ProHoster > Blog > Adminisztráció > Hogyan veheti át az irányítást a hálózati infrastruktúra felett. Harmadik fejezet. Hálózati biztonság. Harmadik rész

Hogyan veheti át az irányítást a hálózati infrastruktúra felett. Harmadik fejezet. Hálózati biztonság. Harmadik rész

Ez a cikk az ötödik a „Hogyan veheti át az irányítást a hálózati infrastruktúrája felett” című sorozatban. A sorozat összes cikkének tartalma és linkjei megtalálhatók itt.

Ez a rész a Campus (irodai) és a távoli hozzáférésű VPN szegmenseknek lesz szentelve.

Hogyan veheti át az irányítást a hálózati infrastruktúra felett. Harmadik fejezet. Hálózati biztonság. Harmadik rész

Az irodai hálózat tervezése egyszerűnek tűnhet.

Valóban, veszünk L2/L3 kapcsolókat, és összekötjük őket egymással. Ezután elvégezzük a vilanok és alapértelmezett átjárók alapbeállítását, beállítjuk az egyszerű útválasztást, csatlakoztatjuk a WiFi vezérlőket, hozzáférési pontokat, telepítjük és konfiguráljuk az ASA-t távoli eléréshez, örülünk, hogy minden működött. Alapvetően, ahogy az egyik előzőben már írtam cikkek Ebben a ciklusban szinte minden hallgató, aki részt vett (és tanult) két félévben egy távközlési kurzuson, meg tud tervezni és konfigurálni egy irodai hálózatot úgy, hogy az „valahogy működjön”.

De minél többet tanulsz, annál kevésbé tűnik egyszerűnek ez a feladat. Számomra ez a téma, az irodai hálózatok tervezése egyáltalán nem tűnik egyszerűnek, és ebben a cikkben megpróbálom elmagyarázni, hogy miért.

Röviden: jó néhány tényezőt kell figyelembe venni. Ezek a tényezők gyakran ütköznek egymással, és ésszerű kompromisszumot kell keresni.
Ez a bizonytalanság a fő nehézség. Tehát, ha a biztonságról beszélünk, van egy háromszögünk, amelynek három csúcsa van: biztonság, kényelem az alkalmazottak számára, a megoldás ára.
És minden alkalommal kompromisszumot kell keresnie e három között.

építészet

A két szegmens architektúrájának példájaként, az előző cikkekhez hasonlóan, ajánlom Cisco SAFE modell: Enterprise Campus, Enterprise Internet Edge.

Ezek kissé elavult dokumentumok. Azért mutatom be őket itt, mert az alapvető sémák és megközelítés nem változott, ugyanakkor az előadás jobban tetszik, mint a benne új dokumentációt.

Anélkül, hogy a Cisco-megoldások használatára ösztönözném Önt, továbbra is úgy gondolom, hogy érdemes alaposan tanulmányozni ezt a tervet.

Ez a cikk, mint általában, semmiképpen sem kíván teljesnek, inkább kiegészíti ezt az információt.

A cikk végén a Cisco SAFE irodatervezést elemezzük az itt vázolt koncepciók szempontjából.

Általános elvek

Az irodahálózat kialakításának természetesen meg kell felelnie a tárgyalt általános követelményeknek itt fejezetben „A tervezési minőség értékelésének kritériumai”. Az ár és a biztonság mellett, amelyeket ebben a cikkben szeretnénk megvitatni, még mindig van három kritérium, amelyet figyelembe kell vennünk a tervezéskor (vagy változtatáskor):

  • méretezhetőség
  • könnyű kezelhetőség (kezelhetőség)
  • elérhetőség

Sok minden, amiért megbeszélték adatközpontok Ez az irodára is igaz.

Ennek ellenére az irodai szegmensnek megvannak a maga sajátosságai, amelyek biztonsági szempontból kritikusak. Ennek a sajátosságnak a lényege, hogy ez a szegmens a vállalat alkalmazottainak (valamint partnereinek és vendégeknek) hálózati szolgáltatások nyújtására jött létre, és ennek eredményeként a probléma legmagasabb szintű mérlegelése mellett két feladatunk van:

  • megvédi a vállalat erőforrásait az alkalmazottaktól (vendégektől, partnerektől) és az általuk használt szoftverektől származó rosszindulatú tevékenységektől. Ez magában foglalja a hálózathoz való jogosulatlan csatlakozás elleni védelmet is.
  • védi a rendszereket és a felhasználói adatokat

És ez csak az egyik oldala a problémának (vagy inkább a háromszög egyik csúcsa). A másik oldalon a felhasználói kényelem és az alkalmazott megoldások ára áll.

Kezdjük azzal, hogy megnézzük, mit vár el a felhasználó egy modern irodai hálózattól.

