Kā pārņemt kontroli pār savu tīkla infrastruktūru. Trešā nodaļa. Tīkla drošība. Trešā daļa

Šis ir piektais raksts sērijā “Kā pārņemt kontroli pār savu tīkla infrastruktūru”. Visu sērijas rakstu saturu un saites var atrast šeit.

Šī daļa būs veltīta Campus (biroja) un attālās piekļuves VPN segmentiem.

Biroja tīkla dizains var šķist vienkāršs.

Patiešām, mēs ņemam L2/L3 slēdžus un savienojam tos viens ar otru. Tālāk mēs veicam vilanu un noklusējuma vārteju pamata iestatīšanu, iestatām vienkāršu maršrutēšanu, savienojam WiFi kontrollerus, piekļuves punktus, instalējam un konfigurējam ASA attālinātai piekļuvei, priecājamies, ka viss darbojās. Būtībā, kā jau rakstīju vienā no iepriekšējiem raksti Šajā ciklā gandrīz katrs students, kurš ir apmeklējis (un apguvis) divus telekomunikāciju kursa semestrus, var izveidot un konfigurēt biroja tīklu tā, lai tas "kaut kā darbotos".

Bet jo vairāk jūs mācāties, jo mazāk vienkāršs šis uzdevums sāk šķist. Man personīgi šī tēma, biroja tīklu projektēšanas tēma, nepavisam nešķiet vienkārša, un šajā rakstā mēģināšu paskaidrot, kāpēc.

Īsāk sakot, ir jāņem vērā vairāki faktori. Bieži vien šie faktori ir pretrunā viens ar otru, un ir jāmeklē saprātīgs kompromiss.
Šī nenoteiktība ir galvenā grūtība. Tātad, runājot par drošību, mums ir trīsstūris ar trim virsotnēm: drošība, ērtības darbiniekiem, risinājuma cena.
Un katru reizi ir jāmeklē kompromiss starp šiem trim.

Arhitektūra

Kā piemēru šo divu segmentu arhitektūrai, tāpat kā iepriekšējos rakstos, es iesaku Cisco SAFE modelis: Uzņēmuma pilsētiņa, Enterprise Internet Edge.

Tie ir nedaudz novecojuši dokumenti. Es tos prezentēju šeit, jo fundamentālās shēmas un pieeja nav mainījušās, bet tajā pašā laikā man prezentācija patīk vairāk nekā iekšā jauna dokumentācija.

Nemudinot jūs izmantot Cisco risinājumus, es tomēr uzskatu, ka ir lietderīgi rūpīgi izpētīt šo dizainu.

Šis raksts, kā parasti, nekādā veidā nepretendē uz pilnīgu, bet drīzāk ir šīs informācijas papildinājums.

Raksta beigās mēs analizēsim Cisco SAFE biroja dizainu šeit izklāstīto jēdzienu izteiksmē.

Vispārējie principi

Biroju tīkla dizainam, protams, ir jāatbilst vispārīgajām prasībām, par kurām tika runāts šeit nodaļā “Projekta kvalitātes novērtēšanas kritēriji”. Papildus cenai un drošībai, ko mēs plānojam apspriest šajā rakstā, joprojām ir trīs kritēriji, kas mums jāņem vērā, izstrādājot (vai veicot izmaiņas):

• mērogojamība
• lietošanas vienkāršība (vadāmība)
• pieejamība

Daudz kas tika apspriests datu centri Tas attiecas arī uz biroju.

Bet tomēr biroju segmentam ir sava specifika, kas ir kritiska no drošības viedokļa. Šīs specifikas būtība ir tāda, ka šis segments ir izveidots, lai nodrošinātu tīkla pakalpojumus uzņēmuma darbiniekiem (kā arī partneriem un viesiem), un rezultātā visaugstākajā problēmas izskatīšanas līmenī mums ir divi uzdevumi:

• aizsargāt uzņēmuma resursus no ļaunprātīgām darbībām, kuras var nākt no darbiniekiem (viesiem, partneriem) un no viņu izmantotās programmatūras. Tas ietver arī aizsardzību pret nesankcionētu savienojumu ar tīklu.
• aizsargāt sistēmas un lietotāja datus

Un tā ir tikai viena problēmas puse (vai drīzāk viena trijstūra virsotne). No otras puses ir lietotāja ērtības un izmantoto risinājumu cena.

Sāksim ar to, ko lietotājs sagaida no moderna biroju tīkla.

Ērtības

Lūk, kā, manuprāt, biroja lietotājam izskatās “tīkla ērtības”.

• Mobilitāte
• Spēja izmantot visu pazīstamo ierīču un operētājsistēmu klāstu
• Ērta piekļuve visiem nepieciešamajiem uzņēmuma resursiem
• Interneta resursu, tostarp dažādu mākoņpakalpojumu, pieejamība
• Tīkla "ātra darbība".

