ProHoster > Blog > Stjórnsýsla > Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Þriðji hluti

Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Þriðji hluti

Þessi grein er sú fimmta í röðinni „Hvernig á að taka stjórn á netinnviðum þínum. Hægt er að finna innihald allra greina í ritröðinni og tengla hér.

Þessi hluti verður helgaður háskólasvæðinu (skrifstofu) og VPN hlutanum með fjaraðgangi.

Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Þriðji hluti

Hönnun skrifstofunets kann að virðast auðveld.

Reyndar tökum við L2/L3 rofa og tengjum þá hver við annan. Næst framkvæmum við grunnuppsetningu á vilans og sjálfgefnum gáttum, setjum upp einfalda leið, tengjum WiFi stýringar, aðgangsstaði, setjum upp og stillum ASA fyrir fjaraðgang, við erum ánægð með að allt virkaði. Í grundvallaratriðum, eins og ég skrifaði þegar í einu af fyrri greinar í þessari lotu geta næstum allir nemendur sem hafa sótt (og lært) tvær annir í fjarskiptanámskeiði hannað og stillt skrifstofunet þannig að það „virki einhvern veginn“.

En því meira sem þú lærir, því minna einfalt byrjar þetta verkefni að virðast. Fyrir mig persónulega virðist þetta efni, umræðuefnið um skrifstofunethönnun, alls ekki einfalt og í þessari grein mun ég reyna að útskýra hvers vegna.

Í stuttu máli eru ansi margir þættir sem þarf að hafa í huga. Oft stangast þessir þættir innbyrðis á milli og leita þarf skynsamlegra málamiðlana.
Þessi óvissa er helsti erfiðleikinn. Svo, talandi um öryggi, höfum við þríhyrning með þremur hornpunktum: öryggi, þægindi fyrir starfsmenn, verð á lausninni.
Og í hvert skipti sem þú þarft að leita að málamiðlun milli þessara þriggja.

arkitektúr

Sem dæmi um arkitektúr fyrir þessa tvo hluta, eins og í fyrri greinum, mæli ég með Cisco SAFE módel: Enterprise háskólasvæðið, Enterprise Internet Edge.

Þetta eru nokkuð úrelt skjöl. Ég kynni þær hér vegna þess að grundvallarkerfi og nálgun hafa ekki breyst, en á sama tíma líkar mér betur við framsetningu en í ný skjöl.

Án þess að hvetja þig til að nota Cisco lausnir held ég samt að það sé gagnlegt að rannsaka þessa hönnun vandlega.

Þessi grein, eins og venjulega, þykist ekki á nokkurn hátt vera tæmandi, heldur er hún frekar viðbót við þessar upplýsingar.

Í lok greinarinnar munum við greina Cisco SAFE skrifstofuhönnunina með tilliti til hugmyndanna sem lýst er hér.

Almennar reglur

Hönnun skrifstofukerfisins þarf að sjálfsögðu að uppfylla þær almennu kröfur sem ræddar hafa verið hér í kaflanum „Viðmið við mat á gæðum hönnunar“. Fyrir utan verð og öryggi, sem við ætlum að ræða í þessari grein, eru enn þrjú viðmið sem við verðum að hafa í huga við hönnun (eða breytingar):

  • sveigjanleika
  • auðvelt í notkun (viðráðanleiki)
  • framboð

Margt af því sem rætt var um gagnaver Þetta á líka við um skrifstofuna.

En samt hefur skrifstofuhlutinn sínar eigin sérkenni, sem eru mikilvægar frá öryggissjónarmiði. Kjarninn í þessari sérstöðu er sá að þessi hluti er búinn til til að veita starfsmönnum (sem og samstarfsaðilum og gestum) netþjónustu fyrirtækisins, og þar af leiðandi höfum við tvö verkefni á hæsta stigi þegar litið er til vandans:

  • vernda auðlindir fyrirtækisins fyrir skaðlegum aðgerðum sem kunna að koma frá starfsmönnum (gestum, samstarfsaðilum) og frá hugbúnaðinum sem þeir nota. Þetta felur einnig í sér vernd gegn óleyfilegri tengingu við netið.
  • vernda kerfi og notendagögn

Og þetta er aðeins ein hlið vandamálsins (eða réttara sagt, einn hornpunktur þríhyrningsins). Á hinni hliðinni eru notendaþægindi og verð á þeim lausnum sem notaðar eru.

Byrjum á því að skoða hvers notandi væntir af nútíma skrifstofukerfi.

Aðstaða

Svona líta „netþægindi“ út fyrir skrifstofunotanda að mínu mati:

  • Hreyfanleiki
  • Geta til að nota allt úrval kunnuglegra tækja og stýrikerfa
  • Auðvelt aðgengi að öllum nauðsynlegum auðlindum fyrirtækisins
  • Aðgengi að auðlindum á netinu, þar með talið ýmsar skýjaþjónustur
  • "Fljótur gangur" netsins

Allt þetta á bæði við um starfsmenn og gesti (eða samstarfsaðila) og það er verkefni verkfræðinga fyrirtækisins að aðgreina aðgang fyrir mismunandi notendahópa út frá heimildum.

