Бул макала "Сиздин тармактык инфраструктураңызды кантип көзөмөлдөө керек" сериясынын бешинчиси. Сериядагы бардык макалалардын мазмунун жана шилтемелерди тапса болот .
Бул бөлүк Кампус (Офис) жана Алыстан кирүү VPN сегменттерине арналат.
Офис тармагынын дизайны оңой сезилиши мүмкүн.
Чынында эле, биз L2 / L3 өчүргүчтөрүн алып, аларды бири-бирине туташтырабыз. Андан кийин, биз виландардын жана демейки шлюздардын негизги жөндөөлөрүн жүргүзөбүз, жөнөкөй маршрутту орнотобуз, WiFi контроллерлорун, кирүү чекиттерин туташтырабыз, алыстан кирүү үчүн ASA орнотуп жана конфигурациялайбыз, бардыгы иштегенине кубанычтабыз. Негизинен, мен буга чейин мурунку биринде жазгандай Бул циклдин ичинде телекоммуникация курсунун эки семестрине катышкан (жана үйрөнгөн) дээрлик ар бир студент офис тармагын "кандайдыр бир түрдө иштей тургандай кылып" долбоорлоп, конфигурациялай алат.
Бирок канчалык көп үйрөнсөңүз, бул милдет ошончолук жөнөкөй көрүнбөй баштайт. Жеке мен үчүн бул тема, кеңсе тармагынын дизайн темасы, такыр эле жөнөкөй көрүнбөйт жана бул макалада эмне үчүн түшүндүрүүгө аракет кылам.
Кыскасы, эске ала турган бир нече факторлор бар. Көбүнчө бул факторлор бири-бири менен карама-каршы келет жана акылга сыярлык компромисс издеш керек.
Бул белгисиздик негизги кыйынчылык болуп саналат. Ошентип, коопсуздук жөнүндө айта турган болсок, бизде үч чокусу бар үч бурчтук бар: коопсуздук, кызматкерлер үчүн ыңгайлуулук, чечимдин баасы.
Жана ар бир жолу бул үчөөнүн ортосунда компромисс издөөгө туура келет.
архитектура
Мурунку макалалардагыдай бул эки сегмент үчүн архитектуранын мисалы катары мен сунуштайм модели: , .
Бул бир аз эскирген документтер. Мен аларды бул жерде сунуштайм, анткени фундаменталдык схемалар жана ыкмалар өзгөргөн жок, бирок ошол эле учурда мага презентация мурункуга караганда көбүрөөк жагат. .
Сизди Cisco чечимдерин колдонууга үндөбөстөн, мен дагы эле бул дизайнды кылдат изилдөө пайдалуу деп ойлойм.
Бул макала, адаттагыдай эле, кандайдыр бир түрдө толук болуп көрүнбөйт, тескерисинче, бул маалыматка кошумча болуп саналат.
Макаланын аягында биз Cisco SAFE кеңсесинин дизайнын бул жерде айтылган түшүнүктөр боюнча талдап чыгабыз.
жалпы негиздери
Кеңсе тармагынын дизайны, албетте, талкууланган жалпы талаптарга жооп бериши керек «Долбоордун сапатын баалоо критерийлери» бөлүмүндө. Биз бул макалада талкуулоого ниеттенген баа жана коопсуздуктан тышкары, долбоорлоодо (же өзгөртүүлөрдү киргизүүдө) дагы үч критерийди эске алышыбыз керек:
- масштабдуулугу
- колдонуунун жөнөкөйлүгү (башкаруу)
- жеткиликтүүлүгү
Эмне үчүн көп нерсе талкууланды Бул кеңсеге да тиешелүү.
Бирок, ошентсе да, офис сегментинин коопсуздук көз карашынан алганда өзгөчөлүктөргө ээ. Бул өзгөчөлүктүн маңызы бул сегмент компаниянын кызматкерлерине (ошондой эле өнөктөштөрүнө жана конокторуна) тармактык кызматтарды көрсөтүү үчүн түзүлгөн жана натыйжада маселенин эң жогорку деңгээлинде биздин алдыбызда эки милдет турат:
- компаниянын ресурстарын кызматкерлерден (коноктордон, өнөктөштөрдөн) жана алар колдонгон программалык камсыздоодон келип чыккан зыяндуу аракеттерден коргоо. Бул тармакка уруксатсыз туташуудан коргоону да камтыйт.
- системаларды жана колдонуучунун маалыматтарын коргоо
Жана бул маселенин бир гана жагы (тактап айтканда, үч бурчтуктун бир чокусу). Экинчи жагынан, колдонуучуга ыңгайлуулугу жана колдонулган чечимдердин баасы.
Келгиле, колдонуучу заманбап кеңсе тармагынан эмнени күтөрүн карап баштайлы.
жайлуулук
Менин оюмча, кеңсе колдонуучусу үчүн "тармактын ыңгайлуулугу" бул жерде:
- кыймылдуулук
- Белгилүү түзмөктөрдүн жана операциялык системалардын толук спектрин колдонуу мүмкүнчүлүгү
- Бардык керектүү компания ресурстарына оңой жетүү
- Интернет-ресурстардын, анын ичинде ар кандай булут кызматтарынын болушу
- Тармактын "тез иштеши"
Мунун баары кызматкерлерге да, конокторго да (же өнөктөштөргө) тиешелүү жана авторизациянын негизинде ар кандай колдонуучулар топтору үчүн жеткиликтүүлүктү айырмалоо компаниянын инженерлеринин милдети.