Tas viss attiecas gan uz darbiniekiem, gan viesiem (vai partneriem), un uzņēmuma inženieru uzdevums ir diferencēt piekļuvi dažādām lietotāju grupām, pamatojoties uz autorizāciju.

Apskatīsim katru no šiem aspektiem nedaudz sīkāk.

Mobilitāte

Runa ir par iespēju strādāt un izmantot visus nepieciešamos uzņēmuma resursus no jebkuras vietas pasaulē (protams, kur pieejams internets).

Tas pilnībā attiecas uz biroju. Tas ir ērti, ja jums ir iespēja turpināt darbu no jebkuras vietas birojā, piemēram, saņemt pastu, sazināties korporatīvajā kurjerā, būt pieejamam videozvanam, ... Tādējādi tas ļauj, no vienas puses, atrisināt dažus jautājumus “dzīvajā” saziņā (piemēram, piedalīties mītiņos), un, no otras puses, vienmēr būt tiešsaistē, turēt roku uz pulsa un ātri atrisināt dažus steidzamus augstas prioritātes uzdevumus. Tas ir ļoti ērti un patiešām uzlabo sakaru kvalitāti.

Tas tiek panākts ar pareizu WiFi tīkla dizainu.

Piezīme:

Šeit parasti rodas jautājums: vai ir pietiekami izmantot tikai WiFi? Vai tas nozīmē, ka varat pārtraukt Ethernet portu izmantošanu birojā? Ja mēs runājam tikai par lietotājiem, nevis par serveriem, kuriem joprojām ir saprātīgi izveidot savienojumu ar parasto Ethernet portu, tad kopumā atbilde ir: jā, jūs varat aprobežoties tikai ar WiFi. Bet ir nianses.

Ir svarīgas lietotāju grupas, kurām nepieciešama atsevišķa pieeja. Tie, protams, ir administratori. Principā WiFi savienojums ir mazāk uzticams (datplūsmas zudumu ziņā) un lēnāks nekā parastais Ethernet ports. Tas var būt svarīgi administratoriem. Turklāt, piemēram, tīkla administratoriem principā var būt savs Ethernet tīkls ārpusjoslas savienojumiem.

Jūsu uzņēmumā var būt arī citas grupas/nodaļas, kurām arī šie faktori ir svarīgi.

Ir vēl viens svarīgs punkts - telefonija. Iespējams, kāda iemesla dēļ jūs nevēlaties izmantot bezvadu VoIP un vēlaties izmantot IP tālruņus ar parastu Ethernet savienojumu.

Kopumā uzņēmumiem, kuros strādāju, parasti bija gan WiFi savienojums, gan Ethernet ports.

Es vēlētos, lai mobilitāte neaprobežotos tikai ar biroju.

Lai nodrošinātu iespēju strādāt no mājām (vai jebkurā citā vietā ar pieejamu internetu), tiek izmantots VPN savienojums. Tajā pašā laikā ir vēlams, lai darbinieki neizjustu atšķirību starp darbu no mājām un attālinātu darbu, kas paredz vienādu piekļuvi. Kā to organizēt, mēs apspriedīsim nedaudz vēlāk sadaļā “Vienota centralizēta autentifikācijas un autorizācijas sistēma”.

Piezīme:

Visticamāk, jūs nevarēsiet pilnībā nodrošināt tādas pašas kvalitātes pakalpojumus attālinātajam darbam, kāda jums ir birojā. Pieņemsim, ka kā VPN vārteju izmantojat Cisco ASA 5520. Saskaņā ar datu lapas šī ierīce spēj “sagremot” tikai 225 Mbit VPN trafika. Protams, joslas platuma ziņā savienojuma izveide, izmantojot VPN, ļoti atšķiras no darba birojā. Tāpat, ja kāda iemesla dēļ jūsu tīkla pakalpojumiem ir ievērojams latentums, zudumi, nervozitāte (piemēram, vēlaties izmantot biroja IP telefoniju), jūs arī nesaņemsiet tādu pašu kvalitāti kā birojā. Tāpēc, runājot par mobilitāti, mums ir jāapzinās iespējamie ierobežojumi.

Viegla piekļuve visiem uzņēmuma resursiem

Šis uzdevums jārisina kopīgi ar citām tehniskajām nodaļām.
Ideāla situācija ir tad, kad lietotājam ir jāveic tikai vienreizēja autentifikācija, un pēc tam viņam ir pieejami visi nepieciešamie resursi.
Ērtas piekļuves nodrošināšana, nezaudējot drošību, var ievērojami uzlabot produktivitāti un samazināt stresu jūsu kolēģu vidū.

1. piezīme

Piekļuves vienkāršība nav saistīta tikai ar to, cik reižu jums ir jāievada parole. Ja, piemēram, saskaņā ar jūsu drošības politiku, lai izveidotu savienojumu no biroja ar datu centru, vispirms ir jāizveido savienojums ar VPN vārteju un tajā pašā laikā tiek zaudēta piekļuve biroja resursiem, tad arī tas ir ļoti , ļoti neērti.

