ProHoster > Blog > Administración > Como tomar o control da súa infraestrutura de rede. Capítulo tres. Seguridade da rede. Terceira parte

Como tomar o control da súa infraestrutura de rede. Capítulo tres. Seguridade da rede. Terceira parte

Este artigo é o quinto da serie "Como tomar o control da túa infraestrutura de rede". Pódense atopar os contidos de todos os artigos da serie e as ligazóns aquí.

Esta parte dedicarase aos segmentos Campus (oficina) e VPN de acceso remoto.

Como tomar o control da súa infraestrutura de rede. Capítulo tres. Seguridade da rede. Terceira parte

O deseño da rede de oficina pode parecer sinxelo.

De feito, collemos interruptores L2/L3 e conectámolos entre si. A continuación, realizamos unha configuración básica de vilans e pasarelas predeterminadas, configuramos un enrutamento sinxelo, conectamos controladores WiFi, puntos de acceso, instalamos e configuramos ASA para o acceso remoto, estamos contentos de que todo funcionou. Basicamente, como xa escribín nun dos anteriores artigos deste ciclo, case todos os estudantes que asistiu (e aprenderon) dous semestres dun curso de telecomunicacións poden deseñar e configurar unha rede de oficina para que "funcione dalgún xeito".

Pero canto máis aprendes, menos sinxela comeza a parecer esta tarefa. A min persoalmente, este tema, o tema do deseño de redes de oficinas, non me parece nada sinxelo, e neste artigo intentarei explicar por que.

En resumo, hai moitos factores a ter en conta. Moitas veces estes factores están en conflito entre si e hai que buscar un compromiso razoable.
Esta incerteza é a principal dificultade. Entón, falando de seguridade, temos un triángulo con tres vértices: seguridade, comodidade para os empregados, prezo da solución.
E cada vez hai que buscar un compromiso entre estes tres.

Arquitectura

Como exemplo de arquitectura para estes dous segmentos, como en artigos anteriores, recomendo Cisco SAFE modelo: Campus Empresarial, Enterprise Internet Edge.

Son documentos algo anticuados. Preséntoos aquí porque os esquemas fundamentais e o enfoque non cambiaron, pero ao mesmo tempo gústame máis a presentación que en nova documentación.

Sen animarte a usar as solucións de Cisco, aínda creo que é útil estudar coidadosamente este deseño.

Este artigo, como é habitual, non pretende de ningún xeito estar completo, senón que é un complemento a esta información.

Ao final do artigo, analizaremos o deseño da oficina de Cisco SAFE en función dos conceptos descritos aquí.

Principios xerais

O deseño da rede de oficinas debe, por suposto, satisfacer os requisitos xerais que se comentaron aquí no capítulo “Criterios para a avaliación da calidade do deseño”. Ademais de prezo e seguridade, dos que pretendemos falar neste artigo, aínda hai tres criterios que debemos ter en conta á hora de deseñar (ou facer cambios):

  • escalabilidade
  • facilidade de uso (manexabilidade)
  • dispoñibilidade

Gran parte do que se discutiu centros de datos Isto tamén é certo para a oficina.

Pero aínda así, o segmento de oficinas ten as súas propias especificidades, que son críticas desde o punto de vista da seguridade. A esencia desta especificidade é que este segmento está creado para proporcionar servizos de rede aos empregados (así como socios e invitados) da empresa e, como resultado, ao máis alto nivel de consideración do problema temos dúas tarefas:

  • protexer os recursos da empresa de accións maliciosas que poidan vir dos empregados (invitados, socios) e do software que utilizan. Isto tamén inclúe protección contra conexións non autorizadas á rede.
  • protexer os sistemas e os datos dos usuarios

E este é só un lado do problema (ou mellor dito, un vértice do triángulo). Por outro lado está a comodidade do usuario e o prezo das solucións empregadas.

Comecemos mirando o que un usuario espera dunha rede de oficina moderna.

