ProHoster > Блог > Administrasi > Cara ngontrol infrastruktur jaringan sampeyan. Bab telu. Keamanan jaringan. Bagian telu

Cara ngontrol infrastruktur jaringan sampeyan. Bab telu. Keamanan jaringan. Bagian telu

Artikel iki minangka sing kaping lima ing seri "Cara Ngontrol Infrastruktur Jaringan." Isi kabeh artikel ing seri lan pranala bisa ditemokake kene.

Bagean iki bakal dikhususake kanggo Kampus (Kantor) & segmen VPN akses Remote.

Cara ngontrol infrastruktur jaringan sampeyan. Bab telu. Keamanan jaringan. Bagian telu

Desain jaringan kantor bisa uga katon gampang.

Pancen, kita njupuk L2 / L3 ngalih lan nyambung menyang saben liyane. Sabanjure, kita nindakake persiyapan dhasar saka vilan lan gateway standar, nyetel rute sing prasaja, nyambungake pengontrol WiFi, titik akses, nginstal lan ngatur ASA kanggo akses remot, kita bungah yen kabeh bisa digunakake. Sejatine, kaya sing wis daktulis ing salah sawijining sadurunge artikel saka siklus iki, meh saben siswa sing wis nekani (lan sinau) rong semester saka kursus telekomunikasi bisa ngrancang lan ngatur jaringan kantor supaya bisa "bisa wae."

Nanging luwih akeh sampeyan sinau, tugas iki ora gampang katon. Kanggo kula pribadi, topik iki, topik desain jaringan kantor, ora katon prasaja, lan ing artikel iki aku bakal nyoba nerangake apa sebabe.

Ing cendhak, ana sawetara faktor sing kudu ditimbang. Asring faktor kasebut saling bertentangan lan kompromi sing cukup kudu ditindakake.
Ketidakpastian iki minangka kesulitan utama. Dadi, ngomong babagan keamanan, kita duwe segitiga kanthi telung simpul: keamanan, penak kanggo karyawan, rega solusi.
Lan saben-saben sampeyan kudu golek kompromi ing antarane telu kasebut.

arsitektur

Minangka conto arsitektur kanggo rong segmen iki, kaya ing artikel sadurunge, aku nyaranake Cisco AMAN model: Kampus Perusahaan, Enterprise Internet Edge.

Iki minangka dokumen sing rada ketinggalan jaman. Aku nampilake dheweke ing kene amarga skema lan pendekatan dhasar ora diganti, nanging ing wektu sing padha aku luwih seneng presentasi tinimbang ing dokumentasi anyar.

Tanpa nyengkuyung sampeyan nggunakake solusi Cisco, Aku isih mikir iku migunani kanggo sinau desain iki kanthi teliti.

Artikel iki, kaya biasane, ora ndalang lengkap, nanging minangka tambahan kanggo informasi iki.

Ing pungkasan artikel, kita bakal njelasno desain kantor Cisco SAFE ing syarat-syarat konsep mbatesi kene.

Prinsip umum

Desain jaringan kantor mesthine kudu nyukupi syarat umum sing wis dibahas kene ing bab "Kriteria kanggo netepake kualitas desain". Saliyane rega lan safety, sing arep dibahas ing artikel iki, isih ana telung kritéria sing kudu ditimbang nalika ngrancang (utawa nggawe owah-owahan):

  • skalabilitas
  • ease saka nggunakake (managability)
  • kasedhiyan

Akeh sing dirembug kanggo pusat data Iki uga bener kanggo kantor.

Nanging, segmen kantor duwe spesifik dhewe, sing kritis saka sudut pandang keamanan. Inti saka kekhususan iki yaiku bagean iki digawe kanggo nyedhiyakake layanan jaringan kanggo karyawan (uga mitra lan tamu) perusahaan, lan, minangka asil, ing tingkat paling dhuwur saka pertimbangan masalah kita duwe rong tugas:

  • nglindhungi sumber daya perusahaan saka tumindak ala sing bisa teka saka karyawan (tamu, partners) lan saka piranti lunak sing digunakake. Iki uga kalebu pangayoman marang sambungan sing ora sah menyang jaringan.
  • nglindhungi sistem lan data pangguna

Lan iki mung siji sisih masalah (utawa luwih, siji vertex saka segi telu). Ing sisih liya yaiku kepenak pangguna lan rega solusi sing digunakake.

Ayo diwiwiti kanthi ndeleng apa sing dikarepake pangguna saka jaringan kantor modern.

