ProHoster > Блог > Захиргаа > Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Гуравдугаар бүлэг. Сүлжээний аюулгүй байдал. Гуравдугаар хэсэг

Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Гуравдугаар бүлэг. Сүлжээний аюулгүй байдал. Гуравдугаар хэсэг

Энэ нийтлэл нь "Сүлжээний дэд бүтцээ хэрхэн хянах вэ" цувралын тав дахь нийтлэл юм. Цуврал дахь бүх нийтлэлийн агуулга, холбоосыг олж болно энд.

Энэ хэсэг нь Кампус (Оффис) ба Алсын хандалтын VPN сегментүүдэд зориулагдсан болно.

Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Гуравдугаар бүлэг. Сүлжээний аюулгүй байдал. Гуравдугаар хэсэг

Оффисын сүлжээний дизайн хялбар мэт санагдаж магадгүй.

Үнэн хэрэгтээ бид L2 / L3 унтраалга авч, тэдгээрийг хооронд нь холбодог. Дараа нь бид вилан болон анхдагч гарцын үндсэн тохиргоог хийж, энгийн чиглүүлэлт хийж, WiFi хянагч, хандалтын цэгүүдийг холбож, алсын зайнаас нэвтрэхийн тулд ASA суулгаж, тохируулж, бүх зүйл амжилттай болсонд баяртай байна. Үндсэндээ би өмнөх аль нэгэнд бичсэнчлэн нийтлэл Энэ мөчлөгийн хүрээнд харилцаа холбооны чиглэлээр хоёр семестр суралцсан (болон сурсан) бараг бүх оюутан оффисын сүлжээг "ямар нэгэн байдлаар ажиллах" зорилгоор зохион бүтээж, тохируулах боломжтой.

Гэхдээ та хэдий чинээ ихийг сурах тусам энэ даалгавар төдий чинээ энгийн мэт санагдаж эхэлнэ. Миний хувьд энэ сэдэв, оффисын сүлжээний дизайны сэдэв нь тийм ч энгийн зүйл биш мэт санагдаж байгаа бөгөөд энэ нийтлэлд би яагаад гэдгийг тайлбарлахыг хичээх болно.

Товчхондоо, хэд хэдэн хүчин зүйлийг анхаарч үзэх хэрэгтэй. Ихэнхдээ эдгээр хүчин зүйлүүд хоорондоо зөрчилддөг тул боломжийн буулт хийх шаардлагатай болдог.
Энэ тодорхойгүй байдал нь гол бэрхшээл юм. Тиймээс, аюулгүй байдлын тухай ярихад бид гурван оройтой гурвалжинтай: аюулгүй байдал, ажилчдын тав тух, шийдлийн үнэ.
Тэгээд тэр болгондоо энэ гурвын хооронд буулт хийх хэрэгтэй болдог.

архитектур

Өмнөх нийтлэлүүдийн нэгэн адил эдгээр хоёр сегментийн архитектурын жишээ болгон би санал болгож байна Cisco АЮУЛГҮЙ загвар: Enterprise Campus, Enterprise Internet Edge.

Эдгээр нь зарим талаараа хуучирсан баримт бичиг юм. Суурь схем, арга барил өөрчлөгдөөгүй тул би тэдгээрийг энд толилуулж байна, гэхдээ тэр үед надад танилцуулга өмнөхөөсөө илүү таалагдаж байна. шинэ баримт бичиг.

Таныг Cisco шийдлүүдийг ашиглахыг дэмжихгүйгээр энэ дизайныг сайтар судлах нь ашигтай гэж би бодож байна.

Энэ нийтлэл нь ердийнх шигээ бүрэн дүүрэн мэт дүр эсгэдэггүй, харин энэ мэдээллийн нэмэлт зүйл юм.

Өгүүллийн төгсгөлд бид Cisco SAFE оффисын дизайныг энд дурдсан ойлголтуудын үүднээс шинжлэх болно.

Ерөнхий зарчим

Оффисын сүлжээний загвар нь мэдээжийн хэрэг хэлэлцсэн ерөнхий шаардлагыг хангасан байх ёстой энд “Зураг төслийн чанарыг үнэлэх шалгуур” бүлэгт. Энэ нийтлэлд хэлэлцэхээр төлөвлөж буй үнэ, аюулгүй байдлаас гадна дизайн хийх (эсвэл өөрчлөлт хийх) үед анхаарах ёстой гурван шалгуур хэвээр байна:

  • өргөтгөх чадвар
  • ашиглахад хялбар (удирдах чадвар)
  • олдоц

Хэлэлцсэн зүйлийн ихэнх нь мэдээллийн төвүүд Энэ нь оффисын хувьд ч үнэн юм.

Гэсэн хэдий ч оффисын сегмент нь аюулгүй байдлын үүднээс чухал ач холбогдолтой өөрийн гэсэн онцлогтой. Энэхүү өвөрмөц байдлын мөн чанар нь энэ сегмент нь компанийн ажилчдад (түүнчлэн түншүүд болон зочдод) сүлжээний үйлчилгээ үзүүлэх зорилгоор бүтээгдсэн бөгөөд үүний үр дүнд асуудлыг хамгийн дээд түвшинд авч үзэхэд бидэнд хоёр үүрэг байна.

  • компанийн нөөцийг ажилтнууд (зочид, түншүүд) болон тэдний ашигладаг программ хангамжаас гарч болзошгүй хортой үйлдлээс хамгаалах. Үүнд сүлжээнд зөвшөөрөлгүй холбогдохоос хамгаалах хамгаалалт орно.
  • систем болон хэрэглэгчийн өгөгдлийг хамгаалах

Энэ бол асуудлын зөвхөн нэг тал (эсвэл гурвалжны нэг орой) юм. Нөгөө тал нь хэрэглэгчийн тав тухтай байдал, ашигласан шийдлүүдийн үнэ юм.

Орчин үеийн оффисын сүлжээнээс хэрэглэгч юу хүлээж байгааг судалж эхэлцгээе.

