ProHoster > Blog > Administratioun > Wéi Dir d'Kontroll iwwer Är Netzwierkinfrastruktur iwwerhëlt. Kapitel dräi. Reseau Sécherheet. Drëtten Deel

Wéi Dir d'Kontroll iwwer Är Netzwierkinfrastruktur iwwerhëlt. Kapitel dräi. Reseau Sécherheet. Drëtten Deel

Dësen Artikel ass de fënneften an der Serie "Wéi kontrolléiert Dir Är Netzwierkinfrastruktur." Den Inhalt vun all Artikelen an der Serie a Linken kann fonnt ginn hei.

Dësen Deel gëtt dem Campus (Office) & Fernzougang VPN Segmenter gewidmet.

Wéi Dir d'Kontroll iwwer Är Netzwierkinfrastruktur iwwerhëlt. Kapitel dräi. Reseau Sécherheet. Drëtten Deel

Office Reseau Design kann einfach schéngen.

Tatsächlech huelen mir L2 / L3 Schalter a verbannen se mateneen. Als nächst maache mir e Basiskonfiguratioun vu Vilanen a Standardpaarten, setzen einfache Routing, verbannen WiFi Controller, Zougangspunkten, installéieren a konfiguréieren ASA fir Fernzougang, mir si frou datt alles geschafft huet. Am Fong, wéi ech schonn an engem vun de virdrun geschriwwen Artikelen vun dësem Zyklus, bal all Student, deen zwee Semester vun engem Telekomcours deelgeholl huet (a geléiert) kann en Büronetz designen an konfiguréieren sou datt et "irgendwéi funktionnéiert."

Awer wat Dir méi léiert, wat manner einfach dës Aufgab fänkt un ze schéngen. Fir mech perséinlech schéngt dëst Thema, d'Thema vum Büro-Netzwierkdesign, guer net einfach, an an dësem Artikel probéieren ech ze erklären firwat.

Kuerz gesot, et ginn e puer Faktore fir ze berücksichtegen. Dacks sinn dës Faktore matenee Konflikt an e vernünftege Kompromiss muss gesicht ginn.
Dës Onsécherheet ass d'Haaptschwieregkeet. Also, iwwer Sécherheet schwätzen, hu mir en Dräieck mat dräi Wirbelen: Sécherheet, Komfort fir Mataarbechter, Präis vun der Léisung.
An all Kéier musst Dir no engem Kompromëss tëscht dësen dräi sichen.

Architektur

Als Beispill vun enger Architektur fir dës zwee Segmenter, wéi a fréieren Artikelen, recommandéieren ech Cisco SAFE Modell: Enterprise Campus, Enterprise Internet Edge.

Dëst sinn e bëssen alen Dokumenter. Ech presentéieren se hei, well d'fundamental Schemaen an Approche hunn net geännert, mä an der selwechter Zäit gefällt mer d'Presentatioun méi wéi an nei Dokumentatioun.

Ouni Iech encouragéieren Cisco Léisungen ze benotzen, Ech mengen nach ëmmer et nëtzlech ass dëst Design virsiichteg ze studéieren.

Dësen Artikel, wéi gewinnt, mécht op kee Fall wéi komplett ze sinn, mee ass éischter eng Ergänzung zu dëser Informatioun.

Um Enn vum Artikel wäerte mir de Cisco SAFE Büro Design am Sënn vun de Konzepter analyséieren hei duergestallt.

Generelle Prinzipien

Den Design vum Büronetz muss natierlech den allgemenge Viraussetzungen erfëllen, déi diskutéiert goufen hei am Kapitel "Critèrë fir d'Bewäertung vun der Designqualitéit". Nieft Präis a Sécherheet, déi mir an dësem Artikel wëlle diskutéieren, ginn et nach ëmmer dräi Critèren, déi mir musse berécksiichtegen beim Design (oder Ännerungen):

  • Skalierbarkeet
  • Einfachheet vun der Benotzung (Managéierbarkeet)
  • Disponibilitéit

Vill vun deem gouf diskutéiert fir Daten Zentren Dat gëllt och fir de Büro.

Awer trotzdem huet de Bürosegment seng eege Spezifizitéiten, déi aus Sécherheetssiicht kritesch sinn. D'Essenz vun dëser Spezifizitéit ass datt dëst Segment geschaf ass fir Netzwierkservicer u Mataarbechter (wéi och Partner a Gäscht) vun der Firma ze bidden, an als Resultat, um héchsten Niveau vun der Berücksichtegung vum Problem hu mir zwou Aufgaben:

  • schützen d'Firma Ressourcen vu béiswëlleg Handlungen, déi vu Mataarbechter kommen (Gäscht, Partner) a vun der Software déi se benotzen. Dëst beinhalt och Schutz géint onerlaabt Verbindung zum Netz.
  • schützen Systemer a Benotzerdaten

An dëst ass nëmmen eng Säit vum Problem (oder éischter, ee Wirbels vum Dräieck). Op der anerer Säit ass d'Benotzerkomfort an de Präis vun de benotzte Léisungen.

Loosst eis ufänken mat ze kucken wat e Benotzer vun engem modernen Büronetz erwaart.