Kasedhiyan

Mangkene "fasilitas jaringan" kanggo pangguna kantor miturut pendapatku:

  • Mobilitas
  • Kemampuan kanggo nggunakake macem-macem piranti sing akrab lan sistem operasi
  • Akses gampang menyang kabeh sumber daya perusahaan sing dibutuhake
  • Kasedhiyan sumber daya Internet, kalebu macem-macem layanan awan
  • "Operasi cepet" jaringan

Kabeh iki ditrapake kanggo karyawan lan tamu (utawa mitra), lan dadi tugas para insinyur perusahaan kanggo mbedakake akses kanggo klompok pangguna sing beda adhedhasar wewenang.

Ayo ndeleng saben aspek kasebut kanthi luwih rinci.

Mobilitas

Kita ngomong babagan kesempatan kanggo kerja lan nggunakake kabeh sumber daya perusahaan sing dibutuhake saka ngendi wae ing donya (mesthi, ing ngendi Internet kasedhiya).

Iki ditrapake kanthi lengkap ing kantor. Iki trep yen sampeyan duwe kesempatan kanggo terus kerja saka ngendi wae ing kantor, contone, nampa surat, komunikasi ing utusan perusahaan, kasedhiya kanggo panggilan video, ... Mangkono, iki ngidini sampeyan, ing tangan siji, kanggo mutusake masalah sawetara masalah komunikasi "urip" (contone, melu ing rapat umum), lan ing tangan liyane, tansah online, tetep driji ing pulsa lan cepet ngatasi sawetara urgent tugas prioritas dhuwur. Iki trep banget lan bener-bener nambah kualitas komunikasi.

Iki digayuh kanthi desain jaringan WiFi sing tepat.

Cathetan:

Ing kene pitakonan biasane muncul: apa cukup nggunakake mung WiFi? Iki tegese sampeyan bisa mungkasi nggunakake bandar Ethernet ing kantor? Yen kita ngomong mung babagan pangguna, lan ora babagan server, sing isih cukup kanggo nyambungake karo port Ethernet biasa, banjur umume jawabane: ya, sampeyan mung bisa mbatesi WiFi. Nanging ana nuansa.

Ana klompok pangguna penting sing mbutuhake pendekatan sing kapisah. Iki, mesthi, administrator. Ing asas, sambungan WiFi kurang dipercaya (ing syarat-syarat mundhut lalu lintas) lan luwih alon saka port Ethernet biasa. Iki bisa dadi penting kanggo pangurus. Kajaba iku, administrator jaringan, contone, bisa, ing asas, duwe jaringan Ethernet darmabakti dhewe kanggo sambungan metu-saka-band.

Bisa uga ana grup/departemen liyane ing perusahaan sampeyan sing faktor kasebut uga penting.

Ana titik penting liyane - telephony. Mbok ana alesan sampeyan ora pengin nggunakake Wireless VoIP lan pengin nggunakake telpon IP karo sambungan Ethernet biasa.

Umume, perusahaan sing kerjane biasane duwe konektivitas WiFi lan port Ethernet.

Aku pengin mobilitas ora diwatesi mung ing kantor.

Kanggo mesthekake kemampuan kanggo bisa saka ngarep (utawa panggonan liyane karo Internet bisa diakses), sambungan VPN digunakake. Ing wektu sing padha, luwih becik yen karyawan ora ngrasakake bedane antarane kerja ing omah lan kerja sing adoh, sing entuk akses sing padha. Kita bakal ngrembug babagan carane ngatur iki mengko ing bab "Sistem otentikasi terpusat lan wewenang."

Cathetan:

Paling kamungkinan, sampeyan ora bakal bisa kanggo nyedhiyani kualitas layanan padha kanggo karya remot ing kantor. Ayo dadi nganggep sing nggunakake Cisco ASA 5520 minangka gateway VPN Panjenengan lembar data piranti iki saged "digesting" mung 225 Mbit lalu lintas VPN. Sing, mesthi, babagan bandwidth, nyambungake liwat VPN beda banget karo kerja kantor. Uga, yen, sakperangan alesan, latensi, mundhut, jitter (contone, sampeyan pengin nggunakake kantor IP telephony) kanggo layanan jaringan pinunjul, sampeyan uga ora bakal nampa kualitas sing padha ing kantor. Mulane, nalika ngomong babagan mobilitas, kita kudu ngerti babagan watesan sing bisa ditindakake.

Akses gampang kanggo kabeh sumber daya perusahaan

Tugas iki kudu ditanggulangi bebarengan karo departemen teknis liyane.
Kahanan sing cocog yaiku nalika pangguna mung kudu otentikasi sapisan, lan sawise iku dheweke duwe akses menyang kabeh sumber daya sing dibutuhake.
Nyedhiyakake akses sing gampang tanpa ngorbanake keamanan bisa ningkatake produktivitas lan nyuda stres ing antarane kanca-kanca.

