ProHoster > Blog > Stjórnsýsla > Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Fyrsti hluti

Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Fyrsti hluti

Þessi grein er sú þriðja í röð greina „Hvernig á að taka stjórn á netinnviðum þínum. Hægt er að finna innihald allra greina í ritröðinni og tengla hér.

Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Fyrsti hluti

Það þýðir ekkert að tala um að útrýma algjörlega öryggisáhættum. Í grundvallaratriðum getum við ekki minnkað þau niður í núll. Við þurfum líka að skilja að þegar við reynum að gera netið öruggara og öruggara verða lausnir okkar sífellt dýrari. Þú þarft að finna málamiðlun milli kostnaðar, flækjustigs og öryggis sem er skynsamlegt fyrir netið þitt.

Auðvitað er öryggishönnun lífrænt samþætt heildararkitektúrnum og öryggislausnirnar sem notaðar eru hafa áhrif á sveigjanleika, áreiðanleika, viðráðanleika, ... netinnviða, sem einnig ætti að taka tillit til.

En ég minni á að nú erum við ekki að tala um að búa til net. Samkvæmt okkar upphafsskilyrði við höfum þegar valið hönnunina, valið búnaðinn og búið til innviðina og á þessu stigi, ef mögulegt er, ættum við að „lifa“ og finna lausnir í samhengi við áður valin nálgun.

Verkefni okkar núna er að bera kennsl á áhættuna sem tengist öryggi á netkerfisstigi og draga úr þeim niður í hæfilegt stig.

Netöryggisúttekt

Ef fyrirtæki þitt hefur innleitt ISO 27k ferla, þá ættu öryggisúttektir og netbreytingar að passa óaðfinnanlega inn í heildarferlana innan þessarar nálgun. En þessir staðlar snúast samt ekki um sérstakar lausnir, ekki um stillingar, ekki um hönnun... Það eru engin skýr ráð, engir staðlar sem segja í smáatriðum hvernig netið þitt ætti að vera, þetta er flókið og fegurð þessa verkefnis.

Ég myndi leggja áherslu á nokkrar mögulegar netöryggisúttektir:

  • úttekt á uppsetningu búnaðar (herðing)
  • endurskoðun öryggishönnunar
  • aðgangsúttekt
  • ferli endurskoðun

Úttekt á stillingum búnaðar (herðing)

Svo virðist sem þetta sé í flestum tilfellum besti upphafspunkturinn til að endurskoða og bæta öryggi netsins þíns. IMHO, þetta er góð sönnun á lögmáli Paretos (20% af áreynslu skilar 80% af niðurstöðunni, og 80% af áreynslu sem eftir eru framleiðir aðeins 20% af niðurstöðunni).

Niðurstaðan er sú að við höfum venjulega ráðleggingar frá söluaðilum varðandi „bestu starfsvenjur“ fyrir öryggi við uppsetningu búnaðar. Þetta er kallað „herðing“.

Þú getur líka oft fundið spurningalista (eða búið til sjálfur) byggt á þessum ráðleggingum, sem mun hjálpa þér að ákvarða hversu vel uppsetning búnaðarins þíns samræmist þessum „bestu starfsvenjum“ og, í samræmi við niðurstöðuna, gera breytingar á netinu þínu . Þetta gerir þér kleift að draga verulega úr öryggisáhættu á auðveldan hátt, nánast án kostnaðar.

Nokkur dæmi fyrir sum Cisco stýrikerfi.

Cisco IOS stillingarherðing
Cisco IOS-XR stillingarherðing
Cisco NX-OS stillingarherðing
Cisco grunnlínu öryggisathugunarlisti

Byggt á þessum skjölum er hægt að búa til lista yfir uppsetningarkröfur fyrir hverja tegund búnaðar. Til dæmis gætu þessar kröfur litið út fyrir Cisco N7K VDC svo.

