ProHoster > Блог > Administrasi > Cara ngontrol infrastruktur jaringan sampeyan. Bab telu. Keamanan jaringan. Bagean siji

Cara ngontrol infrastruktur jaringan sampeyan. Bab telu. Keamanan jaringan. Bagean siji

Artikel iki minangka nomer telu saka seri artikel "Cara Ngontrol Infrastruktur Jaringan." Isi kabeh artikel ing seri lan pranala bisa ditemokake kene.

Cara ngontrol infrastruktur jaringan sampeyan. Bab telu. Keamanan jaringan. Bagean siji

Ora ana gunane ngomong babagan ngilangi risiko keamanan. Ing asas, kita ora bisa nyuda menyang nul. Kita uga kudu ngerti yen nalika kita ngupayakake supaya jaringan luwih aman, solusi kita dadi luwih larang. Sampeyan kudu golek ijol-ijolan antarane biaya, kerumitan, lan keamanan sing cocog karo jaringan sampeyan.

Mesthine, desain keamanan digabungake sacara organik menyang arsitektur sakabèhé lan solusi keamanan sing digunakake mengaruhi skalabilitas, linuwih, manajemen, ... infrastruktur jaringan, sing uga kudu dianggep.

Nanging aku ngelingake yen saiki kita ora ngomong babagan nggawe jaringan. Miturut kita kahanan wiwitan kita wis milih desain, milih peralatan, lan nggawe prasarana, lan ing tahap iki, yen bisa, kita kudu "urip" lan golek solusi ing konteks pendekatan sing dipilih sadurunge.

Tugas kita saiki yaiku ngenali risiko sing ana gandhengane karo keamanan ing tingkat jaringan lan nyuda menyang tingkat sing cukup.

Audit keamanan jaringan

Yen organisasi sampeyan wis ngetrapake proses ISO 27k, audit keamanan lan owah-owahan jaringan kudu pas karo proses sakabehe ing pendekatan iki. Nanging standar kasebut isih ora babagan solusi tartamtu, ora babagan konfigurasi, ora babagan desain ... Ora ana saran sing jelas, ora ana standar sing ndhikte kanthi rinci apa jaringan sampeyan kudu kaya, iki kerumitan lan kaendahan tugas iki.

Aku bakal nyorot sawetara audit keamanan jaringan sing bisa ditindakake:

  • audit konfigurasi peralatan (hardening)
  • audit desain keamanan
  • akses audit
  • proses audit

Audit konfigurasi peralatan (hardening)

Kayane ing pirang-pirang kasus iki minangka titik wiwitan sing paling apik kanggo audit lan nambah keamanan jaringan sampeyan. IMHO, iki demonstrasi apik saka hukum Pareto (20% gaweyan mrodhuksi 80% saka asil, lan isih 80% gaweyan mung mrodhuksi 20% saka asil).

Ing ngisor iki kita biasane duwe rekomendasi saka vendor babagan "praktik paling apik" kanggo keamanan nalika ngatur peralatan. Iki diarani "hardening".

Sampeyan uga bisa kerep nemokake kuesioner (utawa nggawe dhewe) adhedhasar rekomendasi kasebut, sing bakal mbantu sampeyan nemtokake manawa konfigurasi peralatan sampeyan tundhuk karo "praktik paling apik" iki lan, miturut asil, owah-owahan ing jaringan sampeyan. . Iki bakal ngidini sampeyan nyuda risiko keamanan kanthi gampang, tanpa biaya.

Sawetara conto kanggo sawetara sistem operasi Cisco.

Cisco IOS Konfigurasi Hardening
Cisco IOS-XR Konfigurasi Hardening
Cisco NX-OS Konfigurasi Hardening
Cisco Baseline Dhaptar Priksa Keamanan

Adhedhasar dokumen kasebut, dhaptar syarat konfigurasi kanggo saben jinis peralatan bisa digawe. Contone, kanggo Cisco N7K VDC syarat iki bisa katon kaya supaya.

