ProHoster > Blog > Administrasyon an > Ki jan yo pran kontwòl enfrastrikti rezo ou a. Chapit twa. Sekirite rezo. Twazyèm pati

Ki jan yo pran kontwòl enfrastrikti rezo ou a. Chapit twa. Sekirite rezo. Twazyèm pati

Atik sa a se senkyèm nan seri "Kijan pou w pran kontwòl enfrastrikti rezo w la." Ou ka jwenn sa ki nan tout atik nan seri a ak lyen yo isit la.

Pati sa a pral konsakre nan Campus (Biwo) ak segman VPN aksè Remote.

Ki jan yo pran kontwòl enfrastrikti rezo ou a. Chapit twa. Sekirite rezo. Twazyèm pati

Konsepsyon rezo biwo ka sanble fasil.

Vreman vre, nou pran switch L2 / L3 epi konekte yo youn ak lòt. Apre sa, nou pote soti nan konfigirasyon debaz vilans ak pòtay default, mete kanpe routage senp, konekte contrôleur WiFi, pwen aksè, enstale ak konfigirasyon ASA pou aksè aleka, nou kontan ke tout bagay te travay. Fondamantalman, jan mwen te deja ekri nan youn nan anvan an atik nan sik sa a, prèske chak elèv ki te ale nan (ak aprann) de semès nan yon kou telecom ka konsepsyon ak konfigirasyon yon rezo biwo pou li "yon jan kanmenm travay."

Men, plis ou aprann, mwens senp travay sa a kòmanse parèt. Pou mwen pèsonèlman, sijè sa a, sijè a nan konsepsyon rezo biwo, pa sanble senp ditou, ak nan atik sa a mwen pral eseye eksplike poukisa.

An brèf, genyen jan sa dwe fèt kèk faktè pou konsidere. Souvan faktè sa yo an konfli youn ak lòt epi yo dwe chèche yon konpwomi rezonab.
Ensètitid sa a se difikilte prensipal la. Se konsa, pale sou sekirite, nou gen yon triyang ak twa somè: sekirite, konvenyans pou anplwaye yo, pri nan solisyon an.
Ak chak fwa ou gen pou chèche pou yon konpwomi ant twa sa yo.

achitekti

Kòm yon egzanp yon achitekti pou de segman sa yo, tankou nan atik anvan yo, mwen rekòmande Cisco SAFE modèl: Enterprise Campus, Enterprise Entènèt Edge.

Sa yo se yon ti jan demode dokiman. Mwen prezante yo isit la paske rapid ak apwòch fondamantal yo pa chanje, men an menm tan mwen renmen prezantasyon an plis pase nan nouvo dokiman.

San yo pa ankouraje w sèvi ak solisyon Cisco, mwen toujou panse li itil pou etidye ak anpil atansyon konsepsyon sa a.

Atik sa a, kòm dabitid, pa nan okenn fason pretann yo dwe konplè, men se pito yon adisyon nan enfòmasyon sa a.

Nan fen atik la, nou pral analize konsepsyon biwo Cisco SAFE an tèm de konsèp ki endike isit la.

Jeneral prensip yo

Desen an nan rezo biwo a dwe, nan kou, satisfè kondisyon jeneral yo ki te diskite isit la nan chapit la "Kritè pou evalye kalite konsepsyon". Anplis pri ak sekirite, ke nou gen entansyon diskite nan atik sa a, toujou gen twa kritè ke nou dwe konsidere lè konsepsyon (oswa fè chanjman):

  • évolutivité
  • fasil pou itilize (manabilite)
  • disponiblite

Anpil nan sa ki te diskite pou sant done yo Sa a se laverite tou pou biwo a.

Men, toujou, segman biwo a gen spesifik pwòp li yo, ki se kritik nan yon pwen de vi sekirite. Sans nan espesifik sa a se ke se segman sa a kreye bay sèvis rezo bay anplwaye yo (kòm byen ke patnè ak envite) nan konpayi an, epi, kòm yon rezilta, nan nivo ki pi wo nan konsiderasyon pwoblèm nan nou gen de travay:

  • pwoteje resous konpayi yo kont aksyon move ki ka soti nan anplwaye yo (envite, patnè) ak nan lojisyèl yo itilize yo. Sa a gen ladan tou pwoteksyon kont koneksyon san otorizasyon nan rezo a.
  • pwoteje sistèm ak done itilizatè yo

Epi sa a se sèlman yon bò nan pwoblèm nan (oswa pito, yon somè nan triyang lan). Sou lòt bò a se konvenyans itilizatè ak pri a nan solisyon yo itilize.

Ann kòmanse pa gade sa yon itilizatè ap atann de yon rezo biwo modèn.

