🥇איך להשתלט על תשתית הרשת שלך. פרק שלישי. אבטחת רשת. חלק שלישי

מאמר זה הוא החמישי בסדרה "כיצד להשתלט על תשתית הרשת שלך". ניתן למצוא את התוכן של כל המאמרים בסדרה והקישורים כאן.

חלק זה יוקדש למקטעי VPN של קמפוס (משרד) וגישה מרחוק.

עיצוב רשת משרדית עשוי להיראות קל.

ואכן, אנחנו לוקחים מתגי L2/L3 ומחברים אותם זה לזה. לאחר מכן, אנו מבצעים את ההגדרה הבסיסית של Vilans ושער ברירת המחדל, מגדירים ניתוב פשוט, מחברים בקרי WiFi, נקודות גישה, מתקין ומגדיר ASA לגישה מרחוק, אנו שמחים שהכל עבד. בעצם, כפי שכבר כתבתי באחד הקודמים מאמרים במחזור הזה, כמעט כל סטודנט שלמד (ולמד) שני סמסטרים של קורס טלקום יכול לעצב ולהגדיר רשת משרדית כך שהיא "איכשהו עובדת".

אבל ככל שלומדים יותר, המשימה הזו מתחילה להיראות פחות פשוטה. לי אישית הנושא הזה, נושא עיצוב רשתות משרדיות, נראה לא פשוט בכלל ובמאמר זה אנסה להסביר מדוע.

בקיצור, יש לא מעט גורמים שצריך לקחת בחשבון. לעתים קרובות גורמים אלו מתנגשים זה עם זה ויש לחפש פשרה סבירה.
חוסר הוודאות הזה הוא הקושי העיקרי. אז אם כבר מדברים על אבטחה, יש לנו משולש עם שלושה קודקודים: אבטחה, נוחות לעובדים, מחיר הפתרון.
ובכל פעם צריך לחפש פשרה בין שלושת אלו.

אדריכלות

כדוגמה לארכיטקטורה לשני הקטעים הללו, כמו במאמרים קודמים, אני ממליץ סיסקו SAFE דֶגֶם: קמפוס ארגוני, Enterprise Internet Edge.

מדובר במסמכים מעט מיושנים. אני מציג אותם כאן מכיוון שהסכמות והגישה הבסיסיות לא השתנו, אבל יחד עם זאת אני אוהב את המצגת יותר מאשר בה תיעוד חדש.

מבלי לעודד אותך להשתמש בפתרונות של סיסקו, אני עדיין חושב שמועיל ללמוד היטב את העיצוב הזה.

מאמר זה, כרגיל, אינו מתיימר בשום אופן להיות שלם, אלא מהווה תוספת למידע זה.

בסוף המאמר, ננתח את עיצוב המשרד של Cisco SAFE במונחים של המושגים המפורטים כאן.

עקרונות כלליים

עיצוב רשת המשרדים חייב כמובן לעמוד בדרישות הכלליות שנדונו כאן בפרק "קריטריונים להערכת איכות התכנון". מלבד המחיר והבטיחות, עליהם אנו מתכוונים לדון במאמר זה, ישנם עדיין שלושה קריטריונים שעלינו לשקול בעת תכנון (או ביצוע שינויים):

מדרגיות
קלות שימוש (ניתנות לניהול)
זמינות

הרבה ממה שדנו בעבורו מרכזי נתונים זה נכון גם לגבי המשרד.

אבל עדיין, למגזר המשרדים יש את הפרטים שלו, שהם קריטיים מנקודת מבט אבטחה. המהות של הספציפיות הזו היא שהמגזר הזה נוצר כדי לספק שירותי רשת לעובדים (כמו גם לשותפים ואורחים) של החברה, וכתוצאה מכך, ברמת ההתחשבות הגבוהה ביותר של הבעיה יש לנו שתי משימות:

להגן על משאבי החברה מפני פעולות זדוניות שעלולות להגיע מעובדים (אורחים, שותפים) ומהתוכנה שבה הם משתמשים. זה כולל גם הגנה מפני חיבור לא מורשה לרשת.
להגן על מערכות ונתוני משתמש

וזה רק צד אחד של הבעיה (או ליתר דיוק, קודקוד אחד של המשולש). מהצד השני עומדת נוחות המשתמש ומחיר הפתרונות בהם נעשה שימוש.

נתחיל בבחינה למה המשתמש מצפה מרשת משרדים מודרנית.

ציוד

כך נראים "שירותי רשת" עבור משתמש משרדי לדעתי:

ניידות
יכולת להשתמש בכל מגוון המכשירים ומערכות ההפעלה המוכרות
גישה נוחה לכל משאבי החברה הדרושים
זמינות משאבי אינטרנט, לרבות שירותי ענן שונים
"הפעלה מהירה" של הרשת

כל זה תקף הן לעובדים והן לאורחים (או שותפים), ומשימתם של מהנדסי החברה להבדיל בין גישה לקבוצות משתמשים שונות על בסיס הרשאה.