Kanthi cara iki, file konfigurasi bisa digawe kanggo macem-macem jinis peralatan aktif ing infrastruktur jaringan sampeyan. Sabanjure, kanthi manual utawa nggunakake otomatisasi, sampeyan bisa "ngunggah" file konfigurasi kasebut. Cara ngotomatisasi proses iki bakal dibahas kanthi rinci ing seri artikel liyane babagan orkestrasi lan otomatisasi.

Audit desain keamanan

Biasane, jaringan perusahaan ngemot bagean ing ngisor iki ing siji utawa liyane:

  • DC (DMZ layanan umum lan pusat data Intranet)
  • Akses internet
  • VPN akses remot
  • pinggir WAN
  • Branch
  • Kampus (Kantor)
  • inti

Judhul dijupuk saka Cisco AMAN model, nanging ora perlu, mesthi, ditempelake sabenere jeneng iki lan model iki. Isih, aku pengin ngomong babagan inti lan ora kecemplung ing formalitas.

Kanggo saben bagean kasebut, syarat keamanan, risiko lan, kanthi mangkono, solusi bakal beda-beda.

Ayo dipikirake kanthi kapisah kanggo masalah sing bisa sampeyan temoni saka sudut pandang desain keamanan. Mesthi wae, aku mbaleni maneh manawa artikel iki ora pura-pura lengkap, sing ora gampang (yen ora mokal) digayuh ing topik sing jero lan macem-macem iki, nanging nggambarake pengalaman pribadiku.

Ora ana solusi sing sampurna (paling ora durung). Iku tansah kompromi. Nanging penting yen keputusan kanggo nggunakake siji pendekatan utawa liyane digawe kanthi sadar, kanthi pangerten babagan pro lan kontra.

data Center

Segmen paling kritis saka sudut pandang safety.
Lan, kaya biasane, ora ana solusi universal ing kene. Iku kabeh gumantung banget ing syarat jaringan.

Apa firewall perlu utawa ora?

Iku bakal koyone sing jawaban ketok, nanging kabeh ora cukup cetha minangka bisa koyone. Lan pilihan sampeyan bisa dipengaruhi ora mung rega.

Conto 1. telat.

Yen latensi kurang minangka syarat penting ing antarane sawetara segmen jaringan, yaiku, contone, ing kasus ijol-ijolan, mula kita ora bakal bisa nggunakake firewall ing antarane segmen kasebut. Iku hard kanggo golek pasinaon ing latensi ing firewalls, nanging sawetara model ngalih bisa nyedhiyani latensi kurang saka utawa ing urutan 1 mksec, supaya aku yen microseconds penting kanggo sampeyan, banjur firewalls ora kanggo sampeyan.

Conto 2. Kinerja

Throughput switch L3 ndhuwur biasane urutan gedhene sing luwih dhuwur tinimbang throughput saka firewall sing paling kuat. Mulane, ing kasus lalu lintas intensitas dhuwur, sampeyan uga kudu ngidini lalu lintas iki ngliwati firewall.

Conto 3. Reliability

Firewall, utamane NGFW modern (FW Generasi Sabanjure) minangka piranti sing kompleks. Padha luwih rumit tinimbang switch L3 / L2. Dheweke nyedhiyakake akeh layanan lan opsi konfigurasi, mula ora kaget yen linuwih luwih murah. Yen kesinambungan layanan penting kanggo jaringan, sampeyan bisa uga kudu milih apa sing bakal nyebabake kasedhiyan sing luwih apik - keamanan karo firewall utawa kesederhanaan jaringan sing dibangun ing switch (utawa macem-macem jinis kain) nggunakake ACL biasa.