Amenities

Men ki jan "amenities rezo" sanble pou yon itilizatè biwo nan opinyon mwen:

  • Mobilite
  • Kapasite pou itilize tout seri aparèy ak sistèm operasyon yo konnen yo
  • Aksè fasil nan tout resous konpayi ki nesesè yo
  • Disponibilite nan resous Entènèt, ki gen ladan divès kalite sèvis nwaj
  • "Fast operasyon" nan rezo a

Tout sa a aplike a tou de anplwaye ak envite (oswa patnè), epi li se travay nan enjenyè konpayi an yo diferansye aksè pou gwoup itilizatè diferan ki baze sou otorizasyon.

Ann gade nan chak nan aspè sa yo nan yon ti kras plis detay.

Mobilite

Nou ap pale de opòtinite pou travay epi sèvi ak tout resous konpayi ki nesesè yo soti nan nenpòt kote nan mond lan (nan kou, kote entènèt la disponib).

Sa a konplètman aplike nan biwo a. Sa a se pratik lè ou gen opòtinite pou kontinye travay soti nan nenpòt kote nan biwo a, pou egzanp, resevwa lapòs, kominike nan yon mesaje antrepriz, disponib pou yon apèl videyo, ... Kidonk, sa a pèmèt ou, sou yon bò, rezoud kèk pwoblèm "viv" kominikasyon (pa egzanp, patisipe nan rasanbleman), ak nan lòt men an, dwe toujou sou entènèt, kenbe dwèt ou sou batman kè a ak byen vit rezoud kèk travay ijan ki gen gwo priyorite. Sa a se trè pratik ak reyèlman amelyore kalite a nan kominikasyon.

Sa a se reyalize pa bon konsepsyon rezo WiFi.

Remak

Isit la kesyon an anjeneral rive: èske li ase yo sèvi ak sèlman WiFi? Èske sa vle di ke ou ka sispann sèvi ak pò Ethernet nan biwo a? Si nou ap pale sèlman sou itilizatè yo, epi yo pa sou serveurs, ki toujou rezonab konekte ak yon pò Ethernet regilye, Lè sa a, an jeneral repons lan se: wi, ou ka limite tèt ou nan WiFi sèlman. Men, gen nuans.

Gen gwoup itilizatè enpòtan ki mande pou yon apwòch separe. Sa yo se, nan kou, administratè. Nan prensip, yon koneksyon WiFi se mwens serye (an tèm de pèt trafik) ak pi dousman pase yon pò Ethernet regilye. Sa a ka enpòtan pou administratè yo. Anplis de sa, administratè rezo yo, pou egzanp, ka, nan prensip, gen pwòp rezo Ethernet dedye yo pou koneksyon andeyò band.

Ka gen lòt gwoup/depatman nan konpayi ou pou ki faktè sa yo enpòtan tou.

Gen yon lòt pwen enpòtan - telefòn. Petèt pou kèk rezon ou pa vle sèvi ak Wireless VoIP epi ou vle sèvi ak telefòn IP ak yon koneksyon Ethernet regilye.

An jeneral, konpayi yo mwen te travay pou yo anjeneral te gen tou de koneksyon WiFi ak yon pò Ethernet.

Mwen ta renmen mobilite pa limite sèlman nan biwo a.

Pou asire kapasite nan travay nan kay (oswa nenpòt lòt kote ak Entènèt aksesib), yo itilize yon koneksyon VPN. An menm tan an, li se dezirab ke anplwaye yo pa santi diferans ki genyen ant travay nan kay ak travay aleka, ki sipoze menm aksè a. Nou pral diskite sou fason pou òganize sa a yon ti kras pita nan chapit "Otantifikasyon santralize inifye ak sistèm otorizasyon."

Remak

Gen plis chans, ou p ap kapab bay totalman menm kalite sèvis pou travay aleka ke ou genyen nan biwo a. Ann sipoze ke w ap itilize yon Cisco ASA 5520 kòm pòtay VPN ou fèy done aparèy sa a kapab "dijere" sèlman 225 Mbit nan trafik VPN. Sa se, nan kou, an tèm de Pleasant, konekte atravè VPN se trè diferan de travay nan biwo a. Epitou, si, pou kèk rezon, latansi, pèt, jitter (pa egzanp, ou vle sèvi ak biwo IP téléphonie) pou sèvis rezo ou yo enpòtan, ou p ap resevwa menm kalite tankou si ou te nan biwo a. Se poutèt sa, lè w ap pale de mobilite, nou dwe okouran de limit posib.

Aksè fasil nan tout resous konpayi yo

Travay sa a ta dwe rezoud ansanm ak lòt depatman teknik.
Sitiyasyon ideyal la se lè itilizatè a sèlman bezwen otantifye yon fwa, epi apre sa li gen aksè a tout resous ki nesesè yo.
Bay aksè fasil san sakrifye sekirite ka siyifikativman amelyore pwodiktivite ak diminye estrès nan mitan kòlèg ou yo.