2. piezīme

Ir servisi (piemēram, piekļuve tīkla iekārtām), kur mums parasti ir savi specializētie AAA serveri un tā ir norma, kad šajā gadījumā ir jāveic autentifikācija vairākas reizes.

Interneta resursu pieejamība

Internets ir ne tikai izklaide, bet arī pakalpojumu kopums, kas var būt ļoti noderīgs darbā. Ir arī tīri psiholoģiski faktori. Mūsdienu cilvēks caur internetu ir saistīts ar citiem cilvēkiem caur daudziem virtuāliem pavedieniem, un, manuprāt, nav nekas slikts, ja viņš turpina izjust šo saikni arī strādājot.

No laika tērēšanas viedokļa nav nekas slikts, ja darbiniekam, piemēram, darbojas Skype un vajadzības gadījumā viņš pavada 5 minūtes saziņai ar mīļoto.

Vai tas nozīmē, ka internetam vienmēr jābūt pieejamam, vai tas nozīmē, ka darbinieki var piekļūt visiem resursiem un tos nekādā veidā nekontrolēt?

Nē, tas, protams, nenozīmē. Interneta atvērtības līmenis dažādiem uzņēmumiem var atšķirties – no pilnīgas slēgšanas līdz pilnīgai atvērtībai. Satiksmes kontroles veidus apspriedīsim vēlāk sadaļās par drošības pasākumiem.

Spēja izmantot visu pazīstamo ierīču klāstu

Tas ir ērti, ja, piemēram, ir iespēja turpināt izmantot visus darbā ierastos saziņas līdzekļus. To tehniski īstenot nav nekādu grūtību. Šim nolūkam ir nepieciešams WiFi un viesu Wilan.

Ir arī labi, ja jums ir iespēja izmantot operētājsistēmu, pie kuras esat pieradis. Bet, manuprāt, tas parasti ir atļauts tikai vadītājiem, administratoriem un izstrādātājiem.

Piemērs

Var, protams, iet aizliegumu ceļu, aizliegt attālo piekļuvi, aizliegt pieslēgties no mobilajām ierīcēm, ierobežot visu ar statiskajiem Ethernet savienojumiem, ierobežot piekļuvi internetam, kontrolpunktā piespiedu kārtā konfiscēt mobilos telefonus un sīkrīkus... un šis ceļš patiesībā seko dažas organizācijas ar paaugstinātām drošības prasībām, un, iespējams, atsevišķos gadījumos tas var būt attaisnojams, bet... jums jāpiekrīt, ka tas izskatās pēc mēģinājuma apturēt progresu vienas organizācijas ietvaros. Protams, es vēlētos apvienot iespējas, ko sniedz modernās tehnoloģijas, ar pietiekamu drošības līmeni.

Tīkla "ātra darbība".

Datu pārsūtīšanas ātrums tehniski sastāv no daudziem faktoriem. Un savienojuma porta ātrums parasti nav vissvarīgākais. Lietojumprogrammas lēnā darbība ne vienmēr ir saistīta ar tīkla problēmām, taču pagaidām mūs interesē tikai tīkla daļa. Visbiežāk sastopamā vietējā tīkla "palēninājuma" problēma ir saistīta ar pakešu zudumu. Tas parasti notiek, ja ir sastrēgums vai L1 (OSI) problēmas. Retāk dažos veidos (piemēram, ja jūsu apakštīklos ir ugunsmūris kā noklusējuma vārteja un visa trafika iet caur to), aparatūras veiktspēja var būt nepietiekama.

Tāpēc, izvēloties aprīkojumu un arhitektūru, jums ir jāsaista gala portu, maģistrāļu un aprīkojuma veiktspējas ātrums.

Piemērs

Pieņemsim, ka kā piekļuves slāņa slēdžus izmantojat slēdžus ar 1 gigabitu portiem. Tie ir savienoti viens ar otru, izmantojot Etherchannel 2 x 10 gigabitus. Kā noklusējuma vārteju jūs izmantojat ugunsmūri ar gigabitu portiem, lai savienotu to ar L2 biroja tīklu, izmantojot 2 gigabitu portus, kas apvienoti Ethernet kanālā.

Šī arhitektūra ir diezgan ērta no funkcionalitātes viedokļa, jo... Visa trafika iet caur ugunsmūri, un jūs varat ērti pārvaldīt piekļuves politikas un izmantot sarežģītus algoritmus, lai kontrolētu trafiku un novērstu iespējamos uzbrukumus (skatiet tālāk), taču no caurlaidspējas un veiktspējas viedokļa šim dizainam, protams, ir iespējamas problēmas. Tā, piemēram, 2 resursdatori, kas lejupielādē datus (ar porta ātrumu 1 gigabits), var pilnībā ielādēt 2 gigabitu savienojumu ar ugunsmūri un tādējādi izraisīt pakalpojuma degradāciju visā biroja segmentā.

Mēs esam apskatījuši vienu trijstūra virsotni, tagad apskatīsim, kā mēs varam nodrošināt drošību.

