ProHoster > blog > amministrazione > Come prendere il controllo della tua infrastruttura di rete. Capitolo tre. Sicurezza della rete. Parte terza

Come prendere il controllo della tua infrastruttura di rete. Capitolo tre. Sicurezza della rete. Parte terza

Questo articolo è il quinto della serie "Come assumere il controllo della propria infrastruttura di rete". È possibile trovare il contenuto di tutti gli articoli della serie e i collegamenti qui.

Questa parte sarà dedicata ai segmenti VPN Campus (Ufficio) e Accesso remoto.

Come prendere il controllo della tua infrastruttura di rete. Capitolo tre. Sicurezza della rete. Parte terza

La progettazione della rete aziendale può sembrare semplice.

Infatti, prendiamo gli interruttori L2/L3 e li colleghiamo tra loro. Successivamente, eseguiamo la configurazione di base di vilan e gateway predefiniti, impostiamo un routing semplice, colleghiamo controller WiFi, punti di accesso, installiamo e configuriamo ASA per l'accesso remoto, siamo lieti che tutto abbia funzionato. Fondamentalmente, come ho già scritto in uno dei precedenti articoli di questo ciclo, quasi tutti gli studenti che hanno frequentato (e imparato) due semestri di un corso di telecomunicazioni sono in grado di progettare e configurare una rete aziendale in modo che “funzioni in qualche modo”.

Ma più impari, meno semplice questo compito comincia a sembrare. A me personalmente questo argomento, il tema della progettazione della rete aziendale, non sembra affatto semplice, e in questo articolo cercherò di spiegare il perché.

Insomma, ci sono parecchi fattori da considerare. Spesso questi fattori sono in conflitto tra loro ed è necessario cercare un compromesso ragionevole.
Questa incertezza è la difficoltà principale. Quindi, parlando di sicurezza, abbiamo un triangolo con tre vertici: sicurezza, comodità per i dipendenti, prezzo della soluzione.
E ogni volta devi cercare un compromesso tra questi tre.

Architettura

Come esempio di architettura per questi due segmenti, consiglio come negli articoli precedenti Cisco SICURO modello: Campus aziendale, Bordo Internet aziendale.

Sono documenti un po' datati. Li presento qui perché gli schemi fondamentali e l'approccio non sono cambiati, ma allo stesso tempo mi piace più la presentazione che in nuova documentazione.

Senza incoraggiarvi ad utilizzare le soluzioni Cisco, ritengo comunque utile studiare attentamente questo disegno.

Questo articolo, come al solito, non pretende in alcun modo di essere completo, ma è piuttosto un'aggiunta a queste informazioni.

Alla fine dell'articolo, analizzeremo la progettazione dell'ufficio Cisco SAFE in termini dei concetti qui delineati.

Principi generali

La progettazione della rete d'ufficio deve, ovviamente, soddisfare i requisiti generali che sono stati discussi qui nel capitolo “Criteri per la valutazione della qualità della progettazione”. Oltre al prezzo e alla sicurezza, di cui intendiamo parlare in questo articolo, ci sono ancora tre criteri che dobbiamo considerare quando progettiamo (o apportiamo modifiche):

  • scalabilità
  • facilità d'uso (gestibilità)
  • disponibilità

Gran parte di ciò per cui è stato discusso Centri dati Questo vale anche per l'ufficio.

Tuttavia, il segmento degli uffici ha le sue specificità, critiche dal punto di vista della sicurezza. L'essenza di questa specificità è che questo segmento è creato per fornire servizi di rete ai dipendenti (nonché partner e ospiti) dell'azienda e, di conseguenza, al più alto livello di considerazione del problema abbiamo due compiti:

  • proteggere le risorse aziendali da azioni dannose che possono provenire dai dipendenti (ospiti, partner) e dai software da loro utilizzati. Ciò include anche la protezione contro la connessione non autorizzata alla rete.
  • proteggere i sistemi e i dati degli utenti

E questo è solo un lato del problema (o meglio, un vertice del triangolo). Dall’altro lato c’è la comodità per l’utente e il prezzo delle soluzioni utilizzate.

Cominciamo guardando cosa si aspetta un utente da una moderna rete aziendale.

convenienza

Ecco come appaiono, secondo me, i "servizi di rete" per un utente d'ufficio:

  • mobilità
  • Capacità di utilizzare l'intera gamma di dispositivi e sistemi operativi familiari
  • Facile accesso a tutte le risorse aziendali necessarie
  • Disponibilità di risorse Internet, inclusi vari servizi cloud
  • "Funzionamento veloce" della rete

Tutto questo vale sia per i dipendenti che per gli ospiti (o partner), ed è compito dei tecnici dell’azienda differenziare l’accesso per i diversi gruppi di utenti in base all’autorizzazione.

