ProHoster > Blogs > AdministrÄcija > KÄ pÄrÅemt kontroli pÄr savu tÄ«kla infrastruktÅ«ru. TreÅ”Ä nodaļa. TÄ«kla droŔība. TreÅ”Ä daļa
KÄ pÄrÅemt kontroli pÄr savu tÄ«kla infrastruktÅ«ru. TreÅ”Ä nodaļa. TÄ«kla droŔība. TreÅ”Ä daļa
Å is ir piektais raksts sÄrijÄ āKÄ pÄrÅemt kontroli pÄr savu tÄ«kla infrastruktÅ«ruā. Visu sÄrijas rakstu saturu un saites var atrast Å”eit.
Å Ä« daļa bÅ«s veltÄ«ta Campus (biroja) un attÄlÄs piekļuves VPN segmentiem.
Biroja tÄ«kla dizains var Ŕķist vienkÄrÅ”s.
PatieÅ”Äm, mÄs Åemam L2/L3 slÄdžus un savienojam tos viens ar otru. TÄlÄk mÄs veicam vilanu un noklusÄjuma vÄrteju pamata iestatÄ«Å”anu, iestatÄm vienkÄrÅ”u marÅ”rutÄÅ”anu, savienojam WiFi kontrollerus, piekļuves punktus, instalÄjam un konfigurÄjam ASA attÄlinÄtai piekļuvei, priecÄjamies, ka viss darbojÄs. BÅ«tÄ«bÄ, kÄ jau rakstÄ«ju vienÄ no iepriekÅ”Äjiem raksti Å ajÄ ciklÄ gandrÄ«z katrs students, kurÅ” ir apmeklÄjis (un apguvis) divus telekomunikÄciju kursa semestrus, var izveidot un konfigurÄt biroja tÄ«klu tÄ, lai tas "kaut kÄ darbotos".
Bet jo vairÄk jÅ«s mÄcÄties, jo mazÄk vienkÄrÅ”s Å”is uzdevums sÄk Ŕķist. Man personÄ«gi Ŕī tÄma, biroja tÄ«klu projektÄÅ”anas tÄma, nepavisam neŔķiet vienkÄrÅ”a, un Å”ajÄ rakstÄ mÄÄ£inÄÅ”u paskaidrot, kÄpÄc.
ÄŖsÄk sakot, ir jÄÅem vÄrÄ vairÄki faktori. Bieži vien Å”ie faktori ir pretrunÄ viens ar otru, un ir jÄmeklÄ saprÄtÄ«gs kompromiss.
Å Ä« nenoteiktÄ«ba ir galvenÄ grÅ«tÄ«ba. TÄtad, runÄjot par droŔību, mums ir trÄ«sstÅ«ris ar trim virsotnÄm: droŔība, ÄrtÄ«bas darbiniekiem, risinÄjuma cena.
Un katru reizi ir jÄmeklÄ kompromiss starp Å”iem trim.
Tie ir nedaudz novecojuÅ”i dokumenti. Es tos prezentÄju Å”eit, jo fundamentÄlÄs shÄmas un pieeja nav mainÄ«juÅ”Äs, bet tajÄ paÅ”Ä laikÄ man prezentÄcija patÄ«k vairÄk nekÄ iekÅ”Ä jauna dokumentÄcija.
Nemudinot jÅ«s izmantot Cisco risinÄjumus, es tomÄr uzskatu, ka ir lietderÄ«gi rÅ«pÄ«gi izpÄtÄ«t Å”o dizainu.
Å is raksts, kÄ parasti, nekÄdÄ veidÄ nepretendÄ uz pilnÄ«gu, bet drÄ«zÄk ir Ŕīs informÄcijas papildinÄjums.
Biroju tÄ«kla dizainam, protams, ir jÄatbilst vispÄrÄ«gajÄm prasÄ«bÄm, par kurÄm tika runÄts Å”eit nodaÄ¼Ä āProjekta kvalitÄtes novÄrtÄÅ”anas kritÄrijiā. Papildus cenai un droŔībai, ko mÄs plÄnojam apspriest Å”ajÄ rakstÄ, joprojÄm ir trÄ«s kritÄriji, kas mums jÄÅem vÄrÄ, izstrÄdÄjot (vai veicot izmaiÅas):
mÄrogojamÄ«ba
lietoÅ”anas vienkÄrŔība (vadÄmÄ«ba)
pieejamība
Daudz kas tika apspriests datu centri Tas attiecas arī uz biroju.
Bet tomÄr biroju segmentam ir sava specifika, kas ir kritiska no droŔības viedokļa. Å Ä«s specifikas bÅ«tÄ«ba ir tÄda, ka Å”is segments ir izveidots, lai nodroÅ”inÄtu tÄ«kla pakalpojumus uzÅÄmuma darbiniekiem (kÄ arÄ« partneriem un viesiem), un rezultÄtÄ visaugstÄkajÄ problÄmas izskatÄ«Å”anas lÄ«menÄ« mums ir divi uzdevumi:
aizsargÄt uzÅÄmuma resursus no ļaunprÄtÄ«gÄm darbÄ«bÄm, kuras var nÄkt no darbiniekiem (viesiem, partneriem) un no viÅu izmantotÄs programmatÅ«ras. Tas ietver arÄ« aizsardzÄ«bu pret nesankcionÄtu savienojumu ar tÄ«klu.
aizsargÄt sistÄmas un lietotÄja datus
Un tÄ ir tikai viena problÄmas puse (vai drÄ«zÄk viena trijstÅ«ra virsotne). No otras puses ir lietotÄja ÄrtÄ«bas un izmantoto risinÄjumu cena.
SÄksim ar to, ko lietotÄjs sagaida no moderna biroju tÄ«kla.
SpÄja izmantot visu pazÄ«stamo ierÄ«Äu un operÄtÄjsistÄmu klÄstu
Ärta piekļuve visiem nepiecieÅ”amajiem uzÅÄmuma resursiem
Interneta resursu, tostarp dažÄdu mÄkoÅpakalpojumu, pieejamÄ«ba
TÄ«kla "Ätra darbÄ«ba".
