ProHoster > Блог > administratio > Quomodo infrastructuram retis tuae potiri. Caput tertium. Retis securitatis. Pars una

Quomodo infrastructuram retis tuae potiri. Caput tertium. Retis securitatis. Pars una

Hic articulus est tertius in serie articulorum "Quam ad modum infrastructurae tuae Network Potiri". Contenta omnium articulorum in serie et nexus inveniri possunt hic.

Quomodo infrastructuram retis tuae potiri. Caput tertium. Retis securitatis. Pars una

Nulla res est in loquendo de periculo securitatis omnino subtrahendo. In principio, eas ad nihilum reducere non possumus. Oportet etiam nos intelligere quod, sicut retiaculis magis ac securioribus nitimur, solutiones nostrae magis ac magis pretiosae fiunt. Inter sumptus, multiplicitatem et securitatem mercaturam invenire debes, quae sensum retis tuis facit.

Utique, consilium securitatis organice integratur in altiorem architecturam et solutiones securitatis adhibitae ad scalabilitatem, fidem, tractabilitatem, ... retis infrastructuram, quae etiam ratio habenda est.

Sed me admoneam te nunc non loqui de retis creando. Secundum nostrum initial conditionibus iam consilium elegimus, apparatum elegimus et infrastructuram creavimus, atque hac in re, si fieri potest, "vivere" debeamus ac solutiones inveniamus in contextu antecessoris ac- cepti.

Nunc nostrum est cognoscere pericula consociata cum securitate in retis gradu et ad rationabilem gradum reducere.

Network securitatem audit

Si ordo tuus processuum 27k ISO implevit, tunc securitatis auscultationes et retis mutationes in altiore processu intra hanc accessionem aptari debent. Sed haec signa adhuc non sunt de solutionibus specificis, non de configuratione, non de consilio... Nullae sunt notae consilium, nulla signa singillatim dictandi quid retiacula tua similia sint, haec est huius operis multiplicitas et pulchritudo.

Ut exaggerandam multa possibilia network securitatem audits:

  • configuratione apparatu audit (obfirmare)
  • securitatem consilio audit
  • aditum audit
  • processus audit

Configuratione audit apparatu (obfirmare)

In pluribus videtur hoc esse optimum principium ad audiendum et emendandum securitatem retis vestri. IMHO, haec est bona demonstratio legis Pareto (20% conatus LXXX% effectus, et reliquae 80% nisus tantum 80% eventus producit).

Solum versus est quod plerumque commendationes a mercatoribus de "optimis exercitiis" securitatis cum apparatu felis. Hoc appellatur « obduratio ».

Saepe etiam quaestionem invenire potes (vel te ipsum creare) his innixum commendationibus, quod adiuvabit ut determines quomodo conformatio instrumenti tui his "optimis exercitiis" obtemperet et, secundum exitum, mutas in retis tuis . Hoc tibi permittit ut ad signanter pericula securitatis satis faciliter reducantur, nullo fere pretio.

Aliquot exempla aliquot systematum operandi Cisco.

Cisco IOS configurationis Hardening
Cisco IOS-XR configurationis Hardening
Cisco NX-OS configurationis Hardening
Cisco Baseline Securitatis Reprehendo List

Ex his documentis, index configurationis requisitorum ad unumquodque genus armorum creari potest. Exempli gratia, pro Cisco N7K VDC haec requisita spectare possent ita.

Hoc modo, fasciculi configurationis creari possunt pro diversis generibus instrumentorum actuum in retis infrastructuris tuis. Deinceps, manually vel automatario utens, has configurationis fasciculos "inponere" potes. Quomodo hic processus automate in alia serie de orchestratione et automatione articulorum singillatim disseretur.

Consilium securitatis audit

De more, incepti retis in una vel alia forma sequentia segmenta continet;

  • DC.
  • penitus obvius
  • VPN aditus
  • LURIDUS in ore gladii
  • genere
  • Campus
  • Core

Titles ex Cisco ARMARIUM exemplar, sed omnino necessarium non est his nominibus praecise adnectere et huic exemplari. Volo tamen loqui de essentia et in formalitatibus non haeretis.