Remak 1

Fasilite aksè se pa sèlman sou konbyen fwa ou dwe antre yon modpas. Si, pou egzanp, an akò ak politik sekirite ou, yo nan lòd yo konekte soti nan biwo a nan sant done a, ou dwe premye konekte nan pòtay VPN la, epi an menm tan an ou pèdi aksè a resous biwo, Lè sa a, sa a se tou trè. , trè konvenyan.

Remak 2

Gen sèvis (pa egzanp, aksè nan ekipman rezo) kote nou anjeneral gen pwòp serveurs AAA dedye nou yo ak sa a se nòmal la lè nan ka sa a nou dwe otantifye plizyè fwa.

Disponibilite resous Entènèt

Entènèt la se pa sèlman amizman, men tou, yon seri sèvis ki ka trè itil pou travay. Genyen tou faktè piman sikolojik. Yon moun modèn konekte ak lòt moun atravè Entènèt la atravè anpil fil vityèl, epi, nan opinyon mwen, pa gen anyen ki mal si li kontinye santi koneksyon sa a menm pandan y ap travay.

Soti nan pwen de vi nan gaspiye tan, pa gen anyen ki mal si yon anplwaye, pou egzanp, gen Skype kouri epi pase 5 minit kominike ak yon moun ou renmen si sa nesesè.

Èske sa vle di ke Entènèt la ta dwe toujou disponib, èske sa vle di ke anplwaye yo ka gen aksè a tout resous epi yo pa kontwole yo nan okenn fason?

Non pa vle di sa, nan kou. Nivo ouvèti entènèt la ka varye pou konpayi diferan - soti nan fèmen nèt sou tout pwen ouvèti nèt sou tout pwen. Nou pral diskite sou fason pou kontwole trafik pita nan seksyon yo sou mezi sekirite.

Kapasite pou sèvi ak tout seri aparèy yo konnen yo

Li bon lè, pa egzanp, ou gen opòtinite pou kontinye itilize tout mwayen kominikasyon ou abitye nan travay ou. Pa gen okenn difikilte nan teknikman aplike sa a. Pou sa ou bezwen WiFi ak yon wilan envite.

Li bon tou si w gen opòtinite pou w sèvi ak sistèm operasyon w ap itilize a. Men, nan obsèvasyon mwen an, sa a se nòmalman pèmèt sèlman administratè, administratè ak devlopè.

Egzanp

Ou ka, nan kou, swiv chemen an nan entèdiksyon, entèdi aksè aleka, entèdi konekte soti nan aparèy mobil, limite tout bagay nan koneksyon estatik Ethernet, limite aksè nan entènèt la, obligatwaman konfiske telefòn selilè ak gadjèt nan pòs la ... ak chemen sa a. se aktyèlman swiv pa kèk òganizasyon ki gen plis kondisyon sekirite, e petèt nan kèk ka sa a ka jistifye, men... ou dwe dakò ke sa a sanble ak yon tantativ sispann pwogrè nan yon òganizasyon sèl. Natirèlman, mwen ta renmen konbine opòtinite teknoloji modèn yo bay ak yon nivo ase sekirite.

"Fast operasyon" nan rezo a

Vitès transfè done teknikman konsiste de anpil faktè. Ak vitès la nan pò koneksyon ou se anjeneral pa youn ki pi enpòtan an. Operasyon an dousman nan yon aplikasyon pa toujou asosye ak pwoblèm rezo, men pou kounye a nou yo sèlman enterese nan pati nan rezo a. Pwoblèm ki pi komen ak "ralantisman" rezo lokal la gen rapò ak pèt pake. Sa a anjeneral rive lè gen yon pwoblèm oswa pwoblèm L1 (OSI). Plis raman, ak kèk desen (pa egzanp, lè subnet ou yo gen yon firewall kòm pòtay default la epi konsa tout trafik ale nan li), pèfòmans pyès ki nan konpitè ka manke.

Se poutèt sa, lè w ap chwazi ekipman ak achitekti, ou bezwen korelasyon vitès yo nan pò fen, kalson ak pèfòmans ekipman yo.

Egzanp

Ann sipoze w ap itilize switch ki gen 1 pò gigabit kòm switch kouch aksè. Yo konekte youn ak lòt atravè Etherchannel 2 x 10 gigabit. Kòm yon pòtay default, ou itilize yon pare-feu ak pò gigabit, pou konekte ki ak rezo biwo L2 ou itilize 2 pò gigabit konbine nan yon Etherchannel.

Achitekti sa a se byen pratik nan yon pwen de vi fonksyonalite, paske ... Tout trafik ale nan firewall la, epi ou ka alèz jere règleman aksè, epi aplike algoritm konplèks pou kontwole trafik ak anpeche atak posib (gade anba a), men nan yon pwen de vi debi ak pèfòmans konsepsyon sa a, nan kou, gen pwoblèm potansyèl. Se konsa, pou egzanp, 2 lame telechaje done (ak yon vitès pò nan 1 gigabit) ka konplètman chaje yon koneksyon 2 gigabit nan firewall la, epi konsa mennen nan degradasyon sèvis pou tout segman biwo a.