הבה נסתכל על כל אחד מההיבטים הללו בפירוט קטן יותר.

ניידות

אנחנו מדברים על ההזדמנות לעבוד ולהשתמש בכל משאבי החברה הדרושים מכל מקום בעולם (כמובן, היכן שהאינטרנט זמין).

זה חל במלואו על המשרד. זה נוח כאשר יש לך אפשרות להמשיך לעבוד מכל מקום במשרד, למשל, לקבל דואר, לתקשר במסנג'ר ארגוני, להיות זמין לשיחת וידאו,... כך, זה מאפשר לך, מצד אחד, לפתור כמה בעיות בתקשורת "חיה" (למשל, להשתתף בעצרות), ומצד שני, להיות תמיד מקוון, להחזיק את האצבע על הדופק ולפתור במהירות כמה משימות דחופות בעדיפות גבוהה. זה מאוד נוח ובאמת משפר את איכות התקשורת.

זה מושג על ידי עיצוב נכון של רשת WiFi.

הערה:

כאן בדרך כלל עולה השאלה: האם מספיק להשתמש רק ב-WiFi? האם זה אומר שאתה יכול להפסיק להשתמש ביציאות Ethernet במשרד? אם אנחנו מדברים רק על משתמשים, ולא על שרתים, שעדיין סביר להתחבר עם יציאת Ethernet רגילה, אז באופן כללי התשובה היא: כן, אתה יכול להגביל את עצמך ל-WiFi בלבד. אבל יש ניואנסים.

ישנן קבוצות משתמשים חשובות הדורשות גישה נפרדת. אלו הם, כמובן, מנהלים. באופן עקרוני, חיבור WiFi פחות אמין (מבחינת אובדן תעבורה) ואיטי יותר מיציאת Ethernet רגילה. זה יכול להיות משמעותי עבור מנהלי מערכת. בנוסף, מנהלי רשת, למשל, יכולים, באופן עקרוני, להחזיק ברשת Ethernet ייעודית משלהם לחיבורים מחוץ לפס.

ייתכנו קבוצות/מחלקות נוספות בחברה שלך שגם הגורמים הללו חשובים להן.

יש עוד נקודה חשובה - טלפוניה. אולי מסיבה כלשהי אינך רוצה להשתמש ב-VoIP אלחוטי ורוצה להשתמש בטלפונים IP עם חיבור Ethernet רגיל.

באופן כללי, לחברות שעבדתי בהן היו בדרך כלל גם קישוריות WiFi וגם יציאת Ethernet.

הייתי רוצה שהניידות לא תוגבל רק למשרד.

כדי להבטיח את היכולת לעבוד מהבית (או כל מקום אחר עם אינטרנט נגיש), נעשה שימוש בחיבור VPN. יחד עם זאת, רצוי שהעובדים לא ירגישו בהבדל בין עבודה מהבית לעבודה מרחוק, המניחה את אותה גישה. נדון כיצד לארגן זאת מעט מאוחר יותר בפרק "מערכת אימות והרשאה מאוחדת מאוחדת."

הערה:

סביר להניח שלא תוכל לספק באופן מלא את אותה איכות שירותים לעבודה מרחוק שיש לך במשרד. בוא נניח שאתה משתמש ב-Cisco ASA 5520 כשער ה-VPN שלך. טופס מידע המכשיר הזה מסוגל "לעכל" רק 225 Mbit של תעבורת VPN. כלומר, כמובן, מבחינת רוחב פס, חיבור דרך VPN שונה מאוד מעבודה מהמשרד. כמו כן, אם, מסיבה כלשהי, חביון, אובדן, ריצוד (למשל, אתה רוצה להשתמש בטלפוניה IP משרדית) עבור שירותי הרשת שלך הם משמעותיים, אתה גם לא תקבל את אותה איכות כאילו היית במשרד. לכן, כשמדברים על ניידות, עלינו להיות מודעים למגבלות אפשריות.

גישה נוחה לכל משאבי החברה

משימה זו צריכה להיפתר במשותף עם מחלקות טכניות אחרות.
המצב האידיאלי הוא כאשר המשתמש צריך לבצע אימות פעם אחת בלבד, ולאחר מכן יש לו גישה לכל המשאבים הדרושים.
מתן גישה קלה מבלי להקריב את האבטחה יכול לשפר משמעותית את הפרודוקטיביות ולהפחית את הלחץ בקרב עמיתיך.

הערה 1

קלות הגישה היא לא רק כמה פעמים אתה צריך להזין סיסמה. אם, למשל, בהתאם למדיניות האבטחה שלך, כדי להתחבר מהמשרד למרכז הנתונים, עליך להתחבר תחילה לשער ה-VPN, ובמקביל תאבד את הגישה למשאבי המשרד, אז זה גם מאוד , מאוד לא נוח.