Equipamentos

Aquí tes como parecen os "servicios de rede" para un usuario de oficina na miña opinión:

  • Mobilidade
  • Capacidade para utilizar a gama completa de dispositivos e sistemas operativos coñecidos
  • Fácil acceso a todos os recursos necesarios da empresa
  • Dispoñibilidade de recursos de Internet, incluíndo varios servizos na nube
  • "Funcionamento rápido" da rede

Todo isto aplícase tanto aos empregados como aos convidados (ou socios), e é tarefa dos enxeñeiros da empresa diferenciar o acceso dos distintos grupos de usuarios en función da autorización.

Vexamos cada un destes aspectos cun pouco máis de detalle.

Mobilidade

Estamos a falar da oportunidade de traballar e utilizar todos os recursos necesarios da empresa desde calquera lugar do mundo (por suposto, onde estea dispoñible Internet).

Isto aplícase totalmente á oficina. Isto é conveniente cando tes a oportunidade de seguir traballando desde calquera lugar da oficina, por exemplo, recibir correo, comunicarte nun mensaxeiro corporativo, estar dispoñible para unha videochamada,... Así, isto permíteche, por unha banda, para resolver algúns problemas de comunicación "en directo" (por exemplo, participar en concentracións) e, por outra banda, estar sempre en liña, manter o dedo no pulso e resolver rapidamente algunhas tarefas urxentes de alta prioridade. Isto é moi cómodo e realmente mellora a calidade das comunicacións.

Isto conséguese cun deseño axeitado da rede WiFi.

Comentario

Aquí xorde normalmente a pregunta: é suficiente con usar só WiFi? Significa isto que pode deixar de usar portos Ethernet na oficina? Se estamos a falar só de usuarios, e non de servidores, que aínda son razoables para conectarse cun porto Ethernet normal, entón, en xeral, a resposta é: si, pode limitarse só a WiFi. Pero hai matices.

Hai grupos de usuarios importantes que requiren un enfoque separado. Estes son, por suposto, administradores. En principio, unha conexión WiFi é menos fiable (en termos de perda de tráfico) e máis lenta que un porto Ethernet normal. Isto pode ser significativo para os administradores. Ademais, os administradores de rede, por exemplo, poden, en principio, ter a súa propia rede Ethernet dedicada para conexións fóra de banda.

Pode haber outros grupos/departamentos na súa empresa para os que estes factores tamén son importantes.

Hai outro punto importante: a telefonía. Quizais por algún motivo non queiras usar VoIP sen fíos e queres usar teléfonos IP cunha conexión Ethernet normal.

En xeral, as empresas para as que traballei adoitan ter tanto conectividade WiFi como porto Ethernet.

Gustaríame que a mobilidade non se limitase só á oficina.

Para garantir a capacidade de traballar desde a casa (ou calquera outro lugar con Internet accesible), úsase unha conexión VPN. Ao mesmo tempo, é desexable que os empregados non sintan a diferenza entre o traballo desde casa e o traballo remoto, que supón o mesmo acceso. Discutiremos como organizalo un pouco máis adiante no capítulo "Sistema de autorización e autenticación centralizado unificado".

Comentario

O máis probable é que non poidas ofrecer a mesma calidade de servizos para o traballo remoto que tes na oficina. Supoñamos que está a usar un Cisco ASA 5520 como pasarela VPN folla de datos este dispositivo é capaz de "dixerir" só 225 Mbit de tráfico VPN. Iso é, por suposto, en termos de ancho de banda, a conexión a través de VPN é moi diferente de traballar desde a oficina. Ademais, se, por algún motivo, a latencia, a perda, a fluctuación (por exemplo, quere utilizar a telefonía IP de oficina) para os seus servizos de rede son importantes, tampouco recibirá a mesma calidade que se estivese na oficina. Polo tanto, á hora de falar de mobilidade, debemos ser conscientes das posibles limitacións.

Fácil acceso a todos os recursos da empresa

Esta tarefa debería resolverse conxuntamente con outros departamentos técnicos.
A situación ideal é cando o usuario só precisa autenticarse unha vez, e despois diso ten acceso a todos os recursos necesarios.
Proporcionar un acceso sinxelo sen sacrificar a seguridade pode mellorar significativamente a produtividade e reducir o estrés entre os seus compañeiros.