Удобства

Véleményem szerint így néznek ki a „hálózati szolgáltatások” egy irodai felhasználó számára:

  • mobilitás
  • Lehetőség az ismert eszközök és operációs rendszerek teljes skálájának használatára
  • Könnyű hozzáférés az összes szükséges vállalati erőforráshoz
  • Internetes erőforrások elérhetősége, beleértve a különféle felhőszolgáltatásokat
  • A hálózat "gyors működése".

Mindez vonatkozik mind a dolgozókra, mind a vendégekre (vagy partnerekre), és a cég mérnökeinek feladata, hogy jogosultság alapján differenciáljanak a hozzáférést a különböző felhasználói csoportok számára.

Nézzük meg ezeket a szempontokat egy kicsit részletesebben.

mobilitás

Arról a lehetőségről beszélünk, hogy a világ bármely pontjáról (természetesen ott, ahol elérhető az internet) dolgozhatunk és használhatjuk az összes szükséges céges erőforrást.

Ez teljes mértékben vonatkozik az irodára. Ez akkor kényelmes, ha az irodában bárhonnan folytathatja a munkát, például leveleket fogadhat, vállalati messengerben kommunikálhat, elérhető lehet videohívásra, ... Így ez egyrészt lehetővé teszi, hogy bizonyos problémák megoldásához „élő” kommunikációval (például gyűléseken való részvétel), másrészt mindig legyen online, tartsa az ujját a pulzuson, és gyorsan oldjon meg néhány sürgős, kiemelt fontosságú feladatot. Ez nagyon kényelmes, és valóban javítja a kommunikáció minőségét.

Ezt a WiFi hálózat megfelelő kialakításával érik el.

megjegyzés

Itt általában felvetődik a kérdés: elég csak WiFi-t használni? Ez azt jelenti, hogy leállíthatja az Ethernet-portok használatát az irodában? Ha csak a felhasználókról beszélünk, és nem a szerverekről, amelyekhez még mindig ésszerű egy normál Ethernet porttal csatlakozni, akkor általánosságban a válasz: igen, korlátozhatja magát a WiFi-re. De vannak árnyalatok.

Vannak fontos felhasználói csoportok, amelyek külön megközelítést igényelnek. Ezek természetesen rendszergazdák. A WiFi kapcsolat elvileg kevésbé megbízható (a forgalomkiesés szempontjából) és lassabb, mint egy hagyományos Ethernet port. Ez jelentős lehet a rendszergazdák számára. Emellett például a hálózati rendszergazdák elvileg rendelkezhetnek saját dedikált Ethernet hálózattal a sávon kívüli kapcsolatokhoz.

Lehetnek más csoportok/részlegek a cégében, amelyek számára ezek a tényezők szintén fontosak.

Van egy másik fontos pont - a telefonálás. Talán valamilyen oknál fogva nem akarja használni a vezeték nélküli VoIP-ot, és normál Ethernet-kapcsolattal rendelkező IP-telefonokat szeretne használni.

Általánosságban elmondható, hogy a cégek, ahol dolgoztam, általában rendelkeztek WiFi-kapcsolattal és Ethernet-porttal is.

Szeretném, ha a mobilitás nem korlátozódna csak az irodára.

Az otthoni (vagy bármely más, elérhető internettel rendelkező helyen) munkavégzés biztosítása érdekében VPN-kapcsolatot használnak. Ugyanakkor kívánatos, hogy a munkavállalók ne érezzék a különbséget az otthoni munkavégzés és az azonos hozzáférést feltételező távmunka között. Ennek megszervezéséről egy kicsit később, az „Egységes központi hitelesítési és engedélyezési rendszer” című fejezetben fogunk beszélni.

megjegyzés

Valószínűleg nem fogja tudni teljes mértékben ugyanolyan minőségű szolgáltatásokat nyújtani a távoli munkához, mint az irodában. Tegyük fel, hogy egy Cisco ASA 5520-at használ VPN-átjáróként. adatlap ez az eszköz mindössze 225 Mbit VPN-forgalom „emésztésére” képes. Természetesen a sávszélesség szempontjából a VPN-en keresztüli csatlakozás nagyon különbözik az irodában végzett munkától. Továbbá, ha valamilyen oknál fogva a késleltetés, a veszteség, a jitter (például irodai IP-telefóniát szeretne használni) jelentős a hálózati szolgáltatásainál, akkor szintén nem fog olyan minőséget kapni, mintha az irodában lenne. Ezért amikor mobilitásról beszélünk, tisztában kell lennünk a lehetséges korlátokkal.

Könnyű hozzáférés a vállalat összes erőforrásához

Ezt a feladatot más műszaki osztályokkal közösen kell megoldani.
Az ideális helyzet az, amikor a felhasználónak csak egyszer kell hitelesítenie, és utána minden szükséges erőforráshoz hozzáfér.
A biztonság feláldozása nélkül kínált könnyű hozzáférés jelentősen javíthatja a termelékenységet, és csökkentheti a kollégák stresszét.