Келгиле, бул аспектилердин ар бирин бир аз майда-чүйдөсүнө чейин карап көрөлү.
кыймылдуулук
Сөз дүйнөнүн каалаган жеринен (албетте, интернет бар жерде) иштөө жана компаниянын бардык керектүү ресурстарын колдонуу мүмкүнчүлүгү жөнүндө болуп жатат.
Бул толугу менен кеңсеге тиешелүү. Бул сизде офистин каалаган жеринен ишти улантуу мүмкүнчүлүгү болгондо ыңгайлуу, мисалы, кат алуу, корпоративдик мессенжерде баарлашуу, видео чалуу үчүн жеткиликтүү болуу, ... Ошентип, бул сизге, бир жагынан, кээ бир маселелерди чечүү үчүн "жандуу" баарлашуу (мисалы, митингдерге катышуу), жана экинчи жагынан, ар дайым онлайн болуп, кагуусу боюнча манжаңызды кармап туруу жана тез арада өзгөчө маанилүү милдеттерди чечүү. Бул абдан ыңгайлуу жана байланыштын сапатын чындап жакшыртат.
Бул туура WiFi тармагын долбоорлоо менен жетишилет.
пикир
Бул жерде адатта суроо туулат: бир гана WiFi колдонуу жетиштүүбү? Бул кеңседе Ethernet портторун колдонууну токтото аласыз дегенди билдиреби? Эгерде биз жөн гана Ethernet порту менен туташуу үчүн жөндүү серверлер жөнүндө эмес, колдонуучулар жөнүндө болсо, анда жалпысынан жооп: ооба, сиз өзүңүздү WiFi менен гана чектей аласыз. Бирок нюанстар бар.
Өзүнчө мамилени талап кылган маанилүү колдонуучулар топтору бар. Булар, албетте, администраторлор. Негизи, WiFi туташуусу кадимки Ethernet портуна караганда анча ишенимдүү эмес (трафиктин жоголушу боюнча) жана жайыраак. Бул администраторлор үчүн маанилүү болушу мүмкүн. Мындан тышкары, тармактык администраторлор, мисалы, негизинен, диапазондон тышкаркы байланыштар үчүн өздөрүнүн атайын Ethernet тармагына ээ болушу мүмкүн.
Сиздин компанияңызда бул факторлор маанилүү болгон башка топтор/бөлүмдөр болушу мүмкүн.
Дагы бир маанилүү жагдай бар - телефония. Балким, кандайдыр бир себептерден улам сиз Wireless VoIP колдонгуңуз келбейт жана кадимки Ethernet туташуусу менен IP телефондорун колдонгуңуз келет.
Жалпысынан алганда, мен иштеген компаниялар, адатта, WiFi байланышы жана Ethernet портуна ээ болчу.
Мен мобилдүүлүк офис менен эле чектелбестигин каалайм.
Үйдөн (же жеткиликтүү Интернети бар башка жерде) иштөө мүмкүнчүлүгүн камсыз кылуу үчүн VPN туташуусу колдонулат. Ошол эле учурда кызматкерлердин үйдөн иштөө менен алыстан иштөөнүн ортосундагы айырманы сезбегени абзел. Муну кантип уюштуруу керек экенин бир аз кийинчерээк "Бирдиктүү борборлоштурулган аутентификация жана авторизация системасы" бөлүмүндө талкуулайбыз.
пикир
Кыязы, сиз офисте болгон аралыктан иштөө үчүн сапаттуу кызматтарды толук бере албайсыз. Сиздин VPN шлюзуңуз катары Cisco ASA 5520 колдонуп жатасыз деп ойлойлу бул аппарат VPN трафигинин 225 Мбитти гана “сиңирүүгө” жөндөмдүү. Бул, албетте, өткөрүү жөндөмдүүлүгү жагынан VPN аркылуу туташуу кеңседен иштөөдөн абдан айырмаланат. Ошондой эле, кандайдыр бир себептерден улам, сиздин тармактык кызматтарыңыз үчүн кечигүү, жоготуу, життер (мисалы, сиз кеңсенин IP телефониясын колдонгуңуз келсе) олуттуу болсо, сиз офисте жүргөндөй сапатты албайсыз. Ошондуктан, мобилдүүлүк жөнүндө сөз кылып жатып, биз мүмкүн болгон чектөөлөрдү билишибиз керек.
Компаниянын бардык ресурстарына оңой жетүү
Бул милдетти башка техникалык белумдер менен бирдикте чечуу керек.
Идеалдуу жагдай - бул колдонуучу бир гана жолу аутентификациядан өтүшү керек, андан кийин ал бардык керектүү ресурстарга кире алат.
Коопсуздукту жоготпостон жеңил жетүү менен камсыздоо өндүрүмдүүлүктү бир топ жакшыртат жана кесиптештериңиздин стрессин азайтат.
Эскертүү 1
Жеткиликтүүлүк - бул сырсөздү канча жолу киргизишиңиз керек экендигинде гана эмес. Эгер, мисалы, сиздин коопсуздук саясатыңызга ылайык, кеңседен маалымат борборуна туташуу үчүн, сиз алгач VPN шлюзуна туташып, ошол эле учурда кеңсе ресурстарына кирүү мүмкүнчүлүгүн жоготуп алсаңыз, анда бул да абдан , абдан ыңгайсыз.