Observación 1

A facilidade de acceso non se trata só de cantas veces tes que introducir un contrasinal. Se, por exemplo, de acordo coa súa política de seguridade, para conectarse desde a oficina ao centro de datos, primeiro debe conectarse á pasarela VPN e, ao mesmo tempo, perde o acceso aos recursos da oficina, isto tamén é moi importante. , moi inconveniente.

Observación 2

Hai servizos (por exemplo, o acceso a equipos de rede) nos que adoitamos ter os nosos propios servidores dedicados AAA e isto é o habitual cando neste caso temos que autenticarnos varias veces.

Dispoñibilidade de recursos de Internet

Internet non é só entretemento, senón tamén un conxunto de servizos que poden ser moi útiles para o traballo. Tamén hai factores puramente psicolóxicos. Unha persoa moderna está conectada con outras persoas a través de Internet a través de moitos fíos virtuais e, na miña opinión, non hai nada de malo se segue sentindo esta conexión aínda que traballa.

Desde o punto de vista de perder o tempo, non hai nada de malo se un empregado, por exemplo, ten Skype funcionando e pasa 5 minutos comunicándose cun ser querido se é necesario.

Significa isto que Internet debe estar sempre dispoñible, significa isto que os empregados poden ter acceso a todos os recursos e non controlalos de ningún xeito?

Non non significa iso, claro. O nivel de apertura de Internet pode variar para diferentes empresas, desde o peche total ata a apertura total. Trataremos as formas de controlar o tráfico máis adiante nos apartados sobre medidas de seguridade.

Capacidade de utilizar a gama completa de dispositivos coñecidos

É conveniente cando, por exemplo, tes a oportunidade de seguir utilizando todos os medios de comunicación aos que estás afeito no traballo. Non hai ningunha dificultade para implementar isto tecnicamente. Para iso necesitas wifi e un wilan convidado.

Tamén é bo se tes a oportunidade de usar o sistema operativo ao que estás afeito. Pero, na miña observación, isto normalmente só se permite aos xestores, administradores e desenvolvedores.

Exemplo

Pódese, por suposto, seguir o camiño das prohibicións, prohibir o acceso remoto, prohibir a conexión desde dispositivos móbiles, limitar todo a conexións Ethernet estáticas, limitar o acceso a Internet, requisar obrigatoriamente móbiles e aparellos no posto de control... e este camiño. En realidade, seguen algunhas organizacións con requisitos de seguridade aumentados, e quizais nalgúns casos isto estea xustificado, pero... debes aceptar que isto parece un intento de deter o progreso nunha única organización. Por suposto, gustaríame combinar as oportunidades que ofrecen as tecnoloxías modernas cun nivel de seguridade suficiente.

"Funcionamento rápido" da rede

A velocidade de transferencia de datos consta tecnicamente de moitos factores. E a velocidade do teu porto de conexión non adoita ser a máis importante. O lento funcionamento dunha aplicación non sempre está asociado a problemas de rede, pero de momento só nos interesa a parte da rede. O problema máis común coa "desaceleración" da rede local está relacionado coa perda de paquetes. Isto xeralmente ocorre cando hai un pescozo de botella ou problemas L1 (OSI). Máis raramente, con algúns deseños (por exemplo, cando as túas subredes teñen un firewall como pasarela predeterminada e, polo tanto, todo o tráfico pasa por ela), é posible que falte o rendemento do hardware.

Polo tanto, ao elixir o equipo e a arquitectura, cómpre correlacionar as velocidades dos portos finais, os troncos e o rendemento dos equipos.

Exemplo

Supoñamos que está a usar conmutadores con portos de 1 gigabit como conmutadores de capa de acceso. Están conectados entre si a través de Etherchannel 2 x 10 gigabits. Como pasarela predeterminada, usa un firewall con portos gigabit, para conectarse á rede de oficina L2 que usa 2 portos gigabit combinados nun Etherchannel.

Esta arquitectura é bastante conveniente dende o punto de vista da funcionalidade, porque... Todo o tráfico pasa polo cortalumes, e podes xestionar comodamente as políticas de acceso e aplicar algoritmos complexos para controlar o tráfico e evitar posibles ataques (ver máis abaixo), pero dende o punto de vista do rendemento e do rendemento este deseño, por suposto, ten potenciais problemas. Así, por exemplo, 2 servidores que descargan datos (cunha velocidade de porto de 1 gigabit) poden cargar completamente unha conexión de 2 gigabit ao firewall e, polo tanto, provocar unha degradación do servizo para todo o segmento da oficina.