Nou te gade yon somè nan triyang lan, kounye a ann gade nan ki jan nou ka asire sekirite.

Rekou

Se konsa, nan kou, anjeneral, dezi nou an (oswa olye, dezi a nan jesyon nou an) se reyalize enposib la, sètadi, bay maksimòm konvenyans ak sekirite maksimòm ak pri minimòm.

Ann gade nan ki metòd nou genyen pou bay pwoteksyon.

Pou biwo a, mwen ta mete aksan sou bagay sa yo:

  • apwòch zewo konfyans nan konsepsyon
  • wo nivo pwoteksyon
  • rezo vizibilite
  • sistèm otantifikasyon santralize inifye ak otorizasyon
  • tcheke lame

Apre sa, nou pral rete nan yon ti kras plis detay sou chak nan aspè sa yo.

Zewo Trust

Mond IT la ap chanje trè vit. Jis sou 10 ane ki sot pase yo, Aparisyon nan nouvo teknoloji ak pwodwi te mennen nan yon gwo revizyon nan konsèp sekirite. Dis ane de sa, nan yon pwen de vi sekirite, nou segmante rezo a nan zòn konfyans, dmz ak untrust, epi itilize sa yo rele "pwoteksyon perimèt", kote te gen 2 liy defans: untrust -> dmz ak dmz -> fè konfyans. Epitou, pwoteksyon te anjeneral limite a lis aksè ki baze sou L3/L4 (OSI) headers (IP, pò TCP/UDP, drapo TCP). Tout bagay ki gen rapò ak pi wo nivo, ki gen ladan L7, te kite nan sistèm eksplwatasyon an ak pwodwi sekirite enstale sou lame yo fen.

Koulye a, sitiyasyon an te chanje dramatikman. Konsèp modèn zewo konfyans soti nan lefèt ke li pa posib ankò yo konsidere sistèm entèn yo, se sa ki, sa yo ki sitiye andedan perimèt la, kòm ou fè konfyans, ak konsèp nan perimèt nan tèt li te vin twoub.
Anplis de koneksyon entènèt nou genyen tou

  • itilizatè VPN aksè aleka
  • divès kalite gadjèt pèsonèl, pote laptops, konekte atravè biwo WiFi
  • lòt biwo (branch).
  • entegrasyon ak enfrastrikti nwaj yo

Ki jan apwòch Zero Trust la sanble nan pratik?

Idealman, sèlman trafik ki nesesè yo ta dwe pèmèt epi, si nou ap pale de yon ideyal, Lè sa a, kontwòl yo ta dwe pa sèlman nan nivo L3/L4, men nan nivo aplikasyon an.

Si, pou egzanp, ou gen kapasite nan pase tout trafik nan yon firewall, Lè sa a, ou ka eseye jwenn pi pre ideyal la. Men, apwòch sa a ka siyifikativman redwi Pleasant total rezo ou a, epi anplis, filtraj pa aplikasyon pa toujou travay byen.

Lè w kontwole trafik sou yon routeur oswa switch L3 (itilize ACL estanda), ou rankontre lòt pwoblèm:

  • Sa a se filtraj L3/L4 sèlman. Pa gen anyen ki anpeche yon atakè itilize pò ki pèmèt yo (pa egzanp TCP 80) pou aplikasyon yo (pa http)
  • jesyon konplèks ACL (difisil pou analize ACLs)
  • Sa a se pa yon firewall eta, sa vle di ou bezwen klèman pèmèt trafik ranvèse
  • ak switch ou anjeneral trè byen limite pa gwosè a nan TCAM a, ki ka byen vit vin yon pwoblèm si ou pran "sèlman pèmèt sa ou bezwen" apwòch la.

Remak

Pale sou trafik ranvèse, nou dwe sonje ke nou gen opòtinite sa a (Cisco)

pèmèt tcp nenpòt ki etabli

Men, ou bezwen konprann ke liy sa a ekivalan a de liy:
pèmèt tcp nenpòt nenpòt ack
pèmèt tcp nenpòt nenpòt premye

Ki vle di ke menm si pa te gen okenn segman TCP inisyal ak drapo a SYN (ki se, sesyon TCP a pa t 'menm kòmanse etabli), ACL sa a pral pèmèt yon pake ak drapo a ACK, ki yon atakè ka itilize yo transfere done.

Sa vle di, liy sa a nan okenn fason vire routeur ou oswa L3 switch nan yon firewall eta.

Segondè nivo pwoteksyon

В Atik Nan seksyon an sou sant done, nou konsidere metòd pwoteksyon sa yo.