1. megjegyzés

A könnyű hozzáférés nem csak arról szól, hogy hányszor kell jelszót megadni. Ha például a biztonsági szabályzatának megfelelően az irodából az adatközpontba való csatlakozáshoz először a VPN-átjáróhoz kell csatlakoznia, és ezzel egyidejűleg elveszíti hozzáférését az irodai erőforrásokhoz, akkor ez is nagyon , nagyon kényelmetlen.

2. megjegyzés

Vannak olyan szolgáltatások (például hozzáférés a hálózati eszközökhöz), ahol általában saját dedikált AAA szerverünk van, és ez a jellemző, amikor ebben az esetben többször kell hitelesíteni.

Internetes források elérhetősége

Az internet nemcsak szórakozás, hanem olyan szolgáltatások összessége is, amelyek nagyon hasznosak lehetnek a munkában. Vannak tisztán pszichológiai tényezők is. A modern ember sok virtuális szálon keresztül kapcsolódik másokhoz az interneten keresztül, és véleményem szerint nincs semmi baj, ha munka közben is érzi ezt a kapcsolatot.

Az időpazarlás szempontjából nincs semmi baj, ha például egy alkalmazotton fut a Skype, és ha szükséges, 5 percet kommunikál a szeretteivel.

Ez azt jelenti, hogy az internetnek mindig elérhetőnek kell lennie, ez azt jelenti, hogy az alkalmazottak minden erőforráshoz hozzáférhetnek, és semmilyen módon nem irányíthatják azokat?

A nem persze nem azt jelenti. Az internet nyitottságának szintje a különböző cégeknél eltérő lehet – a teljes bezárástól a teljes nyitottságig. A forgalom szabályozásának módjait később a biztonsági intézkedésekről szóló részekben tárgyaljuk.

Lehetőség az ismert eszközök teljes skálájának használatára

Kényelmes, ha például lehetősége van továbbra is használni a munkahelyén megszokott kommunikációs eszközöket. Ennek technikai megvalósítása nem jelent nehézséget. Ehhez WiFi és vendég wilan kell.

Az is jó, ha lehetősége van a megszokott operációs rendszer használatára. Megfigyelésem szerint azonban ez általában csak vezetőknek, rendszergazdáknak és fejlesztőknek engedélyezett.

Példa

Természetesen követheti a tiltások útját, megtilthatja a távoli hozzáférést, tilthatja a mobileszközökről való csatlakozást, korlátozhat mindent statikus Ethernet-kapcsolatokra, korlátozhatja az internethez való hozzáférést, kötelezően elkobozhatja a mobiltelefonokat és a kütyüket az ellenőrzőponton... és ez az út Valójában néhány szervezet követi, amelyek fokozott biztonsági követelményeket támasztanak, és talán bizonyos esetekben ez indokolt lehet, de... el kell fogadnia, hogy ez úgy néz ki, mint egy kísérlet a fejlődés megállítására egyetlen szervezetben. Természetesen szeretném a modern technológiák nyújtotta lehetőségeket megfelelő szintű biztonsággal ötvözni.

A hálózat "gyors működése".

Az adatátvitel sebessége technikailag számos tényezőtől függ. És általában nem a csatlakozási port sebessége a legfontosabb. Egy alkalmazás lassú működése nem mindig jár hálózati problémákkal, de egyelőre csak a hálózati rész érdekel. A helyi hálózati "lassulás" leggyakoribb problémája a csomagvesztéshez kapcsolódik. Ez általában szűk keresztmetszet vagy L1 (OSI) problémák esetén fordul elő. Ritkábban előfordulhat, hogy egyes kialakítások esetén (például amikor az alhálózatok alapértelmezett átjárója tűzfal van, és így az összes forgalom azon megy keresztül), a hardver teljesítménye hiányos lehet.

Ezért a berendezés és az architektúra kiválasztásakor össze kell hangolnia a végportok, a fővonalak és a berendezés teljesítményének sebességét.

Példa

Tegyük fel, hogy 1 gigabites porttal rendelkező switcheket használ hozzáférési réteg kapcsolóként. Etherchannel 2 x 10 gigabiten keresztül kapcsolódnak egymáshoz. Alapértelmezett átjáróként egy gigabites portokkal rendelkező tűzfalat használ, amelynek az L2 irodai hálózathoz való csatlakoztatásához 2 gigabites portot használ Etherchannel-be kombinálva.

Ez az architektúra funkcionalitási szempontból meglehetősen kényelmes, mert... Az összes forgalom a tűzfalon megy keresztül, és kényelmesen kezelheti a hozzáférési házirendeket, és összetett algoritmusokat alkalmazhat a forgalom szabályozására és az esetleges támadások megelőzésére (lásd lent), de átviteli és teljesítményi szempontból ez a kialakítás természetesen problémákkal járhat. Így például az adatokat letöltő 2 gazdagép (1 gigabites portsebességgel) teljesen leterhelheti a 2 gigabites kapcsolatot a tűzfallal, és így a teljes irodai szegmens szolgáltatásromlásához vezethet.