Observamos un vértice do triángulo, agora vexamos como podemos garantir a seguridade.

Medios de protección

Entón, por suposto, normalmente o noso desexo (ou mellor dito, o desexo da nosa xestión) é lograr o imposible, é dicir, proporcionar a máxima comodidade coa máxima seguridade e o mínimo custo.

Vexamos que métodos temos para ofrecer protección.

Para a oficina, destacaría o seguinte:

  • enfoque de confianza cero para o deseño
  • alto nivel de protección
  • visibilidade da rede
  • sistema centralizado unificado de autenticación y autorización
  • comprobación do host

A continuación, deterémonos un pouco máis en detalle en cada un destes aspectos.

Cero Confianza

O mundo das TIC está a cambiar moi rapidamente. Ao longo dos últimos 10 anos, a aparición de novas tecnoloxías e produtos levou a unha importante revisión dos conceptos de seguridade. Hai dez anos, dende o punto de vista da seguridade, segmentamos a rede en zonas de confianza, dmz e untrust, e utilizamos a chamada “protección perimetral”, onde había 2 liñas de defensa: untrust -> dmz e dmz -> confiar. Ademais, a protección adoitaba limitarse a listas de acceso baseadas en cabeceiras L3/L4 (OSI) (IP, portos TCP/UDP, bandeiras TCP). Todo o relacionado con niveis superiores, incluído o L7, deixouse ao SO e aos produtos de seguridade instalados nos servidores finais.

Agora a situación cambiou drasticamente. Concepto moderno confianza cero vén de que xa non é posible considerar como de confianza os sistemas internos, é dicir, os situados dentro do perímetro, e o propio concepto de perímetro quedou borroso.
Ademais de conexión a internet tamén temos

  • usuarios de VPN de acceso remoto
  • varios gadgets persoais, trouxo ordenadores portátiles, conectado a través de WiFi de oficina
  • outras (sucursais).
  • integración coa infraestrutura na nube

Como é o enfoque de confianza cero na práctica?

O ideal é que só se permita o tráfico necesario e, se falamos dun ideal, o control non debería ser só a nivel L3/L4, senón a nivel de aplicación.

Se, por exemplo, tes a capacidade de pasar todo o tráfico a través dun cortalumes, podes tentar achegarte ao ideal. Pero este enfoque pode reducir significativamente o ancho de banda total da súa rede e, ademais, o filtrado por aplicación non sempre funciona ben.

Ao controlar o tráfico nun enrutador ou conmutador L3 (usando ACL estándar), atopas outros problemas:

  • Este é só filtrado L3/L4. Non hai nada que impida que un atacante use portos permitidos (por exemplo, TCP 80) para a súa aplicación (non http)
  • xestión complexa de ACL (difícil de analizar ACL)
  • Este non é un firewall con estado, o que significa que debes permitir explícitamente o tráfico inverso
  • cos interruptores normalmente estás moi limitado polo tamaño do TCAM, o que pode converterse rapidamente nun problema se adoptas o enfoque de "permitir só o que necesitas".

Comentario

Falando de tráfico inverso, debemos lembrar que temos a seguinte oportunidade (Cisco)

permitir tcp calquera calquera establecido

Pero cómpre entender que esta liña é equivalente a dúas liñas:
permitir tcp calquera ack
permitir tcp calquera calquera primeiro

O que significa que aínda que non houbese un segmento TCP inicial coa marca SYN (é dicir, a sesión TCP nin sequera comezou a establecerse), esta ACL permitirá un paquete coa marca ACK, que un atacante pode usar para transferir datos.

É dicir, esta liña de ningún xeito converte o teu enrutador ou conmutador L3 nun firewall con estado.

Alto nivel de protección

В Artigo Na sección de centros de datos, consideramos os seguintes métodos de protección.

