Atik sa a se twazyèm nan yon seri atik "Kijan pou w pran kontwòl enfrastrikti rezo w la." Ou ka jwenn sa ki nan tout atik nan seri a ak lyen yo .
Pa gen okenn pwen nan pale sou konplètman elimine risk sekirite. An prensip, nou pa ka redwi yo a zewo. Nou bezwen konprann tou ke pandan n ap fè efò pou rann rezo a pi plis an sekirite, solisyon nou yo ap vin pi plis chè. Ou bezwen jwenn yon echanj ant pri, konpleksite, ak sekirite ki fè sans pou rezo ou a.
Natirèlman, konsepsyon sekirite se òganikman entegre nan achitekti an jeneral ak solisyon sekirite yo itilize afekte évolutivité, fyab, jere, ... nan enfrastrikti rezo a, ki dwe tou pran an kont.
Men, kite m 'fè ou sonje ke kounye a nou pa ap pale sou kreye yon rezo. Dapre nou nou te deja chwazi konsepsyon an, chwazi ekipman an, ak kreye enfrastrikti a, ak nan etap sa a, si sa posib, nou ta dwe "viv" epi jwenn solisyon nan yon kontèks apwòch la te chwazi deja.
Travay nou kounye a se idantifye risk ki asosye ak sekirite nan nivo rezo a epi redwi yo nan yon nivo rezonab.
Odit sekirite rezo a
Si òganizasyon w te aplike pwosesis ISO 27k, Lè sa a, odit sekirite ak chanjman rezo yo ta dwe anfòm san pwoblèm nan pwosesis yo an jeneral nan apwòch sa a. Men, estanda sa yo toujou pa sou solisyon espesifik, pa sou konfigirasyon, pa sou konsepsyon ... Pa gen okenn konsèy klè, pa gen okenn estanda dikte an detay ki sa rezo ou ta dwe tankou, sa a se konpleksite a ak bote nan travay sa a.
Mwen ta mete aksan sou plizyè odit sekirite rezo posib:
- odit konfigirasyon ekipman (redi)
- odit konsepsyon sekirite
- odit aksè
- odit pwosesis
Odit konfigirasyon ekipman (redi)
Li sanble ke nan pifò ka sa a se pi bon pwen depa pou odit ak amelyore sekirite rezo ou a. IMHO, sa a se yon bon demonstrasyon nan lwa Pareto a (20% nan efò pwodui 80% nan rezilta a, ak rès 80% nan efò pwodui sèlman 20% nan rezilta a).
Liy anba a se ke nou anjeneral gen rekòmandasyon nan men fournisseurs konsènan "pi bon pratik" pou sekirite lè konfigirasyon ekipman yo. Yo rele sa "redi".
Ou ka jwenn tou souvan yon kesyonè (oswa kreye youn tèt ou) ki baze sou rekòmandasyon sa yo, ki pral ede w detèmine kijan konfigirasyon ekipman ou an konfòme yo ak "pi bon pratik" sa yo epi, an akò ak rezilta a, fè chanjman nan rezo ou. . Sa a pral pèmèt ou siyifikativman redwi risk sekirite byen fasil, nan nòmalman pa koute.
Plizyè egzanp pou kèk sistèm operasyon Cisco.
Dapre dokiman sa yo, yo ka kreye yon lis kondisyon konfigirasyon pou chak kalite ekipman. Pou egzanp, pou yon Cisco N7K VDC kondisyon sa yo ta ka sanble .
Nan fason sa a, fichye konfigirasyon yo ka kreye pou diferan kalite ekipman aktif nan enfrastrikti rezo ou. Apre sa, manyèlman oswa lè l sèvi avèk automatisation, ou ka "telechaje" fichye konfigirasyon sa yo. Ki jan yo otomatize pwosesis sa a yo pral diskite an detay nan yon lòt seri de atik sou orchestration ak automatisation.
Odit konsepsyon sekirite
Tipikman, yon rezo antrepriz gen segman sa yo nan yon fòm oswa yon lòt:
- DC (Sèvis piblik DMZ ak sant done Intranet)
- aksè nan entènèt
- Vpn aksè adistans
- WAN kwen
- Branch
- Kanpis (Biwo)
- Nwayo
Tit yo pran nan modèl, men li pa nesesè, nan kou, yo dwe tache jisteman nan non sa yo ak nan modèl sa a. Toujou, mwen vle pale sou sans nan epi yo pa jwenn anbourbe nan fòmalite.
Pou chak nan segman sa yo, kondisyon sekirite, risk ak, kòmsadwa, solisyon yo pral diferan.
Ann gade nan chak nan yo separeman pou pwoblèm yo ke ou ka rankontre nan yon pwen de vi konsepsyon sekirite. Natirèlman, mwen repete ankò ke nan okenn fason atik sa a pretann yo dwe konplè, ki pa fasil (si se pa enposib) reyalize nan sijè sa a vrèman pwofon ak plizyè aspè, men li reflete eksperyans pèsonèl mwen.