Ariichtungen

Hei ass wéi "Netzwierkméiglechkeeten" fir en Büro Benotzer menger Meenung no ausgesinn:

  • Mobilitéit
  • D'Kapazitéit fir déi ganz Palette vu vertraute Geräter a Betribssystemer ze benotzen
  • Einfach Zougang zu all néideg Firma Ressourcen
  • Disponibilitéit vun Internet Ressourcen, dorënner verschidde Cloud Servicer
  • "Schnell Operatioun" vum Netz

All dëst gëllt souwuel fir Mataarbechter a Gäscht (oder Partner), an et ass d'Aufgab vun den Ingenieuren vun der Firma den Zougang fir verschidde Benotzergruppen op Basis vun der Autorisatioun z'ënnerscheeden.

Loosst eis all eenzel vun dësen Aspekter e bësse méi detailléiert kucken.

Mobilitéit

Mir schwätzen iwwer d'Méiglechkeet fir ze schaffen an all déi néideg Firmenressourcen vun iwwerall op der Welt ze benotzen (natierlech, wou den Internet verfügbar ass).

Dëst gëllt voll fir de Büro. Dëst ass praktesch wann Dir d'Méiglechkeet hutt iwwerall am Büro weider ze schaffen, zum Beispill, Mail ze kréien, an engem Corporate Messenger ze kommunizéieren, fir e Video Uruff disponibel ze sinn, ... Also, dëst erlaabt Iech, engersäits, fir e puer Themen "Live" Kommunikatioun ze léisen (zum Beispill, un Rallyen deelhuelen), an op der anerer Säit, ëmmer online sinn, Äre Fanger um Puls halen a séier e puer dringend prioritär Aufgaben léisen. Dëst ass ganz bequem a verbessert wierklech d'Qualitéit vun der Kommunikatioun.

Dëst gëtt erreecht duerch de richtege WiFi Netzwierkdesign.

Note:

Hei stellt sech normalerweis d'Fro: ass et genuch nëmme WiFi ze benotzen? Heescht dat, datt Dir opzehalen Ethernet Häfen am Büro benotzen kann? Wa mir nëmmen iwwer Benotzer schwätzen, an net iwwer Serveren, déi nach ëmmer raisonnabel sinn fir mat engem normale Ethernet Hafen ze verbannen, dann ass d'Äntwert allgemeng: Jo, Dir kënnt Iech nëmmen op WiFi limitéieren. Mee et ginn Nuancen.

Et gi wichteg Benotzergruppen déi eng separat Approche erfuerderen. Dëst sinn natierlech Administrateuren. Am Prinzip ass eng WiFi Verbindung manner zouverlässeg (wat de Verkéiersverloscht ugeet) a méi lues wéi e normale Ethernet Hafen. Dëst kann bedeitend sinn fir Administrateuren. Zousätzlech kënnen Netzadministratoren zum Beispill am Prinzip hiren eegene Ethernet Netzwierk fir Out-of-Band Verbindungen hunn.

Et kënnen aner Gruppen/Departementer an Ärer Firma sinn, fir déi dës Faktoren och wichteg sinn.

Et gëtt en anere wichtege Punkt - Telefonie. Vläicht aus irgend engem Grond wëllt Dir net Wireless VoIP benotzen a wëllt IP Telefone mat enger regulärer Ethernet Verbindung benotzen.

Am Allgemengen, hunn d'Firmen fir déi ech geschafft hunn normalerweis souwuel WiFi Konnektivitéit an en Ethernet Hafen.

Ech hätt gär datt d'Mobilitéit net nëmmen op de Büro limitéiert ass.

Fir d'Fäegkeet ze garantéieren vun doheem ze schaffen (oder all aner Plaz mat zougänglechen Internet), gëtt eng VPN Verbindung benotzt. Zur selwechter Zäit ass et wënschenswäert datt d'Mataarbechter den Ënnerscheed net fillen tëscht doheem schaffen an Fernaarbecht, déi deeselwechten Zougang iwwerhëlt. Mir wäerten diskutéieren wéi Dir dëst e bësse méi spéit am Kapitel "Vereenegt zentraliséiert Authentifikatioun an Autorisatioun System organiséiert."

Note:

Wahrscheinlech wäert Dir net fäeg sinn déi selwecht Qualitéit vu Servicer fir Fernaarbecht voll ze bidden, déi Dir am Büro hutt. Loosst eis unhuelen datt Dir e Cisco ASA 5520 als Äre VPN Paart benotzt Datenblat dësen Apparat ass fäeg nëmmen 225 Mbit VPN Verkéier ze "verdauen". Dat ass, natierlech, wat d'Bandbreed ugeet, d'Verbindung iwwer VPN ass ganz anescht wéi vum Büro schaffen. Och wann, aus irgend engem Grond, Latenz, Verloscht, Jitter (zum Beispill, Dir wëllt Büro IP-Telefonie benotzen) fir Är Netzwierkservicer bedeitend sinn, kritt Dir och net déi selwecht Qualitéit wéi wann Dir am Büro wier. Dofir, wann Dir iwwer Mobilitéit schwätzt, musse mir iwwer méiglech Aschränkungen bewosst sinn.

Einfach Zougang zu all Firma Ressourcen

Dës Aufgab soll zesumme mat aneren techneschen Departementer geléist ginn.
Déi ideal Situatioun ass wann de Benotzer nëmmen eemol muss authentifizéieren, an duerno huet hien Zougang zu all néideg Ressourcen.
Einfach Zougang ubidden ouni d'Sécherheet ofzeschafen kann d'Produktivitéit wesentlech verbesseren an de Stress ënner Äre Kollegen reduzéieren.

