ProHoster > Blog > Administratioun > Wéi Dir d'Kontroll iwwer Är Netzwierkinfrastruktur iwwerhëlt. Kapitel dräi. Reseau Sécherheet. Een Deel

Wéi Dir d'Kontroll iwwer Är Netzwierkinfrastruktur iwwerhëlt. Kapitel dräi. Reseau Sécherheet. Een Deel

Dësen Artikel ass den drëtten an enger Serie vun Artikelen "Wéi Dir Kontroll iwwer Är Netzwierkinfrastruktur huelen." Den Inhalt vun all Artikelen an der Serie a Linken kann fonnt ginn hei.

Wéi Dir d'Kontroll iwwer Är Netzwierkinfrastruktur iwwerhëlt. Kapitel dräi. Reseau Sécherheet. Een Deel

Et ass kee Sënn fir iwwer d'Sécherheetsrisiken komplett ze eliminéieren. Am Prinzip kënne mir se net op Null reduzéieren. Mir mussen och verstoen, datt wéi mir beméien d'Netzwierk ëmmer méi sécher ze maachen, eis Léisungen ëmmer méi deier ginn. Dir musst en Austausch tëscht Käschten, Komplexitéit a Sécherheet fannen, dee Sënn mécht fir Äert Netzwierk.

Natierlech ass d'Sécherheetsdesign organesch an d'Gesamtarchitektur integréiert an d'Sécherheetsléisungen déi benotzt ginn beaflossen d'Skalierbarkeet, d'Zouverlässegkeet, d'Manéierbarkeet, ... vun der Netzwierkinfrastruktur, déi och berücksichtegt ginn.

Awer loosst mech Iech drun erënneren datt mir elo net vun engem Netzwierk schwätzen. No eisem initial Konditiounen Mir hu schonn den Design gewielt, d'Ausrüstung ausgewielt an d'Infrastruktur erstallt, an op dëser Etapp, wa méiglech, solle mir "liewen" a Léisungen am Kontext vun der virdru gewielter Approche fannen.

Eis Aufgab ass elo d'Risiken ze identifizéieren déi mat der Sécherheet um Netzwierkniveau verbonne sinn an se op e vernünfteg Niveau ze reduzéieren.

Network Sécherheet Audit

Wann Är Organisatioun ISO 27k Prozesser implementéiert huet, da sollten d'Sécherheetsaudits an d'Netzwierkännerunge nahtlos an d'Gesamtprozesser an dëser Approche passen. Awer dës Norme sinn nach ëmmer net iwwer spezifesch Léisungen, net iwwer Konfiguratioun, net iwwer Design ... Et gi keng kloer Berodung, keng Normen, déi am Detail diktéieren, wéi Ären Netz soll sinn, dat ass d'Komplexitéit an d'Schéinheet vun dëser Aufgab.

Ech géif e puer méiglech Netzsécherheetsaudits Highlight:

  • Ausrüstungskonfiguratiounsaudit (härten)
  • Sécherheet Design Audit
  • Zougang Audit
  • Prozess Audit

Ausrüstungskonfiguratiounsaudit (härten)

Et schéngt, datt dëst an deene meeschte Fäll de beschte Startpunkt ass fir d'Auditéierung an d'Verbesserung vun der Sécherheet vun Ärem Netzwierk. IMHO, dëst ass eng gutt Demonstratioun vum Pareto Gesetz (20% vun Effort produzéiert 80% vum Resultat, an déi reschtlech 80% vun Effort produzéiert nëmmen 20% vum Resultat).

Déi ënnescht Linn ass datt mir normalerweis Empfehlungen vu Verkeefer betreffend "Best Practices" fir Sécherheet hunn wann Dir Ausrüstung konfiguréiert. Dëst gëtt "Hären" genannt.

Dir kënnt och dacks e Questionnaire fannen (oder selwer erstellen) op Basis vun dësen Empfehlungen, déi Iech hëllefen ze bestëmmen wéi gutt d'Konfiguratioun vun Ärem Ausrüstung mat dësen "best practices" entsprécht an, am Aklang mam Resultat, Ännerungen an Ärem Netz ze maachen . Dëst erlaabt Iech d'Sécherheetsrisiken wesentlech ze reduzéieren, quasi ouni Käschten.

Puer Beispiller fir e puer Cisco Betribssystemer.

