ProHoster > Blog > Rêveberî > Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Beşê yekê

Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Beşê yekê

Ev gotara sêyem e di rêze gotaran de "Çawa Kontrola Binesaziya Tora Xwe Bigire." Naveroka hemî gotarên rêzefîlmê û girêdan têne dîtin vir.

Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Beşê yekê

Ti wateya axaftinê li ser ji holê rakirina xetereyên ewlehiyê bi tevahî tune. Di prensîbê de, em nikarin wan sifir bikin. Her weha divê em fêhm bikin ku her ku em hewl didin ku torê bêtir û bêtir ewledar bikin, çareseriyên me her ku diçe bihatir dibin. Pêdivî ye ku hûn di navbera lêçûn, tevlihevî û ewlehiyê de ku ji bo tora we watedar e, danûstendinek bibînin.

Bê guman, sêwirana ewlehiyê bi organîkî di nav mîmariya giştî de yekgirtî ye û çareseriyên ewlehiyê yên ku têne bikar anîn bandorê li pîvan, pêbawerî, rêvebirin, ... ya binesaziya torê dike, ku divê ev jî were hesibandin.

Lê ez bi bîr tînim ku niha em behsa çêkirina torê nakin. Li gorî me şert û mercên destpêkê me berê dîzayn hilbijartiye, alav hilbijartiye û binesaziya xwe çêkiriye û di vê qonaxê de ger gengaz be divê em di çarçeweya helbijartina berê de “bijîn” û çareseriyan peyda bikin.

Erka me niha ew e ku em xetereyên bi ewlehiyê re di asta torê de nas bikin û wan di astek maqûl de kêm bikin.

Kontrola ewlehiya torê

Ger rêxistina we pêvajoyên ISO 27k bicîh aniye, wê hingê divê vekolînên ewlehiyê û guhertinên torê bi rengek bêkêmasî di nav pêvajoyên giştî yên vê nêzîkbûnê de cih bigirin. Lê ev standard hîn jî ne li ser çareseriyên taybetî ne, ne di derbarê veavakirinê de, ne di derbarê sêwiranê de ne... Ne şêwirdariyek zelal, ne standardên ku bi hûrgulî diyar dikin ku tora we çawa be, ev tevlihevî û bedewiya vê peywirê ye.

Ez ê çend vekolînên ewlehiya torê yên gengaz ronî bikim:

  • kontrolkirina veavakirina amûrê (hişkkirin)
  • kontrola sêwirana ewlehiyê
  • vedîtina gihîştinê
  • kontrolkirina pêvajoyê

Kontrola veavakirina amûrê (hişkkirin)

Wusa dixuye ku di pir rewşan de ev xala destpêkê ya çêtirîn e ji bo kontrolkirin û başkirina ewlehiya tora we. IMHO, ev xwenîşandanek baş a zagona Pareto ye (% 20 ji hewldanê 80% ji encamê derdixe, û% 80% ya mayî tenê 20% ji encamê derdixe).

Xeta jêrîn ev e ku em bi gelemperî pêşniyarên ji firoşkaran di derheqê "pratîkên çêtirîn" ên ewlehiyê de dema mîhengkirina amûran hene. Ji vê re "hişk" tê gotin.

Her weha hûn dikarin pir caran li ser bingeha van pêşnîyaran pirsnameyekê bibînin (an bi xwe yek biafirînin), ku dê ji we re bibe alîkar ku hûn diyar bikin ka konfigurasyona alavên we çiqasî bi van "pratîkên çêtirîn" re têkildar e û, li gorî encamê, di tora xwe de guhertinan bikin. . Ev ê bihêle ku hûn xetereyên ewlehiyê pir bi hêsanî kêm bikin, hema hema bêyî lêçûn.

Çend mînak ji bo hin pergalên xebitandinê yên Cisco.

Cisco IOS Configuration Hardening
Cisco IOS-XR Configuration Hardening
Cisco NX-OS Configuration Hardening
Lîsteya Kontrolkirina Ewlekariya Bingehîn a Cisco

Li ser bingeha van belgeyan, navnîşek hewcedariyên mîhengê ji bo her celeb amûr dikare were afirandin. Mînakî, ji bo Cisco N7K VDC ev hewcedarî dibe ku wusa xuya bikin wiha.

Bi vî rengî, pelên mîhengê dikarin ji bo cûrbecûr amûrên çalak ên di binesaziya tora we de werin afirandin. Dûv re, bi destan an bi karanîna otomasyonê, hûn dikarin van pelên vesazkirinê "barkirin". Meriv çawa vê pêvajoyê bixweber dike dê di rêzek gotarên din ên li ser orkestrasyon û otomasyonê de bi berfirehî were nîqaş kirin.