Tas viss attiecas gan uz darbiniekiem, gan viesiem (vai partneriem), un uzÅÄmuma inženieru uzdevums ir diferencÄt piekļuvi dažÄdÄm lietotÄju grupÄm, pamatojoties uz autorizÄciju.
ApskatÄ«sim katru no Å”iem aspektiem nedaudz sÄ«kÄk.
MobilitÄte
Runa ir par iespÄju strÄdÄt un izmantot visus nepiecieÅ”amos uzÅÄmuma resursus no jebkuras vietas pasaulÄ (protams, kur pieejams internets).
Tas pilnÄ«bÄ attiecas uz biroju. Tas ir Ärti, ja jums ir iespÄja turpinÄt darbu no jebkuras vietas birojÄ, piemÄram, saÅemt pastu, sazinÄties korporatÄ«vajÄ kurjerÄ, bÅ«t pieejamam videozvanam, ... TÄdÄjÄdi tas ļauj, no vienas puses, atrisinÄt dažus jautÄjumus ādzÄ«vajÄā saziÅÄ (piemÄram, piedalÄ«ties mÄ«tiÅos), un, no otras puses, vienmÄr bÅ«t tieÅ”saistÄ, turÄt roku uz pulsa un Ätri atrisinÄt dažus steidzamus augstas prioritÄtes uzdevumus. Tas ir ļoti Ärti un patieÅ”Äm uzlabo sakaru kvalitÄti.
Tas tiek panÄkts ar pareizu WiFi tÄ«kla dizainu.
Piezīme:
Å eit parasti rodas jautÄjums: vai ir pietiekami izmantot tikai WiFi? Vai tas nozÄ«mÄ, ka varat pÄrtraukt Ethernet portu izmantoÅ”anu birojÄ? Ja mÄs runÄjam tikai par lietotÄjiem, nevis par serveriem, kuriem joprojÄm ir saprÄtÄ«gi izveidot savienojumu ar parasto Ethernet portu, tad kopumÄ atbilde ir: jÄ, jÅ«s varat aprobežoties tikai ar WiFi. Bet ir nianses.
Ir svarÄ«gas lietotÄju grupas, kurÄm nepiecieÅ”ama atseviŔķa pieeja. Tie, protams, ir administratori. PrincipÄ WiFi savienojums ir mazÄk uzticams (datplÅ«smas zudumu ziÅÄ) un lÄnÄks nekÄ parastais Ethernet ports. Tas var bÅ«t svarÄ«gi administratoriem. TurklÄt, piemÄram, tÄ«kla administratoriem principÄ var bÅ«t savs Ethernet tÄ«kls Ärpusjoslas savienojumiem.
JÅ«su uzÅÄmumÄ var bÅ«t arÄ« citas grupas/nodaļas, kurÄm arÄ« Å”ie faktori ir svarÄ«gi.
Ir vÄl viens svarÄ«gs punkts - telefonija. IespÄjams, kÄda iemesla dÄļ jÅ«s nevÄlaties izmantot bezvadu VoIP un vÄlaties izmantot IP tÄlruÅus ar parastu Ethernet savienojumu.
KopumÄ uzÅÄmumiem, kuros strÄdÄju, parasti bija gan WiFi savienojums, gan Ethernet ports.
Es vÄlÄtos, lai mobilitÄte neaprobežotos tikai ar biroju.
Lai nodroÅ”inÄtu iespÄju strÄdÄt no mÄjÄm (vai jebkurÄ citÄ vietÄ ar pieejamu internetu), tiek izmantots VPN savienojums. TajÄ paÅ”Ä laikÄ ir vÄlams, lai darbinieki neizjustu atŔķirÄ«bu starp darbu no mÄjÄm un attÄlinÄtu darbu, kas paredz vienÄdu piekļuvi. KÄ to organizÄt, mÄs apspriedÄ«sim nedaudz vÄlÄk sadaÄ¼Ä āVienota centralizÄta autentifikÄcijas un autorizÄcijas sistÄmaā.
Piezīme:
VisticamÄk, jÅ«s nevarÄsiet pilnÄ«bÄ nodroÅ”inÄt tÄdas paÅ”as kvalitÄtes pakalpojumus attÄlinÄtajam darbam, kÄda jums ir birojÄ. PieÅemsim, ka kÄ VPN vÄrteju izmantojat Cisco ASA 5520. SaskaÅÄ ar datu lapas Ŕī ierÄ«ce spÄj āsagremotā tikai 225 Mbit VPN trafika. Protams, joslas platuma ziÅÄ savienojuma izveide, izmantojot VPN, ļoti atŔķiras no darba birojÄ. TÄpat, ja kÄda iemesla dÄļ jÅ«su tÄ«kla pakalpojumiem ir ievÄrojams latentums, zudumi, nervozitÄte (piemÄram, vÄlaties izmantot biroja IP telefoniju), jÅ«s arÄ« nesaÅemsiet tÄdu paÅ”u kvalitÄti kÄ birojÄ. TÄpÄc, runÄjot par mobilitÄti, mums ir jÄapzinÄs iespÄjamie ierobežojumi.
Viegla piekļuve visiem uzÅÄmuma resursiem
Å is uzdevums jÄrisina kopÄ«gi ar citÄm tehniskajÄm nodaļÄm.
IdeÄla situÄcija ir tad, kad lietotÄjam ir jÄveic tikai vienreizÄja autentifikÄcija, un pÄc tam viÅam ir pieejami visi nepiecieÅ”amie resursi.
Ärtas piekļuves nodroÅ”inÄÅ”ana, nezaudÄjot droŔību, var ievÄrojami uzlabot produktivitÄti un samazinÄt stresu jÅ«su kolÄÄ£u vidÅ«.
1. piezīme
Piekļuves vienkÄrŔība nav saistÄ«ta tikai ar to, cik reižu jums ir jÄievada parole. Ja, piemÄram, saskaÅÄ ar jÅ«su droŔības politiku, lai izveidotu savienojumu no biroja ar datu centru, vispirms ir jÄizveido savienojums ar VPN vÄrteju un tajÄ paÅ”Ä laikÄ tiek zaudÄta piekļuve biroja resursiem, tad arÄ« tas ir ļoti , ļoti neÄrti.