Note 1

Einfach Zougang ass net nëmmen iwwer wéi oft Dir musst e Passwuert aginn. Wann, zum Beispill, am Aklang mat Ärer Sécherheetspolitik, fir vum Büro an den Datenzenter ze verbannen, musst Dir als éischt un de VPN Gateway verbannen, a gläichzäiteg den Zougang zu Büroressourcen verléiert, dann ass dat och ganz , ganz onbequem.

Note 2

Et gi Servicer (zum Beispill Zougang zu Netzwierkausrüstung) wou mir normalerweis eis eegen dedizéierten AAA-Server hunn an dëst ass d'Norm wann mir an dësem Fall e puer Mol mussen authentifizéieren.

Disponibilitéit vun Internet Ressourcen

Den Internet ass net nëmmen Ënnerhalung, awer och eng Rei vu Servicer, déi fir d'Aarbecht ganz nëtzlech kënne sinn. Et ginn och reng psychologesch Faktoren. Eng modern Persoun ass mat anere Leit iwwer den Internet duerch vill virtuell thread verbonnen, a menger Meenung no ass et näischt falsch wann hien dës Verbindung weider fillt och wärend der Aarbecht.

Aus der Siicht vun der Zäitverschwendung ass et näischt falsch wann en Employé zum Beispill Skype leeft a verbréngt 5 Minutte fir mat engem beléiften ze kommunizéieren wann néideg.

Heescht dat datt den Internet ëmmer soll sinn, heescht dat datt d'Mataarbechter Zougang zu all Ressourcen hunn an se op keng Manéier kontrolléieren?

Nee heescht dat natierlech net. Den Niveau vun der Offenheet vum Internet ka fir verschidde Firmen variéieren - vu kompletter Zoumaache bis komplett Offenheet. Mir diskutéiere Weeër fir de Verkéier ze kontrolléieren spéider an de Rubriken iwwer Sécherheetsmoossnamen.

D'Kapazitéit fir déi ganz Palette vu vertraute Geräter ze benotzen

Et ass bequem wann Dir zum Beispill d'Méiglechkeet hutt all Kommunikatiounsmëttelen ze benotzen, déi Dir op der Aarbecht gewinnt sidd. Et gëtt keng technesch Schwieregkeeten dëst ëmzesetzen. Fir dës braucht Dir WiFi an e Gaascht Wilan.

Et ass och gutt wann Dir d'Méiglechkeet hutt de Betribssystem ze benotzen deen Dir gewinnt sidd. Awer, a menger Observatioun, ass dëst normalerweis nëmme fir Manager, Administrateuren an Entwéckler erlaabt.

Beispill:

Dir kënnt natierlech de Wee vun de Verbueter verfollegen, den Fernzougang verbidden, d'Verbindung vu mobilen Apparater verbidden, alles op statesch Ethernet Verbindungen limitéieren, den Zougang zum Internet limitéieren, Handyen a Gadgeten obligatoresch um Kontrollpunkt konfiskéieren ... an dëse Wee gëtt eigentlech vun e puer Organisatiounen mat verstäerkte Sécherheet Ufuerderunge gefollegt, a vläicht an e puer Fäll kann dëst gerechtfäerdegt ginn, mä ... Dir musst averstanen, datt dëst ausgesäit wéi e Versuch Fortschrëtter an enger eenzeger Organisatioun ze stoppen. Natierlech géif ech gär d'Chancen, déi modern Technologien ubidden, mat engem genuch Sécherheetsniveau kombinéieren.

"Schnell Operatioun" vum Netz

Datenübertragungsgeschwindegkeet besteet technesch aus ville Faktoren. An d'Geschwindegkeet vun Ärem Verbindungsport ass normalerweis net déi wichtegst. De luesen Operatioun vun enger Applikatioun ass net ëmmer mat Netzwierkproblemer assoziéiert, awer fir de Moment sinn mir nëmmen am Netzdeel interesséiert. De stäerkste gemeinsam Problem mat lokal Reseau "Slowdown" ass Zesummenhang mat Pak Verloscht. Dëst geschitt normalerweis wann et e Flaschenhals oder L1 (OSI) Probleemer gëtt. Méi selten, mat e puer Designen (zum Beispill, wann Är Ënnernetzer eng Firewall als Standardpaart hunn an domat all Traffic duerch et geet), kann d'Hardwareleistung feelen.

Dofir, wann Dir Ausrüstung an Architektur auswielt, musst Dir d'Geschwindegkeete vun den Endhäfen, d'Stämm an d'Ausrüstungsleistung korreléieren.

Beispill:

Loosst eis unhuelen datt Dir Schalter mat 1 Gigabit Ports als Zougangschichtschalter benotzt. Si sinn iwwer Etherchannel 2 x 10 Gigabit matenee verbonnen. Als Standardpaart benotzt Dir eng Firewall mat Gigabit Ports, fir ze verbannen, déi mam L2 Büronetz benotzt Dir 2 Gigabit Ports kombinéiert an en Etherchannel.