Við skulum skoða hvern þessara þátta aðeins nánar.

Hreyfanleiki

Við erum að tala um tækifæri til að vinna og nota allar nauðsynlegar auðlindir fyrirtækisins hvar sem er í heiminum (að sjálfsögðu þar sem internetið er aðgengilegt).

Þetta á fyllilega við um embættið. Þetta er þægilegt þegar þú hefur tækifæri til að halda áfram að vinna hvar sem er á skrifstofunni, til dæmis, taka á móti pósti, eiga samskipti í fyrirtækjaboða, vera tiltækur fyrir myndsímtal, ... Þannig gerir þetta þér annars vegar kleift, til að leysa sum mál í „lifandi“ samskiptum (t.d. taka þátt í fjöldafundum) og hins vegar vera alltaf á netinu, vera með puttann á púlsinum og leysa fljótt nokkur brýn verkefni sem hafa forgang. Þetta er mjög þægilegt og bætir virkilega gæði samskipta.

Þetta er náð með réttri WiFi nethönnun.

Athugaðu:

Hér vaknar venjulega spurningin: er nóg að nota aðeins WiFi? Þýðir þetta að þú getir hætt að nota Ethernet tengi á skrifstofunni? Ef við erum aðeins að tala um notendur, en ekki um netþjóna, sem enn er sanngjarnt að tengja við venjulegt Ethernet tengi, þá er almennt svarið: já, þú getur takmarkað þig við WiFi eingöngu. En það eru blæbrigði.

Það eru mikilvægir notendahópar sem þurfa sérstaka nálgun. Þetta eru auðvitað stjórnendur. Í grundvallaratriðum er Wi-Fi tenging minna áreiðanleg (hvað varðar umferðartap) og hægari en venjuleg Ethernet tengi. Þetta getur verið mikilvægt fyrir stjórnendur. Að auki geta netkerfisstjórar, til dæmis, í grundvallaratriðum haft sitt eigið sérstakt Ethernet net fyrir utanbandstengingar.

Það geta verið aðrir hópar/deildir í fyrirtækinu þínu sem þessir þættir skipta einnig máli fyrir.

Það er annar mikilvægur punktur - símtækni. Kannski af einhverjum ástæðum viltu ekki nota þráðlaust VoIP og vilt nota IP síma með venjulegri Ethernet tengingu.

Almennt séð höfðu fyrirtækin sem ég vann hjá venjulega bæði WiFi tengingu og Ethernet tengi.

Ég vil að hreyfanleiki sé ekki takmarkaður við skrifstofuna.

Til að tryggja getu til að vinna heiman frá sér (eða öðrum stað með aðgengilegt internet) er VPN tenging notuð. Jafnframt er æskilegt að starfsfólk finni ekki mun á heimavinnu og fjarvinnu sem gerir ráð fyrir sama aðgengi. Við munum ræða hvernig á að skipuleggja þetta aðeins síðar í kaflanum „Samleitt miðstýrt auðkenningar- og heimildarkerfi.

Athugaðu:

Líklegast muntu ekki geta veitt að fullu sömu gæði þjónustu fyrir fjarvinnu og þú hefur á skrifstofunni. Gerum ráð fyrir að þú sért að nota Cisco ASA 5520 sem VPN-gátt. gögn þetta tæki er fær um að „melta“ aðeins 225 Mbit af VPN umferð. Það er auðvitað hvað varðar bandbreidd, tenging í gegnum VPN er mjög frábrugðin því að vinna frá skrifstofunni. Einnig, ef, af einhverjum ástæðum, leynd, tap, skjálfti (til dæmis, þú vilt nota IP-símakerfi skrifstofu) fyrir netþjónustu þína, færðu heldur ekki sömu gæði og ef þú værir á skrifstofunni. Þess vegna, þegar talað er um hreyfanleika, verðum við að vera meðvituð um hugsanlegar takmarkanir.

Auðvelt aðgengi að öllum auðlindum fyrirtækisins

Þetta verkefni ætti að leysa í sameiningu með öðrum tæknideildum.
Hin fullkomna staða er þegar notandinn þarf aðeins að auðkenna einu sinni og eftir það hefur hann aðgang að öllum nauðsynlegum auðlindum.
Að veita greiðan aðgang án þess að fórna öryggi getur bætt framleiðni verulega og dregið úr streitu meðal samstarfsmanna.