Kontrola sêwirana ewlehiyê

Bi gelemperî, torgilokek pargîdanî beşên jêrîn bi rengek an rengek din vedihewîne:

  • DC (Karûbarên gelemperî DMZ û navenda daneya Intranet)
  • Înternetê
  • VPN ji dûr ve
  • qiraxa WAN
  • Liq
  • Kampus (Ofîs)
  • Navik

Sernav jê hatine girtin Cisco SAFE model, lê ne hewce ye, bê guman, ku bi van navan û bi vê modelê ve were girêdan. Dîsa jî, ez dixwazim li ser esasê biaxivim û nekevim nava formalîteyan.

Ji bo her yek ji van beşan, hewcedariyên ewlehiyê, xetere û, li gorî vê, çareserî dê cûda bin.

Ka em ji bo pirsgirêkên ku hûn ji hêla sêwirana ewlehiyê ve pê re rû bi rû bimînin li her yek ji wan cuda binihêrin. Bê guman, ez dîsa dubare dikim ku bi tu awayî ev gotar bi tevahî xuya nake, ku ne hêsan e (heke ne mumkin) di vê mijara bi rastî kûr û piralî de bigihîje, lê ew ezmûna min a kesane nîşan dide.

Çareserek bêkêmasî tune (qet nebe hîn). Her tim lihevkirinek e. Lê girîng e ku biryara karanîna yek an nêzîkatiyek din bi hişmendî were girtin, bi têgihîştina hem erênî û hem jî neyînîyên wê.

Navendiya Data

Ji hêla ewlehiyê ve beşa herî krîtîk.
Û, wekî her car, li vir jî çareseriyek gerdûnî tune. Ew hemî bi giranî li ser hewcedariyên torê ve girêdayî ye.

Firewall pêdivî ye an na?

Wusa dixuye ku bersiv eşkere ye, lê her tişt bi qasî ku xuya dike ne zelal e. Û hilbijartina we dikare ne tenê bandor bike bihayê.

1 Derengmayîn.

Ger derengiya kêm di navbera hin beşên torê de pêdivîyek bingehîn e, ku, mînakî, di rewşa danûstendinê de rast e, wê hingê em ê nikaribin dîwarên agir di navbera van beşan de bikar bînin. Zehmet e ku meriv lêkolînên li ser derengiya di dîwarên agir de bibîne, lê çend modelên guhêrbar dikarin derengiya kêmtir ji 1 mksec an li ser fermana XNUMX mksec peyda bikin, ji ber vê yekê ez difikirim ku ger mîkro çirkeyan ji we re girîng in, wê hingê dîwarên agir ne ji we re ne.

2 Performansa

Rêjeya guhêzbarên L3 yên jorîn bi gelemperî rêzek mezinahiyê ji hilbera dîwarên agir ên herî bihêztir e. Ji ber vê yekê, di bûyera seyrûsefera zirav de, hûn ê bi îhtîmalek mezin jî destûr bidin ku ev seyrûsefer ji dîwarên agir derbas bibe.

3 Ewlehiyê

Firewall, nemaze NGFW-ya nûjen (Nifşa Pêşe FW) amûrên tevlihev in. Ew ji veguherînên L3 / L2 pir tevlihevtir in. Ew hejmareke mezin karûbar û vebijarkên mîhengê peyda dikin, ji ber vê yekê ne ecêb e ku pêbaweriya wan pir kêmtir e. Ger domdariya karûbarê ji torê re krîtîk e, wê hingê dibe ku hûn hilbijêrin ka dê çi bibe sedema peydabûna çêtir - ewlehiya bi dîwarê agir an sadebûna torgilokek ku li ser guhêzbaran (an cûrbecûr qumaşê) hatî çêkirin bi karanîna ACL-yên birêkûpêk.