Dës Architektur ass ganz bequem aus enger Funktionalitéit Siicht, well ... All Verkéier geet duerch d'Firewall, an du kanns bequem verwalten Zougang Politik, an gëlle komplex algorithms fir eng Kontroll Verkéier a verhënneren méiglech Attacken (kuckt hei ënnendrënner), mee aus engem Débit an Leeschtung Siicht huet dësen Design, natierlech, Potential Problemer. Also, zum Beispill, 2 Hosten, déi Daten eroflueden (mat enger Portgeschwindegkeet vun 1 Gigabit) kënnen eng 2 Gigabit Verbindung mat der Firewall komplett lueden, an doduerch zu Servicedegradatioun fir de ganze Bürosegment féieren.

Mir hunn een Héichpunkt vum Dräieck gekuckt, elo kucke mer wéi mir d'Sécherheet garantéieren.

Heelmëttel

Also, natierlech, normalerweis eise Wonsch (oder éischter, de Wonsch vun eiser Gestioun) ass et onméiglech ze erreechen, nämlech maximal Komfort mat maximal Sécherheet a Minimum Käschten ze bidden.

Loosst eis kucken wéi eng Methode mir hunn fir Schutz ze bidden.

Fir de Büro géif ech déi folgend Highlight:

  • Null Vertrauen Approche fir Design
  • héije Schutzniveau
  • Reseau Visibilitéit
  • vereenegt zentraliséiert Authentifikatioun an Autorisatioun System
  • Host Iwwerpréiwung

Als nächst wäerte mir e bësse méi detailléiert op all eenzel vun dësen Aspekter wunnen.

Null Vertrauen

D'IT Welt ännert sech ganz séier. Just iwwer déi lescht 10 Joer huet d'Entstoe vun neien Technologien a Produkter zu enger grousser Revisioun vu Sécherheetskonzepter gefouert. Virun 2 Joer hu mir aus Sécherheetssiicht d'Netzwierk a Vertrauens-, dmz- an Onvertrauenszonen segmentéiert, an de sougenannte "Perimeterschutz" benotzt, wou et 3 Verteidegungslinne gouf: Ontrauen -> dmz an dmz -> vertrauen. Och Schutz war normalerweis limitéiert op Zougangslëschte baséiert op L4 / L7 (OSI) Header (IP, TCP / UDP Ports, TCP Fändelen). Alles am Zesummenhang mat méi héijen Niveauen, dorënner LXNUMX, gouf op den OS a Sécherheetsprodukter op den Endhost installéiert.

Elo huet d'Situatioun dramatesch geännert. Modernt Konzept null Vertrauen kënnt aus der Tatsaach, datt et net méi méiglech ass intern Systemer ze betruecht, dat ass, déi am Perimeter läit, als trauen, an d'Konzept vun der Perimeter selwer ass verschwonn.
Nieft der Internetverbindung hu mir och

  • Fernzougang VPN Benotzer
  • verschidde perséinlech Gadgeten, bruecht Laptop, verbonne via Büro WiFi
  • aner (Branchen) Büroen
  • Integratioun mat Cloud Infrastruktur

Wéi gesäit d'Zero Trust Approche an der Praxis aus?

Idealerweis soll nëmmen de Verkéier deen erfuerderlech ass erlaabt sinn a wa mir vun engem Ideal schwätzen, da soll d'Kontroll net nëmmen um Niveau L3/L4 sinn, mee um Applikatiounsniveau.

Wann Dir zum Beispill d'Fäegkeet hutt all Traffic duerch eng Firewall ze passéieren, da kënnt Dir probéieren d'Ideal méi no ze kommen. Awer dës Approche kann d'total Bandbreed vun Ärem Netz wesentlech reduzéieren, an ausserdeem funktionnéiert d'Filterung no Applikatioun net ëmmer gutt.

Wann Dir de Traffic op engem Router oder L3 Schalter kontrolléiert (mat Standard ACLs), stitt Dir op aner Probleemer:

  • Dëst ass nëmmen L3/L4 Filteren. Et gëtt näischt wat en Ugräifer verhënnert fir erlaabt Ports (zB TCP 80) fir hir Applikatioun ze benotzen (net http)
  • komplex ACL Gestioun (schwéier ACLs ze analyséieren)
  • Dëst ass keng statefull Firewall, dat heescht datt Dir explizit ëmgedréint Traffic muss erlaben
  • mat Schalteren sidd Dir normalerweis zimlech enk limitéiert vun der Gréisst vum TCAM, wat séier e Problem ka ginn wann Dir d'Approche "nëmmen erlaabt wat Dir braucht" maacht

Note:

Apropos ëmgedréint Traffic, mir mussen drun erënneren datt mir déi folgend Geleeënheet hunn (Cisco)

erlaabt tcp all etabléiert

Awer Dir musst verstoen datt dës Linn mat zwou Zeilen gläichwäerteg ass:
erlaabt tcp all ack
erlaabt tcp all rst

Wat heescht datt och wann et keen initialen TCP-Segment mam SYN-Fändel war (dat ass, d'TCP-Sessioun huet net emol ugefaang ze etabléieren), erlaabt dësen ACL e Paket mam ACK-Fändel, deen en Ugräifer benotze kann fir Daten ze transferéieren.

Dat ass, dës Linn mécht op kee Fall Äre Router oder L3 Schalter an eng statefull Firewall.

Héich Schutzniveau

В Artikel An der Rubrik iwwer Datenzenter hu mir déi folgend Schutzmethoden berücksichtegt.