Эскертүү 2
Кызматтар бар (мисалы, тармактык жабдууларга жетүү), анда бизде адатта өзүбүздүн AAA серверлерибиз бар жана бул учурда биз бир нече жолу аутентификациядан өтүшүбүз керек болгон норма.
Интернет-ресурстардын болушу
Интернет – бул бир гана көңүл ачуу эмес, ошондой эле жумуш үчүн абдан пайдалуу боло турган кызматтардын жыйындысы. Таза психологиялык факторлор да бар. Заманбап адам башка адамдар менен интернет аркылуу көптөгөн виртуалдык жиптер аркылуу байланышат жана менин оюмча, ал бул байланышты иштеп жатканда да сезе берсе эч кандай жаман жери жок.
Убакытты текке кетирүү көз карашынан алганда, эгерде кызматкерде, мисалы, Skype иштеп, керек болсо, 5 мүнөт жакын адамы менен баарлашууга жумшаса, эч кандай жаман жери жок.
Бул Интернет ар дайым жеткиликтүү болушу керек дегенди билдиреби, бул кызматкерлер бардык ресурстарга кире алат жана эч кандай жол менен аларды көзөмөлдөй албайт дегенди билдиреби?
Жок, албетте, муну билдирбейт. Интернеттин ачыктык деңгээли ар кандай компаниялар үчүн ар кандай болушу мүмкүн - толук жабылуудан толук ачыкка чейин. Биз кийинчерээк коопсуздук чаралары боюнча бөлүмдөрдө жол кыймылын көзөмөлдөө жолдорун талкуулайбыз.
тааныш аппараттардын толук спектрин колдонуу мүмкүнчүлүгү
Бул, мисалы, жумушта көнүп калган бардык байланыш каражаттарын колдонууну улантуу мүмкүнчүлүгүнө ээ болгондо ыңгайлуу. Муну техникалык жактан ишке ашырууда эч кандай кыйынчылык жок. Бул үчүн сизге WiFi жана конок Wilan керек.
Эгер сиз көнүп калган операциялык системаны колдонуу мүмкүнчүлүгүңүз болсо, бул дагы жакшы. Бирок, менин байкоом боюнча, бул, адатта, менеджерлерге, администраторлорго жана иштеп чыгуучуларга гана уруксат берилет.
мисал
Сиз, албетте, тыюу салуу жолу менен жүрө аласыз, алыстан кирүүгө тыюу сала аласыз, мобилдик түзүлүштөрдөн кошулууга тыюу сала аласыз, бардыгын статикалык Ethernet туташуулары менен чектей аласыз, Интернетке кирүү мүмкүнчүлүгүн чектей аласыз, текшерүү пунктунда уюлдук телефондорду жана гаджеттерди мажбурлап конфискациялай аласыз... жана бул жол иш жүзүндө коопсуздук талаптары жогорулаган кээ бир уюмдар тарабынан ээрчилет, балким, кээ бир учурларда бул өзүн актоо мүмкүн, бирок... бул бир уюмдагы прогрессти токтотуу аракети сыяктуу көрүнгөнү менен макул болушуңуз керек. Албетте, заманбап технологиялар камсыз кылган мүмкүнчүлүктөрдү коопсуздуктун жетиштүү деңгээли менен айкалыштыргым келет.
Тармактын "тез иштеши"
Маалыматтарды өткөрүү ылдамдыгы техникалык жактан көптөгөн факторлордон турат. Жана сиздин туташуу портунун ылдамдыгы, адатта, эң маанилүү эмес. Тиркеменин жай иштеши ар дайым тармак көйгөйлөрү менен байланыштуу эмес, бирок биз азыр тармактык бөлүгүнө гана кызыгабыз. Жергиликтүү тармактын "басаңдашы" менен эң кеңири таралган көйгөй пакеттин жоголушуна байланыштуу. Бул, адатта, тоскоолдук же L1 (OSI) көйгөйлөр болгондо пайда болот. Кээ бир конструкцияларда (мисалы, сиздин субторлоруңузда демейки шлюз катары брандмауэр болгондо жана ошону менен бардык трафик ал аркылуу өткөндө) аппараттык камсыздоонун иштеши жетишсиз болушу мүмкүн.
Ошондуктан, жабдууларды жана архитектураны тандап жатканда, сиз акыркы порттордун ылдамдыгын, магистралдарды жана жабдуулардын иштешин корреляциялооңуз керек.
мисал
Сиз кирүү катмарынын которгучтары катары 1 гигабит порттору бар которгучтарды колдонуп жатасыз дейли. Алар бири-бирине Etherchannel 2 х 10 гигабит аркылуу туташтырылган. Демейки шлюз катары сиз гигабит порттору бар брандмауэрди колдоносуз, аны L2 кеңсе тармагына туташтыруу үчүн Etherchannelге бириктирилген 2 гигабит портту колдоносуз.
Бул архитектура функционалдык көз караштан алганда абдан ыңгайлуу, анткени... Бардык трафик брандмауэр аркылуу өтөт жана сиз мүмкүндүк алуу саясатын ыңгайлуу башкара аласыз жана трафикти көзөмөлдөө жана мүмкүн болгон чабуулдарды алдын алуу үчүн татаал алгоритмдерди колдоно аласыз (төмөндө караңыз), бирок өткөрүү жөндөмдүүлүгү жана аткаруу жагынан бул дизайн, албетте, мүмкүн болуучу көйгөйлөргө ээ. Ошентип, мисалы, маалыматтарды жүктөөчү 2 хост (1 гигабит порт ылдамдыгы менен) брандмауэрге 2 гигабиттик байланышты толугу менен жүктөй алат жана ошентип, бүткүл кеңсе сегменти үчүн кызматтын начарлашына алып келет.