Di rewşên mînakên jorîn de, bi îhtîmaleke mezin (wek asayî) hûn ê neçar bin ku lihevkirinek bibînin. Li çareseriyên jêrîn binêrin:

  • heke hûn biryar didin ku dîwarên agir di hundurê navenda daneyê de bikar neynin, wê hingê hûn hewce ne ku bifikirin ka meriv çawa bi qasî ku gengaz gihîştina li dora perimeterê sînordar bike. Mînakî, hûn dikarin tenê benderên pêwîst ji Înternetê (ji bo seyrûsefera xerîdar) û gihandina îdarî ya navenda daneyê tenê ji mêvandarên jump vekin. Li ser hosteyên jump, hemî kontrolên pêwîst pêk bînin (rastkirin / destûr, antivirus, têketin, ...)
  • hûn dikarin dabeşek mentiqî ya tora navenda daneyê li beşan bikar bînin, mîna pilana ku di PSEFABRIC de hatî diyar kirin. mînak p002. Di vê rewşê de, rêveçûn divê bi vî rengî were mîheng kirin ku seyrûsefera hesas a bi derengî an zirav "di hundurê" yek beşê de derbas bibe (di doza p002, VRF) de û di dîwarê agir de derbas nebe. Trafîka di navbera beşên cûda de dê di nav dîwarê agir de berdewam bike. Her weha hûn dikarin di navbera VRF-an de rijandina rêyê bikar bînin da ku ji beralîkirina seyrûseferê di nav dîwarê agir de nehêlin
  • Her weha hûn dikarin di moda zelal û tenê ji bo wan VLAN-ên ku ev faktor (dereng / performans) ne girîng in, dîwarek agir bikar bînin. Lê hûn hewce ne ku bi baldarî sînorkirinên ku bi karanîna vê modê re ji bo her firoşkarê ve girêdayî ne bixwînin
  • dibe ku hûn bixwazin ku mîmariya zincîra karûbarê bikar bînin. Ev ê dihêle ku tenê seyrûsefera pêwîst di dîwarê agir re derbas bibe. Di teoriyê de xweş xuya dike, lê min tu carî ev çareserî di hilberînê de nedîtiye. Me nêzî 5 sal berê zincîra karûbarê ji bo Cisco ACI / Juniper SRX / F3 LTM ceriband, lê wê demê ev çareserî ji me re "xemgîn" xuya bû.

Asta parastinê

Naha hûn hewce ne ku bersiva vê pirsê bidin ka hûn dixwazin kîjan amûran bikar bînin da ku seyrûseferê fîlter bikin. Li vir hin taybetmendiyên ku bi gelemperî di NGFW de hene hene (mînak, vir):

  • firewallkirina dewletî (default)
  • firewalling sepanê
  • pêşîlêgirtina tehdîdê (antîvîrûs, antî-spyware, û lawazbûn)
  • Parzûnkirina URL
  • Parzûnkirina daneyan (fîlterkirina naverokê)
  • astengkirina pelan (cureyên pelan asteng kirin)
  • parastina dos

Û her tişt jî ne zelal e. Ew xuya dike ku asta parastinê bilindtir e, ew çêtir e. Lê hûn jî hewce ne ku vê yekê bifikirin

  • Zêdetir fonksiyonên dîwarê agir ên jorîn ên ku hûn bikar tînin, ew ê bi xwezayî bihatir be (lîsans, modulên zêde)
  • bikaranîna hin algorîtmayan dikare bi girîngî berbi firewall kêm bike û dereng jî zêde bike, mînakî binêre vir
  • Mîna her çareseriyek tevlihev, karanîna rêbazên parastinê yên tevlihev dikare pêbaweriya çareseriya we kêm bike, mînakî, dema ku agirê serîlêdanê bikar tîne, ez rastî astengkirina hin sepanên xebatê yên pir standard (dns, smb) hatim.

Mîna her gav, hûn hewce ne ku ji bo tora xwe çareseriya çêtirîn bibînin.

Ne mumkun e ku meriv bi teqez bersiva vê pirsê bide ka kîjan fonksiyonên parastinê hewce ne. Ya yekem, ji ber ku ew bê guman bi daneyên ku hûn dişînin an hilanîn û hewl didin ku biparêzin ve girêdayî ye. Ya duyemîn, di rastiyê de, bi gelemperî bijartina amûrên ewlehiyê pirsgirêkek bawerî û pêbaweriya firoşkar e. Hûn algorîtmayan nizanin, hûn nizanin ka ew çiqas bandorker in, û hûn nekarin wan bi tevahî ceribînin.

Ji ber vê yekê, di beşên krîtîk de, çareseriyek baş dibe ku karanîna pêşniyarên ji pargîdaniyên cihêreng be. Mînakî, hûn dikarin antivirus li ser dîwarê agir çalak bikin, lê di heman demê de parastina antivirus (ji hilberînerek din) li ser mêvandaran li herêmî bikar bînin.

Segmentation

Em li ser dabeşkirina mentiqî ya tora navenda daneyê diaxivin. Mînakî, dabeşkirina nav VLAN û subnetan jî dabeşkirina mentiqî ye, lê ji ber eşkerebûna wê em ê wê nehesibînin. Dabeşkirina balkêş ku saziyên wekî qadên ewlehiyê yên FW, VRF (û analogên wan ên têkildarî bi firoşkarên cihêreng), amûrên mentiqî (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...) digire ber çavan.

