ProHoster > blog > administrasi > Bagaimana mengendalikan infrastruktur jaringan Anda. Bab tiga. Keamanan jaringan. Bagian ketiga

Bagaimana mengendalikan infrastruktur jaringan Anda. Bab tiga. Keamanan jaringan. Bagian ketiga

Artikel ini adalah bagian kelima dari seri “Cara Mengendalikan Infrastruktur Jaringan Anda.” Isi semua artikel dalam seri dan tautan dapat ditemukan di sini.

Bagian ini akan dikhususkan untuk segmen VPN Kampus (Kantor) & Akses Jarak Jauh.

Bagaimana mengendalikan infrastruktur jaringan Anda. Bab tiga. Keamanan jaringan. Bagian ketiga

Desain jaringan kantor mungkin tampak mudah.

Memang benar, kami mengambil sakelar L2/L3 dan menghubungkannya satu sama lain. Selanjutnya, kami melakukan pengaturan dasar vilan dan gateway default, mengatur perutean sederhana, menghubungkan pengontrol WiFi, titik akses, menginstal dan mengkonfigurasi ASA untuk akses jarak jauh, kami senang semuanya berfungsi. Pada dasarnya, seperti yang sudah saya tulis di salah satu sebelumnya artikel Dalam siklus ini, hampir setiap mahasiswa yang telah mengikuti (dan mempelajari) dua semester mata kuliah telekomunikasi dapat merancang dan mengkonfigurasi jaringan kantor sehingga “berfungsi”.

Namun semakin banyak Anda belajar, tugas ini akan tampak semakin tidak sederhana. Bagi saya pribadi, topik desain jaringan kantor ini sepertinya tidak sederhana sama sekali, dan pada artikel kali ini saya akan mencoba menjelaskan alasannya.

Singkatnya, ada beberapa faktor yang perlu dipertimbangkan. Seringkali faktor-faktor ini bertentangan satu sama lain dan kompromi yang masuk akal harus dicari.
Ketidakpastian inilah yang menjadi kesulitan utama. Jadi, berbicara tentang keamanan, kita memiliki segitiga dengan tiga simpul: keamanan, kenyamanan bagi karyawan, harga solusi.
Dan setiap kali Anda harus mencari kompromi di antara ketiganya.

Arsitektur

Sebagai contoh arsitektur untuk kedua segmen ini, seperti pada artikel sebelumnya, saya sarankan Cisco AMAN model: Kampus Perusahaan, Tepi Internet Perusahaan.

Ini adalah dokumen-dokumen yang agak ketinggalan jaman. Saya menyajikannya di sini karena skema dan pendekatan mendasarnya tidak berubah, tetapi pada saat yang sama saya lebih menyukai presentasinya daripada di dalamnya dokumentasi baru.

Tanpa mendorong Anda untuk menggunakan solusi Cisco, menurut saya tetap ada gunanya mempelajari desain ini dengan cermat.

Artikel ini, seperti biasa, tidak berpura-pura lengkap, melainkan tambahan untuk informasi ini.

Di akhir artikel, kami akan menganalisis desain kantor Cisco SAFE berdasarkan konsep yang diuraikan di sini.

Prinsip-prinsip umum

Perancangan jaringan kantor tentunya harus memenuhi persyaratan umum yang telah dibahas di sini dalam bab “Kriteria penilaian kualitas desain”. Selain harga dan keamanan yang ingin kami bahas pada artikel kali ini, masih ada tiga kriteria yang harus kami pertimbangkan saat mendesain (atau melakukan perubahan):

  • skalabilitas
  • kemudahan penggunaan (pengelolaan)
  • ketersediaan

Banyak hal yang dibicarakan Pusat Data Hal ini juga berlaku untuk kantor.

Namun tetap saja, segmen perkantoran memiliki kekhasan tersendiri, yang penting dari sudut pandang keamanan. Inti dari kekhususan ini adalah bahwa segmen ini diciptakan untuk menyediakan layanan jaringan kepada karyawan (serta mitra dan tamu) perusahaan, dan, sebagai hasilnya, pada tingkat pertimbangan masalah tertinggi, kami memiliki dua tugas:

  • melindungi sumber daya perusahaan dari tindakan jahat yang mungkin datang dari karyawan (tamu, mitra) dan dari perangkat lunak yang mereka gunakan. Ini juga mencakup perlindungan terhadap koneksi tidak sah ke jaringan.
  • melindungi sistem dan data pengguna

Dan ini hanya satu sisi dari soal (atau lebih tepatnya, salah satu titik sudut segitiga). Di sisi lain adalah kenyamanan pengguna dan harga solusi yang digunakan.

Mari kita mulai dengan melihat apa yang diharapkan pengguna dari jaringan kantor modern.

