ProHoster > Blag > Riarachán > Conas smacht a fháil ar do bhonneagar líonra. Caibidil a trí. Slándála líonra. Cuid a trí

Conas smacht a fháil ar do bhonneagar líonra. Caibidil a trí. Slándála líonra. Cuid a trí

Is é an t-alt seo an cúigiú cuid sa tsraith "Conas Rialú a Dhéanamh ar do Bhonneagar Líonra." Is féidir teacht ar a bhfuil sna hailt go léir sa tsraith agus naisc anseo.

Beidh an chuid seo dírithe ar na codanna VPN Campas (Oifig) & Cianrochtain.

Conas smacht a fháil ar do bhonneagar líonra. Caibidil a trí. Slándála líonra. Cuid a trí

D'fhéadfadh dearadh líonra oifige a bheith éasca.

Go deimhin, glacaimid lasca L2/L3 agus nascaimid lena chéile iad. Ina dhiaidh sin, déanaimid bunsocrú filans agus geataí réamhshocraithe, cuirimid bealach simplí ar bun, nascaimid rialtóirí wifi, pointí rochtana, suiteáil agus cumraigh ASA le haghaidh cianrochtain, tá áthas orainn gur oibrigh gach rud. Go bunúsach, mar a scríobh mé cheana féin i gceann de na cinn roimhe seo earraí den timthriall seo, is féidir le beagnach gach mac léinn a d'fhreastail (agus a d'fhoghlaim) dhá sheimeastar de chúrsa teileachumarsáide líonra oifige a dhearadh agus a chumrú ionas go n-oibríonn sé "ar bhealach éigin."

Ach dá mhéad a fhoghlaimíonn tú, is ea is lú simplí a thosaíonn an tasc seo. Maidir liom féin go pearsanta, níl an chuma ar an ábhar seo, ábhar dearadh líonra oifige, simplí ar chor ar bith, agus san Airteagal seo déanfaidh mé iarracht a mhíniú cén fáth.

I mbeagán focal, tá go leor fachtóirí le breithniú. Go minic bíonn na fachtóirí seo ag teacht salach ar a chéile agus ní mór comhréiteach réasúnta a lorg.
Is í an éiginnteacht seo an phríomhdheacracht. Mar sin, ag labhairt faoi shlándáil, tá triantán againn le trí rinn: slándáil, áisiúlacht d'fhostaithe, praghas an réitigh.
Agus gach uair a chaithfidh tú comhréiteach a lorg idir na trí cinn seo.

ailtireacht

Mar shampla d'ailtireacht don dá mhír seo, mar atá in ailt roimhe seo, molaim Cisco SÁBHÁILTE Mionsamhail: Campas Fiontair, Imeall Idirlín Fiontar.

Is doiciméid atá beagán as dáta iad seo. Cuirim i láthair iad anseo toisc nach bhfuil na bunscéimeanna agus an cur chuige athraithe, ach ag an am céanna is maith liom an cur i láthair níos mó ná mar atá sé doiciméadú nua.

Gan tú a spreagadh chun réitigh Cisco a úsáid, is dóigh liom fós go bhfuil sé úsáideach staidéar cúramach a dhéanamh ar an dearadh seo.

Níl an t-alt seo, mar is gnách, ag ligean air go bhfuil sé iomlán, ach is ábhar breise é leis an bhfaisnéis seo.

Ag deireadh an ailt, déanfaimid anailís ar dhearadh oifige Cisco SAFE i dtéarmaí na gcoincheap a leagtar amach anseo.

Prionsabail ghinearálta

Caithfidh dearadh líonra na n-oifigí, ar ndóigh, na ceanglais ghinearálta a pléadh a shásamh anseo sa chaibidil “Critéir chun cáilíocht dearaidh a mheas”. Seachas praghas agus sábháilteacht, a bhfuil sé beartaithe againn a phlé san Airteagal seo, tá trí chritéar ann fós nach mór dúinn a mheas agus muid ag dearadh (nó ag déanamh athruithe):

  • scalability
  • éascaíocht úsáide (inbhainistíocht)
  • infhaighteacht

Cuid mhaith den méid a pléadh le haghaidh ionaid sonraí Tá sé seo fíor freisin don oifig.

Ach fós féin, tá a saintréithe féin ag deighleog na hoifige, rud atá ríthábhachtach ó thaobh na slándála de. Is é croílár na sainiúlachta seo ná go gcruthaítear an deighleog seo chun seirbhísí líonra a sholáthar d'fhostaithe (chomh maith le comhpháirtithe agus aíonna) de chuid na cuideachta, agus, mar thoradh air sin, ag an leibhéal breithniúcháin is airde ar an bhfadhb tá dhá thasc againn:

  • acmhainní cuideachta a chosaint ó ghníomhartha mailíseacha a d'fhéadfadh teacht ó fhostaithe (aíonna, comhpháirtithe) agus ó na bogearraí a úsáideann siad. Áirítear leis seo freisin cosaint i gcoinne nasc neamhúdaraithe leis an líonra.
  • córais agus sonraí úsáideoirí a chosaint

Agus is é seo ach taobh amháin den fhadhb (nó in áit, rinn amháin an triantáin). Ar an taobh eile tá áisiúlacht úsáideora agus praghas na réitigh a úsáidtear.

Tosaímid trí bhreathnú a dhéanamh ar a bhfuil súil ag úsáideoir ó líonra oifige nua-aimseartha.