Diamo un'occhiata a ciascuno di questi aspetti in modo un po' più dettagliato.

mobilità

Stiamo parlando dell'opportunità di lavorare e utilizzare tutte le risorse aziendali necessarie da qualsiasi parte del mondo (ovviamente, dove è disponibile Internet).

Questo vale pienamente per l'ufficio. Ciò è utile quando hai la possibilità di continuare a lavorare da qualsiasi punto dell'ufficio, ad esempio, ricevere posta, comunicare in un messenger aziendale, essere disponibile per una videochiamata, ... Pertanto, ciò ti consente, da un lato, per risolvere alcuni problemi di comunicazione “dal vivo” (ad esempio, partecipare a manifestazioni) e, d'altra parte, essere sempre online, tenere il dito sul polso e risolvere rapidamente alcuni compiti urgenti ad alta priorità. Questo è molto conveniente e migliora davvero la qualità delle comunicazioni.

Ciò si ottiene mediante una corretta progettazione della rete WiFi.

osservazione

Qui di solito sorge la domanda: è sufficiente utilizzare solo il WiFi? Ciò significa che puoi smettere di utilizzare le porte Ethernet in ufficio? Se parliamo solo di utenti e non di server, a cui è comunque ragionevole connettersi tramite una normale porta Ethernet, in generale la risposta è: sì, puoi limitarti solo al WiFi. Ma ci sono delle sfumature.

Esistono importanti gruppi di utenti che richiedono un approccio separato. Questi sono, ovviamente, amministratori. In linea di principio, una connessione WiFi è meno affidabile (in termini di perdita di traffico) e più lenta di una normale porta Ethernet. Questo può essere significativo per gli amministratori. Inoltre, gli amministratori di rete, ad esempio, possono, in linea di principio, avere una propria rete Ethernet dedicata per le connessioni fuori banda.

Potrebbero esserci altri gruppi/dipartimenti nella tua azienda per i quali questi fattori sono importanti.

C'è un altro punto importante: la telefonia. Forse per qualche motivo non desideri utilizzare Wireless VoIP e desideri utilizzare telefoni IP con una normale connessione Ethernet.

In generale, le aziende per cui ho lavorato solitamente avevano sia la connettività WiFi che una porta Ethernet.

Vorrei che la mobilità non si limitasse al solo ufficio.

Per garantire la possibilità di lavorare da casa (o da qualsiasi altro luogo con Internet accessibile), viene utilizzata una connessione VPN. Allo stesso tempo, è auspicabile che i dipendenti non avvertano la differenza tra il lavoro da casa e il lavoro a distanza, che presuppone lo stesso accesso. Discuteremo come organizzarlo un po’ più avanti nel capitolo “Sistema di autenticazione e autorizzazione centralizzato unificato”.

osservazione

Molto probabilmente, non sarai in grado di fornire la stessa qualità di servizi per il lavoro a distanza che hai in ufficio. Supponiamo che tu stia utilizzando un Cisco ASA 5520 come gateway VPN scheda dati questo dispositivo è in grado di “digerire” solo 225 Mbit di traffico VPN. Naturalmente, in termini di larghezza di banda, connettersi tramite VPN è molto diverso dal lavorare dall’ufficio. Inoltre, se per qualche motivo la latenza, le perdite, il jitter (ad esempio, desideri utilizzare la telefonia IP dell'ufficio) per i tuoi servizi di rete sono significativi, non riceverai la stessa qualità come se fossi in ufficio. Pertanto, quando si parla di mobilità, bisogna essere consapevoli delle possibili limitazioni.

Facile accesso a tutte le risorse aziendali

Questo compito dovrebbe essere risolto insieme ad altri dipartimenti tecnici.
La situazione ideale è quando l'utente deve autenticarsi solo una volta, dopodiché ha accesso a tutte le risorse necessarie.
Fornire un accesso facile senza sacrificare la sicurezza può migliorare significativamente la produttività e ridurre lo stress tra i colleghi.