Utraque harum segmentorum, securitatis requisita, pericula, ac proinde solutiones diversae erunt.

Singulas singulas inspiciamus pro quaestionibus quas ex parte consilii securitatis inspicere licet. Utique iterum repeto nullo modo hunc articulum perfectum esse simulat, quod non facile (si non potest) in hoc argumento vere profundo et multifacito consequi, sed experientiam meam personalem reddit.

Nulla est perfecta solutio (certe nondum). Praesent semper aliquam malesuada. Sed interest ut consilium utendi accessu vel alio conscientia fiat, cum intellectus pros et cons.

Mauris interdum

segmentum criticum maxime ex parte tutior.
Et, ut solet, non est hic vel universalis solutio. Refert graviter in retiacula requisita.

Estne firewall an non necessaria?

Ad secundum sic proceditur. Et electio tua non solum commoveri potest price.

EXEMPLUM 1. Morarum.

Si humilis latency necessitas est essentialis inter segmenta quaedam retis, quod est, exempli gratia, verum in commutatione rerum, inter haec segmenta igniculis uti non poterimus. Difficile est studiosorum latencium in firewalls invenire, sed pauca exemplaria switchum minus quam vel in ordine 1 mksec latentiam praebere possunt, sic puto si microseconds tibi momenti sunt, ignium muri non tibi sunt.

EXEMPLUM 2. Euismod.

Perput capitis L3 virgarum ordo magnitudinis altiores quam throughput firewalls potentissimorum solet esse. In causa ergo magnae intensionis negotiationis, etiam verisimile est hoc commercium pati firewalls praeterire.

EXEMPLUM 3. Reliability.

Firewalls, praesertim moderni NGFW (FW Postero-generationis) cogitationes implicatae sunt. Multo magis implicatae sunt quam permutationes L3/L2. Magnam copiam officiorum et optionum conformationis praebent, unde mirum non est eorum constantiam multo inferiorem esse. Si servitium continuum criticum est ad retiaculum, tunc eligere potes quod ad melius disponibilitatem ducet - securitatem cum firewall vel simplicitate retis in virgas (vel varias machinarum species) utens regularis ACLs.

In exemplis premissorum maxime probabile (ut solet) compromissum habebis. Vide ad sequentia solutiones:

  • si firewalls intra centrum datae non uti statueris, debes cogitare quomodo accessum circum ambitum quam maxime circumscribas. Exempli gratia, solum necessarios portus a Interreti (pro clientis negotiationis) aperire potes et accessum administrativum ad centrum datarum tantum a saltu exercituum. In exercitibus salire, omnia necessaria compescere (authentica/auctoritas, antivirus, colligatio, ...)
  • logica partitione retis notitia centri in segmenta uti potes, simili ratione de qua in PSEFABRIC exempli gratia p002. Hoc in casu, fusio configurari debet ita ut mora-sensitiva vel intensitas negotiationis "intra" unum segmentum (in casu p002, VRF) perveniat et per focum non evadat. Negotiatio inter segmenta diversa pergit ire per firewall. Itinere etiam uti inter VRFs diffluere potes ad redirectionem negotiationis per firewall
  • Muro perlucido modo uti potes et solum illis VLANs ubi hae factores (latency/faciendi) significant non sunt. Sed diligenter investigare debes restrictiones cum usu huius modalis pro singulis venditoris
  • uti velis considerare servitutis architecturae catenae. Hoc solum necessaria negotiatio per focum transire licebit. Spectat delicatus in theoria, sed hanc solutionem in productione numquam vidi. Servitium catenam pro Cisco ACI/Juniper SRX/F5 LTM abhinc circiter 3 annos probavimus, sed tunc haec solutio nobis "cruda" videbatur.