Conláistí

Seo an chuma atá ar “áiseanna líonra” d’úsáideoir oifige i mo thuairim:

  • Soghluaisteacht
  • Cumas úsáid a bhaint as an raon iomlán gléasanna agus córais oibriúcháin aithnidiúla
  • Rochtain éasca ar gach acmhainn cuideachta riachtanach
  • Infhaighteacht acmhainní Idirlín, lena n-áirítear seirbhísí scamall éagsúla
  • "Oibriú tapa" an líonra

Baineann sé seo go léir le fostaithe agus aíonna (nó comhpháirtithe), agus tá sé de chúram ar innealtóirí na cuideachta rochtain a idirdhealú do ghrúpaí úsáideoirí éagsúla bunaithe ar údarú.

Breathnaímid ar gach ceann de na gnéithe seo go mion níos mine.

Soghluaisteacht

Táimid ag caint faoi an deis a bheith ag obair agus a úsáid go léir na hacmhainní cuideachta is gá ó áit ar bith ar domhan (ar ndóigh, áit a bhfuil an Idirlíon ar fáil).

Baineann sé seo go hiomlán leis an oifig. Tá sé seo áisiúil nuair a bhíonn an deis agat leanúint ar aghaidh ag obair ó áit ar bith san oifig, mar shampla, post a fháil, cumarsáid a dhéanamh i dteachtaire corparáideach, a bheith ar fáil le haghaidh glao físe, ... Dá bhrí sin, ceadaíonn sé seo duit, ar thaobh amháin, roinnt saincheisteanna a réiteach “beo” cumarsáid (mar shampla, páirt a ghlacadh i slógaí), agus ar an láimh eile, a bheith i gcónaí ar líne, a choinneáil do mhéar ar an chuisle agus go tapa a réiteach ar roinnt tascanna práinneacha ardtosaíochta. Tá sé seo an-áisiúil agus feabhsaíonn sé cáilíocht na cumarsáide i ndáiríre.

Baintear é seo amach trí dhearadh ceart líonra wifi.

Nóta

Anseo tagann an cheist de ghnáth: an leor é a úsáid ach wifi? An gciallaíonn sé seo gur féidir leat stop a chur le calafoirt Ethernet a úsáid san oifig? Mura bhfuil muid ag caint ach faoi úsáideoirí, agus ní faoi fhreastalaithe, atá fós réasúnta chun nascadh le calafort Ethernet rialta, ansin go ginearálta is é an freagra: tá, is féidir leat tú féin a theorannú do wifi amháin. Ach tá nuances.

Tá grúpaí úsáideoirí tábhachtacha ann a dteastaíonn cur chuige ar leith uathu. Is riarthóirí iad seo, ar ndóigh. I bprionsabal, tá nasc wifi níos lú iontaofa (i dtéarmaí caillteanas tráchta) agus níos moille ná calafort Ethernet rialta. Féadfaidh sé seo a bheith suntasach do riarthóirí. Ina theannta sin, is féidir le riarthóirí líonra, mar shampla,, i bprionsabal, a líonra Ethernet tiomnaithe féin a bheith acu le haghaidh naisc lasmuigh den bhanda.

D'fhéadfadh go mbeadh grúpaí/ranna eile i do chuideachta a bhfuil na fachtóirí seo tábhachtach dóibh freisin.

Tá pointe tábhachtach eile - teileafónaíocht. B'fhéidir ar chúis éigin nach bhfuil tú ag iarraidh VoIP Gan Sreang a úsáid agus gur mhaith leat fóin IP a úsáid le nasc Ethernet rialta.

Go ginearálta, bhí nascacht wifi agus calafort Ethernet ag na cuideachtaí ar oibrigh mé dóibh de ghnáth.

Ba mhaith liom nach mbeadh an tsoghluaisteacht teoranta don oifig amháin.

Chun a chinntiú go bhfuil tú in ann oibriú ón mbaile (nó áit ar bith eile le hIdirlíon inrochtana), úsáidtear nasc VPN. Ag an am céanna, tá sé inmhianaithe nach mbraitheann fostaithe an difríocht idir obair ón mbaile agus obair iargúlta, rud a ghlacann leis an rochtain chéanna. Déanfaimid plé ar conas é seo a eagrú beagán níos déanaí sa chaibidil “Córas láraithe fíordheimhnithe agus údaraithe aontaithe.”

Nóta

Is dócha, ní bheidh tú in ann seirbhísí den chaighdeán céanna a chur ar fáil go hiomlán le haghaidh cianobair agus atá agat san oifig. Glacaimid leis go bhfuil Cisco ASA 5520 á úsáid agat mar do gheata VPN Bileog sonraí níl an gléas seo in ann ach 225 Mbit de thrácht VPN a “dhíleá”. Is é sin, ar ndóigh, i dtéarmaí bandaleithead, tá nascadh trí VPN an-difriúil ó bheith ag obair ón oifig. Chomh maith leis sin, más rud é, ar chúis éigin, go bhfuil latency, caillteanas, Giodam (mar shampla, gur mhaith leat úsáid a bhaint as teileafónaíocht IP oifige) do do sheirbhísí líonra suntasach, ní bhfaighidh tú an cháilíocht chéanna agus a bheadh ​​​​tú san oifig. Dá bhrí sin, agus muid ag caint faoi shoghluaisteacht, ní mór dúinn a bheith ar an eolas faoi na teorainneacha a d'fhéadfadh a bheith ann.

Rochtain éasca ar acmhainní uile na cuideachta

Ba cheart an tasc seo a réiteach i gcomhpháirt le ranna teicniúla eile.
Is é an staid idéalach nuair nach gá don úsáideoir ach aon uair amháin a fhíordheimhniú, agus ina dhiaidh sin tá rochtain aige ar na hacmhainní riachtanacha go léir.
Má chuirtear rochtain éasca ar fáil gan slándáil a íobairt, féadtar táirgiúlacht a fheabhsú go suntasach agus strus a laghdú i measc do chomhghleacaithe.