  • stateful Firewalling (Standard)
  • ddos / dos Schutz
  • Applikatioun Firewalling
  • Gefor Präventioun (Antivirus, Anti-Spyware, a Schwachstelle)
  • URL Filter
  • Datefilter (Inhaltsfilter)
  • Dateiblocking (Dateitypen blockéieren)

Am Fall vun engem Büro ass d'Situatioun ähnlech, awer d'Prioritéite si liicht anescht. Office Disponibilitéit (Disponibilitéit) ass normalerweis net sou kritesch wéi am Fall vun engem Rechenzentrum, während d'Wahrscheinlechkeet vum "internen" béiswëllegen Traffic Uerder vun der Gréisst méi héich ass.
Dofir ginn déi folgend Schutzmethoden fir dëst Segment kritesch:

  • Applikatioun Firewalling
  • Gefor Präventioun (Anti-Virus, Anti-Spyware, a Schwachstelle)
  • URL Filter
  • Datefilter (Inhaltsfilter)
  • Dateiblocking (Dateitypen blockéieren)

Och wann all dës Schutzmethoden, mat Ausnam vun der Applikatioun Firewalling, traditionell op den Endhoster geléist sinn a weidergespillt ginn (zum Beispill duerch Installatioun vun Antivirus Programmer) a Proxyen benotzen, modern NGFWs bidden och dës Servicer.

Sécherheetsausrüstungsverkeefer beméien sech fir e komplette Schutz ze kreéieren, also zesumme mam lokale Schutz bidden se verschidde Cloud Technologien a Client Software fir Hosten (Endpunktschutz / EPP). Also, zum Beispill, vun 2018 Gartner Magic Quadrant Mir gesinn, datt Palo Alto an Cisco hunn hir eege EPPs (PA: Fallen, Cisco: AMP), mä si wäit vun de Leader.

Dës Protectiounen aktivéieren (normalerweis andeems Dir Lizenzen kaaft) op Ärer Firewall ass natierlech net obligatoresch (Dir kënnt op déi traditionell Streck goen), awer et bitt e puer Virdeeler:

  • an dësem Fall gëtt et een eenzege Punkt vun der Uwendung vu Schutzmethoden, wat d'Visibilitéit verbessert (kuckt den nächsten Thema).
  • Wann et en ongeschützten Apparat op Ärem Netz ass, da fällt et nach ëmmer ënner dem "Diram" vum Firewall Schutz
  • Andeems Dir Firewall Schutz a Verbindung mam End-Host-Schutz benotzt, erhéijen mir d'Wahrscheinlechkeet fir béiswëlleg Traffic z'entdecken. Zum Beispill, d'Benotzung vu Bedrohungspräventioun op lokalen Hosten an op enger Firewall erhéicht d'Wahrscheinlechkeet vun der Detektioun (virausgesat, natierlech, datt dës Léisunge op verschiddene Softwareprodukter baséieren)

Note:

Wann Dir zum Beispill Kaspersky als Antivirus souwuel op der Firewall wéi och um Ennhost benotzt, da wäert dëst natierlech Är Chancen net vill erhéijen fir e Virusattack op Ärem Netz ze vermeiden.

Netzwierk Visibilitéit

Haaptiddi ass einfach - "kuckt" wat an Ärem Netzwierk geschitt, souwuel an Echtzäit wéi an historesch Daten.

Ech géif dës "Visioun" an zwou Gruppen opdeelen:

Grupp 1: wat Ären Iwwerwaachungssystem Iech normalerweis ubitt.

  • Ausrüstung Luede
  • Luede Channels
  • Erënnerung Benotzung
  • Disk Notzung
  • Ännerung vun der Routing Tabelle
  • Link Status
  • Disponibilitéit vun Ausrüstung (oder Hosten)
  • ...

Grupp zwee: Sécherheet Zesummenhang Informatiounen.

  • verschidden Zorte vu Statistiken (zum Beispill, no Applikatioun, duerch URL Traffic, wéi eng Zorte vun Daten erofgeluede goufen, Benotzerdaten)
  • wat duerch d'Sécherheetspolitik blockéiert gouf an aus wéi engem Grond, nämlech
    • verbueden Applikatioun
    • verbueden baséiert op IP / Protokoll / Port / Fändelen / Zonen
    • Bedrohung Präventioun
    • URL Filteren
    • Daten Filteren
    • Dateie blockéieren
    • ...
  • Statistiken iwwer DOS / DDOS Attacken
  • gescheitert Identifikatioun an Autorisatioun Versich
  • Statistike fir all déi uewe genannte Sécherheetspolitik Verletzungsevenementer
  • ...

An dësem Kapitel iwwert d'Sécherheet interesséiert eis den zweeten Deel.

E puer modern Firewalls (vu menger Palo Alto Erfahrung) bidden e gudden Niveau vu Visibilitéit. Awer natierlech muss de Traffic, deen Dir interesséiert sidd, duerch dës Firewall goen (an deem Fall hutt Dir d'Fäegkeet Traffic ze blockéieren) oder op d'Firewall gespigelt (nëmme fir Iwwerwaachung an Analyse benotzt), an Dir musst Lizenzen hunn fir all z'aktivéieren. dës Servicer.

Et gëtt natierlech eng alternativ Manéier, oder éischter déi traditionell Manéier, z.B.