2. piezīme
Ir servisi (piemÄram, piekļuve tÄ«kla iekÄrtÄm), kur mums parasti ir savi specializÄtie AAA serveri un tÄ ir norma, kad Å”ajÄ gadÄ«jumÄ ir jÄveic autentifikÄcija vairÄkas reizes.
Interneta resursu pieejamība
Internets ir ne tikai izklaide, bet arÄ« pakalpojumu kopums, kas var bÅ«t ļoti noderÄ«gs darbÄ. Ir arÄ« tÄ«ri psiholoÄ£iski faktori. MÅ«sdienu cilvÄks caur internetu ir saistÄ«ts ar citiem cilvÄkiem caur daudziem virtuÄliem pavedieniem, un, manuprÄt, nav nekas slikts, ja viÅÅ” turpina izjust Å”o saikni arÄ« strÄdÄjot.
No laika tÄrÄÅ”anas viedokļa nav nekas slikts, ja darbiniekam, piemÄram, darbojas Skype un vajadzÄ«bas gadÄ«jumÄ viÅÅ” pavada 5 minÅ«tes saziÅai ar mīļoto.
Vai tas nozÄ«mÄ, ka internetam vienmÄr jÄbÅ«t pieejamam, vai tas nozÄ«mÄ, ka darbinieki var piekļūt visiem resursiem un tos nekÄdÄ veidÄ nekontrolÄt?
NÄ, tas, protams, nenozÄ«mÄ. Interneta atvÄrtÄ«bas lÄ«menis dažÄdiem uzÅÄmumiem var atŔķirties ā no pilnÄ«gas slÄgÅ”anas lÄ«dz pilnÄ«gai atvÄrtÄ«bai. Satiksmes kontroles veidus apspriedÄ«sim vÄlÄk sadaļÄs par droŔības pasÄkumiem.
SpÄja izmantot visu pazÄ«stamo ierÄ«Äu klÄstu
Tas ir Ärti, ja, piemÄram, ir iespÄja turpinÄt izmantot visus darbÄ ierastos saziÅas lÄ«dzekļus. To tehniski Ä«stenot nav nekÄdu grÅ«tÄ«bu. Å im nolÅ«kam ir nepiecieÅ”ams WiFi un viesu Wilan.
Ir arÄ« labi, ja jums ir iespÄja izmantot operÄtÄjsistÄmu, pie kuras esat pieradis. Bet, manuprÄt, tas parasti ir atļauts tikai vadÄ«tÄjiem, administratoriem un izstrÄdÄtÄjiem.
PiemÄrs
Var, protams, iet aizliegumu ceļu, aizliegt attÄlo piekļuvi, aizliegt pieslÄgties no mobilajÄm ierÄ«cÄm, ierobežot visu ar statiskajiem Ethernet savienojumiem, ierobežot piekļuvi internetam, kontrolpunktÄ piespiedu kÄrtÄ konfiscÄt mobilos telefonus un sÄ«krÄ«kus... un Å”is ceļŔ patiesÄ«bÄ seko dažas organizÄcijas ar paaugstinÄtÄm droŔības prasÄ«bÄm, un, iespÄjams, atseviŔķos gadÄ«jumos tas var bÅ«t attaisnojams, bet... jums jÄpiekrÄ«t, ka tas izskatÄs pÄc mÄÄ£inÄjuma apturÄt progresu vienas organizÄcijas ietvaros. Protams, es vÄlÄtos apvienot iespÄjas, ko sniedz modernÄs tehnoloÄ£ijas, ar pietiekamu droŔības lÄ«meni.
TÄ«kla "Ätra darbÄ«ba".
Datu pÄrsÅ«tÄ«Å”anas Ätrums tehniski sastÄv no daudziem faktoriem. Un savienojuma porta Ätrums parasti nav vissvarÄ«gÄkais. Lietojumprogrammas lÄnÄ darbÄ«ba ne vienmÄr ir saistÄ«ta ar tÄ«kla problÄmÄm, taÄu pagaidÄm mÅ«s interesÄ tikai tÄ«kla daļa. VisbiežÄk sastopamÄ vietÄjÄ tÄ«kla "palÄninÄjuma" problÄma ir saistÄ«ta ar pakeÅ”u zudumu. Tas parasti notiek, ja ir sastrÄgums vai L1 (OSI) problÄmas. RetÄk dažos veidos (piemÄram, ja jÅ«su apakÅ”tÄ«klos ir ugunsmÅ«ris kÄ noklusÄjuma vÄrteja un visa trafika iet caur to), aparatÅ«ras veiktspÄja var bÅ«t nepietiekama.
TÄpÄc, izvÄloties aprÄ«kojumu un arhitektÅ«ru, jums ir jÄsaista gala portu, maÄ£istrÄļu un aprÄ«kojuma veiktspÄjas Ätrums.
PiemÄrs
PieÅemsim, ka kÄ piekļuves slÄÅa slÄdžus izmantojat slÄdžus ar 1 gigabitu portiem. Tie ir savienoti viens ar otru, izmantojot Etherchannel 2 x 10 gigabitus. KÄ noklusÄjuma vÄrteju jÅ«s izmantojat ugunsmÅ«ri ar gigabitu portiem, lai savienotu to ar L2 biroja tÄ«klu, izmantojot 2 gigabitu portus, kas apvienoti Ethernet kanÄlÄ.
Å Ä« arhitektÅ«ra ir diezgan Ärta no funkcionalitÄtes viedokļa, jo... Visa trafika iet caur ugunsmÅ«ri, un jÅ«s varat Ärti pÄrvaldÄ«t piekļuves politikas un izmantot sarežģītus algoritmus, lai kontrolÄtu trafiku un novÄrstu iespÄjamos uzbrukumus (skatiet tÄlÄk), taÄu no caurlaidspÄjas un veiktspÄjas viedokļa Å”im dizainam, protams, ir iespÄjamas problÄmas. TÄ, piemÄram, 2 resursdatori, kas lejupielÄdÄ datus (ar porta Ätrumu 1 gigabits), var pilnÄ«bÄ ielÄdÄt 2 gigabitu savienojumu ar ugunsmÅ«ri un tÄdÄjÄdi izraisÄ«t pakalpojuma degradÄciju visÄ biroja segmentÄ.