Биз үч бурчтуктун бир чокусун карадык, эми коопсуздукту кантип камсыз кыла аларыбызды карап көрөлү.
каражаттары
Демек, албетте, адатта биздин каалообуз (же болбосо, биздин жетекчиликтин каалоосу) мүмкүн эмес нерсеге жетишүү, тактап айтканда, максималдуу коопсуздук жана минималдуу чыгым менен максималдуу ыңгайлуулукту камсыз кылуу.
Келгиле, коргоону камсыз кылуу үчүн кандай ыкмалар бар экенин карап көрөлү.
Кеңсе үчүн мен төмөнкүлөрдү белгилейт элем:
- дизайнга нөл ишеним мамилеси
- коргоонун жогорку деңгээли
- тармактын көрүнүшү
- бирдиктүү борборлоштурулган аутентификация жана авторизация системасы
- хост текшерүү
Андан кийин, биз бул аспектилердин ар бирине бир аз майда-чүйдөсүнө чейин токтолобуз.
ZeroTrust
IT дүйнөсү абдан тез өзгөрүүдө. Акыркы 10 жылдын ичинде жаңы технологиялардын жана өнүмдөрдүн пайда болушу коопсуздук концепцияларынын чоң кайра карап чыгуусуна алып келди. Он жыл мурун, коопсуздук көз карашынан алганда, биз тармакты ишенимдүү, dmz жана ишенимсиз аймактарга бөлдүк жана "периметрдик коргоо" деп аталганды колдондук, мында 2 коргонуу линиясы бар: ишенимсиз -> dmz жана dmz -> ишеним. Ошондой эле, коргоо адатта L3/L4 (OSI) баштарына (IP, TCP/UDP порттору, TCP желектери) негизделген кирүү тизмелери менен чектелген. Жогорку деңгээлдерге тиешелүү бардык нерселер, анын ичинде L7, OS жана акыркы хосттордо орнотулган коопсуздук өнүмдөрүнө калтырылган.
Азыр абал кескин өзгөрдү. Заманбап концепция ички системаларды, башкача айтканда, периметрдин ичинде жайгашкандарды ишенимдүү деп кароого мүмкүн болбой калгандыктан келип чыгат, ал эми периметрдин өзү түшүнүгү бүдөмүк болуп калды.
Интернет байланышынан тышкары бизде да бар
- алыстан кирүү VPN колдонуучулары
- ар кандай жеке гаджеттер, алып ноутбуктар, кеңсе WiFi аркылуу туташкан
- башка (филиал) кеңселери
- булут инфраструктурасы менен интеграция
Zero Trust ыкмасы иш жүзүндө кандай көрүнөт?
Идеалында, талап кылынган трафикке гана уруксат берилиши керек жана эгер идеал жөнүндө сөз болсо, анда башкаруу L3/L4 деңгээлинде гана эмес, колдонмо деңгээлинде болушу керек.
Эгер, мисалы, сизде бардык трафикти брандмауэр аркылуу өткөрүү мүмкүнчүлүгү бар болсо, анда идеалга жакындаганга аракет кылсаңыз болот. Бирок бул ыкма сиздин тармагыңыздын жалпы өткөрүү жөндөмдүүлүгүн бир топ кыскарта алат, андан тышкары, тиркеме боюнча чыпкалоо дайыма эле жакшы иштей бербейт.
Маршрутизатордо же L3 которуштурууда трафикти башкарууда (стандарттык ACLлерди колдонуу) сиз башка көйгөйлөргө туш болосуз:
- Бул L3/L4 чыпкалоо гана. Колдонуучуга уруксат берилген портторду (мисалы, TCP 80) колдонууга эч нерсе тоскоол боло албайт (http эмес)
- татаал ACL башкаруу (ACL талдоо кыйын)
- Бул толук брандмауэр эмес, демек сиз тескери трафикке ачык уруксат беришиңиз керек
- өчүргүчтөр менен сиз, адатта, TCAM өлчөмү менен абдан чектелүү болосуз, эгер сиз "өзүңүзгө керектүү нерсеге гана уруксат бериңиз" деген ыкманы колдонсоңуз, тез эле көйгөйгө айланат.
пикир
Тескери трафик жөнүндө айтсак, бизде төмөнкү мүмкүнчүлүк бар экенин унутпашыбыз керек (Cisco)
ар кандай белгиленген tcp уруксат
Бирок, бул сызык эки сапка барабар экенин түшүнүү керек:
tcp ар кандай актоого уруксат берүү
tcp каалаган биринчи уруксатБул SYN желеги бар баштапкы TCP сегменти жок болсо да (башкача айтканда, TCP сеансы түзүлө элек болсо), бул ACL ACK желеги бар пакетке уруксат берет, аны чабуулчу маалыматтарды өткөрүп берүү үчүн колдоно алат.
Башкача айтканда, бул линия сиздин роутериңизди же L3 которгучуңузду толук брандмауэрге эч качан айлантпайт.
Жогорку деңгээлдеги коргоо
В Маалымат борборлору бөлүмүндө биз төмөнкү коргоо ыкмаларын карап чыктык.