Cisco IOS Configuratioun Hardening
Cisco IOS-XR Configuratioun Hardening
Cisco NX-OS Configuratioun Hardening
Cisco Baseline Sécherheet Check Lëscht

Baséierend op dësen Dokumenter kann eng Lëscht vun Konfiguratiounsfuerderunge fir all Zort Ausrüstung erstallt ginn. Zum Beispill, fir eng Cisco N7K VDC dës Ufuerderunge kéint ausgesinn sou.

Op dës Manéier kënnen Konfiguratiounsdateien fir verschidden Aarte vun aktiven Ausrüstung an Ärer Netzwierkinfrastruktur erstallt ginn. Als nächst, manuell oder mat der Automatisatioun, kënnt Dir dës Konfiguratiounsdateien "upload". Wéi automatiséiert dëse Prozess gëtt am Detail an enger anerer Serie vun Artikelen iwwer Orchestratioun an Automatisatioun diskutéiert ginn.

Sécherheet Design Audit

Typesch enthält en Entreprisennetz déi folgend Segmenter an enger oder anerer Form:

  • DC (Ëffentlech Servicer DMZ an Intranet Datenzenter)
  • Internetzougang huet
  • Fernzougang VPN
  • WAN Rand
  • Branch
  • Campus (Büro)
  • Kär

Titelen geholl aus Cisco SAFE Modell, mä et ass net néideg, natierlech, genee un dësen Nimm an dësem Modell verbonnen ze sinn. Trotzdem wëll ech iwwer d'Essenz schwätzen an net a Formalitéite verstoppen.

Fir all eenzel vun dëse Segmenter wäerten d'Sécherheetsfuerderunge, d'Risiken an deementspriechend Léisungen anescht sinn.

Loosst eis all eenzel vun hinnen separat kucken fir d'Problemer déi Dir aus Sécherheetsdesign Siicht kënnt. Natierlech widderhuelen ech nach eng Kéier, datt dësen Artikel op kee Fall als komplett mécht, wat net einfach (wann net onméiglech) ass an dësem wierklech déif a villsäitege Thema z'erreechen, awer et reflektéiert meng perséinlech Erfahrung.

Et gëtt keng perfekt Léisung (op d'mannst nach net). Et ass ëmmer e Kompromiss. Awer et ass wichteg datt d'Entscheedung fir déi eng oder aner Approche ze benotzen bewosst gemaach gëtt, mat engem Verständnis vu senge Vir- an Nodeeler.

data Center

De kriteschste Segment aus Sécherheetssiicht.
A wéi gewinnt gëtt et och hei keng universell Léisung. Et hänkt alles staark vun den Netzwierkfuerderunge of.

Ass eng Firewall néideg oder net?

Et géif schéngen datt d'Äntwert offensichtlech ass, awer alles ass net sou kloer wéi et schéngt. An Äre Choix kann net nëmmen beaflosst ginn den Präiss.

Beispill 1. Verspéidungen.

Wann niddereg latency eng wesentlech Fuerderung tëscht e puer Netzwierksegmenter ass, wat zum Beispill am Fall vun engem Austausch richteg ass, da kënne mir keng Firewalls tëscht dëse Segmenter benotzen. Et ass schwéier Studien iwwer Latenz a Firewalls ze fannen, awer e puer Schaltmodeller kënne Latenz vu manner wéi oder op der Uerdnung vun 1 mksec ubidden, also mengen ech, wann Mikrosekonnen fir Iech wichteg sinn, da sinn Firewalls net fir Iech.

Beispill 2. Leeschtung.

Den Duerchgang vun Top L3 Schalter ass normalerweis eng Uerdnung vun der Gréisst méi héich wéi den Duerchgang vun de mächtegste Firewalls. Dofir, am Fall vun héich-Intensitéit Verkéier, Dir wäert och héchstwahrscheinlech dësem Traffic ze erlaben Firewalls ëmgoen.

Beispill 3. Zuverlässegkeet

Firewalls, besonnesch modern NGFW (Next-Generation FW) si komplex Apparater. Si si vill méi komplex wéi L3 / L2 Schalter. Si bidden eng grouss Zuel vu Servicer a Konfiguratiounsoptiounen, also ass et net iwwerraschend datt hir Zouverlässegkeet vill manner ass. Wann d'Servicekontinuitéit kritesch ass fir d'Netzwierk, da musst Dir vläicht wielen wat zu enger besserer Disponibilitéit féiert - Sécherheet mat enger Firewall oder d'Einfachheet vun engem Netz op Schalteren (oder verschidden Aarte vu Stoffer) gebaut mat normale ACLs.

