ProHoster > Blog > uprava > Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Treće poglavlje. Sigurnost mreže. treći dio

Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Treće poglavlje. Sigurnost mreže. treći dio

Ovaj je članak peti u nizu “Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom.” Sadržaj svih članaka u seriji i poveznice možete pronaći здесь.

Ovaj dio bit će posvećen segmentima Campus (Office) & Remote access VPN.

Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Treće poglavlje. Sigurnost mreže. treći dio

Dizajn uredske mreže može izgledati jednostavan.

Doista, uzimamo L2/L3 sklopke i povezujemo ih jedne s drugima. Zatim provodimo osnovne postavke vilana i default gatewaya, postavljamo jednostavno usmjeravanje, povezujemo WiFi kontrolere, pristupne točke, instaliramo i konfiguriramo ASA za udaljeni pristup i veselimo se da je sve radilo. Uglavnom, kao što sam već napisao u jednom od prethodnih članci ovog ciklusa, gotovo svaki student koji je pohađao (i naučio) dva semestra kolegija o telekomunikacijama može dizajnirati i konfigurirati uredsku mrežu tako da "nekako funkcionira".

Ali što više učite, to se ovaj zadatak čini manje jednostavnim. Meni osobno se ova tema, tema dizajna uredske mreže, ne čini nimalo jednostavnom, au ovom ću članku pokušati objasniti zašto.

Ukratko, potrebno je uzeti u obzir nekoliko čimbenika. Često su ti čimbenici u sukobu jedni s drugima i potrebno je tražiti razuman kompromis.
Ova neizvjesnost je glavna poteškoća. Dakle, kada govorimo o sigurnosti, imamo trokut s tri vrha: sigurnost, pogodnost za zaposlenike, cijena rješenja.
I svaki put morate tražiti kompromis između ovo troje.

arhitektura

Kao primjer arhitekture za ova dva segmenta, kao iu prethodnim člancima, preporučujem Cisco SIGURNO model: Enterprise Campus, Enterprise Internet Edge.

Ovo su pomalo zastarjeli dokumenti. Ovdje ih predstavljam jer se temeljne sheme i pristup nisu promijenili, ali u isto vrijeme prezentacija mi se sviđa više nego u nova dokumentacija.

Ne potičući vas na korištenje Cisco rješenja, ipak mislim da je korisno pažljivo proučiti ovaj dizajn.

Ovaj članak, kao i obično, ni na koji način ne pretendira biti cjelovit, već je prije dodatak ovim informacijama.

Na kraju članka analizirat ćemo dizajn Cisco SAFE ureda u smislu ovdje navedenih koncepata.

Opća načela

Dizajn uredske mreže mora, naravno, zadovoljiti opće zahtjeve o kojima smo raspravljali здесь u poglavlju “Kriteriji za ocjenu kvalitete projektiranja”. Osim cijene i sigurnosti, o kojima namjeravamo raspravljati u ovom članku, još uvijek postoje tri kriterija koja moramo uzeti u obzir prilikom projektiranja (ili izmjena):

  • skalabilnost
  • jednostavnost korištenja (upravljivost)
  • dostupnost

Mnogo toga o čemu se raspravljalo podatkovni centri To vrijedi i za ured.

No ipak, uredski segment ima svoje specifičnosti koje su kritične sa sigurnosnog stajališta. Suština ove specifičnosti je u tome što je ovaj segment kreiran za pružanje mrežnih usluga zaposlenicima (kao i partnerima i gostima) tvrtke, te, kao rezultat toga, na najvišoj razini razmatranja problema imamo dvije zadaće:

  • zaštiti resurse tvrtke od zlonamjernih radnji koje mogu doći od zaposlenika (gosti, partneri) i od softvera koji koriste. To također uključuje zaštitu od neovlaštenog spajanja na mrežu.
  • zaštitite sustave i korisničke podatke

A to je samo jedna strana problema (točnije, jedan vrh trokuta). S druge strane je praktičnost za korisnika i cijena korištenih rješenja.

Za početak pogledajmo što korisnik očekuje od moderne uredske mreže.

pogodnost

Evo kako po mom mišljenju izgledaju "mrežne pogodnosti" za uredskog korisnika:

  • pokretljivost
  • Sposobnost korištenja cijelog niza poznatih uređaja i operativnih sustava
  • Jednostavan pristup svim potrebnim resursima tvrtke
  • Dostupnost internetskih resursa, uključujući razne usluge u oblaku
  • "Brz rad" mreže

Sve se to odnosi i na zaposlenike i na goste (ili partnere), a zadatak je inženjera tvrtke da na temelju autorizacije razlikuju pristup različitim skupinama korisnika.