Athmharc 1

Ní bhaineann éascaíocht rochtana le cé mhéad uair a chaithfidh tú pasfhocal a chur isteach. Más rud é, mar shampla, de réir do bheartais slándála, chun ceangal a dhéanamh ón oifig go dtí an t-ionad sonraí, ní mór duit ceangal a dhéanamh le geata VPN ar dtús, agus ag an am céanna go gcaillfidh tú rochtain ar acmhainní oifige, ansin tá sé seo an-chomh maith. , an-deacair.

Athmharc 2

Tá seirbhísí ann (mar shampla, rochtain ar threalamh líonra) ina mbíonn ár bhfreastalaithe tiomnaithe AAA féin againn de ghnáth agus is é seo an norm nuair sa chás seo ní mór dúinn a fhíordheimhniú arís agus arís eile.

Infhaighteacht acmhainní Idirlín

Ní hamháin siamsaíocht é an tIdirlíon, ach freisin sraith seirbhísí ar féidir a bheith an-úsáideach le haghaidh oibre. Tá fachtóirí síceolaíochta amháin ann freisin. Tá baint ag duine nua-aimseartha le daoine eile tríd an Idirlíon trí go leor snáitheanna fíorúla, agus, i mo thuairim, níl aon rud mícheart má bhraitheann sé an nasc seo fiú agus é ag obair.

Ó thaobh am a chur amú, níl aon rud cearr má bhíonn Skype ar siúl ag fostaí, mar shampla, agus go gcaitheann sé 5 nóiméad ag cumarsáid le duine is fearr leat más gá.

An gciallaíonn sé seo gur chóir go mbeadh an tIdirlíon ar fáil i gcónaí, an gciallaíonn sé seo gur féidir le fostaithe rochtain a bheith acu ar na hacmhainní go léir agus gan iad a rialú ar bhealach ar bith?

Ní chiallaíonn Ní hea sin, ar ndóigh. Féadfaidh leibhéal oscailteacht an Idirlín a bheith éagsúil do chuideachtaí éagsúla - ó dhúnadh iomlán go hoscailteacht iomlán. Déanfaimid plé ar bhealaí chun trácht a rialú níos déanaí sna rannáin ar bhearta slándála.

Cumas úsáid a bhaint as an raon iomlán de ghléasanna aithnidiúla

Tá sé áisiúil, mar shampla, nuair a bhíonn an deis agat leanúint ar aghaidh ag baint úsáide as na modhanna cumarsáide go léir a bhfuil taithí agat orthu ag an obair. Níl aon deacracht ann é seo a chur i bhfeidhm go teicniúil. Chun seo a theastaíonn uait wifi agus aoi wilan.

Is maith an rud é freisin má tá deis agat an córas oibriúcháin a bhfuil taithí agat air a úsáid. Ach, i mo bhreathnóireacht, de ghnáth ní cheadaítear é seo ach do bhainisteoirí, riarthóirí agus forbróirí.

Sampla

Is féidir, ar ndóigh, cosán na dtoirmisc a leanúint, cianrochtain a thoirmeasc, nascadh ó ghléasanna soghluaiste a thoirmeasc, gach rud a theorannú go naisc statacha Ethernet, rochtain ar an Idirlíon a theorannú, fóin phóca agus giuirléidí a choigistiú go héigeantach ag an seicphointe... agus an cosán seo i ndáiríre tá roinnt eagraíochtaí a bhfuil riachtanais slándála méadaithe acu, agus b'fhéidir i gcásanna áirithe d'fhéadfadh sé seo a bheith inchosanta, ach... caithfidh tú a aontú go bhfuil cuma air seo mar iarracht stop a chur le dul chun cinn in aon eagraíocht amháin. Ar ndóigh, ba mhaith liom na deiseanna a sholáthraíonn teicneolaíochtaí nua-aimseartha a chomhcheangal le leibhéal leordhóthanach slándála.

"Oibriú tapa" an líonra

Is éard atá i luas aistrithe sonraí go teicniúil go leor fachtóirí. Agus is gnách nach é luas do chalafoirt nasc an ceann is tábhachtaí. Ní i gcónaí a bhaineann oibriú mall feidhmchlár le fadhbanna líonra, ach faoi láthair níl suim againn ach sa chuid líonra. Is í an fhadhb is coitianta le "moilliú" líonra áitiúil a bhaineann le caillteanas paicéad. Tarlaíonn sé seo de ghnáth nuair a bhíonn tranglam nó fadhbanna L1 (OSI). Níos annamh, le roinnt dearaí (mar shampla, nuair a bhíonn balla dóiteáin ag do chuid subnets mar an geata réamhshocraithe agus dá bhrí sin téann an trácht go léir tríd), d'fhéadfadh go mbeadh easpa feidhmíochta crua-earraí.

Dá bhrí sin, nuair a roghnaíonn tú trealamh agus ailtireacht, ní mór duit luasanna calafoirt deiridh, trunks agus feidhmíocht trealaimh a chomhghaolú.

Sampla

Glacaimid leis go bhfuil lasca á n-úsáid agat le 1 phort gigabit mar lasca ciseal rochtana. Tá siad ceangailte lena chéile trí Etherchannel 2 x 10 gigabits. Mar gheata réamhshocraithe, úsáideann tú balla dóiteáin le poirt gigabit, chun a nascadh le líonra oifigí L2 a úsáideann tú 2 phort gigabit arna gcomhcheangal le hEtherchannel.