Pangandikan 1

Gampang akses ora mung babagan kaping pirang-pirang sampeyan kudu ngetik sandhi. Yen, contone, sesuai karo kabijakan keamanan sampeyan, supaya bisa nyambung saka kantor menyang pusat data, sampeyan kudu nyambungake menyang gateway VPN, lan ing wektu sing padha sampeyan bakal kelangan akses menyang sumber daya kantor, mula iki uga banget. , ora trep banget.

Pangandikan 2

Ana layanan (contone, akses menyang peralatan jaringan) ing ngendi kita biasane duwe server AAA darmabakti dhewe lan iki minangka norma nalika ing kasus iki kita kudu otentikasi kaping pirang-pirang.

Kasedhiyan sumber daya Internet

Internet ora mung hiburan, nanging uga sakumpulan layanan sing bisa migunani banget kanggo karya. Ana uga faktor psikologis murni. Wong modern disambungake karo wong liya liwat Internet liwat pirang-pirang benang virtual, lan, miturut pendapatku, ora ana sing salah yen dheweke terus ngrasakake sambungan kasebut sanajan kerja.

Saka sudut pandang mbuwang wektu, ora ana sing salah yen karyawan, umpamane, duwe Skype mlaku lan nggunakake 5 menit kanggo komunikasi karo wong sing dikasihi yen perlu.

Apa iki tegese Internet kudu tansah kasedhiya, apa iki tegese karyawan bisa ngakses kabeh sumber daya lan ora ngontrol kanthi cara apa wae?

Ora ora ateges, mesthi. Tingkat keterbukaan Internet bisa beda-beda kanggo macem-macem perusahaan - saka penutupan lengkap nganti keterbukaan lengkap. Kita bakal ngrembug cara kanggo ngontrol lalu lintas mengko ing bagean babagan langkah-langkah keamanan.

Kemampuan kanggo nggunakake macem-macem piranti akrab

Iku trep nalika, contone, sampeyan duwe kesempatan kanggo terus nggunakake kabeh sarana komunikasi sing digunakake kanggo ing karya. Ora ana kangelan kanthi teknis ngleksanakake iki. Kanggo iki sampeyan butuh WiFi lan wilan tamu.

Iku uga apik yen sampeyan duwe kesempatan kanggo nggunakake sistem operasi sing digunakake kanggo. Nanging, ing pengamatanku, iki biasane mung diidini kanggo manajer, pangurus lan pangembang.

Conto:

Sampeyan bisa, mesthi, tindakake path larangan, nglarang akses remot, nglarang nyambungake saka piranti seluler, matesi kabeh kanggo sambungan Ethernet statis, matesi akses menyang Internet, compulsorily sita ponsel lan gadget ing checkpoint ... lan dalan iki bener ngiring dening sawetara organisasi karo syarat keamanan tambah, lan mbok menawa ing sawetara kasus iki bisa sabdho, nanging ... sampeyan kudu setuju sing iki katon kaya nyoba kanggo mungkasi kemajuan ing organisasi siji. Mesthi wae, aku pengin nggabungake kesempatan sing diwenehake dening teknologi modern kanthi tingkat keamanan sing cukup.

"Operasi cepet" jaringan

Kacepetan transfer data sacara teknis kalebu akeh faktor. Lan kacepetan port sambungan sampeyan biasane ora sing paling penting. Operasi alon saka aplikasi ora tansah digandhengake karo masalah jaringan, nanging saiki kita mung kasengsem ing bagean jaringan. Masalah sing paling umum karo "slowdown" jaringan lokal ana gandhengane karo mundhut paket. Iki biasane kedadeyan nalika ana masalah bottleneck utawa L1 (OSI). Luwih arang, kanthi sawetara desain (contone, nalika subnet sampeyan duwe firewall minangka gateway standar lan kabeh lalu lintas ngliwati), kinerja hardware bisa uga kurang.

Mulane, nalika milih peralatan lan arsitektur, sampeyan kudu nggandhengake kacepetan port pungkasan, trunks lan kinerja peralatan.

Conto:

Ayo dadi nganggep sampeyan nggunakake ngalih karo 1 bandar gigabit minangka ngalih lapisan akses. Padha disambungake menyang saben liyane liwat Etherchannel 2 x 10 gigabits. Minangka gateway standar, sampeyan nggunakake firewall karo bandar gigabit, kanggo nyambung menyang jaringan kantor L2 sampeyan nggunakake 2 bandar gigabit digabungake menyang Etherchannel.

Arsitektur iki cukup trep saka sudut pandang fungsional, amarga ... Kabeh lalu lintas dadi liwat firewall, lan sampeyan bisa ngatur kawicaksanan akses mulyo, lan aplikasi algoritma Komplek kanggo kontrol lalu lintas lan nyegah serangan bisa (ndeleng ngisor), nanging saka throughput lan kinerja tampilan desain iki, mesthi, duwe masalah potensial. Dadi, contone, 2 host download data (kanthi kacepetan port 1 gigabit) bisa rampung mbukak sambungan 2 gigabit menyang firewall, lan kanthi mangkono mimpin kanggo degradasi layanan kanggo kabeh bagean kantor.