Pa gen okenn solisyon pafè (omwen pa ankò). Se toujou yon konpwomi. Men, li enpòtan ke desizyon an sèvi ak yon apwòch oswa yon lòt pran konsyans, ak yon konpreyansyon nan tou de avantaj ak dezavantaj li yo.
Done Sant
Segman ki pi kritik nan yon pwen de vi sekirite.
Epi, kòm dabitid, pa gen okenn solisyon inivèsèl isit la tou. Li tout depann anpil sou kondisyon rezo yo.
Èske yon firewall nesesè oswa ou pa?
Li ta sanble ke repons lan se evidan, men tout bagay se pa byen klè jan li ta ka sanble. Ak chwa ou ka enfliyanse pa sèlman pri.
Egzanp 1. Reta.
Si latansi ba se yon kondisyon esansyèl ant kèk segman rezo, ki se, pou egzanp, vre nan ka a nan yon echanj, Lè sa a, nou pa yo pral kapab sèvi ak firewall ant segman sa yo. Li difisil pou jwenn etid sou latansi nan firewall, men kèk modèl switch ka bay latansi nan mwens pase oswa sou lòd la nan 1 mksec, kidonk mwen panse ke si mikrosgond yo enpòtan pou ou, Lè sa a, firewall yo pa pou ou.
Egzanp 2. Pèfòmans.
Debi a nan switch L3 tèt yo anjeneral yon lòd nan grandè ki pi wo pase debi a nan firewall ki pi pwisan yo. Se poutèt sa, nan ka a nan gwo entansite trafik, ou pral gen plis chans pou pèmèt trafik sa a kontoune firewall.
Egzanp 3. Fyabilite
Firewall, espesyalman modèn NGFW (Next-Generation FW) se aparèy konplèks. Yo pi konplèks pase switch L3/L2. Yo bay yon gwo kantite sèvis ak opsyon konfigirasyon, kidonk li pa etone ke fyab yo pi ba anpil. Si kontinwite sèvis enpòtan pou rezo a, Lè sa a, ou ka oblije chwazi sa ki pral mennen nan pi bon disponiblite - sekirite ak yon firewall oswa senplisite nan yon rezo ki bati sou switch (oswa divès kalite twal) lè l sèvi avèk ACL regilye.
Nan ka egzanp ki anwo yo, ou pral gen plis chans (tankou dabitid) gen jwenn yon konpwomi. Gade nan solisyon sa yo:
- si ou deside pa sèvi ak firewall andedan sant done a, Lè sa a, ou bezwen reflechi sou ki jan yo limite aksè alantou perimèt la otank posib. Pou egzanp, ou ka louvri sèlman pò ki nesesè yo soti nan entènèt la (pou trafik kliyan) ak aksè administratif nan sant done a sèlman soti nan lame so. Sou hôtes so, fè tout chèk ki nesesè yo (otantifikasyon/otorizasyon, antivirus, antre, ...)
- ou ka itilize yon patisyon ki lojik nan rezo sant done an segman, menm jan ak konplo ki dekri nan PSEFABRIC . Nan ka sa a, routage yo dwe configuré nan yon fason pou trafik reta-sansib oswa gwo entansite ale "nan" yon sèl segman (nan ka p002, VRF) epi yo pa ale nan firewall la. Trafik ant diferan segman ap kontinye ale nan firewall la. Ou kapab tou itilize wout koule ant VRF yo pou evite redireksyon trafik atravè firewall la
- Ou kapab tou itilize yon firewall nan mòd transparan epi sèlman pou VLAN sa yo kote faktè sa yo (latansi/pèfòmans) pa enpòtan. Men, ou bezwen ak anpil atansyon etidye restriksyon ki asosye ak itilizasyon mod sa a pou chak machann
- ou ka vle konsidere lè l sèvi avèk yon achitekti chèn sèvis. Sa a pral pèmèt sèlman trafik nesesè yo pase nan firewall la. Li sanble bèl nan teyori, men mwen pa janm wè solisyon sa a nan pwodiksyon an. Nou teste chèn sèvis la pou Cisco ACI / Juniper SRX / F5 LTM sou 3 ane de sa, men nan moman sa a solisyon sa a te sanble "brit" pou nou.