הערה 2

ישנם שירותים (למשל, גישה לציוד רשת) בהם יש לנו לרוב שרתי AAA ייעודיים משלנו וזו הנורמה כאשר במקרה זה עלינו לבצע אימות מספר פעמים.

זמינות משאבי אינטרנט

האינטרנט הוא לא רק בידור, אלא גם אוסף של שירותים שיכולים להיות שימושיים מאוד לעבודה. יש גם גורמים פסיכולוגיים גרידא. אדם מודרני מחובר עם אנשים אחרים דרך האינטרנט דרך שרשורים וירטואליים רבים, ולדעתי אין שום דבר רע אם הוא ימשיך להרגיש את הקשר הזה גם בזמן העבודה.

מנקודת מבט של בזבוז זמן, אין שום דבר רע אם לעובד, למשל, יש סקייפ פועל ומקדיש 5 דקות לתקשורת עם אדם אהוב במידת הצורך.

האם זה אומר שהאינטרנט צריך להיות זמין תמיד, האם זה אומר שהעובדים יכולים לקבל גישה לכל המשאבים ולא לשלוט בהם בשום צורה?

לא לא אומר את זה, כמובן. רמת הפתיחות של האינטרנט יכולה להשתנות עבור חברות שונות – מסגירה מוחלטת ועד לפתיחות מוחלטת. נדון בדרכים לשליטה בתנועה בהמשך הסעיפים על אמצעי אבטחה.

יכולת להשתמש בכל מגוון המכשירים המוכרים

זה נוח כאשר, למשל, יש לך הזדמנות להמשיך להשתמש בכל אמצעי התקשורת שאתה רגיל אליהם בעבודה. אין קושי ליישם את זה טכנית. בשביל זה אתה צריך WiFi וווילאן אורח.

זה גם טוב אם יש לך הזדמנות להשתמש במערכת ההפעלה שאתה רגיל אליה. אבל, להערכתי, זה בדרך כלל מותר רק למנהלים, למנהלים ולמפתחים.

דוגמה

אפשר כמובן ללכת בדרך האיסורים, לאסור גישה מרחוק, לאסור חיבור ממכשירים ניידים, להגביל הכל לחיבורי אתרנט סטטיים, להגביל את הגישה לאינטרנט, להחרים בחובה טלפונים סלולריים וגאדג'טים במחסום... והנתיב הזה למעשה עוקבים אחרי כמה ארגונים עם דרישות אבטחה מוגברות, ואולי במקרים מסוימים זה עשוי להיות מוצדק, אבל... אתם חייבים להסכים שזה נראה כמו ניסיון לעצור התקדמות בארגון בודד. כמובן, אני רוצה לשלב את ההזדמנויות שהטכנולוגיות המודרניות מספקות עם רמת אבטחה מספקת.

"הפעלה מהירה" של הרשת

מהירות העברת הנתונים מורכבת מבחינה טכנית מגורמים רבים. ומהירות יציאת החיבור שלך היא בדרך כלל לא החשובה ביותר. פעולה איטית של אפליקציה לא תמיד קשורה לבעיות רשת, אבל בינתיים אנחנו מתעניינים רק בחלק הרשת. הבעיה הנפוצה ביותר עם "האטה" ברשת מקומית קשורה לאובדן מנות. זה מתרחש בדרך כלל כאשר יש צוואר בקבוק או בעיות L1 (OSI). לעתים רחוקות יותר, עם עיצובים מסוימים (לדוגמה, כאשר לרשתות המשנה שלך יש חומת אש כשער ברירת המחדל ולכן כל התעבורה עוברת דרכו), יתכן שביצועי החומרה חסרים.

לכן, בעת בחירת ציוד וארכיטקטורה, עליך לתאם את המהירויות של יציאות הקצה, תא המטען וביצועי הציוד.

דוגמה

נניח שאתה משתמש במתגים עם יציאות של 1 ג'יגה-ביט כמתגי שכבת גישה. הם מחוברים זה לזה באמצעות Etherchannel 2 x 10 גיגה-ביט. כשער ברירת מחדל, אתה משתמש בחומת אש עם יציאות גיגה-ביט, כדי לחבר אותה לרשת המשרדית L2 אתה משתמש ב-2 יציאות ג'יגה-ביט משולבות ב-Etherchannel.

ארכיטקטורה זו נוחה למדי מנקודת מבט פונקציונלית, כי... כל התעבורה עוברת דרך חומת האש, ואתה יכול לנהל בנוחות מדיניות גישה, וליישם אלגוריתמים מורכבים כדי לשלוט בתעבורה ולמנוע התקפות אפשריות (ראה להלן), אבל מנקודת מבט של תפוקה וביצועים לתכנון הזה, כמובן, יש בעיות פוטנציאליות. כך, למשל, 2 מארחים מורידים נתונים (עם מהירות יציאה של 1 גיגה-ביט) יכולים לטעון לחלוטין חיבור של 2 גיגה-ביט לחומת האש, ובכך להוביל לפגיעה בשירות עבור כל מקטע המשרדים.