Athugasemd 1

Auðvelt aðgengi snýst ekki bara um hversu oft þú þarft að slá inn lykilorð. Ef, til dæmis, í samræmi við öryggisstefnu þína, til að tengjast frá skrifstofunni við gagnaverið, verður þú fyrst að tengjast VPN-gáttinni og á sama tíma missir þú aðgang að skrifstofuauðlindum, þá er þetta líka mjög , mjög óþægilegt.

Athugasemd 2

Það eru þjónustur (td aðgangur að netbúnaði) þar sem við höfum venjulega okkar eigin sérstaka AAA netþjóna og þetta er venjan þegar í þessu tilfelli þurfum við að sannvotta nokkrum sinnum.

Aðgengi að auðlindum á netinu

Netið er ekki aðeins afþreying, heldur einnig safn þjónustu sem getur verið mjög gagnleg fyrir vinnu. Það eru líka eingöngu sálfræðilegir þættir. Nútímamaður er tengdur öðru fólki í gegnum netið í gegnum marga sýndarþræði og að mínu mati er ekkert að því ef hann heldur áfram að finna fyrir þessari tengingu jafnvel á meðan hann vinnur.

Frá sjónarhóli tímaeyðslu er ekkert að því ef starfsmaður er til dæmis með Skype í gangi og eyðir 5 mínútum í samskiptum við ástvin ef þörf krefur.

Þýðir þetta að internetið eigi alltaf að vera til staðar, þýðir það að starfsmenn geti haft aðgang að öllum auðlindum og ekki stjórnað þeim á nokkurn hátt?

Nei þýðir það auðvitað ekki. Hversu hreinskilin internetið er getur verið mismunandi fyrir mismunandi fyrirtæki - frá algjörri lokun til algjörrar opnar. Við munum ræða leiðir til að stjórna umferð síðar í köflum um öryggisráðstafanir.

Geta til að nota allt úrval kunnuglegra tækja

Það er þægilegt þegar þú hefur tækifæri til að halda áfram að nota öll þau samskiptatæki sem þú átt að venjast í vinnunni. Það er enginn vandi að útfæra þetta tæknilega. Fyrir þetta þarftu WiFi og gestgjafa.

Það er líka gott ef þú hefur tækifæri til að nota stýrikerfið sem þú ert vanur. En að mínu mati er þetta venjulega aðeins leyft stjórnendum, stjórnendum og hönnuðum.

Dæmi

Þú getur auðvitað farið á slóð banna, bannað fjaraðgang, bannað tengingu úr fartækjum, takmarkað allt við kyrrstæðar Ethernet-tengingar, takmarkað aðgang að internetinu, gert upptæka farsíma og græjur við eftirlitsstöðina... og þessi leið. er reyndar fylgt eftir af sumum stofnunum með auknar öryggiskröfur, og kannski í sumum tilfellum getur þetta verið réttlætanlegt, en... þú hlýtur að vera sammála því að þetta lítur út eins og tilraun til að stöðva framfarir í einni stofnun. Auðvitað vil ég sameina tækifærin sem nútímatækni veitir við nægilegt öryggi.

"Fljótur gangur" netsins

Gagnaflutningshraði samanstendur tæknilega af mörgum þáttum. Og hraði tengitengisins þíns er venjulega ekki sá mikilvægasti. Hægur rekstur forrits er ekki alltaf tengdur netvandamálum, en eins og er höfum við aðeins áhuga á nethlutanum. Algengasta vandamálið við „hægingu“ á staðarneti er tengt pakkatapi. Þetta gerist venjulega þegar það er flöskuháls eða L1 (OSI) vandamál. Sjaldnar, með suma hönnun (til dæmis, þegar undirnetin þín eru með eldvegg sem sjálfgefna gátt og þar með fer öll umferð í gegnum hana), gæti frammistöðu vélbúnaðar verið ábótavant.

Þess vegna, þegar þú velur búnað og arkitektúr, þarftu að tengja hraða lokahafna, ferðakoffort og frammistöðu búnaðar.

Dæmi

Gerum ráð fyrir að þú sért að nota rofa með 1 gígabit tengi sem aðgangslagsrofa. Þeir eru tengdir hver öðrum í gegnum Etherchannel 2 x 10 gígabita. Sem sjálfgefin gátt notarðu eldvegg með gígabit tengi, til að tengja við L2 skrifstofunetið sem þú notar 2 gígabit tengi saman í Etherchannel.

Þessi arkitektúr er nokkuð þægilegur frá virkni sjónarhóli, vegna þess að... Öll umferð fer í gegnum eldvegginn og þú getur stjórnað aðgangsreglum á þægilegan hátt og beitt flóknum reikniritum til að stjórna umferð og koma í veg fyrir hugsanlegar árásir (sjá hér að neðan), en frá afköstum og frammistöðu sjónarhóli hefur þessi hönnun að sjálfsögðu hugsanleg vandamál. Þannig að til dæmis geta 2 vélar sem hlaða niður gögnum (með 1 gígabita gáttarhraða) hlaðið 2 gígabita tengingu alveg við eldvegginn og þannig leitt til skerðingar á þjónustu fyrir allan skrifstofuhlutann.