Байгууламжууд

Миний бодлоор оффисын хэрэглэгчдэд "сүлжээний тохь тух" нь ямар харагддаг вэ:

  • Mobility
  • Танил төхөөрөмжүүд болон үйлдлийн системийг бүрэн хэмжээгээр ашиглах чадвар
  • Компанийн шаардлагатай бүх нөөцөд хялбар хандах
  • Төрөл бүрийн үүлэн үйлчилгээ зэрэг интернетийн нөөцийн хүртээмж
  • Сүлжээний "хурдан ажиллагаа"

Энэ бүхэн ажилчид болон зочид (эсвэл түншүүд) хоёуланд нь хамаатай бөгөөд компанийн инженерүүдийн үүрэг бол зөвшөөрөл дээр үндэслэн янз бүрийн хэрэглэгчийн бүлгүүдийн хандалтыг ялгах явдал юм.

Эдгээр тал бүрийг бага зэрэг нарийвчлан авч үзье.

Mobility

Бид дэлхийн хаанаас ч (мэдээж интернэт байгаа газар) компанид шаардлагатай бүх нөөцийг ашиглах, ажиллах боломжийн талаар ярьж байна.

Энэ нь албан тасалгаанд бүрэн хамаарна. Энэ нь танд оффисын хаанаас ч үргэлжлүүлэн ажиллах, жишээлбэл, захидал хүлээн авах, корпорацийн мессенжерээр харилцах, видео дуудлага хийх боломжтой байх, ... Тиймээс энэ нь танд нэг талаас, зарим асуудлыг шийдвэрлэхийн тулд "амьд" харилцаа холбоо (жишээ нь, жагсаал цуглаанд оролцох), нөгөө талаас байнга онлайн байж, хуруугаа хуруугаараа барьж, нэн тэргүүний чухал ажлуудыг хурдан шийдээрэй. Энэ нь маш тохиромжтой бөгөөд харилцааны чанарыг үнэхээр сайжруулдаг.

Энэ нь зөв WiFi сүлжээний дизайнаар хийгддэг.

Тэмдэглэл

Эндээс ихэвчлэн асуулт гарч ирдэг: зөвхөн WiFi ашиглахад хангалттай юу? Энэ нь та оффис дээрээ Ethernet порт ашиглахаа зогсоож болно гэсэн үг үү? Хэрэв бид ердийн Ethernet портоор холбогдох боломжтой серверүүдийн тухай биш зөвхөн хэрэглэгчдийн тухай ярьж байгаа бол ерөнхийдөө хариулт нь: тийм ээ, та зөвхөн WiFi-ээр өөрийгөө хязгаарлаж болно. Гэхдээ нюансууд байдаг.

Тусдаа хандлагыг шаарддаг чухал хэрэглэгчийн бүлгүүд байдаг. Эдгээр нь мэдээжийн хэрэг администраторууд юм. Зарчмын хувьд WiFi холболт нь энгийн Ethernet порттой харьцуулахад найдвартай (трафик алдагдлын хувьд) бага, удаан байдаг. Энэ нь администраторуудын хувьд чухал ач холбогдолтой байж болох юм. Нэмж дурдахад, сүлжээний администраторууд нь зарчмын хувьд зурвасаас гадуур холболт хийхэд зориулагдсан Ethernet сүлжээтэй байж болно.

Танай компанид эдгээр хүчин зүйлс чухал ач холбогдолтой өөр бүлгүүд/тэнхимүүд байж болно.

Өөр нэг чухал зүйл байдаг - утас. Магадгүй ямар нэг шалтгааны улмаас та Wireless VoIP ашиглахыг хүсэхгүй байгаа бөгөөд ердийн Ethernet холболттой IP утас ашиглахыг хүсч байгаа байх.

Ерөнхийдөө миний ажиллаж байсан компаниуд ихэвчлэн WiFi холболт болон Ethernet порттой байсан.

Хөдөлгөөн нь зөвхөн оффисоор хязгаарлагдахгүй байхыг хүсч байна.

Гэрээсээ (эсвэл интернетэд нэвтрэх боломжтой бусад газраас) ажиллах боломжийг хангахын тулд VPN холболтыг ашигладаг. Үүний зэрэгцээ ажилчид гэрээсээ ажиллах, алсын зайнаас ажиллах хоёрын ялгааг мэдрэхгүй байх нь зүйтэй бөгөөд энэ нь ижил хүртээмжтэй байдаг. Үүнийг хэрхэн зохион байгуулах талаар бид "Нэгдсэн төвлөрсөн баталгаажуулалт, зөвшөөрлийн систем" бүлэгт бага зэрэг ярих болно.

Тэмдэглэл

Магадгүй та оффис дээр байгаа алсын зайн ажилд зориулсан үйлчилгээгээ бүрэн хангаж чадахгүй байх магадлалтай. Та Cisco ASA 5520-г VPN гарц болгон ашиглаж байна гэж бодъё. өгөгдлийн хуудас Энэ төхөөрөмж нь ердөө 225 Мбит VPN траффикийг "шингээх" чадвартай. Мэдээжийн хэрэг, зурвасын өргөний хувьд VPN-ээр холбогдох нь оффисоос ажиллахаас тэс өөр юм. Түүнчлэн, ямар нэг шалтгааны улмаас сүлжээний үйлчилгээнд хоцролт, алдагдал, чичиргээ (жишээлбэл, та оффисын IP телефонийг ашиглахыг хүсч байна) мэдэгдэхүйц байвал та оффист байсантай ижил чанарыг хүлээн авахгүй. Тиймээс, хөдөлгөөнт байдлын талаар ярихдаа бид боломжит хязгаарлалтыг мэддэг байх ёстой.