הסתכלנו על קודקוד אחד של המשולש, עכשיו בואו נסתכל כיצד נוכל להבטיח אבטחה.

סעדים

אז, כמובן, בדרך כלל הרצון שלנו (או יותר נכון, הרצון של ההנהלה שלנו) הוא להשיג את הבלתי אפשרי, כלומר לספק נוחות מקסימלית עם מקסימום אבטחה ומינימום עלות.

הבה נבחן אילו שיטות יש לנו לספק הגנה.

עבור המשרד, אציין את הדברים הבאים:

גישת אפס אמון לעיצוב
רמת הגנה גבוהה
נראות רשת
מערכת אימות והרשאה מרכזית מאוחדת
בדיקת מארח

לאחר מכן, נתעכב מעט יותר על כל אחד מההיבטים הללו.

אפס אמון

עולם ה-IT משתנה מהר מאוד. רק במהלך 10 השנים האחרונות, הופעתן של טכנולוגיות ומוצרים חדשים הובילה לשינוי משמעותי של תפיסות האבטחה. לפני עשר שנים, מנקודת מבט אבטחה, פילחנו את הרשת לאזורי אמון, dmz וחוסר אמון, והשתמשנו במה שנקרא "הגנה היקפית", שבה היו 2 קווי הגנה: אי אמון -> dmz ו-dmz -> אמון. כמו כן, ההגנה הייתה מוגבלת בדרך כלל לרשימות גישה המבוססות על כותרות L3/L4 (OSI) (יציאות IP, TCP/UDP, דגלי TCP). כל מה שקשור לרמות גבוהות יותר, כולל L7, הושאר למערכת ההפעלה ולמוצרי האבטחה שהותקנו במארחי הקצה.

כעת המצב השתנה באופן דרמטי. קונספט מודרני אפס אמון נובע מכך שכבר אי אפשר להתייחס למערכות פנימיות, כלומר כאלו שנמצאות בתוך ההיקף, כאמינות, ומושג ההיקף עצמו היטשטש.
בנוסף לחיבור לאינטרנט יש לנו גם

משתמשי VPN בגישה מרחוק
גאדג'טים אישיים שונים, מחשבים ניידים הביאו, מחוברים באמצעות WiFi למשרד
משרדים אחרים (סניפים).
אינטגרציה עם תשתית ענן

איך נראית גישת Zero Trust בפועל?

באופן אידיאלי, יש לאפשר רק את התעבורה הנדרשת, ואם אנחנו מדברים על אידיאל, אז השליטה צריכה להיות לא רק ברמת L3/L4, אלא ברמת היישום.

אם, למשל, יש לך את היכולת להעביר את כל התעבורה דרך חומת אש, אז אתה יכול לנסות להתקרב לאידיאל. אבל גישה זו יכולה להפחית משמעותית את רוחב הפס הכולל של הרשת שלך, וחוץ מזה, סינון לפי אפליקציה לא תמיד עובד טוב.

בעת שליטה בתעבורה בנתב או מתג L3 (באמצעות ACLs סטנדרטיים), אתה נתקל בבעיות אחרות:

זהו סינון L3/L4 בלבד. אין שום דבר שמפריע לתוקף להשתמש ביציאות מותרות (למשל TCP 80) עבור היישום שלו (לא http)
ניהול ACL מורכב (קשה לנתח רשימות ACL)
זו אינה חומת אש מדינתית, כלומר עליך לאפשר במפורש תעבורה הפוכה
עם מתגים אתה בדרך כלל מוגבל למדי על ידי גודל ה-TCAM, מה שעלול להפוך במהירות לבעיה אם אתה נוקט בגישה של "אפשר רק מה שאתה צריך"

הערה:

אם כבר מדברים על תנועה הפוכה, עלינו לזכור שיש לנו את ההזדמנות הבאה (סיסקו)

לאפשר tcp כל שהוקם

אבל אתה צריך להבין שהקו הזה שווה ערך לשתי שורות:
לאפשר tcp כל ack
לאפשר tcp כל דבר ראשון

מה שאומר שגם אם לא היה קטע TCP ראשוני עם דגל SYN (כלומר, סשן TCP אפילו לא התחיל להתבסס), ה-ACL הזה יאפשר חבילה עם דגל ACK, שתוקף יכול להשתמש בה כדי להעביר נתונים.

כלומר, הקו הזה בשום אופן לא הופך את הנתב או מתג ה-L3 שלך לחומת אש מדינתית.

רמת הגנה גבוהה

В статье בסעיף על מרכזי נתונים, שקלנו את שיטות ההגנה הבאות.

