Оваа статија е петта од серијата „Како да ја преземете контролата врз вашата мрежна инфраструктура“. Содржината на сите написи во серијата и линковите може да се најдат .
Овој дел ќе биде посветен на сегментите на кампусот (канцеларија) и VPN со далечински пристап.
Дизајнот на канцелариска мрежа може да изгледа лесен.
Навистина, земаме прекинувачи L2/L3 и ги поврзуваме едни со други. Следно, го извршуваме основното поставување на вилани и стандардни порти, поставуваме едноставно рутирање, поврзуваме WiFi контролери, пристапни точки, инсталираме и конфигурираме ASA за далечински пристап, драго ни е што сè функционираше. Во суштина, како што веќе напишав во едно од претходните од овој циклус, речиси секој студент кој посетувал (и научил) два семестри од курсот за телеком може да дизајнира и конфигурира канцелариска мрежа така што „некако функционира“.
Но, колку повеќе учите, толку помалку едноставна оваа задача почнува да изгледа. Мене лично оваа тема, темата за дизајн на канцелариска мрежа, воопшто не изгледа едноставна, а во оваа статија ќе се обидам да објаснам зошто.
Накратко, треба да се земат предвид неколку фактори. Честопати овие фактори се во конфликт еден со друг и треба да се бара разумен компромис.
Оваа неизвесност е главната тешкотија. Значи, зборувајќи за безбедноста, имаме триаголник со три темиња: безбедност, удобност за вработените, цена на решението.
И секој пат кога треба да барате компромис помеѓу овие три.
архитектура
Како пример за архитектура за овие два сегменти, како и во претходните написи, препорачувам модел: , .
Ова се донекаде застарени документи. Ги презентирам овде бидејќи основните шеми и пристап не се променети, но во исто време презентацијата ми се допаѓа повеќе отколку во .
Без да ве охрабрувам да користите решенија на Cisco, сепак мислам дека е корисно внимателно да го проучите овој дизајн.
Оваа статија, како и обично, на ниту еден начин не се преправа дека е комплетна, туку е повеќе додаток на оваа информација.
На крајот од статијата, ќе го анализираме дизајнот на канцеларијата на Cisco SAFE во однос на концептите наведени овде.
Општи принципи
Дизајнот на канцелариската мрежа, се разбира, мора да ги задоволува општите барања што беа дискутирани во поглавјето „Критериуми за оценување на квалитетот на дизајнот“. Покрај цената и безбедноста, за кои имаме намера да разговараме во оваа статија, сè уште има три критериуми што мора да ги земеме предвид при дизајнирање (или правење промени):
- приспособливост
- леснотија на користење (управливост)
- достапност
Голем дел од она за што се дискутираше Ова важи и за канцеларијата.
Но, сепак, канцеларискиот сегмент има свои специфики, кои се критични од безбедносен аспект. Суштината на оваа специфичност е што овој сегмент е создаден за да обезбеди мрежни услуги на вработените (како и партнерите и гостите) на компанијата и, како резултат на тоа, на највисоко ниво на разгледување на проблемот имаме две задачи:
- заштитете ги ресурсите на компанијата од злонамерни дејства кои можат да дојдат од вработените (гости, партнери) и од софтверот што тие го користат. Ова исто така вклучува заштита од неовластено поврзување со мрежата.
- заштита на системите и корисничките податоци
И ова е само едната страна на проблемот (или подобро, едно теме на триаголникот). Од друга страна е удобноста на корисниците и цената на употребените решенија.
Да почнеме со разгледување на она што корисникот очекува од модерната канцелариска мрежа.
Удобности
Еве како изгледаат „мрежни погодности“ за канцелариски корисник според мое мислење:
- Мобилност
- Способност за користење на целиот опсег на познати уреди и оперативни системи
- Лесен пристап до сите потребни ресурси на компанијата
- Достапност на интернет ресурси, вклучувајќи различни облак услуги
- „Брза работа“ на мрежата
Сето ова се однесува и на вработените и на гостите (или партнерите) и задача на инженерите на компанијата е да го разликуваат пристапот за различни групи корисници врз основа на овластување.
Ајде да го разгледаме секој од овие аспекти малку подетално.