Kita wis ndeleng siji vertex saka segi telu, saiki ayo ndeleng carane kita bisa njamin keamanan.

Obat-obatan

Dadi, mesthine, biasane kepinginan kita (utawa luwih, kepinginan manajemen kita) yaiku kanggo nggayuh mokal, yaiku, nyedhiyakake kenyamanan maksimal kanthi keamanan maksimal lan biaya minimal.

Ayo goleki cara apa sing kudu kita lakoni kanggo nglindhungi.

Kanggo kantor, aku bakal nyorot ing ngisor iki:

  • pendekatan nul dateng kanggo desain
  • tingkat dhuwur saka pangayoman
  • visibilitas jaringan
  • sistem otentikasi terpusat lan otorisasi terpadu
  • mriksa host

Sabanjure, kita bakal luwih rinci babagan saben aspek kasebut.

Trust Nol

Donya IT ganti cepet banget. Mung liwat 10 taun kepungkur, munculé teknologi lan produk anyar wis mimpin kanggo revisi utama konsep keamanan. Sepuluh taun kepungkur, saka sudut pandang keamanan, kita misahake jaringan kasebut dadi zona kepercayaan, dmz lan untrust, lan nggunakake apa sing disebut "proteksi perimeter", ing ngendi ana 2 garis pertahanan: untrust -> dmz lan dmz -> dipercaya. Uga, proteksi biasane diwatesi kanggo ngakses dhaptar adhedhasar header L3/L4 (OSI) (IP, port TCP/UDP, flag TCP). Kabeh sing ana gandhengane karo tingkat sing luwih dhuwur, kalebu L7, ditinggalake menyang OS lan produk keamanan sing diinstal ing host pungkasan.

Saiki kahanan wis diganti dramatically. Konsep modern nul dateng asalé saka kasunyatan sing ora bisa maneh nimbang sistem internal, yaiku, sing dumunung ing keliling, minangka dipercaya, lan konsep keliling dhewe wis dadi burem.
Saliyane sambungan internet kita uga duwe

  • pangguna VPN akses remot
  • macem-macem gadget pribadi, nggawa laptop, disambungake liwat WiFi kantor
  • kantor liyane (cabang).
  • integrasi karo infrastruktur awan

Apa pendekatan Zero Trust katon ing praktik?

Saenipun, mung lalu lintas sing dibutuhake kudu diidini lan, yen kita ngomong babagan sing becik, mula kontrol kudu ora mung ing tingkat L3 / L4, nanging ing tingkat aplikasi.

Yen, contone, sampeyan duwe kemampuan kanggo ngliwati kabeh lalu lintas liwat firewall, sampeyan bisa nyoba kanggo nyedhaki becik. Nanging pendekatan iki bisa nyuda bandwidth total jaringan sampeyan, lan saringan kanthi aplikasi ora mesthi bisa digunakake.

Nalika ngontrol lalu lintas ing router utawa switch L3 (nggunakake ACL standar), sampeyan nemoni masalah liyane:

  • Iki mung nyaring L3/L4. Ora ana sing ngalangi panyerang nggunakake port sing diidini (umpamane TCP 80) kanggo aplikasi kasebut (dudu http)
  • manajemen ACL kompleks (angel kanggo ngurai ACL)
  • Iki dudu firewall statefull, tegese sampeyan kudu kanthi tegas ngidini lalu lintas mbalikke
  • karo ngalih sampeyan biasane cukup tightly winates dening ukuran TCAM, kang bisa cepet dadi masalah yen sampeyan njupuk "mung ngidini apa sing perlu" pendekatan

Cathetan:

Ngomong babagan lalu lintas mbalikke, kita kudu eling yen kita duwe kesempatan ing ngisor iki (Cisco)

ngidini tcp sembarang mapan

Nanging sampeyan kudu ngerti yen baris iki padha karo rong baris:
izin tcp sembarang ack
izin tcp wae

Tegese sanajan ora ana segmen TCP dhisikan kanthi flag SYN (yaiku, sesi TCP malah ora diwiwiti), ACL iki bakal ngidini paket kanthi bendera ACK, sing bisa digunakake panyerang kanggo nransfer data.

Tegese, baris iki ora ngowahi router utawa switch L3 dadi firewall statefull.

Tingkat pangayoman sing dhuwur

В artikel Ing bagean ing pusat data, kita nimbang cara pangayoman ing ngisor iki.