  • Sessiounsstatistike kënnen iwwer Netflow gesammelt ginn an duerno speziell Utilities fir Informatiounsanalyse an Datenvisualiséierung benotzt ginn
  • Bedrohung Präventioun - speziell Programmer (Anti-Virus, Anti-Spyware, Firewall) op Enn Hosten
  • URL-Filterung, Datefilter, Dateiblockéierung - op Proxy
  • et ass och méiglech tcpdump z.B. schnauwen

Dir kënnt dës zwou Approche kombinéieren, fehlend Feature ergänzen oder se duplizéieren fir d'Wahrscheinlechkeet ze erhéijen fir en Attack z'entdecken.

Wéi eng Approche sollt Dir wielen?
Hängt héich vun de Qualifikatiounen a Virléiften vun Ärem Team of.
Souwuel do an do sinn Virdeeler an Nodeeler.

Vereenegt zentraliséiert Authentifikatioun an Autorisatioun System

Wann gutt entworf ass, gëtt d'Mobilitéit, déi mir an dësem Artikel diskutéiert hunn, ugeholl datt Dir deeselwechten Zougang hutt, egal ob Dir vum Büro oder vun doheem schafft, vum Fluchhafen, vun engem Kaffisréischterei oder soss anzwousch (mat de Beschränkungen, déi mir hei uewen diskutéiert hunn). Et géif schéngen, wat ass de Problem?
Fir d'Komplexitéit vun dëser Aufgab besser ze verstoen, kucke mer en typesche Design.

Beispill:

  • Dir hutt all Mataarbechter a Gruppen opgedeelt. Dir hutt decidéiert Zougang vu Gruppen ze bidden
  • Bannen am Büro kontrolléiert Dir den Zougang op der Büro Firewall
  • Dir kontrolléiert de Traffic vum Büro an den Datenzenter op der Datezentrum Firewall
  • Dir benotzt eng Cisco ASA als VPN Gateway, a fir de Traffic ze kontrolléieren, deen an Ärem Netz vu Fernclienten eragitt, benotzt Dir lokal (op den ASA) ACLs

Elo, loosst eis soen datt Dir gefrot sidd zousätzlech Zougang zu engem bestëmmte Mataarbechter ze addéieren. An dësem Fall, sidd Dir gefrot nëmmen Zougang zu him a keen aneren aus sengem Grupp ze addéieren.

Fir dëst musse mir eng separat Grupp fir dësen Employé schafen, dat ass

  • eng separat IP Pool op der ASA fir dësen Employé schafen
  • füügt en neien ACL op der ASA un a bindt et un dee Remote Client
  • nei Sécherheetspolitik op Büro- an Datenzenter Firewalls erstellen

Et ass gutt wann dëst Evenement rar ass. Mä a menger Praxis gouf et eng Situatioun, wou d'Mataarbechter u verschiddene Projeten deelgeholl hunn, an dës Set vu Projete fir e puer vun hinnen hu sech zimlech oft geännert, an et war net 1-2 Leit, awer Dosende. Hei misst natierlech eppes geännert ginn.

Dëst gouf op déi folgend Manéier geléist.

Mir hunn décidéiert datt LDAP déi eenzeg Quell vun der Wourecht wier, déi all méiglech Mataarbechterzougang bestëmmt. Mir hunn all Zorte vu Gruppen erstallt déi Sätz vun Zougang definéieren, a mir hunn all Benotzer op eng oder méi Gruppen zougewisen.

Also, zum Beispill, ugeholl datt et Gruppen goufen

  • Gaascht (Internetzougang)
  • gemeinsamen Zougang (Zougang zu gemeinsame Ressourcen: Mail, Wëssensbasis, ...)
  • Comptabilitéit
  • Projet 1
  • Projet 2
  • Datebank Administrateur
  • linux Administrator
  • ...

A wann ee vun de Mataarbechter souwuel am Projet 1 wéi och beim Projet 2 involvéiert war, an hien den Zougang brauch fir an dëse Projeten ze schaffen, dann ass dësen Employé an déi folgend Gruppen zougewisen:

  • Gaascht
  • gemeinsam Zougang
  • Projet 1
  • Projet 2

Wéi kënne mir elo dës Informatioun an Zougang op Netzwierkausrüstung ëmsetzen?

Cisco ASA Dynamic Access Policy (DAP) (kuckt www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) Léisung ass just richteg fir dës Aufgab.

Kuerz iwwer eis Ëmsetzung, wärend dem Identifikatiouns-/Autorisatiounsprozess, kritt d'ASA vun LDAP eng Rei vu Gruppen, déi zu engem bestëmmte Benotzer entspriechen, a "sammelt" aus e puer lokalen ACLs (jidderee vun deenen entsprécht enger Grupp) eng dynamesch ACL mat all néideg Zougang , déi voll eise Wënsch entsprécht.

Awer dëst ass nëmme fir VPN Verbindungen. Fir d'Situatioun déiselwecht ze maachen fir béid Mataarbechter, déi iwwer VPN verbonne sinn an déi am Büro, gouf de folgende Schrëtt gemaach.

Wann Dir vum Büro verbënnt, sinn d'Benotzer déi den 802.1x Protokoll benotzen entweder an engem Gaascht-LAN ​​(fir Gäscht) oder e gemeinsame LAN (fir Firmebeamten). Weider, fir spezifesch Zougang ze kréien (zum Beispill zu Projeten an engem Rechenzentrum), hunn d'Mataarbechter missen iwwer VPN konnektéieren.