Þannig er hægt að búa til stillingarskrár fyrir mismunandi gerðir af virkum búnaði í innviðum netkerfisins. Næst, handvirkt eða með sjálfvirkni, geturðu „hlaðað upp“ þessum stillingarskrám. Hvernig á að gera þetta ferli sjálfvirkt verður fjallað ítarlega í annarri greinaröð um hljómsveitarsetningu og sjálfvirkni.

Úttekt á öryggishönnun

Venjulega inniheldur fyrirtækisnet eftirfarandi hluta í einu eða öðru formi:

  • DC (Opinber þjónusta DMZ og innra net gagnaver)
  • internet aðgangur
  • Fjaraðgangur VPN
  • WAN brún
  • Branch
  • Háskólasvæði (skrifstofa)
  • Core

Titlar teknir úr Cisco SAFE fyrirmynd, en það þarf að sjálfsögðu ekki að vera bundið nákvæmlega við þessi nöfn og þessa fyrirmynd. Samt vil ég tala um kjarnann og ekki festast í formsatriðum.

Fyrir hvern þessara hluta verða öryggiskröfur, áhættur og þar af leiðandi lausnir mismunandi.

Við skulum skoða hvert þeirra sérstaklega fyrir vandamálin sem þú gætir lent í frá öryggishönnunarsjónarmiði. Auðvitað endurtek ég aftur að á engan hátt þykist þessi grein vera fullkomin, sem er ekki auðvelt (ef ekki ómögulegt) að ná í þessu sannarlega djúpa og margþætta efni, en hún endurspeglar persónulega reynslu mína.

Það er engin fullkomin lausn (að minnsta kosti ekki ennþá). Það er alltaf málamiðlun. En það er mikilvægt að ákvörðun um að nota eina eða aðra nálgun sé tekin meðvitað, með skilning á bæði kostum og göllum hennar.

Gagnaver

Mikilvægasti hluti frá öryggissjónarmiði.
Og eins og venjulega er engin allsherjarlausn hér heldur. Það veltur allt mjög á netkröfum.

Er eldveggur nauðsynlegur eða ekki?

Svo virðist sem svarið sé augljóst, en allt er ekki alveg eins skýrt og það kann að virðast. Og val þitt getur ekki aðeins haft áhrif verð.

Dæmi 1. Tafir.

Ef lítil leynd er nauðsynleg krafa milli sumra nethluta, sem er til dæmis satt þegar um skipti er að ræða, þá munum við ekki geta notað eldveggi á milli þessara hluta. Það er erfitt að finna rannsóknir á leynd í eldveggjum, en fáar skiptagerðir geta veitt leynd sem er minna en eða í stærðargráðunni 1 mksec, svo ég held að ef míkrósekúndur eru mikilvægar fyrir þig, þá eru eldveggir ekki fyrir þig.

Dæmi 2. Frammistaða.

Afköst efstu L3 rofa er venjulega stærðargráðu hærra en afköst öflugustu eldvegganna. Þess vegna, ef um er að ræða mikla umferð, verður þú líka líklega að leyfa þessari umferð að fara framhjá eldveggjum.

Dæmi 3. Надежность.

Eldveggir, sérstaklega nútíma NGFW (Next-Generation FW) eru flókin tæki. Þeir eru miklu flóknari en L3/L2 rofar. Þeir bjóða upp á mikinn fjölda þjónustu og stillingarvalkosta, svo það kemur ekki á óvart að áreiðanleiki þeirra er miklu minni. Ef samfelld þjónustu er mikilvæg fyrir netið, þá gætir þú þurft að velja hvað mun leiða til betra framboðs - öryggi með eldvegg eða einfaldleika nets sem byggt er á rofum (eða ýmiss konar efni) með venjulegum ACL.