חומת אש מדינה (ברירת מחדל)
הגנת ddos/dos
חומת אש של יישומים
מניעת איומים (אנטי וירוס, אנטי תוכנות ריגול ופגיעות)
סינון כתובות אתרים
סינון נתונים (סינון תוכן)
חסימת קבצים (חסימת סוגי קבצים)

במקרה של משרד, המצב דומה, אך סדרי העדיפויות מעט שונים. זמינות המשרד (זמינות) לרוב אינה קריטית כמו במקרה של מרכז נתונים, בעוד שהסבירות לתעבורה זדונית "פנימית" גבוהה בסדרי גודל.
לכן, שיטות ההגנה הבאות עבור פלח זה הופכות קריטיות:

חומת אש של יישומים
מניעת איומים (אנטי וירוס, אנטי ריגול ופגיעות)
סינון כתובות אתרים
סינון נתונים (סינון תוכן)
חסימת קבצים (חסימת סוגי קבצים)

למרות שכל שיטות ההגנה הללו, למעט חומת אש של יישומים, נפתרו וממשיכות להיפתר באופן מסורתי במארחי הקצה (לדוגמה, על ידי התקנת תוכנות אנטי-וירוס) ושימוש בפרוקסי, NGFWs מודרניים מספקים גם שירותים אלה.

ספקי ציוד אבטחה שואפים ליצור הגנה מקיפה, ולכן יחד עם הגנה מקומית, הם מציעים טכנולוגיות ענן שונות ותוכנות לקוח למארחים (הגנה על נקודות קצה/EPP). אז, למשל, מ 2018 Gartner Magic Quadrant אנו רואים שלפאלו אלטו וסיסקו יש EPPs משלהם (PA: Traps, Cisco: AMP), אבל הם רחוקים מהמנהיגים.

הפעלת הגנות אלו (בדרך כלל על ידי רכישת רישיונות) בחומת האש שלך אינה חובה כמובן (תוכל ללכת בדרך המסורתית), אך היא מספקת כמה יתרונות:

במקרה זה, יש נקודת יישום אחת של שיטות הגנה, אשר משפרת את הנראות (ראה את הנושא הבא).
אם יש מכשיר לא מוגן ברשת שלך, אז הוא עדיין נופל תחת "המטריה" של הגנת חומת אש
על ידי שימוש בהגנה על חומת אש בשילוב עם הגנת מארח קצה, אנו מגדילים את הסבירות לזיהוי תעבורה זדונית. לדוגמה, שימוש במניעת איומים על מארחים מקומיים ועל חומת אש מגביר את הסבירות לזיהוי (כמובן בתנאי שפתרונות אלו מבוססים על מוצרי תוכנה שונים)

הערה:

אם, למשל, אתה משתמש בקספרסקי כאנטי וירוס גם בחומת האש וגם במארחים הקצה, אז זה, כמובן, לא יגדיל מאוד את הסיכויים שלך למנוע התקפת וירוסים ברשת שלך.

נראות רשת

הרעיון המרכזי הוא פשוט - "ראה" מה קורה ברשת שלך, הן בזמן אמת והן בנתונים היסטוריים.

הייתי מחלק את ה"חזון" הזה לשתי קבוצות:

קבוצה ראשונה: מה שמערכת הניטור שלך מספקת לך בדרך כלל.

טעינת ציוד
טעינת ערוצים
שימוש בזיכרון
שימוש בדיסק
שינוי טבלת הניתוב
מצב קישור
זמינות ציוד (או מארחים)
...

קבוצה שניה: מידע הקשור לבטיחות.

סוגים שונים של נתונים סטטיסטיים (לדוגמה, לפי אפליקציה, לפי תעבורת כתובות אתרים, אילו סוגי נתונים הורדו, נתוני משתמשים)
מה נחסם על ידי מדיניות אבטחה ומאיזו סיבה, כלומר
- יישום אסור
- אסור בהתבסס על ip/פרוטוקול/יציאה/דגלים/אזורים
- מניעת איומים
- סינון כתובות אתרים
- סינון נתונים
- חסימת קבצים
- ...
נתונים סטטיסטיים על התקפות DOS/DDOS
ניסיונות זיהוי והרשאה כושלים
נתונים סטטיסטיים עבור כל אירועי הפרת מדיניות האבטחה לעיל
...

בפרק זה על אבטחה, אנו מתעניינים בחלק השני.

כמה חומות אש מודרניות (מהניסיון שלי בפאלו אלטו) מספקות רמת נראות טובה. אבל, כמובן, התעבורה שאתה מעוניין בה חייבת לעבור דרך חומת האש הזו (במקרה כזה יש לך את היכולת לחסום תעבורה) או משוקפת לחומת האש (משמשת רק לניטור וניתוח), ואתה חייב להיות בעל רישיונות כדי לאפשר את כל שירותים אלה.