  • firewall con estado (predeterminado)
  • protección ddos/dos
  • firewall de aplicacións
  • prevención de ameazas (antivirus, anti-spyware e vulnerabilidades)
  • Filtrado de URL
  • filtrado de datos (filtrado de contido)
  • bloqueo de ficheiros (bloqueo de tipos de ficheiros)

No caso dunha oficina, a situación é similar, pero as prioridades son lixeiramente diferentes. A dispoñibilidade (dispoñibilidade) da oficina non adoita ser tan crítica como no caso dun centro de datos, mentres que a probabilidade de tráfico malicioso "interno" é ordes de magnitude maior.
Polo tanto, os seguintes métodos de protección para este segmento fanse críticos:

  • firewall de aplicacións
  • prevención de ameazas (antivirus, antispyware e vulnerabilidades)
  • Filtrado de URL
  • filtrado de datos (filtrado de contido)
  • bloqueo de ficheiros (bloqueo de tipos de ficheiros)

Aínda que todos estes métodos de protección, a excepción do firewall de aplicacións, resolveuse tradicionalmente e seguen sendo resoltos nos hosts finais (por exemplo, instalando programas antivirus) e utilizando proxies, os NGFW modernos tamén ofrecen estes servizos.

Os provedores de equipos de seguridade esfórzanse por crear unha protección integral, polo que, xunto coa protección local, ofrecen varias tecnoloxías na nube e software cliente para hosts (protección de punto final/EPP). Así, por exemplo, de Cuadrante Máxico de Gartner 2018 Vemos que Palo Alto e Cisco teñen os seus propios EPP (PA: Traps, Cisco: AMP), pero están lonxe dos líderes.

Activar estas proteccións (xeralmente mediante a compra de licenzas) no teu firewall, por suposto, non é obrigatorio (podes ir pola vía tradicional), pero proporciona algúns beneficios:

  • neste caso, existe un único punto de aplicación dos métodos de protección, o que mellora a visibilidade (ver o seguinte tema).
  • Se hai un dispositivo desprotexido na túa rede, seguirá caendo baixo o "paraugas" da protección do firewall
  • Ao usar a protección do firewall xunto coa protección do host final, aumentamos a probabilidade de detectar tráfico malicioso. Por exemplo, usar a prevención de ameazas en hosts locais e nun firewall aumenta a probabilidade de detección (sempre que, por suposto, estas solucións estean baseadas en diferentes produtos de software)

Comentario

Se, por exemplo, usa Kaspersky como antivirus tanto no firewall como nos hosts finais, isto, por suposto, non aumentará moito as súas posibilidades de evitar un ataque de virus na súa rede.

Visibilidade da rede

idea central é sinxelo: "ver" o que está a suceder na túa rede, tanto en tempo real como en datos históricos.

Dividiría esta "visión" en dous grupos:

Grupo XNUMX: o que normalmente lle proporciona o seu sistema de monitorización.

  • carga de equipos
  • canles de carga
  • uso da memoria
  • uso do disco
  • cambiar a táboa de enrutamento
  • estado da ligazón
  • dispoñibilidade de equipos (ou hosts)
  • ...

Grupo dous: información relacionada coa seguridade.

  • varios tipos de estatísticas (por exemplo, por aplicación, por tráfico URL, que tipos de datos se descargaron, datos do usuario)
  • que foi bloqueado polas políticas de seguridade e por que motivo, a saber
    • aplicación prohibida
    • prohibido en base a ip/protocolo/port/flags/zones
    • prevención de ameazas
    • filtrado de url
    • filtrado de datos
    • bloqueo de ficheiros
    • ...
  • estatísticas sobre ataques DOS/DDOS
  • intentos fallidos de identificación e autorización
  • estatísticas de todos os eventos de violación da política de seguridade anteriores
  • ...

Neste capítulo de seguridade, interésanos a segunda parte.

Algúns firewalls modernos (da miña experiencia en Palo Alto) ofrecen un bo nivel de visibilidade. Pero, por suposto, o tráfico que che interesa debe pasar por este cortalumes (neste caso tes a capacidade de bloquear o tráfico) ou reflectirse no cortalumes (utilizado só para monitorización e análise), e debes ter licenzas para habilitar todos estes servizos.