Līdzekļi

Tātad, protams, parasti mūsu vēlme (pareizāk sakot, mūsu vadības vēlme) ir panākt neiespējamo, proti, nodrošināt maksimālu ērtības ar maksimālu drošību un minimālām izmaksām.

Apskatīsim, kādas metodes mums ir, lai nodrošinātu aizsardzību.

Attiecībā uz biroju es vēlētos izcelt sekojošo:

• nulles uzticības pieeja dizainam
• augsts aizsardzības līmenis
• tīkla redzamību
• vienota centralizēta autentifikācijas un autorizācijas sistēma
• saimniekdatora pārbaude

Tālāk mēs nedaudz sīkāk aplūkosim katru no šiem aspektiem.

Nulle uzticība

IT pasaule mainās ļoti ātri. Tikai pēdējo 10 gadu laikā jaunu tehnoloģiju un produktu parādīšanās ir izraisījusi drošības koncepciju pamatīgu pārskatīšanu. Pirms desmit gadiem no drošības viedokļa mēs segmentējām tīklu uzticamības, dmz un neuzticības zonās un izmantojām tā saukto "perimetra aizsardzību", kur bija 2 aizsardzības līnijas: neuzticība -> dmz un dmz -> uzticēties. Arī aizsardzība parasti tika ierobežota ar piekļuves sarakstiem, kuru pamatā bija L3/L4 (OSI) galvenes (IP, TCP/UDP porti, TCP karodziņi). Viss, kas saistīts ar augstākiem līmeņiem, tostarp L7, tika atstāts OS un drošības produktu ziņā, kas instalēti gala saimniekdatoros.

Tagad situācija ir krasi mainījusies. Mūsdienu koncepcija nulle uzticības izriet no tā, ka iekšējās sistēmas, tas ir, tās, kas atrodas perimetrā, vairs nevar uzskatīt par uzticamām, un pats perimetra jēdziens ir kļuvis neskaidrs.
Papildus interneta pieslēgumam mums ir arī

• attālās piekļuves VPN lietotāji
• dažādi personīgie gadžeti, līdzi portatīvie datori, pieslēgti caur biroja WiFi
• citi (filiāles) biroji
• integrācija ar mākoņa infrastruktūru

Kā Zero Trust pieeja izskatās praksē?

Ideālā gadījumā būtu pieļaujama tikai nepieciešamā satiksme un, ja runājam par ideālu, tad kontrolei jābūt ne tikai L3/L4 līmenī, bet aplikācijas līmenī.

Ja, piemēram, jums ir iespēja izlaist visu trafiku caur ugunsmūri, tad varat mēģināt tuvoties ideālajam. Taču šī pieeja var ievērojami samazināt jūsu tīkla kopējo joslas platumu, turklāt filtrēšana pēc lietojumprogrammas ne vienmēr darbojas labi.

Kontrolējot trafiku maršrutētājā vai L3 slēdžā (izmantojot standarta ACL), rodas citas problēmas:

• Šī ir tikai L3/L4 filtrēšana. Nekas neliedz uzbrucējam izmantot atļautos portus (piemēram, TCP 80) savai lietojumprogrammai (nevis http)
• sarežģīta ACL pārvaldība (grūti parsēt ACL)
• Šis nav pilnīgs statusa ugunsmūris, kas nozīmē, ka jums ir skaidri jāatļauj reversā trafika
• ar slēdžiem jūs parasti diezgan stingri ierobežo TCAM lielums, kas var ātri kļūt par problēmu, ja izmantojat pieeju "atļaut tikai to, kas jums nepieciešams"

Piezīme:

Runājot par reverso trafiku, jāatceras, ka mums ir šāda iespēja (Cisco)

atļaut tcp jebkuru izveidoto

Bet jums ir jāsaprot, ka šī rinda ir līdzvērtīga divām rindām:
atļaut tcp jebkuru ack
atļaut tcp jebkuru jebkuru rst

Tas nozīmē, ka pat tad, ja nebija sākotnējā TCP segmenta ar SYN karogu (tas ir, TCP sesija pat nav sākusies izveidot), šis ACL ļaus paketi ar ACK karogu, ko uzbrucējs var izmantot datu pārsūtīšanai.

Tas nozīmē, ka šī līnija nekādā gadījumā nepārvērš jūsu maršrutētāju vai L3 slēdzi par pilnu statusu ugunsmūri.

Augsts aizsardzības līmenis

В raksts Sadaļā par datu centriem mēs apskatījām šādas aizsardzības metodes.