Fasilitas

Menurut pendapat saya, inilah tampilan “fasilitas jaringan” bagi pengguna kantor:

  • Mobilitas
  • Kemampuan untuk menggunakan berbagai perangkat dan sistem operasi yang sudah dikenal
  • Akses mudah ke semua sumber daya perusahaan yang diperlukan
  • Ketersediaan sumber daya Internet, termasuk berbagai layanan cloud
  • "Operasi cepat" jaringan

Semua ini berlaku untuk karyawan dan tamu (atau mitra), dan tugas teknisi perusahaan adalah membedakan akses untuk kelompok pengguna yang berbeda berdasarkan otorisasi.

Mari kita lihat masing-masing aspek ini dengan lebih detail.

Mobilitas

Kita berbicara tentang kesempatan untuk bekerja dan menggunakan semua sumber daya yang diperlukan perusahaan dari mana saja di dunia (tentu saja, jika Internet tersedia).

Ini sepenuhnya berlaku untuk kantor. Hal ini berguna ketika Anda memiliki kesempatan untuk terus bekerja dari mana saja di kantor, misalnya, menerima surat, berkomunikasi melalui pesan perusahaan, tersedia untuk panggilan video, ... Jadi, ini memungkinkan Anda, di satu sisi, untuk menyelesaikan beberapa masalah dengan komunikasi “langsung” (misalnya, berpartisipasi dalam rapat umum), dan di sisi lain, selalu online, terus ikuti perkembangannya, dan segera selesaikan beberapa tugas mendesak dengan prioritas tinggi. Ini sangat nyaman dan sangat meningkatkan kualitas komunikasi.

Hal ini dicapai dengan desain jaringan WiFi yang tepat.

Catatan

Di sini biasanya muncul pertanyaan: apakah cukup menggunakan WiFi saja? Apakah ini berarti Anda dapat berhenti menggunakan port Ethernet di kantor? Jika kita hanya berbicara tentang pengguna, dan bukan tentang server, yang masih masuk akal untuk terhubung dengan port Ethernet biasa, maka secara umum jawabannya adalah: ya, Anda dapat membatasi diri pada WiFi saja. Tapi ada nuansanya.

Ada kelompok pengguna penting yang memerlukan pendekatan terpisah. Ini, tentu saja, adalah administrator. Pada prinsipnya, koneksi WiFi kurang dapat diandalkan (dalam hal kehilangan lalu lintas) dan lebih lambat dibandingkan port Ethernet biasa. Hal ini dapat menjadi signifikan bagi administrator. Selain itu, administrator jaringan, misalnya, pada prinsipnya dapat memiliki jaringan Ethernet khusus untuk koneksi out-of-band.

Mungkin ada kelompok/departemen lain di perusahaan Anda yang menganggap faktor-faktor ini juga penting.

Ada poin penting lainnya - telepon. Mungkin karena alasan tertentu Anda tidak ingin menggunakan VoIP Nirkabel dan ingin menggunakan telepon IP dengan koneksi Ethernet biasa.

Secara umum, perusahaan tempat saya bekerja biasanya memiliki konektivitas WiFi dan port Ethernet.

Saya ingin mobilitas tidak terbatas pada kantor saja.

Untuk memastikan kemampuan bekerja dari rumah (atau tempat lain dengan Internet yang dapat diakses), koneksi VPN digunakan. Pada saat yang sama, karyawan diharapkan tidak merasakan perbedaan antara bekerja dari rumah dan bekerja jarak jauh, yang memerlukan akses yang sama. Kita akan membahas cara mengaturnya nanti di bab “Sistem otentikasi dan otorisasi terpusat yang terpadu.”

Catatan

Kemungkinan besar, Anda tidak akan dapat sepenuhnya memberikan kualitas layanan yang sama untuk pekerjaan jarak jauh seperti yang Anda lakukan di kantor. Anggaplah Anda menggunakan Cisco ASA 5520 sebagai gateway VPN Anda lembaran data perangkat ini hanya mampu “mencerna” lalu lintas VPN sebesar 225 Mbit. Artinya, tentu saja dari segi bandwidth, koneksi melalui VPN sangat berbeda dengan bekerja dari kantor. Selain itu, jika karena alasan tertentu latensi, kehilangan, jitter (misalnya, Anda ingin menggunakan telepon IP kantor) untuk layanan jaringan Anda signifikan, Anda juga tidak akan menerima kualitas yang sama seperti jika Anda berada di kantor. Oleh karena itu, ketika berbicara tentang mobilitas, kita harus mewaspadai kemungkinan keterbatasannya.

Akses mudah ke semua sumber daya perusahaan

Tugas ini harus diselesaikan bersama dengan departemen teknis lainnya.
Situasi yang ideal adalah ketika pengguna hanya perlu mengautentikasi satu kali, dan setelah itu dia memiliki akses ke semua sumber daya yang diperlukan.
Memberikan akses mudah tanpa mengorbankan keamanan dapat meningkatkan produktivitas secara signifikan dan mengurangi stres di antara rekan kerja Anda.