Megnéztük a háromszög egyik csúcsát, most nézzük meg, hogyan tudjuk biztosítani a biztonságot.

jogorvoslatok

Így természetesen általában az a vágyunk (vagy inkább vezetőségünk vágya), hogy elérjük a lehetetlent, mégpedig a maximális kényelmet maximális biztonsággal és minimális költséggel.

Nézzük meg, milyen módszerekkel tudunk védelmet nyújtani.

Az irodával kapcsolatban a következőket emelném ki:

  • zéró bizalom megközelítés a tervezéshez
  • magas szintű védelem
  • hálózati láthatóság
  • egységes központi hitelesítési és engedélyezési rendszer
  • gazda ellenőrzése

A következőkben egy kicsit részletesebben foglalkozunk az egyes szempontokkal.

Nulla bizalom

Az IT világ nagyon gyorsan változik. Az elmúlt 10 évben az új technológiák és termékek megjelenése a biztonsági koncepciók jelentős felülvizsgálatához vezetett. Tíz éve biztonsági szempontból a hálózatot bizalmi, dmz és nem megbízható zónákra szegmentáltuk, és az úgynevezett „perimétervédelmet” alkalmaztuk, ahol 2 védelmi vonal volt: nem megbízható -> dmz és dmz -> bizalom. Ezenkívül a védelem általában az L3/L4 (OSI) fejléceken (IP, TCP/UDP portok, TCP jelzők) alapuló hozzáférési listákra korlátozódott. Minden, ami a magasabb szintekkel kapcsolatos, beleértve az L7-et is, az operációs rendszerre és a végállomásokra telepített biztonsági termékekre volt bízva.

Most a helyzet drámaian megváltozott. Modern koncepció nulla bizalom abból adódik, hogy már nem lehet megbízhatónak tekinteni a belső rendszereket, vagyis azokat, amelyek a kerületen belül helyezkednek el, és maga a kerület fogalma is elmosódott.
Az internetkapcsolaton kívül még rendelkezünk

  • távoli hozzáférésű VPN-felhasználók
  • különféle személyes kütyük, hozott laptopok, irodai WiFi-n keresztül csatlakozva
  • egyéb (fiók)hivatalok
  • integráció a felhő infrastruktúrával

Hogyan néz ki a Zero Trust megközelítés a gyakorlatban?

Ideális esetben csak a szükséges forgalmat engedjük meg, és ha ideálisról beszélünk, akkor a vezérlés ne csak L3/L4 szinten legyen, hanem alkalmazási szinten.

Ha például képes az összes forgalmat átengedni egy tűzfalon, akkor megpróbálhat közelebb kerülni az ideálishoz. Ez a megközelítés azonban jelentősen csökkentheti a hálózat teljes sávszélességét, és emellett az alkalmazás szerinti szűrés nem mindig működik megfelelően.

Az útválasztón vagy az L3-as kapcsolón (szabványos ACL-ek használatával) történő forgalom szabályozása során más problémák is felmerülnek:

  • Ez csak L3/L4 szűrés. Semmi sem akadályozza meg a támadót abban, hogy az alkalmazásukhoz engedélyezett portokat (pl. TCP 80) használjon (nem http)
  • összetett ACL-kezelés (nehéz az ACL-ek elemzése)
  • Ez nem egy állapotteljes tűzfal, vagyis kifejezetten engedélyeznie kell a fordított forgalmat
  • a kapcsolókkal általában meglehetősen szigorúan korlátozza a TCAM mérete, ami gyorsan problémát jelenthet, ha a „csak azt engedi meg, amire szüksége van” megközelítést alkalmazza.

megjegyzés

Ha a fordított forgalomról beszélünk, emlékeznünk kell arra, hogy a következő lehetőségünk van (Cisco)

Engedélyezze a tcp-t bármely megállapított

De meg kell értened, hogy ez a sor két sorral egyenértékű:
engedje meg a tcp-t bármilyen ak-t
engedélyezése tcp any any rst

Ez azt jelenti, hogy még ha nem is volt kezdeti TCP szegmens SYN jelzővel (vagyis a TCP munkamenet még el sem kezdődött), ez az ACL engedélyezi az ACK jelzővel ellátott csomagot, amelyet a támadó használhat adatátvitelre.

Vagyis ez a sor semmilyen módon nem változtatja az útválasztót vagy az L3 kapcsolót állapotteljes tűzfallá.

Magas szintű védelem

В cikk Az adatközpontokról szóló részben a következő védelmi módszereket vettük figyelembe.