Am Fall vun den uewe genannte Beispiller musst Dir héchstwahrscheinlech (wéi gewinnt) e Kompromiss fannen. Kuckt op déi folgend Léisungen:

  • Wann Dir decidéiert net Firewalls am Rechenzentrum ze benotzen, da musst Dir nodenken wéi Dir den Zougang ronderëm de Perimeter sou vill wéi méiglech limitéiere kënnt. Zum Beispill kënnt Dir nëmmen déi néideg Ports vum Internet opmaachen (fir Clientsverkéier) an den administrativen Zougang zum Datenzenter nëmme vu Spronghost. Op Spronghoster, maacht all néideg Kontrollen (Authentifikatioun / Autorisatioun, Antivirus, Logging, ...)
  • Dir kënnt eng logesch Partition vum Datenzenternetz a Segmenter benotzen, ähnlech wéi de Schema beschriwwen am PSEFABRIC Beispill p002. An dësem Fall muss d'Routing esou konfiguréiert sinn datt de Verzögerungsempfindlechen oder High-Intensity Traffic "bannent" ee Segment geet (am Fall vun p002, VRF) an net duerch d'Firewall geet. De Verkéier tëscht verschiddene Segmenter wäert weider duerch d'Firewall goen. Dir kënnt och Route Leckage tëscht VRFs benotzen fir de Verkéier duerch d'Firewall ze vermeiden
  • Dir kënnt och eng Firewall am transparente Modus benotzen an nëmme fir déi VLANs wou dës Faktoren (latency / Leeschtung) net bedeitend sinn. Awer Dir musst virsiichteg d'Restriktiounen studéieren, déi mat der Benotzung vun dësem Mod fir all Verkeefer verbonne sinn
  • Dir wëllt vläicht eng Servicekettenarchitektur benotzen. Dëst erlaabt nëmmen néideg Verkéier duerch d'Firewall Passe. Gesäit flott an Theorie, mee ech hunn dës Léisung ni an Produktioun gesinn. Mir hunn d'Servicekette fir Cisco ACI / Juniper SRX / F5 LTM getest virun ongeféier 3 Joer, awer deemools war dës Léisung fir eis "ruh" ausgesinn.

Schutzniveau

Elo musst Dir d'Fro beäntweren wéi eng Tools Dir benotze wëllt fir de Traffic ze filteren. Hei sinn e puer vun de Funktiounen déi normalerweis am NGFW präsent sinn (zum Beispill, hei):

  • stateful Firewalling (Standard)
  • Applikatioun Firewalling
  • Gefor Präventioun (Antivirus, Anti-Spyware, a Schwachstelle)
  • URL Filter
  • Datefilter (Inhaltsfilter)
  • Dateiblocking (Dateitypen blockéieren)
  • dos Schutz

An och net alles ass kloer. Et géif schéngen datt de méi héije Schutzniveau, desto besser. Awer Dir musst dat och berücksichtegen

  • Wat méi vun den uewe genannte Firewall Funktiounen Dir benotzt, dest méi deier wäert et natierlech sinn (Lizenzen, zousätzlech Moduler)
  • d'Benotzung vun e puer algorithms kann däitlech Firewall Débit reduzéieren an och Verspéidungen Erhéijung, gesinn zum Beispill hei
  • wéi all komplex Léisung, kann d'Benotzung vu komplexe Schutzmethoden d'Zouverlässegkeet vun Ärer Léisung reduzéieren, zum Beispill, wann Dir Applikatioun Firewalling benotzt, hunn ech Blockéierung vun e puer zimlech Standard Aarbechtsapplikatiounen (dns, smb) begéint.

Wéi ëmmer, musst Dir déi bescht Léisung fir Äert Netzwierk fannen.

Et ass onméiglech definitiv d'Fro ze beäntweren, wéi eng Schutzfunktiounen erfuerderlech sinn. Éischtens, well et natierlech hänkt vun den Daten of, déi Dir vermëttelt oder späichert a probéiert ze schützen. Zweetens, a Wierklechkeet ass dacks d'Wiel vu Sécherheetsinstrumenter eng Saach vu Glawen a Vertrauen an de Verkeefer. Dir wësst net d'Algorithmen, Dir wësst net wéi effektiv se sinn, an Dir kënnt se net voll testen.

Dofir, a kriteschen Segmenter, kann eng gutt Léisung sinn Offere vu verschiddene Firmen ze benotzen. Zum Beispill kënnt Dir Antivirus op der Firewall aktivéieren, awer och Antivirus Schutz (vun engem aneren Hiersteller) lokal op de Hosten benotzen.