Catatan 1

Kemudahan akses bukan hanya soal berapa kali Anda harus memasukkan kata sandi. Jika, misalnya, sesuai dengan kebijakan keamanan Anda, untuk terhubung dari kantor ke pusat data, Anda harus terhubung ke gateway VPN terlebih dahulu, dan pada saat yang sama Anda kehilangan akses ke sumber daya kantor, maka ini juga sangat , sangat merepotkan.

Catatan 2

Ada layanan (misalnya, akses ke peralatan jaringan) di mana kami biasanya memiliki server AAA khusus dan ini adalah norma ketika dalam hal ini kami harus mengautentikasi beberapa kali.

Ketersediaan sumber daya Internet

Internet bukan hanya sekedar hiburan, tetapi juga seperangkat layanan yang bisa sangat berguna untuk bekerja. Ada juga faktor psikologis murni. Manusia modern terhubung dengan orang lain melalui Internet melalui banyak rangkaian virtual, dan menurut saya, tidak ada salahnya jika ia terus merasakan keterhubungan tersebut meski sedang bekerja.

Dari segi membuang-buang waktu, tidak ada salahnya jika seorang karyawan, misalnya, menjalankan Skype dan menghabiskan waktu 5 menit untuk berkomunikasi dengan orang yang dicintainya jika diperlukan.

Apakah ini berarti Internet harus selalu tersedia, apakah ini berarti karyawan dapat mengakses semua sumber daya dan tidak mengontrolnya dengan cara apa pun?

Tidak, bukan berarti begitu, tentu saja. Tingkat keterbukaan Internet dapat bervariasi untuk berbagai perusahaan - dari penutupan total hingga keterbukaan total. Kita akan membahas cara mengendalikan lalu lintas nanti di bagian langkah-langkah keamanan.

Kemampuan untuk menggunakan berbagai perangkat yang familiar

Akan lebih mudah jika, misalnya, Anda memiliki kesempatan untuk terus menggunakan semua sarana komunikasi yang biasa Anda gunakan di tempat kerja. Secara teknis tidak ada kesulitan dalam melaksanakannya. Untuk ini, Anda memerlukan WiFi dan wilan tamu.

Ada baiknya juga jika Anda memiliki kesempatan untuk menggunakan sistem operasi yang biasa Anda gunakan. Namun menurut pengamatan saya, hal ini biasanya hanya diperbolehkan bagi pengelola, administrator, dan pengembang.

Contoh

Anda tentu saja dapat mengikuti jalur larangan, melarang akses jarak jauh, melarang koneksi dari perangkat seluler, membatasi segalanya pada koneksi Ethernet statis, membatasi akses ke Internet, wajib menyita ponsel dan gadget di pos pemeriksaan... dan jalur ini sebenarnya diikuti oleh beberapa organisasi dengan persyaratan keamanan yang meningkat, dan mungkin dalam beberapa kasus hal ini dapat dibenarkan, tetapi... Anda harus setuju bahwa ini tampak seperti upaya untuk menghentikan kemajuan dalam satu organisasi. Tentu saja, saya ingin menggabungkan peluang yang diberikan oleh teknologi modern dengan tingkat keamanan yang memadai.

"Operasi cepat" jaringan

Kecepatan transfer data secara teknis terdiri dari banyak faktor. Dan kecepatan port koneksi Anda biasanya bukan yang terpenting. Lambatnya pengoperasian suatu aplikasi tidak selalu dikaitkan dengan masalah jaringan, namun untuk saat ini kami hanya tertarik pada bagian jaringan saja. Masalah paling umum dengan "perlambatan" jaringan lokal terkait dengan kehilangan paket. Hal ini biasanya terjadi ketika ada masalah bottleneck atau L1 (OSI). Lebih jarang lagi, pada beberapa desain (misalnya, ketika subnet Anda memiliki firewall sebagai gateway default dan semua lalu lintas melewatinya), kinerja perangkat keras mungkin kurang.

Oleh karena itu, ketika memilih peralatan dan arsitektur, Anda perlu mengkorelasikan kecepatan port akhir, trunk, dan kinerja peralatan.

Contoh

Anggaplah Anda menggunakan sakelar dengan port 1 gigabit sebagai sakelar lapisan akses. Mereka terhubung satu sama lain melalui Etherchannel 2 x 10 gigabit. Sebagai gateway default, Anda menggunakan firewall dengan port gigabit, untuk menghubungkannya ke jaringan kantor L2 Anda menggunakan 2 port gigabit yang digabungkan menjadi Etherchannel.

Arsitektur ini cukup nyaman dari sudut pandang fungsionalitas, karena... Semua lalu lintas melewati firewall, dan Anda dapat dengan nyaman mengelola kebijakan akses, dan menerapkan algoritme kompleks untuk mengontrol lalu lintas dan mencegah kemungkinan serangan (lihat di bawah), namun dari sudut pandang throughput dan kinerja, desain ini, tentu saja, memiliki potensi masalah. Jadi, misalnya, 2 host yang mengunduh data (dengan kecepatan port 1 gigabit) dapat memuat sepenuhnya koneksi 2 gigabit ke firewall, dan dengan demikian menyebabkan penurunan layanan untuk seluruh segmen kantor.