Компанийн бүх нөөцөд хялбар хандах

Энэ ажлыг бусад техникийн хэлтэстэй хамтран шийдвэрлэх ёстой.
Хамгийн тохиромжтой нөхцөл бол хэрэглэгч зөвхөн нэг удаа баталгаажуулах шаардлагатай бөгөөд үүний дараа тэрээр шаардлагатай бүх нөөцөд хандах боломжтой болно.
Аюулгүй байдлыг алдагдуулахгүйгээр хялбархан нэвтрэх боломжийг олгох нь бүтээмжийг мэдэгдэхүйц сайжруулж, хамт ажиллагсдынхаа стрессийг бууруулж чадна.

Тэмдэглэл 1

Хандалтын хялбар байдал нь нууц үгээ хэдэн удаа оруулах шаардлагатай биш юм. Жишээлбэл, таны аюулгүй байдлын бодлогын дагуу оффисоос дата төв рүү холбогдохын тулд эхлээд VPN гарцтай холбогдож, үүнтэй зэрэгцэн оффисын нөөцөд хандах эрхээ алдвал энэ нь бас маш чухал юм. , маш эвгүй.

Тэмдэглэл 2

Бид ихэвчлэн өөрсдийн тусгай AAA серверүүдтэй байдаг үйлчилгээ (жишээлбэл, сүлжээний төхөөрөмжид хандах) байдаг бөгөөд энэ тохиолдолд бид хэд хэдэн удаа баталгаажуулах шаардлагатай байдаг.

Интернет нөөцийн хүртээмж

Интернет бол зөвхөн зугаа цэнгэл төдийгүй ажилд маш их хэрэгтэй байж болох үйлчилгээний багц юм. Мөн цэвэр сэтгэл зүйн хүчин зүйлүүд байдаг. Орчин үеийн хүн интернетээр дамжуулан бусад хүмүүстэй олон тооны виртуаль утаснуудаар холбогддог бөгөөд миний бодлоор тэр ажиллаж байхдаа ч энэ холболтыг үргэлжлүүлэн мэдэрч байвал буруудах зүйл байхгүй.

Цагийг дэмий үрэх талаас нь харвал ажилтан, жишээлбэл, Skype ажиллуулж, шаардлагатай бол 5 минутыг хайртай хүнтэйгээ харилцахад буруудах зүйлгүй.

Энэ нь интернет үргэлж бэлэн байх ёстой гэсэн үг үү, энэ нь ажилтнууд бүх нөөцөд хандах боломжтой бөгөөд ямар ч байдлаар тэднийг хянах боломжгүй гэсэн үг үү?

Үгүй гэдэг нь мэдээж тийм гэсэн үг биш. Интернетийн нээлттэй байдлын түвшин нь янз бүрийн компаниудын хувьд өөр өөр байж болно - бүрэн хаагдахаас бүрэн нээлттэй байх хүртэл. Аюулгүй байдлын арга хэмжээний талаар бид дараа нь замын хөдөлгөөнийг хянах арга замуудыг хэлэлцэх болно.

Танил төхөөрөмжүүдийг бүрэн хэмжээгээр ашиглах чадвар

Жишээлбэл, та ажил дээрээ дассан харилцааны бүх хэрэгслээ үргэлжлүүлэн ашиглах боломжтой бол энэ нь тохиромжтой. Үүнийг техникийн хувьд хэрэгжүүлэхэд хүндрэл байхгүй. Үүний тулд танд WiFi болон зочин wilan хэрэгтэй.

Хэрэв танд дассан үйлдлийн системээ ашиглах боломж байгаа бол сайн хэрэг. Гэхдээ миний ажигласнаар үүнийг зөвхөн менежер, администратор, хөгжүүлэгчид л зөвшөөрдөг.

Жишээ нь:

Та мэдээж хоригийн замыг дагаж, алсын зайнаас нэвтрэхийг хориглох, хөдөлгөөнт төхөөрөмжөөс холбогдохыг хориглох, бүх зүйлийг статик Ethernet холболтоор хязгаарлах, интернетэд нэвтрэх эрхийг хязгаарлах, хяналтын цэг дээр гар утас, хэрэгслийг албадан хураах боломжтой ... мөн энэ зам. үнэн хэрэгтээ аюулгүй байдлын шаардлагыг нэмэгдүүлсэн зарим байгууллагууд дагаж мөрддөг бөгөөд магадгүй зарим тохиолдолд энэ нь үндэслэлтэй байж болох ч... энэ нь нэг байгууллагын ахиц дэвшлийг зогсоох гэсэн оролдлого мэт харагдаж байгаатай та санал нийлэх ёстой. Мэдээжийн хэрэг, би орчин үеийн технологиор хангадаг боломжуудыг аюулгүй байдлын хангалттай түвшинд нэгтгэхийг хүсч байна.

Сүлжээний "хурдан ажиллагаа"

Мэдээлэл дамжуулах хурд нь техникийн хувьд олон хүчин зүйлээс бүрддэг. Таны холболтын портын хурд нь ихэвчлэн хамгийн чухал зүйл биш юм. Програмын удаан ажиллагаа нь сүлжээний асуудалтай үргэлж холбоотой байдаггүй, гэхдээ одоогоор бид зөвхөн сүлжээний хэсгийг сонирхож байна. Дотоод сүлжээний "удаашрах" хамгийн түгээмэл асуудал бол пакетийн алдагдалтай холбоотой байдаг. Энэ нь ихэвчлэн бөглөрөл эсвэл L1 (OSI) асуудалтай үед тохиолддог. Зарим загварт (жишээ нь, таны дэд сүлжээнүүд галт ханыг анхдагч гарц болгож, бүх траффик түүгээр дамжин өнгөрөх үед) техник хангамжийн гүйцэтгэл хангалтгүй байж болох нь илүү ховор байдаг.

Тиймээс, тоног төхөөрөмж, архитектурыг сонгохдоо төгсгөлийн порт, их бие, тоног төхөөрөмжийн гүйцэтгэлийн хурдыг харьцуулах хэрэгтэй.

Жишээ нь:

Та 1 гигабит порттой шилжүүлэгчийг хандалтын түвшний шилжүүлэгч болгон ашиглаж байна гэж бодъё. Тэд хоорондоо Etherchannel 2 x 10 гигабитээр холбогддог. Өгөгдмөл гарцын хувьд та гигабит порттой галт ханыг ашигладаг бөгөөд L2 оффисын сүлжээнд холбогдохын тулд Etherchannel-д нэгтгэсэн 2 гигабит порт ашигладаг.