יש, כמובן, דרך חלופית, או יותר נכון הדרך המסורתית, למשל,

ניתן לאסוף נתונים סטטיסטיים של הפעלה באמצעות netflow ולאחר מכן להשתמש בכלי עזר מיוחדים לניתוח מידע והדמיית נתונים
מניעת איומים - תוכניות מיוחדות (אנטי וירוס, אנטי ריגול, חומת אש) במארחי קצה
סינון כתובות אתרים, סינון נתונים, חסימת קבצים - ב-proxy
אפשר גם לנתח tcpdump באמצעות למשל. לנחר

אתה יכול לשלב את שתי הגישות הללו, להשלים תכונות חסרות או לשכפל אותן כדי להגדיל את הסבירות לזיהוי התקפה.

באיזו גישה כדאי לבחור?
תלוי מאוד בכישורים ובהעדפות של הצוות שלך.
גם שם וגם יש יתרונות וחסרונות.

מערכת אימות והרשאה מרכזית מאוחדת

כאשר מתוכנן היטב, הניידות עליה דנו במאמר זה מניחה שיש לך את אותה גישה בין אם אתה עובד מהמשרד או מהבית, משדה התעופה, מבית קפה או מכל מקום אחר (עם המגבלות שדנו למעלה). נראה, מה הבעיה?
כדי להבין טוב יותר את המורכבות של משימה זו, בואו נסתכל על עיצוב טיפוסי.

דוגמה

חילקתם את כל העובדים לקבוצות. החלטת לספק גישה לפי קבוצות

בתוך המשרד, אתה שולט בגישה בחומת האש של המשרד

אתה שולט בתנועה מהמשרד למרכז הנתונים בחומת האש של מרכז הנתונים

אתה משתמש ב-Cisco ASA כשער VPN וכדי לשלוט בתעבורה הנכנסת לרשת שלך מלקוחות מרוחקים, אתה משתמש ב-ACL מקומיים (ב-ASA)

כעת, נניח שאתה מתבקש להוסיף גישה נוספת לעובד מסוים. במקרה זה, אתה מתבקש להוסיף גישה רק לו ולא לאף אחד אחר מהקבוצה שלו.

בשביל זה אנחנו צריכים ליצור קבוצה נפרדת לעובד הזה, כלומר

ליצור מאגר IP נפרד ב-ASA עבור עובד זה

הוסף ACL חדש ב-ASA וקשר אותו ללקוח המרוחק הזה

ליצור מדיניות אבטחה חדשה על חומות אש של משרדים ומרכזי נתונים

זה טוב אם האירוע הזה נדיר. אבל בתרגול שלי היה מצב שעובדים השתתפו בפרויקטים שונים, ומערכת הפרויקטים הזו עבור חלקם השתנתה לעתים קרובות למדי, ולא היו 1-2 אנשים, אלא עשרות. כמובן שהיה צריך לשנות פה משהו.

זה נפתר בדרך הבאה.

החלטנו ש-LDAP יהיה מקור האמת היחיד שקובע את כל הגישה האפשרית לעובדים. יצרנו כל מיני קבוצות שמגדירות קבוצות של גישה, והקצאנו כל משתמש לקבוצה אחת או יותר.

אז, למשל, נניח שהיו קבוצות

אורח (גישה לאינטרנט)

גישה משותפת (גישה למשאבים משותפים: דואר, בסיס ידע, ...)

חשבונאות

פרויקט 1

פרויקט 2

מנהל מסד נתונים

מנהל לינוקס

...

ואם אחד העובדים היה מעורב הן בפרויקט 1 והן בפרויקט 2, והוא היה זקוק לגישה הדרושה לעבודה בפרויקטים אלה, אז עובד זה שובץ לקבוצות הבאות:

אורח

גישה משותפת

פרויקט 1

פרויקט 2

כיצד נוכל כעת להפוך מידע זה לגישה על ציוד רשת?

Cisco ASA מדיניות גישה דינמית (DAP) (ראה www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) הפתרון מתאים בדיוק למשימה זו.

בקצרה לגבי היישום שלנו, במהלך תהליך הזיהוי/הרשאה, ASA מקבלת מ-LDAP קבוצה של קבוצות התואמות למשתמש נתון ו"אוספת" ממספר ACLs מקומיים (שכל אחד מהם מתאים לקבוצה) ACL דינמי עם כל הגישה הנחוצה , התואם באופן מלא לרצונותינו.

אבל זה רק עבור חיבורי VPN. כדי שהמצב יהיה זהה הן עבור העובדים המחוברים באמצעות VPN והן עבור אלו במשרד, ננקט הצעד הבא.

בעת חיבור מהמשרד, משתמשים המשתמשים בפרוטוקול 802.1x הגיעו ל-LAN אורח (עבור אורחים) או LAN עם גישה משותפת (עבור עובדי החברה). יתרה מכך, כדי לקבל גישה ספציפית (לדוגמה, לפרויקטים במרכז נתונים), העובדים היו צריכים להתחבר באמצעות VPN.