Kita telah melihat salah satu titik sudut segitiga, sekarang mari kita lihat bagaimana kita dapat menjamin keamanan.

Obat

Jadi tentunya biasanya keinginan kita (atau lebih tepatnya keinginan manajemen kita) adalah mencapai hal yang mustahil, yaitu memberikan kenyamanan maksimal dengan keamanan maksimal dan biaya minimal.

Mari kita lihat metode apa yang kita miliki untuk memberikan perlindungan.

Untuk kantor, saya akan menyoroti hal berikut:

  • pendekatan tanpa kepercayaan pada desain
  • perlindungan tingkat tinggi
  • visibilitas jaringan
  • sistem otentikasi dan otorisasi terpusat yang terpadu
  • pemeriksaan tuan rumah

Selanjutnya, kita akan membahas lebih detail masing-masing aspek ini.

Nol Kepercayaan

Dunia TI berubah dengan sangat cepat. Dalam 10 tahun terakhir, kemunculan teknologi dan produk baru telah menyebabkan revisi besar-besaran pada konsep keamanan. Sepuluh tahun yang lalu, dari sudut pandang keamanan, kami mengelompokkan jaringan menjadi zona kepercayaan, dmz, dan tidak dipercaya, dan menggunakan apa yang disebut “perlindungan perimeter”, di mana terdapat 2 garis pertahanan: untrust -> dmz dan dmz -> memercayai. Selain itu, perlindungan biasanya terbatas pada daftar akses berdasarkan header L3/L4 (OSI) (IP, port TCP/UDP, flag TCP). Segala sesuatu yang berhubungan dengan level yang lebih tinggi, termasuk L7, diserahkan kepada OS dan produk keamanan yang diinstal pada host akhir.

Kini situasinya telah berubah secara dramatis. Konsep modern nol kepercayaan berasal dari kenyataan bahwa tidak mungkin lagi menganggap sistem internal, yaitu sistem yang terletak di dalam perimeter, sebagai sistem yang dapat dipercaya, dan konsep perimeter itu sendiri menjadi kabur.
Selain koneksi internet kami juga punya

  • pengguna VPN akses jarak jauh
  • berbagai gadget pribadi, laptop dibawa, terhubung lewat WiFi kantor
  • kantor (cabang) lainnya
  • integrasi dengan infrastruktur cloud

Seperti apa pendekatan Zero Trust dalam praktiknya?

Idealnya, hanya lalu lintas yang diperlukan yang diperbolehkan dan, jika kita berbicara tentang ideal, maka kendali tidak hanya harus berada pada level L3/L4, namun pada level aplikasi.

Jika, misalnya, Anda memiliki kemampuan untuk melewatkan semua lalu lintas melalui firewall, maka Anda dapat mencoba mendekati ideal. Namun pendekatan ini dapat secara signifikan mengurangi total bandwidth jaringan Anda, dan selain itu, pemfilteran berdasarkan aplikasi tidak selalu berfungsi dengan baik.

Saat mengontrol lalu lintas pada router atau switch L3 (menggunakan ACL standar), Anda mengalami masalah lain:

  • Ini hanya pemfilteran L3/L4. Tidak ada yang menghentikan penyerang untuk menggunakan port yang diizinkan (misalnya TCP 80) untuk aplikasinya (bukan http)
  • manajemen ACL yang kompleks (sulit untuk mengurai ACL)
  • Ini bukan firewall statefull, artinya Anda harus mengizinkan lalu lintas balik secara eksplisit
  • dengan sakelar, Anda biasanya sangat dibatasi oleh ukuran TCAM, yang dapat dengan cepat menjadi masalah jika Anda mengambil pendekatan "hanya izinkan yang Anda perlukan"

Catatan

Berbicara tentang lalu lintas terbalik, kita harus ingat bahwa kita memiliki peluang berikut (Cisco)

izinkan tcp apa pun yang ditetapkan

Namun perlu Anda pahami bahwa baris ini setara dengan dua baris:
izinkan tcp menerima ack apa pun
izinkan tcp apa pun terlebih dahulu

Artinya, meskipun tidak ada segmen TCP awal dengan flag SYN (yaitu, sesi TCP bahkan belum mulai dibuat), ACL ini akan mengizinkan paket dengan flag ACK yang dapat digunakan penyerang untuk mentransfer data.

Artinya, baris ini sama sekali tidak mengubah router atau switch L3 Anda menjadi firewall statefull.

Perlindungan tingkat tinggi

В Artikel Di bagian pusat data, kami mempertimbangkan metode perlindungan berikut.