Nimûneyek ji dabeşkirina mentiqî ya weha û sêwirana navenda daneyê ya niha tê xwestin tê dayîn p002 ya projeya PSEFABRIC.

Piştî ku hûn beşên mantiqî yên tora xwe diyar bikin, wê hingê hûn dikarin rave bikin ka seyrûsefera di navbera beşên cihêreng de çawa dimeşe, li ser kîjan cîhazan dê fîlterkirin û bi çi wateyê were kirin.

Ger tora we ne xwedan dabeşek mentiqî ya zelal be û qaîdeyên sepandina polîtîkayên ewlehiyê ji bo herikîna daneya cihêreng ne fermî ne, ev tê vê wateyê ku gava hûn gihîştina vê an wê vekin, hûn neçar in ku vê pirsgirêkê çareser bikin, û bi îhtimalek mezin hûn dê her carê cuda çareser bike.

Bi gelemperî dabeşkirin tenê li ser deverên ewlehiyê yên FW-ê ye. Hingê hûn hewce ne ku bersiva pirsên jêrîn bidin:

  • ji we re kîjan herêmên ewlehiyê hewce ne
  • hûn dixwazin li her yek ji van herêman çi astê parastinê bicîh bînin
  • dê seyrûsefera nav-zonê ji hêla xwerû ve were destûr kirin?
  • eger na, dê çi polîtîkayên fîlterkirina trafîkê di nav her deverê de were sepandin
  • Çi polîtîkayên fîlterkirina trafîkê dê ji bo her cotek deveran bêne sepandin (çavkanî / mebest)

TCAM

Pirsgirêkek hevpar ne bes e TCAM (Bîra Naverokê ya Navnîşankirî ya Tarnary), hem ji bo rêvekirinê û hem jî ji bo gihîştinan. IMHO, ev yek ji wan mijarên herî girîng e dema ku amûran hilbijêrin, ji ber vê yekê hûn hewce ne ku vê pirsgirêkê bi lênihêrîna guncan derman bikin.

Mînak 1. Tabloya Pêşkêşkirina TCAM.

em bifikirin Palo Alto 7k firewall
Em dibînin ku mezinahiya tabloya şandina IPv4 * = 32K
Wekî din, ev hejmara rêgezan ji bo hemî VSYS hevpar e.

Ka em bifikirin ku li gorî sêwirana xwe hûn biryar didin ku 4 VSYS bikar bînin.
Her yek ji van VSYS bi BGP-ê ve bi du MPLS PE-yên ewr ên ku hûn wekî BB bikar tînin ve girêdayî ye. Bi vî rengî, 4 VSYS hemî rêyên taybetî bi hevûdu re diguhezînin û tabloyek şandinê bi hema hema heman rêgezan (lê NH-yên cûda) hene. Bo her VSYS xwedan 2 danişînên BGP (bi heman mîhengan) ye, dûv re her rêyek ku bi MPLS ve hatî wergirtin 2 NH û, li gorî vê yekê, 2 têketinên FIB di Tabloya Pêşkêşkirinê de hene. Ger em texmîn bikin ku ev yek tenê dîwarê agir e di navenda daneyê de û pêdivî ye ku ew hemî rêgezan bizanibe, wê hingê ev tê vê wateyê ku hejmara giştî ya rêyên di navenda daneya me de nikare ji 32K/(4 * 2) = 4K zêdetir be.

Naha, heke em texmîn bikin ku me 2 navendên daneyê (bi heman sêwiranê) hene, û em dixwazin VLAN-yên ku di navbera navendên daneyê de "dirêjkirî" bikar bînin (mînak, ji bo vMotion), wê hingê ji bo çareserkirina pirsgirêka rêvekirinê, divê em rêyên mêvandar bikar bînin. . Lê ev tê vê wateyê ku ji bo 2 navendên daneyê em ê ji 4096 mêvandarên mimkun zêdetir nebin û, bê guman, dibe ku ev ne bes be.

Mînak 2. ACL TCAM.

Ger hûn plan dikin ku seyrûseferê li ser guheztinên L3 (an çareseriyên din ên ku guhêzbarên L3 bikar tînin, mînakî Cisco ACI) fîlter bikin, wê hingê dema ku amûran hilbijêrin divê hûn bala xwe bidin TCAM ACL.