Tá an ailtireacht seo áisiúil go leor ó thaobh feidhmiúlacht de, mar gheall ar ... Téann an trácht go léir tríd an balla dóiteáin, agus is féidir leat polasaithe rochtana a bhainistiú go compordach, agus halgartaim casta a chur i bhfeidhm chun trácht a rialú agus cosc ​​​​a chur ar ionsaithe féideartha (féach thíos), ach ó thaobh tréchur agus feidhmíochta de, tá fadhbanna féideartha ag an dearadh seo, ar ndóigh. Mar sin, mar shampla, is féidir le 2 óstach sonraí a íoslódáil (le luas calafoirt 1 gigabit) nasc 2 gigabit a luchtú go hiomlán leis an mballa dóiteáin, agus mar sin díghrádú seirbhíse a bheith mar thoradh ar an deighleog iomlán oifige.

D'fhéachamar ar rinn amháin den triantán, féachaimis anois ar conas is féidir linn slándáil a chinntiú.

Modhanna cosanta

Mar sin, ar ndóigh, de ghnáth is é ár mian (nó in áit, mian ár mbainistíochta) an dodhéanta a bhaint amach, is é sin, áisiúlacht uasta a sholáthar le slándáil uasta agus íoschostas.

Breathnaímid ar na modhanna atá againn chun cosaint a sholáthar.

Maidir leis an oifig, ba mhaith liom béim a chur ar na nithe seo a leanas:

  • cur chuige náid muiníne maidir le dearadh
  • leibhéal ard cosanta
  • infheictheacht líonra
  • córas aontaithe láraithe fíordheimhnithe agus údaraithe
  • seiceáil óstach

Ansin, déanfaimid beagán níos mine faoi gach ceann de na gnéithe seo.

Iontaobhas nialais

Tá an domhan TF ag athrú go han-tapa. Díreach le 10 mbliana anuas, tá athbhreithniú mór ar choincheapa slándála mar thoradh ar theacht chun cinn teicneolaíochtaí agus táirgí nua. Deich mbliana ó shin, ó thaobh na slándála de, rinneamar an líonra a dheighilt i gcriosanna iontaobhais, dmz agus neamhiontaoibhe, agus d'úsáideamar an "cosaint imlíne", áit a raibh 2 líne chosanta: untrust -> dmz agus dmz -> muinín. Chomh maith leis sin, de ghnáth bhí an chosaint teoranta do liostaí rochtana bunaithe ar cheannteidil L3/L4 (OSI) (IP, calafoirt TCP/UDP, bratacha TCP). Fágadh gach rud a bhaineann le leibhéil níos airde, lena n-áirítear L7, ag an OS agus suiteáladh táirgí slándála ar na hóstach deiridh.

Anois tá athrú mór tagtha ar an scéal. Coincheap nua-aimseartha muinín nialasach a thagann as an bhfíric nach féidir córais inmheánacha a mheas a thuilleadh, is é sin, iad siúd atá suite laistigh den imlíne, mar a bhfuil muinín acu, agus tá coincheap an imlíne féin tar éis éirí doiléir.
Chomh maith le nasc idirlín tá againn freisin

  • úsáideoirí VPN cianrochtana
  • giuirléidí pearsanta éagsúla, ríomhairí glúine tugtha, ceangailte trí wifi oifige
  • oifigí (brainse) eile
  • comhtháthú le bonneagar scamall

Cén chuma atá ar chur chuige Zero Trust go praiticiúil?

Go hidéalach, níor cheart ach an trácht atá ag teastáil a cheadú agus, má tá muid ag caint faoi idéalach, ba cheart go mbeadh an rialú ní hamháin ag leibhéal L3/L4, ach ag leibhéal an iarratais.

Más rud é, mar shampla, go bhfuil an cumas agat an trácht go léir a chur trí bhalla dóiteáin, is féidir leat iarracht a dhéanamh teacht níos gaire don idéalach. Ach is féidir leis an gcur chuige seo bandaleithead iomlán do líonra a laghdú go suntasach, agus ina theannta sin, ní oibríonn scagadh de réir iarratais go maith i gcónaí.

Nuair a bhíonn trácht ar ródaire nó lasc L3 á rialú agat (ag úsáid ACLanna caighdeánacha), bíonn fadhbanna eile agat:

  • Is scagadh L3/L4 amháin é seo. Níl aon rud ag cur bac ar ionsaitheoir úsáid a bhaint as poirt cheadaithe (m.sh. TCP 80) dá bhfeidhmchlár (ní http)
  • bainistíocht casta ACL (deacair ACLanna a pharsáil)
  • Ní balla dóiteáin státmhar é seo, rud a chiallaíonn go gcaithfidh tú trácht cúlaithe a cheadú go sainráite
  • le lasca is gnách go mbíonn tú teoranta go docht ag méid an TCAM, rud a d'fhéadfadh a bheith ina fhadhb go tapa má ghlacann tú leis an gcur chuige "ní cheadaigh ach an méid a theastaíonn uait"

Nóta

Ag labhairt dó faoi thrácht droim ar ais, ní mór dúinn cuimhneamh go bhfuil an deis seo a leanas againn (Cisco)

cead tcp ar bith bunaithe

Ach ní mór duit a thuiscint go bhfuil an líne seo comhionann le dhá líne:
cead tcp aon ack
cead tcp aon chéad

Rud a chiallaíonn, fiú mura raibh aon deighleog TCP tosaigh le bratach SYN (is é sin, níor thosaigh an seisiún TCP fiú a bhunú), ceadóidh an ACL seo paicéad le bratach ACK, is féidir le ionsaitheoir a úsáid chun sonraí a aistriú.

Is é sin le rá, ní dhéanann an líne seo do ródaire nó do lasc L3 a iompú ina balla dóiteáin státchasta.

Leibhéal ard cosanta

В Airteagal Sa rannán ar ionaid sonraí, rinneamar breithniú ar na modhanna cosanta seo a leanas.