Мобилност
Зборуваме за можност за работа и користење на сите потребни ресурси на компанијата од каде било во светот (се разбира, каде што е достапен Интернет).
Ова целосно се однесува на канцеларијата. Ова е погодно кога имате можност да продолжите да работите од каде било во канцеларијата, на пример, да примате пошта, да комуницирате во корпоративен гласник, да бидете достапни за видео повик, ... Така, ова ви овозможува, од една страна, да решавате некои проблеми со „жива“ комуникација (на пример, да учествувате на митинзи), а од друга страна, бидете секогаш онлајн, држете го прстот на пулсот и брзо решавајте некои итни задачи со висок приоритет. Ова е многу погодно и навистина го подобрува квалитетот на комуникациите.
Ова се постигнува со правилен дизајн на WiFi мрежа.
Забелешка:
Тука обично се поставува прашањето: дали е доволно да се користи само WiFi? Дали ова значи дека можете да престанете да ги користите портите за етернет во канцеларијата? Ако зборуваме само за корисници, а не за сервери, кои сепак се разумни за поврзување со обична етернет порта, тогаш генерално одговорот е: да, можете да се ограничите само на WiFi. Но, постојат нијанси.
Постојат важни групи на корисници кои бараат посебен пристап. Тоа се, се разбира, администратори. Во принцип, WiFi конекцијата е помалку сигурна (во смисла на загуба на сообраќај) и побавна од обичната етернет порта. Ова може да биде значајно за администраторите. Покрај тоа, мрежните администратори, на пример, можат, во принцип, да имаат своја посветена етернет мрежа за конекции надвор од опсегот.
Може да има други групи/одделенија во вашата компанија за кои овие фактори се исто така важни.
Постои уште една важна точка - телефонија. Можеби поради некоја причина не сакате да користите безжичен VoIP и сакате да користите IP телефони со редовна етернет конекција.
Во принцип, компаниите за кои работев обично имаа и WiFi конекција и Ethernet порта.
Би сакал мобилноста да не биде ограничена само на канцеларијата.
За да се обезбеди можност за работа од дома (или кое било друго место со пристапен интернет), се користи VPN конекција. Во исто време, пожелно е вработените да не ја чувствуваат разликата помеѓу работа од дома и работа од далечина, што претпоставува ист пристап. Ќе разговараме за тоа како да го организираме ова малку подоцна во поглавјето „Унифициран централизиран систем за автентикација и авторизација“.
Забелешка:
Најверојатно, нема да можете целосно да го обезбедите истиот квалитет на услуги за работа на далечина што ги имате во канцеларијата. Да претпоставиме дека користите Cisco ASA 5520 како ваш VPN портал овој уред е способен да „дигестира“ само 225 Mbit VPN сообраќај. Тоа е, се разбира, во однос на пропусниот опсег, поврзувањето преку VPN е многу различно од работењето од канцеларија. Исто така, ако, поради некоја причина, доцнењето, загубата, нервозата (на пример, сакате да користите канцелариска IP телефонија) за вашите мрежни услуги се значајни, исто така нема да го добиете истиот квалитет како да сте во канцеларија. Затоа, кога зборуваме за мобилност, мора да бидеме свесни за можните ограничувања.
Лесен пристап до сите ресурси на компанијата
Оваа задача треба да се реши заедно со другите технички одделенија.
Идеалната ситуација е кога корисникот треба само еднаш да се автентицира, а потоа има пристап до сите потребни ресурси.
Обезбедувањето лесен пристап без жртвување на безбедноста може значително да ја подобри продуктивноста и да го намали стресот кај вашите колеги.
Забелешка 1
Леснотијата на пристап не се однесува само на тоа колку пати треба да внесете лозинка. Ако, на пример, во согласност со вашата безбедносна политика, за да се поврзете од канцеларијата до центарот за податоци, прво мора да се поврзете со портата VPN, а во исто време да го изгубите пристапот до канцелариските ресурси, тогаш ова е исто така многу , многу незгодно.
Забелешка 2
Постојат услуги (на пример, пристап до мрежна опрема) каде што обично имаме свои посветени AAA сервери и тоа е норма кога во овој случај треба да се автентицираме неколку пати.