  • eta firewalling (default)
  • ddos/dos pwoteksyon
  • aplikasyon pare-feu
  • prevansyon menas (antivirus, anti-espyon, ak vilnerabilite)
  • Filtrage URL
  • filtraj done (filtraj kontni)
  • fichye bloke (tip fichye bloke)

Nan ka a nan yon biwo, sitiyasyon an se menm jan an, men priyorite yo se yon ti kras diferan. Disponibilite biwo (disponiblite) anjeneral pa osi kritik ke nan ka a nan yon sant done, pandan y ap chans pou "entèn" move trafik se lòd nan grandè pi wo.
Se poutèt sa, metòd pwoteksyon sa yo pou segman sa a vin kritik:

  • aplikasyon pare-feu
  • prevansyon menas (anti-viris, anti-espyon, ak vilnerabilite)
  • Filtrage URL
  • filtraj done (filtraj kontni)
  • fichye bloke (tip fichye bloke)

Malgre ke tout metòd pwoteksyon sa yo, eksepte aplikasyon pare-feu, yo te tradisyonèlman rezoud epi yo kontinye ap rezoud sou tout lame yo (pa egzanp, lè yo enstale pwogram antivirus) ak lè l sèvi avèk proksi, NGFW modèn yo bay sèvis sa yo tou.

Founisè ekipman sekirite yo fè efò pou kreye pwoteksyon konplè, kidonk ansanm ak pwoteksyon lokal yo, yo ofri divès kalite teknoloji nwaj ak lojisyèl kliyan pou lame (pwoteksyon pwen final / EPP). Se konsa, pou egzanp, soti nan 2018 Gartner Magic Quadrant Nou wè ke Palo Alto ak Cisco gen pwòp EPP yo (PA: Pyèj, Cisco: AMP), men yo lwen lidè yo.

Pèmèt pwoteksyon sa yo (anjeneral pa achte lisans) sou firewall ou a se nan kou pa obligatwa (ou ka ale nan wout tradisyonèl la), men li bay kèk benefis:

  • nan ka sa a, gen yon sèl pwen nan aplikasyon metòd pwoteksyon, ki amelyore vizibilite (gade pwochen sijè a).
  • Si gen yon aparèy san pwoteksyon sou rezo ou, Lè sa a, li toujou tonbe anba "parapli" nan pwoteksyon firewall.
  • Lè nou itilize pwoteksyon firewall ansanm ak pwoteksyon fen lame, nou ogmante chans pou nou detekte move trafik. Pou egzanp, lè l sèvi avèk prevansyon menas sou lame lokal yo ak sou yon firewall ogmante chans pou yo deteksyon (bay, nan kou, ke solisyon sa yo baze sou diferan pwodwi lojisyèl)

Remak

Si, pou egzanp, ou itilize Kaspersky kòm yon antivirus tou de sou firewall la ak sou tout lame yo nan fen, Lè sa a, sa a, nan kou, pa pral anpil ogmante chans ou genyen pou anpeche yon atak viris sou rezo ou.

Vizibilite rezo a

Lide prensipal la se senp - "gade" sa k ap pase sou rezo ou, tou de nan tan reyèl ak done istorik.

Mwen ta divize "vizyon" sa a an de gwoup:

Gwoup youn: ki sa sistèm siveyans ou anjeneral ba ou.

  • ekipman chaje
  • chaje chanèl yo
  • itilizasyon memwa
  • itilizasyon disk
  • chanje tab routage a
  • estati lyen
  • disponiblite ekipman (oswa lame)
  • ...

Gwoup de: enfòmasyon ki gen rapò ak sekirite.

  • divès kalite estatistik (pa egzanp, pa aplikasyon, pa trafik URL, ki kalite done yo te telechaje, done itilizatè)
  • sa ki te bloke pa politik sekirite ak pou ki rezon, sètadi
    • aplikasyon entèdi
    • entèdi ki baze sou ip / pwotokòl / pò / drapo / zòn
    • prevansyon menas
    • filtraj url
    • filtraj done
    • bloke dosye
    • ...
  • estatistik sou atak DOS/DDOS
  • tantativ idantifikasyon ak otorizasyon echwe
  • estatistik pou tout evènman vyolasyon politik sekirite ki anwo yo
  • ...

Nan chapit sa a sou sekirite, nou enterese nan dezyèm pati a.

Gen kèk firewall modèn (ki soti nan eksperyans mwen Palo Alto) bay yon bon nivo vizibilite. Men, nan kou, trafik ou enterese nan dwe pase nan firewall sa a (nan ka sa a ou gen kapasite nan bloke trafik) oswa reflete nan firewall la (itilize sèlman pou siveyans ak analiz), epi ou dwe gen lisans pou pèmèt tout bagay. sèvis sa yo.