Osservazione 1

La facilità di accesso non dipende solo da quante volte devi inserire una password. Se, ad esempio, in conformità con la tua politica di sicurezza, per connetterti dall'ufficio al data center, devi prima connetterti al gateway VPN e allo stesso tempo perdi l'accesso alle risorse dell'ufficio, anche questo è molto , molto scomodo.

Osservazione 2

Ci sono servizi (ad esempio l'accesso alle apparecchiature di rete) in cui di solito disponiamo di server AAA dedicati e questa è la norma quando in questo caso dobbiamo autenticarci più volte.

Disponibilità di risorse Internet

Internet non è solo intrattenimento, ma anche un insieme di servizi che possono risultare molto utili per il lavoro. Ci sono anche fattori puramente psicologici. Una persona moderna è connessa con altre persone tramite Internet attraverso molti thread virtuali e, secondo me, non c'è niente di sbagliato se continua a sentire questa connessione anche mentre lavora.

Dal punto di vista della perdita di tempo, non c'è niente di sbagliato se un dipendente, ad esempio, ha Skype attivo e, se necessario, trascorre 5 minuti a comunicare con una persona cara.

Questo significa che Internet dovrebbe essere sempre disponibile, significa che i dipendenti possono avere accesso a tutte le risorse e non controllarle in alcun modo?

No, non significa questo, ovviamente. Il livello di apertura di Internet può variare a seconda delle diverse aziende: dalla chiusura completa alla completa apertura. Discuteremo i modi per controllare il traffico più avanti nelle sezioni sulle misure di sicurezza.

Capacità di utilizzare l'intera gamma di dispositivi familiari

È conveniente quando, ad esempio, hai la possibilità di continuare a utilizzare tutti i mezzi di comunicazione a cui sei abituato sul lavoro. Non vi è alcuna difficoltà nell'implementarlo tecnicamente. Per questo è necessario il WiFi e una Wilan ospite.

Va bene anche se hai l’opportunità di utilizzare il sistema operativo a cui sei abituato. Ma, secondo la mia osservazione, questo di solito è consentito solo a manager, amministratori e sviluppatori.

esempio

Naturalmente si può seguire la strada dei divieti, vietare l'accesso remoto, vietare la connessione da dispositivi mobili, limitare tutto a connessioni Ethernet statiche, limitare l'accesso a Internet, confiscare obbligatoriamente cellulari e gadget ai checkpoint... e questa strada è in realtà seguito da alcune organizzazioni con maggiori requisiti di sicurezza, e forse in alcuni casi ciò può essere giustificato, ma... devi ammettere che questo sembra un tentativo di fermare il progresso in una singola organizzazione. Naturalmente vorrei combinare le opportunità offerte dalle moderne tecnologie con un livello di sicurezza sufficiente.

"Funzionamento veloce" della rete

La velocità di trasferimento dei dati tecnicamente è composta da molti fattori. E la velocità della tua porta di connessione di solito non è la più importante. Non sempre il funzionamento lento di un'applicazione è associato a problemi di rete, ma per ora ci interessa solo la parte di rete. Il problema più comune relativo al "rallentamento" della rete locale è legato alla perdita di pacchetti. Questo di solito si verifica quando c'è un collo di bottiglia o problemi L1 (OSI). Più raramente, con alcuni progetti (ad esempio, quando le sottoreti hanno un firewall come gateway predefinito e quindi tutto il traffico lo attraversa), le prestazioni dell'hardware potrebbero essere carenti.

Pertanto, quando si scelgono apparecchiature e architettura, è necessario correlare le velocità delle porte finali, dei trunk e le prestazioni delle apparecchiature.

esempio

Supponiamo che tu stia utilizzando switch con porte da 1 gigabit come switch del livello di accesso. Sono collegati tra loro tramite Etherchannel 2 x 10 gigabit. Come gateway predefinito si utilizza un firewall con porte Gigabit, per collegarlo alla rete aziendale L2 si utilizzano 2 porte Gigabit combinate in un Etherchannel.

Questa architettura è abbastanza conveniente dal punto di vista della funzionalità, perché... Tutto il traffico passa attraverso il firewall ed è possibile gestire comodamente le politiche di accesso e applicare algoritmi complessi per controllare il traffico e prevenire possibili attacchi (vedere di seguito), ma dal punto di vista del throughput e delle prestazioni questo progetto, ovviamente, presenta potenziali problemi. Quindi, ad esempio, 2 host che scaricano dati (con una velocità della porta di 1 gigabit) possono caricare completamente una connessione da 2 gigabit sul firewall e quindi portare al degrado del servizio per l'intero segmento dell'ufficio.