Достапност на интернет ресурси
Интернетот не е само забава, туку и збир на услуги кои можат да бидат многу корисни за работа. Има и чисто психолошки фактори. Современиот човек е поврзан со други луѓе преку Интернет преку многу виртуелни нишки и, според мене, нема ништо лошо ако продолжи да ја чувствува оваа врска дури и додека работи.
Од гледна точка на губење време, нема ништо лошо ако некој вработен, на пример, работи Skype и поминува 5 минути во комуникација со саканата личност доколку е потребно.
Дали ова значи дека Интернетот секогаш треба да биде достапен, дали тоа значи дека вработените можат да имаат пристап до сите ресурси и да не ги контролираат на кој било начин?
Не, не значи тоа, се разбира. Нивото на отвореност на Интернет може да варира за различни компании - од целосно затворање до целосна отвореност. Ќе разговараме за начините за контрола на сообраќајот подоцна во деловите за безбедносни мерки.
Способност за користење на целиот опсег на познати уреди
Удобно е кога, на пример, имате можност да продолжите да ги користите сите средства за комуникација на кои сте навикнати на работа. Нема потешкотии во техничко спроведување на ова. За ова ви треба WiFi и вилан за гости.
Исто така е добро ако имате можност да го користите оперативниот систем на кој сте навикнати. Но, според моето набљудување, тоа обично им е дозволено само на менаџерите, администраторите и програмерите.
Пример
Се разбира, можете да го следите патот на забраните, да забраните далечински пристап, да забраните поврзување од мобилни уреди, да ограничите сè на статични етернет конекции, да го ограничите пристапот до Интернет, задолжително да ги конфискувате мобилните телефони и гаџетите на контролниот пункт... и оваа патека всушност го следат некои организации со зголемени безбедносни барања, а можеби во некои случаи тоа може да биде оправдано, но... мора да се согласите дека ова изгледа како обид да се запре напредокот во една организација. Секако, би сакал да ги комбинирам можностите што ги даваат современите технологии со доволно ниво на безбедност.
„Брза работа“ на мрежата
Брзината на пренос на податоци технички се состои од многу фактори. И брзината на вашата порта за поврзување обично не е најважна. Бавното работење на апликацијата не е секогаш поврзано со мрежни проблеми, но засега не интересира само мрежниот дел. Најчестиот проблем со „забавување“ на локалната мрежа е поврзан со загубата на пакети. Ова обично се случува кога има проблеми со тесно грло или L1 (OSI). Поретко, со некои дизајни (на пример, кога вашите подмрежи имаат заштитен ѕид како стандардна порта и на тој начин целиот сообраќај поминува низ него), хардверот може да нема перформанси.
Затоа, при изборот на опрема и архитектура, треба да ги поврзете брзините на крајните порти, багажниците и перформансите на опремата.
Пример
Да претпоставиме дека користите прекинувачи со порти од 1 гигабит како прекинувачи на слојот за пристап. Тие се поврзани едни со други преку Etherchannel 2 x 10 гигабити. Како стандардна порта, користите заштитен ѕид со гигабитни порти, за да го поврзете со канцелариската мрежа L2 користите 2 гигабитни порти комбинирани во Etherchannel.
Оваа архитектура е доста погодна од функционален аспект, бидејќи... Целиот сообраќај поминува низ заштитниот ѕид и можете удобно да управувате со политиките за пристап и да примените сложени алгоритми за да го контролирате сообраќајот и да спречите можни напади (видете подолу), но од гледна точка на пропусната моќ и перформансите, овој дизајн, се разбира, има потенцијални проблеми. Така, на пример, 2 хостови што преземаат податоци (со брзина на порта од 1 гигабит) можат целосно да вчитаат 2 гигабитна врска со заштитниот ѕид и на тој начин да доведат до деградација на услугата за целиот канцелариски сегмент.
Разгледавме едно теме на триаголникот, сега да погледнеме како можеме да обезбедиме безбедност.
Лекови
Значи, се разбира, обично нашата желба (или подобро, желбата на нашиот менаџмент) е да го постигнеме невозможното, имено, да обезбедиме максимална удобност со максимална безбедност и минимални трошоци.