MÄs esam apskatÄ«juÅ”i vienu trijstÅ«ra virsotni, tagad apskatÄ«sim, kÄ mÄs varam nodroÅ”inÄt droŔību.
Līdzekļi
TÄtad, protams, parasti mÅ«su vÄlme (pareizÄk sakot, mÅ«su vadÄ«bas vÄlme) ir panÄkt neiespÄjamo, proti, nodroÅ”inÄt maksimÄlu ÄrtÄ«bas ar maksimÄlu droŔību un minimÄlÄm izmaksÄm.
ApskatÄ«sim, kÄdas metodes mums ir, lai nodroÅ”inÄtu aizsardzÄ«bu.
AttiecÄ«bÄ uz biroju es vÄlÄtos izcelt sekojoÅ”o:
nulles uzticības pieeja dizainam
augsts aizsardzības līmenis
tīkla redzamību
vienota centralizÄta autentifikÄcijas un autorizÄcijas sistÄma
saimniekdatora pÄrbaude
TÄlÄk mÄs nedaudz sÄ«kÄk aplÅ«kosim katru no Å”iem aspektiem.
Nulle uzticība
IT pasaule mainÄs ļoti Ätri. Tikai pÄdÄjo 10 gadu laikÄ jaunu tehnoloÄ£iju un produktu parÄdÄ«Å”anÄs ir izraisÄ«jusi droŔības koncepciju pamatÄ«gu pÄrskatÄ«Å”anu. Pirms desmit gadiem no droŔības viedokļa mÄs segmentÄjÄm tÄ«klu uzticamÄ«bas, dmz un neuzticÄ«bas zonÄs un izmantojÄm tÄ saukto "perimetra aizsardzÄ«bu", kur bija 2 aizsardzÄ«bas lÄ«nijas: neuzticÄ«ba -> dmz un dmz -> uzticÄties. ArÄ« aizsardzÄ«ba parasti tika ierobežota ar piekļuves sarakstiem, kuru pamatÄ bija L3/L4 (OSI) galvenes (IP, TCP/UDP porti, TCP karodziÅi). Viss, kas saistÄ«ts ar augstÄkiem lÄ«meÅiem, tostarp L7, tika atstÄts OS un droŔības produktu ziÅÄ, kas instalÄti gala saimniekdatoros.
Tagad situÄcija ir krasi mainÄ«jusies. MÅ«sdienu koncepcija nulle uzticÄ«bas izriet no tÄ, ka iekÅ”ÄjÄs sistÄmas, tas ir, tÄs, kas atrodas perimetrÄ, vairs nevar uzskatÄ«t par uzticamÄm, un pats perimetra jÄdziens ir kļuvis neskaidrs.
Papildus interneta pieslÄgumam mums ir arÄ«
attÄlÄs piekļuves VPN lietotÄji
dažÄdi personÄ«gie gadžeti, lÄ«dzi portatÄ«vie datori, pieslÄgti caur biroja WiFi
citi (filiÄles) biroji
integrÄcija ar mÄkoÅa infrastruktÅ«ru
KÄ Zero Trust pieeja izskatÄs praksÄ?
IdeÄlÄ gadÄ«jumÄ bÅ«tu pieļaujama tikai nepiecieÅ”amÄ satiksme un, ja runÄjam par ideÄlu, tad kontrolei jÄbÅ«t ne tikai L3/L4 lÄ«menÄ«, bet aplikÄcijas lÄ«menÄ«.
Ja, piemÄram, jums ir iespÄja izlaist visu trafiku caur ugunsmÅ«ri, tad varat mÄÄ£inÄt tuvoties ideÄlajam. TaÄu Ŕī pieeja var ievÄrojami samazinÄt jÅ«su tÄ«kla kopÄjo joslas platumu, turklÄt filtrÄÅ”ana pÄc lietojumprogrammas ne vienmÄr darbojas labi.
KontrolÄjot trafiku marÅ”rutÄtÄjÄ vai L3 slÄdÅ¾Ä (izmantojot standarta ACL), rodas citas problÄmas:
Å Ä« ir tikai L3/L4 filtrÄÅ”ana. Nekas neliedz uzbrucÄjam izmantot atļautos portus (piemÄram, TCP 80) savai lietojumprogrammai (nevis http)
Å is nav pilnÄ«gs statusa ugunsmÅ«ris, kas nozÄ«mÄ, ka jums ir skaidri jÄatļauj reversÄ trafika
ar slÄdžiem jÅ«s parasti diezgan stingri ierobežo TCAM lielums, kas var Ätri kļūt par problÄmu, ja izmantojat pieeju "atļaut tikai to, kas jums nepiecieÅ”ams"
Piezīme:
RunÄjot par reverso trafiku, jÄatceras, ka mums ir Å”Äda iespÄja (Cisco)
atļaut tcp jebkuru izveidoto
Bet jums ir jÄsaprot, ka Ŕī rinda ir lÄ«dzvÄrtÄ«ga divÄm rindÄm:
atļaut tcp jebkuru ack
atļaut tcp jebkuru jebkuru rst
Tas nozÄ«mÄ, ka pat tad, ja nebija sÄkotnÄjÄ TCP segmenta ar SYN karogu (tas ir, TCP sesija pat nav sÄkusies izveidot), Å”is ACL ļaus paketi ar ACK karogu, ko uzbrucÄjs var izmantot datu pÄrsÅ«tÄ«Å”anai.
Tas nozÄ«mÄ, ka Ŕī lÄ«nija nekÄdÄ gadÄ«jumÄ nepÄrvÄrÅ” jÅ«su marÅ”rutÄtÄju vai L3 slÄdzi par pilnu statusu ugunsmÅ«ri.