Pogledajmo svaki od ovih aspekata malo detaljnije.

pokretljivost

Riječ je o mogućnosti rada i korištenja svih potrebnih resursa tvrtke s bilo kojeg mjesta u svijetu (naravno, gdje je internet dostupan).

Ovo se u potpunosti odnosi na ured. Ovo je zgodno kada imate priliku nastaviti raditi s bilo kojeg mjesta u uredu, na primjer, primati poštu, komunicirati u korporativnom messengeru, biti dostupan za video poziv, ... Dakle, ovo vam omogućuje, s jedne strane, riješiti neka pitanja „živom“ komunikacijom (na primjer, sudjelovati na skupovima), a s druge strane, biti uvijek na mreži, držati prst na pulsu i brzo rješavati neke hitne zadatke visokog prioriteta. Ovo je vrlo zgodno i stvarno poboljšava kvalitetu komunikacije.

To se postiže pravilnim dizajnom WiFi mreže.

primjedba

Ovdje se obično postavlja pitanje: je li dovoljno koristiti samo WiFi? Znači li to da možete prestati koristiti Ethernet priključke u uredu? Ako govorimo samo o korisnicima, a ne o poslužiteljima, koje je još uvijek razumno povezati s običnim Ethernet priključkom, onda je općenito odgovor: da, možete se ograničiti samo na WiFi. Ali postoje nijanse.

Postoje važne skupine korisnika koje zahtijevaju zaseban pristup. To su, naravno, administratori. U principu, WiFi veza je manje pouzdana (u smislu gubitka prometa) i sporija od običnog Ethernet priključka. Ovo može biti značajno za administratore. Osim toga, mrežni administratori, na primjer, mogu, u načelu, imati vlastitu namjensku Ethernet mrežu za izvanpojasne veze.

Možda postoje druge grupe/odjeli u vašoj tvrtki za koje su ti čimbenici također važni.

Postoji još jedna važna točka - telefonija. Možda iz nekog razloga ne želite koristiti bežični VoIP i želite koristiti IP telefone s običnom Ethernet vezom.

Općenito, tvrtke za koje sam radio obično su imale i WiFi vezu i Ethernet priključak.

Želio bih da mobilnost ne bude ograničena samo na ured.

Kako bi se osigurala mogućnost rada od kuće (ili bilo kojeg drugog mjesta s dostupnim internetom), koristi se VPN veza. Pritom je poželjno da zaposlenici ne osjećaju razliku između rada od kuće i rada na daljinu, koji podrazumijeva isti pristup. Raspravljat ćemo o tome kako to organizirati malo kasnije u poglavlju "Jedinstveni centralizirani sustav provjere autentičnosti i autorizacije."

primjedba

Najvjerojatnije nećete moći u potpunosti pružiti istu kvalitetu usluga za rad na daljinu koju imate u uredu. Pretpostavimo da koristite Cisco ASA 5520 kao svoj VPN pristupnik. Prema podatkovni list ovaj uređaj može “probaviti” samo 225 Mbit VPN prometa. To je, naravno, u smislu propusnosti, povezivanje putem VPN-a uvelike se razlikuje od rada iz ureda. Također, ako je iz nekog razloga latencija, gubitak, podrhtavanje (na primjer, želite koristiti uredsku IP telefoniju) za vaše mrežne usluge značajni, također nećete dobiti istu kvalitetu kao da ste u uredu. Stoga, kada govorimo o mobilnosti, moramo biti svjesni mogućih ograničenja.

Jednostavan pristup svim resursima tvrtke

Ovaj zadatak treba riješiti zajedno s drugim tehničkim odjelima.
Idealna situacija je kada se korisnik treba samo jednom autentificirati, a nakon toga ima pristup svim potrebnim resursima.
Omogućavanje jednostavnog pristupa bez žrtvovanja sigurnosti može značajno poboljšati produktivnost i smanjiti stres među vašim kolegama.

Napomena 1

Jednostavnost pristupa ne odnosi se samo na to koliko puta morate unijeti lozinku. Ako se, na primjer, u skladu s vašom sigurnosnom politikom, da biste se povezali iz ureda u podatkovni centar, prvo se morate spojiti na VPN pristupnik, a pritom gubite pristup uredskim resursima, onda je to također vrlo , vrlo nezgodno.