Fir aus dem Büro a vun doheem ze verbannen, goufen verschidden Tunnelgruppen op der ASA benotzt. Dëst ass néideg fir datt fir déi, déi vum Büro verbannen, de Verkéier op gemeinsame Ressourcen (benotzt vun all Mataarbechter, wéi Mail, Dateiserver, Ticketsystem, dns, ...) net duerch d'ASA geet, mee duerch de lokalen Netzwierk . Also hu mir d'ASA net mat onnéidege Traffic gelueden, dorënner Héichintensitéit Traffic.

Sou war de Problem geléist.
Mir hunn

  • deeselwechte Set vun Zougang fir béid Verbindunge vum Büro a Fernverbindungen
  • Feele vu Servicedegradatioun wann Dir aus dem Büro schafft, verbonne mat der Iwwerdroung vum héijen Intensitéitsverkéier duerch ASA

Wéi eng aner Virdeeler vun dëser Approche?
An Zougang Administratioun. Zougang kann einfach op enger Plaz geännert ginn.
Zum Beispill, wann en Employé d'Firma verléisst, da läscht Dir hien einfach aus LDAP, an hie verléiert automatesch all Zougang.

Host Iwwerpréiwung

Mat der Méiglechkeet vun enger Fernverbindung riskéiere mir net nëmmen e Firmebeamten an d'Netz z'erméiglechen, awer och all déi béiswëlleg Software déi ganz wahrscheinlech op sengem Computer präsent ass (zum Beispill doheem), an doriwwer eraus, duerch dës Software mir kann en Ugräifer Zougang zu eisem Netz ubidden, deen dësen Host als Proxy benotzt.

Et mécht Sënn fir e Fernverbonne Host déi selwecht Sécherheetsfuerderunge wéi en In-Office Host ze gëllen.

Dëst iwwerhëlt och déi "korrekt" Versioun vum OS, Anti-Virus, Anti-Spyware, a Firewall Software an Updates. Typesch existéiert dës Fäegkeet um VPN Gateway (fir ASA kuckt z.B. hei).

Et ass och schlau déiselwecht Verkéiersanalyse a Blockéierungstechniken ze gëllen (kuckt "Héiche Schutzniveau"), déi Är Sécherheetspolitik fir Bürosverkéier gëllt.

Et ass raisonnabel unzehuelen datt Äert Büronetz net méi limitéiert ass op d'Büro Gebai an d'Host an deem.

Beispill:

Eng gutt Technik ass all Employé, deen Remote-Zougang erfuerdert, e gudden, praktesche Laptop ze bidden an datt se verlaangen, datt se souwuel am Büro wéi och vun doheem schaffen, nëmmen dovunner.

Et verbessert net nëmmen d'Sécherheet vun Ärem Netz, awer et ass och wierklech praktesch a gëtt normalerweis favorabel vu Mataarbechter ugesinn (wann et e wierklech gudden, userfrëndleche Laptop ass).

Iwwer e Gefill vu Proportioun a Gläichgewiicht

Prinzipiell ass dëst e Gespréich iwwer den drëtten Héichpunkt vun eisem Dräieck - iwwer de Präis.
Loosst eis e hypothetescht Beispill kucken.

Beispill:

Dir hutt e Büro fir 200 Leit. Dir hutt decidéiert et sou bequem an esou sécher wéi méiglech ze maachen.

Dofir hutt Dir décidéiert all Traffic duerch d'Firewall ze passéieren an dofir ass fir all Büro-Subnets d'Firewall d'Standardpaart. Nieft der Sécherheetssoftware déi op all Ennhost installéiert ass (Anti-Virus, Anti-Spyware a Firewall Software), hutt Dir och décidéiert all méiglech Schutzmethoden op der Firewall anzesetzen.

Fir eng héich Verbindungsgeschwindegkeet ze garantéieren (all fir d'Bequemlechkeet), hutt Dir Schalter mat 10 Gigabit Zougangsporten als Zougangsschalter gewielt, an héich performant NGFW Firewalls als Firewalls, zum Beispill Palo Alto 7K Serie (mat 40 Gigabit Häfen), natierlech mat all Lizenzen. abegraff an, natierlech, eng High Disponibilitéit Pair.

Och, natierlech, fir mat dëser Linn vun Ausrüstung ze schaffen brauche mir op d'mannst e puer héichqualifizéiert Sécherheetsingenieuren.

Als nächst hutt Dir decidéiert all Employé e gudde Laptop ze ginn.

Ganzen, ongeféier 10 Milliounen Dollar fir Ëmsetzung, Honnerte vun Dausende vun Dollar (ech mengen méi no bei enger Millioun) fir alljährlechen Ënnerstëtzung a Paien fir Ingenieuren.

Büro, 200 Leit...
Gemittlech? Ech mengen et ass jo.

Dir kommt mat dëser Propositioun un Är Gestioun ...
Vläicht ginn et eng Rei vu Firmen op der Welt fir déi dëst eng akzeptabel a korrekt Léisung ass. Wann Dir en Employé vun dëser Firma sinn, meng Gratulatioun, awer an der grousser Majoritéit vu Fäll, sinn ech sécher datt Äert Wëssen net vun der Gestioun appréciéiert gëtt.

Ass dëst Beispill iwwerdriwwen? Dat nächst Kapitel wäert dës Fro beäntweren.