Энэхүү архитектур нь функциональ байдлын үүднээс нэлээд тохиромжтой, учир нь... Бүх траффик галт ханаар дамждаг бөгөөд та хандалтын бодлогыг ая тухтай удирдаж, замын хөдөлгөөнийг хянах, болзошгүй халдлагаас урьдчилан сэргийлэхийн тулд нарийн төвөгтэй алгоритмуудыг ашиглах боломжтой (доороос харна уу), гэхдээ дамжуулах чадвар, гүйцэтгэлийн үүднээс энэ загвар нь мэдээжийн хэрэг болзошгүй асуудлуудтай байдаг. Жишээлбэл, өгөгдөл татаж авах 2 хост (1 гигабит портын хурдтай) нь галт хананд 2 гигабит холболтыг бүрэн ачаалж, улмаар оффисын бүх сегментийн үйлчилгээний доройтолд хүргэдэг.

Бид гурвалжны нэг оройг харлаа, одоо аюулгүй байдлыг хэрхэн хангах талаар авч үзье.

Хамгаалах хэрэгсэл

Тиймээс, мэдээжийн хэрэг, бидний хүсэл (эсвэл манай удирдлагын хүсэл) бол боломжгүй зүйлд хүрэх, тухайлбал хамгийн их аюулгүй байдал, хамгийн бага зардлаар хамгийн их тав тухыг хангах явдал юм.

Хамгаалах ямар аргууд байгааг харцгаая.

Оффисын хувьд би дараахь зүйлийг онцлон тэмдэглэх болно.

  • дизайнд итгэх итгэлгүй хандлага
  • хамгаалалтын өндөр түвшин
  • сүлжээний харагдах байдал
  • баталгаажуулалт, зөвшөөрлийн нэгдсэн төвлөрсөн систем
  • хостыг шалгаж байна

Дараа нь бид эдгээр тал бүрийн талаар бага зэрэг нарийвчлан авч үзэх болно.

Тэг итгэлцэл

Мэдээллийн технологийн ертөнц маш хурдан өөрчлөгдөж байна. Сүүлийн 10 гаруй жилийн хугацаанд шинэ технологи, бүтээгдэхүүнүүд гарч ирснээр аюулгүй байдлын үзэл баримтлалд томоохон өөрчлөлт гарсан. Арван жилийн өмнө аюулгүй байдлын үүднээс бид сүлжээг итгэлцлийн, dmz, үл итгэсэн бүсэд хувааж, "периметрийн хамгаалалт" гэж нэрлэгддэг хамгаалалтын 2 шугамыг ашигласан: untrust -> dmz болон dmz -> итгэл. Мөн хамгаалалт нь ихэвчлэн L3/L4 (OSI) толгой (IP, TCP/UDP порт, TCP туг) дээр суурилсан хандалтын жагсаалтаар хязгаарлагддаг. L7 зэрэг дээд түвшний холбоотой бүх зүйлийг үйлдлийн систем болон эцсийн хостууд дээр суулгасан хамгаалалтын бүтээгдэхүүнд үлдээсэн.

Одоо байдал эрс өөрчлөгдсөн. Орчин үеийн үзэл баримтлал итгэл үнэмшил байхгүй Энэ нь дотоод системийг, өөрөөр хэлбэл периметрийн дотор байрлах системийг найдвартай гэж үзэх боломжгүй болж, периметрийн тухай ойлголт өөрөө бүдгэрч байгаатай холбоотой юм.
Интернет холболтоос гадна бидэнд бас бий

  • алсаас хандах VPN хэрэглэгчид
  • янз бүрийн хувийн хэрэгсэл, зөөврийн компьютер авчирсан, оффисын WiFi-ээр холбогдсон
  • бусад (салбар) оффисууд
  • үүлэн дэд бүтэцтэй нэгтгэх

Zero Trust арга нь практикт ямар харагддаг вэ?

Хамгийн тохиромжтой нь зөвхөн шаардлагатай урсгалыг зөвшөөрөх ёстой бөгөөд хэрэв бид идеалын тухай ярьж байгаа бол хяналт нь зөвхөн L3/L4 түвшинд биш, харин хэрэглээний түвшинд байх ёстой.

Жишээлбэл, хэрэв та бүх урсгалыг галт ханаар дамжуулах чадвартай бол хамгийн тохиромжтой зүйл рүү ойртохыг оролдож болно. Гэхдээ энэ арга нь таны сүлжээний нийт зурвасын өргөнийг мэдэгдэхүйц бууруулах боломжтой бөгөөд үүнээс гадна програмаар шүүх нь үргэлж сайн ажилладаггүй.

Чиглүүлэгч эсвэл L3 шилжүүлэгч (стандарт ACL ашиглах) дээрх траффикийг хянах үед та бусад асуудалтай тулгардаг.

  • Энэ нь зөвхөн L3/L4 шүүлтүүр юм. Халдагчид зөвшөөрөгдсөн портуудыг (жишээ нь, TCP 80) програмдаа (http биш) ашиглахад юу ч саад болохгүй.
  • нарийн төвөгтэй ACL менежмент (ACL-ийг задлан шинжлэхэд хэцүү)
  • Энэ нь бүрэн бүтэн галт хана биш бөгөөд та урвуу урсгалыг тодорхой зөвшөөрөх хэрэгтэй гэсэн үг юм
  • Шилжүүлэгчийн хувьд та ихэвчлэн TCAM-ийн хэмжээгээр нэлээд хязгаарлагдмал байдаг бөгөөд хэрэв та "зөвхөн хэрэгтэй зүйлээ зөвшөөрнө үү" гэсэн арга барилыг баримталбал хурдан асуудал болж хувирдаг.