Napomena 2

Postoje usluge (na primjer, pristup mrežnoj opremi) gdje obično imamo vlastite namjenske AAA poslužitelje i to je norma kada se u ovom slučaju moramo autentificirati nekoliko puta.

Dostupnost internetskih izvora

Internet nije samo zabava, već i skup usluga koje mogu biti vrlo korisne za rad. Tu su i čisto psihološki faktori. Suvremeni čovjek povezan je s drugim ljudima putem interneta kroz mnoge virtualne niti i, po mom mišljenju, nema ništa loše ako tu povezanost nastavi osjećati i dok radi.

Sa stajališta gubljenja vremena, nema ništa loše ako zaposlenik, na primjer, ima uključen Skype i provede 5 minuta komunicirajući s voljenom osobom ako je potrebno.

Znači li to da Internet uvijek treba biti dostupan, znači li to da zaposlenici mogu imati pristup svim resursima i nikako ih ne kontrolirati?

Ne ne znači to, naravno. Razina otvorenosti interneta može varirati za različite tvrtke - od potpunog zatvaranja do potpune otvorenosti. O načinima kontrole prometa raspravljat ćemo kasnije u odjeljcima o sigurnosnim mjerama.

Sposobnost korištenja cijelog niza poznatih uređaja

Zgodno je kada, primjerice, imate priliku nastaviti koristiti sva sredstva komunikacije na koja ste navikli na poslu. Nema poteškoća u tehničkoj provedbi ovoga. Za ovo vam je potreban WiFi i wilan za goste.

Također je dobro ako imate priliku koristiti operativni sustav na koji ste navikli. Ali, prema mom opažanju, to je obično dopušteno samo menadžerima, administratorima i programerima.

Primjer

Možete, naravno, ići putem zabrana, zabraniti daljinski pristup, zabraniti povezivanje s mobilnih uređaja, ograničiti sve na statičke Ethernet veze, ograničiti pristup internetu, obvezno oduzimanje mobitela i gadgeta na punktu... i ovaj put zapravo slijede neke organizacije s povećanim sigurnosnim zahtjevima, i možda u nekim slučajevima to može biti opravdano, ali... morate se složiti da ovo izgleda kao pokušaj zaustavljanja napretka u jednoj organizaciji. Naravno, želio bih kombinirati mogućnosti koje moderne tehnologije pružaju s dovoljnom razinom sigurnosti.

"Brz rad" mreže

Brzina prijenosa podataka tehnički se sastoji od mnogo čimbenika. A brzina vašeg priključka obično nije najvažnija. Spor rad aplikacije nije uvijek povezan s mrežnim problemima, ali za sada nas zanima samo mrežni dio. Najčešći problem s "usporavanjem" lokalne mreže povezan je s gubitkom paketa. To se obično događa kada postoji usko grlo ili problemi L1 (OSI). Rjeđe, kod nekih dizajna (na primjer, kada vaše podmreže imaju vatrozid kao zadani pristupnik i stoga sav promet ide kroz njega), hardver možda nema performanse.

Stoga, kada birate opremu i arhitekturu, morate povezati brzine krajnjih portova, trunkova i performanse opreme.

Primjer

Pretpostavimo da koristite preklopnike s 1 gigabitnim priključcima kao preklopnike sloja pristupa. Međusobno su povezani Etherchannelom 2 x 10 gigabita. Kao zadani gateway koristite vatrozid s gigabitnim portovima, za čije povezivanje s L2 uredskom mrežom koristite 2 gigabitna porta spojena u Etherchannel.

Ova je arhitektura vrlo zgodna s gledišta funkcionalnosti, jer... Sav promet prolazi kroz vatrozid i možete udobno upravljati politikama pristupa i primijeniti složene algoritme za kontrolu prometa i spriječiti moguće napade (vidi dolje), ali sa stajališta propusnosti i performansi ovaj dizajn, naravno, ima potencijalne probleme. Tako npr. 2 hosta koji preuzimaju podatke (s brzinom porta od 1 gigabita) mogu u potpunosti opteretiti 2 gigabitnu vezu na firewall i time dovesti do degradacije usluge za cijeli uredski segment.

Pogledali smo jedan vrh trokuta, sada pogledajmo kako možemo osigurati sigurnost.

lijekovi

Dakle, naravno, obično je naša želja (ili bolje rečeno, želja našeg menadžmenta) postići nemoguće, naime, pružiti maksimalnu pogodnost uz maksimalnu sigurnost i minimalne troškove.