Við höfum skoðað einn hornpunkt þríhyrningsins, nú skulum við skoða hvernig við getum tryggt öryggi.

Úrræði

Svo auðvitað er löngun okkar (eða öllu heldur ósk stjórnenda okkar) að ná hinu ómögulega, nefnilega að veita hámarks þægindi með hámarksöryggi og lágmarkskostnaði.

Við skulum skoða hvaða aðferðir við höfum til að veita vernd.

Fyrir skrifstofuna vil ég leggja áherslu á eftirfarandi:

  • núll traust nálgun við hönnun
  • hátt verndarstig
  • sýnileika netsins
  • sameinað miðlægt auðkenningar- og heimildakerfi
  • hýsingarathugun

Næst munum við fjalla aðeins nánar um hvern þessara þátta.

Núll traust

Upplýsingatækni heimurinn er að breytast mjög hratt. Rétt á undanförnum 10 árum hefur tilkoma nýrrar tækni og vara leitt til mikillar endurskoðunar öryggishugmynda. Fyrir tíu árum, frá öryggissjónarmiði, skiptum við netinu niður í traust, dmz og ótraust svæði og notuðum svokallaða „jaðarvörn“, þar sem voru 2 varnarlínur: vantraust -> dmz og dmz -> treysta. Einnig var vernd venjulega takmörkuð við aðgangslista byggða á L3/L4 (OSI) hausum (IP, TCP/UDP tengi, TCP fánar). Allt sem tengist hærri stigum, þar á meðal L7, var látið eftir stýrikerfinu og öryggisvörum sem settar voru upp á endahýsingunum.

Nú hefur staðan gjörbreyst. Nútíma hugtak núll traust stafar af því að ekki er lengur hægt að líta á innri kerfi, það er þau sem eru staðsett innan jaðarsins, sem traust og hugmyndin um jaðarinn sjálfan er orðin óskýr.
Til viðbótar við nettengingu höfum við líka

  • VPN notendur með fjaraðgangi
  • ýmsar persónulegar græjur, komnar fartölvur, tengdar í gegnum skrifstofu WiFi
  • aðrar (útibús)skrifstofur
  • samþættingu við skýjainnviði

Hvernig lítur Zero Trust nálgunin út í reynd?

Helst ætti aðeins að leyfa þá umferð sem krafist er og ef við erum að tala um hugsjón, þá ætti eftirlit ekki aðeins að vera á L3/L4 stigi, heldur á umsóknarstigi.

Ef þú hefur til dæmis getu til að koma allri umferð í gegnum eldvegg, þá geturðu reynt að komast nær hugsjóninni. En þessi nálgun getur dregið verulega úr heildarbandbreidd netsins þíns og að auki virkar síun eftir forriti ekki alltaf vel.

Þegar þú stjórnar umferð á beini eða L3 rofa (með því að nota staðlaða ACL), lendir þú í öðrum vandamálum:

  • Þetta er eingöngu L3/L4 síun. Það er ekkert sem hindrar árásarmann í að nota leyfð tengi (td TCP 80) fyrir forritið sitt (ekki http)
  • flókin ACL stjórnun (erfitt að flokka ACL)
  • Þetta er ekki fullkominn eldveggur, sem þýðir að þú þarft sérstaklega að leyfa öfuga umferð
  • með rofum ertu venjulega mjög takmarkaður af stærð TCAM, sem getur fljótt orðið vandamál ef þú tekur "aðeins leyfið það sem þú þarft" nálgun

Athugaðu:

Talandi um öfuga umferð verðum við að muna að við höfum eftirfarandi tækifæri (Cisco)

leyfa tcp hvaða stofnað sem er

En þú þarft að skilja að þessi lína jafngildir tveimur línum:
leyfa tcp hvaða ack sem er
leyfa tcp hvaða hvaða fyrst

Sem þýðir að jafnvel þó að það væri enginn upphaflegur TCP hluti með SYN fánanum (það er, TCP lotan byrjaði ekki einu sinni að koma á fót), mun þessi ACL leyfa pakka með ACK fánanum, sem árásarmaður getur notað til að flytja gögn.

Það er, þessi lína breytir á engan hátt leiðinni þinni eða L3 rofanum í fullkominn eldvegg.

Hátt verndarstig

В grein Í kaflanum um gagnaver skoðuðum við eftirfarandi verndaraðferðir.