• stāvokļu ugunsmūris (noklusējums)
• ddos/dos aizsardzība
• lietojumprogrammu ugunsmūris
• draudu novēršana (antivīruss, pretspiegprogrammatūra un ievainojamība)
• URL filtrēšana
• datu filtrēšana (satura filtrēšana)
• failu bloķēšana (failu tipu bloķēšana)

Biroja gadījumā situācija ir līdzīga, bet prioritātes ir nedaudz atšķirīgas. Biroja pieejamība (pieejamība) parasti nav tik kritiska kā datu centra gadījumā, savukārt “iekšējās” ļaunprātīgās trafika iespējamība ir par lielumu kārtām lielāka.
Tādēļ šādas aizsardzības metodes šim segmentam kļūst kritiskas:

• lietojumprogrammu ugunsmūris
• draudu novēršana (pretvīrusu, pretspiegprogrammatūras un ievainojamības novēršana)
• URL filtrēšana
• datu filtrēšana (satura filtrēšana)
• failu bloķēšana (failu tipu bloķēšana)

Lai gan visas šīs aizsardzības metodes, izņemot lietojumprogrammu ugunsmūri, tradicionāli ir un joprojām tiek atrisinātas gala saimniekos (piemēram, instalējot pretvīrusu programmas) un izmantojot starpniekserverus, mūsdienu NGFW nodrošina arī šos pakalpojumus.

Drošības aprīkojuma pārdevēji cenšas izveidot visaptverošu aizsardzību, tāpēc kopā ar vietējo aizsardzību tie piedāvā dažādas mākoņtehnoloģijas un klientu programmatūru saimniekiem (beigu punktu aizsardzība/EPP). Tā, piemēram, no 2018. gada Gartner Magic Quadrant Mēs redzam, ka Palo Alto un Cisco ir savi EPP (PA: Traps, Cisco: AMP), taču tie ir tālu no līderiem.

Šīs aizsardzības iespējošana (parasti iegādājoties licences) ugunsmūrī, protams, nav obligāta (varat izmantot tradicionālo ceļu), taču tā sniedz dažas priekšrocības:

• šajā gadījumā ir vienots aizsardzības metožu pielietošanas punkts, kas uzlabo redzamību (skat. nākamo tēmu).
• Ja jūsu tīklā ir neaizsargāta ierīce, tā joprojām ietilpst ugunsmūra aizsardzības “jumta” ietvaros.
• Izmantojot ugunsmūra aizsardzību kopā ar gala resursdatora aizsardzību, mēs palielinām ļaunprātīgas datplūsmas atklāšanas iespējamību. Piemēram, draudu novēršanas izmantošana vietējos saimniekdatoros un ugunsmūrī palielina atklāšanas iespējamību (protams, ar nosacījumu, ka šie risinājumi ir balstīti uz dažādiem programmatūras produktiem).

Piezīme:

Ja, piemēram, izmantojat Kaspersky kā pretvīrusu gan ugunsmūrī, gan gala resursdatoros, tas, protams, būtiski nepalielinās jūsu iespējas novērst vīrusu uzbrukumu jūsu tīklam.

Tīkla redzamība

galvenā doma ir vienkārši — “redziet”, kas notiek jūsu tīklā gan reāllaikā, gan vēsturiskajos datos.

Es sadalītu šo "vīziju" divās grupās:

Pirmā grupa: ko parasti nodrošina jūsu uzraudzības sistēma.

• aprīkojuma iekraušana
• kanālu ielāde
• atmiņas lietojums
• diska lietojums
• maršrutēšanas tabulas maiņa
• saites statuss
• aprīkojuma (vai saimnieku) pieejamība
• ...

Otrā grupa: ar drošību saistīta informācija.

• dažāda veida statistika (piemēram, pēc lietojumprogrammas, pēc URL trafika, kāda veida dati tika lejupielādēti, lietotāju dati)
• kas tika bloķēts ar drošības politiku un kāda iemesla dēļ, proti
  • aizliegta pielietošana
  • aizliegts, pamatojoties uz ip/protocol/port/flags/zones
  • draudu novēršana
  • url filtrēšana
  • datu filtrēšana
  • failu bloķēšana
  • ...
• statistika par DOS/DDOS uzbrukumiem
• neveiksmīgi identifikācijas un autorizācijas mēģinājumi
• statistika par visiem iepriekšminētajiem drošības politikas pārkāpumu gadījumiem
• ...

Šajā nodaļā par drošību mūs interesē otrā daļa.

Daži moderni ugunsmūri (no manas Palo Alto pieredzes) nodrošina labu redzamības līmeni. Bet, protams, trafikai, kas jūs interesē, ir jāiet cauri šim ugunsmūrim (tādā gadījumā jums ir iespēja bloķēt trafiku) vai jāatspoguļo ugunsmūrī (izmanto tikai uzraudzībai un analīzei), un jums ir jābūt licencēm, lai iespējotu visus šie pakalpojumi.

Protams, ir alternatīvs veids vai drīzāk tradicionālais veids, piemēram,

• Sesijas statistiku var apkopot, izmantojot netflow, un pēc tam izmantot īpašas utilītas informācijas analīzei un datu vizualizācijai
• draudu novēršana – īpašas programmas (pretvīrusu, pretspiegprogrammatūras, ugunsmūris) gala resursdatoros
• URL filtrēšana, datu filtrēšana, failu bloķēšana – starpniekserverī
• ir iespējams arī analizēt tcpdump, izmantojot piem. sprauslāt

Varat apvienot šīs divas pieejas, papildinot trūkstošās funkcijas vai dublējot tās, lai palielinātu uzbrukuma atklāšanas iespējamību.

