsje op lokale hosts en op in firewall fergruttet de kâns op deteksje (mits, fansels, dat dizze oplossingen basearre binne op ferskate softwareprodukten)

Notysje

As jo ​​bygelyks Kaspersky brûke as antyvirus sawol op 'e firewall as op' e ein-hosts, dan sil dit, fansels, jo kânsen op it foarkommen fan in firusoanfal op jo netwurk net sterk ferheegje.

Netwurk sichtberens

It haadgedachte is ienfâldich - "sjoch" wat der bart op jo netwurk, sawol yn echte tiid as histoaryske gegevens.

Ik soe dizze "fisy" yn twa groepen ferdiele:

Groep ien: wat jo monitoaringssysteem jo normaal leveret.

  • apparatuer laden
  • laden kanalen
  • ispolzovanie pamyati
  • skiif gebrûk
  • feroarje de routing tabel
  • keppeling status
  • beskikberens fan apparatuer (of hosts)
  • ...

Groep twa: feiligens relatearre ynformaasje.

  • ferskate soarten statistiken (bygelyks per applikaasje, troch URL-ferkear, hokker soarten gegevens waarden ynladen, brûkersgegevens)
  • wat blokkearre waard troch feiligensbelied en om hokker reden, nammentlik
    • ferbean applikaasje
    • ferbean basearre op ip / protokol / haven / flaggen / sônes
    • bedriging previnsje
    • url filterjen
    • gegevens filterjen
    • triem blokkearjen
    • ...
  • statistiken oer DOS / DDOS oanfallen
  • mislearre identifikaasje en autorisaasje besykjen
  • statistiken foar alle boppesteande eveneminten foar oertreding fan feiligensbelied
  • ...

Yn dit haadstik oer feiligens binne wy ​​ynteressearre yn it twadde diel.

Guon moderne firewalls (fan myn Palo Alto ûnderfining) jouwe in goed nivo fan sichtberens. Mar, fansels, it ferkear wêryn jo ynteressearre binne moat troch dizze firewall gean (yn dat gefal hawwe jo de mooglikheid om ferkear te blokkearjen) of spegele nei de firewall (allinich brûkt foar tafersjoch en analyse), en jo moatte lisinsjes hawwe om alle dizze tsjinsten.

Der is fansels in alternative manier, of leaver de tradisjonele manier, bgl.

  • Sesjestatistiken kinne wurde sammele fia netflow en dan spesjale nutsbedriuwen brûkt foar ynformaasjeanalyse en datafisualisaasje
  • bedrigingsprevinsje - spesjale programma's (anti-firus, anty-spyware, firewall) op einhosts
  • URL-filtering, gegevensfiltering, bestannen blokkearje - op proxy
  • it is ek mooglik om tcpdump te analysearjen mei bgl. snurke

Jo kinne dizze twa oanpakken kombinearje, ûntbrekkende funksjes oanfolje of se duplikearje om de kâns te fergrutsjen om in oanfal te ûntdekken.

Hokker oanpak moatte jo kieze?
Hiel sterk ôf fan 'e kwalifikaasjes en foarkarren fan jo team.
Sawol dêr en dêr binne foar- en neidielen.

Unified sintralisearre autentikaasje- en autorisaasjesysteem

As goed ûntworpen, giet de mobiliteit dy't wy yn dit artikel besprutsen hawwe oan dat jo deselde tagong hawwe, of jo wurkje fanút it kantoar of fan hûs, fan it fleanfjild, fan in coffeeshop, of oeral oars (mei de beheiningen dy't wy hjirboppe besprutsen). It soe lykje, wat is it probleem?
Om de kompleksiteit fan dizze taak better te begripen, litte wy nei in typysk ûntwerp sjen.

Foarbyld:

  • Jo hawwe alle meiwurkers ferdield yn groepen. Jo hawwe besletten tagong te jaan troch groepen
  • Binnen it kantoar kontrolearje jo tagong op 'e kantoarfirewall
  • Jo kontrolearje ferkear fan it kantoar nei it datasintrum op 'e datacenter-firewall
  • Jo brûke in Cisco ASA as VPN-gateway en om ferkear te kontrolearjen dat jo netwurk ynkomt fan kliïnten op ôfstân, brûke jo lokale (op 'e ASA) ACL's

Litte wy no sizze dat jo frege wurde ekstra tagong ta te foegjen oan in bepaalde meiwurker. Yn dit gefal wurdt jo frege om allinich tagong ta him ta te foegjen en gjinien oars út syn groep.