Bifikirin ku hûn dixwazin gihîştina li ser navgînên SVI yên Cisco Catalyst 4500 kontrol bikin. Dûv re, wekî ku ji tê dîtin vê gotarê, ji bo kontrolkirina seyrûsefera derketinê (û her weha tê) li ser navberan, hûn dikarin tenê 4096 xetên TCAM bikar bînin. Ku dema ku TCAM3 bikar bînin dê 4000 hezar ACE (xetên ACL) bide we.

Ger hûn bi pirsgirêka kêmbûna TCAM-ê re rû bi rû ne, wê hingê, berî her tiştî, bê guman, hûn hewce ne ku îhtîmala xweşbîniyê bifikirin. Ji ber vê yekê, di bûyera pirsgirêkek mezinahiya Tabloya Pêşkêşkirinê de, hûn hewce ne ku hûn îhtîmala komkirina rêçikan bihesibînin. Di doza pirsgirêkek mezinahiya TCAM-ê ya ji bo gihîştinan, gihîştinên kontrolê, tomarên kevnar û li hevûdu rakin, û dibe ku prosedûra vekirina gihîştinan ji nû ve bişopînin (dê di beşa li ser gihîştinên lênêrînê de bi hûrgulî were nîqaş kirin).

Hilbijartina Bilind

Pirs ev e: gelo ez HA-yê ji bo dîwarên agir bikar bînim an du qutiyên serbixwe "bi paralel" saz bikim û, heke yek ji wan têk neçe, seyrûsefera duyemîn bi rê ve bibe?

Wusa dixuye ku bersiv eşkere ye - HA bikar bînin. Sedema ku hîna jî ev pirs derdikeve holê ev e ku, mixabin, di pratîkê de rêjeyên teorîk û reklamî 99 û çend dehsalên gihîştinê ji qasê pir dûr in. HA bi mentiqî tiştekî pir tevlihev e, û li ser alavên cihêreng, û bi firoşkarên cihêreng (tu îstîsna tune bûn), me pirsgirêk û xeletî û rawestgehên karûbarê girtin.

Ger hûn HA-yê bikar bînin, hûn ê xwedî fersendek bin ku hûn girêkên kesane biqewirînin, bêyî rawestandina karûbarê di navbera wan de biguhezînin, ku ev girîng e, mînakî, dema nûvekirinan çêbikin, lê di heman demê de îhtîmalek we ji sifirê dûr heye ku her du girêk dê di heman demê de têk biçe, û di heman demê de ew ê nûvekirinek paşîn bi qasî ku firoşkar soz dide bi rêkûpêk neçe (heke we derfet hebe ku hûn nûvekirinê li ser alavên laboratîfê biceribînin ev pirsgirêk dikare were dûr kirin).

Ger hûn HA bikar neynin, wê hingê ji hêla têkçûna ducarî ve xetereyên we pir kêmtir in (ji ber ku we 2 dîwarên agir ên serbixwe hene), lê ji ber ku ... danişîn nayên hevdem kirin, wê hingê her gava ku hûn di navbera van dîwaran de biguhezînin hûn ê seyrûseferê winda bikin. Bê guman, hûn dikarin fîşekek bêdewlet bikar bînin, lê wê hingê xala karanîna dîwarek bi gelemperî winda dibe.

Ji ber vê yekê, heke di encama vekolînê de we dîwarên agir ên tenê keşif kir, û hûn li ser zêdekirina pêbaweriya tora xwe difikirin, wê hingê HA, bê guman, yek ji çareseriyên pêşniyarkirî ye, lê divê hûn dezawantajên têkildar jî bihesibînin. bi vê nêzîkatiyê û, belkî, bi taybetî ji bo tora we, çareseriyek din dê maqûltir be.

Managability

Di prensîbê de, HA jî di derbarê kontrolkirinê de ye. Li şûna ku hûn 2 qutiyan ji hev veqetînin û bi pirsgirêka hevdeng girtina veavakirinan re mijûl bibin, hûn wan mîna ku yek amûrek we hebe wan îdare dikin.

Lê dibe ku we gelek navendên daneyê û gelek dîwarên agir hene, wê hingê ev pirs di astek nû de derdikeve. Û pirs ne tenê li ser veavakirinê ye, lê di heman demê de jî

  • veavakirina hilanînê
  • updates
  • upgrades
  • çavdêrîkirina
  • logging

Û ev hemî dikare ji hêla pergalên rêveberiya navendî ve were çareser kirin.

Ji ber vê yekê, mînakî, heke hûn dîwarên Palo Alto bikar tînin, wê hingê Panorama çareseriyek wisa ye.

Pêdivî bimînin.

Source: www.habr.com

Add a comment