Abbiamo esaminato un vertice del triangolo, ora vediamo come possiamo garantire la sicurezza.

rimedi

Quindi, ovviamente, di solito il nostro desiderio (o meglio, il desiderio del nostro management) è raggiungere l'impossibile, vale a dire fornire la massima comodità con la massima sicurezza e il minimo costo.

Diamo un'occhiata a quali metodi abbiamo per fornire protezione.

Per l'ufficio segnalo quanto segue:

  • approccio Zero Trust alla progettazione
  • elevato livello di protezione
  • visibilità della rete
  • sistema di autenticazione e autorizzazione centralizzato unificato
  • controllo dell'ospite

Successivamente, ci soffermeremo un po’ più in dettaglio su ciascuno di questi aspetti.

Zero Trust

Il mondo IT sta cambiando molto rapidamente. Solo negli ultimi 10 anni, l’emergere di nuove tecnologie e prodotti ha portato a un’importante revisione dei concetti di sicurezza. Dieci anni fa, dal punto di vista della sicurezza, segmentavamo la rete in zone trust, dmz e untrust, e utilizzavamo la cosiddetta “protezione perimetrale”, dove c’erano 2 linee di difesa: untrust -> dmz e dmz -> Fiducia. Inoltre, la protezione era solitamente limitata agli elenchi di accesso basati su intestazioni L3/L4 (OSI) (IP, porte TCP/UDP, flag TCP). Tutto ciò che riguarda i livelli superiori, incluso L7, è stato lasciato al sistema operativo e ai prodotti di sicurezza installati sugli host finali.

Ora la situazione è cambiata radicalmente. Concetto moderno zero fiducia deriva dal fatto che non è più possibile considerare affidabili i sistemi interni, cioè quelli situati all'interno del perimetro, e il concetto stesso di perimetro è diventato sfumato.
Oltre alla connessione internet abbiamo anche

  • utenti VPN con accesso remoto
  • gadget personali vari, laptop portati, connessione tramite WiFi dell'ufficio
  • altri uffici (filiali).
  • integrazione con l'infrastruttura cloud

Come si concretizza nella pratica l’approccio Zero Trust?

Idealmente, dovrebbe essere consentito solo il traffico necessario e, se parliamo di un ideale, il controllo dovrebbe essere non solo a livello L3/L4, ma a livello di applicazione.

Se, ad esempio, hai la possibilità di far passare tutto il traffico attraverso un firewall, puoi provare ad avvicinarti all'ideale. Ma questo approccio può ridurre in modo significativo la larghezza di banda totale della rete e inoltre il filtraggio per applicazione non sempre funziona bene.

Quando si controlla il traffico su un router o uno switch L3 (utilizzando ACL standard), si riscontrano altri problemi:

  • Questo è solo il filtraggio L3/L4. Non c'è nulla che impedisca a un utente malintenzionato di utilizzare le porte consentite (ad esempio TCP 80) per la propria applicazione (non http)
  • gestione ACL complessa (difficile da analizzare ACL)
  • Non si tratta di un firewall stateful, ovvero è necessario consentire esplicitamente il traffico inverso
  • con gli switch di solito sei strettamente limitato dalle dimensioni del TCAM, il che può diventare rapidamente un problema se adotti l'approccio "consenti solo ciò di cui hai bisogno"

osservazione

Parlando di traffico inverso, dobbiamo ricordare che abbiamo la seguente opportunità (Cisco)

consentire tcp qualsiasi stabilito

Ma devi capire che questa riga equivale a due righe:
consenti a tcp qualsiasi qualsiasi ack
consentire prima tcp qualsiasi

Ciò significa che anche se non fosse presente alcun segmento TCP iniziale con il flag SYN (ovvero, la sessione TCP non avesse nemmeno iniziato a stabilirsi), questo ACL consentirà un pacchetto con il flag ACK, che un utente malintenzionato potrà utilizzare per trasferire dati.

Cioè, questa linea non trasforma in alcun modo il tuo router o switch L3 in un firewall statefull.

Alto livello di protezione

В Articolo Nella sezione sui data center, abbiamo considerato i seguenti metodi di protezione.