Dêrfoar moatte wy foar dizze meiwurker in aparte groep oanmeitsje, dat wol

  • meitsje in aparte IP-pool op 'e ASA foar dizze meiwurker
  • foegje in nije ACL ta op 'e ASA en bine it oan dy client op ôfstân
  • meitsje nij befeiligingsbelied op kantoar- en datasintrum-firewalls

It is goed as dit barren seldsum is. Mar yn myn praktyk wie der in situaasje doe't meiwurkers meidie oan ferskate projekten, en dizze set fan projekten foar guon fan harren feroare hiel faak, en it wie net 1-2 minsken, mar tsientallen. Fansels moast hjir wat feroare wurde.

Dit waard oplost op de folgjende wize.

Wy besletten dat LDAP de ienige boarne fan wierheid soe wêze dy't alle mooglike tagong fan wurknimmers bepaalt. Wy makken alle soarten groepen dy't sets fan tagong definiearje, en wy hawwe elke brûker oan ien of mear groepen tawiisd.

Stel dat der bygelyks groepen wiene

  • gast (ynternet tagong)
  • mienskiplike tagong (tagong ta dielde boarnen: post, kennisbasis, ...)
  • accounting
  • projekt 1
  • projekt 2
  • database administrator
  • linux behearder
  • ...

En as ien fan 'e meiwurkers belutsen wie by sawol projekt 1 as projekt 2, en hy hie de tagong nedich om yn dizze projekten te wurkjen, dan waard dizze meiwurker tawiisd oan de folgjende groepen:

  • gast
  • mienskiplike tagong
  • projekt 1
  • projekt 2

Hoe kinne wy ​​dizze ynformaasje no omsette yn tagong op netwurkapparatuer?

Cisco ASA Dynamic Access Policy (DAP) (sjoch www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) oplossing is krekt rjocht foar dizze taak.

Koart oer ús ymplemintaasje, tidens it identifikaasje-/autorisaasjeproses, ûntfangt ASA fan LDAP in set groepen dy't oerienkomme mei in opjûne brûker en "sammelt" út ferskate lokale ACL's (elk fan dy oerienkomt mei in groep) in dynamyske ACL mei alle nedige tagongen , dy't folslein oerienkomt mei ús winsken.

Mar dit is allinich foar VPN-ferbiningen. Om de situaasje itselde te meitsjen foar beide meiwurkers ferbûn fia VPN en dy yn it kantoar, waard de folgjende stap nommen.

By it ferbinen fan it kantoar kamen brûkers dy't it 802.1x-protokol brûkten yn in gast-LAN ​​(foar gasten) of in dielde LAN (foar bedriuwsmeiwurkers). Fierder, om spesifike tagong te krijen (bygelyks ta projekten yn in datasintrum), moasten meiwurkers ferbine fia VPN.

Om ferbining te meitsjen fan it kantoar en fan hûs, waarden ferskate tunnelgroepen brûkt op 'e ASA. Dit is nedich sadat foar dyjingen dy't ferbine fan it kantoar, ferkear nei dielde boarnen (brûkt troch alle meiwurkers, lykas e-post, triemservers, ticketsysteem, dns, ...) net troch de ASA giet, mar fia it lokale netwurk . Sa hawwe wy de ASA net laden mei ûnnedich ferkear, ynklusyf ferkear mei hege yntinsiteit.

Sa wie it probleem oplost.
Wy ha

  • deselde set fan tagongen foar sawol ferbinings fan it kantoar as ferbiningen op ôfstân
  • ôfwêzigens fan tsjinstdegradaasje by it wurkjen fanút it kantoar ferbûn mei de oerdracht fan ferkear mei hege yntinsiteit fia ASA

Wat oare foardielen fan dizze oanpak?
Yn tagong administraasje. Tagongen kinne maklik feroare wurde op ien plak.
Bygelyks, as in meiwurker it bedriuw ferlit, dan ferwiderje jo him gewoan fan LDAP, en hy ferliest automatysk alle tagong.