  • staðbundinn eldveggur (sjálfgefið)
  • ddos/dos vörn
  • eldvegg forrita
  • ógnavarnir (vírusvörn, njósnavörn og varnarleysi)
  • URL síun
  • gagnasíun (efnissíun)
  • skráalokun (útilokun skráartegunda)

Þegar um skrifstofu er að ræða er staðan svipuð en forgangsröðunin er aðeins önnur. Skrifstofuaðgengi (aðgengi) er venjulega ekki eins mikilvægt og þegar um gagnaver er að ræða, á meðan líkurnar á „innri“ skaðlegri umferð eru stærðargráðum meiri.
Þess vegna verða eftirfarandi verndaraðferðir fyrir þennan hluta mikilvægar:

  • eldvegg forrita
  • ógnavarnir (vírusvörn, njósnavörn og varnarleysi)
  • URL síun
  • gagnasíun (efnissíun)
  • skráalokun (útilokun skráartegunda)

Þrátt fyrir að allar þessar verndaraðferðir, að undanskildum eldveggjum forrita, hafi jafnan verið og haldi áfram að vera leystar á endahýslum (til dæmis með því að setja upp vírusvarnarforrit) og nota umboð, þá veita nútíma NGFW einnig þessa þjónustu.

Framleiðendur öryggisbúnaðar leitast við að búa til alhliða vernd, svo ásamt staðbundinni vernd bjóða þeir upp á ýmsa skýjatækni og viðskiptavinahugbúnað fyrir gestgjafa (endapunktavernd/EPP). Svo til dæmis frá 2018 Gartner Magic Quadrant Við sjáum að Palo Alto og Cisco eru með eigin EPP (PA: Traps, Cisco: AMP), en eru langt frá því að vera leiðtogar.

Að virkja þessa vernd (venjulega með því að kaupa leyfi) á eldveggnum þínum er auðvitað ekki skylda (þú getur farið hefðbundna leið), en það veitir nokkra kosti:

  • í þessu tilviki er einn beiting verndaraðferða, sem bætir sýnileika (sjá næsta efni).
  • Ef það er óvarið tæki á netinu þínu, þá fellur það samt undir „regnhlíf“ eldveggsverndar
  • Með því að nota eldveggsvörn í tengslum við endahýsingarvörn aukum við líkurnar á því að greina skaðlega umferð. Til dæmis, að nota ógnavarnir á staðbundnum hýslum og á eldvegg eykur líkurnar á uppgötvun (að því gefnu að þessar lausnir séu byggðar á mismunandi hugbúnaðarvörum)

Athugaðu:

Ef þú til dæmis notar Kaspersky sem vírusvarnarefni bæði á eldveggnum og á endahýsingum, þá mun þetta auðvitað ekki auka verulega líkurnar á að koma í veg fyrir vírusárás á netið þitt.

Netsýnileiki

Helstu hugmyndin er einfalt - „sjáðu“ hvað er að gerast á netinu þínu, bæði í rauntíma og söguleg gögn.

Ég myndi skipta þessari "sýn" í tvo hópa:

Hópur eitt: það sem eftirlitskerfið þitt veitir þér venjulega.

  • hleðsla búnaðar
  • hleðsla rása
  • minnisnotkun
  • diskanotkun
  • að breyta leiðartöflunni
  • stöðu tengla
  • framboð á búnaði (eða gestgjöfum)
  • ...

Hópur tvö: öryggistengdar upplýsingar.

  • ýmsar gerðir af tölfræði (til dæmis eftir forriti, eftir umferð á vefslóðum, hvers konar gögnum var hlaðið niður, notendagögn)
  • hvað var lokað af öryggisstefnu og af hvaða ástæðu, þ.e
    • bönnuð umsókn
    • bönnuð á grundvelli ip/protocol/port/flags/zones
    • ógnavarnir
    • vefslóð síun
    • gagnasíun
    • lokun skráa
    • ...
  • tölfræði um DOS/DDOS árásir
  • misheppnaðar auðkenningar- og heimildartilraunir
  • tölfræði fyrir öll ofangreind brot á öryggisreglum
  • ...

Í þessum kafla um öryggi höfum við áhuga á seinni hlutanum.

Sumir nútímalegir eldveggir (frá Palo Alto reynslu minni) veita gott skyggni. En auðvitað verður umferðin sem þú hefur áhuga á að fara í gegnum þennan eldvegg (þá hefurðu möguleika á að loka fyrir umferð) eða spegla í eldvegginn (notað aðeins til að fylgjast með og greina), og þú verður að hafa leyfi til að gera alla þessa þjónustu.

Það er auðvitað önnur leið, eða öllu heldur hefðbundin, td.

  • Hægt er að safna lotutölfræði í gegnum netflæði og nota síðan sérstök tól til upplýsingagreiningar og gagnasýnar
  • ógnavarnir – sérstök forrit (vírusvörn, njósnavörn, eldveggur) á endahýslum
  • Vefslóðasía, gagnasíun, skráalokun - á proxy
  • það er líka hægt að greina tcpdump með því að nota t.d. hrýtur

Þú getur sameinað þessar tvær aðferðir, bætt við vanta eiginleika eða afritað þá til að auka líkurnar á að uppgötva árás.