  • firewall con stato (impostazione predefinita)
  • Protezione DDOS/DOS
  • firewall dell'applicazione
  • prevenzione delle minacce (antivirus, anti-spyware e vulnerabilità)
  • Filtro URL
  • filtraggio dei dati (filtraggio dei contenuti)
  • blocco dei file (blocco dei tipi di file)

Nel caso di un ufficio la situazione è simile, ma le priorità sono leggermente diverse. La disponibilità dell’ufficio (disponibilità) di solito non è così critica come nel caso di un data center, mentre la probabilità di traffico dannoso “interno” è di ordini di grandezza più elevata.
Pertanto, i seguenti metodi di protezione per questo segmento diventano critici:

  • firewall dell'applicazione
  • prevenzione delle minacce (antivirus, antispyware e vulnerabilità)
  • Filtro URL
  • filtraggio dei dati (filtraggio dei contenuti)
  • blocco dei file (blocco dei tipi di file)

Sebbene tutti questi metodi di protezione, ad eccezione del firewall delle applicazioni, siano stati tradizionalmente e continuino ad essere risolti sugli host finali (ad esempio installando programmi antivirus) e utilizzando proxy, anche i moderni NGFW forniscono questi servizi.

I fornitori di apparecchiature di sicurezza si impegnano a creare una protezione completa, pertanto, oltre alla protezione locale, offrono varie tecnologie cloud e software client per gli host (protezione degli endpoint/EPP). Quindi, ad esempio, da Quadrante magico di Gartner 2018 Vediamo che Palo Alto e Cisco hanno i propri EPP (PA: Traps, Cisco: AMP), ma sono lontani dai leader.

Abilitare queste protezioni (solitamente acquistando licenze) sul firewall non è ovviamente obbligatorio (puoi seguire il percorso tradizionale), ma offre alcuni vantaggi:

  • in questo caso esiste un unico punto di applicazione delle modalità di protezione, che ne migliora la visibilità (vedi argomento successivo).
  • Se sulla tua rete è presente un dispositivo non protetto, rientra comunque sotto l'ombrello della protezione firewall
  • Utilizzando la protezione firewall insieme alla protezione dell'host finale, aumentiamo la probabilità di rilevare traffico dannoso. Ad esempio, l’utilizzo della prevenzione delle minacce sugli host locali e su un firewall aumenta la probabilità di rilevamento (a condizione, ovviamente, che queste soluzioni siano basate su prodotti software diversi).

osservazione

Se, ad esempio, utilizzi Kaspersky come antivirus sia sul firewall che sugli host finali, ciò, ovviamente, non aumenterà notevolmente le tue possibilità di prevenire un attacco di virus alla tua rete.

Visibilità della rete

idea centrale è semplice: "vedi" cosa sta succedendo sulla tua rete, sia in tempo reale che nei dati storici.

Dividerei questa “visione” in due gruppi:

Gruppo uno: cosa ti fornisce solitamente il tuo sistema di monitoraggio.

  • caricamento dell'attrezzatura
  • canali di caricamento
  • utilizzo della memoria
  • uso del disco
  • modifica della tabella di routing
  • stato del collegamento
  • disponibilità di attrezzature (o host)
  • ...

Gruppo due: informazioni relative alla sicurezza.

  • vari tipi di statistiche (ad esempio per applicazione, per traffico URL, che tipologie di dati sono stati scaricati, dati utente)
  • cosa è stato bloccato dalle politiche di sicurezza e per quale motivo
    • applicazione vietata
    • proibito in base a ip/protocollo/porta/flag/zone
    • prevenzione delle minacce
    • filtraggio dell'URL
    • filtraggio dei dati
    • blocco dei file
    • ...
  • statistiche sugli attacchi DOS/DDOS
  • tentativi di identificazione e autorizzazione falliti
  • statistiche per tutti gli eventi di violazione delle policy di sicurezza di cui sopra
  • ...

In questo capitolo sulla sicurezza, a noi interessa la seconda parte.

Alcuni firewall moderni (dalla mia esperienza a Palo Alto) forniscono un buon livello di visibilità. Ma, ovviamente, il traffico che ti interessa deve passare attraverso questo firewall (nel qual caso hai la possibilità di bloccare il traffico) o eseguire il mirroring sul firewall (utilizzato solo per il monitoraggio e l'analisi) e devi disporre delle licenze per abilitare tutto questi servizi.

Esiste ovviamente un modo alternativo, o meglio il modo tradizionale, ad esempio,

  • Le statistiche della sessione possono essere raccolte tramite netflow e quindi utilizzate utilità speciali per l'analisi delle informazioni e la visualizzazione dei dati
  • prevenzione delle minacce: programmi speciali (antivirus, antispyware, firewall) sugli host finali
  • Filtraggio URL, filtraggio dati, blocco file – su proxy
  • è anche possibile analizzare tcpdump utilizzando ad es. sbuffo

È possibile combinare questi due approcci, integrando le funzionalità mancanti o duplicandole per aumentare la probabilità di rilevare un attacco.