- штаттык брандмауэр (демейки)
- ddos/dos коргоо
- тиркеменин брандмауэри
- коркунучтун алдын алуу (антивирус, шпионго каршы жана аялуу)
- URL чыпкалоо
- маалыматтарды чыпкалоо (мазмун чыпкалоо)
- файлды бөгөттөө (файл түрлөрүн бөгөттөө)
Кеңседе жагдай окшош, бирок артыкчылыктар бир аз башкачараак. Кеңселердин жеткиликтүүлүгү (жеткиликтүүлүгү) адатта маалымат борборундагыдай маанилүү эмес, ал эми "ички" зыяндуу трафиктин ыктымалдыгы бир кыйла жогору.
Ошондуктан, бул сегмент үчүн төмөнкү коргоо ыкмалары маанилүү болуп саналат:
- тиркеменин брандмауэри
- коркунучтун алдын алуу (антивирус, шпионго каршы жана аялуу)
- URL чыпкалоо
- маалыматтарды чыпкалоо (мазмун чыпкалоо)
- файлды бөгөттөө (файл түрлөрүн бөгөттөө)
Тиркемелердин брандмауэрин кошпогондо, бул коргоо ыкмаларынын бардыгы салттуу түрдө акыркы хосттордо (мисалы, антивирустук программаларды орнотуу аркылуу) жана проксилерди колдонуу менен чечилип келген жана чечилип келгенине карабастан, заманбап NGFWтер да бул кызматтарды көрсөтөт.
Коопсуздук жабдууларын сатуучулар ар тараптуу коргоону түзүүгө умтулушат, ошондуктан жергиликтүү коргоо менен бирге алар хосттор үчүн ар кандай булут технологияларын жана кардар программасын сунушташат (акыркы чекти коргоо/EPP). Ошентип, мисалы, тартып Биз Palo Alto жана Cisco өзүнүн EPP (PA: Traps, Cisco: AMP) бар экенин көрүп жатабыз, бирок лидерлерден алыс.
Бул коргоону (адатта, лицензияларды сатып алуу менен) брандмауэриңизде иштетүү, албетте, милдеттүү эмес (салттуу жол менен кете аласыз), бирок ал кээ бир артыкчылыктарды берет:
- бул учурда коргоо ыкмаларын колдонуунун бирдиктүү пункту бар, ал көрүнүүнү жакшыртат (кийинки теманы караңыз).
- Тармагыңызда корголбогон түзмөк болсо, анда ал дагы эле брандмауэр коргоосунун "кол чатырына" түшөт
- Брандмауэрди коргоону акыркы хост коргоосу менен бирге колдонуу менен биз зыяндуу трафикти аныктоо ыктымалдыгын жогорулатабыз. Мисалы, жергиликтүү хосттордо жана брандмауэрде коркунучтун алдын алууну колдонуу аныктоо ыктымалдыгын жогорулатат (албетте, бул чечимдер ар кандай программалык продуктыларга негизделген шартта)
пикир
Эгер, мисалы, сиз Касперскийди антивирус катары брандмауэрде да, акыркы хосттордо да колдонсоңуз, анда бул, албетте, сиздин тармагыңызга вирус чабуулунун алдын алуу мүмкүнчүлүгүңүздү чоңойтпойт.
Тармактын көрүнүшү
жөнөкөй - реалдуу убакытта да, тарыхый маалыматтарда да тармагыңызда эмне болуп жатканын "көрүңүз".
Мен бул “көз карашты” эки топко бөлөт элем:
Биринчи топ: Сиздин мониторинг системасы адатта эмне менен камсыз кылат.
- жабдууларды жүктөө
- каналдарды жүктөө
- эстутум колдонуу
- диск колдонуу
- маршруттук таблицаны өзгөртүү
- шилтеме абалы
- жабдуулардын (же хосттордун) болушу
- ...
Экинчи топ: коопсуздукка байланыштуу маалымат.
- статистиканын ар кандай түрлөрү (мисалы, тиркеме боюнча, URL трафиги боюнча, маалыматтардын кандай түрлөрү жүктөлгөн, колдонуучунун маалыматтары)
- коопсуздук саясаты менен эмне тоскоол болгон жана эмне үчүн, тактап айтканда
- тыюу салынган колдонуу
- IP/protocol/port/ flags/zones негизинде тыюу салынган
- коркунучтун алдын алуу
- url чыпкалоо
- маалыматтарды чыпкалоо
- файлды бөгөттөө
- ...
- DOS/DDOS чабуулдары боюнча статистика
- аныктоо жана уруксат берүү аракеттери ийгиликсиз болду
- жогоруда аталган коопсуздук саясатын бузуу окуяларынын бардык статистикасы
- ...
Коопсуздук боюнча бул бөлүмдө биз экинчи бөлүгүнө кызыкдарбыз.
Кээ бир заманбап брандмауэрлер (менин Пало Альто тажрыйбамдан) көрүнүүнүн жакшы деңгээлин камсыз кылат. Бирок, албетте, сиз кызыккан трафик бул брандмауэр аркылуу өтүшү керек (бул учурда сизде трафикти бөгөттөө мүмкүнчүлүгүңүз бар) же брандмауэрге чагылдырылган (мониторинг жана талдоо үчүн гана колдонулат) жана сизде бардыгын иштетүү үчүн лицензиялар болушу керек. бул кызматтар.
Албетте, альтернативалык жол бар, тагыраак айтканда, салттуу жол, мисалы,
- Сессиянын статистикасын netflow аркылуу чогултса болот, андан кийин маалыматты талдоо жана маалыматтарды визуалдаштыруу үчүн атайын утилиталарды колдонсо болот
- коркунучтун алдын алуу – акыркы хосттордогу атайын программалар (антивирус, шпионго каршы, брандмауэр).