Í tilviki ofangreindra dæma þarftu líklegast (eins og venjulega) að finna málamiðlun. Horfðu á eftirfarandi lausnir:

  • ef þú ákveður að nota ekki eldveggi inni í gagnaverinu, þá þarftu að hugsa um hvernig hægt er að takmarka aðgang í kringum jaðarinn eins mikið og mögulegt er. Til dæmis geturðu aðeins opnað nauðsynlegar gáttir af internetinu (fyrir umferð viðskiptavina) og stjórnunaraðgang að gagnaverinu aðeins frá stökkhýslum. Á stökkhýsingum skaltu framkvæma allar nauðsynlegar athuganir (staðfesting/heimild, vírusvörn, skógarhögg, ...)
  • þú getur notað rökrétta skiptingu gagnaversnetsins í hluta, svipað og kerfið sem lýst er í PSEFABRIC dæmi p002. Í þessu tilviki verður leið að stilla þannig að seinkun sem er viðkvæm eða mikil umferð fari „innan“ eins hluta (í tilviki p002, VRF) og fari ekki í gegnum eldvegginn. Umferð milli mismunandi hluta mun halda áfram að fara í gegnum eldvegginn. Þú getur líka notað leið sem lekur á milli VRF til að forðast að beina umferð í gegnum eldvegginn
  • Þú getur líka notað eldvegg í gagnsæjum ham og aðeins fyrir þau VLAN þar sem þessir þættir (leynd/afköst) eru ekki mikilvægir. En þú þarft að rannsaka vandlega takmarkanir sem tengjast notkun þessa mod fyrir hvern söluaðila
  • þú gætir viljað íhuga að nota þjónustukeðjuarkitektúr. Þetta mun leyfa aðeins nauðsynlegri umferð að fara í gegnum eldvegginn. Lítur vel út í orði, en ég hef aldrei séð þessa lausn í framleiðslu. Við prófuðum þjónustukeðjuna fyrir Cisco ACI/Juniper SRX/F5 LTM fyrir um 3 árum, en á þeim tíma virtist þessi lausn „gróf“ fyrir okkur.

Verndunarstig

Nú þarftu að svara spurningunni um hvaða verkfæri þú vilt nota til að sía umferð. Hér eru nokkrar af þeim eiginleikum sem venjulega eru til staðar í NGFW (td, hér):

  • staðbundinn eldveggur (sjálfgefið)
  • eldvegg forrita
  • ógnavarnir (vírusvörn, njósnavörn og varnarleysi)
  • URL síun
  • gagnasíun (efnissíun)
  • skráalokun (útilokun skráartegunda)
  • dos vörn

Og ekki er líka allt á hreinu. Svo virðist sem því hærra sem verndarstigið er, því betra. En þú þarft líka að huga að því

  • Því fleiri af ofangreindum eldveggsaðgerðum sem þú notar, því dýrara verður það náttúrulega (leyfi, viðbótareiningar)
  • notkun sumra reiknirita getur dregið verulega úr afköstum eldveggs og aukið tafir, sjá td hér
  • eins og allar flóknar lausnir, getur notkun flókinna verndaraðferða dregið úr áreiðanleika lausnarinnar þinnar, til dæmis, þegar ég notaði eldvegg forrita, lenti ég í því að loka sumum nokkuð stöðluðum virkum forritum (dns, smb)

Eins og alltaf þarftu að finna bestu lausnina fyrir netið þitt.

Það er ómögulegt að svara með afgerandi hætti spurningunni um hvaða verndaraðgerðir gætu verið nauðsynlegar. Í fyrsta lagi vegna þess að það fer auðvitað eftir gögnunum sem þú sendir eða geymir og reynir að vernda. Í öðru lagi, í raun og veru, er val á öryggisverkfærum oft spurning um trú og traust á seljanda. Þú þekkir ekki reikniritin, þú veist ekki hversu áhrifarík þau eru og þú getur ekki prófað þau að fullu.

Því í mikilvægum hlutum getur góð lausn verið að nota tilboð frá mismunandi fyrirtækjum. Til dæmis geturðu virkjað vírusvörn á eldveggnum, en einnig notað vírusvörn (frá öðrum framleiðanda) á staðnum á vélunum.