Pogledajmo koje metode imamo za pružanje zaštite.

Za ured bih istaknuo sljedeće:

  • pristup dizajnu bez povjerenja
  • visoka razina zaštite
  • mrežna vidljivost
  • jedinstveni centralizirani sustav autentifikacije i autorizacije
  • provjera hosta

Zatim ćemo se malo detaljnije zadržati na svakom od ovih aspekata.

Nula povjerenja

IT svijet se vrlo brzo mijenja. U posljednjih 10 godina, pojava novih tehnologija i proizvoda dovela je do velike revizije sigurnosnih koncepata. Prije deset godina, sa sigurnosne točke gledišta, segmentirali smo mrežu na trust, dmz i untrust zone, te koristili takozvanu “perimeter protection” gdje su postojale 2 linije obrane: untrust -> dmz i dmz -> povjerenje. Također, zaštita je obično bila ograničena na liste pristupa temeljene na L3/L4 (OSI) zaglavljima (IP, TCP/UDP portovi, TCP zastavice). Sve vezano uz više razine, uključujući L7, prepušteno je OS-u i sigurnosnim proizvodima instaliranim na krajnjim hostovima.

Sada se situacija dramatično promijenila. Moderan koncept nulto povjerenje dolazi iz činjenice da više nije moguće smatrati pouzdanima interne sustave, odnosno one koji se nalaze unutar perimetra, a pojam samog perimetra postao je zamagljen.
Osim internetske veze imamo i

  • VPN korisnici udaljenog pristupa
  • razne osobne gadgete, donijeli prijenosna računala, spojeni putem uredskog WiFi-ja
  • ostale (podružnice).
  • integracija s infrastrukturom u oblaku

Kako Zero Trust pristup izgleda u praksi?

U idealnom slučaju, trebao bi biti dopušten samo onaj promet koji je potreban i, ako govorimo o idealnom, tada bi kontrola trebala biti ne samo na razini L3/L4, već na razini aplikacije.

Ako, na primjer, imate mogućnost propuštati sav promet kroz vatrozid, onda se možete pokušati približiti idealu. Ali ovaj pristup može značajno smanjiti ukupnu propusnost vaše mreže, a osim toga, filtriranje po aplikaciji ne radi uvijek dobro.

Kada kontrolirate promet na usmjerivaču ili L3 preklopniku (koristeći standardne ACL-ove), nailazite na druge probleme:

  • Ovo je samo L3/L4 filtriranje. Ništa ne sprječava napadača da koristi dopuštene portove (npr. TCP 80) za svoju aplikaciju (ne http)
  • složeno upravljanje ACL-ovima (teško analizirati ACL-ove)
  • Ovo nije vatrozid s punim stanjem, što znači da trebate izričito dopustiti obrnuti promet
  • s prekidačima obično ste prilično čvrsto ograničeni veličinom TCAM-a, što brzo može postati problem ako prihvatite pristup "dopusti samo ono što trebate"

primjedba

Govoreći o obrnutom prometu, moramo zapamtiti da imamo sljedeću priliku (Cisco)

dopustiti tcp bilo koji bilo koji uspostavljen

Ali morate razumjeti da je ova linija ekvivalentna dvjema linijama:
dopustiti tcp bilo koji bilo koji ack
dopustiti tcp bilo koji bilo koji prvi

Što znači da čak i ako nije bilo početnog TCP segmenta sa SYN zastavom (to jest, TCP sesija nije ni počela uspostavljati), ovaj ACL će dopustiti paket sa ACK zastavom, koji napadač može koristiti za prijenos podataka.

Odnosno, ovaj redak ni na koji način ne pretvara vaš usmjerivač ili L3 preklopnik u vatrozid s punim stanjem.

Visoka razina zaštite

В članak U odjeljku o podatkovnim centrima razmotrili smo sljedeće metode zaštite.