Existe, por suposto, unha vía alternativa, ou máis ben a tradicional, por exemplo,

  • As estatísticas das sesións pódense recoller a través de netflow e, a continuación, utilizar utilidades especiais para a análise da información e a visualización de datos
  • prevención de ameazas: programas especiais (antivirus, anti-spyware, firewall) nos servidores finais
  • Filtrado de URL, filtrado de datos, bloqueo de ficheiros: no proxy
  • tamén é posible analizar tcpdump usando p.ex. bufar

Podes combinar estes dous enfoques, complementando as funcións que faltan ou duplicándoas para aumentar a probabilidade de detectar un ataque.

Que enfoque deberías escoller?
Depende moito das cualificacións e preferencias do teu equipo.
Tanto alí como hai pros e contras.

Sistema centralizado unificado de autenticación e autorización

Cando está ben deseñada, a mobilidade que comentamos neste artigo supón que tes o mesmo acceso tanto se traballas desde a oficina como desde a casa, desde o aeroporto, desde unha cafetería ou en calquera outro lugar (coas limitacións que comentamos anteriormente). Parece que cal é o problema?
Para comprender mellor a complexidade desta tarefa, vexamos un deseño típico.

Exemplo

  • Dividiches a todos os empregados en grupos. Decidiches facilitar o acceso por grupos
  • Dentro da oficina, controlas o acceso no firewall da oficina
  • Controla o tráfico da oficina ao centro de datos no firewall do centro de datos
  • Utiliza un Cisco ASA como pasarela VPN e para controlar o tráfico que entra na súa rede desde clientes remotos, utiliza ACL locais (no ASA).

Agora, digamos que se lle pide que engada acceso adicional a un determinado empregado. Neste caso, pídese que engada acceso só a el e a ninguén máis do seu grupo.

Para iso temos que crear un grupo separado para este empregado, é dicir

  • cree un grupo de IP separado no ASA para este empregado
  • engadir unha nova ACL no ASA e vinculala a ese cliente remoto
  • crear novas políticas de seguridade en firewalls de oficinas e centros de datos

É bo se este evento é raro. Pero na miña práctica houbo unha situación na que os empregados participaron en diferentes proxectos, e este conxunto de proxectos para algúns deles cambiou con bastante frecuencia, e non eran 1-2 persoas, senón decenas. Por suposto, había que cambiar algo aquí.

Isto resolveuse do seguinte xeito.

Decidimos que LDAP sería a única fonte de verdade que determina todos os posibles accesos dos empregados. Creamos todo tipo de grupos que definen conxuntos de accesos, e asignamos a cada usuario a un ou varios grupos.

Así, por exemplo, supoñamos que había grupos

  • invitado (acceso a Internet)
  • acceso común (acceso a recursos compartidos: correo, base de coñecemento,...)
  • Contabilidade
  • proxecto 1
  • proxecto 2
  • administrador de base de datos
  • administrador de linux
  • ...

E se un dos empregados estaba implicado tanto no proxecto 1 como no proxecto 2, e necesitaba o acceso necesario para traballar nestes proxectos, entón este empregado foi asignado aos seguintes grupos:

  • invitado
  • acceso común
  • proxecto 1
  • proxecto 2

Como podemos converter agora esta información en acceso a equipos de rede?

Política de acceso dinámico (DAP) de Cisco ASA (ver www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) a solución é adecuada para esta tarefa.

Brevemente sobre a nosa implantación, durante o proceso de identificación/autorización, ASA recibe de LDAP un conxunto de grupos correspondentes a un determinado usuario e “recolle” de varias ACL locais (cada unha das cales corresponde a un grupo) unha ACL dinámica con todos os accesos necesarios. , que se corresponde plenamente cos nosos desexos.

Pero isto é só para conexións VPN. Para que a situación sexa igual tanto para os empregados conectados mediante VPN como para os da oficina, deuse o seguinte paso.

Ao conectarse desde a oficina, os usuarios que usaban o protocolo 802.1x acabaron nunha LAN convidada (para convidados) ou nunha LAN compartida (para empregados da empresa). Ademais, para obter acceso específico (por exemplo, a proxectos nun centro de datos), os empregados tiñan que conectarse mediante VPN.