Skipting

Við erum að tala um rökrétta skiptingu gagnaversnetsins. Til dæmis er skipting í VLAN og undirnet líka rökrétt skipting, en við munum ekki íhuga það vegna augljósrar þess. Áhugaverð skipting með hliðsjón af slíkum aðilum eins og FW öryggissvæðum, VRF (og hliðstæður þeirra í tengslum við ýmsa söluaðila), rökrétt tæki (PA VSYS, Cisco N7K VDC, Cisco ACI leigjanda, ...), ...

Dæmi um slíka rökræna skiptingu og þá hönnun sem nú er eftirsótt gagnaver er gefið í p002 af PSEFABRIC verkefninu.

Eftir að hafa skilgreint rökrétta hluta netkerfisins þíns geturðu síðan lýst því hvernig umferð færist á milli mismunandi hluta, á hvaða tækjum síun verður framkvæmd og með hvaða hætti.

Ef netið þitt er ekki með skýra rökrétta skiptingu og reglurnar um beitingu öryggisstefnu fyrir mismunandi gagnaflæði eru ekki formlegar þýðir það að þegar þú opnar þennan eða hinn aðgang neyðist þú til að leysa þetta vandamál og með miklum líkindum mun leysa það í hvert skipti öðruvísi.

Oft er skipting aðeins byggð á FW öryggissvæðum. Þá þarftu að svara eftirfarandi spurningum:

  • hvaða öryggissvæði þarftu
  • hvaða verndarstig þú vilt beita fyrir hvert þessara svæða
  • verður umferð innan svæðis leyfð sjálfgefið?
  • ef ekki, hvaða umferðarsíustefnur verða beittar innan hvers svæðis
  • hvaða umferðarsíunarreglur verða notaðar fyrir hvert par af svæðum (uppspretta/áfangastaður)

TCAM

Algengt vandamál er ófullnægjandi TCAM (Ternary Content Addressable Memory), bæði fyrir leið og fyrir aðgang. IMHO, þetta er eitt mikilvægasta atriðið þegar þú velur búnað, svo þú þarft að meðhöndla þetta mál með viðeigandi aðgát.

Dæmi 1. Áframsending Tafla TCAM.

Við skulum kíkja Palo Alto 7k eldvegg
Við sjáum að IPv4 áframsendingartöflustærð* = 32K
Þar að auki er þessi fjöldi leiða sameiginlegur fyrir allar VSYS.

Gerum ráð fyrir að samkvæmt hönnun þinni ákveður þú að nota 4 VSYS.
Hver af þessum VSYS er tengdur í gegnum BGP við tvo MPLS PE í skýinu sem þú notar sem BB. Þannig skiptast 4 VSYS á allar sérstakar leiðir sín á milli og hafa framsendingartöflu með um það bil sömu leiðum (en mismunandi NH). Vegna þess að hver VSYS hefur 2 BGP lotur (með sömu stillingum), þá hefur hver leið sem berast um MPLS 2 NH og, í samræmi við það, 2 FIB færslur í áframsendingartöflunni. Ef við gerum ráð fyrir að þetta sé eini eldveggurinn í gagnaverinu og hann verður að vita um allar leiðir, þá þýðir það að heildarfjöldi leiða í gagnaverinu okkar má ekki vera meira en 32K/(4 * 2) = 4K.

Nú, ef við gerum ráð fyrir að við höfum 2 gagnaver (með sömu hönnun) og við viljum nota VLAN „teygð“ á milli gagnavera (til dæmis fyrir vMotion), þá verðum við að nota hýsingarleiðir til að leysa leiðarvandann. . En þetta þýðir að fyrir 2 gagnaver munum við ekki hafa fleiri en 4096 mögulega véla og auðvitað er þetta kannski ekki nóg.

Dæmi 2. ACL TCAM.

Ef þú ætlar að sía umferð á L3 rofa (eða aðrar lausnir sem nota L3 rofa, til dæmis Cisco ACI), þá ættir þú að borga eftirtekt til TCAM ACL þegar þú velur búnað.