  • ballaí dóiteáin stáit (réamhshocraithe)
  • cosaint dos/dos
  • ballaí dóiteáin iarratais
  • bagairt a chosc (antivirus, frith-spyware, agus leochaileacht)
  • Scagadh URL
  • scagadh sonraí (scagadh ábhair)
  • blocáil comhad (blocáil cineálacha comhaid)

I gcás oifige, tá an scéal cosúil, ach tá na tosaíochtaí beagán difriúil. De ghnáth ní bhíonn infhaighteacht oifige (infhaighteacht) chomh ríthábhachtach agus a bhíonn i gcás lárionad sonraí, agus bíonn an dóchúlacht go mbeidh trácht mailíseach “inmheánach” orduithe méide níos airde.
Mar sin, tá na modhanna cosanta seo a leanas ríthábhachtach don deighleog seo:

  • ballaí dóiteáin iarratais
  • bagairt a chosc (frithvíreas, frith-spyware, agus leochaileacht)
  • Scagadh URL
  • scagadh sonraí (scagadh ábhair)
  • blocáil comhad (blocáil cineálacha comhaid)

Cé go bhfuil na modhanna cosanta seo go léir, cé is moite de bhallaí dóiteáin feidhmchlár, go traidisiúnta agus fós á réiteach ar na hóstach deiridh (mar shampla, trí chláir antivirus a shuiteáil) agus seachvótálaithe a úsáid, cuireann NGFWanna nua-aimseartha na seirbhísí seo ar fáil freisin.

Déanann díoltóirí trealaimh slándála a ndícheall cosaint chuimsitheach a chruthú, mar sin mar aon le cosaint áitiúil, cuireann siad teicneolaíochtaí néil éagsúla agus bogearraí cliant ar fáil d'óstach (cosaint críochphointe / EPP). Mar sin, mar shampla, ó 2018 Gartner Magic Quadrant Feicimid go bhfuil a gcuid EPPanna féin ag Palo Alto agus Cisco (PA: Traps, Cisco: AMP), ach tá siad i bhfad ó na ceannairí.

Ar ndóigh níl sé éigeantach na cosaintí seo a chumasú (trí cheadúnais a cheannach de ghnáth) ar do bhalla dóiteáin (is féidir leat dul ar an mbealach traidisiúnta), ach soláthraíonn sé roinnt buntáistí:

  • sa chás seo, tá pointe amháin ann maidir le modhanna cosanta a chur i bhfeidhm, rud a fheabhsaíonn infheictheacht (féach an chéad ábhar eile).
  • Má tá gléas gan chosaint ar do líonra, ansin tá sé fós faoi "scáth" na cosanta balla dóiteáin
  • Trí úsáid a bhaint as cosaint balla dóiteáin i gcomhar le cosaint óstaigh deiridh, méadaítear an dóchúlacht go bhfaighidh tú trácht mailíseach. Mar shampla, má úsáidtear cosc ​​​​bagairt ar óstaigh áitiúla agus ar bhalla dóiteáin méadaítear an dóchúlacht go ndéanfar é a bhrath (ar choinníoll, ar ndóigh, go bhfuil na réitigh seo bunaithe ar tháirgí bogearraí éagsúla).

Nóta

Más rud é, mar shampla, go n-úsáideann tú Kaspersky mar antivirus ar an mballa dóiteáin agus ar na hóstach deiridh, ansin ní mhéadóidh sé seo, ar ndóigh, go mór do seans chun ionsaí víreas a chosc ar do líonra.

Infheictheacht líonra

gur cuid lárnach simplí - “féach” cad atá ag tarlú ar do líonra, i bhfíor-am agus i sonraí stairiúla.

Roinnfinn an “fhís” seo ina dhá ghrúpa:

Grúpa a haon: an rud a sholáthraíonn do chóras monatóireachta duit de ghnáth.

  • luchtú trealaimh
  • cainéil luchtaithe
  • úsáid chuimhne
  • úsáid diosca
  • ag athrú an tábla ródaithe
  • stádas nasc
  • infhaighteacht trealaimh (nó óstaigh)
  • ...

Grúpa a dó: faisnéis a bhaineann le sábháilteacht.

  • cineálacha éagsúla staitisticí (mar shampla, trí fheidhmchlár, de réir tráchta URL, cad iad na cineálacha sonraí a íoslódáladh, sonraí úsáideora)
  • cad a bhí bactha ag beartais slándála agus cén fáth, eadhon
    • iarratas toirmiscthe
    • toirmiscthe bunaithe ar IP/prótacal/port/bratacha/criosanna
    • bagairt a chosc
    • scagadh url
    • scagadh sonraí
    • blocáil comhad
    • ...
  • staitisticí ar ionsaithe DOS/DDOS
  • theip ar iarrachtaí aitheantais agus údaraithe
  • staidreamh maidir leis na teagmhais sáraithe beartais slándála go léir thuas
  • ...

Sa chaibidil seo ar shlándáil, tá suim againn sa dara cuid.

Soláthraíonn roinnt ballaí dóiteáin nua-aimseartha (ó mo thaithí Palo Alto) leibhéal maith infheictheachta. Ach, ar ndóigh, ní mór don trácht a bhfuil suim agat ann dul tríd an mballa dóiteáin seo (sa chás sin tá an cumas agat trácht a bhlocáil) nó a bheith scáthánaithe chuig an mballa dóiteáin (a úsáidtear le haghaidh monatóireachta agus anailíse amháin), agus ní mór ceadúnais a bheith agat chun gach rud a chumasú. na seirbhísí seo .