Gen, nan kou, yon fason altènatif, oswa pito fason tradisyonèl la, pou egzanp,

  • Estatistik sesyon yo ka kolekte atravè netflow ak Lè sa a, itilize sèvis piblik espesyal pou analiz enfòmasyon ak vizyalizasyon done
  • prevansyon menas - pwogram espesyal (anti-viris, anti-espyon, pare-feu) sou lame fen
  • Filtrage URL, filtraj done, bloke dosye - sou prokurasyon
  • li posib tou pou analize tcpdump lè l sèvi avèk egzanp. ronfle

Ou ka konbine de apwòch sa yo, konpleman karakteristik ki manke oswa kopi yo pou ogmante chans pou detekte yon atak.

Ki apwòch ou ta dwe chwazi?
Trè depann sou kalifikasyon yo ak preferans ekip ou a.
Tou de la ak gen avantaj ak dezavantaj.

Inifye santralize otantifikasyon ak otorizasyon sistèm

Lè yo byen fèt, mobilite nou te diskite nan atik sa a sipoze ke ou gen menm aksè a si w ap travay nan biwo a oswa nan kay la, nan ayewopò an, nan yon kafe oswa nenpòt lòt kote (avèk limit nou te diskite pi wo a). Li ta sanble, ki pwoblèm nan?
Pou pi byen konprann konpleksite travay sa a, ann gade nan yon konsepsyon tipik.

Egzanp

  • Ou te divize tout anplwaye yo an gwoup. Ou te deside bay aksè pa gwoup
  • Anndan biwo a, ou kontwole aksè sou firewall biwo a
  • Ou kontwole trafik soti nan biwo a nan sant done sou firewall nan sant done
  • Ou sèvi ak yon Cisco ASA kòm yon pòtay VPN epi kontwole trafik k ap antre nan rezo ou a soti nan kliyan aleka, ou itilize lokal (sou ASA) ACL.

Koulye a, an n di yo mande w pou ajoute plis aksè pou yon anplwaye sèten. Nan ka sa a, yo mande w ajoute aksè sèlman pou li epi pa gen okenn lòt moun nan gwoup li a.

Pou sa nou dwe kreye yon gwoup separe pou anplwaye sa a, sa vle di

  • kreye yon pisin IP apa sou ASA a pou anplwaye sa a
  • ajoute yon nouvo ACL sou ASA a epi mare li ak kliyan aleka sa a
  • kreye nouvo politik sekirite sou pare-feu biwo ak sant done yo

Li bon si evènman sa a ra. Men, nan pratik mwen te gen yon sitiyasyon lè anplwaye yo te patisipe nan pwojè diferan, ak seri sa a nan pwojè pou kèk nan yo chanje byen souvan, epi li pa t '1-2 moun, men plizyè douzèn. Natirèlman, yon bagay te bezwen chanje isit la.

Sa a te rezoud nan fason sa a.

Nou te deside ke LDAP ta dwe sèl sous verite ki detèmine tout aksè posib anplwaye yo. Nou te kreye tout kalite gwoup ki defini seri aksè, epi nou asiyen chak itilizatè nan youn oswa plis gwoup.

Se konsa, pou egzanp, sipoze te gen gwoup

  • envite (aksè entènèt)
  • aksè komen (aksè a resous pataje: lapòs, baz konesans, ...)
  • Kontablite
  • pwojè 1
  • pwojè 2
  • administratè baz done
  • administratè linux
  • ...

Men, si youn nan anplwaye yo te patisipe nan tou de pwojè 1 ak pwojè 2, epi li te bezwen aksè ki nesesè pou travay nan pwojè sa yo, Lè sa a, anplwaye sa a te asiyen nan gwoup sa yo:

  • envite
  • aksè komen
  • pwojè 1
  • pwojè 2

Ki jan nou ka kounye a tounen enfòmasyon sa a nan aksè sou ekipman rezo a?

Règleman Aksè Dinamik Cisco ASA (DAP) (gade www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) solisyon jis bon pou travay sa a.

Yon ti tan sou aplikasyon nou an, pandan pwosesis idantifikasyon/otorizasyon an, ASA resevwa nan men LDAP yon seri gwoup ki koresponn ak yon itilizatè bay epi li "kolekte" nan plizyè ACL lokal (yo chak koresponn ak yon gwoup) yon ACL dinamik ak tout aksè ki nesesè yo. , ki konplètman koresponn ak volonte nou yo.

Men, sa a se sèlman pou koneksyon VPN. Pou fè sitiyasyon an menm pou tou de anplwaye ki konekte atravè VPN ak moun ki nan biwo a, etap sa a te pran.

Lè yo konekte nan biwo a, itilizatè yo itilize pwotokòl 802.1x la te fini nan swa yon LAN envite (pou envite) oswa yon LAN pataje (pou anplwaye konpayi yo). Anplis de sa, pou jwenn aksè espesifik (pa egzanp, pwojè nan yon sant done), anplwaye yo te oblije konekte via VPN.