Quale approccio dovresti scegliere?
Dipende molto dalle qualifiche e dalle preferenze della tua squadra.
Sia lì che ci sono pro e contro.

Sistema di autenticazione e autorizzazione centralizzato unificato

Se ben progettata, la mobilità di cui abbiamo parlato in questo articolo presuppone che tu abbia lo stesso accesso sia che lavori dall’ufficio o da casa, dall’aeroporto, da un bar o da qualsiasi altro luogo (con le limitazioni di cui abbiamo discusso sopra). Sembrerebbe, qual è il problema?
Per comprendere meglio la complessità di questo compito, diamo un'occhiata a un progetto tipico.

esempio

  • Hai diviso tutti i dipendenti in gruppi. Hai deciso di fornire l'accesso per gruppi
  • All'interno dell'ufficio, controlli l'accesso sul firewall dell'ufficio
  • Puoi controllare il traffico dall'ufficio al data center sul firewall del data center
  • Utilizzi un Cisco ASA come gateway VPN e per controllare il traffico in ingresso nella tua rete da client remoti, utilizzi ACL locali (sull'ASA)

Supponiamo ora che ti venga chiesto di aggiungere ulteriore accesso a un determinato dipendente. In questo caso, ti verrà chiesto di aggiungere l'accesso solo a lui e a nessun altro del suo gruppo.

Per questo dobbiamo creare un gruppo separato per questo dipendente, cioè

  • creare un pool IP separato sull'ASA per questo dipendente
  • aggiungere un nuovo ACL sull'ASA e associarlo a quel client remoto
  • creare nuove policy di sicurezza sui firewall di uffici e data center

Va bene se questo evento è raro. Ma nella mia pratica si è verificata una situazione in cui i dipendenti hanno partecipato a diversi progetti, e questa serie di progetti per alcuni di loro è cambiata abbastanza spesso, e non si trattava di 1-2 persone, ma di dozzine. Naturalmente qui qualcosa doveva essere cambiato.

Questo è stato risolto nel modo seguente.

Abbiamo deciso che LDAP sarebbe stata l'unica fonte di verità in grado di determinare tutti i possibili accessi dei dipendenti. Abbiamo creato tutti i tipi di gruppi che definiscono insiemi di accessi e abbiamo assegnato ciascun utente a uno o più gruppi.

Quindi, ad esempio, supponiamo che ci siano gruppi

  • ospite (accesso a Internet)
  • accesso comune (accesso alle risorse condivise: posta, knowledge base, ...)
  • contabilità
  • progetto 1
  • progetto 2
  • amministratore del database
  • amministratore di Linux
  • ...

E se uno dei dipendenti era coinvolto sia nel progetto 1 che nel progetto 2 e aveva bisogno dell'accesso necessario per lavorare in questi progetti, allora questo dipendente veniva assegnato ai seguenti gruppi:

  • ospite
  • accesso comune
  • progetto 1
  • progetto 2

Come possiamo ora trasformare queste informazioni in accesso alle apparecchiature di rete?

Cisco ASA Dynamic Access Policy (DAP) (vedi www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next- generation-firewalls/108000-dap-deploy-guide.html) la soluzione è perfetta per questo compito.

Brevemente riguardo alla nostra implementazione, durante il processo di identificazione/autorizzazione, ASA riceve da LDAP un insieme di gruppi corrispondenti ad un dato utente e “raccoglie” da più ACL locali (ognuna delle quali corrisponde ad un gruppo) una ACL dinamica con tutti gli accessi necessari , che corrisponde pienamente ai nostri desideri.

Ma questo è solo per le connessioni VPN. Per rendere la situazione uguale sia per i dipendenti connessi tramite VPN che per quelli in ufficio, è stato compiuto il seguente passo.

Quando si connettevano dall'ufficio, gli utenti che utilizzavano il protocollo 802.1x finivano in una LAN ospite (per gli ospiti) o in una LAN condivisa (per i dipendenti dell'azienda). Inoltre, per ottenere un accesso specifico (ad esempio ai progetti in un data center), i dipendenti dovevano connettersi tramite VPN.