  • állapotalapú tűzfal (alapértelmezett)
  • ddos/dos védelem
  • alkalmazás tűzfal
  • fenyegetésmegelőzés (vírusirtó, kémprogram-elhárító és sebezhetőség)
  • URL-szűrés
  • adatszűrés (tartalomszűrés)
  • fájlblokkolás (fájltípusok blokkolása)

Egy iroda esetében hasonló a helyzet, de a prioritások kissé eltérőek. Az irodai elérhetőség (rendelkezésre állás) általában nem olyan kritikus, mint egy adatközpont esetében, míg a „belső” rosszindulatú forgalom valószínűsége nagyságrendekkel nagyobb.
Ezért a következő védelmi módszerek ebben a szegmensben kritikussá válnak:

  • alkalmazás tűzfal
  • fenyegetésmegelőzés (vírusirtó, kémprogram-elhárító és sebezhetőség)
  • URL-szűrés
  • adatszűrés (tartalomszűrés)
  • fájlblokkolás (fájltípusok blokkolása)

Bár ezeket a védelmi módszereket az alkalmazástűzfal kivételével hagyományosan a végállomásokon oldják meg és oldják meg (például vírusirtó programok telepítésével) és proxy használatával, a modern NGFW-k is biztosítják ezeket a szolgáltatásokat.

A biztonsági berendezések gyártói átfogó védelem létrehozására törekednek, ezért a helyi védelem mellett különféle felhőtechnológiákat és kliensszoftvert is kínálnak a gazdagépek számára (végpontvédelem/EPP). Tehát például attól 2018 Gartner Magic Quadrant Látjuk, hogy a Palo Alto és a Cisco saját EPP-vel rendelkezik (PA: Traps, Cisco: AMP), de messze vannak a vezetőktől.

Természetesen nem kötelező engedélyezni ezeket a védelmet (általában licencek megvásárlásával) a tűzfalon (járhat a hagyományos úton), de bizonyos előnyökkel jár:

  • ebben az esetben a védelmi módszerek egyetlen alkalmazási pontja van, ami javítja a láthatóságot (lásd a következő témakört).
  • Ha van egy nem védett eszköz a hálózaton, akkor is a tűzfalvédelem „ernyője” alá tartozik.
  • A tűzfalvédelem és a végállomási védelem együttes használata növeli a rosszindulatú forgalom észlelésének valószínűségét. Például a fenyegetésmegelőzés helyi gépeken és tűzfalon történő használata növeli az észlelés valószínűségét (persze, feltéve, hogy ezek a megoldások különböző szoftvertermékeken alapulnak)

megjegyzés

Ha például a Kaspersky-t vírusirtóként használja mind a tűzfalon, mind a végállomásokon, akkor ez természetesen nem fogja jelentősen növelni annak esélyét, hogy megakadályozza a vírustámadást a hálózaton.

Hálózati láthatóság

központi gondolata egyszerű – „nézze meg”, mi történik a hálózatán, valós időben és előzményadatokban egyaránt.

Ezt a „látást” két csoportra osztanám:

Első csoport: amit a felügyeleti rendszere általában nyújt Önnek.

  • berendezés betöltése
  • csatornák betöltése
  • memóriahasználat
  • lemez használat
  • az útválasztó tábla megváltoztatása
  • link állapota
  • felszerelés (vagy hostok) elérhetősége
  • ...

Második csoport: biztonsággal kapcsolatos információk.

  • különféle típusú statisztikák (például alkalmazások szerint, URL-forgalom szerint, milyen típusú adatokat töltöttek le, felhasználói adatok)
  • mit és milyen okból blokkoltak a biztonsági szabályzatok, nevezetesen
    • tiltott alkalmazás
    • ip/protokoll/port/flags/zones alapján tiltva
    • fenyegetésmegelőzés
    • url szűrés
    • adatszűrés
    • fájl blokkolása
    • ...
  • statisztikák a DOS/DDOS támadásokról
  • sikertelen azonosítási és engedélyezési kísérletek
  • statisztika az összes fenti biztonsági szabályzat megsértésére vonatkozó eseményre vonatkozóan
  • ...

Ebben a biztonságról szóló fejezetben minket a második rész érdekel.

Néhány modern tűzfal (a Palo Alto-i tapasztalataim alapján) jó láthatóságot biztosít. De természetesen az Önt érdeklő forgalomnak át kell mennie ezen a tűzfalon (ebben az esetben lehetősége van a forgalom blokkolására) vagy a tűzfalra tükrözve (csak megfigyelésre és elemzésre használható), és licencekkel kell rendelkeznie az összes ezeket a szolgáltatásokat.

Természetesen van egy alternatív módszer, vagy inkább a hagyományos módszer, pl.

  • A munkamenet-statisztikát a netflow-n keresztül lehet gyűjteni, majd speciális segédprogramokat használhatunk információelemzéshez és adatvizualizációhoz
  • fenyegetésmegelőzés – speciális programok (vírusirtó, kémprogram-elhárító, tűzfal) a végállomásokon
  • URL-szűrés, adatszűrés, fájlblokkolás – proxy-n
  • a tcpdump elemzése is lehetséges pl. horkant

Kombinálhatja ezt a két megközelítést, kiegészítve a hiányzó funkciókat vagy megkettőzve őket, hogy növelje a támadás észlelésének valószínűségét.