Segmentatioun

Mir schwätzen iwwer d'logesch Segmentatioun vum Datenzenternetz. Zum Beispill, Partitionéierung an VLANs an Subnets ass och logesch Segmentatioun, awer mir wäerten et net berücksichtegen wéinst senger Offenbarkeet. Interessant Segmentatioun mat Rechnung sou Entitéite wéi FW Sécherheetszonen, VRFs (an hir Analoga par rapport zu verschiddene Verkeefer), logesch Geräter (PA VSYS, Cisco N7K VDC, Cisco ACI Locataire, ...), ...

E Beispill vu sou enger logescher Segmentatioun an dem aktuellen gefuerderten Datenzenterdesign gëtt uginn p002 vum PSEFABRIC Projet.

Nodeems Dir déi logesch Deeler vun Ärem Netz definéiert hutt, kënnt Dir dann beschreiwen wéi de Verkéier tëscht verschiddene Segmenter bewegt, op wéi eng Apparater d'Filterung ausgefouert gëtt a mat wéi enge Mëttelen.

Wann Ären Netz keng kloer logesch Partition huet an d'Regele fir d'Sécherheetspolitik fir verschidden Datefloss z'applizéieren net formaliséiert sinn, heescht dat datt wann Dir dësen oder dësen Zougang opmaacht, Dir gezwongen ass dëse Problem ze léisen, a mat enger grousser Wahrscheinlechkeet wäert et all Kéier anescht léisen.

Oft baséiert Segmentatioun nëmmen op FW Sécherheetszonen. Da musst Dir déi folgend Froen beäntweren:

  • wat Sécherheet Zonen Dir braucht
  • wéi en Niveau vum Schutz wëllt Dir fir all eenzel vun dësen Zonen gëllen
  • gëtt intra-Zone Verkéier par défaut erlaabt?
  • wann net, wat Verkéier Filteren Politiken wäert bannent all Zone applizéiert ginn
  • wéi eng Verkéiersfilterpolitik gëtt fir all Paar Zonen ugewannt (Quell / Destinatioun)

TCAM

E gemeinsame Problem ass net genuch TCAM (Ternary Content Addressable Memory), souwuel fir Routing wéi och fir Zougang. IMHO, dëst ass ee vun de wichtegsten Themen wann Dir Ausrüstung auswielt, also musst Dir dëst Thema mat dem passenden Grad vu Suergfalt behandelen.

Beispill 1. Forwarding Table TCAM.

Komme mer Palo Alto 7k firewall
Mir gesinn datt IPv4 Forwarding Table Gréisst * = 32K
Desweideren, ass dës Zuel vun routes gemeinsam fir all VSYSs.

Loosst eis unhuelen datt no Ärem Design Dir decidéiert 4 VSYS ze benotzen.
Jiddereng vun dësen VSYSs ass iwwer BGP verbonne mat zwee MPLS PEs vun der Wollek déi Dir als BB benotzt. Sou, 4 VSYS austauschen all spezifesch routes mat all aner an hunn eng Expeditioun Dësch mat ongeféier déi selwecht Formatioun vun routes (awer verschidden NHs). Well all VSYS huet 2 BGP Sessiounen (mat de selwechten Astellungen), dann huet all Wee via MPLS kritt 2 NH an deementspriechend 2 FIB Entréen an der Forwarding Table. Wa mir dovun ausgoen datt dëst déi eenzeg Firewall am Rechenzentrum ass an et muss iwwer all d'Strecken wëssen, da wäert dat heeschen datt d'Gesamtzuel vun de Strecken an eisem Rechenzentrum net méi wéi 32K / (4 * 2) = 4K sinn.

Elo, wa mir dovun ausgoen datt mir 2 Datenzenteren hunn (mat deemselwechten Design), a mir wëllen VLANs "gestreckt" tëscht Datenzenteren benotzen (zum Beispill fir vMotion), dann fir de Routingproblem ze léisen, musse mir Hostroute benotzen . Awer dëst bedeit datt mir fir 2 Datenzenteren net méi wéi 4096 méiglech Hosten hunn an natierlech ass dat net genuch.

Beispill 2. ACL TCAM.

Wann Dir plangt Traffic op L3 Wiesselt ze filteren (oder aner Léisungen datt L3 Wiesselt benotzen, Zum Beispill, Cisco ACI), dann, wann Dir Equipement wielt, sollt Dir Opmierksamkeet op d'TCAM ACL bezuelen.