  • firewall stateful (standar)
  • pangayoman ddos ​​/ dos
  • aplikasi firewall
  • pencegahan ancaman (antivirus, anti-spyware, lan kerentanan)
  • Nyaring URL
  • penyaringan data (filter isi)
  • pemblokiran file (jinis file blocking)

Ing kasus kantor, kahanan padha, nanging prioritas rada beda. Kasedhiyan kantor (kasedhiyan) biasane ora kritis kaya ing kasus pusat data, dene kemungkinan lalu lintas jahat "internal" minangka pesenan sing luwih dhuwur.
Mula, cara proteksi ing ngisor iki kanggo bagean iki dadi kritis:

  • aplikasi firewall
  • pencegahan ancaman (anti-virus, anti-spyware, lan kerentanan)
  • Nyaring URL
  • penyaringan data (filter isi)
  • pemblokiran file (jinis file blocking)

Sanajan kabeh cara proteksi kasebut, kajaba firewall aplikasi, wis tradisional lan terus ditanggulangi ing host pungkasan (contone, kanthi nginstal program antivirus) lan nggunakake proxy, NGFW modern uga nyedhiyakake layanan kasebut.

Vendor peralatan keamanan ngupayakake nggawe proteksi lengkap, saengga bebarengan karo proteksi lokal, dheweke nawakake macem-macem teknologi maya lan piranti lunak klien kanggo host (proteksi titik pungkasan / EPP). Dadi, contone, saka 2018 Gartner Magic Quadrant Kita waca sing Palo Alto lan Cisco duwe EPP dhewe (PA: Traps, Cisco: AMP), nanging adoh saka pemimpin.

Ngaktifake proteksi kasebut (biasane kanthi tuku lisensi) ing firewall sampeyan mesthi ora prentah (sampeyan bisa pindhah menyang rute tradisional), nanging menehi sawetara keuntungan:

  • ing kasus iki, ana siji titik aplikasi saka cara pangayoman, kang nambah visibilitas (ndeleng topik sabanjuré).
  • Yen ana piranti sing ora dilindhungi ing jaringan sampeyan, piranti kasebut isih ana ing "payung" perlindungan firewall
  • Kanthi nggunakake proteksi firewall bebarengan karo proteksi end-host, kita nambah kemungkinan ndeteksi lalu lintas angkoro. Contone, nggunakake pencegahan ancaman ing host lokal lan ing firewall nambah kemungkinan deteksi (mesthi, yen solusi kasebut adhedhasar produk piranti lunak sing beda-beda)

Cathetan:

Yen, umpamane, sampeyan nggunakake Kaspersky minangka antivirus ing firewall lan ing host pungkasan, mula iki, mesthi, ora bakal nambah kemungkinan sampeyan nyegah serangan virus ing jaringan sampeyan.

visibilitas jaringan

ide utama prasaja - "ndeleng" apa sing kedadeyan ing jaringan sampeyan, ing wektu nyata lan data sejarah.

Aku bakal dibagi iki "visi" dadi rong klompok:

Kelompok siji: apa sistem ngawasi biasane nyedhiyani sampeyan.

  • loading peralatan
  • saluran loading
  • panggunaan memori
  • panggunaan disk
  • ngganti tabel nuntun
  • status link
  • kasedhiyan peralatan (utawa host)
  • ...

Kelompok loro: informasi safety related.

  • macem-macem jinis statistik (contone, miturut aplikasi, lalu lintas URL, jinis data apa sing diundhuh, data pangguna)
  • apa sing diblokir dening kabijakan keamanan lan apa sebabe, yaiku
    • aplikasi dilarang
    • dilarang adhedhasar ip / protokol / port / flags / zona
    • pencegahan ancaman
    • nyaring url
    • nyaring data
    • pamblokiran file
    • ...
  • statistik ing serangan DOS / DDOS
  • identifikasi gagal lan nyoba wewenang
  • statistik kanggo kabeh acara nglanggar privasi keamanan ndhuwur
  • ...

Ing bab keamanan iki, kita kasengsem ing bagean kapindho.

Sawetara firewall modern (saka pengalaman Palo Alto) nyedhiyakake visibilitas sing apik. Nanging, mesthine, lalu lintas sing sampeyan minati kudu ngliwati firewall iki (yen sampeyan duwe kemampuan kanggo mblokir lalu lintas) utawa dicerminake menyang firewall (mung digunakake kanggo ngawasi lan analisis), lan sampeyan kudu duwe lisensi kanggo ngaktifake kabeh. layanan kasebut.

Mesthi wae, ana cara alternatif, utawa cara tradisional, contone,

  • Statistik sesi bisa diklumpukake liwat netflow banjur nggunakake utilitas khusus kanggo analisis informasi lan visualisasi data
  • pencegahan ancaman - program khusus (anti-virus, anti-spyware, firewall) ing host pungkasan
  • Nyaring URL, nyaring data, pamblokiran file - ing proxy
  • iku uga bisa kanggo njelasno tcpdump nggunakake contone. ngorok

Sampeyan bisa nggabungake loro pendekatan iki, nglengkapi fitur sing ilang utawa duplikat kanggo nambah kemungkinan ndeteksi serangan.