Kuru pieeju vajadzētu izvēlēties?
Ļoti atkarīgs no jūsu komandas kvalifikācijas un vēlmēm.
Gan tur, gan tur ir plusi un mīnusi.

Vienota centralizēta autentifikācijas un autorizācijas sistēma

Labi izstrādāta mobilitāte, par kuru mēs runājām šajā rakstā, paredz, ka jums ir vienāda piekļuve neatkarīgi no tā, vai strādājat no biroja vai no mājām, no lidostas, no kafejnīcas vai jebkur citur (ar ierobežojumiem, par kuriem mēs runājām iepriekš). Šķiet, kāda ir problēma?
Lai labāk izprastu šī uzdevuma sarežģītību, apskatīsim tipisku dizainu.

Piemērs

• Jūs esat sadalījis visus darbiniekus grupās. Jūs esat nolēmis nodrošināt piekļuvi grupām
• Biroja iekšpusē jūs kontrolējat piekļuvi biroja ugunsmūrim
• Jūs kontrolējat trafiku no biroja uz datu centru, izmantojot datu centra ugunsmūri
• Jūs izmantojat Cisco ASA kā VPN vārteju un, lai kontrolētu trafiku, kas tīklā ienāk no attāliem klientiem, jūs izmantojat lokālos (ASA) ACL.

Tagad pieņemsim, ka jums tiek lūgts pievienot papildu piekļuvi noteiktam darbiniekam. Šajā gadījumā jums tiek lūgts pievienot piekļuvi tikai viņam un nevienam citam no viņa grupas.

Šim nolūkam mums ir jāizveido atsevišķa grupa šim darbiniekam, tas ir

• šim darbiniekam izveidojiet atsevišķu IP pūlu ASA
• pievienojiet jaunu ACL ASA un saistiet to ar šo attālo klientu
• izveidot jaunas drošības politikas biroja un datu centru ugunsmūriem

Labi, ja šis pasākums ir rets. Bet manā praksē bija situācija, kad darbinieki piedalījās dažādos projektos, un šis projektu kopums dažiem mainījās diezgan bieži, un tie nebija 1-2 cilvēki, bet desmiti. Protams, šeit kaut kas bija jāmaina.

Tas tika atrisināts šādā veidā.

Nolēmām, ka LDAP būs vienīgais patiesības avots, kas nosaka visas iespējamās darbinieku pieejas. Mēs izveidojām visu veidu grupas, kas definē piekļuves kopas, un katru lietotāju piešķīrām vienai vai vairākām grupām.

Tā, piemēram, pieņemsim, ka ir grupas

• viesis (piekļuve internetam)
• kopēja piekļuve (piekļuve koplietotiem resursiem: pasts, zināšanu bāze utt.)
• grāmatvedība
• projekts 1
• projekts 2
• datu bāzes administrators
• Linux administrators
• ...

Un, ja kāds no darbiniekiem bija iesaistīts gan 1., gan 2. projektā un viņam bija nepieciešama piekļuve, lai strādātu šajos projektos, tad šis darbinieks tika iedalīts šādās grupās:

• viesis
• kopēja piekļuve
• projekts 1
• projekts 2

Kā mēs tagad varam pārvērst šo informāciju par piekļuvi tīkla iekārtām?

Cisco ASA dinamiskās piekļuves politika (DAP) (sk www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) risinājums ir tieši piemērots šim uzdevumam.

Īsumā par mūsu ieviešanu, identifikācijas/autorizācijas procesa laikā ASA saņem no LDAP grupu kopu, kas atbilst konkrētajam lietotājam un “savāc” no vairākiem lokāliem ACL (no kuriem katrs atbilst grupai) dinamisko ACL ar visām nepieciešamajām pieejām. , kas pilnībā atbilst mūsu vēlmēm.

Bet tas attiecas tikai uz VPN savienojumiem. Lai situācija būtu vienāda gan darbiniekiem, kas pieslēgti caur VPN, gan tiem, kas atrodas birojā, tika veikta šāda darbība.

Pieslēdzoties no biroja, lietotāji, kuri izmantoja 802.1x protokolu, nokļuva vai nu viesu LAN (viesiem), vai koplietotā LAN (uzņēmuma darbiniekiem). Turklāt, lai iegūtu īpašu piekļuvi (piemēram, projektiem datu centrā), darbiniekiem bija jāpieslēdzas caur VPN.

Lai izveidotu savienojumu no biroja un mājām, ASA tika izmantotas dažādas tuneļu grupas. Tas ir nepieciešams, lai tiem, kas pieslēdzas no biroja, trafika uz koplietojamiem resursiem (ko izmanto visi darbinieki, piemēram, pasts, failu serveri, biļešu sistēma, dns utt.) nenotiek caur ASA, bet gan caur vietējo tīklu. . Tādējādi mēs nenoslogojām ASA ar nevajadzīgu satiksmi, tostarp augstas intensitātes satiksmi.