Melyik megközelítést érdemes választani?
Erősen függ a csapat képzettségétől és preferenciáitól.
Ott és ott is vannak előnyei és hátrányai.

Egységes központi hitelesítési és engedélyezési rendszer

Ha jól megtervezett, az ebben a cikkben tárgyalt mobilitás feltételezi, hogy ugyanolyan hozzáféréssel rendelkezik, akár az irodából, akár otthonról, a repülőtérről, kávézóból vagy bárhol máshol dolgozik (a fentebb tárgyalt korlátozásokkal). Úgy tűnik, mi a probléma?
A feladat összetettségének jobb megértése érdekében nézzünk meg egy tipikus tervezést.

Példa

  • Az összes alkalmazottat csoportokra osztotta. Úgy döntött, hogy csoportonként hozzáférést biztosít
  • Az irodán belül az irodai tűzfalon szabályozhatja a hozzáférést
  • Az adatközpont tűzfalán irányíthatja az irodából az adatközpontba irányuló forgalmat
  • Ön egy Cisco ASA-t használ VPN-átjáróként, és a távoli ügyfelektől a hálózatba érkező forgalom szabályozásához helyi (az ASA-n lévő) ACL-eket használ.

Tegyük fel, hogy a rendszer arra kéri, hogy adjon további hozzáférést egy bizonyos alkalmazotthoz. Ebben az esetben a rendszer csak neki ad hozzáférést, és senki másnak a csoportjából.

Ehhez külön csoportot kell létrehoznunk ennek az alkalmazottnak, azaz

  • hozzon létre egy külön IP-készletet az ASA-n ennek az alkalmazottnak
  • adjon hozzá egy új ACL-t az ASA-hoz, és kösse össze a távoli klienssel
  • új biztonsági szabályzatok létrehozása az irodai és adatközponti tűzfalakon

Jó, ha ez az esemény ritka. De az én gyakorlatomban előfordult, hogy az alkalmazottak különböző projektekben vettek részt, és néhányuknál ez a projektkészlet meglehetősen gyakran változott, és nem 1-2 fő volt, hanem több tucat. Persze itt valamit változtatni kellett.

Ezt a következő módon oldották meg.

Úgy döntöttünk, hogy az LDAP lesz az egyetlen igazságforrás, amely meghatározza az összes lehetséges munkavállalói hozzáférést. Létrehoztunk mindenféle csoportot, amelyek hozzáférési készleteket határoznak meg, és minden felhasználót egy vagy több csoporthoz rendeltünk.

Tegyük fel például, hogy vannak csoportok

  • vendég (internet-hozzáférés)
  • közös hozzáférés (hozzáférés megosztott erőforrásokhoz: levelezés, tudásbázis stb.)
  • számvitel
  • projekt 1
  • projekt 2
  • adatbázis adminisztrátor
  • linux rendszergazda
  • ...

És ha az egyik alkalmazott az 1. és a 2. projektben is részt vett, és szüksége volt a projektekben való munkához szükséges hozzáférésre, akkor ezt az alkalmazottat a következő csoportokba sorolták be:

  • vendég
  • közös hozzáférés
  • projekt 1
  • projekt 2

Hogyan változtathatjuk ezeket az információkat hozzáféréssé a hálózati eszközökön?

Cisco ASA Dynamic Access Policy (DAP) (lásd www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) megoldás éppen megfelelő erre a feladatra.

Röviden a megvalósításunkról, az azonosítási/engedélyezési folyamat során az ASA az LDAP-tól egy adott felhasználónak megfelelő csoportot kap, és több helyi ACL-ből (melyek mindegyike egy csoportnak felel meg) „összegyűjt” egy dinamikus ACL-t az összes szükséges hozzáféréssel. , ami teljes mértékben megfelel a kívánságainknak.

De ez csak a VPN-kapcsolatokra vonatkozik. Annak érdekében, hogy a helyzet ugyanaz legyen a VPN-en keresztül csatlakozó alkalmazottak és az irodában dolgozók számára, a következő lépést hajtottuk végre.

Amikor az irodából csatlakoztak, a 802.1x protokollt használó felhasználók vendég LAN-hoz (a vendégek számára) vagy megosztott LAN-hoz (a vállalati alkalmazottak számára) kötöttek ki. Továbbá, hogy konkrét hozzáférést kapjanak (például egy adatközponti projektekhez), az alkalmazottaknak VPN-en keresztül kellett csatlakozniuk.