  • firewall berstatus (default)
  • perlindungan ddos/dos
  • firewall aplikasi
  • pencegahan ancaman (antivirus, anti-spyware, dan kerentanan)
  • Pemfilteran URL
  • pemfilteran data (penyaringan konten)
  • pemblokiran file (pemblokiran jenis file)

Dalam kasus kantor, situasinya serupa, namun prioritasnya sedikit berbeda. Ketersediaan (ketersediaan) kantor biasanya tidak sepenting dalam kasus pusat data, sementara kemungkinan lalu lintas berbahaya “internal” jauh lebih tinggi.
Oleh karena itu, metode perlindungan berikut untuk segmen ini menjadi penting:

  • firewall aplikasi
  • pencegahan ancaman (anti-virus, anti-spyware, dan kerentanan)
  • Pemfilteran URL
  • pemfilteran data (penyaringan konten)
  • pemblokiran file (pemblokiran jenis file)

Meskipun semua metode perlindungan ini, kecuali firewall aplikasi, secara tradisional telah dan terus diselesaikan pada host akhir (misalnya, dengan menginstal program antivirus) dan menggunakan proxy, NGFW modern juga menyediakan layanan ini.

Vendor peralatan keamanan berupaya menciptakan perlindungan yang komprehensif, sehingga bersama dengan perlindungan lokal, mereka menawarkan berbagai teknologi cloud dan perangkat lunak klien untuk host (perlindungan titik akhir/EPP). Jadi, misalnya dari Kuadran Ajaib Gartner 2018 Kami melihat Palo Alto dan Cisco memiliki EPP sendiri (PA: Traps, Cisco: AMP), namun masih jauh dari yang terdepan.

Mengaktifkan perlindungan ini (biasanya dengan membeli lisensi) pada firewall Anda tentu saja tidak wajib (Anda dapat menggunakan cara tradisional), namun hal ini memberikan beberapa manfaat:

  • dalam hal ini, ada satu titik penerapan metode perlindungan, yang meningkatkan visibilitas (lihat topik berikutnya).
  • Jika ada perangkat yang tidak terlindungi di jaringan Anda, maka perangkat tersebut masih berada di bawah “payung” perlindungan firewall
  • Dengan menggunakan perlindungan firewall bersama dengan perlindungan end-host, kami meningkatkan kemungkinan mendeteksi lalu lintas berbahaya. Misalnya, menggunakan pencegahan ancaman pada host lokal dan firewall meningkatkan kemungkinan deteksi (tentu saja, asalkan solusi ini didasarkan pada produk perangkat lunak yang berbeda)

Catatan

Jika, misalnya, Anda menggunakan Kaspersky sebagai antivirus baik di firewall maupun di host akhir, tentu saja hal ini tidak akan terlalu meningkatkan peluang Anda untuk mencegah serangan virus di jaringan Anda.

Visibilitas jaringan

ide sentral sederhana - “melihat” apa yang terjadi di jaringan Anda, baik secara real time maupun data historis.

Saya akan membagi “visi” ini menjadi dua kelompok:

Kelompok satu: apa yang biasanya disediakan oleh sistem pemantauan Anda.

  • pemuatan peralatan
  • memuat saluran
  • penggunaan memori
  • penggunaan disk
  • mengubah tabel routing
  • status tautan
  • ketersediaan peralatan (atau host)
  • ...

Kelompok dua: informasi terkait keselamatan.

  • berbagai jenis statistik (misalnya, berdasarkan aplikasi, lalu lintas URL, jenis data apa yang diunduh, data pengguna)
  • apa yang diblokir oleh kebijakan keamanan dan untuk alasan apa, yaitu
    • aplikasi terlarang
    • dilarang berdasarkan ip/protocol/port/flags/zones
    • pencegahan ancaman
    • pemfilteran url
    • penyaringan data
    • pemblokiran file
    • ...
  • statistik serangan DOS/DDOS
  • upaya identifikasi dan otorisasi yang gagal
  • statistik untuk semua peristiwa pelanggaran kebijakan keamanan di atas
  • ...

Dalam bab tentang keamanan ini, kami tertarik pada bagian kedua.

Beberapa firewall modern (dari pengalaman saya di Palo Alto) memberikan tingkat visibilitas yang baik. Namun, tentu saja, lalu lintas yang Anda minati harus melalui firewall ini (dalam hal ini Anda memiliki kemampuan untuk memblokir lalu lintas) atau dicerminkan ke firewall (hanya digunakan untuk pemantauan dan analisis), dan Anda harus memiliki lisensi untuk mengaktifkan semua layanan ini.

Tentu saja ada cara alternatif, atau lebih tepatnya cara tradisional, misalnya

  • Statistik sesi dapat dikumpulkan melalui netflow dan kemudian menggunakan utilitas khusus untuk analisis informasi dan visualisasi data
  • pencegahan ancaman – program khusus (anti-virus, anti-spyware, firewall) pada host akhir
  • Pemfilteran URL, pemfilteran data, pemblokiran file – melalui proxy
  • dimungkinkan juga untuk menganalisis tcpdump menggunakan mis. mendengus

Anda dapat menggabungkan kedua pendekatan ini, melengkapi fitur yang hilang atau menduplikasinya untuk meningkatkan kemungkinan terdeteksinya serangan.