Hvaða nálgun ættir þú að velja?
Fer mjög eftir hæfni og óskum liðsins þíns.
Bæði þar og þar eru kostir og gallar.

Sameinað miðstýrt auðkenningar- og heimildarkerfi

Þegar vel hannað er, gerir hreyfanleikinn sem við ræddum í þessari grein ráð fyrir að þú hafir sama aðgang hvort sem þú vinnur frá skrifstofunni eða heima, frá flugvellinum, frá kaffihúsi eða annars staðar (með þeim takmörkunum sem við ræddum hér að ofan). Það virðist, hvað er vandamálið?
Til að skilja betur hversu flókið þetta verkefni er, skulum við skoða dæmigerða hönnun.

Dæmi

  • Þú hefur skipt öllum starfsmönnum í hópa. Þú hefur ákveðið að veita aðgang eftir hópum
  • Inni á skrifstofunni stjórnar þú aðgangi á eldvegg skrifstofunnar
  • Þú stjórnar umferð frá skrifstofunni til gagnaversins á eldvegg gagnaversins
  • Þú notar Cisco ASA sem VPN gátt og til að stjórna umferð inn á netið þitt frá ytri viðskiptavinum notar þú staðbundnar (á ASA) ACL

Segjum að þú sért beðinn um að bæta við viðbótaraðgangi fyrir ákveðinn starfsmann. Í þessu tilviki ertu beðinn um að bæta aðeins við aðgangi að honum og engum öðrum úr hópnum hans.

Til þess verðum við að búa til sérstakan hóp fyrir þennan starfsmann, þ.e

  • búa til sérstakan IP-laug á ASA fyrir þennan starfsmann
  • bæta við nýjum ACL á ASA og binda það við þann ytri viðskiptavin
  • búa til nýjar öryggisstefnur á eldveggjum skrifstofu og gagnavera

Það er gott ef þessi atburður er sjaldgæfur. En í starfi mínu var sú staða að starfsmenn tóku þátt í mismunandi verkefnum, og þessi verkefnahópur hjá sumum þeirra breyttist nokkuð oft, og það var ekki 1-2 manns, heldur tugir. Hér þurfti auðvitað að breyta einhverju.

Þetta var leyst á eftirfarandi hátt.

Við ákváðum að LDAP væri eina uppspretta sannleikans sem ákvarðar allan mögulegan aðgang starfsmanna. Við bjuggum til alls kyns hópa sem skilgreina sett af aðgangi og við úthlutuðum hverjum notanda í einn eða fleiri hópa.

Segjum sem svo að það hafi verið hópar

  • gestur (internetaðgangur)
  • sameiginlegur aðgangur (aðgangur að sameiginlegum auðlindum: pósti, þekkingargrunni, ...)
  • bókhald
  • verkefni 1
  • verkefni 2
  • gagnagrunnsstjóra
  • linux stjórnandi
  • ...

Og ef einn starfsmannanna tók þátt í bæði verkefni 1 og verkefni 2, og hann þurfti nauðsynlegan aðgang til að vinna í þessum verkefnum, þá var þessi starfsmaður skipaður í eftirfarandi hópa:

  • gestur
  • sameiginlegur aðgangur
  • verkefni 1
  • verkefni 2

Hvernig getum við nú breytt þessum upplýsingum í aðgang á netbúnaði?

Cisco ASA Dynamic Access Policy (DAP) (sjá www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) lausn er bara rétt fyrir þetta verkefni.

Stuttlega um innleiðingu okkar, meðan á auðkenningar-/heimildarferlinu stendur, fær ASA frá LDAP hóp af hópum sem samsvara tilteknum notanda og „safnar“ frá nokkrum staðbundnum ACL (sem hver um sig samsvarar hópi) kraftmiklu ACL með öllum nauðsynlegum aðgangi , sem er í fullu samræmi við óskir okkar.

En þetta er aðeins fyrir VPN tengingar. Til að gera stöðuna eins fyrir bæði starfsmenn tengda í gegnum VPN og þá sem eru á skrifstofunni var eftirfarandi skref tekið.

Þegar tengst var frá skrifstofunni, enduðu notendur sem notuðu 802.1x samskiptareglur annað hvort á gestanet (fyrir gesti) eða sameiginlegt staðarnet (fyrir starfsmenn fyrirtækisins). Ennfremur, til að fá sérstakan aðgang (til dæmis að verkefnum í gagnaveri), þurftu starfsmenn að tengjast í gegnum VPN.