Ing kasus conto ing ndhuwur, sampeyan bakal (kaya biasane) kudu golek kompromi. Deleng solusi ing ngisor iki:

  • yen sampeyan mutusake ora nggunakake firewall ing tengah data, sampeyan kudu mikir babagan carane mbatesi akses ing keliling sabisa. Contone, sampeyan mung bisa mbukak port sing dibutuhake saka Internet (kanggo lalu lintas klien) lan akses administratif menyang pusat data mung saka host lompat. Ing host lompat, tindakake kabeh pamriksa sing dibutuhake (otentikasi / wewenang, antivirus, logging, ...)
  • sampeyan bisa nggunakake partisi logis saka jaringan pusat data menyang segmen, padha karo skema sing diterangake ing PSEFABRIC contone p002. Ing kasus iki, nuntun kudu dikonfigurasi kanthi cara supaya lalu lintas sing sensitif tundha utawa intensitas dhuwur dadi "ing" siji segmen (ing kasus p002, VRF) lan ora ngliwati firewall. Lalu lintas antarane macem-macem segmen bakal terus ngliwati firewall. Sampeyan uga bisa nggunakake rute bocor ing antarane VRF supaya ora ngarahake lalu lintas liwat firewall
  • Sampeyan uga bisa nggunakake firewall ing mode transparan lan mung kanggo VLAN sing faktor kasebut (latensi / kinerja) ora signifikan. Nanging sampeyan kudu kasebut kanthi teliti, sinau Watesan gadhah nggunakake mod iki kanggo saben vendor
  • sampeyan bisa uga pengin nimbang nggunakake arsitektur chain layanan. Iki bakal ngidini mung lalu lintas sing perlu kanggo ngliwati firewall. Katon apik ing teori, nanging aku durung nate ndeleng solusi iki ing produksi. We dites chain layanan kanggo Cisco ACI / Juniper SRX / F5 LTM bab 3 taun ago, nanging ing wektu sing solusi iki ketoke "mentah" kanggo kita.

Tingkat perlindungan

Saiki sampeyan kudu njawab pitakonan apa alat sing pengin digunakake kanggo nyaring lalu lintas. Ing ngisor iki sawetara fitur sing biasane ana ing NGFW (contone, kene):

  • firewall stateful (standar)
  • aplikasi firewall
  • pencegahan ancaman (antivirus, anti-spyware, lan kerentanan)
  • Nyaring URL
  • penyaringan data (filter isi)
  • pemblokiran file (jinis file blocking)
  • pangayoman dos

Lan ora kabeh cetha. Katon yen tingkat proteksi sing luwih dhuwur, luwih apik. Nanging sampeyan uga kudu nimbang iku

  • Luwih akeh fungsi firewall ing ndhuwur sing sampeyan gunakake, mesthine luwih larang (lisensi, modul tambahan)
  • nggunakake sawetara algoritma bisa Ngartekno nyuda throughput firewall lan uga nambah telat, ndeleng contone kene
  • kaya solusi sing rumit, panggunaan metode perlindungan sing kompleks bisa nyuda linuwih solusi sampeyan, umpamane, nalika nggunakake firewall aplikasi, aku nemoni pamblokiran sawetara aplikasi kerja sing cukup standar (dns, smb)

Kaya biasane, sampeyan kudu nemokake solusi sing paling apik kanggo jaringan sampeyan.

Ora mungkin kanggo njawab pitakonan babagan fungsi perlindungan sing dibutuhake. Kaping pisanan, amarga mesthine gumantung saka data sing dikirim utawa disimpen lan nyoba kanggo nglindhungi. Kapindho, ing kasunyatan, asring pilihan alat keamanan minangka masalah iman lan kapercayan marang vendor. Sampeyan ora ngerti algoritma, sampeyan ora ngerti carane efektif, lan sampeyan ora bisa nyoba kanthi lengkap.

Mulane, ing segmen kritis, solusi sing apik bisa uga nggunakake tawaran saka macem-macem perusahaan. Contone, sampeyan bisa ngaktifake antivirus ing firewall, nanging uga nggunakake proteksi antivirus (saka pabrikan liyane) sacara lokal ing host.