Para conectarse desde a oficina e desde a casa, utilizáronse diferentes grupos de túneles no ASA. Isto é necesario para que para os que se conectan desde a oficina, o tráfico aos recursos compartidos (utilizados por todos os empregados, como correo, servidores de ficheiros, sistema de tickets, dns,...) non pase polo ASA, senón pola rede local. . Así, non cargamos o ASA con tráfico innecesario, incluído tráfico de alta intensidade.

Así, o problema quedou resolto.
Temos

  • o mesmo conxunto de accesos tanto para as conexións desde a oficina como para as conexións remotas
  • ausencia de degradación do servizo ao traballar desde a oficina asociada á transmisión de tráfico de alta intensidade a través de ASA

Que outras vantaxes deste enfoque?
En administración de accesos. Os accesos pódense cambiar facilmente nun só lugar.
Por exemplo, se un empregado deixa a empresa, simplemente o elimina de LDAP e perderá automaticamente todo o acceso.

Comprobación do host

Coa posibilidade de conexión remota, corremos o risco de permitir que non só un empregado da empresa entre na rede, senón tamén todo o software malicioso que moi probablemente estea presente no seu ordenador (por exemplo, a casa), e ademais, a través deste software pode estar proporcionando acceso á nosa rede a un atacante que utiliza este host como proxy.

Ten sentido que un host conectado remotamente aplique os mesmos requisitos de seguridade que un host na oficina.

Isto tamén supón a versión "correcta" do sistema operativo, do antivirus, do antispyware e do software e das actualizacións do firewall. Normalmente, esta capacidade existe na pasarela VPN (para ASA consulte, por exemplo, aquí).

Tamén é recomendable aplicar as mesmas técnicas de análise de tráfico e bloqueo (consulta "Alto nivel de protección") que a túa política de seguridade aplica ao tráfico da oficina.

É razoable asumir que a súa rede de oficinas xa non se limita ao edificio de oficinas e aos anfitrións dentro del.

Exemplo

Unha boa técnica é proporcionar a cada empregado que precise acceso remoto un portátil bo e cómodo e esixirlle que traballe, tanto na oficina como desde a casa, só dende ela.

Non só mellora a seguridade da túa rede, senón que tamén é moi cómodo e adoita ser visto favorablemente polos empregados (se é un portátil moi bo e fácil de usar).

Sobre o sentido da proporción e do equilibrio

Basicamente, esta é unha conversación sobre o terceiro vértice do noso triángulo - sobre o prezo.
Vexamos un exemplo hipotético.

Exemplo

Tes unha oficina para 200 persoas. Decidiches facelo o máis cómodo e seguro posible.

Polo tanto, decidiu pasar todo o tráfico a través do firewall e, polo tanto, para todas as subredes de oficina, o firewall é a pasarela predeterminada. Ademais do software de seguridade instalado en cada servidor final (software antivirus, antispyware e firewall), tamén decidiu aplicar todos os métodos de protección posibles no firewall.

Para garantir unha alta velocidade de conexión (todo por comodidade), escolleches conmutadores con portos de acceso de 10 Gigabit como interruptores de acceso e cortalumes NGFW de alto rendemento como cortalumes, por exemplo, a serie Palo Alto 7K (con portos de 40 Gigabit), naturalmente con todas as licenzas. incluído e, por suposto, un par de alta dispoñibilidade.

Ademais, por suposto, para traballar con esta liña de equipos necesitamos polo menos un par de enxeñeiros de seguridade altamente cualificados.

A continuación, decidiu darlle a cada empregado un bo portátil.

Total, uns 10 millóns de dólares para a súa implementación, centos de miles de dólares (creo que máis preto dun millón) para o apoio anual e os salarios dos enxeñeiros.

Oficina, 200 persoas...
Cómodo? Supoño que si.

Chegas con esta proposta á túa dirección...
Quizais existan varias empresas no mundo para as que esta é unha solución aceptable e correcta. Se es un empregado desta empresa, os meus parabéns, pero na gran maioría dos casos, estou seguro de que os teus coñecementos non serán apreciados pola dirección.

Este exemplo é esaxerado? O seguinte capítulo responderá a esta pregunta.