Pendekatan mana yang harus Anda pilih?
Sangat tergantung pada kualifikasi dan preferensi tim Anda.
Baik itu pro dan kontra pun ada.

Sistem otentikasi dan otorisasi terpusat yang terpadu

Jika dirancang dengan baik, mobilitas yang kita bahas dalam artikel ini mengasumsikan bahwa Anda memiliki akses yang sama baik Anda bekerja dari kantor atau dari rumah, dari bandara, dari kedai kopi, atau di mana pun (dengan batasan yang telah kita bahas di atas). Tampaknya, apa masalahnya?
Untuk lebih memahami kompleksitas tugas ini, mari kita lihat desain umumnya.

Contoh

  • Anda telah membagi semua karyawan menjadi beberapa kelompok. Anda telah memutuskan untuk memberikan akses berdasarkan grup
  • Di dalam kantor, Anda mengontrol akses di firewall kantor
  • Anda mengontrol lalu lintas dari kantor ke pusat data di firewall pusat data
  • Anda menggunakan Cisco ASA sebagai gateway VPN dan untuk mengontrol lalu lintas yang memasuki jaringan Anda dari klien jarak jauh, Anda menggunakan ACL lokal (di ASA)

Sekarang, katakanlah Anda diminta menambahkan akses tambahan ke karyawan tertentu. Dalam hal ini, Anda diminta untuk menambahkan akses hanya padanya dan tidak kepada orang lain dari grupnya.

Untuk ini kita harus membuat grup terpisah untuk karyawan ini

  • buat kumpulan IP terpisah di ASA untuk karyawan ini
  • tambahkan ACL baru di ASA dan ikat ke klien jarak jauh tersebut
  • membuat kebijakan keamanan baru pada firewall kantor dan pusat data

Ada baiknya jika kejadian ini jarang terjadi. Namun dalam praktik saya, ada situasi ketika karyawan berpartisipasi dalam proyek yang berbeda, dan rangkaian proyek untuk beberapa dari mereka cukup sering berubah, dan jumlahnya bukan 1-2 orang, tetapi lusinan. Tentu saja, ada sesuatu yang perlu diubah di sini.

Ini diselesaikan dengan cara berikut.

Kami memutuskan bahwa LDAP akan menjadi satu-satunya sumber kebenaran yang menentukan semua kemungkinan akses karyawan. Kami membuat semua jenis grup yang menentukan kumpulan akses, dan kami menugaskan setiap pengguna ke satu atau lebih grup.

Jadi, misalnya ada kelompok

  • tamu (akses internet)
  • akses umum (akses ke sumber daya bersama: email, basis pengetahuan, ...)
  • akuntansi
  • proyek 1
  • proyek 2
  • administrator basis data
  • administrator linux
  • ...

Dan jika salah satu karyawan terlibat dalam proyek 1 dan proyek 2, dan dia memerlukan akses yang diperlukan untuk bekerja dalam proyek ini, maka karyawan tersebut ditugaskan ke kelompok berikut:

  • tamu
  • akses bersama
  • proyek 1
  • proyek 2

Bagaimana kita sekarang dapat mengubah informasi ini menjadi akses pada peralatan jaringan?

Kebijakan Akses Dinamis Cisco ASA (DAP) (lihat www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generasi-firewalls/108000-dap-deploy-guide.html) solusi tepat untuk tugas ini.

Secara singkat tentang implementasi kami, selama proses identifikasi/otorisasi, ASA menerima dari LDAP sekumpulan grup yang sesuai dengan pengguna tertentu dan “mengumpulkan” dari beberapa ACL lokal (masing-masing sesuai dengan grup) ACL dinamis dengan semua akses yang diperlukan , yang sepenuhnya sesuai dengan keinginan kita.

Tapi ini hanya untuk koneksi VPN. Untuk membuat situasi yang sama bagi karyawan yang terhubung melalui VPN dan mereka yang berada di kantor, langkah berikut diambil.

Saat terhubung dari kantor, pengguna yang menggunakan protokol 802.1x berakhir di LAN tamu (untuk tamu) atau LAN bersama (untuk karyawan perusahaan). Selanjutnya, untuk mendapatkan akses tertentu (misalnya, ke proyek di pusat data), karyawan harus terhubung melalui VPN.

Untuk terhubung dari kantor dan dari rumah, grup terowongan yang berbeda digunakan di ASA. Hal ini diperlukan agar bagi mereka yang terhubung dari kantor, lalu lintas ke sumber daya bersama (digunakan oleh seluruh karyawan, seperti mail, server file, sistem tiket, dns, ...) tidak melalui ASA, tetapi melalui jaringan lokal . Jadi, kami tidak memuat ASA dengan lalu lintas yang tidak perlu, termasuk lalu lintas berintensitas tinggi.