Тэмдэглэл

Урвуу замын хөдөлгөөний тухай ярихад бидэнд дараах боломж байгаа гэдгийг санах хэрэгтэй (Cisco)

ямар ч тогтсон tcp зөвшөөрнө

Гэхдээ энэ мөр нь хоёр мөртэй тэнцэнэ гэдгийг та ойлгох хэрэгтэй.
tcp-д аливаа аккыг зөвшөөрөх
tcp ямар ч эхний зөвшөөрөл

Энэ нь SYN тугтай анхны TCP сегмент байхгүй байсан ч (өөрөөр хэлбэл TCP сесс байгуулагдаж эхлээгүй) энэ ACL нь халдагчид өгөгдөл дамжуулахад ашиглаж болох ACK туг бүхий пакетийг зөвшөөрөх болно гэсэн үг юм.

Өөрөөр хэлбэл, энэ мөр нь таны чиглүүлэгч эсвэл L3 шилжүүлэгчийг галт хана болгон хувиргахгүй.

Хамгаалалтын өндөр түвшин

В нийтлэл Мэдээллийн төвүүдийн тухай хэсэгт бид дараах хамгаалалтын аргуудыг авч үзсэн.

  • төлөвтэй галт хана (өгөгдмөл)
  • ddos/dos хамгаалалт
  • програмын галт хана
  • аюулаас урьдчилан сэргийлэх (вирусны эсрэг, тагнуулын эсрэг програм, эмзэг байдал)
  • URL шүүлтүүр
  • өгөгдөл шүүх (агуулгын шүүлтүүр)
  • файлыг хориглох (файлын төрлийг хориглох)

Оффисын хувьд нөхцөл байдал ижил төстэй боловч тэргүүлэх чиглэлүүд нь арай өөр байдаг. Оффисын хүртээмж (хүртээмж) нь ихэвчлэн дата төвийнхтэй адил чухал биш байдаг бол "дотоод" хорлонтой траффик үүсэх магадлал илүү өндөр байдаг.
Тиймээс энэ сегментийг хамгаалах дараах аргууд чухал болж байна.

  • програмын галт хана
  • аюулаас урьдчилан сэргийлэх (вирусын эсрэг, тагнуулын эсрэг програм, эмзэг байдал)
  • URL шүүлтүүр
  • өгөгдөл шүүх (агуулгын шүүлтүүр)
  • файлыг хориглох (файлын төрлийг хориглох)

Хэдийгээр програмын галт ханыг эс тооцвол эдгээр бүх хамгаалалтын аргуудыг эцсийн хостууд дээр (жишээлбэл, вирусны эсрэг програм суулгах замаар) болон прокси ашиглан шийдэж ирсэн бөгөөд орчин үеийн NGFW-ууд мөн эдгээр үйлчилгээг үзүүлдэг.

Хамгаалалтын тоног төхөөрөмжийн үйлдвэрлэгчид иж бүрэн хамгаалалтыг бий болгохыг эрмэлздэг тул орон нутгийн хамгаалалтаас гадна хостуудад зориулсан төрөл бүрийн үүлэн технологи, үйлчлүүлэгчийн програм хангамжийг санал болгодог (төгсгөлийн цэгийн хамгаалалт/EPP). Тиймээс, жишээлбэл, -аас 2018 Gartner Magic Quadrant Пало Алто болон Сиско нар өөрсдийн гэсэн EPP-тэй (PA: Traps, Cisco: AMP) байгааг бид харж байна, гэхдээ тэргүүлэгчдээс хол байна.

Галт хананд эдгээр хамгаалалтыг (ихэвчлэн лиценз худалдаж авах замаар) идэвхжүүлэх нь мэдээжийн хэрэг албагүй (та уламжлалт замаар явж болно), гэхдээ энэ нь зарим давуу талыг өгдөг:

  • энэ тохиолдолд хамгаалалтын аргуудыг хэрэглэх нэг цэг байдаг бөгөөд энэ нь харагдах байдлыг сайжруулдаг (дараагийн сэдвийг үзнэ үү).
  • Хэрэв таны сүлжээнд хамгаалалтгүй төхөөрөмж байгаа бол энэ нь галт ханын хамгаалалтын "шүхэр" дор байх болно.
  • Галт ханын хамгаалалтыг эцсийн хостын хамгаалалттай хамт ашигласнаар бид хортой урсгалыг илрүүлэх магадлалыг нэмэгдүүлдэг. Жишээлбэл, орон нутгийн хостууд болон галт хананд аюулаас урьдчилан сэргийлэх аргыг ашиглах нь илрүүлэх магадлалыг нэмэгдүүлдэг (мэдээжийн хэрэг, эдгээр шийдлүүд нь өөр өөр програм хангамжийн бүтээгдэхүүн дээр суурилсан тохиолдолд)

Тэмдэглэл

Жишээлбэл, хэрэв та Kaspersky-г галт хана болон эцсийн хостууд дээр вирусны эсрэг програм болгон ашигладаг бол энэ нь мэдээжийн хэрэг таны сүлжээнд вирусын халдлагаас урьдчилан сэргийлэх боломжийг нэмэгдүүлэхгүй.

Сүлжээний харагдах байдал

үндсэн санаа энгийн - өөрийн сүлжээнд юу болж байгааг бодит цаг хугацаанд болон түүхэн өгөгдөлд "хараарай".

Би энэ "алсын хараа"-ыг хоёр бүлэгт хуваана:

Нэгдүгээр бүлэг: Таны хяналтын систем танд ихэвчлэн юу өгдөг.

  • тоног төхөөрөмж ачаалах
  • ачаалах сувгууд
  • санах ойн хэрэглээ
  • дискний хэрэглээ
  • чиглүүлэлтийн хүснэгтийг өөрчлөх
  • холбоосын төлөв
  • тоног төхөөрөмжийн бэлэн байдал (эсвэл хостууд)
  • ...

Хоёрдугаар бүлэг: аюулгүй байдалтай холбоотой мэдээлэл.