Se na túa rede non ves ningún dos anteriores, esta é a norma.
Para cada caso específico, cómpre atopar o seu propio compromiso razoable entre comodidade, prezo e seguridade. Moitas veces nin sequera necesitas NGFW na túa oficina e non se require protección L7 no firewall. É suficiente para proporcionar un bo nivel de visibilidade e alertas, e isto pódese facer mediante produtos de código aberto, por exemplo. Si, a túa reacción a un ataque non será inmediata, pero o principal é que o verás e, cos procesos correctos no teu departamento, poderás neutralizalo rapidamente.

E permíteme lembrarche que, segundo o concepto desta serie de artigos, non estás a deseñar unha rede, só intentas mellorar o que conseguistes.

Análise SAFE da arquitectura de oficina

Prestade atención a este cadrado vermello co que asignei un lugar no diagrama desde Guía de arquitectura de campus seguro SAFEque me gustaría comentar aquí.

Como tomar o control da súa infraestrutura de rede. Capítulo tres. Seguridade da rede. Terceira parte

Este é un dos lugares clave da arquitectura e unha das incertezas máis importantes.

Comentario

Nunca configurei nin traballei con FirePower (da liña de firewall de Cisco, só ASA), polo que tratarei como calquera outro firewall, como Juniper SRX ou Palo Alto, asumindo que teña as mesmas capacidades.

Dos deseños habituais, só vexo 4 opcións posibles para usar un firewall con esta conexión:

  • a pasarela predeterminada para cada subrede é un interruptor, mentres que o firewall está en modo transparente (é dicir, todo o tráfico pasa por ela, pero non forma un salto L3)
  • a pasarela predeterminada para cada subrede son as subinterfaces do firewall (ou interfaces SVI), o interruptor desempeña o papel de L2
  • utilízanse diferentes VRF no switch e o tráfico entre VRF pasa polo firewall, o tráfico dentro dun VRF está controlado pola ACL do switch.
  • todo o tráfico está reflectido no firewall para a súa análise e seguimento; o tráfico non pasa por el

Observación 1

As combinacións destas opcións son posibles, pero por simplicidade non as consideraremos.

Nota 2

Tamén existe a posibilidade de usar PBR (architecture chain service), pero polo momento esta, aínda que é unha fermosa solución na miña opinión, é bastante exótica, polo que non o penso aquí.

A partir da descrición dos fluxos no documento, vemos que o tráfico aínda pasa polo firewall, é dicir, de acordo co deseño de Cisco, elimínase a cuarta opción.

Vexamos primeiro as dúas primeiras opcións.
Con estas opcións, todo o tráfico pasa polo firewall.

Agora imos mirar folla de datos, mirar Cisco GPL e vemos que se queremos que o ancho de banda total para a nosa oficina sexa de polo menos entre 10 e 20 gigabits, entón debemos mercar a versión 4K.

Comentario

Cando falo do ancho de banda total, refírome ao tráfico entre subredes (e non dentro dunha vilana).

Desde a GPL vemos que para o paquete HA con Threat Defense, o prezo dependendo do modelo (4110 - 4150) varía entre ~0,5 e 2,5 millóns de dólares.

É dicir, o noso deseño comeza a parecerse ao exemplo anterior.

Significa isto que este deseño é incorrecto?
Non, iso non quere dicir. Cisco ofrécelle a mellor protección posible en función da liña de produtos que teña. Pero iso non significa que sexa unha obriga para ti.

En principio, esta é unha pregunta común que xorde ao deseñar unha oficina ou un centro de datos, e só significa que hai que buscar un compromiso.

Por exemplo, non deixes que todo o tráfico pase por un firewall, nese caso a opción 3 paréceme bastante boa, ou (ver sección anterior) quizais non necesites Threat Defense ou non necesites un firewall en absoluto. segmento de rede, e só precisa limitarse ao seguimento pasivo mediante solucións de pago (non caras) ou de código aberto, ou precisa dun firewall, pero dun provedor diferente.

Normalmente sempre hai esta incerteza e non hai unha resposta clara sobre cal é a mellor decisión para ti.
Esta é a complexidade e beleza desta tarefa.

Fonte: www.habr.com

Engadir un comentario