Augsts aizsardzības līmenis
Š raksts SadaÄ¼Ä par datu centriem mÄs apskatÄ«jÄm Å”Ädas aizsardzÄ«bas metodes.
stÄvokļu ugunsmÅ«ris (noklusÄjums)
ddos/dos aizsardzība
lietojumprogrammu ugunsmūris
draudu novÄrÅ”ana (antivÄ«russ, pretspiegprogrammatÅ«ra un ievainojamÄ«ba)
URL filtrÄÅ”ana
datu filtrÄÅ”ana (satura filtrÄÅ”ana)
failu bloÄ·ÄÅ”ana (failu tipu bloÄ·ÄÅ”ana)
Biroja gadÄ«jumÄ situÄcija ir lÄ«dzÄ«ga, bet prioritÄtes ir nedaudz atŔķirÄ«gas. Biroja pieejamÄ«ba (pieejamÄ«ba) parasti nav tik kritiska kÄ datu centra gadÄ«jumÄ, savukÄrt āiekÅ”ÄjÄsā ļaunprÄtÄ«gÄs trafika iespÄjamÄ«ba ir par lielumu kÄrtÄm lielÄka.
TÄdÄļ Å”Ädas aizsardzÄ«bas metodes Å”im segmentam kļūst kritiskas:
lietojumprogrammu ugunsmūris
draudu novÄrÅ”ana (pretvÄ«rusu, pretspiegprogrammatÅ«ras un ievainojamÄ«bas novÄrÅ”ana)
URL filtrÄÅ”ana
datu filtrÄÅ”ana (satura filtrÄÅ”ana)
failu bloÄ·ÄÅ”ana (failu tipu bloÄ·ÄÅ”ana)
Lai gan visas Ŕīs aizsardzÄ«bas metodes, izÅemot lietojumprogrammu ugunsmÅ«ri, tradicionÄli ir un joprojÄm tiek atrisinÄtas gala saimniekos (piemÄram, instalÄjot pretvÄ«rusu programmas) un izmantojot starpniekserverus, mÅ«sdienu NGFW nodroÅ”ina arÄ« Å”os pakalpojumus.
DroŔības aprÄ«kojuma pÄrdevÄji cenÅ”as izveidot visaptveroÅ”u aizsardzÄ«bu, tÄpÄc kopÄ ar vietÄjo aizsardzÄ«bu tie piedÄvÄ dažÄdas mÄkoÅtehnoloÄ£ijas un klientu programmatÅ«ru saimniekiem (beigu punktu aizsardzÄ«ba/EPP). TÄ, piemÄram, no 2018. gada Gartner Magic Quadrant MÄs redzam, ka Palo Alto un Cisco ir savi EPP (PA: Traps, Cisco: AMP), taÄu tie ir tÄlu no lÄ«deriem.
Å Ä«s aizsardzÄ«bas iespÄjoÅ”ana (parasti iegÄdÄjoties licences) ugunsmÅ«rÄ«, protams, nav obligÄta (varat izmantot tradicionÄlo ceļu), taÄu tÄ sniedz dažas priekÅ”rocÄ«bas:
Å”ajÄ gadÄ«jumÄ ir vienots aizsardzÄ«bas metožu pielietoÅ”anas punkts, kas uzlabo redzamÄ«bu (skat. nÄkamo tÄmu).
Ja jÅ«su tÄ«klÄ ir neaizsargÄta ierÄ«ce, tÄ joprojÄm ietilpst ugunsmÅ«ra aizsardzÄ«bas ājumtaā ietvaros.
Izmantojot ugunsmÅ«ra aizsardzÄ«bu kopÄ ar gala resursdatora aizsardzÄ«bu, mÄs palielinÄm ļaunprÄtÄ«gas datplÅ«smas atklÄÅ”anas iespÄjamÄ«bu. PiemÄram, draudu novÄrÅ”anas izmantoÅ”ana vietÄjos saimniekdatoros un ugunsmÅ«rÄ« palielina atklÄÅ”anas iespÄjamÄ«bu (protams, ar nosacÄ«jumu, ka Å”ie risinÄjumi ir balstÄ«ti uz dažÄdiem programmatÅ«ras produktiem).
Piezīme:
Ja, piemÄram, izmantojat Kaspersky kÄ pretvÄ«rusu gan ugunsmÅ«rÄ«, gan gala resursdatoros, tas, protams, bÅ«tiski nepalielinÄs jÅ«su iespÄjas novÄrst vÄ«rusu uzbrukumu jÅ«su tÄ«klam.
Tīkla redzamība
galvenÄ doma ir vienkÄrÅ”i ā āredzietā, kas notiek jÅ«su tÄ«klÄ gan reÄllaikÄ, gan vÄsturiskajos datos.
Es sadalÄ«tu Å”o "vÄ«ziju" divÄs grupÄs:
PirmÄ grupa: ko parasti nodroÅ”ina jÅ«su uzraudzÄ«bas sistÄma.
aprīkojuma iekrauŔana
kanÄlu ielÄde
atmiÅas lietojums
diska lietojums
marÅ”rutÄÅ”anas tabulas maiÅa
saites statuss
aprīkojuma (vai saimnieku) pieejamība
...
OtrÄ grupa: ar droŔību saistÄ«ta informÄcija.
dažÄda veida statistika (piemÄram, pÄc lietojumprogrammas, pÄc URL trafika, kÄda veida dati tika lejupielÄdÄti, lietotÄju dati)
kas tika bloÄ·Äts ar droŔības politiku un kÄda iemesla dÄļ, proti
aizliegta pielietoŔana
aizliegts, pamatojoties uz ip/protocol/port/flags/zones
draudu novÄrÅ”ana
url filtrÄÅ”ana
datu filtrÄÅ”ana
failu bloÄ·ÄÅ”ana
...
statistika par DOS/DDOS uzbrukumiem
neveiksmÄ«gi identifikÄcijas un autorizÄcijas mÄÄ£inÄjumi
statistika par visiem iepriekÅ”minÄtajiem droŔības politikas pÄrkÄpumu gadÄ«jumiem
...
Å ajÄ nodaÄ¼Ä par droŔību mÅ«s interesÄ otrÄ daļa.
Daži moderni ugunsmÅ«ri (no manas Palo Alto pieredzes) nodroÅ”ina labu redzamÄ«bas lÄ«meni. Bet, protams, trafikai, kas jÅ«s interesÄ, ir jÄiet cauri Å”im ugunsmÅ«rim (tÄdÄ gadÄ«jumÄ jums ir iespÄja bloÄ·Ät trafiku) vai jÄatspoguļo ugunsmÅ«rÄ« (izmanto tikai uzraudzÄ«bai un analÄ«zei), un jums ir jÄbÅ«t licencÄm, lai iespÄjotu visus Å”ie pakalpojumi.