  • янз бүрийн төрлийн статистик (жишээлбэл, програмаар, URL урсгалаар, ямар төрлийн өгөгдөл татаж авсан, хэрэглэгчийн өгөгдөл)
  • аюулгүй байдлын бодлогоор юуг хаасан, ямар шалтгаанаар, тухайлбал
    • хориглосон хэрэглээ
    • ip/protocol/port/flags/ zones дээр үндэслэн хориглоно
    • аюулаас урьдчилан сэргийлэх
    • url шүүлтүүр
    • өгөгдөл шүүх
    • файлыг блоклох
    • ...
  • DOS/DDOS халдлагын статистик
  • таних болон зөвшөөрөл олгох оролдлого амжилтгүй болсон
  • дээрх аюулгүй байдлын бодлогыг зөрчсөн бүх үйл явдлын статистик
  • ...

Аюулгүй байдлын тухай энэ бүлэгт бид хоёр дахь хэсгийг сонирхож байна.

Зарим орчин үеийн галт хана (миний Пало Алтогийн туршлагаас) сайн харагдах байдлыг хангадаг. Гэхдээ мэдээж таны сонирхож буй траффик энэ галт ханаар дамжих (энэ тохиолдолд та траффикийг хаах чадвартай) эсвэл галт хананд толин тусгал (зөвхөн хяналт, шинжилгээ хийхэд ашигладаг) байх ёстой бөгөөд та бүх мэдээллийг идэвхжүүлэх лицензтэй байх ёстой. эдгээр үйлчилгээ.

Мэдээжийн хэрэг, өөр арга, эсвэл уламжлалт арга байдаг, жишээлбэл,

  • Сеансын статистикийг сүлжээний урсгалаар цуглуулж, дараа нь мэдээллийн дүн шинжилгээ хийх, өгөгдлийг дүрслэн харуулах тусгай хэрэгслүүдийг ашиглаж болно
  • аюулаас урьдчилан сэргийлэх - эцсийн хостууд дээрх тусгай програмууд (вирусын эсрэг, тагнуулын эсрэг, галт хана).
  • URL шүүлтүүр, өгөгдөл шүүх, файлыг блоклох – прокси дээр
  • tcpdump-ийг жишээ нь ашиглан шинжлэх боломжтой. хурхирах

Та эдгээр хоёр аргыг хослуулж, дутуу функцуудыг нөхөж эсвэл давшилтыг илрүүлэх магадлалыг нэмэгдүүлэх боломжтой.

Та аль аргыг сонгох ёстой вэ?
Танай багийн ур чадвар, сонголтоос ихээхэн шалтгаална.
Тэнд, аль аль нь сайн болон сул талуудтай.

Баталгаажуулалт, зөвшөөрлийн нэгдсэн төвлөрсөн систем

Сайн зохион бүтээгдсэн тохиолдолд бидний энэ нийтлэлд авч үзсэн хөдөлгөөнт байдал нь таныг оффисоос эсвэл гэрээсээ, нисэх онгоцны буудлаас, кофе шопоос эсвэл өөр хаанаас ч ажиллах боломжтой (бидний дээр дурдсан хязгаарлалттай) адил хандалттай гэж үздэг. Асуудал юу вэ?
Энэ ажлын нарийн төвөгтэй байдлыг илүү сайн ойлгохын тулд ердийн загварыг авч үзье.

Жишээ нь:

  • Та бүх ажилчдыг бүлэгт хуваасан. Та бүлгээр хандах эрх олгохоор шийдсэн
  • Оффис дотор та оффисын галт хананд хандах хандалтыг хянадаг
  • Та оффисоос дата төв хүртэлх замын хөдөлгөөнийг дата төвийн галт хананд удирдана
  • Та Cisco ASA-г VPN гарц болгон ашиглаж, алсын үйлчлүүлэгчдээс сүлжээндээ орж буй урсгалыг хянахын тулд локал (ASA дээр) ACL ашигладаг.

Одоо танаас тодорхой ажилтанд нэмэлт хандалт нэмэхийг хүссэн гэж бодъё. Энэ тохиолдолд та зөвхөн түүнд хандах эрх нэмэхийг хүсэх ба түүний бүлгийнхнээс өөр хэн ч биш.

Үүний тулд бид энэ ажилтанд зориулж тусдаа бүлэг үүсгэх ёстой

  • Энэ ажилтны хувьд ASA дээр тусдаа IP сан үүсгэх
  • ASA дээр шинэ ACL нэмж, үүнийг алсын харилцагчтай холбоно уу
  • оффис болон дата төвийн галт хананд аюулгүй байдлын шинэ бодлогыг бий болгох

Энэ үйл явдал ховор тохиолдвол сайн байна. Гэхдээ миний практикт ажилчид янз бүрийн төсөлд оролцдог нөхцөл байдал байсан бөгөөд тэдний заримынх нь энэ багц төсөл нэлээд олон удаа өөрчлөгдөж, 1-2 хүн биш, хэдэн арван хүн байсан. Мэдээжийн хэрэг, энд ямар нэг зүйлийг өөрчлөх шаардлагатай байсан.

Үүнийг дараах байдлаар шийдсэн.

LDAP нь ажилчдын бүх боломжит хандалтыг тодорхойлдог үнэний цорын ганц эх сурвалж байх болно гэж бид шийдсэн. Бид хандалтын багцыг тодорхойлсон бүх төрлийн бүлгүүдийг үүсгэсэн бөгөөд хэрэглэгч бүрийг нэг буюу хэд хэдэн бүлэгт хуваарилсан.

Жишээлбэл, бүлгүүд байсан гэж бодъё

  • зочин (Интернет хандалт)
  • нийтлэг хандалт (хуваалцсан эх сурвалжид хандах: шуудан, мэдлэгийн сан, ...)
  • нягтлан бодох бүртгэлийн
  • Төсөл 1
  • Төсөл 2
  • өгөгдлийн сангийн администратор
  • linux администратор
  • ...