Tādējādi problēma tika atrisināta.
Mēs saņēmām

• viens un tas pats piekļuves komplekts gan savienojumiem no biroja, gan attāliem savienojumiem
• pakalpojumu pasliktināšanās trūkums, strādājot no biroja, kas saistīts ar augstas intensitātes trafika pārraidi caur ASA

Kādas citas šīs pieejas priekšrocības?
Piekļuves administrēšanā. Piekļuves var viegli mainīt vienuviet.
Piemēram, ja darbinieks atstāj uzņēmumu, jūs vienkārši noņemat viņu no LDAP, un viņš automātiski zaudē visu piekļuvi.

Saimnieka pārbaude

Izmantojot attālā savienojuma iespēju, mēs riskējam tīklā ielaist ne tikai uzņēmuma darbinieku, bet arī visu ļaunprātīgo programmatūru, kas, ļoti iespējams, atrodas viņa datorā (piemēram, mājās), turklāt ar šīs programmatūras starpniecību mēs var nodrošināt piekļuvi mūsu tīklam uzbrucējam, izmantojot šo resursdatoru kā starpniekserveri.

Ir lietderīgi attālināti savienotam resursdatoram piemērot tādas pašas drošības prasības kā biroja resursdatoram.

Tas paredz arī “pareizo” OS versiju, pretvīrusu, pretspiegprogrammatūru un ugunsmūra programmatūru un atjauninājumus. Parasti šī iespēja pastāv VPN vārtejā (par ASA skatiet, piemēram, šeit).

Ir arī prātīgi piemērot tos pašus trafika analīzes un bloķēšanas paņēmienus (skatiet “Augsts aizsardzības līmenis”), ko jūsu drošības politika attiecas uz biroja trafiku.

Ir saprātīgi pieņemt, ka jūsu biroju tīkls vairs neaprobežojas tikai ar biroja ēku un tajā esošajiem saimniekiem.

Piemērs

Labs paņēmiens ir nodrošināt katram darbiniekam, kuram nepieciešama attālināta pieeja, labu, ērtu portatīvo datoru un prasīt strādāt gan birojā, gan mājās, tikai no tā.

Tas ne tikai uzlabo jūsu tīkla drošību, bet arī ir patiešām ērts, un darbinieki to parasti vērtē labvēlīgi (ja tas ir patiešām labs, lietotājam draudzīgs klēpjdators).

Par mēra un līdzsvara sajūtu

Būtībā šī ir saruna par mūsu trīsstūra trešo virsotni – par cenu.
Apskatīsim hipotētisku piemēru.

Piemērs

Jums ir birojs 200 cilvēkiem. Jūs nolēmāt padarīt to pēc iespējas ērtāku un drošāku.

Tāpēc jūs nolēmāt nodot visu trafiku caur ugunsmūri, un tādējādi visiem biroja apakštīkliem ugunsmūris ir noklusējuma vārteja. Papildus drošības programmatūrai, kas instalēta katrā gala resursdatorā (pretvīrusu, pretspiegprogrammatūra un ugunsmūra programmatūra), jūs arī nolēmāt ugunsmūrim lietot visas iespējamās aizsardzības metodes.

Lai nodrošinātu lielu savienojuma ātrumu (viss ērtībai), kā piekļuves slēdžus izvēlējāties slēdžus ar 10 gigabitu piekļuves portiem un kā ugunsmūrus augstas veiktspējas NGFW ugunsmūrus, piemēram, Palo Alto 7K sēriju (ar 40 gigabitu pieslēgvietām), protams, ar visām licencēm. iekļauts un, protams, augstas pieejamības pāris.

Tāpat, protams, lai strādātu ar šo iekārtu līniju, mums ir nepieciešami vismaz pāris augsti kvalificēti drošības inženieri.

Pēc tam jūs nolēmāt katram darbiniekam dot labu klēpjdatoru.

Kopā apmēram 10 miljoni dolāru ieviešanai, simtiem tūkstošu dolāru (domāju, ka tuvāk miljonam) ikgadējam atbalstam un algām inženieriem.

Birojs, 200 cilvēki...
Ērti? Man šķiet, ka jā.

Jūs nākat ar šo priekšlikumu savai vadībai...
Iespējams, ka pasaulē ir vairāki uzņēmumi, kuriem tas ir pieņemams un pareizs risinājums. Ja esat šī uzņēmuma darbinieks, apsveicu, taču vairumā gadījumu esmu pārliecināts, ka jūsu zināšanas nenovērtēs vadība.

Vai šis piemērs ir pārspīlēts? Nākamajā nodaļā tiks sniegta atbilde uz šo jautājumu.