Nivo pwoteksyon
Koulye a, ou bezwen reponn kesyon an nan ki zouti ou vle itilize pou filtre trafik. Men kèk nan karakteristik yo ki anjeneral prezan nan NGFW (pa egzanp, ):
- eta firewalling (default)
- aplikasyon pare-feu
- prevansyon menas (antivirus, anti-espyon, ak vilnerabilite)
- Filtrage URL
- filtraj done (filtraj kontni)
- fichye bloke (tip fichye bloke)
- dos pwoteksyon
Epi se pa tout bagay ki klè tou. Li ta sanble ke pi wo nivo pwoteksyon an, pi bon an. Men, ou bezwen tou konsidere sa
- Plis nan fonksyon pare-feu ki anwo yo ou itilize, plis li pral natirèlman chè (lisans, modil adisyonèl)
- itilize nan kèk algoritm ka siyifikativman diminye debi firewall epi tou ogmante reta, gade pou egzanp.
- tankou nenpòt solisyon konplèks, itilize nan metòd pwoteksyon konplèks ka diminye fyab nan solisyon ou a, pou egzanp, lè w ap itilize firewalling aplikasyon, mwen te rankontre bloke nan kèk aplikasyon trè estanda k ap travay (dns, smb)
Kòm toujou, ou bezwen jwenn pi bon solisyon pou rezo w la.
Li enposib definitivman reponn kesyon an sou ki fonksyon pwoteksyon yo ka mande. Premyèman, paske li nan kou depann sou done yo w ap transmèt oswa estoke ak ap eseye pwoteje. Dezyèmman, an reyalite, souvan chwa a nan zouti sekirite se yon kesyon de lafwa ak konfyans nan vandè a. Ou pa konnen algorithm yo, ou pa konnen ki jan efikas yo, epi ou pa ka konplètman teste yo.
Se poutèt sa, nan segman kritik, yon solisyon bon ka sèvi ak òf nan konpayi diferan. Pou egzanp, ou ka pèmèt antivirus sou firewall la, men tou, sèvi ak pwoteksyon antivirus (ki soti nan yon lòt manifakti) lokalman sou tout pouvwa yo.
Segmantasyon
Nou ap pale de segmentasyon lojik rezo sant done yo. Pou egzanp, patisyon nan VLAN ak subnet se tou segmentasyon lojik, men nou pa pral konsidere li akòz evidan li yo. Segmantasyon enteresan pran an kont antite tankou zòn sekirite FW, VRFs (ak analogue yo an relasyon ak plizyè fournisseurs), aparèy lojik (PA VSYS, Cisco N7K VDC, Cisco ACI Lokatè, ...), ...
Yo bay yon egzanp segmentasyon lojik sa yo ak konsepsyon sant done demann kounye a .
Lè w fin defini pati ki lojik rezo w la, ou ka dekri kijan trafik deplase ant diferan segman, sou ki aparèy yo pral fè filtraj ak ki mwayen.
Si rezo ou a pa gen yon patisyon ki lojik klè epi règ yo pou aplike règleman sekirite pou diferan koule done yo pa ofisyèlman, sa vle di ke lè ou louvri aksè sa a oswa sa a, ou oblije rezoud pwoblèm sa a, ak yon gwo pwobabilite ou. pral rezoud li chak fwa yon fason diferan.
Souvan segmantasyon baze sèlman sou zòn sekirite FW yo. Lè sa a, ou bezwen reponn kesyon sa yo:
- ki zòn sekirite ou bezwen
- ki nivo pwoteksyon ou vle aplike nan chak nan zòn sa yo
- èske trafik andedan zòn nan pral pèmèt pa default?
- si se pa sa, ki politik filtraj trafik yo pral aplike nan chak zòn
- ki politik filtraj trafik yo pral aplike pou chak pè zòn (sous/destinasyon)
TCAM
Yon pwoblèm komen se ensifizan TCAM (Ternary Content Addressable Memory), tou de pou routage ak pou aksè. IMHO, sa a se youn nan pwoblèm ki pi enpòtan yo lè w ap chwazi ekipman, kidonk ou bezwen trete pwoblèm sa a ak degre ki apwopriye nan swen.
Egzanp 1. Transmisyon tab TCAM.
Ann pran yon gade firewall
Nou wè ke IPv4 voye gwosè tab la * = 32K
Anplis, kantite wout sa a komen pou tout VSYS yo.Ann sipoze ke dapre konsepsyon ou ou deside sèvi ak 4 VSYS.
Chak nan VSYS sa yo konekte atravè BGP ak de PE MPLS nan nwaj la ke ou itilize kòm yon BB. Kidonk, 4 VSYS echanj tout wout espesifik youn ak lòt epi yo gen yon tab transmisyon ak apeprè menm seri wout yo (men NH diferan). Paske chak VSYS gen 2 sesyon BGP (avèk menm paramèt yo), Lè sa a, chak wout resevwa atravè MPLS gen 2 NH epi, kòmsadwa, 2 antre FIB nan Tablo Transmisyon an. Si nou sipoze ke sa a se sèl firewall nan sant done a epi li dwe konnen sou tout wout yo, Lè sa a, sa a pral vle di ke kantite total wout nan sant done nou an pa ka plis pase 32K / (4 * 2) = 4K.Koulye a, si nou sipoze ke nou gen 2 sant done (ak menm konsepsyon an), epi nou vle sèvi ak VLAN "detire" ant sant done (pa egzanp, pou vMotion), Lè sa a, yo rezoud pwoblèm nan routage, nou dwe itilize wout lame. . Men, sa vle di ke pou 2 sant done nou pa pral gen plis pase 4096 lame posib epi, nan kou, sa a ka pa ase.