Ајде да погледнеме кои методи ги имаме за да обезбедиме заштита.
За канцеларијата, би го истакнал следново:
- нулта доверба пристап кон дизајнот
- високо ниво на заштита
- мрежна видливост
- унифициран централизиран систем за автентикација и авторизација
- проверка на домаќинот
Следно, ќе се задржиме малку подетално на секој од овие аспекти.
Нула доверба
Светот на ИТ се менува многу брзо. Само во текот на изминатите 10 години, појавата на нови технологии и производи доведе до голема ревизија на безбедносните концепти. Пред десет години, од безбедносен аспект, ја сегментиравме мрежата на зони на доверба, dmz и недоверба и ја користевме таканаречената „периметарска заштита“, каде што имаше 2 линии на одбрана: untrust -> dmz и dmz -> доверба. Исто така, заштитата вообичаено беше ограничена на списоци за пристап базирани на заглавија L3/L4 (OSI) (IP, TCP/UDP порти, TCP знаменца). Сè што е поврзано со повисоките нивоа, вклучително и L7, беше препуштено на ОС и безбедносните производи инсталирани на крајните хостови.
Сега ситуацијата драстично се промени. Модерен концепт доаѓа од фактот дека веќе не е возможно да се сметаат за доверливи внатрешните системи, односно оние кои се наоѓаат во периметарот, а концептот на самиот периметар стана заматен.
Покрај интернет конекција имаме и
- корисници на VPN со далечински пристап
- разни лични гаџети, донесени лаптопи, поврзани преку канцелариски WiFi
- други (подружници).
- интеграција со облак инфраструктура
Како во пракса изгледа пристапот Zero Trust?
Идеално, треба да се дозволи само сообраќајот што е потребен и, ако зборуваме за идеален, тогаш контролата треба да биде не само на ниво L3/L4, туку и на ниво на апликација.
Ако, на пример, имате можност да го поминете целиот сообраќај преку заштитен ѕид, тогаш можете да се обидете да се приближите до идеалот. Но, овој пристап може значително да го намали вкупниот пропусен опсег на вашата мрежа, а освен тоа, филтрирањето по апликација не секогаш функционира добро.
Кога го контролирате сообраќајот на рутер или прекинувач L3 (со користење на стандардни ACL), наидувате на други проблеми:
- Ова е само филтрирање L3/L4. Ништо не го спречува напаѓачот да користи дозволени порти (на пр. TCP 80) за нивната апликација (не http)
- сложено управување со ACL (тешко е да се анализираат ACLs)
- Ова не е државен заштитен ѕид, што значи дека треба експлицитно да дозволите обратен сообраќај
- со прекинувачите обично сте прилично строго ограничени со големината на TCAM, што брзо може да стане проблем ако го примените пристапот „дозволи само она што ви треба“.
Забелешка:
Зборувајќи за обратен сообраќај, мора да запомниме дека ја имаме следната можност (Cisco)
дозволи tcp било кое било утврдено
Но, треба да разберете дека оваа линија е еквивалентна на две линии:
Дозволете tcp било кој ack
дозволи tcp било кој rstШто значи дека дури и да немаше почетен TCP сегмент со знаменцето SYN (односно, TCP сесијата не ни започна да се воспоставува), овој ACL ќе дозволи пакет со знаменце ACK, кој напаѓачот може да го користи за пренос на податоци.
Односно, оваа линија во никој случај не го претвора вашиот рутер или прекинувачот L3 во државен заштитен ѕид.
Високо ниво на заштита
В Во делот за центри за податоци, ги разгледавме следните методи за заштита.
- државен заштитен ѕид (стандардно)
- ddos/dos заштита
- огнен ѕид на апликацијата
- спречување закани (антивирус, анти-шпионски софтвер и ранливост)
- Филтрирање URL
- филтрирање податоци (филтрирање содржина)
- блокирање на датотеки (блокирање на типови датотеки)
Во случај на канцеларија, ситуацијата е слична, но приоритетите се малку поинакви. Достапноста (достапноста) на канцелариите обично не е толку критична како во случајот со центарот за податоци, додека веројатноста за „внатрешен“ злонамерен сообраќај е за редови поголема.