  • vatrozid s praćenjem stanja (zadano)
  • ddos/dos zaštita
  • vatrozid aplikacije
  • prevencija prijetnji (antivirus, anti-spyware i ranjivost)
  • Filtriranje URL-a
  • filtriranje podataka (filtriranje sadržaja)
  • blokiranje datoteka (blokiranje vrsta datoteka)

U slučaju ureda situacija je slična, ali su prioriteti malo drugačiji. Dostupnost ureda (dostupnost) obično nije tako kritična kao u slučaju podatkovnog centra, dok je vjerojatnost "internog" zlonamjernog prometa višestruko veća.
Stoga sljedeće metode zaštite za ovaj segment postaju kritične:

  • vatrozid aplikacije
  • prevencija prijetnji (antivirus, anti-spyware i ranjivost)
  • Filtriranje URL-a
  • filtriranje podataka (filtriranje sadržaja)
  • blokiranje datoteka (blokiranje vrsta datoteka)

Iako su se sve te metode zaštite, s izuzetkom aplikacijskog vatrozida, tradicionalno rješavale i nastavljaju rješavati na krajnjim računalima (primjerice instaliranjem antivirusnih programa) i korištenjem proxyja, moderni NGFW-ovi također pružaju ove usluge.

Proizvođači sigurnosne opreme nastoje stvoriti sveobuhvatnu zaštitu pa uz lokalnu zaštitu nude razne tehnologije u oblaku i klijentski softver za hostove (end point protection/EPP). Tako, na primjer, iz 2018 Gartner Magic Quadrant Vidimo da Palo Alto i Cisco imaju svoje EPP-ove (PA: Traps, Cisco: AMP), ali su daleko od vodećih.

Omogućavanje ovih zaštita (obično kupnjom licenci) na vašem vatrozidu naravno nije obavezno (možete ići tradicionalnim putem), ali pruža neke prednosti:

  • u ovom slučaju postoji jedna točka primjene zaštitnih metoda, što poboljšava vidljivost (vidi sljedeću temu).
  • Ako na vašoj mreži postoji nezaštićeni uređaj, on i dalje spada pod "kišobran" vatrozidne zaštite
  • Korištenjem zaštite vatrozidom u kombinaciji sa zaštitom krajnjeg računala, povećavamo vjerojatnost otkrivanja zlonamjernog prometa. Na primjer, korištenje sprječavanja prijetnji na lokalnim računalima i na vatrozidu povećava vjerojatnost otkrivanja (pod uvjetom, naravno, da se ta rješenja temelje na različitim softverskim proizvodima)

primjedba

Ako, na primjer, koristite Kaspersky kao antivirus i na vatrozidu i na krajnjim računalima, to, naravno, neće značajno povećati vaše šanse da spriječite napad virusa na vašu mrežu.

Vidljivost mreže

središnja ideja je jednostavan - “vidite” što se događa na vašoj mreži, u stvarnom vremenu i povijesnim podacima.

Podijelio bih ovu “viziju” u dvije skupine:

Prva grupa: što vam obično pruža vaš sustav praćenja.

  • utovar opreme
  • učitavanje kanala
  • korištenje memorije
  • korištenje diska
  • mijenjanje tablice usmjeravanja
  • status veze
  • dostupnost opreme (ili hostova)
  • ...

Druga grupa: sigurnosne informacije.

  • razne vrste statistika (na primjer, prema aplikaciji, prema URL prometu, koje su vrste podataka preuzete, korisnički podaci)
  • što je blokirano sigurnosnim politikama i iz kojeg razloga, naime
    • zabranjena primjena
    • zabranjeno na temelju ip/protokola/porta/zastavica/zona
    • sprječavanje prijetnji
    • filtriranje URL-ova
    • filtriranje podataka
    • blokiranje datoteke
    • ...
  • statistika DOS/DDOS napada
  • neuspjeli pokušaji identifikacije i autorizacije
  • statistika za sve gore navedene događaje kršenja sigurnosnih pravila
  • ...

U ovom poglavlju o sigurnosti zanima nas drugi dio.

Neki moderni vatrozidi (iz mog iskustva u Palo Altu) pružaju dobru razinu vidljivosti. Ali, naravno, promet koji vas zanima mora proći kroz ovaj vatrozid (u tom slučaju imate mogućnost blokiranja prometa) ili zrcaljen na vatrozid (koristi se samo za nadzor i analizu), a vi morate imati licence za omogućavanje svih ove usluge.

Postoji naravno i alternativni način, odnosno tradicionalni način, npr.

  • Statistika sesije može se prikupiti putem netflowa, a zatim koristiti posebne alate za analizu informacija i vizualizaciju podataka
  • sprječavanje prijetnji – posebni programi (antivirusni, anti-spyware, firewall) na krajnjim računalima
  • URL filtriranje, filtriranje podataka, blokiranje datoteka – na proxyju
  • također je moguće analizirati tcpdump koristeći npr. frka

Možete kombinirati ova dva pristupa, nadopunjavajući značajke koje nedostaju ili ih duplicirati kako biste povećali vjerojatnost otkrivanja napada.