- URL чыпкалоо, маалыматтарды чыпкалоо, файлды бөгөттөө – проксиде
- tcpdump ды колдонуу менен талдоо да мүмкүн.
Сиз бул эки ыкманы айкалыштыра аласыз, жетишпеген функцияларды толуктап же чабуулду аныктоо ыктымалдыгын жогорулатуу үчүн аларды кайталай аласыз.
Кайсы ыкманы тандоо керек?
Бул сиздин командаңыздын квалификациясына жана каалоосуна жараша болот.
Ал жакта да, жакшы да, жаман да жактары бар.
Бирдиктүү борборлоштурулган аутентификация жана авторизация системасы
Жакшы иштелип чыкканда, биз бул макалада талкуулаган мобилдүүлүк сиз кеңседен же үйдөн, аэропорттон, кофеканадан же башка жерде иштеп жатасызбы (жогоруда талкуулаган чектөөлөр менен) бирдей мүмкүнчүлүккө ээ болосуз деп болжолдойт. Көрсө, көйгөй эмнеде?
Бул иштин татаалдыгын жакшыраак түшүнүү үчүн, типтүү дизайнды карап көрөлү.
мисал
- Сиз бардык кызматкерлерди топторго бөлдүңүз. Сиз топтор боюнча кирүү мүмкүнчүлүгүн берүүнү чечтиңиз
- Кеңседе сиз офис брандмауэринен кирүүнү көзөмөлдөйсүз
- Сиз маалымат борборунун брандмауэринде кеңседен маалымат борборуна чейинки трафикти көзөмөлдөйсүз
- Сиз VPN шлюзи катары Cisco ASA колдоносуз жана алыскы кардарлардан тармагыңызга кирген трафикти көзөмөлдөө үчүн жергиликтүү (ASA боюнча) ACL колдоносуз.
Эми, сизден белгилүү бир кызматкерге кошумча мүмкүнчүлүк кошууну суранды дейли. Бул учурда, сизден анын тобунан башка эч кимге эмес, ага гана кирүү мүмкүнчүлүгүн кошуу суралат.
Бул үчүн биз бул кызматкер үчүн өзүнчө топ түзүшүбүз керек, башкача айтканда
- бул кызматкер үчүн ASA боюнча өзүнчө IP бассейн түзүү
- ASAга жаңы ACL кошуп, аны ошол алыскы кардар менен байланыштырыңыз
- кеңседе жана маалымат борборунун брандмауэрлеринде жаңы коопсуздук саясаттарын түзүү
Бул окуя сейрек болсо жакшы болот. Бирок менин практикамда кызматкерлер ар кандай долбоорлорго катышып, кээ бирлери үчүн бул долбоорлордун топтому тез-тез алмашып, 1-2 адам эмес, ондогон адамдар болгон. Албетте, бул жерде бир нерсени өзгөртүү керек болчу.
Бул төмөнкү жол менен чечилди.
Биз LDAP бардык мүмкүн болгон кызматкерлердин мүмкүнчүлүктөрүн аныктаган чындыктын жалгыз булагы болот деп чечтик. Биз кирүүлөрдүн топтомун аныктаган топтордун бардык түрлөрүн түздүк жана ар бир колдонуучуну бир же бир нече топко дайындадык.
Ошентип, мисалы, топтор бар деп коёлу
- конок (Интернет кирүү)
- жалпы жеткиликтүүлүк (жалпы ресурстарга мүмкүнчүлүк: почта, билим базасы, ...)
- эсепке алуу
- долбоор 1
- долбоор 2
- маалымат базасынын администратору
- linux администратору
- ...
Эгерде кызматкерлердин бири 1-долбоордо да, 2-долбоордо да тартылган болсо жана ага бул долбоорлордо иштөө үчүн зарыл болгон мүмкүнчүлүк керек болсо, анда бул кызматкер төмөнкү топторго дайындалган:
- конок
- жалпы жеткиликтүүлүк
- долбоор 1
- долбоор 2
Эми кантип бул маалыматты тармактык жабдууларга кирүүгө айланта алабыз?
Cisco ASA динамикалык мүмкүндүк саясаты (DAP) (караңыз ) чечим бул милдет үчүн туура.
Биздин ишке ашыруу жөнүндө кыскача айтканда, идентификация/авторизация процессинде ASA LDAPтан берилген колдонуучуга тиешелүү топтордун топтомун алат жана бир нече жергиликтүү ACLлерден (алардын ар бири бир топко туура келет) бардык зарыл мүмкүнчүлүктөрү бар динамикалык ACLди "чогултат" , бул биздин каалоолорубузга толук жооп берет.
Бирок бул VPN туташуулары үчүн гана. VPN аркылуу туташкан кызматкерлерге да, кеңседе иштегендерге да абал бирдей болушу үчүн, төмөнкү кадам жасалды.
Кеңседен туташып жатканда, 802.1x протоколун колдонгон колдонуучулар конок LAN (коноктор үчүн) же жалпы LAN (компаниянын кызматкерлери үчүн) менен аяктаган. Андан тышкары, белгилүү бир мүмкүнчүлүк алуу үчүн (мисалы, маалымат борборундагы долбоорлорго) кызматкерлер VPN аркылуу туташуу керек болчу.