Tá bealach eile ann, ar ndóigh, nó an bealach traidisiúnta, mar shampla,

  • Is féidir staitisticí seisiúin a bhailiú trí ghlanshreabhadh agus ansin úsáid a bhaint as fóntais speisialta le haghaidh anailíse faisnéise agus léirshamhlú sonraí
  • cosc bagairtí – cláir speisialta (frithvíreas, frith-spyware, balla dóiteáin) ar óstach deiridh
  • Scagadh URL, scagadh sonraí, blocáil comhaid - ar seachfhreastalaí
  • is féidir freisin anailís a dhéanamh ar tcpdump ag baint úsáide as e.g. snor

Is féidir leat an dá chur chuige seo a chomhcheangal, ag comhlánú gnéithe atá ar iarraidh nó iad a dhúbailt chun an dóchúlacht go bhfaighidh tú ionsaí a mhéadú.

Cén cur chuige ar cheart duit a roghnú?
Braitheann go mór ar cháilíochtaí agus roghanna d'fhoireann.
Tá buntáistí agus míbhuntáistí ann agus tá buntáistí agus míbhuntáistí ann.

Córas aontaithe láraithe fíordheimhnithe agus údaraithe

Nuair atá dea-dheartha, glacann an tsoghluaisteacht a phléamar san Airteagal seo leis go bhfuil an rochtain chéanna agat cibé an oibríonn tú ón oifig nó ón mbaile, ón aerfort, ó shiopa caife nó ó áit ar bith eile (leis na teorainneacha a phléamar thuas). Bheadh ​​sé cosúil, cad é an fhadhb?
Chun castacht an tasc seo a thuiscint níos fearr, déanaimis féachaint ar dhearadh tipiciúil.

Sampla

  • Roinn tú na fostaithe go léir i ngrúpaí. Tá sé socraithe agat rochtain a sholáthar do ghrúpaí
  • Laistigh den oifig, rialaíonn tú rochtain ar bhalla dóiteáin na hoifige
  • Rialaíonn tú trácht ón oifig go dtí an t-ionad sonraí ar bhalla dóiteáin an ionaid sonraí
  • Úsáideann tú Cisco ASA mar gheata VPN agus chun trácht a thagann isteach i do líonra a rialú ó chliaint iargúlta, úsáideann tú ACLanna áitiúla (ar an ASA).

Anois, déanaimis a rá go n-iarrtar ort rochtain bhreise a chur ar fhostaí áirithe. Sa chás seo, iarrtar ort rochtain a chur air amháin agus gan aon duine eile óna ghrúpa.

Chun seo ní mór dúinn grúpa ar leith a chruthú don fhostaí seo, .i

  • comhthiomsú IP ar leith a chruthú ar an ASA don fhostaí seo
  • cuir ACL nua ar an ASA agus ceangail leis an gcianchliant sin é
  • beartais slándála nua a chruthú ar bhallaí dóiteáin oifigí agus ionad sonraí

Tá sé go maith má tá an ócáid ​​​​seo annamh. Ach i mo chleachtas bhí cás nuair a ghlac fostaithe páirt i dtionscadail éagsúla, agus d'athraigh an tsraith seo de thionscadail le haghaidh cuid acu go minic go leor, agus ní raibh sé 1-2 duine, ach mórán. Ar ndóigh, bhí gá le rud éigin a athrú anseo.

Réitíodh é seo ar an mbealach seo a leanas.

Chinneamar gurb é LDAP an t-aon fhoinse fírinne a chinneann gach rochtain a d’fhéadfadh a bheith ag fostaithe. Chruthaíomar gach cineál grúpa a shainíonn tacair rochtana, agus sannadh gach úsáideoir do ghrúpa amháin nó níos mó.

Mar sin, mar shampla, is dócha go raibh grúpaí ann

  • aoi (rochtain ar an Idirlíon)
  • rochtain choiteann (rochtain ar acmhainní comhroinnte: post, bunachar eolais, ...)
  • cuntasaíochta
  • tionscadal 1
  • tionscadal 2
  • riarthóir bunachar sonraí
  • riarthóir linux
  • ...

Agus má bhí baint ag duine de na fostaithe le tionscadal 1 agus tionscadal 2 araon, agus go raibh an rochtain riachtanach aige chun oibriú sna tionscadail seo, ansin sannadh an fostaí seo do na grúpaí seo a leanas:

  • aoi
  • rochtain choiteann
  • tionscadal 1
  • tionscadal 2

Conas is féidir linn an fhaisnéis seo a iompú anois ina rochtain ar threalamh líonra?

Cisco ASA Beartas Rochtana Dinimiciúla (DAP) (féach www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) réiteach atá díreach ceart don tasc seo.

Go hachomair faoinár gcur i bhfeidhm, le linn an phróisis aitheantais/údaraithe, faigheann ASA ó LDAP sraith grúpaí a fhreagraíonn d’úsáideoir ar leith agus “bailíonn” ó roinnt ACLanna áitiúla (a fhreagraíonn gach ceann acu do ghrúpa) ACL dinimiciúil leis na rochtain riachtanacha go léir. , a fhreagraíonn go hiomlán dár mianta.

Ach níl sé seo ach le haghaidh naisc VPN. Chun an cás a dhéanamh mar a chéile don dá fhostaithe atá ceangailte trí VPN agus dóibh siúd san oifig, glacadh an chéim seo a leanas.

Nuair a bhí siad ag nascadh leis an oifig, chríochnaigh úsáideoirí a úsáideann an prótacal 802.1x i LAN aoi (d’aíonna) nó i LAN comhroinnte (d’fhostaithe cuideachta). Ina theannta sin, chun rochtain shonrach a fháil (mar shampla, ar thionscadail i lárionad sonraí), bhí ar fhostaithe ceangal a dhéanamh trí VPN.