Koji pristup odabrati?
Uvelike ovisi o kvalifikacijama i preferencijama vašeg tima.
I tamo i tamo ima prednosti i mana.

Jedinstveni centralizirani sustav autentifikacije i autorizacije

Kada je dobro osmišljena, mobilnost o kojoj smo raspravljali u ovom članku pretpostavlja da imate isti pristup bilo da radite iz ureda ili od kuće, iz zračne luke, iz kafića ili bilo gdje drugdje (uz ograničenja o kojima smo govorili gore). Čini se, u čemu je problem?
Kako bismo bolje razumjeli složenost ovog zadatka, pogledajmo tipični dizajn.

Primjer

  • Sve zaposlenike ste podijelili u grupe. Odlučili ste omogućiti pristup po grupama
  • Unutar ureda kontrolirate pristup na vatrozidu ureda
  • Vi kontrolirate promet od ureda do podatkovnog centra na vatrozidu podatkovnog centra
  • Koristite Cisco ASA kao VPN gateway i za kontrolu prometa koji ulazi u vašu mrežu od udaljenih klijenata, koristite lokalne (na ASA) ACL-ove

Sada, recimo da se od vas traži da dodate dodatni pristup određenom zaposleniku. U tom slučaju od vas se traži da pristup dodate samo njemu i nikome drugom iz njegove grupe.

Za ovo moramo stvoriti zasebnu grupu za ovog zaposlenika, tj

  • stvoriti zaseban IP skup na ASA za ovog zaposlenika
  • dodajte novi ACL na ASA i povežite ga s tim udaljenim klijentom
  • stvoriti nove sigurnosne politike na vatrozidima ureda i podatkovnih centara

Dobro je ako je ovaj događaj rijedak. Ali u mojoj praksi bilo je situacija kada su zaposlenici sudjelovali u različitim projektima, a ovaj skup projekata za neke od njih se često mijenjao, a to nije bila 1-2 osobe, već deseci. Naravno, tu je trebalo nešto promijeniti.

To je riješeno na sljedeći način.

Odlučili smo da će LDAP biti jedini izvor istine koji određuje sve moguće pristupe zaposlenika. Napravili smo sve vrste grupa koje definiraju skupove pristupa, a svakog smo korisnika dodijelili jednoj ili više grupa.

Tako, na primjer, pretpostavimo da postoje grupe

  • gost (pristup internetu)
  • zajednički pristup (pristup zajedničkim resursima: pošta, baza znanja, ...)
  • računovodstvo
  • projekt 1
  • projekt 2
  • Administrator baze podataka
  • linux administrator
  • ...

A ako je jedan od zaposlenika bio uključen i u projekt 1 i u projekt 2 i trebao mu je pristup potreban za rad na tim projektima, tada je taj zaposlenik dodijeljen sljedećim skupinama:

  • gost
  • zajednički pristup
  • projekt 1
  • projekt 2

Kako sada te informacije možemo pretvoriti u pristup mrežnoj opremi?

Politika dinamičkog pristupa Cisco ASA (DAP) (pogledajte www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) rješenje je upravo za ovaj zadatak.

Ukratko o našoj implementaciji, tijekom procesa identifikacije/autorizacije, ASA prima od LDAP-a skup grupa koje odgovaraju određenom korisniku i "prikuplja" iz nekoliko lokalnih ACL-ova (od kojih svaki odgovara grupi) dinamički ACL sa svim potrebnim pristupima , što u potpunosti odgovara našim željama.

Ali ovo je samo za VPN veze. Kako bi situacija bila ista i za zaposlenike povezane putem VPN-a i za one u uredu, poduzet je sljedeći korak.

Kada su se povezivali iz ureda, korisnici koji su koristili protokol 802.1x završavali su ili u LAN-u za goste (za goste) ili u zajedničkom LAN-u (za zaposlenike tvrtke). Nadalje, da bi dobili određeni pristup (na primjer, projektima u podatkovnom centru), zaposlenici su se morali povezati putem VPN-a.