Segjum sem svo að þú viljir stjórna aðgangi á SVI tengi Cisco Catalyst 4500. Þá, eins og sjá má af af þessari grein, til að stjórna útleið (sem og komandi) umferð á viðmótum, geturðu notað aðeins 4096 TCAM línur. Sem þegar þú notar TCAM3 mun gefa þér um 4000 þúsund ACE (ACL línur).

Ef þú stendur frammi fyrir vandamálinu með ófullnægjandi TCAM, þá fyrst og fremst þarftu auðvitað að íhuga möguleikann á hagræðingu. Svo, ef vandamál er með stærð framsendingartöflunnar, þarftu að íhuga möguleikann á að safna saman leiðum. Ef vandamál koma upp með TCAM-stærð fyrir aðgang, endurskoða aðgang, fjarlægja úreltar og skarast skrár og hugsanlega endurskoða aðferðina við að opna aðgang (verður fjallað ítarlega í kaflanum um endurskoðunaraðgang).

Hár framboð

Spurningin er: ætti ég að nota HA fyrir eldveggi eða setja upp tvo sjálfstæða kassa „samhliða“ og, ef annar þeirra mistekst, beina umferð í gegnum þann seinni?

Svo virðist sem svarið sé augljóst - notaðu HA. Ástæðan fyrir því að þessi spurning vaknar enn er sú að því miður reynist fræðilegt og auglýsingar 99 og nokkrir aukastafarhlutfall aðgengis í reynd langt frá því að vera svo rosalega bjart. HA er rökfræðilega nokkuð flókinn hlutur, og á mismunandi búnaði, og með mismunandi söluaðilum (það voru engar undantekningar), lentum við í vandræðum og villum og þjónustustoppum.

Ef þú notar HA færðu tækifæri til að slökkva á einstökum hnútum, skipta á milli þeirra án þess að stöðva þjónustuna, sem er mikilvægt til dæmis þegar þú gerir uppfærslur, en á sama tíma eru langt frá því að vera engar líkur á að báðir hnútarnir mun brotna á sama tíma, og einnig að næst muni uppfærslan ekki ganga eins vel og seljandinn lofar (þetta vandamál er hægt að forðast ef þú hefur tækifæri til að prófa uppfærsluna á rannsóknarstofubúnaði).

Ef þú notar ekki HA, þá er áhættan þín miklu minni frá sjónarhóli tvöfaldrar bilunar (þar sem þú ert með 2 sjálfstæða eldveggi), en þar sem... lotur eru ekki samstilltar, þá tapar þú umferð í hvert skipti sem þú skiptir á milli þessara eldveggja. Þú getur auðvitað notað ríkisfangslausan eldvegg, en þá er tilgangurinn með því að nota eldvegg að mestu glataður.

Þess vegna, ef þú hefur uppgötvað einmana eldveggi vegna úttektarinnar og þú ert að hugsa um að auka áreiðanleika netkerfisins þíns, þá er HA auðvitað ein af ráðlögðu lausnunum, en þú ættir líka að taka tillit til ókostanna sem fylgja því. með þessari nálgun og kannski sérstaklega fyrir netið þitt, væri önnur lausn hentugri.

Viðráðanleiki

Í grundvallaratriðum snýst HA líka um stýranleika. Í stað þess að stilla 2 kassa sérstaklega og takast á við vandamálið við að halda stillingunum samstilltum, stjórnarðu þeim eins og þú ættir eitt tæki.

En kannski ertu með mörg gagnaver og marga eldveggi, þá vaknar þessi spurning á nýju stigi. Og spurningin snýst ekki aðeins um uppsetningu heldur einnig um

  • öryggisafrit stillingar
  • uppfærslur
  • uppfærslur
  • eftirlit
  • skógarhögg

Og allt þetta er hægt að leysa með miðstýrðum stjórnunarkerfum.

Svo, til dæmis, ef þú ert að nota Palo Alto eldveggi, þá Skoða er slík lausn.

Til að halda áfram.

Heimild: www.habr.com

Bæta við athugasemd