Pou konekte soti nan biwo a ak nan kay la, diferan gwoup tinèl yo te itilize sou ASA la. Sa nesesè pou moun ki konekte nan biwo a, trafik nan resous pataje (itilize pa tout anplwaye yo, tankou lapòs, sèvè fichye, sistèm tikè, dns, ...) pa ale nan ASA a, men nan rezo lokal la. . Kidonk, nou pa t chaje ASA a ak trafik ki pa nesesè, enkli trafik ki gen gwo entansite.

Se konsa, pwoblèm nan te rezoud.
Nou te resevwa

  • menm seri aksè pou tou de koneksyon soti nan biwo a ak koneksyon aleka
  • absans degradasyon sèvis lè w ap travay nan biwo a ki asosye ak transmisyon trafik gwo entansite atravè ASA

Ki lòt avantaj apwòch sa a?
Nan administrasyon aksè. Aksè yo ka fasil chanje nan yon sèl kote.
Pou egzanp, si yon anplwaye kite konpayi an, Lè sa a, ou tou senpleman retire li nan LDAP, epi li otomatikman pèdi tout aksè.

Tcheke lame

Avèk posiblite pou koneksyon aleka, nou kouri risk pou pèmèt non sèlman yon anplwaye konpayi antre nan rezo a, men tou, tout lojisyèl move ki gen plis chans prezan sou òdinatè l '(pa egzanp, lakay ou), epi anplis, atravè lojisyèl sa a nou. ka bay yon atakè aksè nan rezo nou an ki sèvi ak lame sa a kòm yon prokurasyon.

Li fè sans pou yon lame ki konekte adistans aplike menm kondisyon sekirite ak yon lame nan biwo.

Sa a tou sipoze vèsyon an "kòrèk" nan OS la, anti-viris, anti-espyon, ak pare-feu lojisyèl ak mizajou. Tipikman, kapasite sa a egziste sou pòtay VPN la (pou ASA gade, pou egzanp, isit la).

Li gen bon konprann tou pou aplike menm analiz trafik ak teknik bloke (gade "Nivo wo pwoteksyon") ke politik sekirite ou aplike nan trafik biwo.

Li rezonab pou asime ke rezo biwo w la pa limite a sa sèlman bilding biwo a ak tout moun ki ladan l.

Egzanp

Yon bon teknik se bay chak anplwaye ki bezwen aksè aleka ak yon bon, pratik laptop epi mande pou yo travay, tou de nan biwo a ak nan kay la, sèlman nan li.

Non sèlman li amelyore sekirite rezo w la, men tou li vrèman pratik epi li anjeneral wè li favorab pou anplwaye yo (si se yon laptop ki vrèman bon, ki fasil pou itilize).

Konsènan yon sans de pwopòsyon ak balans

Fondamantalman, sa a se yon konvèsasyon sou twazyèm somè triyang nou an - sou pri.
Ann gade yon egzanp ipotetik.

Egzanp

Ou gen yon biwo pou 200 moun. Ou deside fè li kòm pratik ak san danje ke posib.

Se poutèt sa, ou deside pase tout trafik nan firewall la epi konsa pou tout sous-rezo biwo firewall la se pòtay default la. Anplis lojisyèl sekirite ki enstale sou chak lame fen (anti-viris, anti-espyon, ak lojisyèl pare-feu), ou deside tou aplike tout metòd pwoteksyon posib sou firewall la.

Pou asire gwo vitès koneksyon (tout pou konvenyans), ou te chwazi switch ki gen 10 pò aksè Gigabit kòm switch aksè, ak firewall NGFW pèfòmans segondè kòm firewall, pou egzanp, Palo Alto 7K seri (avèk 40 pò Gigabit), natirèlman ak tout lisans. enkli ak, natirèlman, yon pè Disponibilite segondè.

Epitou, nan kou, nan travay ak liy sa a nan ekipman nou bezwen omwen yon koup nan enjenyè sekirite trè kalifye.

Apre sa, ou deside bay chak anplwaye yon bon laptop.

Total, apeprè 10 milyon dola pou aplikasyon, dè santèn de milye de dola (mwen panse ke pi pre yon milyon) pou sipò anyèl ak salè pou enjenyè.

Biwo, 200 moun...
Konfòtab? Mwen devine se wi.

Ou vini ak pwopozisyon sa a bay jesyon ou...
Petèt gen yon kantite konpayi nan mond lan pou ki sa a se yon solisyon akseptab ak kòrèk. Si ou se yon anplwaye nan konpayi sa a, felisitasyon mwen, men nan vas majorite nan ka yo, mwen sèten ke konesans ou pa pral apresye pa jesyon.

Èske egzanp sa a ekzajere? Pwochen chapit la pral reponn kesyon sa a.