Za povezivanje iz ureda i od kuće korištene su različite grupe tunela na ASA. Ovo je potrebno kako za one koji se spajaju iz ureda, promet prema zajedničkim resursima (koje koriste svi zaposlenici, kao što su mail, serveri datoteka, sustav karata, dns, ...) ne ide kroz ASA, već kroz lokalnu mrežu . Dakle, ASA nismo opteretili nepotrebnim prometom, uključujući i promet visokog intenziteta.

Time je problem riješen.
Dobili smo

  • isti skup pristupa za veze iz ureda i udaljene veze
  • odsutnost degradacije usluge pri radu iz ureda povezanog s prijenosom prometa visokog intenziteta kroz ASA

Koje su druge prednosti ovog pristupa?
U administraciji pristupa. Pristupi se lako mijenjaju na jednom mjestu.
Na primjer, ako zaposlenik napusti tvrtku, jednostavno ga uklonite iz LDAP-a i on automatski gubi sav pristup.

Provjera domaćina

S mogućnošću daljinskog povezivanja riskiramo da u mrežu pustimo ne samo zaposlenika tvrtke, već i sav maliciozni softver koji je vrlo vjerojatno prisutan na njegovom računalu (primjerice kućnom), a štoviše, putem tog softvera mi možda pruža pristup našoj mreži napadaču koji koristi ovaj host kao proxy.

Ima smisla da daljinski povezani host primjenjuje iste sigurnosne zahtjeve kao i host u uredu.

Ovo također pretpostavlja "ispravnu" verziju OS-a, anti-virus, anti-spyware i vatrozid softver i ažuriranja. Obično ova mogućnost postoji na VPN pristupniku (za ASA pogledajte, na primjer, здесь).

Također je mudro primijeniti istu analizu prometa i tehnike blokiranja (pogledajte “Visoka razina zaštite”) koje vaša sigurnosna politika primjenjuje na uredski promet.

Razumno je pretpostaviti da vaša uredska mreža više nije ograničena na uredsku zgradu i domaćine unutar nje.

Primjer

Dobra tehnika je osigurati svakom zaposleniku kojem je potreban udaljeni pristup dobro, praktično prijenosno računalo i zahtijevati od njih da rade, kako u uredu tako i od kuće, samo s njega.

Ne samo da poboljšava sigurnost vaše mreže, već je i stvarno praktičan i obično ga zaposlenici pozitivno gledaju (ako se radi o stvarno dobrom prijenosnom računalu jednostavnom za korištenje).

O osjećaju za mjeru i ravnotežu

Uglavnom, ovo je razgovor o trećem vrhu našeg trokuta - o cijeni.
Pogledajmo hipotetski primjer.

Primjer

Imate ured za 200 ljudi. Odlučili ste to učiniti što praktičnijim i sigurnijim.

Stoga ste odlučili sav promet propustiti kroz vatrozid i stoga je za sve uredske podmreže vatrozid zadani pristupnik. Osim sigurnosnog softvera instaliranog na svakom krajnjem hostu (antivirusni, anti-spyware i vatrozidni softver), također ste odlučili primijeniti sve moguće metode zaštite na vatrozidu.

Kako biste osigurali visoku brzinu veze (sve zbog praktičnosti), odabrali ste preklopnike s 10 gigabitnim pristupnim priključcima kao pristupne preklopnike i vatrozide visokih performansi NGFW kao vatrozide, na primjer, seriju Palo Alto 7K (s 40 gigabitnih priključnica), naravno sa svim licencama uključeni i, naravno, par visoke dostupnosti.

Također, naravno, za rad s ovom linijom opreme potrebno nam je barem nekoliko visokokvalificiranih inženjera sigurnosti.

Zatim ste odlučili svakom zaposleniku dati dobro prijenosno računalo.

Ukupno, oko 10 milijuna dolara za implementaciju, stotine tisuća dolara (mislim da je bliže milijunu) za godišnju podršku i plaće za inženjere.

Ured, 200 ljudi...
Udobno? Pretpostavljam da je da.

Došli ste s ovim prijedlogom svojoj upravi...
Možda postoji niz tvrtki u svijetu za koje je to prihvatljivo i ispravno rješenje. Ako ste zaposlenik ove tvrtke, moje čestitke, ali u velikoj većini slučajeva, siguran sam da vaše znanje neće biti cijenjeno od strane uprave.

Je li ovaj primjer pretjeran? Sljedeće poglavlje će odgovoriti na ovo pitanje.