Az irodai és otthoni csatlakozáshoz különböző alagútcsoportokat használtak az ASA-n. Erre azért van szükség, hogy az irodából csatlakozók számára ne az ASA-n, hanem a helyi hálózaton keresztül menjen át a megosztott (minden alkalmazott által használt, pl. levél, fájlszerver, jegyrendszer, dns stb.) erőforrások forgalma. . Így az ASA-t nem terheltük fölösleges forgalommal, beleértve a nagy intenzitású forgalmat sem.

Így a probléma megoldódott.
Kaptunk

  • ugyanaz a hozzáférési készlet mind az irodai, mind a távoli kapcsolatokhoz
  • a szolgáltatás leromlásának hiánya az irodában végzett munka során, amely a nagy intenzitású forgalom ASA-n keresztül történő átviteléhez kapcsolódik

Milyen további előnyei vannak ennek a megközelítésnek?
A hozzáférés adminisztrációjában. A hozzáférések egy helyen egyszerűen változtathatók.
Például, ha egy alkalmazott elhagyja a céget, akkor egyszerűen eltávolítja az LDAP-ból, és automatikusan elveszíti minden hozzáférését.

Gazda ellenőrzése

A távoli kapcsolat lehetőségével azt a kockázatot kockáztatjuk, hogy nem csak egy céges alkalmazottat engedünk be a hálózatba, hanem minden olyan rosszindulatú szoftvert is, amely nagy valószínűséggel jelen van a számítógépén (például otthon), ráadásul ezen a szoftveren keresztül lehet, hogy hozzáférést biztosít a hálózatunkhoz egy támadónak, aki ezt a gazdagépet proxyként használja.

Célszerű, ha egy távolról csatlakoztatott gazdagép ugyanazokat a biztonsági követelményeket alkalmazza, mint az irodai gazdagép.

Ez feltételezi az operációs rendszer „megfelelő” verzióját, a víruskeresőt, a kémprogram-elhárítót, a tűzfalszoftvert és a frissítéseket is. Ez a képesség általában a VPN-átjárón létezik (az ASA-hoz lásd például: itt).

Szintén bölcs dolog ugyanazokat a forgalomelemzési és blokkolási technikákat alkalmazni (lásd: „Magas szintű védelem”), mint a biztonsági szabályzata az irodai forgalomra.

Ésszerű feltételezni, hogy az Ön irodai hálózata már nem korlátozódik az irodaházra és a benne lévő állomásokra.

Példa

Jó technika, ha minden dolgozót, aki távoli hozzáférést igényel, jó, kényelmes laptopot biztosítunk, és megköveteli, hogy az irodában és otthonról is csak abból dolgozzanak.

Nemcsak a hálózat biztonságát javítja, de nagyon kényelmes is, és általában az alkalmazottak kedvezően értékelik (ha valóban jó, felhasználóbarát laptopról van szó).

Az arányérzékről és az egyensúlyérzékről

Alapvetően ez egy beszélgetés a háromszögünk harmadik csúcsáról - az árról.
Nézzünk egy hipotetikus példát.

Példa

200 fős irodája van. Úgy döntött, hogy a lehető legkényelmesebbé és biztonságosabbá teszi.

Ezért úgy döntött, hogy az összes forgalmat átadja a tűzfalon, így minden irodai alhálózat esetében a tűzfal az alapértelmezett átjáró. Az egyes végállomásokra telepített biztonsági szoftverek mellett (vírusirtó, kémprogram-elhárító és tűzfalszoftver) úgy döntött, hogy minden lehetséges védelmi módszert alkalmaz a tűzfalon.

A nagy kapcsolati sebesség biztosítása érdekében (mind a kényelem érdekében) 10 gigabites hozzáférési porttal rendelkező switcheket választott hozzáférési kapcsolóként, és nagy teljesítményű NGFW tűzfalakat tűzfalként, például Palo Alto 7K sorozatot (40 gigabites porttal), természetesen minden licenccel. tartalmazza, és természetesen egy High Availability pár.

Természetesen ahhoz, hogy ezzel a berendezéssel dolgozhassunk, legalább néhány magasan képzett biztonsági mérnökre van szükségünk.

Ezután úgy döntött, hogy minden alkalmazottnak ad egy jó laptopot.

Összesen körülbelül 10 millió dollár a megvalósításra, több százezer dollár (szerintem közelebb egy millióhoz) a mérnökök éves támogatására és fizetésére.

Iroda, 200 fő...
Kényelmes? Azt hiszem, igen.

Ezzel az ajánlattal érkezel a vezetőséghez...
Talán számos olyan cég van a világon, amelyek számára ez elfogadható és helyes megoldás. Ha Ön ennek a cégnek az alkalmazottja, akkor gratulálok, de az esetek túlnyomó többségében biztos vagyok benne, hogy tudását a vezetőség nem fogja értékelni.

Ez a példa eltúlzott? A következő fejezet erre a kérdésre ad választ.