Dengan demikian, masalahnya telah terpecahkan.
Kita punya

  • kumpulan akses yang sama baik untuk koneksi dari kantor maupun koneksi jarak jauh
  • tidak adanya penurunan layanan saat bekerja dari kantor terkait dengan transmisi trafik intensitas tinggi melalui ASA

Apa keuntungan lain dari pendekatan ini?
Dalam administrasi akses. Akses dapat dengan mudah diubah di satu tempat.
Misalnya, jika seorang karyawan keluar dari perusahaan, Anda cukup menghapusnya dari LDAP, dan dia secara otomatis kehilangan semua akses.

Pemeriksaan tuan rumah

Dengan kemungkinan koneksi jarak jauh, kami berisiko tidak hanya mengizinkan karyawan perusahaan masuk ke jaringan, tetapi juga semua perangkat lunak berbahaya yang kemungkinan besar ada di komputernya (misalnya, rumah), dan terlebih lagi, melalui perangkat lunak ini kami mungkin memberikan akses ke jaringan kami kepada penyerang yang menggunakan host ini sebagai proxy.

Masuk akal bagi host yang terhubung dari jarak jauh untuk menerapkan persyaratan keamanan yang sama seperti host di kantor.

Hal ini juga mengasumsikan versi perangkat lunak dan pembaruan OS, anti-virus, anti-spyware, dan firewall yang “benar”. Biasanya, kemampuan ini ada pada gateway VPN (untuk ASA lihat, misalnya, di sini).

Sebaiknya terapkan juga analisis lalu lintas dan teknik pemblokiran yang sama (lihat “Perlindungan tingkat tinggi”) seperti yang diterapkan kebijakan keamanan Anda pada lalu lintas kantor.

Masuk akal untuk berasumsi bahwa jaringan kantor Anda tidak lagi terbatas pada gedung kantor dan host di dalamnya.

Contoh

Teknik yang baik adalah dengan menyediakan laptop yang bagus dan nyaman bagi setiap karyawan yang memerlukan akses jarak jauh dan mengharuskan mereka bekerja, baik di kantor maupun dari rumah, hanya dari laptop tersebut.

Tidak hanya meningkatkan keamanan jaringan Anda, tetapi juga sangat nyaman dan biasanya dipandang baik oleh karyawan (jika itu adalah laptop yang sangat bagus dan ramah pengguna).

Tentang rasa proporsional dan seimbang

Pada dasarnya, ini adalah percakapan tentang titik ketiga segitiga kita - tentang harga.
Mari kita lihat contoh hipotetis.

Contoh

Anda memiliki kantor untuk 200 orang. Anda memutuskan untuk membuatnya senyaman dan seaman mungkin.

Oleh karena itu, Anda memutuskan untuk meneruskan semua lalu lintas melalui firewall dan dengan demikian untuk semua subnet kantor, firewall adalah gateway default. Selain perangkat lunak keamanan yang diinstal pada setiap host akhir (perangkat lunak anti-virus, anti-spyware, dan firewall), Anda juga memutuskan untuk menerapkan semua metode perlindungan yang mungkin pada firewall.

Untuk memastikan kecepatan koneksi yang tinggi (semuanya untuk kenyamanan), Anda memilih sakelar dengan port akses 10 Gigabit sebagai sakelar akses, dan firewall NGFW berkinerja tinggi sebagai firewall, misalnya, seri Palo Alto 7K (dengan 40 port Gigabit), tentu saja dengan semua lisensi disertakan dan, tentu saja, pasangan Ketersediaan Tinggi.

Selain itu, tentu saja, untuk bekerja dengan peralatan ini kita memerlukan setidaknya beberapa insinyur keamanan yang berkualifikasi tinggi.

Selanjutnya, Anda memutuskan untuk memberikan laptop yang bagus kepada setiap karyawan.

Totalnya, sekitar 10 juta dolar untuk implementasi, ratusan ribu dolar (menurut saya mendekati satu juta) untuk dukungan tahunan dan gaji para insinyur.

Kantor, 200 orang...
Nyaman? Saya kira itu ya.

Anda datang dengan proposal ini kepada manajemen Anda...
Mungkin ada sejumlah perusahaan di dunia yang menganggap hal ini sebagai solusi yang dapat diterima dan tepat. Jika Anda adalah karyawan perusahaan ini, saya ucapkan selamat, tetapi dalam sebagian besar kasus, saya yakin pengetahuan Anda tidak akan dihargai oleh manajemen.

Apakah contoh ini berlebihan? Bab selanjutnya akan menjawab pertanyaan ini.