Protams, ir alternatÄ«vs veids vai drÄ«zÄk tradicionÄlais veids, piemÄram,
Sesijas statistiku var apkopot, izmantojot netflow, un pÄc tam izmantot Ä«paÅ”as utilÄ«tas informÄcijas analÄ«zei un datu vizualizÄcijai
draudu novÄrÅ”ana ā Ä«paÅ”as programmas (pretvÄ«rusu, pretspiegprogrammatÅ«ras, ugunsmÅ«ris) gala resursdatoros
URL filtrÄÅ”ana, datu filtrÄÅ”ana, failu bloÄ·ÄÅ”ana ā starpniekserverÄ«
ir iespÄjams arÄ« analizÄt tcpdump, izmantojot piem. sprauslÄt
Varat apvienot Ŕīs divas pieejas, papildinot trÅ«kstoÅ”Äs funkcijas vai dublÄjot tÄs, lai palielinÄtu uzbrukuma atklÄÅ”anas iespÄjamÄ«bu.
Kuru pieeju vajadzÄtu izvÄlÄties?
Ä»oti atkarÄ«gs no jÅ«su komandas kvalifikÄcijas un vÄlmÄm.
Gan tur, gan tur ir plusi un mīnusi.
Vienota centralizÄta autentifikÄcijas un autorizÄcijas sistÄma
Labi izstrÄdÄta mobilitÄte, par kuru mÄs runÄjÄm Å”ajÄ rakstÄ, paredz, ka jums ir vienÄda piekļuve neatkarÄ«gi no tÄ, vai strÄdÄjat no biroja vai no mÄjÄm, no lidostas, no kafejnÄ«cas vai jebkur citur (ar ierobežojumiem, par kuriem mÄs runÄjÄm iepriekÅ”). Å Ä·iet, kÄda ir problÄma?
Lai labÄk izprastu Ŕī uzdevuma sarežģītÄ«bu, apskatÄ«sim tipisku dizainu.
JÅ«s kontrolÄjat trafiku no biroja uz datu centru, izmantojot datu centra ugunsmÅ«ri
JÅ«s izmantojat Cisco ASA kÄ VPN vÄrteju un, lai kontrolÄtu trafiku, kas tÄ«klÄ ienÄk no attÄliem klientiem, jÅ«s izmantojat lokÄlos (ASA) ACL.
Tagad pieÅemsim, ka jums tiek lÅ«gts pievienot papildu piekļuvi noteiktam darbiniekam. Å ajÄ gadÄ«jumÄ jums tiek lÅ«gts pievienot piekļuvi tikai viÅam un nevienam citam no viÅa grupas.
Å im nolÅ«kam mums ir jÄizveido atseviŔķa grupa Å”im darbiniekam, tas ir
Ŕim darbiniekam izveidojiet atseviŔķu IP pūlu ASA
pievienojiet jaunu ACL ASA un saistiet to ar Å”o attÄlo klientu
izveidot jaunas droŔības politikas biroja un datu centru ugunsmūriem
Labi, ja Å”is pasÄkums ir rets. Bet manÄ praksÄ bija situÄcija, kad darbinieki piedalÄ«jÄs dažÄdos projektos, un Å”is projektu kopums dažiem mainÄ«jÄs diezgan bieži, un tie nebija 1-2 cilvÄki, bet desmiti. Protams, Å”eit kaut kas bija jÄmaina.
Tas tika atrisinÄts Å”ÄdÄ veidÄ.
NolÄmÄm, ka LDAP bÅ«s vienÄ«gais patiesÄ«bas avots, kas nosaka visas iespÄjamÄs darbinieku pieejas. MÄs izveidojÄm visu veidu grupas, kas definÄ piekļuves kopas, un katru lietotÄju pieŔķīrÄm vienai vai vairÄkÄm grupÄm.
Un, ja kÄds no darbiniekiem bija iesaistÄ«ts gan 1., gan 2. projektÄ un viÅam bija nepiecieÅ”ama piekļuve, lai strÄdÄtu Å”ajos projektos, tad Å”is darbinieks tika iedalÄ«ts Å”ÄdÄs grupÄs:
viesis
kopÄja piekļuve
projekts 1
projekts 2
KÄ mÄs tagad varam pÄrvÄrst Å”o informÄciju par piekļuvi tÄ«kla iekÄrtÄm?
ÄŖsumÄ par mÅ«su ievieÅ”anu, identifikÄcijas/autorizÄcijas procesa laikÄ ASA saÅem no LDAP grupu kopu, kas atbilst konkrÄtajam lietotÄjam un āsavÄcā no vairÄkiem lokÄliem ACL (no kuriem katrs atbilst grupai) dinamisko ACL ar visÄm nepiecieÅ”amajÄm pieejÄm. , kas pilnÄ«bÄ atbilst mÅ«su vÄlmÄm.
Bet tas attiecas tikai uz VPN savienojumiem. Lai situÄcija bÅ«tu vienÄda gan darbiniekiem, kas pieslÄgti caur VPN, gan tiem, kas atrodas birojÄ, tika veikta Å”Äda darbÄ«ba.
PieslÄdzoties no biroja, lietotÄji, kuri izmantoja 802.1x protokolu, nokļuva vai nu viesu LAN (viesiem), vai koplietotÄ LAN (uzÅÄmuma darbiniekiem). TurklÄt, lai iegÅ«tu Ä«paÅ”u piekļuvi (piemÄram, projektiem datu centrÄ), darbiniekiem bija jÄpieslÄdzas caur VPN.
Lai izveidotu savienojumu no biroja un mÄjÄm, ASA tika izmantotas dažÄdas tuneļu grupas. Tas ir nepiecieÅ”ams, lai tiem, kas pieslÄdzas no biroja, trafika uz koplietojamiem resursiem (ko izmanto visi darbinieki, piemÄram, pasts, failu serveri, biļeÅ”u sistÄma, dns utt.) nenotiek caur ASA, bet gan caur vietÄjo tÄ«klu. . TÄdÄjÄdi mÄs nenoslogojÄm ASA ar nevajadzÄ«gu satiksmi, tostarp augstas intensitÄtes satiksmi.