Затоа, следните методи за заштита за овој сегмент стануваат критични:
- огнен ѕид на апликацијата
- спречување закани (анти-вирус, анти-шпионски софтвер и ранливост)
- Филтрирање URL
- филтрирање податоци (филтрирање содржина)
- блокирање на датотеки (блокирање на типови датотеки)
Иако сите овие методи на заштита, со исклучок на заштитниот ѕид на апликациите, традиционално се решаваат и продолжуваат да се решаваат на крајните хостови (на пример, со инсталирање антивирусни програми) и користење на прокси, современите NGFW исто така ги обезбедуваат овие услуги.
Продавачите на безбедносна опрема се стремат да создадат сеопфатна заштита, па заедно со локалната заштита, тие нудат различни облак технологии и клиентски софтвер за домаќините (заштита на крајната точка/EPP). Така, на пример, од Гледаме дека Palo Alto и Cisco имаат свои EPP (PA: Traps, Cisco: AMP), но се далеку од лидерите.
Овозможувањето на овие заштити (обично со купување лиценци) на вашиот заштитен ѕид, се разбира, не е задолжително (може да одите по традиционалниот пат), но обезбедува некои придобивки:
- во овој случај, постои единствена точка на примена на методите на заштита, што ја подобрува видливоста (видете ја следната тема).
- Ако има незаштитен уред на вашата мрежа, тогаш тој сè уште потпаѓа под „чадорот“ на заштитата на заштитен ѕид
- Со користење на заштита од заштитен ѕид во врска со заштита на крајниот домаќин, ја зголемуваме веројатноста за откривање на злонамерен сообраќај. На пример, користењето на спречување закани на локални хостови и на заштитен ѕид ја зголемува веројатноста за откривање (се разбира, под услов овие решенија да се засноваат на различни софтверски производи)
Забелешка:
Ако, на пример, го користите Kaspersky како антивирус и на заштитниот ѕид и на крајните хостови, тогаш ова, се разбира, нема многу да ги зголеми вашите шанси да спречите вирусен напад на вашата мрежа.
Видливост на мрежата
е едноставно - „видете“ што се случува на вашата мрежа, и во реално време и во историски податоци.
Оваа „визија“ би ја поделил во две групи:
Група прва: она што обично ви го обезбедува вашиот систем за следење.
- оптоварување на опремата
- вчитување канали
- употреба на меморија
- користење на дискот
- менување на рутирачката табела
- статус на врската
- достапност на опрема (или домаќини)
- ...
Група втора: информации поврзани со безбедноста.
- различни видови статистики (на пример, по апликација, по URL сообраќај, какви видови податоци се преземени, кориснички податоци)
- што беше блокирано од безбедносните политики и поради која причина, имено
- забранета апликација
- забрането врз основа на IP/протокол/порта/знамиња/зони
- спречување на закани
- филтрирање на URL
- филтрирање на податоци
- блокирање на датотеки
- ...
- статистика за DOS/DDOS напади
- неуспешни обиди за идентификација и овластување
- статистика за сите горенаведени настани за прекршување на безбедносната политика
- ...
Во ова поглавје за безбедност, нас не интересира вториот дел.
Некои модерни заштитни ѕидови (од моето искуство во Пало Алто) обезбедуваат добро ниво на видливост. Но, се разбира, сообраќајот за кој ве интересира мора да помине низ овој заштитен ѕид (во тој случај имате можност да го блокирате сообраќајот) или да се преслика во заштитниот ѕид (се користи само за следење и анализа), а вие мора да имате лиценци за да ги овозможите сите овие услуги.
Се разбира, постои алтернативен начин, поточно традиционалниот начин, на пример,
- Статистиката на сесиите може да се собира преку netflow, а потоа да се користат специјални алатки за анализа на информации и визуелизација на податоците
- спречување на закани – специјални програми (анти-вирус, анти-шпионски софтвер, заштитен ѕид) на крајните домаќини
- Филтрирање URL, филтрирање податоци, блокирање датотеки - на прокси
- исто така е можно да се анализира tcpdump користејќи на пр.