Segmentasi

Kita ngomong babagan segmentasi logis saka jaringan pusat data. Contone, pemisahan menyang VLAN lan subnet uga minangka segmentasi logis, nanging kita ora bakal nganggep amarga jelas. Segmentasi sing menarik kanthi njupuk entitas kayata zona keamanan FW, VRFs (lan analog sing ana hubungane karo macem-macem vendor), piranti logis (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Conto segmentasi logis kasebut lan desain pusat data sing saiki dikarepake diwenehi ing p002 saka proyek PSEFABRIC.

Sawise nemtokake bagean logis saka jaringan sampeyan, sampeyan banjur bisa njlèntrèhaké cara lalu lintas pindhah ing antarane segmen sing beda-beda, sing bakal ditindakake nyaring piranti lan kanthi cara apa.

Yen jaringan sampeyan ora duwe partisi logis sing jelas lan aturan kanggo ngetrapake kabijakan keamanan kanggo aliran data sing beda-beda ora diformal, iki tegese nalika sampeyan mbukak akses iki utawa kasebut, sampeyan kudu ngatasi masalah iki, lan kanthi kemungkinan dhuwur sampeyan bakal ngatasi saben wektu beda.

Asring segmentasi mung adhedhasar zona keamanan FW. Banjur sampeyan kudu mangsuli pitakon ing ngisor iki:

  • zona keamanan apa sampeyan kudu
  • apa tingkat pangayoman sing pengin ditrapake kanggo saben zona kasebut
  • lalu lintas intra-zona bakal diijini kanthi gawan?
  • yen ora, apa kawicaksanan nyaring lalu lintas bakal Applied ing saben zona
  • kabijakan panyaring lalu lintas apa sing bakal ditrapake kanggo saben pasangan zona (sumber/tujuan)

TCAM

Masalah umum ora cukup TCAM (Ternary Content Addressable Memory), loro kanggo nuntun lan kanggo akses. IMHO, iki minangka salah sawijining masalah sing paling penting nalika milih peralatan, dadi sampeyan kudu ngobati masalah iki kanthi perawatan sing cocog.

Tuladha 1. Nerusake Tabel TCAM.

Ayo ditimbang Palo Alto 7k firewall
Kita weruh yen IPv4 ukuran tabel penerusan * = 32K
Kajaba iku, nomer rute iki umum kanggo kabeh VSYS.

Ayo nganggep yen miturut desain sampeyan arep nggunakake 4 VSYS.
Saben VSYS kasebut disambungake liwat BGP menyang rong MPLS PE awan sing sampeyan gunakake minangka BB. Mangkono, 4 VSYS ijol-ijolan kabeh rute tartamtu karo saben liyane lan duwe Tabel nerusake karo kira-kira pesawat padha rute (nanging NHs beda). Amarga saben VSYS wis 2 mau BGP (karo setelan padha), banjur saben rute ditampa liwat MPLS wis 2 NH lan, patut, 2 FIB entri ing Tabel Nerusake. Yen kita nganggep yen iki mung siji-sijine firewall ing pusat data lan kudu ngerti babagan kabeh rute, mula iki tegese total rute ing pusat data ora bisa luwih saka 32K / (4 * 2) = 4K.

Saiki, yen kita nganggep yen kita duwe 2 pusat data (kanthi desain sing padha), lan kita pengin nggunakake VLAN "stretch" antarane pusat data (contone, kanggo vMotion), banjur kanggo ngatasi masalah nuntun, kita kudu nggunakake rute host. . Nanging iki tegese kanggo 2 pusat data kita ora bakal duwe luwih saka 4096 host bisa lan, mesthi, iki bisa uga ora cukup.

Tuladha 2. ACL TCAM.

Yen sampeyan rencana nyaring lalu lintas ing switch L3 (utawa solusi liyane sing nggunakake switch L3, contone, Cisco ACI), banjur nalika milih peralatan sampeyan kudu mbayar manungsa waé menyang TCAM ACL.