TÄdÄjÄdi problÄma tika atrisinÄta.
MÄs saÅÄmÄm
viens un tas pats piekļuves komplekts gan savienojumiem no biroja, gan attÄliem savienojumiem
pakalpojumu pasliktinÄÅ”anÄs trÅ«kums, strÄdÄjot no biroja, kas saistÄ«ts ar augstas intensitÄtes trafika pÄrraidi caur ASA
KÄdas citas Ŕīs pieejas priekÅ”rocÄ«bas?
Piekļuves administrÄÅ”anÄ. Piekļuves var viegli mainÄ«t vienuviet.
PiemÄram, ja darbinieks atstÄj uzÅÄmumu, jÅ«s vienkÄrÅ”i noÅemat viÅu no LDAP, un viÅÅ” automÄtiski zaudÄ visu piekļuvi.
Saimnieka pÄrbaude
Izmantojot attÄlÄ savienojuma iespÄju, mÄs riskÄjam tÄ«klÄ ielaist ne tikai uzÅÄmuma darbinieku, bet arÄ« visu ļaunprÄtÄ«go programmatÅ«ru, kas, ļoti iespÄjams, atrodas viÅa datorÄ (piemÄram, mÄjÄs), turklÄt ar Ŕīs programmatÅ«ras starpniecÄ«bu mÄs var nodroÅ”inÄt piekļuvi mÅ«su tÄ«klam uzbrucÄjam, izmantojot Å”o resursdatoru kÄ starpniekserveri.
Tas paredz arÄ« āpareizoā OS versiju, pretvÄ«rusu, pretspiegprogrammatÅ«ru un ugunsmÅ«ra programmatÅ«ru un atjauninÄjumus. Parasti Ŕī iespÄja pastÄv VPN vÄrtejÄ (par ASA skatiet, piemÄram, Å”eit).
Ir arÄ« prÄtÄ«gi piemÄrot tos paÅ”us trafika analÄ«zes un bloÄ·ÄÅ”anas paÅÄmienus (skatiet āAugsts aizsardzÄ«bas lÄ«menisā), ko jÅ«su droŔības politika attiecas uz biroja trafiku.
Ir saprÄtÄ«gi pieÅemt, ka jÅ«su biroju tÄ«kls vairs neaprobežojas tikai ar biroja Äku un tajÄ esoÅ”ajiem saimniekiem.
PiemÄrs
Labs paÅÄmiens ir nodroÅ”inÄt katram darbiniekam, kuram nepiecieÅ”ama attÄlinÄta pieeja, labu, Ärtu portatÄ«vo datoru un prasÄ«t strÄdÄt gan birojÄ, gan mÄjÄs, tikai no tÄ.
Tas ne tikai uzlabo jÅ«su tÄ«kla droŔību, bet arÄ« ir patieÅ”Äm Ärts, un darbinieki to parasti vÄrtÄ labvÄlÄ«gi (ja tas ir patieÅ”Äm labs, lietotÄjam draudzÄ«gs klÄpjdators).
Par mÄra un lÄ«dzsvara sajÅ«tu
BÅ«tÄ«bÄ Å”Ä« ir saruna par mÅ«su trÄ«sstÅ«ra treÅ”o virsotni ā par cenu.
ApskatÄ«sim hipotÄtisku piemÄru.
PiemÄrs
Jums ir birojs 200 cilvÄkiem. JÅ«s nolÄmÄt padarÄ«t to pÄc iespÄjas ÄrtÄku un droÅ”Äku.
TÄpÄc jÅ«s nolÄmÄt nodot visu trafiku caur ugunsmÅ«ri, un tÄdÄjÄdi visiem biroja apakÅ”tÄ«kliem ugunsmÅ«ris ir noklusÄjuma vÄrteja. Papildus droŔības programmatÅ«rai, kas instalÄta katrÄ gala resursdatorÄ (pretvÄ«rusu, pretspiegprogrammatÅ«ra un ugunsmÅ«ra programmatÅ«ra), jÅ«s arÄ« nolÄmÄt ugunsmÅ«rim lietot visas iespÄjamÄs aizsardzÄ«bas metodes.
Lai nodroÅ”inÄtu lielu savienojuma Ätrumu (viss ÄrtÄ«bai), kÄ piekļuves slÄdžus izvÄlÄjÄties slÄdžus ar 10 gigabitu piekļuves portiem un kÄ ugunsmÅ«rus augstas veiktspÄjas NGFW ugunsmÅ«rus, piemÄram, Palo Alto 7K sÄriju (ar 40 gigabitu pieslÄgvietÄm), protams, ar visÄm licencÄm. iekļauts un, protams, augstas pieejamÄ«bas pÄris.
TÄpat, protams, lai strÄdÄtu ar Å”o iekÄrtu lÄ«niju, mums ir nepiecieÅ”ami vismaz pÄris augsti kvalificÄti droŔības inženieri.
PÄc tam jÅ«s nolÄmÄt katram darbiniekam dot labu klÄpjdatoru.
KopÄ apmÄram 10 miljoni dolÄru ievieÅ”anai, simtiem tÅ«kstoÅ”u dolÄru (domÄju, ka tuvÄk miljonam) ikgadÄjam atbalstam un algÄm inženieriem.
Birojs, 200 cilvÄki...
Ärti? Man Ŕķiet, ka jÄ.
JÅ«s nÄkat ar Å”o priekÅ”likumu savai vadÄ«bai...
IespÄjams, ka pasaulÄ ir vairÄki uzÅÄmumi, kuriem tas ir pieÅemams un pareizs risinÄjums. Ja esat Ŕī uzÅÄmuma darbinieks, apsveicu, taÄu vairumÄ gadÄ«jumu esmu pÄrliecinÄts, ka jÅ«su zinÄÅ”anas nenovÄrtÄs vadÄ«ba.