Egzanp 2. ACL TCAM.
Si w planifye pou filtre trafik sou switch L3 (oswa lòt solisyon ki sèvi ak switch L3, pou egzanp, Cisco ACI), Lè sa a, lè w ap chwazi ekipman ou ta dwe peye atansyon sou TCAM ACL la.
Sipoze ou vle kontwole aksè sou interfaces SVI nan Cisco Catalyst 4500. Lè sa a, jan yo ka wè nan , pou kontwole trafik sortan (kòm byen ke fèk ap rantre) sou interfaces, ou ka itilize sèlman 4096 liy TCAM. Ki lè w ap itilize TCAM3 ap ba w anviwon 4000 mil ACE (liy ACL).
Si w ap fè fas ak pwoblèm nan ensifizan TCAM, Lè sa a, premye a tout, nan kou, ou bezwen konsidere posibilite pou optimize. Se konsa, nan ka ta gen yon pwoblèm ak gwosè a nan Forwarding Table, ou bezwen konsidere posiblite pou agrégation wout yo. Nan ka ta gen yon pwoblèm ak gwosè TCAM pou aksè, odit aksè, retire dosye demode ak sipèpoze, epi pètèt revize pwosedi a pou ouvèti aksè (yo pral diskite an detay nan chapit la sou aksè odit).
Segondè Disponibilite
Kesyon an se: èske mwen ta dwe itilize HA pou firewall oswa enstale de bwat endepandan "an paralèl" epi, si youn nan yo echwe, wout trafik nan dezyèm lan?
Li ta sanble ke repons lan se evidan - itilize HA. Rezon an pou kisa kesyon sa a toujou rive se ke, malerezman, teyorik la ak piblisite 99 ak plizyè pousantaj desimal nan aksè nan pratik vire soti yo dwe lwen tèlman woz. HA se lojikman byen yon bagay konplèks, ak sou ekipman diferan, ak machann diferan (pa te gen okenn eksepsyon), nou kenbe pwoblèm ak pinèz ak sispann sèvis.
Si ou itilize HA, w ap gen opòtinite pou fèmen nœuds endividyèl yo, chanje ant yo san yo pa sispann sèvis la, ki enpòtan, pou egzanp, lè w ap fè amelyorasyon, men an menm tan ou gen yon pwobabilite ki lwen zewo ke tou de nœuds. pral kraze an menm tan an, epi tou ke pwochen an ajou a pa pral ale kòm fèt san pwoblèm kòm vandè a pwomèt (pwoblèm sa a ka evite si ou gen opòtinite teste ajou a sou ekipman laboratwa).
Si ou pa sèvi ak HA, Lè sa a, nan pwen de vi echèk doub risk ou yo pi ba anpil (depi ou gen 2 firewall endepandan), men depi ... sesyon yo pa senkronize, Lè sa a, chak fwa ou chanje ant firewall sa yo ou pral pèdi trafik. Ou ka, nan kou, sèvi ak firewall apatrid, men Lè sa a, pwen nan lè l sèvi avèk yon firewall se lajman pèdi.
Se poutèt sa, si kòm yon rezilta nan kontwòl kontab la ou te dekouvri firewall poukont, epi w ap panse sou ogmante fyab la nan rezo ou a, Lè sa a, HA, nan kou, se youn nan solisyon yo rekòmande, men ou ta dwe tou pran an kont dezavantaj yo ki asosye. ak apwòch sa a epi, petèt, espesyalman pou rezo ou a, yon lòt solisyon ta pi apwopriye.
Manabilite
Nan prensip, HA se tou sou kontwòlabilite. Olye pou yo konfigirasyon 2 bwat separeman epi fè fas ak pwoblèm nan kenbe konfigirasyon yo nan senkronizasyon, ou jere yo anpil tankou si ou te gen yon sèl aparèy.
Men, petèt ou gen anpil sant done ak anpil firewall, Lè sa a, kesyon sa a rive nan yon nivo nouvo. Ak kesyon an se pa sèlman sou konfigirasyon, men tou sou
- konfigirasyon backup
- mizajou
- amelyorasyon
- siveyans
- antre
Ak tout bagay sa yo ka rezoud pa sistèm jesyon santralize.
Se konsa, pou egzanp, si w ap itilize firewall Palo Alto, lè sa a se yon solisyon konsa.
Yo dwe kontinye.
Sous: www.habr.com