Ja jūsu tīklā neredzat neko no iepriekš minētā, tā ir norma.
Katram konkrētajam gadījumam ir jāatrod savs saprātīgs kompromiss starp ērtībām, cenu un drošību. Bieži vien jums pat nav nepieciešams NGFW jūsu birojā, un ugunsmūra L7 aizsardzība nav nepieciešama. Tas ir pietiekami, lai nodrošinātu labu redzamības līmeni un brīdinājumus, un to var izdarīt, piemēram, izmantojot atvērtā koda produktus. Jā, jūsu reakcija uz uzbrukumu nebūs tūlītēja, bet galvenais, lai jūs to redzēsiet, un ar atbilstošiem procesiem jūsu nodaļā jūs varēsiet to ātri neitralizēt.

Un ļaujiet man atgādināt, ka saskaņā ar šīs rakstu sērijas koncepciju jūs neveidojat tīklu, jūs tikai cenšaties uzlabot to, ko esat ieguvis.

DROŠA biroja arhitektūras analīze

Pievērsiet uzmanību šim sarkanajam kvadrātam, ar kuru es piešķīru vietu diagrammā DROŠAS Drošas universitātes pilsētiņas arhitektūras ceļvedisko es gribētu šeit apspriest.

Šī ir viena no galvenajām arhitektūras vietām un viena no svarīgākajām neskaidrībām.

Piezīme:

Es nekad neesmu iestatījis vai strādājis ar FirePower (no Cisco ugunsmūra līnijas — tikai ASA), tāpēc izturēšos pret to tāpat kā pret jebkuru citu ugunsmūri, piemēram, Juniper SRX vai Palo Alto, pieņemot, ka tam ir tādas pašas iespējas.

No parastajiem dizainiem es redzu tikai 4 iespējamās ugunsmūra izmantošanas iespējas ar šo savienojumu:

• katra apakštīkla noklusējuma vārteja ir slēdzis, kamēr ugunsmūris ir caurspīdīgā režīmā (tas ir, visa trafika iet caur to, bet tas neveido L3 lēcienu)
• katra apakštīkla noklusējuma vārteja ir ugunsmūra apakšsaskarnes (vai SVI saskarnes), slēdzis spēlē L2 lomu
• Slēdžā tiek izmantoti dažādi VRF, un satiksme starp VRF iet caur ugunsmūri, trafiku vienā VRF kontrolē slēdža ACL.
• visa trafika tiek atspoguļota ugunsmūrī analīzei un uzraudzībai; satiksme netiek caur to

1. piezīme

Ir iespējamas šo iespēju kombinācijas, taču vienkāršības labad mēs tās neapsvērsim.

2. piezīme

Ir arī iespēja izmantot PBR (service chain architecture), bet pagaidām šis, lai arī manuprāt skaists risinājums, ir diezgan eksotisks, tāpēc šeit to neapsveru.

No plūsmu apraksta dokumentā redzam, ka satiksme joprojām iet caur ugunsmūri, tas ir, saskaņā ar Cisco dizainu, ceturtā iespēja ir izslēgta.

Vispirms apskatīsim pirmās divas iespējas.
Izmantojot šīs opcijas, visa trafika notiek caur ugunsmūri.

Tagad paskatīsimies datu lapas, Skaties Cisco GPL un mēs redzam, ka, ja vēlamies, lai mūsu biroja kopējais joslas platums būtu vismaz 10–20 gigabiti, mums ir jāiegādājas 4K versija.

Piezīme:

Kad es runāju par kopējo joslas platumu, es domāju trafiku starp apakštīkliem (un nevis vienas vilanas ietvaros).

No GPL redzam, ka HA Bundle with Threat Defense cena atkarībā no modeļa (4110 - 4150) svārstās no ~0,5 līdz 2,5 miljoniem dolāru.

Tas ir, mūsu dizains sāk līdzināties iepriekšējam piemēram.

Vai tas nozīmē, ka šis dizains ir nepareizs?
Nē, tas nenozīmē. Cisco nodrošina vislabāko iespējamo aizsardzību, pamatojoties uz tā produktu līniju. Bet tas nenozīmē, ka tas jums ir jādara.

Principā tas ir izplatīts jautājums, kas rodas, projektējot biroju vai datu centru, un tas nozīmē tikai to, ka ir jāmeklē kompromiss.

Piemēram, neļaujiet visai satiksmei iet caur ugunsmūri, tādā gadījumā man šķiet diezgan labs variants 3, vai (skatiet iepriekšējo sadaļu), iespējams, jums nav nepieciešama aizsardzība pret draudiem vai vispār nav nepieciešams ugunsmūris. tīkla segmentā, un jums vienkārši jāierobežo sevi ar pasīvo uzraudzību, izmantojot maksas (nav dārgus) vai atvērtā pirmkoda risinājumus, vai arī jums ir nepieciešams ugunsmūris, bet no cita pārdevēja.

Parasti vienmēr pastāv šī nenoteiktība, un nav skaidras atbildes par to, kurš lēmums jums ir vislabākais.
Šī ir šī uzdevuma sarežģītība un skaistums.

Avots: www.habr.com