Кеңседен жана үйдөн туташуу үчүн ASAда ар кандай туннель топтору колдонулган. Бул кеңседен туташкандар үчүн жалпы ресурстарга трафик (почта, файл серверлери, билет системасы, dns, ... сыяктуу бардык кызматкерлер тарабынан колдонулат) ASA аркылуу эмес, локалдык тармак аркылуу өтүшү үчүн зарыл. . Ошентип, биз АШАга керексиз трафикти, анын ичинде жогорку интенсивдүү трафикти жүктөгөн жокпуз.
Ошентип, маселе чечилди.
Биз алдык
- кеңседен жана алыскы туташуулардан эки туташуу үчүн бирдей мүмкүнчүлүктөр топтому
- АСА аркылуу жогорку интенсивдүү трафикти өткөрүү менен байланышкан кеңседен иштөөдө кызматтын начарлашынын жоктугу
Бул ыкманын дагы кандай артыкчылыктары бар?
Кирүү башкарууда. Кирүү мүмкүнчүлүктөрүн бир жерден оңой эле өзгөртүүгө болот.
Мисалы, эгерде кызматкер компаниядан кетсе, анда сиз аны жөн гана LDAPтан алып салсаңыз, ал автоматтык түрдө бардык мүмкүнчүлүктү жоготот.
Хост текшерүү
Алыстан туташуу мүмкүнчүлүгү менен биз тармакка компаниянын кызматкерин гана эмес, анын компьютеринде (мисалы, үйүндө) болушу мүмкүн болгон бардык зыяндуу программалык камсыздоону киргизип коюу коркунучуна дуушар болобуз, анын үстүнө бул программа аркылуу биз бул хостту прокси катары колдонгон чабуулчуга биздин тармакка кирүү мүмкүнчүлүгүн берип жаткан болушу мүмкүн.
Алыстан туташкан хост үчүн кеңседеги хост сыяктуу коопсуздук талаптарын колдонуу мааниси бар.
Бул ошондой эле ОСтун "туура" версиясын, антивирустук, антишпиондук программаны жана брандмауэрди жана жаңыртууларды болжолдойт. Адатта, бул мүмкүнчүлүк VPN шлюзинде бар (ASA үчүн, мисалы, караңыз, ).
Сиздин коопсуздук саясатыңыз кеңсе трафигине тиешелүү болгон трафикти талдоо жана бөгөттөө ыкмаларын («Жогорку коргоо деңгээлин» караңыз) колдонуу да акылдуулукка жатат.
Сиздин кеңсе тармагы мындан ары кеңсе имараты жана андагы хосттор менен гана чектелбейт деп болжолдоо жөндүү.
мисал
Жакшы техника алыстан кирүүнү талап кылган ар бир кызматкерди жакшы, ыңгайлуу ноутбук менен камсыз кылуу жана алардан кеңседе да, үйдөн да иштөөнү талап кылуу.
Бул сиздин тармагыңыздын коопсуздугун гана жакшыртпастан, чындап эле ыңгайлуу жана адатта кызматкерлер тарабынан жакшы каралат (эгерде ал чындап эле жакшы, колдонууга ыңгайлуу ноутбук болсо).
Пропорция жана тең салмактуулук сезими жөнүндө
Негизинен бул биздин үч бурчтуктун үчүнчү чокусу - баа жөнүндө сүйлөшүү.
Келгиле, гипотетикалык мисалды карап көрөлү.
мисал
Сиздин 200 кишилик кеңсеңиз бар. Сиз аны мүмкүн болушунча ыңгайлуу жана коопсуз кылууну чечтиңиз.
Ошондуктан, сиз бардык трафикти брандмауэр аркылуу өткөрүүнү чечтиңиз жана ошентип, бардык офистик тармактар үчүн брандмауэр демейки шлюз болуп саналат. Ар бир акыркы хостто орнотулган коопсуздук программалык камсыздоосунан тышкары (антивирус, шпионго каршы жана брандмауэр программалык камсыздоо), сиз брандмауэрде бардык мүмкүн болгон коргоо ыкмаларын колдонууну чечтиңиз.
Жогорку туташуу ылдамдыгын камсыз кылуу үчүн (баары ынгайлуу болуу үчүн) сиз кирүү которгучтары катары 10 Гигабит кирүү порттору бар которгучтарды жана брандмауэр катары жогорку натыйжалуу NGFW брандмауэрлерин тандадыңыз, мисалы, Palo Alto 7K сериясы (40 Гигабит порттору менен), албетте, бардык лицензиялар менен камтылган жана, албетте, Жогорку Жеткиликтүүлүк жуп.
Ошондой эле, албетте, жабдуулардын бул линиясы менен иштөө үчүн, жок эле дегенде, бир нече жогорку квалификациялуу коопсуздук инженерлери керек.
Андан кийин, сиз ар бир кызматкерге жакшы ноутбук берүүнү чечти.
Бардыгы болуп, ишке ашыруу үчүн болжол менен 10 миллион доллар, инженерлердин жылдык колдоо жана эмгек акысы үчүн жүз миңдеген доллар (мен миллионго жакын деп ойлойм).
Кеңсе, 200 киши...
Ыңгайлуубу? Менимче ооба.Сиз бул сунуш менен жетекчиликке келдиңиз...
Балким, дүйнөдө бул алгылыктуу жана туура чечим болгон бир катар компаниялар бар. Эгерде сиз бул компаниянын кызматкери болсоңуз, мен куттуктайм, бирок көпчүлүк учурда сиздин билимиңиз жетекчилик тарабынан бааланбайт деп ишенем.
Бул мисал апыртылганбы? Кийинки бөлүм бул суроого жооп берет.