Хэрэв ажилчдын нэг нь төсөл 1 ба 2-р төсөлд хоёуланд нь оролцож байсан бөгөөд түүнд эдгээр төслүүдэд ажиллахад шаардлагатай нэвтрэх эрх шаардлагатай байсан бол энэ ажилтныг дараахь бүлгүүдэд хуваарилав.

  • зочин
  • нийтлэг хандалт
  • Төсөл 1
  • Төсөл 2

Одоо бид энэ мэдээллийг сүлжээний тоног төхөөрөмжийн хандалт болгон хэрхэн хувиргах вэ?

Cisco ASA динамик хандалтын бодлого (DAP) (харна уу www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) шийдэл нь энэ даалгаварт яг тохирно.

Бидний хэрэгжилтийн талаар товч дурдвал, таних/зөвшөөрөх үйл явцын явцад ASA нь LDAP-аас тухайн хэрэглэгчтэй харгалзах бүлгүүдийн багцыг хүлээн авч, хэд хэдэн орон нутгийн ACL-аас (тус бүр нь бүлэгт тохирсон) шаардлагатай бүх хандалт бүхий динамик ACL-ийг "цуглуулдаг". , энэ нь бидний хүсэлд бүрэн нийцдэг.

Гэхдээ энэ нь зөвхөн VPN холболтод зориулагдсан. VPN-ээр холбогдсон ажилчид болон оффис дахь ажилчдын аль алинд нь нөхцөл байдлыг ижил болгохын тулд дараах алхмуудыг хийсэн.

Оффисоос холбогдох үед 802.1x протоколыг ашигладаг хэрэглэгчид зочны LAN (зочдод зориулсан) эсвэл дундын LAN (компанийн ажилчдын хувьд) -д ордог. Цаашилбал, тодорхой хандалт авахын тулд (жишээлбэл, дата төв дэх төслүүдэд) ажилтнууд VPN-ээр холбогдох ёстой байв.

Оффис болон гэрээсээ холбогдохын тулд ASA дээр янз бүрийн хонгилын бүлгүүдийг ашигласан. Энэ нь оффисоос холбогдож байгаа хүмүүсийн хувьд хуваалцсан нөөц рүү чиглэсэн урсгал (мэйл, файлын сервер, тасалбарын систем, dns, ... гэх мэт бүх ажилчдын ашигладаг) нь ASA-аар дамжихгүй, харин дотоод сүлжээгээр дамжихын тулд зайлшгүй шаардлагатай. . Тиймээс бид АСА-г шаардлагагүй ачаалал, тэр дундаа өндөр эрчимтэй хөдөлгөөнөөр ачаалсангүй.

Ингээд асуудал шийдэгдлээ.
Бид авсан

  • оффисын холболт болон алсын холболтын холболтын ижил багц
  • АСА-аар дамжуулан өндөр эрчимтэй урсгалыг дамжуулахтай холбоотой оффисоос ажиллахад үйлчилгээний доройтол байхгүй

Энэ аргын өөр ямар давуу талтай вэ?
Хандалтын удирдлагад. Хандалтыг нэг дороос амархан өөрчлөх боломжтой.
Жишээлбэл, хэрэв ажилтан компаниас гарвал та түүнийг зүгээр л LDAP-аас хасвал тэр бүх хандалтыг автоматаар алддаг.

Хостыг шалгаж байна

Алсын холболтын боломжоор бид зөвхөн компанийн ажилтанд төдийгүй түүний компьютерт (жишээ нь гэрт) байж болох бүх хортой программ хангамжийг сүлжээнд оруулах эрсдэлтэй. Энэ хостыг прокси болгон ашиглаж байгаа халдагчид манай сүлжээнд нэвтрэх боломжийг олгож байна.

Алсын зайнаас холбогдсон хост нь оффисын хосттой ижил аюулгүй байдлын шаардлагыг хэрэгжүүлэх нь утга учиртай.

Энэ нь мөн үйлдлийн системийн "зөв" хувилбар, вирусны эсрэг, тагнуулын эсрэг программ хангамж, галт ханын программ хангамж, шинэчлэлтүүдийг тооцдог. Ерөнхийдөө энэ боломж VPN гарц дээр байдаг (жишээлбэл, ASA-г үзнэ үү. энд).

Аюулгүй байдлын бодлогоо албан тасалгааны хөдөлгөөнд мөрддөгтэй адил замын хөдөлгөөний шинжилгээ, хаах арга техникийг (“Өндөр түвшний хамгаалалт”-ыг үзнэ үү) ашиглах нь ухаалаг хэрэг юм.

Таны оффисын сүлжээ зөвхөн оффисын барилга болон доторх хостуудаар хязгаарлагдахаа больсон гэж үзэх нь үндэслэлтэй юм.

Жишээ нь:

Сайн арга бол алсын зайнаас хандах шаардлагатай байгаа ажилтан бүрийг сайн, тохиромжтой зөөврийн компьютерээр хангаж, оффис болон гэрээсээ зөвхөн түүгээр ажиллахыг шаарддаг.

Энэ нь таны сүлжээний аюулгүй байдлыг сайжруулаад зогсохгүй энэ нь үнэхээр тохиромжтой бөгөөд ажилчид ихэвчлэн таатай ханддаг (хэрэв энэ нь үнэхээр сайн, хэрэглэгчдэд ээлтэй зөөврийн компьютер юм бол).

Пропорц ба тэнцвэрийн мэдрэмжийн тухай

Үндсэндээ энэ бол манай гурвалжны гурав дахь орой болох үнийн тухай яриа юм.
Таамаглалын жишээг авч үзье.

Жишээ нь:

Та 200 хүний ​​багтаамжтай оффистой. Та үүнийг аль болох тохь тухтай, аюулгүй болгохоор шийдсэн.

Тиймээс та бүх траффикийг галт ханаар дамжуулахаар шийдсэн тул бүх оффисын дэд сүлжээнүүдийн хувьд галт хана нь анхдагч гарц болно. Төгсгөлийн хост бүрт суулгасан хамгаалалтын программ хангамжаас (вирусын эсрэг, тагнуулын эсрэг программ хангамж, галт ханын програм хангамж) гадна та галт хананд хамгаалах бүх аргыг ашиглахаар шийдсэн.