Vai Å”is piemÄrs ir pÄrspÄ«lÄts? NÄkamajÄ nodaÄ¼Ä tiks sniegta atbilde uz Å”o jautÄjumu.
Ja jÅ«su tÄ«klÄ neredzat neko no iepriekÅ” minÄtÄ, tÄ ir norma.
Katram konkrÄtajam gadÄ«jumam ir jÄatrod savs saprÄtÄ«gs kompromiss starp ÄrtÄ«bÄm, cenu un droŔību. Bieži vien jums pat nav nepiecieÅ”ams NGFW jÅ«su birojÄ, un ugunsmÅ«ra L7 aizsardzÄ«ba nav nepiecieÅ”ama. Tas ir pietiekami, lai nodroÅ”inÄtu labu redzamÄ«bas lÄ«meni un brÄ«dinÄjumus, un to var izdarÄ«t, piemÄram, izmantojot atvÄrtÄ koda produktus. JÄ, jÅ«su reakcija uz uzbrukumu nebÅ«s tÅ«lÄ«tÄja, bet galvenais, lai jÅ«s to redzÄsiet, un ar atbilstoÅ”iem procesiem jÅ«su nodaÄ¼Ä jÅ«s varÄsiet to Ätri neitralizÄt.
Un ļaujiet man atgÄdinÄt, ka saskaÅÄ ar Ŕīs rakstu sÄrijas koncepciju jÅ«s neveidojat tÄ«klu, jÅ«s tikai cenÅ”aties uzlabot to, ko esat ieguvis.
Å Ä« ir viena no galvenajÄm arhitektÅ«ras vietÄm un viena no svarÄ«gÄkajÄm neskaidrÄ«bÄm.
Piezīme:
Es nekad neesmu iestatÄ«jis vai strÄdÄjis ar FirePower (no Cisco ugunsmÅ«ra lÄ«nijas ā tikai ASA), tÄpÄc izturÄÅ”os pret to tÄpat kÄ pret jebkuru citu ugunsmÅ«ri, piemÄram, Juniper SRX vai Palo Alto, pieÅemot, ka tam ir tÄdas paÅ”as iespÄjas.
No parastajiem dizainiem es redzu tikai 4 iespÄjamÄs ugunsmÅ«ra izmantoÅ”anas iespÄjas ar Å”o savienojumu:
katra apakÅ”tÄ«kla noklusÄjuma vÄrteja ir slÄdzis, kamÄr ugunsmÅ«ris ir caurspÄ«dÄ«gÄ režīmÄ (tas ir, visa trafika iet caur to, bet tas neveido L3 lÄcienu)
katra apakÅ”tÄ«kla noklusÄjuma vÄrteja ir ugunsmÅ«ra apakÅ”saskarnes (vai SVI saskarnes), slÄdzis spÄlÄ L2 lomu
SlÄdÅ¾Ä tiek izmantoti dažÄdi VRF, un satiksme starp VRF iet caur ugunsmÅ«ri, trafiku vienÄ VRF kontrolÄ slÄdža ACL.
visa trafika tiek atspoguļota ugunsmūrī analīzei un uzraudzībai; satiksme netiek caur to
Ir arÄ« iespÄja izmantot PBR (service chain architecture), bet pagaidÄm Å”is, lai arÄ« manuprÄt skaists risinÄjums, ir diezgan eksotisks, tÄpÄc Å”eit to neapsveru.
No plÅ«smu apraksta dokumentÄ redzam, ka satiksme joprojÄm iet caur ugunsmÅ«ri, tas ir, saskaÅÄ ar Cisco dizainu, ceturtÄ iespÄja ir izslÄgta.
Vispirms apskatÄ«sim pirmÄs divas iespÄjas.
Izmantojot Ŕīs opcijas, visa trafika notiek caur ugunsmūri.
Tagad paskatÄ«simies datu lapas, Skaties Cisco GPL un mÄs redzam, ka, ja vÄlamies, lai mÅ«su biroja kopÄjais joslas platums bÅ«tu vismaz 10ā20 gigabiti, mums ir jÄiegÄdÄjas 4K versija.
Piezīme:
Kad es runÄju par kopÄjo joslas platumu, es domÄju trafiku starp apakÅ”tÄ«kliem (un nevis vienas vilanas ietvaros).
No GPL redzam, ka HA Bundle with Threat Defense cena atkarÄ«bÄ no modeļa (4110 - 4150) svÄrstÄs no ~0,5 lÄ«dz 2,5 miljoniem dolÄru.
Tas ir, mÅ«su dizains sÄk lÄ«dzinÄties iepriekÅ”Äjam piemÄram.
Vai tas nozÄ«mÄ, ka Å”is dizains ir nepareizs?
NÄ, tas nenozÄ«mÄ. Cisco nodroÅ”ina vislabÄko iespÄjamo aizsardzÄ«bu, pamatojoties uz tÄ produktu lÄ«niju. Bet tas nenozÄ«mÄ, ka tas jums ir jÄdara.
PrincipÄ tas ir izplatÄ«ts jautÄjums, kas rodas, projektÄjot biroju vai datu centru, un tas nozÄ«mÄ tikai to, ka ir jÄmeklÄ kompromiss.
PiemÄram, neļaujiet visai satiksmei iet caur ugunsmÅ«ri, tÄdÄ gadÄ«jumÄ man Ŕķiet diezgan labs variants 3, vai (skatiet iepriekÅ”Äjo sadaļu), iespÄjams, jums nav nepiecieÅ”ama aizsardzÄ«ba pret draudiem vai vispÄr nav nepiecieÅ”ams ugunsmÅ«ris. tÄ«kla segmentÄ, un jums vienkÄrÅ”i jÄierobežo sevi ar pasÄ«vo uzraudzÄ«bu, izmantojot maksas (nav dÄrgus) vai atvÄrtÄ pirmkoda risinÄjumus, vai arÄ« jums ir nepiecieÅ”ams ugunsmÅ«ris, bet no cita pÄrdevÄja.
Parasti vienmÄr pastÄv Ŕī nenoteiktÄ«ba, un nav skaidras atbildes par to, kurÅ” lÄmums jums ir vislabÄkais.
Šī ir Ŕī uzdevuma sarežģītība un skaistums.