Ha a hálózaton a fentiek egyikét sem látja, akkor ez a norma.
Minden konkrét esetben meg kell találnia a saját ésszerű kompromisszumot a kényelem, az ár és a biztonság között. Gyakran nincs is szükség NGFW-re az irodában, és a tűzfalon nincs szükség L7-es védelemre. Elegendő a jó láthatóság és a riasztások biztosítása, és ez megtehető például nyílt forráskódú termékekkel. Igen, a támadásra adott reakciója nem lesz azonnali, de a lényeg az, hogy látja, és a megfelelő folyamatokkal az osztályán gyorsan semlegesítse.

És hadd emlékeztesselek arra, hogy e cikksorozat koncepciója szerint Ön nem hálózatot tervez, hanem csak azt próbálja javítani, amit kapott.

Az irodai architektúra BIZTONSÁGOS elemzése

Figyeljen erre a piros négyzetre, amelyből a diagramon helyet foglaltam SAFE Secure Campus Architecture Guideamit itt szeretnék megvitatni.

Hogyan veheti át az irányítást a hálózati infrastruktúra felett. Harmadik fejezet. Hálózati biztonság. Harmadik rész

Ez az építészet egyik kulcsfontosságú helye és az egyik legfontosabb bizonytalanság.

megjegyzés

Soha nem állítottam be és nem dolgoztam a FirePowerrel (a Cisco tűzfalcsaládjából – csak az ASA), ezért úgy fogom kezelni, mint bármely más tűzfalat, például a Juniper SRX-et vagy a Palo Alto-t, feltételezve, hogy ugyanazokkal a képességekkel rendelkezik.

A szokásos kialakítások közül csak 4 lehetséges lehetőséget látok a tűzfal használatára ezzel a kapcsolattal:

  • az egyes alhálózatok alapértelmezett átjárója egy kapcsoló, míg a tűzfal transzparens módban van (azaz minden forgalom rajta megy keresztül, de nem alkot L3 ugrást)
  • az egyes alhálózatok alapértelmezett átjárója a tűzfal alinterfészek (vagy SVI interfészek), a kapcsoló az L2 szerepét tölti be.
  • különböző VRF-eket használnak a kapcsolón, és a VRF-ek közötti forgalom a tűzfalon megy keresztül, az egy VRF-en belüli forgalmat a kapcsoló ACL-je szabályozza.
  • minden forgalom tükröződik a tűzfalon elemzés és megfigyelés céljából; a forgalom nem megy át rajta

1. megjegyzés

Ezeknek a lehetőségeknek a kombinációi is lehetségesek, de az egyszerűség kedvéért ezeket nem vesszük figyelembe.

Jegyzet 2

Lehetőség van PBR (service chain architektúra) alkalmazására is, de egyelőre ez, bár szerintem szép megoldás, meglehetősen egzotikus, ezért itt nem veszem figyelembe.

A dokumentumban szereplő folyamok leírásából azt látjuk, hogy a forgalom továbbra is a tűzfalon megy keresztül, vagyis a Cisco-tervezésnek megfelelően a negyedik lehetőség kiesik.

Nézzük először az első két lehetőséget.
Ezekkel az opciókkal minden forgalom a tűzfalon megy keresztül.

Most nézzük adatlap, néz Cisco GPL és azt látjuk, hogy ha azt szeretnénk, hogy az irodánk teljes sávszélessége legalább 10-20 gigabit körül legyen, akkor meg kell vásárolnunk a 4K-s verziót.

megjegyzés

Amikor a teljes sávszélességről beszélek, az alhálózatok közötti forgalomra gondolok (és nem egy vilanán belül).

A GPL-ből azt látjuk, hogy a HA Bundle Threat Defense-szel az ára modelltől függően (4110 - 4150) ~0,5 - 2,5 millió dollár között mozog.

Vagyis a tervezésünk kezd hasonlítani az előző példához.

Ez azt jelenti, hogy ez a tervezés rossz?
Nem, ez nem jelenti azt. A Cisco a lehető legjobb védelmet nyújtja a termékcsaládja alapján. De ez nem jelenti azt, hogy kötelező az Ön számára.

Ez elvileg gyakori kérdés, ami egy iroda vagy adatközpont tervezésénél felmerül, és csak azt jelenti, hogy kompromisszumot kell keresni.

Például ne hagyja, hogy az összes forgalom átmenjen a tűzfalon, ebben az esetben a 3-as lehetőség elég jónak tűnik, vagy (lásd az előző részt) esetleg nincs szüksége a fenyegetésvédelemre, vagy egyáltalán nincs szüksége tűzfalra. hálózati szegmensben, és csak a passzív felügyeletre kell korlátozódnia fizetős (nem drága) vagy nyílt forráskódú megoldásokkal, vagy tűzfalra van szüksége, de más gyártótól.

Általában mindig ott van ez a bizonytalanság, és nincs egyértelmű válasz arra, hogy melyik döntés a legjobb az Ön számára.
Ez a feladat összetettsége és szépsége.

Forrás: will.com

Hozzászólás