Wann Dir op Ärem Netz keng vun den uewe gesitt, dann ass dat d'Norm.
Fir all spezifesche Fall musst Dir Ären eegene raisonnabele Kompromiss tëscht Komfort, Präis a Sécherheet fannen. Dacks braucht Dir net mol NGFW an Ärem Büro, an de L7 Schutz op der Firewall ass net erfuerderlech. Et ass genuch fir e gudden Niveau vu Visibilitéit an Alarmer ze bidden, an dëst kann zum Beispill mat Open Source Produkter gemaach ginn. Jo, Är Reaktioun op en Attack wäert net direkt sinn, awer den Haapt Saach ass datt Dir et gesitt, a mat de richtege Prozesser op der Plaz an Ärem Departement kënnt Dir et séier neutraliséieren.

A loosst mech drun erënneren datt, laut dem Konzept vun dëser Serie vun Artikelen, Dir net en Netz designt, Dir probéiert nëmmen ze verbesseren wat Dir krut.

SAFE Analyse vun Büro Architektur

Opgepasst op dëse roude Quadrat mat deem ech eng Plaz op der Diagramm zougewisen hunn SAFE Secure Campus Architecture Guidedéi ech gären hei diskutéieren.

Wéi Dir d'Kontroll iwwer Är Netzwierkinfrastruktur iwwerhëlt. Kapitel dräi. Reseau Sécherheet. Drëtten Deel

Dëst ass eng vun de Schlësselplaze vun der Architektur an eng vun de wichtegsten Onsécherheeten.

Note:

Ech hunn ni Ariichten oder geschafft mat FirePower (vu Cisco d'Firewall Linn - nëmmen ASA), also ech wäert et wéi all aner Firewall Plëséier, wéi Juniper SRX oder Palo Alto, unzehuelen et déi selwecht Méiglechkeeten huet.

Vun den üblechen Designen gesinn ech nëmme 4 méiglech Optiounen fir eng Firewall mat dëser Verbindung ze benotzen:

  • d'Standardpaart fir all Subnet ass e Schalter, während d'Firewall am transparente Modus ass (dat ass, all Traffic geet duerch et, awer et mécht keen L3 Hop)
  • den Default Gateway fir all Subnet ass d'Firewall Sub-Interfaces (oder SVI Interfaces), de Switch spillt d'Roll vum L2
  • verschidde VRFs ginn um Schalter benotzt, a Verkéier tëscht VRFs geet duerch d'Firewall, Traffic bannent engem VRF gëtt vum ACL um Schalter kontrolléiert
  • all Traffic gëtt op d'Firewall gespigelt fir Analyse an Iwwerwaachung net duerch

Note 1

Kombinatioune vun dësen Optiounen sinn méiglech, awer fir Einfachheet wäerte mir se net berücksichtegen.

Notiz 2

Et gëtt och d'Méiglechkeet PBR (Service Chain Architecture) ze benotzen, awer fir de Moment ass dëst, obwuel eng schéin Léisung menger Meenung no, éischter exotesch, also betruecht ech et net hei.

Vun der Beschreiwung vun de Flëss am Dokument gesi mir datt de Verkéier nach ëmmer duerch d'Firewall geet, dat heescht, am Aklang mat dem Cisco Design, gëtt déi véiert Optioun eliminéiert.

Loosst eis déi éischt zwou Optiounen als éischt kucken.
Mat dësen Optiounen geet all Traffic duerch d'Firewall.

Elo kucke mer Datenblat, kucken Cisco GPL a mir gesinn datt wa mir wëllen datt d'total Bandbreedung fir eise Büro op d'mannst ongeféier 10 - 20 Gigabit ass, da musse mir d'4K Versioun kafen.

Note:

Wann ech iwwer d'total bandwidth schwätzen, Ech mengen Traffic tëscht subnets (an net bannent engem vilana).

Vun der GPL gesi mir datt fir den HA Bundle mat Threat Defense de Präis jee no Modell (4110 - 4150) variéiert vun ~0,5 - 2,5 Milliounen Dollar.

Dat ass, eisen Design fänkt un dem fréiere Beispill ze gleewen.

Heescht dat dësen Design falsch ass?
Nee, dat heescht et net. Cisco gëtt Iech déi bescht méiglech Schutz baséiert op der Produit Linn et huet. Awer dat heescht net datt et e Must-Do fir Iech ass.

Am Prinzip ass dat eng allgemeng Fro, déi sech beim Design vun engem Büro oder Datenzenter stellt, an et heescht nëmmen, datt e Kompromiss muss gesicht ginn.

Zum Beispill, loosst net all Traffic duerch eng Firewall goen, an deem Fall schéngt d'Optioun 3 fir mech zimlech gutt, oder (kuckt virdrun Sektioun) vläicht braucht Dir keng Threat Defense oder braucht guer keng Firewall op dat Reseau Segment, an Dir musst just selwer ze passiv Iwwerwachung limitéieren benotzt bezuelt (net deier) oder Open Source Léisungen, oder Dir braucht eng Firewall, mä vun engem anere Verkeefer.

Normalerweis gëtt et ëmmer dës Onsécherheet an et gëtt keng kloer Äntwert op wéi eng Entscheedung déi bescht fir Iech ass.
Dëst ass d'Komplexitéit an d'Schéinheet vun dëser Aufgab.

Source: will.com

Setzt e Commentaire