Per il collegamento dall'ufficio e da casa sono stati utilizzati diversi gruppi di tunnel sull'ASA. Ciò è necessario affinché per chi si collega dall'ufficio, il traffico verso le risorse condivise (utilizzate da tutti i dipendenti, come posta, file server, ticket system, dns, ...) non passi attraverso l'ASA, ma attraverso la rete locale . Pertanto, non abbiamo caricato l'ASA con traffico non necessario, incluso il traffico ad alta intensità.

Pertanto, il problema è stato risolto.
Abbiamo ottenuto

  • lo stesso insieme di accessi sia per le connessioni dall'ufficio che per le connessioni remote
  • assenza di degrado del servizio durante il lavoro d'ufficio associato alla trasmissione di traffico ad alta intensità tramite ASA

Quali altri vantaggi di questo approccio?
Nell'amministrazione degli accessi. Gli accessi possono essere facilmente modificati in un unico posto.
Ad esempio, se un dipendente lascia l'azienda, puoi semplicemente rimuoverlo da LDAP e perderà automaticamente ogni accesso.

Controllo dell'ospite

Con la possibilità di connessione remota, corriamo il rischio di far entrare in rete non solo un dipendente dell'azienda, ma anche tutti i software dannosi che molto probabilmente sono presenti sul suo computer (ad esempio quello di casa), e inoltre, attraverso questo software possiamo potrebbe fornire l'accesso alla nostra rete a un utente malintenzionato che utilizza questo host come proxy.

È logico che un host connesso in remoto applichi gli stessi requisiti di sicurezza di un host in sede.

Ciò presuppone anche la versione "corretta" del software e degli aggiornamenti del sistema operativo, antivirus, antispyware e firewall. In genere, questa funzionalità esiste sul gateway VPN (per ASA vedere, ad esempio, qui).

È inoltre opportuno applicare le stesse tecniche di analisi e blocco del traffico (vedi “Livello elevato di protezione”) che la vostra politica di sicurezza applica al traffico dell'ufficio.

È ragionevole supporre che la rete aziendale non sia più limitata all'edificio degli uffici e agli host al suo interno.

esempio

Una buona tecnica è quella di fornire a ciascun dipendente che necessita di accesso remoto un laptop buono e conveniente e chiedergli di lavorare, sia in ufficio che da casa, solo da esso.

Non solo migliora la sicurezza della tua rete, ma è anche molto conveniente e di solito viene visto favorevolmente dai dipendenti (se è un laptop davvero buono e facile da usare).

Sul senso delle proporzioni e dell'equilibrio

Fondamentalmente, questa è una conversazione sul terzo vertice del nostro triangolo: il prezzo.
Consideriamo un esempio ipotetico.

esempio

Hai un ufficio per 200 persone. Hai deciso di renderlo il più comodo e sicuro possibile.

Pertanto, hai deciso di far passare tutto il traffico attraverso il firewall e quindi per tutte le sottoreti dell'ufficio il firewall è il gateway predefinito. Oltre al software di sicurezza installato su ciascun host finale (software antivirus, antispyware e firewall), hai deciso di applicare anche tutti i possibili metodi di protezione sul firewall.

Per garantire un'elevata velocità di connessione (tutto per comodità), avete scelto come switch di accesso switch con porte di accesso da 10 Gigabit e firewall NGFW ad alte prestazioni come firewall, ad esempio la serie Palo Alto 7K (con 40 porte Gigabit), ovviamente con tutte le licenze inclusa e, naturalmente, una coppia ad alta disponibilità.

Inoltre, ovviamente, per lavorare con questa linea di apparecchiature abbiamo bisogno di almeno un paio di ingegneri della sicurezza altamente qualificati.

Successivamente, hai deciso di regalare a ciascun dipendente un buon laptop.

In totale, circa 10 milioni di dollari per l'implementazione, centinaia di migliaia di dollari (penso più vicino a un milione) per il supporto annuale e gli stipendi per gli ingegneri.

Ufficio, 200 persone...
Comodo? Immagino sia sì.

Presenta questa proposta al tuo management...
Forse ci sono molte aziende nel mondo per le quali questa è una soluzione accettabile e corretta. Se sei un dipendente di questa azienda, i miei complimenti, ma nella stragrande maggioranza dei casi sono sicuro che le tue conoscenze non saranno apprezzate dal management.

Questo esempio è esagerato? Il prossimo capitolo risponderà a questa domanda.