Host kontrôle

Mei de mooglikheid fan ferbining op ôfstân rinne wy ​​it risiko om net allinich in bedriuwsmeiwurker yn it netwurk te litten, mar ek alle kweade software dy't nei alle gedachten oanwêzich is op syn kompjûter (bygelyks thús), en boppedat, troch dizze software wy kin tagong jaan ta ús netwurk oan in oanfaller dy't dizze host as proxy brûkt.

It makket sin foar in op ôfstân ferbûn host om deselde feiligenseasken oan te passen as in yn-kantoar host.

Dit nimt ek de "korrekte" ferzje fan it OS, anty-firus, anty-spyware, en firewall-software en updates oan. Typysk bestiet dizze mooglikheid op 'e VPN-gateway (sjoch foar ASA, bygelyks, hjir).

It is ek ferstannich om deselde ferkearsanalyze en blokkearjende techniken oan te passen (sjoch "Heech nivo fan beskerming") dat jo feiligensbelied jildt foar kantoarferkear.

It is ridlik om oan te nimmen dat jo kantoarnetwurk net langer beheind is ta it kantoargebou en de hosts dêryn.

Foarbyld:

In goede technyk is om elke meiwurker dy't tagong op ôfstân nedich hat in goede, handige laptop te foarsjen en te fereaskje dat se wurkje, sawol op kantoar as fan hûs, allinich fanôf.

It ferbetteret net allinich de feiligens fan jo netwurk, mar it is ek echt handich en wurdt normaal besjoen troch meiwurkers (as it in echt goede, brûkerfreonlike laptop is).

Oer in gefoel fan ferhâlding en lykwicht

Yn prinsipe is dit in petear oer de tredde hoekpunt fan ús trijehoek - oer priis.
Litte wy nei in hypotetysk foarbyld sjen.

Foarbyld:

Jo hawwe in kantoar foar 200 minsken. Jo hawwe besletten om it sa handich en sa feilich mooglik te meitsjen.

Dêrom hawwe jo besletten om alle ferkear troch de brânmuorre troch te jaan en dus foar alle kantoarsubnetten is de brânmuorre de standertpoarte. Neist de befeiligingssoftware ynstalleare op elke einhost (anti-firus, anty-spyware, en firewall-software), hawwe jo ek besletten om alle mooglike beskermingsmetoaden op 'e firewall ta te passen.

Om te garandearjen hege ferbining snelheid (allegear foar gemak), Jo keas switch mei 10 Gigabit tagong havens as tagong Switches, en hege-optreden NGFW firewalls as firewalls, Bygelyks, Palo Alto 7K rige (mei 40 Gigabit havens), fansels mei alle lisinsjes opnommen en, fansels, in pear mei hege beskikberens.

Ek, fansels, om te wurkjen mei dizze line fan apparatuer wy hawwe op syn minst in pear heechkwalifisearre feiligens yngenieurs nedich.

Dêrnei hawwe jo besletten om elke meiwurker in goede laptop te jaan.

Totaal, sawat 10 miljoen dollar foar ymplemintaasje, hûnderttûzenen dollars (ik tink tichter by in miljoen) foar jierlikse stipe en salarissen foar yngenieurs.

Kantoar, 200 minsken...
Komfortabel? Ik tink dat it is ja.

Jo komme mei dit foarstel nei jo behear ...
Miskien binne d'r in oantal bedriuwen yn 'e wrâld wêrfoar dit in akseptabele en korrekte oplossing is. As jo ​​​​meiwurker binne fan dit bedriuw, lokwinsken, mar yn 'e grutte mearderheid fan' e gefallen bin ik der wis fan dat jo kennis net wurdearre wurde troch management.

Is dit foarbyld oerdreaun? It folgjende haadstik sil dizze fraach beäntwurdzje.

As jo ​​​​op jo netwurk gjin ien fan 'e boppesteande sjogge, dan is dit de noarm.
Foar elk spesifyk gefal moatte jo jo eigen ridlike kompromis fine tusken gemak, priis en feiligens. Faak hoege jo net iens NGFW yn jo kantoar, en L7 beskerming op 'e brânmuorre is net nedich. It is genôch om in goed nivo fan sichtberens en warskôgings te leverjen, en dit kin bygelyks dien wurde mei iepen boarne produkten. Ja, jo reaksje op in oanfal sil net direkt wêze, mar it wichtichste is dat jo it sille sjen, en mei de juste prosessen yn plak yn jo ôfdieling kinne jo it fluch neutralisearje.