Pendekatan sing kudu sampeyan pilih?
Gumantung banget marang kualifikasi lan pilihan tim sampeyan.
Loro-lorone ana lan ana pro lan kontra.

Sistem otentikasi terpusat lan otorisasi terpadu

Nalika dirancang kanthi apik, mobilitas sing kita rembugan ing artikel iki nganggep yen sampeyan duwe akses sing padha, apa sampeyan kerja saka kantor utawa saka omah, saka bandara, saka warung kopi utawa ing ngendi wae (kanthi watesan sing kita rembugan ing ndhuwur). Iku bakal katon, apa masalah?
Kanggo luwih ngerti kerumitan tugas iki, ayo goleki desain khas.

Conto:

  • Sampeyan wis dibagi kabeh karyawan menyang kelompok. Sampeyan wis mutusake kanggo nyedhiyakake akses miturut klompok
  • Ing kantor, sampeyan ngontrol akses menyang firewall kantor
  • Sampeyan ngontrol lalu lintas saka kantor menyang pusat data ing firewall pusat data
  • Sampeyan nggunakake Cisco ASA minangka gateway VPN lan kanggo ngontrol lalu lintas sing mlebu jaringan saka klien remot, sampeyan nggunakake ACL lokal (ing ASA).

Saiki, ayo ngomong sampeyan dijaluk nambah akses tambahan menyang karyawan tartamtu. Ing kasus iki, sampeyan dijaluk nambah akses mung kanggo dheweke lan ora ana wong liya saka grupe.

Kanggo iki, kita kudu nggawe grup sing kapisah kanggo karyawan iki, yaiku

  • nggawe blumbang IP kapisah ing ASA kanggo pegawe iki
  • nambah ACL anyar ing ASA lan ikatan menyang klien remot kasebut
  • nggawe kabijakan keamanan anyar ing firewall kantor lan pusat data

Apik yen acara iki langka. Nanging ing laku ana kahanan nalika karyawan melu ing proyèk beda, lan iki pesawat saka proyèk kanggo sawetara wong diganti cukup kerep, lan iku ora 1-2 wong, nanging Welasan. Mesthi wae, ana sing kudu diganti ing kene.

Iki ditanggulangi kanthi cara ing ngisor iki.

Kita mutusake yen LDAP bakal dadi siji-sijine sumber bebener sing nemtokake kabeh akses karyawan sing bisa ditindakake. Kita nggawe kabeh jinis grup sing nemtokake set akses, lan kita nemtokake saben pangguna menyang siji utawa luwih grup.

Dadi, contone, yen ana kelompok

  • tamu (akses internet)
  • akses umum (akses menyang sumber daya sing dienggo bareng: mail, basis pengetahuan, ...)
  • accounting
  • project 1
  • project 2
  • administrator basis data
  • administrator linux
  • ...

Lan yen salah sawijining karyawan melu proyek 1 lan proyek 2, lan dheweke butuh akses sing dibutuhake kanggo nggarap proyek kasebut, mula karyawan kasebut ditugasake menyang klompok ing ngisor iki:

  • tamu
  • akses umum
  • project 1
  • project 2

Kepiye carane bisa ngowahi informasi kasebut dadi akses menyang peralatan jaringan?

Cisco ASA Dynamic Access Policy (DAP) (ndeleng www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) solusi mung pas kanggo tugas iki.

Sedhela babagan implementasine, sajrone proses identifikasi / wewenang, ASA nampa saka LDAP sakumpulan klompok sing cocog karo pangguna tartamtu lan "nglumpukake" saka sawetara ACL lokal (saben cocog karo klompok) ACL dinamis kanthi kabeh akses sing dibutuhake. , sing kebak cocog karo kepinginan kita.

Nanging iki mung kanggo sambungan VPN. Kanggo nggawe kahanan sing padha kanggo karyawan sing disambungake liwat VPN lan sing ana ing kantor, langkah ing ngisor iki ditindakake.

Nalika nyambung saka kantor, pangguna nggunakake protokol 802.1x rampung ing LAN tamu (kanggo tamu) utawa LAN sambungan (kanggo karyawan perusahaan). Salajengipun, kanggo entuk akses tartamtu (contone, kanggo proyek ing pusat data), karyawan kudu nyambung liwat VPN.

Kanggo nyambung saka kantor lan saka omah, macem-macem klompok trowongan digunakake ing ASA. Iki perlu supaya kanggo sing nyambung saka kantor, lalu lintas menyang sumber daya sing dienggo bareng (digunakake dening kabeh karyawan, kayata mail, server file, sistem tiket, dns, ...) ora liwat ASA, nanging liwat jaringan lokal. . Mangkono, kita ora mbukak ASA kanthi lalu lintas sing ora perlu, kalebu lalu lintas intensitas dhuwur.