Upaminipun sampeyan pengin ngontrol akses ing antarmuka SVI saka Cisco Catalyst 4500. Banjur, minangka bisa katon saka wacana iki, kanggo ngontrol lalu lintas metu (uga mlebu) ing antarmuka, sampeyan mung bisa nggunakake 4096 garis TCAM. Kang nalika nggunakake TCAM3 bakal menehi bab 4000 ewu ACEs (garis ACL).

Yen sampeyan ngadhepi masalah TCAM sing ora cukup, mula, mesthine, sampeyan kudu nimbang kemungkinan optimasi. Dadi, yen ana masalah karo ukuran Tabel Penerusan, sampeyan kudu nimbang kemungkinan rute aggregating. Ing cilik saka masalah karo ukuran TCAM kanggo akses, akses audit, mbusak cathetan outdated lan tumpang tindih, lan bisa mbenakake prosedur kanggo mbukak akses (bakal rembugan rinci ing bab akses audit).

Kasedhiyan Dhuwur

Pitakonan iku: apa aku kudu nggunakake HA kanggo firewall utawa nginstal loro kothak sawijining "ing podo karo" lan, yen salah siji gagal, lalu lintas rute liwat liya?

Iku bakal koyone sing jawaban ketok - nggunakake HA. Alesan kenapa pitakonan iki isih muncul, sayangé, teoritis lan iklan 99 lan sawetara persentasi desimal saka aksesibilitas ing laku dadi adoh saka dadi rosy. HA logis bab cukup Komplek, lan ing peralatan beda, lan karo vendor beda (ora ana seng), kita kejiret masalah lan kewan omo lan layanan mandheg.

Yen sampeyan nggunakake HA, sampeyan bakal duwe kesempatan kanggo mateni kelenjar individu, ngalih ing antarane wong-wong mau tanpa mungkasi layanan, kang penting, contone, nalika nggawe upgrade, nanging ing wektu sing padha sampeyan duwe adoh saka nul kemungkinan sing loro kelenjar. bakal break ing wektu sing padha, lan uga sing sabanjuré upgrade ora dadi lancar minangka vendor janjinipun (masalah iki bisa nyingkiri yen sampeyan duwe kesempatan kanggo nyoba upgrade ing peralatan laboratorium).

Yen sampeyan ora nggunakake HA, banjur saka sudut pandang gagal kaping pindho, risiko sampeyan luwih murah (amarga sampeyan duwe 2 firewall independen), nanging wiwit ... sesi ora disinkronake, banjur saben-saben sampeyan ngalih ing antarane firewall iki, sampeyan bakal kelangan lalu lintas. Sampeyan bisa, mesthi, nggunakake firewall tanpa negara, nanging banjur titik nggunakake firewall umume ilang.

Mulane, yen minangka asil audit, sampeyan nemokake firewall sing sepi, lan sampeyan mikir babagan nambah linuwih jaringan sampeyan, mula HA, mesthine, minangka salah sawijining solusi sing disaranake, nanging sampeyan uga kudu nganggep kekurangan sing ana gandhengane. kanthi pendekatan iki lan, mbok menawa, khusus kanggo jaringan sampeyan, solusi liyane bakal luwih cocok.

Kapabilitas

Ing asas, HA uga babagan kontrol. Tinimbang ngatur 2 kothak kanthi kapisah lan ngatasi masalah supaya konfigurasi tetep sinkron, sampeyan bisa ngatur kaya-kaya sampeyan duwe piranti siji.

Nanging mbok menawa sampeyan duwe akeh pusat data lan akeh firewall, banjur pitakonan iki muncul ing tingkat anyar. Lan pitakonan ora mung babagan konfigurasi, nanging uga babagan

  • konfigurasi serep
  • nganyari
  • nginggilaken
  • ngawasi
  • logging

Lan kabeh iki bisa ditanggulangi kanthi sistem manajemen terpusat.

Dadi, contone, yen sampeyan nggunakake firewall Palo Alto, banjur Ringkesan punika solusi.

Kanggo terus.

Source: www.habr.com

Add a comment