Ugeholl Dir wëllt Zougang op der SVI Schnëttplazen vun der Cisco Catalyst ze kontrolléieren 4500. Dann, wéi kann aus gesi ginn vun dësem Artikel, fir erausginn (wéi och erakommen) Verkéier op Schnëttplazen ze kontrolléieren, kënnt Dir nëmmen 4096 TCAM Linnen benotzen. Wat wann Dir TCAM3 benotzt, gëtt Iech ongeféier 4000 dausend ACEs (ACL Linnen).

Wann Dir mat dem Problem vun net genuch TCAM konfrontéiert ass, dann, éischtens, natierlech, musst Dir d'Méiglechkeet vun der Optimisatioun berücksichtegen. Also, am Fall vun engem Problem mat der Gréisst vun der Forwarding Table, musst Dir d'Méiglechkeet berücksichtegen fir Strecken ze aggregéieren. Am Fall vun engem Problem mat der TCAM Gréisst fir Zougang, Audit Accès, ewechzehuelen al an iwwerlappende records, an eventuell d'Prozedur fir Ouverture Zougang iwwerschaffen (gëtt am Detail am Kapitel iwwer Audit Zougang diskutéiert ginn).

High Availability

D'Fro ass: Soll ech HA fir Firewalls benotzen oder zwee onofhängeg Këschte "parallel" installéieren an, wann ee vun hinnen feelt, de Verkéier duerch déi zweet route?

Et géif schéngen datt d'Äntwert offensichtlech ass - benotzt HA. De Grond firwat dës Fro ëmmer nach stellt, ass datt leider déi theoretesch a Reklamm 99 an e puer Dezimalprozentser vun der Accessibilitéit an der Praxis wäit vun esou roseg erausginn. HA ass logesch eng zimlech komplex Saach, an op verschidden Ausrüstung, a mat verschiddene Verkeefer (et ware keng Ausnahmen), hu mir Probleemer a Käfere a Servicestoppe gefaangen.

Wann Dir HA benotzt, hutt Dir d'Méiglechkeet fir eenzel Wirbelen auszeschalten, tëscht hinnen ze wiesselen ouni de Service ze stoppen, wat wichteg ass, zum Beispill wann Dir Upgrades maacht, awer gläichzäiteg hutt Dir eng wäit vun Null Wahrscheinlechkeet datt béid Wirbelen wäert gläichzäiteg briechen, an och datt déi nächst d'Aktualiséierung net sou glat geet wéi de Verkeefer versprécht (dëse Problem kann vermeit ginn wann Dir d'Méiglechkeet hutt den Upgrade op Laborausrüstung ze testen).

Wann Dir net HA benotzt, dann aus der Siicht vum Duebelfehler sinn Är Risiken vill méi niddereg (well Dir 2 onofhängeg Firewalls hutt), awer zënter ... Sessiounen sinn net synchroniséiert, dann all Kéier wann Dir tëscht dëse Firewalls wiesselt, verléiert Dir Traffic. Dir kënnt natierlech stateless Firewalling benotzen, awer dann ass de Punkt fir eng Firewall ze benotzen gréisstendeels verluer.

Dofir, wann Dir als Resultat vum Audit lonely Firewalls entdeckt hutt, an Dir denkt drun d'Zouverlässegkeet vun Ärem Netzwierk ze erhéijen, dann ass HA natierlech eng vun de recommandéiert Léisungen, awer Dir sollt och d'Nodeeler berücksichtegen, déi verbonne sinn. mat dëser Approche an, vläicht, speziell fir Äre Reseau, eng aner Léisung wier méi gëeegent.

Managéierbarkeet

Am Prinzip geet et bei HA och ëm Kontrollbarkeet. Amplaz 2 Këschte separat ze konfiguréieren an de Problem ze këmmeren fir d'Konfiguratiounen synchroniséiert ze halen, verwalt Dir se vill wéi wann Dir en Apparat hätt.

Awer vläicht hutt Dir vill Datenzenteren a vill Firewalls, da stellt dës Fro op engem neien Niveau. An d'Fro ass net nëmmen iwwer Konfiguratioun, awer och iwwer

  • Backupsatellit Konfiguratiounen
  • Aktualiséierungen
  • Upgrades
  • Iwwerwachung
  • aloggen

An all dat kann duerch zentraliséiert Gestioun Systemer geléist ginn.

Also, zum Beispill, wann Dir Palo Alto Firewalls benotzt, dann Panorama ass esou eng Léisung.

Fir weidergeleet gëtt.

Source: will.com

Setzt e Commentaire