Mangkono, masalah wis ditanggulangi.
We entuk

  • pesawat padha akses kanggo loro sambungan saka kantor lan sambungan remot
  • ora ana degradasi layanan nalika kerja saka kantor sing ana gandhengane karo transmisi lalu lintas intensitas dhuwur liwat ASA

Apa kaluwihan liyane saka pendekatan iki?
Ing administrasi akses. Akses bisa gampang diganti ing sak panggonan.
Contone, yen karyawan ninggalake perusahaan, sampeyan mung mbusak dheweke saka LDAP, lan kanthi otomatis ilang kabeh akses.

Host mriksa

Kanthi kamungkinan sambungan remot, kita duwe risiko ngidini ora mung karyawan perusahaan menyang jaringan, nanging uga kabeh piranti lunak angkoro sing ana ing komputer (umpamane, omah), lan liya-liyane, liwat piranti lunak iki kita bisa uga nyedhiyakake akses menyang jaringan kita menyang penyerang nggunakake host iki minangka proxy.

Iku ndadekake pangertèn kanggo host sing disambungake saka jarak adoh kanggo ngetrapake syarat keamanan sing padha karo host ing kantor.

Iki uga nganggep versi "bener" saka OS, anti-virus, anti-spyware, lan piranti lunak firewall lan nganyari. Biasane, kemampuan iki ana ing gateway VPN (kanggo ASA deleng, contone, kene).

Sampeyan uga wicaksana kanggo ngetrapake analisis lalu lintas lan teknik pamblokiran sing padha (pirsani "Perlindungan tingkat dhuwur") sing kabijakan keamanan sampeyan ditrapake kanggo lalu lintas kantor.

Iku cukup kanggo nganggep yen jaringan kantor sampeyan ora mung winates ing bangunan kantor lan host ing njero.

Conto:

Teknik sing apik yaiku nyedhiyakake saben karyawan sing mbutuhake akses jarak jauh karo laptop sing apik lan trep lan mbutuhake dheweke bisa kerja, ing kantor lan saka omah, mung saka iku.

Ora mung nambah keamanan jaringan, nanging uga trep lan biasane dideleng kanthi apik dening karyawan (yen pancen apik banget, laptop sing ramah pangguna).

Babagan rasa proporsi lan keseimbangan

Sejatine, iki minangka obrolan babagan puncak katelu saka segitiga kita - babagan rega.
Ayo goleki conto hipotetis.

Conto:

Sampeyan duwe kantor kanggo 200 wong. Sampeyan mutusake supaya trep lan aman sabisa.

Mulane, sampeyan mutusake kanggo ngliwati kabeh lalu lintas liwat firewall lan kanthi mangkono kanggo kabeh subnet kantor firewall minangka gateway standar. Saliyane piranti lunak keamanan sing diinstal ing saben host pungkasan (anti-virus, anti-spyware, lan piranti lunak firewall), sampeyan uga mutusake kanggo ngetrapake kabeh cara perlindungan sing bisa ditindakake ing firewall.

Kanggo mesthekake kacepetan sambungan dhuwur (kabeh kanggo penak), sampeyan milih ngalih karo 10 bandar akses Gigabit minangka ngalih akses, lan firewall NGFW kinerja dhuwur minangka firewall, Contone, Palo Alto 7K seri (karo 40 bandar Gigabit), alamiah karo kabeh lisensi. klebu lan, alamiah, pasangan Kasedhiyan Dhuwur.

Uga, mesthi, kanggo nggarap baris peralatan iki, kita kudu paling ora sawetara engineers keamanan Highly qualified.

Sabanjure, sampeyan mutusake kanggo menehi saben karyawan laptop sing apik.

Total, kira-kira 10 yuta dolar kanggo implementasine, atusan ewu dolar (Aku luwih cedhak karo yuta) kanggo dhukungan taunan lan gaji kanggo insinyur.

Kantor, 200 wong ...
Nyaman? Aku kira iku ya.

Sampeyan teka karo proposal iki kanggo manajemen sampeyan ...
Mbok menawa ana sawetara perusahaan ing donya sing iki minangka solusi sing bisa ditampa lan bener. Yen sampeyan karyawan perusahaan iki, Sugeng, nanging ing akèh-akèhé kasus, Aku yakin sing kawruh ora bakal ngormati dening Manajemen.

Apa conto iki exaggerated? Bab sabanjure bakal mangsuli pitakon iki.