Chun nascadh ón oifig agus ón mbaile, baineadh úsáid as grúpaí tolláin éagsúla ar an ASA. Tá sé seo riachtanach ionas nach dtéann trácht chuig acmhainní comhroinnte dóibh siúd a nascann ón oifig (a úsáideann gach fostaí, mar phost, freastalaithe comhaid, córas ticéad, dns, ...) tríd an ASA, ach tríd an líonra áitiúil. . Mar sin, níor lódálamar an ASA le trácht gan ghá, lena n-áirítear trácht ard-déine.

Mar sin, réitíodh an fhadhb.
fuaireamar

  • an tsraith rochtana céanna do naisc ón oifig agus do naisc chianrialacha araon
  • easpa díghrádaithe seirbhíse agus iad ag obair ón oifig a bhaineann le tarchur tráchta ard-déine trí ASA

Cad iad na buntáistí eile a bhaineann leis an gcur chuige seo?
I riarachán rochtana. Is féidir rochtain a athrú go héasca in aon áit amháin.
Mar shampla, má fhágann fostaí an chuideachta, ní dhéanann tú ach é a bhaint as LDAP, agus cailleann sé go huathoibríoch gach rochtain.

Seiceáil óstach

Leis an bhféidearthacht nasc iargúlta, tá an baol ann go gceadaítear ní hamháin d’fhostaí cuideachta isteach sa líonra, ach freisin na bogearraí mailíseacha go léir a bhfuil an-dócha go mbeidh siad i láthair ar a ríomhaire (mar shampla, sa bhaile), agus ina theannta sin, tríd na bogearraí seo táimid d'fhéadfadh go mbeimid ag cur rochtain ar ár líonra ar fáil d'ionsaitheoir a úsáideann an t-óstach seo mar sheachvótálaí.

Déanann sé ciall d’óstach atá ceangailte go cianda na ceanglais slándála céanna a chur i bhfeidhm agus atá ag óstach in-oifig.

Glacann sé seo freisin leis an leagan “ceart” den OS, bogearraí frithvíreas, frith-spiaireachta agus balla dóiteáin agus nuashonruithe. Go hiondúil, bíonn an cumas seo ar thairseach VPN (do ASA féach, mar shampla, anseo).

Tá sé ciallmhar freisin na teicnící céanna anailíse tráchta agus blocála a chur i bhfeidhm (féach “Ardleibhéal cosanta”) is a bhaineann do bheartas slándála le trácht oifige.

Tá sé réasúnta glacadh leis nach bhfuil do líonra oifige teoranta a thuilleadh don fhoirgneamh oifige agus do na hóstach laistigh de.

Sampla

Teicníc mhaith is ea ríomhaire glúine maith áisiúil a sholáthar do gach fostaí a dteastaíonn cianrochtain uaidh agus a cheangal orthu oibriú, san oifig agus ón mbaile, as sin amháin.

Ní hamháin go bhfeabhsaíonn sé slándáil do líonra, ach tá sé thar a bheith áisiúil freisin agus is gnách go bhfeiceann fostaithe é go fabhrach (más ríomhaire glúine fíor-mhaith é atá éasca le húsáid).

Tuiscint ar chomhréir agus ar chothromaíocht

Go bunúsach, is comhrá é seo faoin tríú rinn ár dtriantán - faoi phraghas.
Breathnaímid ar shampla hipitéiseach.

Sampla

Tá oifig agat do 200 duine. Chinn tú é a dhéanamh chomh áisiúil agus chomh sábháilte agus is féidir.

Mar sin, shocraigh tú an trácht go léir a chur tríd an mballa dóiteáin agus mar sin is é an balla dóiteáin an geata réamhshocraithe do gach folíonta oifige. Chomh maith leis na bogearraí slándála atá suiteáilte ar gach óstach deiridh (bogearraí frithvíreas, frith-spiaireachta agus balla dóiteáin), shocraigh tú freisin gach modh cosanta féideartha a chur i bhfeidhm ar an mballa dóiteáin.

Chun luas nasc ard a chinntiú (go léir le haghaidh áise), roghnaigh tú lasca le 10 gcalafort rochtana Gigabit mar lasca rochtana, agus ballaí dóiteáin NGFW ardfheidhmíochta mar bhallaí dóiteáin, mar shampla, sraith Palo Alto 7K (le 40 calafort Gigabit), go nádúrtha le gach ceadúnas. san áireamh agus, go nádúrtha, péire Ard-Infhaighteachta.

Chomh maith leis sin, ar ndóigh, chun oibriú leis an líne trealaimh seo ní mór dúinn ar a laghad cúpla innealtóir slándála ardcháilithe.

Ansin, shocraigh tú ríomhaire glúine maith a thabhairt do gach fostaí.

Iomlán, thart ar 10 milliún dollar le cur i bhfeidhm, na céadta mílte dollar (I mo thuairimse, níos gaire do milliún) le haghaidh tacaíochta bliantúla agus tuarastail d'innealtóirí.

Oifig, 200 duine...
Compordach? Is dóigh liom go bhfuil.

Tagann tú leis an togra seo chuig do bhainistíocht...
B'fhéidir go bhfuil roinnt cuideachtaí ar fud an domhain ar réiteach inghlactha agus ceart é seo dóibh. Más fostaí de chuid na cuideachta seo tú, mo chomhghairdeas, ach i bhformhór mór na gcásanna, táim cinnte nach mbeidh an bhainistíocht buíoch as do chuid eolais.

An áibhéil an sampla seo? Freagróidh an chéad chaibidil eile an cheist seo.