Si sou rezo ou a ou pa wè okenn nan pi wo a, Lè sa a, sa a se nòmal la.
Pou chak ka espesifik, ou bezwen jwenn pwòp konpwomi rezonab ou ant konvenyans, pri ak sekirite. Souvan ou pa menm bezwen NGFW nan biwo ou, epi pwoteksyon L7 sou firewall la pa obligatwa. Li se ase yo bay yon bon nivo nan vizibilite ak alèt, epi sa a ka fè lè l sèvi avèk pwodwi sous louvri, pou egzanp. Wi, reyaksyon ou nan yon atak pa pral imedya, men bagay prensipal la se ke ou pral wè li, epi ak pwosesis yo dwa an plas nan depatman ou a, ou yo pral kapab byen vit netralize li.

E kite m raple w ke, daprè konsèp seri atik sa a, ou pa ap desine yon rezo, se sèlman w ap eseye amelyore sa w te genyen.

SAFE analiz de achitekti biwo

Peye atansyon sou kare wouj sa a ak ki mwen asiyen yon plas sou dyagram nan SAFE Secure Campus Achitekti Gidki mwen ta renmen diskite isit la.

Ki jan yo pran kontwòl enfrastrikti rezo ou a. Chapit twa. Sekirite rezo. Twazyèm pati

Sa a se youn nan kote kle yo nan achitekti ak youn nan ensètitid ki pi enpòtan yo.

Remak

Mwen pa janm mete kanpe oswa travay avèk FirePower (ki soti nan liy firewall Cisco a - sèlman ASA), kidonk mwen pral trete li tankou nenpòt lòt firewall, tankou Juniper SRX oswa Palo Alto, sipoze li gen menm kapasite yo.

Nan desen abityèl yo, mwen wè sèlman 4 opsyon posib pou itilize yon firewall ak koneksyon sa a:

  • pòtay default pou chak subnet se yon switch, pandan y ap firewall la nan mòd transparan (ki se, tout trafik ale nan li, men li pa fòme yon hop L3)
  • pòtay la default pou chak subnet se sub-interfaces firewall yo (oswa SVI interfaces), switch la jwe wòl nan L2.
  • diferan VRF yo itilize sou switch la, epi trafik ant VRF yo ale nan firewall la, trafik nan yon sèl VRF kontwole pa ACL la sou switch la.
  • tout trafik yo reflete nan firewall la pou analiz ak siveyans; trafik pa ale nan li

Remak 1

Konbinezon opsyon sa yo posib, men pou senplisite nou pa pral konsidere yo.

Remak 2

Genyen tou posiblite pou itilize PBR (achitekti chèn sèvis), men pou kounye a sa a, byenke yon solisyon bèl nan opinyon mwen, se pito ekzotik, kidonk mwen pa konsidere li isit la.

Soti nan deskripsyon an nan koule yo nan dokiman an, nou wè ke trafik la toujou ale nan firewall la, se sa ki, an akò ak konsepsyon Cisco a, se katriyèm opsyon a elimine.

Ann gade nan de premye opsyon yo an premye.
Avèk opsyon sa yo, tout trafik ale nan firewall la.

Koulye a, ann gade fèy done, gade Cisco GPL epi nou wè ke si nou vle Pleasant total pou biwo nou an dwe omwen alantou 10 - 20 gigabit, Lè sa a, nou dwe achte vèsyon an 4K.

Remak

Lè mwen pale de bandwidth total la, mwen vle di trafik ant subnets (e pa nan yon vilana).

Soti nan GPL la nou wè ke pou Bundle HA a ak defans menas, pri a depann sou modèl la (4110 - 4150) varye soti nan ~ 0,5 - 2,5 milyon dola.

Sa vle di, konsepsyon nou an kòmanse sanble ak egzanp anvan an.

Èske sa vle di konsepsyon sa a mal?
Non, sa pa vle di li. Cisco ba ou pi bon pwoteksyon posib ki baze sou liy pwodwi li genyen. Men, sa pa vle di se yon bagay ki dwe fè pou ou.

Nan prensip, sa a se yon kesyon komen ki rive lè w ap desine yon biwo oswa yon sant done, epi li sèlman vle di ke yon konpwomi bezwen chèche.

Pa egzanp, pa kite tout trafik pase nan yon firewall, nan ka sa a opsyon 3 sanble trè bon pou mwen, oswa (gade seksyon anvan an) petèt ou pa bezwen menas defans oswa pa bezwen yon firewall ditou sou sa. segman rezo a, epi ou jis bezwen limite tèt ou nan siveyans pasif lè l sèvi avèk peye (pa chè) oswa solisyon sous louvri, oswa ou bezwen yon firewall, men soti nan yon machann diferan.

Anjeneral toujou gen ensètitid sa a epi pa gen yon repons klè sou ki desizyon ki pi bon pou ou.
Sa a se konpleksite ak bote nan travay sa a.

Sous: www.habr.com

Add nouvo kòmantè