Praesidium campester

Nunc quaestioni respondere debes de quibus instrumentis ad negotiationem spargendam uti velis. Hic nonnulla sunt lineamentorum quae in NGFW solent adesse (exempli gratia; hic):

  • status firewalling (default)
  • applicationem firewalling
  • comminatio praeventionis (antivirus, anti spyware et vulnerability)
  • URL eliquare
  • data eliquare (content eliquare)
  • file interclusio (file types interclusio)
  • dos praesidium

Non omnia clara sunt. Videtur quod quanto altior fuerit gradus praesidii, tanto melior. Sed tu quoque debes considerare quod

  • Quo plus functionum firewall supra uteris, eo magis pretiosa natura erit (licentiae, moduli additi)
  • usus aliquorum algorithmorum significanter potest minuere firewall per put et moras augere, vide v. gr hic
  • sicut quaevis solutio implicata, usus methodorum complexae tutelae fidem solutionis tuae reducere potest, exempli gratia, cum applicatione firewalling, nonnullas applicationes signatas operandi (dns, smb) interclusio obviam.

Ut semper, debes invenire optimam solutionem pro retis tuis.

Impossibile est definitive respondere quaestioni cuiusnam functiones tutelae exigantur. Uno modo, quia utique pendet notitia quam tradimus vel tradimus ac tueri conatur. Secundo re vera, saepe electio instrumentorum securitatis est fidei et fiduciae venditoris. Algorithms nescis, quam efficax sint nescis, et eas plene probare non potes.

Ergo in segmentis criticis, solutionem bonam adhiberi potest ex diversis societatibus praebet. Exempli causa, antivirus in firewall, sed etiam antiviro (ab alia fabrica) in exercitibus localiter uti potes.

Segmentation

Loquimur de logica segmentatione retis centrum datae. Exempli causa, partitiones in VLANs et subnetes etiam segmentatio logica est, sed ob eius evidentiam non consideramus. justo justo attentis entitatibus ut FW zonis securitatis, VRFs (et eorum analoga in relatione ad varios vendentes), strophas logicas (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Exemplum talis segmentationis logicae et quod praesens in postulatis instrumenti centrum datae sunt p002 of the Project PSEFABRIC.

Definiendis logicae retis tuae partes, tum describere potes quomodo commercium inter alia segmenta moveat, in quibus eliquatio machinis peragetur et qua ratione.

Si retis tuam manifestam partitionem logicam non habet et normae ad rationes securitatis applicandae pro diversis notitias influentibus non formalizatae sunt, hoc significat quod, cum hanc vel illam aditum aperis, hoc problema solvere cogeris, et cum magna probabilitate te solvet omni tempore aliter.

Saepe justo justo in tantum in FW zonis securitatis fundatur. Tunc debes respondere sequentibus quaestionibus:

  • quid securitatis zonis facere debes?
  • quo gradu praesidii vis ad singulas istarum zonarum
  • et intra-zona negotiationis per default liceat?
  • sin minus, quaenam negotiatio eliquatio initis adhibenda erit intra quamlibet zonam
  • quae negotiationis eliquare consilia applicari possunt ad singulas binas regiones (source/destination)

TCAM

Commune problema est insufficiens TCAM (Memoria Ternary Content Addressable), tum ad excitandas tum ad accessiones. IMHO, haec est una e maximis quaestionibus cum apparatu eligendo, ideo oportet hanc quaestionem tractare cum debito gradu curationis.

Exemplum 1. Transmissio Tabula TCAM.

Intueamur Palo Alto 7k firewall
Videmus quod IPv4 procuret mensam magnitudine* = 32K .
Hic autem numerus itinerum communis est omnibus VSYSs.

Demus id pro consilio tuo uti 4 VSYS statueris.
Quaelibet harum VSYSs per BGP ad duos MPLS PEs nubis coniungitur qua uteris ut BB. Sic, 4 VSYS omnia itinera specifica inter se permutant et tabellam mittentes habent cum circa easdem lineas (sed NHs diversae). Quod uterque VSYS habet sessiones 2 BGP (eisdem fundis), deinde unaquaeque via recepta per MPLS habet 2 NH, et proinde 2 FIB introitus in Tabula Procurante. Si ponamus hunc esse unicum firewall in centro notitiae et de omnibus itineribus cognoscere debet, tum hoc intelliget totum numerum itinerum in nostro centro dato non plus esse quam 32K/(4*2) = 4K.