Yen ing jaringan sampeyan ora bisa ndeleng apa wae ing ndhuwur, mula iki norma.
Kanggo saben kasus tartamtu, sampeyan kudu nemokake kompromi sing cukup dhewe antarane penak, rega lan safety. Asring sampeyan ora mbutuhake NGFW ing kantor sampeyan, lan proteksi L7 ing firewall ora dibutuhake. Cukup kanggo nyedhiyakake tingkat visibilitas lan tandha sing apik, lan iki bisa ditindakake kanthi nggunakake produk open source, umpamane. Ya, reaksi sampeyan marang serangan ora langsung, nanging sing utama yaiku sampeyan bakal weruh, lan kanthi proses sing tepat ing departemen sampeyan, sampeyan bakal bisa netralake kanthi cepet.

Lan mugi kula ngelingake sampeyan, miturut konsep seri artikel iki, sampeyan ora ngrancang jaringan, sampeyan mung nyoba nambah apa sing sampeyan entuk.

Analisis SAFE arsitektur kantor

Pay manungsa waé menyang kothak abang iki karo aku diparengake panggonan ing diagram saka Panduan Arsitektur Kampus Aman SAFEingkang badhe kula rembag ing ngriki.

Cara ngontrol infrastruktur jaringan sampeyan. Bab telu. Keamanan jaringan. Bagian telu

Iki minangka salah sawijining papan utama arsitektur lan salah sawijining kahanan sing ora mesthi sing paling penting.

Cathetan:

Aku wis tau nyiyapake utawa makarya karo FirePower (saka baris firewall Cisco - mung ASA), aku bakal nambani iku kaya firewall liyane, kaya Juniper SRX utawa Palo Alto, assuming wis Kapabilitas padha.

Saka desain biasa, aku mung ndeleng 4 pilihan kanggo nggunakake firewall kanthi sambungan iki:

  • gateway standar kanggo saben subnet saklar, nalika firewall ing mode transparent (yaiku, kabeh lalu lintas liwat, nanging ora mbentuk L3 hop)
  • gateway standar kanggo saben subnet yaiku sub-antarmuka firewall (utawa antarmuka SVI), saklar kasebut nduweni peran L2.
  • VRF beda digunakake ing ngalih, lan lalu lintas antarane VRF dadi liwat firewall, lalu lintas ing siji VRF kontrol dening ACL ing ngalih.
  • kabeh lalu lintas dicerminake menyang firewall kanggo analisis lan ngawasi; lalu lintas ora ngliwati

Pangandikan 1

Kombinasi opsi kasebut bisa, nanging kanggo kesederhanaan kita ora bakal nimbang.

Cathetan2

Ana uga kamungkinan nggunakake PBR (arsitektur chain layanan), nanging saiki iki, sanajan solusi ayu ing mratelakake panemume, rodo endah, supaya aku ora considering ing kene.

Saka gambaran saka mili ing document, kita waca sing lalu lintas isih liwat firewall, sing, miturut rancangan Cisco, pilihan papat wis ngilangi.

Ayo katon ing rong pilihan pisanan.
Kanthi opsi kasebut, kabeh lalu lintas ngliwati firewall.

Saiki kita katon lembar data, katon Cisco GPL lan kita weruh yen kita pengin bandwidth total kanggo kantor kita paling sethithik 10 - 20 gigabits, banjur kita kudu tuku versi 4K.

Cathetan:

Nalika aku pirembagan bab total bandwidth, Maksudku lalu lintas antarane subnets (lan ora ing siji vilana).

Saka GPL, kita bisa ndeleng manawa kanggo HA Bundle karo Threat Defense, rega gumantung saka model (4110 - 4150) beda-beda saka ~ 0,5 - 2,5 yuta dolar.

Yaiku, desain kita wiwit meh padha karo conto sadurunge.

Iki tegese desain iki salah?
Ora, kuwi ora ateges. Cisco menehi pangayoman paling bisa adhedhasar baris produk wis. Nanging iki ora ateges sampeyan kudu nindakake.

Ing asas, iki minangka pitakonan umum sing muncul nalika ngrancang kantor utawa pusat data, lan mung tegese kompromi kudu digoleki.

Contone, aja nganti kabeh lalu lintas ngliwati firewall, yen opsi 3 katon apik kanggo aku, utawa (ndeleng bagean sadurunge) bisa uga sampeyan ora butuh Pertahanan Ancaman utawa ora butuh firewall. babagan jaringan, lan sampeyan mung kudu matesi dhewe kanggo ngawasi pasif nggunakake mbayar (ora larang) utawa solusi mbukak sumber, utawa sampeyan kudu firewall, nanging saka vendor beda.

Biasane ana kahanan sing durung mesthi iki lan ora ana jawaban sing jelas babagan keputusan sing paling apik kanggo sampeyan.
Iki minangka kerumitan lan kaendahan tugas iki.

Source: www.habr.com

Add a comment