Se sulla tua rete non vedi nulla di quanto sopra, questa è la norma.
Per ogni caso specifico, è necessario trovare il proprio ragionevole compromesso tra comodità, prezzo e sicurezza. Spesso non hai nemmeno bisogno di NGFW nel tuo ufficio e non è necessaria la protezione L7 sul firewall. È sufficiente fornire un buon livello di visibilità e avvisi, e questo può essere fatto utilizzando, ad esempio, prodotti open source. Sì, la tua reazione a un attacco non sarà immediata, ma la cosa principale è che lo vedrai e, con i giusti processi in atto nel tuo dipartimento, sarai in grado di neutralizzarlo rapidamente.

E lascia che ti ricordi che, secondo il concetto di questa serie di articoli, non stai progettando una rete, stai solo cercando di migliorare ciò che hai ottenuto.

Analisi SICURA dell'architettura degli uffici

Presta attenzione a questo quadrato rosso con cui ho assegnato un posto nel diagramma SAFE Guida all'architettura del campus sicurodi cui vorrei parlare qui.

Come prendere il controllo della tua infrastruttura di rete. Capitolo tre. Sicurezza della rete. Parte terza

Questo è uno dei luoghi chiave dell’architettura e una delle incertezze più importanti.

osservazione

Non ho mai configurato o lavorato con FirePower (della linea firewall Cisco - solo ASA), quindi lo tratterò come qualsiasi altro firewall, come Juniper SRX o Palo Alto, presupponendo che abbia le stesse funzionalità.

Dei soliti progetti, vedo solo 4 possibili opzioni per l'utilizzo di un firewall con questa connessione:

  • il gateway predefinito per ogni sottorete è uno switch, mentre il firewall è in modalità trasparente (ovvero tutto il traffico lo attraversa, ma non forma un hop L3)
  • il gateway predefinito per ciascuna sottorete sono le sottointerfacce del firewall (o interfacce SVI), lo switch svolge il ruolo di L2
  • sullo switch vengono utilizzati VRF diversi e il traffico tra VRF passa attraverso il firewall, il traffico all'interno di un VRF è controllato dall'ACL sullo switch
  • tutto il traffico viene sottoposto a mirroring sul firewall per l'analisi e il monitoraggio; il traffico non lo attraversa

Osservazione 1

Sono possibili combinazioni di queste opzioni, ma per semplicità non le considereremo.

Nota 2

C'è anche la possibilità di utilizzare PBR (Service Chain Architecture), ma per ora questa, sebbene sia una bella soluzione secondo me, è piuttosto esotica, quindi non la considero qui.

Dalla descrizione dei flussi nel documento, vediamo che il traffico passa ancora attraverso il firewall, ovvero, secondo il progetto Cisco, la quarta opzione viene eliminata.

Diamo un'occhiata prima alle prime due opzioni.
Con queste opzioni, tutto il traffico passa attraverso il firewall.

Adesso guarda scheda dati, sguardo Cisco GPL e vediamo che se vogliamo che la larghezza di banda totale per il nostro ufficio sia almeno intorno ai 10 - 20 gigabit, allora dobbiamo acquistare la versione 4K.

osservazione

Quando parlo di larghezza di banda totale, intendo il traffico tra sottoreti (e non all'interno di una vilana).

Dalla GPL vediamo che per il pacchetto HA con Threat Defense il prezzo varia a seconda del modello (4110 - 4150) da ~0,5 - 2,5 milioni di dollari.

Cioè, il nostro design inizia ad assomigliare all'esempio precedente.

Questo significa che questo design è sbagliato?
No, questo non significa questo. Cisco ti offre la migliore protezione possibile in base alla linea di prodotti di cui dispone. Ma questo non significa che sia un must per te.

In linea di principio, questa è una domanda comune che si pone quando si progetta un ufficio o un data center e significa solo che è necessario cercare un compromesso.

Ad esempio, non lasciare che tutto il traffico passi attraverso un firewall, nel qual caso l'opzione 3 mi sembra abbastanza buona, oppure (vedi sezione precedente) forse non hai bisogno di Threat Defense o non hai affatto bisogno di un firewall su quello segmento di rete e devi semplicemente limitarti al monitoraggio passivo utilizzando soluzioni a pagamento (non costose) o open source, oppure hai bisogno di un firewall, ma di un fornitore diverso.

Di solito c'è sempre questa incertezza e non c'è una risposta chiara su quale sia la decisione migliore per te.
Questa è la complessità e la bellezza di questo compito.

Fonte: habr.com

Aggiungi un commento