Ako na svojoj mreži ne vidite ništa od navedenog, onda je to norma.
Za svaki konkretan slučaj potrebno je pronaći svoj razumni kompromis između pogodnosti, cijene i sigurnosti. Često vam čak ni ne treba NGFW u vašem uredu, a L7 zaštita na vatrozidu nije potrebna. Dovoljno je osigurati dobru razinu vidljivosti i upozorenja, a to se može učiniti pomoću proizvoda otvorenog koda, primjerice. Da, vaša reakcija na napad neće biti trenutna, ali najvažnije je da ćete ga vidjeti i uz ispravne procese u vašem odjelu, moći ćete ga brzo neutralizirati.

I dopustite da vas podsjetim da, prema konceptu ove serije članaka, vi ne dizajnirate mrežu, već samo pokušavate poboljšati ono što imate.

SIGURNA analiza uredske arhitekture

Obratite pažnju na ovaj crveni kvadrat kojem sam dodijelio mjesto na dijagramu SAFE Vodič za arhitekturu sigurnog kampusao čemu bih želio ovdje raspravljati.

Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Treće poglavlje. Sigurnost mreže. treći dio

Ovo je jedno od ključnih mjesta arhitekture i jedna od najvažnijih neizvjesnosti.

primjedba

Nikada nisam postavljao niti radio s FirePowerom (iz Ciscove linije vatrozida - samo ASA), pa ću ga tretirati kao bilo koji drugi vatrozid, poput Juniper SRX ili Palo Alto, pod pretpostavkom da ima iste mogućnosti.

Od uobičajenih dizajna, vidim samo 4 moguće opcije za korištenje vatrozida s ovom vezom:

  • zadani pristupnik za svaku podmrežu je prekidač, dok je vatrozid u transparentnom načinu rada (to jest, sav promet ide kroz njega, ali ne formira L3 skok)
  • zadani pristupnik za svaku podmrežu su podsučelja vatrozida (ili SVI sučelja), prekidač igra ulogu L2
  • na preklopniku se koriste različiti VRF-ovi, a promet između VRF-ova ide kroz vatrozid, promet unutar jednog VRF-a kontrolira ACL na preklopniku
  • sav se promet zrcali na vatrozid radi analize i praćenja; promet ne prolazi kroz njega

Napomena 1

Moguće su kombinacije ovih opcija, ali zbog jednostavnosti ih nećemo razmatrati.

Napomena 2

Postoji i mogućnost korištenja PBR-a (service chain architecture), no za sada je ovo, iako lijepo rješenje po meni, prilično egzotično, pa ga ovdje ne razmatram.

Iz opisa tokova u dokumentu vidimo da promet i dalje ide kroz firewall, odnosno da je, sukladno Cisco dizajnu, četvrta opcija eliminirana.

Pogledajmo najprije prve dvije opcije.
S ovim opcijama sav promet prolazi kroz vatrozid.

Sada pogledajmo podatkovni list, pogledaj Cisco GPL i vidimo da ako želimo da ukupna propusnost za naš ured bude barem oko 10 - 20 gigabita, onda moramo kupiti 4K verziju.

primjedba

Kada govorim o ukupnom bandwithu, mislim na promet između podmreža (a ne unutar jedne vilane).

Iz GPL-a vidimo da za HA Bundle s Threat Defense, cijena ovisno o modelu (4110 - 4150) varira od ~0,5 - 2,5 milijuna dolara.

Odnosno, naš dizajn počinje nalikovati prethodnom primjeru.

Znači li to da je ovaj dizajn pogrešan?
Ne, to ne znači to. Cisco vam pruža najbolju moguću zaštitu na temelju linije proizvoda koju ima. Ali to ne znači da je to nešto što morate učiniti za vas.

U principu, ovo je često pitanje koje se postavlja pri projektiranju ureda ili podatkovnog centra i samo znači da treba tražiti kompromis.

Na primjer, ne dopustite da sav promet prolazi kroz vatrozid, u kojem slučaju mi ​​se opcija 3 čini prilično dobrom, ili (pogledajte prethodni odjeljak) možda vam ne treba obrana od prijetnji ili uopće ne treba vatrozid mrežni segment, a trebate se samo ograničiti na pasivni nadzor koristeći plaćena (ne skupa) ili rješenja otvorenog koda ili vam je potreban vatrozid, ali od drugog proizvođača.

Obično uvijek postoji ta neizvjesnost i nema jasnog odgovora koja je odluka najbolja za vas.
To je složenost i ljepota ovog zadatka.

Izvor: www.habr.com

Dodajte komentar