Til að tengjast frá skrifstofunni og að heiman voru mismunandi jarðgangahópar notaðir á ASA. Þetta er nauðsynlegt svo að fyrir þá sem tengjast frá skrifstofunni fari umferð til sameiginlegra auðlinda (notuð af öllum starfsmönnum, svo sem póst, skráaþjóna, miðakerfi, dns, ...) ekki í gegnum ASA, heldur í gegnum staðarnetið . Þannig höfum við ekki hlaðið ASA með óþarfa umferð, þar á meðal mikilli umferð.

Þar með var vandamálið leyst.
Við höfum

  • sama aðgangssett fyrir bæði tengingar frá skrifstofu og fjartengingar
  • skortur á þjónustuskerðingu þegar unnið er frá skrifstofu í tengslum við flutning á mikilli umferð í gegnum ASA

Hvaða aðrir kostir við þessa aðferð?
Í aðgangsstjórnun. Auðvelt er að breyta aðgangi á einum stað.
Til dæmis, ef starfsmaður yfirgefur fyrirtækið, þá fjarlægirðu hann einfaldlega úr LDAP og hann missir sjálfkrafa allan aðgang.

Hýsingarathugun

Með möguleikanum á fjartengingu eigum við á hættu að hleypa ekki aðeins starfsmanni fyrirtækisins inn á netið, heldur einnig allan skaðlegan hugbúnað sem er mjög líklega til staðar á tölvunni hans (til dæmis heima), og ennfremur, í gegnum þennan hugbúnað gæti verið að veita árásarmanni aðgang að netinu okkar sem notar þennan hýsil sem proxy.

Það er skynsamlegt að fjartengdur gestgjafi beiti sömu öryggiskröfum og gestgjafi á skrifstofunni.

Þetta gerir einnig ráð fyrir „réttri“ útgáfu af stýrikerfinu, vírusvarnar-, njósna- og eldvegghugbúnaði og uppfærslum. Venjulega er þessi möguleiki til staðar á VPN gáttinni (sjá t.d. ASA fyrir ASA, hér).

Það er líka skynsamlegt að beita sömu umferðargreiningu og lokunaraðferðum (sjá „Hátt verndarstig“) og öryggisstefna þín á við um skrifstofuumferð.

Það er sanngjarnt að gera ráð fyrir að skrifstofunetið þitt sé ekki lengur takmarkað við skrifstofubygginguna og gestgjafana innan hennar.

Dæmi

Góð tækni er að veita hverjum starfsmanni sem þarf fjaraðgang góða og þægilega fartölvu og krefjast þess að hann vinni, bæði á skrifstofunni og heiman, eingöngu frá henni.

Það bætir ekki aðeins öryggi netkerfisins heldur er það líka mjög þægilegt og er yfirleitt vel séð af starfsmönnum (ef þetta er mjög góð, notendavæn fartölva).

Um tilfinningu fyrir hlutfalli og jafnvægi

Í grundvallaratriðum er þetta samtal um þriðja hornpunkt þríhyrningsins okkar - um verð.
Lítum á tilgátudæmi.

Dæmi

Þú ert með skrifstofu fyrir 200 manns. Þú ákvaðst að gera það eins þægilegt og eins öruggt og hægt er.

Þess vegna ákvaðstu að koma allri umferð í gegnum eldvegginn og því fyrir öll skrifstofu undirnet er eldveggurinn sjálfgefna hliðin. Til viðbótar við öryggishugbúnaðinn sem er uppsettur á hverjum endahýsli (vírusvarnar-, njósna- og eldveggshugbúnaður), ákvaðstu líka að beita öllum mögulegum verndaraðferðum á eldveggnum.

Til að tryggja háan tengingarhraða (allt til þæginda) valdir þú rofa með 10 Gigabit aðgangstengi sem aðgangsrofa og afkastamikla NGFW eldveggi sem eldveggi, til dæmis Palo Alto 7K röð (með 40 Gigabit tengi), náttúrulega með öllum leyfum innifalið og, náttúrulega, High Availability par.

Einnig, auðvitað, til að vinna með þessa línu af búnaði þurfum við að minnsta kosti nokkra mjög hæfa öryggisverkfræðinga.

Næst ákvaðstu að gefa hverjum starfsmanni góða fartölvu.

Samtals, um 10 milljónir dollara fyrir innleiðingu, hundruð þúsunda dollara (held ég nær milljón) fyrir árlegan stuðning og laun fyrir verkfræðinga.

Skrifstofa, 200 manns...
Þægilegt? Ég býst við að það sé já.

Þú kemur með þessa tillögu til stjórnenda þinna...
Kannski eru nokkur fyrirtæki í heiminum sem þetta er ásættanleg og rétt lausn fyrir. Ef þú ert starfsmaður þessa fyrirtækis, til hamingju með það, en í langflestum tilfellum er ég viss um að þekking þín verður ekki metin af stjórnendum.

Er þetta dæmi ýkt? Næsti kafli mun svara þessari spurningu.