Можете да ги комбинирате овие два пристапа, дополнувајќи ги карактеристиките што недостасуваат или дуплирајќи ги за да ја зголемите веројатноста за откривање напад.
Кој пристап треба да го изберете?
Многу зависи од квалификациите и преференциите на вашиот тим.
И таму и има добри и лоши страни.
Унифициран централизиран систем за автентикација и авторизација
Кога е добро дизајнирана, мобилноста што ја разгледавме во оваа статија претпоставува дека имате ист пристап без разлика дали работите од канцеларија или од дома, од аеродром, од кафуле или каде било на друго место (со ограничувањата што ги разгледавме погоре). Се чини, што е проблемот?
За подобро да ја разбереме сложеноста на оваа задача, да погледнеме типичен дизајн.
Пример
- Ги поделивте сите вработени во групи. Решивте да обезбедите пристап по групи
- Внатре во канцеларијата, вие го контролирате пристапот до канцеларискиот заштитен ѕид
- Вие го контролирате сообраќајот од канцеларијата до центарот за податоци на заштитниот ѕид на центарот за податоци
- Вие користите Cisco ASA како порта VPN, а за да го контролирате сообраќајот што влегува во вашата мрежа од далечински клиенти, користите локални (на ASA) ACL
Сега, да речеме, од вас е побарано да додадете дополнителен пристап до одреден вработен. Во овој случај, од вас се бара да додадете пристап само до него и никој друг од неговата група.
За ова треба да создадеме посебна група за овој вработен, т.е
- креирајте посебен IP базен на ASA за овој вработен
- додадете нов ACL на ASA и поврзете го со тој далечински клиент
- креирајте нови безбедносни политики на заштитните ѕидови на канцелариите и центрите за податоци
Добро е ако овој настан е редок. Но, во мојата пракса имаше ситуација кога вработените учествуваа во различни проекти, а овој сет на проекти за некои од нив често се менуваше, и тоа не беше 1-2 луѓе, туку десетици. Се разбира, тука требаше нешто да се промени.
Ова беше решено на следниот начин.
Решивме дека LDAP ќе биде единствениот извор на вистината што ги одредува сите можни пристапи на вработените. Создадовме секакви групи кои дефинираат множества на пристапи и го доделивме секој корисник на една или повеќе групи.
Така, на пример, да претпоставиме дека имало групи
- гостин (пристап до Интернет)
- заеднички пристап (пристап до споделени ресурси: пошта, база на знаење, ...)
- сметководство
- проект 1
- проект 2
- администратор на база на податоци
- администратор на линукс
- ...
И ако еден од вработените бил вклучен и во проектот 1 и во проектот 2, и му бил потребен пристап неопходен за работа во овие проекти, тогаш овој вработен бил доделен во следните групи:
- гостин
- заеднички пристап
- проект 1
- проект 2
Како сега можеме да ги претвориме овие информации во пристап до мрежната опрема?
Cisco ASA Dynamic Access Policy (DAP) (види ) решението е точно за оваа задача.
Накратко за нашата имплементација, за време на процесот на идентификација/овластување, ASA добива од LDAP збир на групи што одговараат на даден корисник и „собира“ од неколку локални ACL (од кои секоја одговара на група) динамичен ACL со сите потребни пристапи , што целосно одговара на нашите желби.
Но, ова е само за VPN конекции. За да биде ситуацијата иста и за вработените поврзани преку VPN и за оние во канцеларијата, беше преземен следниот чекор.
При поврзување од канцеларија, корисниците што го користеа протоколот 802.1x завршија или во гостинска LAN (за гости) или во заедничка LAN (за вработените во компанијата). Понатаму, за да се добие специфичен пристап (на пример, до проекти во центар за податоци), вработените мораа да се поврзат преку VPN.
За поврзување од канцеларија и од дома, беа користени различни тунелни групи на ASA. Ова е неопходно за оние што се поврзуваат од канцеларијата, сообраќајот до споделените ресурси (кој го користат сите вработени, како што се пошта, сервери за датотеки, систем за билети, dns, ...) не оди преку ASA, туку преку локалната мрежа . Така, не го оптоваривме АСА со непотребен сообраќај, вклучително и сообраќај со висок интензитет.