Más rud é ar do líonra nach bhfeiceann tú aon cheann de na nithe thuas, is é seo an norm.
I gcás gach cás sonrach, ní mór duit do chomhréiteach réasúnta féin a aimsiú idir áisiúlacht, praghas agus sábháilteacht. Go minic ní bhíonn NGFW de dhíth ort i d’oifig, agus ní theastaíonn cosaint L7 ar an mballa dóiteáin. Is leor leibhéal maith infheictheachta agus foláirimh a sholáthar, agus is féidir é seo a dhéanamh ag baint úsáide as táirgí foinse oscailte, mar shampla. Sea, ní bheidh do imoibriú ar ionsaí láithreach, ach is é an rud is mó ná go bhfeicfidh tú é, agus leis na próisis chearta atá i bhfeidhm i do roinn, beidh tú in ann é a neodrú go tapa.

Agus lig dom i gcuimhne duit, de réir choincheap na sraithe alt seo, nach bhfuil líonra á dhearadh agat, níl tú ach ag iarraidh feabhas a chur ar an méid a fuair tú.

Anailís SAFE ar ailtireacht oifige

Tabhair aird ar an gcearnóg dhearg seo ónar leithdháileadh mé áit ar an léaráid SAFE Secure Campus Architecture Guiderud ar mhaith liom a phlé anseo.

Conas smacht a fháil ar do bhonneagar líonra. Caibidil a trí. Slándála líonra. Cuid a trí

Tá sé seo ar cheann de phríomháiteanna na hailtireachta agus ar cheann de na neamhchinnteachtaí is tábhachtaí.

Nóta

Níor bhunaigh mé riamh ná níor oibrigh mé le FirePower (ó líne balla dóiteáin Cisco - ach ASA), agus mar sin déileálfaidh mé leis mar aon bhalla dóiteáin eile, cosúil le Juniper SRX nó Palo Alto, ag glacadh leis go bhfuil na cumais chéanna aige.

De na dearaí is gnách, ní fheicim ach 4 rogha féideartha chun balla dóiteáin a úsáid leis an nasc seo:

  • is lasc é an geata réamhshocraithe do gach folíon, cé go bhfuil an balla dóiteáin i mód trédhearcach (is é sin, téann an trácht go léir tríd, ach ní fhoirmíonn sé hop L3)
  • is é an geata réamhshocraithe do gach folíon ná na fo-chomhéadain balla dóiteáin (nó comhéadain SVI), imríonn an lasc ról L2
  • úsáidtear VRFanna éagsúla ar an lasc, agus téann an trácht idir VRF tríd an balla dóiteáin, tá trácht laistigh de VRF amháin á rialú ag an ACL ar an lasc
  • cuirtear an trácht ar fad ar an mballa dóiteáin le haghaidh anailíse agus monatóireachta; ní théann an trácht tríd

Athmharc 1

Is féidir na roghanna seo a chomhcheangal, ach ar mhaithe le simplíocht ní bhreithnímid iad.

Nóta2

Tá an fhéidearthacht ann freisin PBR (ailtireacht slabhra seirbhíse) a úsáid, ach faoi láthair tá sé seo, cé go bhfuil réiteach álainn i mo thuairim, sách coimhthíocha, mar sin níl mé ag smaoineamh air anseo.

Ón tuairisc ar na sreafaí sa doiciméad, feicimid go dtéann an trácht fós tríd an balla dóiteáin, is é sin, de réir dearadh Cisco, cuirtear deireadh leis an gceathrú rogha.

Breathnaímid ar an gcéad dá rogha ar dtús.
Leis na roghanna seo, téann an trácht go léir tríd an mballa dóiteáin.

Anois, a ligean ar breathnú Bileog sonraí, cuma Cisco GPL agus feicimid má theastaíonn uainn go mbeadh an bandaleithead iomlán dár n-oifig thart ar 10 - 20 gigabits ar a laghad, ansin ní mór dúinn an leagan 4K a cheannach.

Nóta

Nuair a labhair mé faoin bandaleithead iomlán, ciallaíonn mé trácht idir subnets (agus ní laistigh de vilana amháin).

Ón GPL feicimid go n-athraíonn an praghas ag brath ar an tsamhail (4110 - 4150) ó ~ 0,5 - 2,5 milliún dollar don Beart HA le Bagairt Cosanta.

Is é sin, tosaíonn ár dearadh cosúil leis an sampla roimhe seo.

An gciallaíonn sé seo go bhfuil an dearadh seo mícheart?
Ní hionann sin agus a rá. Tugann Cisco an chosaint is fearr is féidir duit bunaithe ar an líne táirge atá aige. Ach ní chiallaíonn sé sin go bhfuil sé riachtanach duit a dhéanamh.

I bprionsabal, is ceist choiteann í seo a thagann aníos nuair a bhíonn oifig nó ionad sonraí á dhearadh, agus ní chiallaíonn sé ach gur gá comhréiteach a lorg.

Mar shampla, ná lig don trácht go léir dul trí bhalla dóiteáin, agus sa chás sin is cosúil go bhfuil rogha 3 sách maith domsa, nó (féach an chuid roimhe seo) b'fhéidir nach gá duit Threat Defense nó nach bhfuil balla dóiteáin ag teastáil uait ar chor ar bith. deighleog líonra, agus ní mór duit ach tú féin a theorannú go monatóireacht éighníomhach ag baint úsáide as réitigh íoctha (nach bhfuil costasach) nó foinse oscailte, nó is gá duit balla dóiteáin, ach ó dhíoltóir eile.

De ghnáth bíonn an éiginnteacht seo i gcónaí agus níl aon fhreagra soiléir ann maidir le cén cinneadh is fearr duitse.
Is é seo an chastacht agus áilleacht an tasc seo.

Foinse: will.com

Add a comment