En lit my jo herinnerje dat jo, neffens it konsept fan dizze searje artikels, gjin netwurk ûntwerpe, jo besykje allinich te ferbetterjen wat jo krigen hawwe.

SAFE analyze fan kantoar arsjitektuer

Jou omtinken oan dit reade plein wêrmei't ik in plak op 'e diagram fan tawiisd haw SAFE Secure Campus Architecture Guidedy't ik hjir graach beprate wolle.

Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer. Haadstik trije. Netwurk feiligens. Diel trije

Dit is ien fan 'e wichtichste plakken fan arsjitektuer en ien fan' e wichtichste ûnwissichheden.

Notysje

Ik haw nea ynsteld of wurke mei FirePower (fan Cisco syn firewall line - allinne ASA), dus ik sil behannelje it as alle oare brânmuorre, lykas Juniper SRX of Palo Alto, oannommen dat it hat deselde mooglikheden.

Fan 'e gewoane ûntwerpen sjoch ik mar 4 mooglike opsjes foar it brûken fan in firewall mei dizze ferbining:

  • de standertpoarte foar elke subnet is in skeakel, wylst de brânmuorre yn transparante modus is (dat is, alle ferkear giet der troch, mar it foarmet gjin L3-hop)
  • de standert gateway foar elk subnet is de firewall sub-ynterfaces (as SVI ynterfaces), de switch spilet de rol fan L2
  • ferskate VRF's wurde brûkt op 'e skeakel, en ferkear tusken VRF's giet troch de firewall, ferkear binnen ien VRF wurdt regele troch de ACL op 'e skeakel
  • al it ferkear wurdt spegele nei de brânmuorre foar analyse en tafersjoch giet it ferkear net troch;

Opmerking 1

Kombinaasjes fan dizze opsjes binne mooglik, mar foar ienfâld sille wy se net beskôgje.

Notysje 2

D'r is ek de mooglikheid om PBR (service chain arsjitektuer) te brûken, mar foar no is dit, hoewol in prachtige oplossing nei myn miening, nochal eksoatysk, dus ik beskôgje it hjir net.

Fan 'e beskriuwing fan' e streamen yn it dokumint sjogge wy dat it ferkear noch troch de firewall giet, dat is, yn oerienstimming mei it Cisco-ûntwerp, is de fjirde opsje elimineare.

Litte wy earst nei de earste twa opsjes sjen.
Mei dizze opsjes giet alle ferkear troch de firewall.

No litte wy sjen datablêd,sjo Cisco GPL en wy sjogge dat as wy wolle dat de totale bânbreedte foar ús kantoar op syn minst om 10 - 20 gigabits is, dan moatte wy de 4K-ferzje keapje.

Notysje

As ik praat oer de totale bânbreedte, bedoel ik ferkear tusken subnets (en net binnen ien vilana).

Fanút de GPL sjogge wy dat foar de HA-bondel mei Threat Defense, de priis ôfhinklik fan it model (4110 - 4150) fariearret fan ~0,5 - 2,5 miljoen dollar.

Dat is, ús ûntwerp begjint te lykjen op it foarige foarbyld.

Betsjut dit dat dit ûntwerp ferkeard is?
Nee, dat betsjut it net. Cisco jout jo de bêste mooglik beskerming basearre op it produkt line it hat. Mar dat betsjut net dat it in must-have foar jo is.

Yn prinsipe is dit in mienskiplike fraach dy't ûntstiet by it ûntwerpen fan in kantoar of datasintrum, en it betsjut allinich dat in kompromis socht wurde moat.

Lit bygelyks net alle ferkear troch in brânmuorre gean, yn dat gefal liket my opsje 3 aardich goed, of (sjoch foarige paragraaf) miskien hawwe jo gjin Threat Defense nedich of hawwe jo dêr hielendal gjin brânmuorre nedich. netwurk segment, en jo moatte gewoan beheine josels ta passive tafersjoch mei help fan betelle (net djoer) of iepen boarne oplossings, of jo moatte in brânmuorre, mar fan in oare ferkeaper.

Meastal is d'r altyd dizze ûnwissichheid en is der gjin dúdlik antwurd op hokker beslút it bêste foar jo is.
Dit is de kompleksiteit en skientme fan dizze taak.

Boarne: www.habr.com

Add a comment