Така, проблемот беше решен.
Добивме
- ист сет на пристапи за двете врски од канцеларија и далечински врски
- отсуство на деградација на услугата при работа од канцеларија поврзана со пренос на сообраќај со висок интензитет преку ASA
Кои други предности на овој пристап?
Во администрацијата за пристап. Пристапите може лесно да се менуваат на едно место.
На пример, ако некој вработен ја напушти компанијата, тогаш едноставно го отстранувате од LDAP и тој автоматски го губи целиот пристап.
Проверка на домаќинот
Со можноста за далечинско поврзување, ризикуваме да дозволиме не само вработен во компанијата да влезе во мрежата, туку и целиот злонамерен софтвер што е многу веројатно присутен на неговиот компјутер (на пример, дома), а згора на тоа, преку овој софтвер ние можеби обезбедува пристап до нашата мрежа на напаѓач кој го користи овој домаќин како прокси.
Има смисла за далечински поврзан хост да ги применува истите безбедносни барања како и домаќинот во канцеларија.
Ова, исто така, ја претпоставува „точната“ верзија на оперативниот систем, софтверот и ажурирањата на антивирус, анти-шпионски софтвер и заштитен ѕид. Вообичаено, оваа способност постои на портата VPN (за ASA видете, на пример, ).
Исто така, мудро е да ги примените истите техники за анализа на сообраќајот и блокирање (видете „Високо ниво на заштита“) што ги применува вашата безбедносна политика за канцеларискиот сообраќај.
Разумно е да се претпостави дека вашата канцелариска мрежа повеќе не е ограничена на деловната зграда и домаќините во неа.
Пример
Добра техника е да се обезбеди секој вработен кој бара далечински пристап со добар, удобен лаптоп и да се бара од него да работат, и во канцеларија и од дома, само од него.
Не само што ја подобрува безбедноста на вашата мрежа, туку е и навистина удобен и вработените обично го гледаат позитивно (ако е навистина добар лаптоп, лесен за користење).
За чувството за пропорција и рамнотежа
Во суштина, ова е разговор за третото теме на нашиот триаголник - за цената.
Ајде да погледнеме хипотетички пример.
Пример
Имате канцеларија за 200 луѓе. Решивте да го направите што е можно поудобно и побезбедно.
Затоа, решивте да го поминете целиот сообраќај низ заштитниот ѕид и на тој начин за сите канцелариски подмрежи, заштитниот ѕид е стандардната порта. Покрај безбедносниот софтвер инсталиран на секој краен хост (анти-вирус, анти-шпионски софтвер и софтвер за заштитен ѕид), вие исто така одлучивте да ги примените сите можни методи за заштита на заштитниот ѕид.
За да обезбедите голема брзина на поврзување (се за погодност), избравте прекинувачи со 10 гигабитни порти за пристап како прекинувачи за пристап и NGFW заштитни ѕидови со високи перформанси како заштитен ѕид, на пример, серијата Palo Alto 7K (со 40 гигабитни порти), природно со сите лиценци вклучени и, природно, пар со висока достапност.
Исто така, се разбира, за да работиме со оваа линија на опрема ни требаат барем неколку висококвалификувани безбедносни инженери.
Следно, решивте да му дадете на секој вработен добар лаптоп.
Вкупно, околу 10 милиони долари за реализација, стотици илјади долари (мислам поблиску до милион) за годишна поддршка и плати за инженерите.
Канцеларија, 200 луѓе...
Удобно? Претпоставувам дека е да.Доаѓате со овој предлог до вашето раководство...
Можеби постојат голем број компании во светот за кои ова е прифатливо и правилно решение. Ако сте вработен во оваа компанија, моите честитки, но во огромното мнозинство на случаи, сигурен сум дека вашето знаење нема да биде ценето од раководството.
Дали овој пример е претеран? Следното поглавје ќе одговори на ова прашање.
Ако на вашата мрежа не гледате ништо од горенаведените, тогаш ова е норма.