Jika di jaringan Anda Anda tidak melihat hal-hal di atas, maka ini adalah norma.
Untuk setiap kasus tertentu, Anda perlu menemukan kompromi yang masuk akal antara kenyamanan, harga, dan keamanan. Seringkali Anda bahkan tidak memerlukan NGFW di kantor Anda, dan perlindungan L7 pada firewall tidak diperlukan. Cukup memberikan tingkat visibilitas dan peringatan yang baik, dan ini dapat dilakukan dengan menggunakan produk sumber terbuka, misalnya. Ya, reaksi Anda terhadap suatu serangan tidak akan terjadi secara langsung, namun yang terpenting adalah Anda dapat melihatnya, dan dengan proses yang tepat di departemen Anda, Anda akan dapat dengan cepat menetralisirnya.

Dan izinkan saya mengingatkan Anda bahwa, menurut konsep rangkaian artikel ini, Anda tidak merancang jaringan, Anda hanya berusaha meningkatkan apa yang Anda miliki.

Analisis AMAN arsitektur perkantoran

Perhatikan kotak merah yang saya gunakan untuk mengalokasikan tempat pada diagram Panduan Arsitektur Kampus Aman AMANyang ingin saya bahas di sini.

Bagaimana mengendalikan infrastruktur jaringan Anda. Bab tiga. Keamanan jaringan. Bagian ketiga

Ini adalah salah satu tempat utama arsitektur dan salah satu ketidakpastian yang paling penting.

Catatan

Saya belum pernah menyiapkan atau bekerja dengan FirePower (dari jalur firewall Cisco - hanya ASA), jadi saya akan memperlakukannya seperti firewall lainnya, seperti Juniper SRX atau Palo Alto, dengan asumsi ia memiliki kemampuan yang sama.

Dari desain biasa, saya hanya melihat 4 kemungkinan opsi untuk menggunakan firewall dengan koneksi ini:

  • gateway default untuk setiap subnet adalah switch, sedangkan firewall berada dalam mode transparan (yaitu, semua lalu lintas melewatinya, tetapi tidak membentuk L3 hop)
  • gateway default untuk setiap subnet adalah sub-antarmuka firewall (atau antarmuka SVI), saklar memainkan peran L2
  • VRF yang berbeda digunakan pada switch, dan lalu lintas antar VRF melewati firewall, lalu lintas dalam satu VRF dikendalikan oleh ACL pada switch
  • semua lalu lintas dicerminkan ke firewall untuk analisis dan pemantauan; lalu lintas tidak melewatinya

Catatan 1

Kombinasi opsi-opsi ini dimungkinkan, tetapi untuk kesederhanaan kami tidak akan mempertimbangkannya.

Catatan 2

Ada juga kemungkinan menggunakan PBR (arsitektur rantai layanan), tetapi untuk saat ini, meskipun solusi yang bagus menurut saya, ini agak eksotis, jadi saya tidak mempertimbangkannya di sini.

Dari uraian alur dalam dokumen, terlihat bahwa lalu lintas masih melewati firewall, yaitu sesuai dengan desain Cisco, opsi keempat dihilangkan.

Mari kita lihat dua opsi pertama terlebih dahulu.
Dengan opsi ini, semua lalu lintas melewati firewall.

Sekarang kita lihat lembaran data, Lihat Cisco GPL dan kita lihat jika kita ingin total bandwidth kantor kita minimal sekitar 10 - 20 gigabit, maka kita harus membeli versi 4K.

Catatan

Ketika saya berbicara tentang total bandwidth, yang saya maksud adalah lalu lintas antar subnet (dan bukan dalam satu vilana).

Dari GPL kita melihat bahwa untuk HA Bundle dengan Threat Defense, harga tergantung modelnya (4110 - 4150) bervariasi antara ~0,5 - 2,5 juta dolar.

Artinya, desain kita mulai menyerupai contoh sebelumnya.

Apakah ini berarti desain ini salah?
Tidak, bukan itu maksudnya. Cisco memberi Anda perlindungan terbaik berdasarkan lini produk yang dimilikinya. Namun bukan berarti hal ini harus Anda lakukan.

Pada prinsipnya, ini adalah pertanyaan umum yang muncul ketika merancang kantor atau pusat data, dan ini hanya berarti bahwa kompromi perlu diupayakan.

Misalnya, jangan biarkan semua lalu lintas melewati firewall, dalam hal ini opsi 3 tampaknya cukup bagus bagi saya, atau (lihat bagian sebelumnya) mungkin Anda tidak memerlukan Pertahanan Ancaman atau tidak memerlukan firewall sama sekali untuk itu. segmen jaringan, dan Anda hanya perlu membatasi diri pada pemantauan pasif menggunakan solusi berbayar (tidak mahal) atau sumber terbuka, atau Anda memerlukan firewall, tetapi dari vendor yang berbeda.

Biasanya ketidakpastian ini selalu ada dan tidak ada jawaban yang jelas mengenai keputusan mana yang terbaik untuk Anda.
Inilah kompleksitas dan keindahan tugas ini.

Sumber: www.habr.com

Tambah komentar