Ef þú sérð ekkert af ofangreindu á netinu þínu, þá er þetta normið.
Fyrir hvert tiltekið tilvik þarftu að finna þína eigin sanngjarna málamiðlun milli þæginda, verðs og öryggis. Oft þarftu ekki einu sinni NGFW á skrifstofunni þinni og L7 vernd á eldveggnum er ekki krafist. Það er nóg að veita góða sýnileika og viðvaranir, og það er hægt að gera með því að nota opinn hugbúnað, til dæmis. Já, viðbrögð þín við árás verða ekki strax, en aðalatriðið er að þú sérð það og með réttum ferlum til staðar í deildinni þinni muntu geta gert það fljótt að hlutleysa það.

Og ég minni þig á að samkvæmt hugmyndinni um þessa greinaröð ertu ekki að hanna net, þú ert aðeins að reyna að bæta það sem þú fékkst.

Örugg greining á skrifstofuarkitektúr

Gefðu gaum að þessum rauða ferningi sem ég úthlutaði stað á skýringarmyndinni frá SAFE Secure Campus Architecture Guidesem mig langar til að ræða hér.

Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Þriðji hluti

Þetta er einn af lykilstöðum byggingarlistar og einn mikilvægasti óvissuþátturinn.

Athugaðu:

Ég hef aldrei sett upp eða unnið með FirePower (úr eldveggslínu Cisco - aðeins ASA), svo ég mun meðhöndla hann eins og hvern annan eldvegg, eins og Juniper SRX eða Palo Alto, að því gefnu að hann hafi sömu möguleika.

Af venjulegri hönnun sé ég aðeins 4 mögulega valkosti til að nota eldvegg með þessari tengingu:

  • sjálfgefin gátt fyrir hvert undirnet er rofi, á meðan eldveggurinn er í gagnsæjum ham (þ.e. öll umferð fer í gegnum hann, en hún myndar ekki L3 hopp)
  • sjálfgefin gátt fyrir hvert undirnet er undirviðmót eldveggsins (eða SVI tengi), rofinn gegnir hlutverki L2
  • mismunandi VRF eru notuð á rofanum og umferð milli VRF fer í gegnum eldvegginn, umferð innan eins VRF er stjórnað af ACL á rofanum
  • öll umferð er spegluð í eldvegginn til greiningar og eftirlits, umferð fer ekki í gegnum hann

Athugasemd 1

Samsetningar þessara valkosta eru mögulegar, en til einföldunar munum við ekki íhuga þá.

Athugasemd 2

Það er líka möguleiki á að nota PBR (service chain architecture), en í augnablikinu er þetta, þótt falleg lausn að mínu mati, frekar framandi, svo ég er ekki að íhuga það hér.

Af lýsingu á flæði í skjalinu sjáum við að umferðin fer enn í gegnum eldvegginn, það er að segja í samræmi við Cisco hönnunina er fjórði kosturinn eytt.

Við skulum fyrst skoða fyrstu tvo valkostina.
Með þessum valkostum fer öll umferð í gegnum eldvegginn.

Nú skulum við líta gögn, sjáðu Cisco GPL og við sjáum að ef við viljum að heildarbandbreiddin fyrir skrifstofu okkar sé að minnsta kosti í kringum 10 - 20 gígabita, þá verðum við að kaupa 4K útgáfuna.

Athugaðu:

Þegar ég tala um heildarbandbreiddina á ég við umferð á milli undirneta (og ekki innan eins vilana).

Frá GPL sjáum við að fyrir HA búnt með Threat Defense er verðið eftir gerð (4110 - 4150) breytilegt frá ~0,5 - 2,5 milljón dollara.

Það er, hönnun okkar byrjar að líkjast fyrra dæminu.

Þýðir þetta að þessi hönnun sé röng?
Nei, það þýðir ekki. Cisco veitir þér bestu mögulegu verndina miðað við vörulínuna sem það hefur. En það þýðir ekki að það sé nauðsyn fyrir þig.

Í grundvallaratriðum er þetta algeng spurning sem vaknar þegar verið er að hanna skrifstofu eða gagnaver og þýðir aðeins að leita þurfi málamiðlunar.

Til dæmis, ekki láta alla umferð fara í gegnum eldvegg, þá finnst mér valkostur 3 nokkuð góður, eða (sjá fyrri hluta) kannski þarftu ekki Threat Defense eða þarft alls ekki eldvegg á því netkerfi, og þú þarft bara að takmarka þig við óvirka vöktun með því að nota greiddar (ekki dýrar) eða opinn uppspretta lausnir, eða þú þarft eldvegg, en frá öðrum söluaðila.

Yfirleitt er alltaf þessi óvissa og það er ekkert skýrt svar við því hvaða ákvörðun er best fyrir þig.
Þetta er flókið og fegurð þessa verkefnis.

Heimild: www.habr.com

Bæta við athugasemd