כדי להתחבר מהמשרד ומהבית, נעשה שימוש בקבוצות מנהרות שונות ב-ASA. זה הכרחי כדי שעבור המתחברים מהמשרד, התעבורה למשאבים משותפים (המשמשים את כל העובדים, כגון דואר, שרתי קבצים, מערכת כרטיסים, dns,...) לא תעבור דרך ה-ASA, אלא דרך הרשת המקומית . לפיכך, לא העמסנו על האס"א תנועה מיותרת, כולל תנועה בעצימות גבוהה.

כך, הבעיה נפתרה.
יש לנו

אותה סט של גישה הן לחיבורים מהמשרד והן לחיבורים מרוחקים

היעדר פגיעה בשירות כאשר עובדים מהמשרד הקשורים להעברת תעבורה בעצימות גבוהה דרך ASA

אילו יתרונות נוספים של גישה זו?
בניהול גישה. גישה ניתנת לשינוי בקלות במקום אחד.
לדוגמה, אם עובד עוזב את החברה, אתה פשוט מסיר אותו מ-LDAP, והוא אוטומטית מאבד את כל הגישה.

בדיקת מארח

עם אפשרות לחיבור מרחוק, אנו מסתכנים בכניסה לא רק לעובד החברה לרשת, אלא גם את כל התוכנות הזדוניות שנמצאות בסבירות גבוהה במחשב שלו (למשל בבית), ויותר מכך, באמצעות תוכנה זו אנו ייתכן שהוא מספק גישה לרשת שלנו לתוקף המשתמש במארח זה כפרוקסי.

הגיוני שמארח מחובר מרחוק יחיל את אותן דרישות אבטחה כמו מארח במשרד.

זה גם מניח את הגרסה ה"נכונה" של מערכת ההפעלה, תוכנת האנטי-וירוס, האנטי-ריגול וחומת האש ועדכונים. בדרך כלל, יכולת זו קיימת בשער ה-VPN (עבור ASA ראה, למשל, כאן).

זה גם חכם ליישם את אותן טכניקות ניתוח תנועה וחסימה (ראה "רמת הגנה גבוהה") שמדיניות האבטחה שלך חלה על תעבורת משרדים.

סביר להניח שהרשת המשרדית שלך אינה מוגבלת עוד לבניין המשרדים ולמארחים שבתוכו.

דוגמה

טכניקה טובה היא לספק לכל עובד שדורש גישה מרחוק מחשב נייד טוב ונוח ולדרוש ממנו לעבוד, גם במשרד וגם מהבית, רק ממנו.

זה לא רק משפר את האבטחה של הרשת שלך, אלא שהוא גם ממש נוח ובדרך כלל נראה בעין יפה על ידי העובדים (אם זה מחשב נייד ממש טוב וידידותי למשתמש).

על חוש פרופורציה ואיזון

בעצם, מדובר בשיחה על הקודקוד השלישי של המשולש שלנו – על המחיר.
בואו נסתכל על דוגמה היפותטית.

דוגמה

יש לך משרד ל-200 איש. החלטת לעשות את זה הכי נוח ובטוח שאפשר.

לכן, החלטת להעביר את כל התעבורה דרך חומת האש ולפיכך עבור כל רשתות המשנה של המשרד, חומת האש היא שער ברירת המחדל. בנוסף לתוכנת האבטחה המותקנת על כל מארח קצה (אנטי וירוס, אנטי ריגול ותוכנות חומת אש), החלטת גם ליישם את כל שיטות ההגנה האפשריות על חומת האש.

כדי להבטיח מהירות חיבור גבוהה (הכל מטעמי נוחות), בחרת במתגים עם 10 יציאות Gigabit כמתגי גישה, וחומות אש NGFW בעלות ביצועים גבוהים בתור חומות אש, למשל סדרת Palo Alto 7K (עם 40 יציאות Gigabit), כמובן עם כל הרישיונות כלול, ובאופן טבעי, זוג זמינות גבוהה.

כמו כן, כמובן, כדי לעבוד עם קו הציוד הזה אנחנו צריכים לפחות כמה מהנדסי אבטחה מוסמכים.

לאחר מכן, החלטתם לתת לכל עובד מחשב נייד טוב.

סך הכל, כ-10 מיליון דולר ליישום, מאות אלפי דולרים (לדעתי קרוב יותר למיליון) לתמיכה שנתית ומשכורות למהנדסים.

משרד, 200 איש...
נוֹחַ? אני מניח שזה כן.

אתה בא עם ההצעה הזו להנהלה שלך...
אולי ישנן מספר חברות בעולם שזהו פתרון מקובל ונכון עבורן. אם אתה עובד בחברה זו, ברכותיי, אך ברוב המוחלט של המקרים, אני בטוח שהידע שלך לא יזכה להערכה מצד ההנהלה.

האם הדוגמה הזו מוגזמת? הפרק הבא יענה על שאלה זו.