Nunc si ponatur quod centra data 2 (eodem consilio), uti volumus VLANs "extentas" inter data centra (exempli gratia, pro vMotion), tum ad solvendum routing problema, viae exercitui utendum est. . Sed hoc significat quod pro centra 2 data non plus quam 4096 turmas possibilis habebimus et, sane, hoc satis non erit.

2. EXEMPLVM ACL TCAM.

Si vis mercaturam spargere in virgas L3 (vel alias solutiones quae utuntur L3 virgas, exempli gratia, Cisco ACI), tunc cum apparatu eligendo operam dares ad TCAM ACL.

Si vis accessum moderari in interfaces SVI de Cisco Catalyst 4500. Deinde, ut videri potest e. hoc articulum, negotiationem in interfaces regere, solum 4096 TCAM lineas uti potes. Quod cum usura TCAM3 tibi 4000 milia ACES (ACL lines) dabit.

Si quaestio sufficiens TCAM praemittuntur, primo quidem debes considerare possibilitatem ipsum. In casu igitur quaestionis de quantitate Procurationis Tabulae, considerare debes facultatem itinera aggregandi. In casu quaestionis cum magnitudine TCAM accessibus, accessibus audientibus, tabulas iam datas et imbricatis removere, et fortasse modum procedendi ad accessuum aperiendi retractandum (in capite de accessibus audiendis singillatim disseretur).

High Availability

Quaeritur: num HA ad focos utar vel duos cistas independentes "in parallelis instituam" et, si unus ex illis deficit, iter negotiationis per alterum?

Videtur quod patet responsio HA. Causa huius quaestionis adhuc oritur quia, proh dolor, theoricae et vendo 99 ac plures decimales percentages accessibilitatis in praxi evadunt ut longe absunt a tam roseo. HA logice satis implicata res, et vario apparatu, variisque mercatoribus (nullae erant exceptiones), problemata et cimices et clausuras cepimus.

Si HA uteris, occasionem habebis singulas nodos avertendi, inter eos transi sine intermissione operandi, quod est magni momenti, exempli gratia cum upgrades faciens, sed simul habeas longe a nulla probabilitate utrumque nodum. simul franget, tum quod proximus upgrade non tam leniter quam venditor promittit (evitari potest haec quaestio, si occasionem habes in apparatu laboratorium experiendi).

Si HA non uteris, tum ex parte duplicis defectus pericula tua multo inferiora sunt (quia fire parietes 2 independentes habes), sed quia... Sessiones non sunt synchronistae, quotienscumque inter hos firewalls transibis commercium perdes. Firewalling state stateless, scilicet, sed punctum utendi firewall multum amittitur.

Si ergo ex computo firewalls solitaria inveneris, et de augenda retis tui firmitate cogitas, HA, scilicet, una solutionum commendatarum est, sed etiam incommoda considerare debes cum hac accessione et fortasse specie ad retiaculum tuum, alia solutio aptior esset.

Managability

Principio, HA etiam de temperantia est. Instead of 2 pixides conformandi seorsim et cum problemate servandi figuras in synthesis tractas, eas tantum administras ac si unam machinam haberes.

Sed fortasse multas notitias centra habes et multos igniculos, haec quaestio novo gradu oritur. Et quaestio non solum est de configuratione, sed etiam de?

  • configurationes tergum
  • updates "
  • upgrades
  • magna
  • logging

Haec omnia solvi possunt per systemata administrationis centralised.

Sic, exempli gratia, si firewalls Alto Palo uteris, tunc Panorama talis solutio est.

Tertia pars sequetur.

Source: www.habr.com

Add a comment