Эгерде сиздин тармагыңызда жогоруда айтылгандардын бирин да көрбөсөңүз, анда бул норма.
Ар бир конкреттүү учур үчүн сиз ыңгайлуулук, баа жана коопсуздуктун ортосунда өзүңүздүн акылга сыярлык компромиссти табышыңыз керек. Көп учурда кеңсеңизде NGFW керек эмес жана брандмауэрде L7 коргоо талап кылынбайт. Көрүнүш жана эскертүүлөрдүн жакшы деңгээлин камсыз кылуу жетиштүү жана муну, мисалы, ачык булактуу өнүмдөрдү колдонуу менен жасоого болот. Ооба, кол салууга болгон реакцияңыз дароо болбойт, бирок эң негизгиси, сиз аны көрөсүз жана бөлүмүңүздө туура процесстер болгондо, аны тез арада зыянсыздандыра аласыз.
Эске сала кетейин, бул макалалар сериясынын концепциясына ылайык, сиз тармакты иштеп жаткан жоксуз, болгону сиз алган нерсени жакшыртууга аракет кылып жатасыз.
Кеңсе архитектурасынын SAFE анализи
Диаграммада мен орун бөлүп берген бул кызыл чарчыга көңүл буруңуз мен бул жерде талкуулагым келет.
Бул архитектуранын негизги жерлеринин бири жана эң маанилүү белгисиздиктердин бири.
пикир
Мен эч качан FirePower (Cisco'нун брандмауэр линиясынан - ASA гана) орноткон эмесмин же аны менен иштеген эмесмин, андыктан аны Juniper SRX же Palo Alto сыяктуу башка брандмауэрлер сыяктуу эле колдоном, анын мүмкүнчүлүктөрү бирдей.
Кадимки конструкциялардын ичинен мен бул туташуу менен брандмауэрди колдонуунун 4 гана вариантын көрөм:
- ар бир ички тармак үчүн демейки шлюз - бул коммутатор, брандмауэр ачык режимде (башкача айтканда, бардык трафик ал аркылуу өтөт, бирок L3 хоп түзбөйт)
- ар бир ички тармак үчүн демейки шлюз брандмауэр суб-интерфейстери (же SVI интерфейстери) болуп саналат, коммутатор L2 ролун ойнойт
- коммутатордо ар кандай VRF колдонулат жана VRF ортосундагы трафик брандмауэр аркылуу өтөт, бир VRF ичиндеги трафик коммутатордогу ACL тарабынан башкарылат.
- бардык трафик талдоо үчүн брандмауэрге чагылдырылган жана трафик ал аркылуу өтпөйт;
Эскертүү 1
Бул варианттардын айкалышы мүмкүн, бирок жөнөкөйлүк үчүн биз аларды карап чыкпайбыз.
Эскертүү2
PBR (кызмат чынжырынын архитектурасын) колдонуу мүмкүнчүлүгү да бар, бирок азыр бул, менин оюмча, кооз чечим болсо да, экзотикалык, ошондуктан мен бул жерде аны карап жаткан жокмун.
Документтеги агымдардын сүрөттөлүшүнөн биз трафик дагы эле брандмауэр аркылуу өтүп жатканын көрөбүз, башкача айтканда Cisco дизайнына ылайык, төртүнчү вариант жок кылынган.
Алгач биринчи эки вариантты карап көрөлү.
Бул параметрлер менен бардык трафик брандмауэр аркылуу өтөт.
Эми карап көрөлү , карагыла жана биз кеңсебиздин жалпы өткөрүү жөндөмдүүлүгү жок дегенде 10 - 20 гигабит болушун кааласак, анда 4K версиясын сатып алышыбыз керек экенин көрүп жатабыз.
пикир
Мен жалпы өткөрүү жөндөмдүүлүгү жөнүндө айтканда, мен ички тармактардын ортосундагы трафикти билдирет (бир вилананын ичинде эмес).
GPLден биз Threat Defence менен HA Bundle үчүн баа моделине жараша (4110 - 4150) ~0,5 - 2,5 миллион долларга чейин өзгөрөрүн көрөбүз.
Башкача айтканда, биздин дизайн мурунку мисалга окшошуп баштайт.
Бул бул дизайн туура эмес дегенди билдиреби?
Жок, бул аны билдирбейт. Cisco сизге ээ болгон продукт линиясынын негизинде эң мыкты коргоону берет. Бирок бул сиз үчүн сөзсүз түрдө аткарылышы керек дегенди билдирбейт.
Негизи, бул офисти же маалымат борборун долбоорлоодо пайда болгон жалпы суроо жана бул бир гана компромисске баруу керек дегенди билдирет.
Мисалы, бардык трафиктин брандмауэр аркылуу өтүшүнө жол бербеңиз, бул учурда мен үчүн 3-вариант абдан жакшы көрүнөт, же (мурунку бөлүмдү караңыз) балким, сизге Threat Defense керек эмес же бул боюнча брандмауэр таптакыр керек эместир. тармак сегменти, жана сиз жөн гана акы төлөнүүчү (кымбат эмес) же ачык булактуу чечимдерди колдонуу менен пассивдүү мониторинг жүргүзүү менен чектешиңиз керек, же сизге брандмауэр керек, бирок башка сатуучудан.
Адатта, бул белгисиздик ар дайым бар жана сиз үчүн кайсы чечим эң жакшы экенине так жооп жок.
Бул милдеттин татаалдыгы жана кооздугу ушунда.
Source: www.habr.com