אם ברשת שלך אינך רואה את כל האמור לעיל, זו הנורמה.
עבור כל מקרה ספציפי, עליך למצוא פשרה סבירה משלך בין נוחות, מחיר ובטיחות. לעתים קרובות אתה אפילו לא צריך NGFW במשרד שלך, ולא נדרשת הגנת L7 על חומת האש. מספיק לספק רמה טובה של נראות והתראות, וניתן לעשות זאת באמצעות מוצרי קוד פתוח למשל. כן, התגובה שלך למתקפה לא תהיה מיידית, אבל העיקר שתראה אותה, ועם תהליכים נכונים במחלקה שלך, תוכל לנטרל אותה במהירות.

ותן לי להזכיר לך שלפי הקונספט של סדרת המאמרים הזו, אתה לא מעצב רשת, אתה רק מנסה לשפר את מה שקיבלת.

ניתוח בטוח של ארכיטקטורת משרדים

שימו לב לריבוע האדום הזה שממנו הקצתי מקום בתרשים מדריך האדריכלות של SAFE Secure Campusשאני רוצה לדון בו כאן.

זהו אחד ממקומות המפתח של האדריכלות ואחד מאי הוודאות החשובים ביותר.

הערה:

מעולם לא הגדרתי או עבדתי עם FirePower (מקו האש של סיסקו - רק ASA), אז אתייחס לזה כמו לכל חומת אש אחרת, כמו Juniper SRX או Palo Alto, בהנחה שיש לה את אותן יכולות.

מבין העיצובים הרגילים, אני רואה רק 4 אפשרויות אפשריות לשימוש בחומת אש עם החיבור הזה:

שער ברירת המחדל עבור כל תת רשת הוא מתג, בעוד חומת האש במצב שקוף (כלומר, כל התעבורה עוברת דרכה, אבל היא לא יוצרת הופעת L3)
שער ברירת המחדל עבור כל תת-רשת הוא ממשקי המשנה של חומת האש (או ממשקי SVI), המתג ממלא את התפקיד של L2
נעשה שימוש ב-VRFs שונים על המתג, ותעבורה בין VRFs עוברת דרך חומת האש, התעבורה בתוך VRF אחד נשלטת על ידי ה-ACL על המתג
כל התעבורה משתקפת לחומת האש לצורך ניתוח וניטור; התעבורה לא עוברת דרכה

הערה 1

שילובים של אפשרויות אלה אפשריים, אך לשם הפשטות לא נשקול אותם.

פתק 2

ישנה גם אפשרות להשתמש ב-PBR (ארכיטקטורת שרשרת שירותים), אבל בינתיים זה, למרות פתרון יפה לדעתי, הוא די אקזוטי, אז אני לא שוקל את זה כאן.

מתיאור הזרימות במסמך רואים שהתעבורה עדיין עוברת דרך חומת האש, כלומר, בהתאם לתכנון של סיסקו, האופציה הרביעית מתבטלת.

בואו נסתכל תחילה על שתי האפשרויות הראשונות.
עם אפשרויות אלה, כל התעבורה עוברת דרך חומת האש.

עכשיו אנחנו מסתכלים טופס מידע, תראה Cisco GPL ואנחנו רואים שאם אנחנו רוצים שרוחב הפס הכולל של המשרד שלנו יהיה לפחות סביב 10 - 20 גיגה-ביט, אז אנחנו חייבים לקנות את גרסת 4K.

הערה:

כשאני מדבר על רוחב הפס הכולל, אני מתכוון לתעבורה בין רשתות משנה (ולא בתוך וילאנה אחת).

מה-GPL אנו רואים שעבור חבילת HA עם Threat Defense, המחיר בהתאם לדגם (4110 - 4150) משתנה בין ~0,5 - 2,5 מיליון דולר.

כלומר, העיצוב שלנו מתחיל להידמות לדוגמה הקודמת.

האם זה אומר שהעיצוב הזה שגוי?
לא, זה לא אומר את זה. סיסקו מעניקה לך את ההגנה הטובה ביותר האפשרית בהתבסס על קו המוצרים שיש לה. אבל זה לא אומר שזה חובה בשבילך.

באופן עקרוני זו שאלה נפוצה שעולה בתכנון משרד או דאטה סנטר, וזה רק אומר שצריך לחפש פשרה.

לדוגמה, אל תתנו לכל התעבורה לעבור דרך חומת אש, ובמקרה זה אפשרות 3 נראית לי די טובה, או (ראה סעיף קודם) אולי אינכם זקוקים להגנה מפני איומים או שאינכם צריכים חומת אש כלל על זה. קטע רשת, ואתה רק צריך להגביל את עצמך לניטור פסיבי באמצעות פתרונות בתשלום (לא יקר) או קוד פתוח, או שאתה צריך חומת אש, אבל מספק אחר.

בדרך כלל תמיד יש את חוסר הוודאות הזה ואין תשובה ברורה איזו החלטה היא הטובה ביותר עבורך.
זו המורכבות והיופי של המשימה הזו.

מקור: www.habr.com

כיצד להשתלט על תשתית הרשת שלך. פרק שלישי. אבטחת רשת. חלק שלישי