За секој конкретен случај, треба да најдете свој разумен компромис помеѓу практичноста, цената и безбедноста. Честопати дури и не ви треба NGFW во вашата канцеларија, а заштитата L7 на заштитниот ѕид не е потребна. Доволно е да се обезбеди добро ниво на видливост и предупредувања, а тоа може да се направи со користење на производи со отворен код, на пример. Да, вашата реакција на напад нема да биде веднаш, но главната работа е што ќе ја видите и со соодветните процеси во вашиот оддел, ќе можете брзо да ја неутрализирате.
И да ве потсетам дека, според концептот на оваа серија написи, вие не дизајнирате мрежа, туку само се обидувате да го подобрите она што сте го добиле.
БЕЗБЕДНА анализа на канцелариска архитектура
Обрнете внимание на овој црвен квадрат со кој одвоив место на дијаграмот од за што би сакал да разговарам овде.
Ова е едно од клучните места на архитектурата и една од најважните несигурности.
Забелешка:
Никогаш не сум поставил или работел со FirePower (од линијата за заштитен ѕид на Cisco - само ASA), така што ќе го третирам како и секој друг заштитен ѕид, како Juniper SRX или Palo Alto, под претпоставка дека ги има истите можности.
Од вообичаените дизајни, гледам само 4 можни опции за користење на заштитен ѕид со оваа врска:
- стандардната порта за секоја подмрежа е прекинувач, додека заштитниот ѕид е во транспарентен режим (односно, целиот сообраќај поминува низ него, но не формира L3 хоп)
- стандардната порта за секоја подмрежа е под-интерфејсот на заштитен ѕид (или интерфејси SVI), прекинувачот ја игра улогата на L2
- различни VRF се користат на прекинувачот, а сообраќајот помеѓу VRF поминува низ заштитниот ѕид, сообраќајот во рамките на еден VRF е контролиран од ACL на прекинувачот
- целиот сообраќај се пресликува на заштитниот ѕид за анализа и следење сообраќајот не поминува низ него
Забелешка 1
Можни се комбинации на овие опции, но за едноставност нема да ги разгледаме.
Забелешка2
Исто така, постои можност за користење PBR (архитектура на ланецот на услуги), но засега ова, иако е убаво решение според мене, е прилично егзотично, затоа не размислувам овде.
Од описот на тековите во документот, гледаме дека сообраќајот сè уште оди низ заштитниот ѕид, односно, во согласност со дизајнот на Cisco, четвртата опција е елиминирана.
Ајде прво да ги погледнеме првите две опции.
Со овие опции, целиот сообраќај поминува низ заштитниот ѕид.
Сега да погледнеме , погледнете и гледаме дека ако сакаме вкупниот пропусен опсег за нашата канцеларија да биде најмалку околу 10 - 20 гигабити, тогаш мора да ја купиме верзијата 4K.
Забелешка:
Кога зборувам за вкупниот пропусен опсег, мислам на сообраќај помеѓу подмрежи (а не во рамките на една вилана).
Од GPL гледаме дека за HA Bundle with Threat Defense цената во зависност од моделот (4110 - 4150) варира од ~0,5 - 2,5 милиони долари.
Тоа е, нашиот дизајн почнува да личи на претходниот пример.
Дали ова значи дека овој дизајн е погрешен?
Не, тоа не значи. Cisco ви ја дава најдобрата можна заштита врз основа на линијата на производи што ја има. Но, тоа не значи дека тоа е задолжително за вас.
Во принцип, ова е вообичаено прашање што се поставува при дизајнирање на канцеларија или центар за податоци и тоа само значи дека треба да се бара компромис.
На пример, не дозволувајте целиот сообраќај да минува низ заштитен ѕид, во тој случај опцијата 3 ми изгледа прилично добра, или (видете го претходниот дел) можеби не ви треба заштита од закани или воопшто не ви треба заштитен ѕид на тоа мрежен сегмент и само треба да се ограничите на пасивно следење користејќи платени (не скапи) решенија или решенија со отворен код, или ви треба заштитен ѕид, но од различен продавач.
Обично секогаш постои оваа неизвесност и нема јасен одговор за тоа која одлука е најдобра за вас.
Ова е сложеноста и убавината на оваа задача.
Извор: www.habr.com