Холболтын өндөр хурдыг хангахын тулд (бүгдийг нь тав тухтай байлгахын тулд) та хандалтын свич болгон 10 Гигабит хандалтын порттой унтраалга, галт ханаар өндөр гүйцэтгэлтэй NGFW галт ханыг сонгосон, жишээлбэл Palo Alto 7K цуврал (40 Гигабит порттой), мэдээжийн хэрэг бүх лицензтэй. багтсан бөгөөд мэдээжийн хэрэг Өндөр боломжтой хос.

Мэдээжийн хэрэг, энэ төрлийн тоног төхөөрөмжтэй ажиллахын тулд дор хаяж хэд хэдэн өндөр мэргэшсэн хамгаалалтын инженер хэрэгтэй болно.

Дараа нь та ажилтан бүрт сайн зөөврийн компьютер өгөхөөр шийдсэн.

Нийтдээ хэрэгжүүлэхэд 10 орчим сая доллар, инженерүүдийн жилийн дэмжлэг, цалингийн зардалд хэдэн зуун мянган доллар (би сая дөхөж байна гэж бодож байна).

Оффис, 200 хүн...
Тав тухтай юу? Тийм гэж бодож байна.

Та удирдлагадаа ийм саналтай ирээрэй...
Магадгүй энэ нь хүлээн зөвшөөрөгдөхүйц, зөв ​​шийдэл гэж тооцогддог олон компани дэлхий дээр байдаг. Хэрэв та энэ компанийн ажилтан бол би баяр хүргэе, гэхдээ ихэнх тохиолдолд таны мэдлэгийг удирдлага үнэлэхгүй гэдэгт би итгэлтэй байна.

Энэ жишээ хэтрүүлсэн байна уу? Дараагийн бүлэгт энэ асуултад хариулах болно.

Хэрэв таны сүлжээнд дээрх зүйлсийн аль нь ч харагдахгүй байгаа бол энэ нь норм юм.
Тодорхой тохиолдол бүрийн хувьд та тав тухтай байдал, үнэ, аюулгүй байдлын хооронд өөрийн боломжийн буултыг олох хэрэгтэй. Ихэнхдээ танай оффист NGFW хэрэггүй бөгөөд галт хананд L7 хамгаалалт шаардлагагүй. Энэ нь сайн түвшний харагдах байдал, сэрэмжлүүлэг өгөхөд хангалттай бөгөөд үүнийг жишээ нь нээлттэй эхийн бүтээгдэхүүн ашиглан хийж болно. Тийм ээ, халдлагад үзүүлэх хариу үйлдэл шууд гарахгүй, гэхдээ гол зүйл бол та үүнийг харж, хэлтэст зөв үйл явц явагдсанаар та үүнийг хурдан саармагжуулах боломжтой болно.

Энэ цуврал нийтлэлийн үзэл баримтлалын дагуу та сүлжээний загвар зохион бүтээгээгүй, зөвхөн олж авсан зүйлээ сайжруулахыг хичээж байгааг сануулъя.

Оффисын архитектурын АЮУЛГҮЙ шинжилгээ

Диаграм дээр миний байрыг хуваарилсан энэ улаан дөрвөлжинд анхаарлаа хандуулаарай SAFE Secure Campus Architecture GuideБи энд хэлэлцэхийг хүсч байна.

Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Гуравдугаар бүлэг. Сүлжээний аюулгүй байдал. Гуравдугаар хэсэг

Энэ бол архитектурын гол газруудын нэг бөгөөд хамгийн чухал тодорхойгүй байдлын нэг юм.

Тэмдэглэл

Би хэзээ ч FirePower (Cisco-н галт ханын шугамаас - зөвхөн ASA) суулгаж, ажиллаж байгаагүй, тиймээс би үүнийг Juniper SRX эсвэл Palo Alto гэх мэт бусад галт ханатай адил чадвартай гэж үзэн ажиллах болно.

Ердийн загваруудаас би ийм холболттой галт ханыг ашиглах 4 боломжит сонголтыг харж байна.

  • дэд сүлжээ бүрийн анхдагч гарц нь шилжүүлэгч бөгөөд галт хана нь ил тод горимд байх үед (өөрөөр хэлбэл бүх траффик түүгээр дамждаг, гэхдээ L3 хоп үүсгэдэггүй)
  • дэд сүлжээ бүрийн анхдагч гарц нь галт ханын дэд интерфэйсүүд (эсвэл SVI интерфэйсүүд) бөгөөд шилжүүлэгч нь L2-ийн үүргийг гүйцэтгэдэг.
  • Шилжүүлэгч дээр өөр өөр VRF ашигладаг бөгөөд VRF-ийн хоорондох урсгал нь галт ханаар дамждаг, нэг VRF доторх урсгалыг шилжүүлэгч дээрх ACL удирддаг.
  • Бүх урсгалыг дүн шинжилгээ хийх, хянах зорилгоор галт хананд тусгадаг бөгөөд траффик түүгээр дамждаггүй

Тэмдэглэл 1

Эдгээр сонголтуудыг хослуулах боломжтой боловч энгийн байх үүднээс бид тэдгээрийг авч үзэхгүй.

Тайлбар2

PBR (үйлчилгээний гинжин архитектур) ашиглах боломж бас бий, гэхдээ одоогоор энэ нь миний бодлоор үзэсгэлэнтэй шийдэл боловч маш чамин юм, тиймээс би үүнийг энд авч үзэхгүй байна.

Баримт бичигт байгаа урсгалын тайлбараас харахад траффик галт ханаар дамждаг, өөрөөр хэлбэл Cisco дизайны дагуу дөрөв дэх сонголтыг хассан байна.

Эхлээд эхний хоёр сонголтыг авч үзье.
Эдгээр сонголтуудын тусламжтайгаар бүх урсгал галт ханаар дамждаг.

Одоо харцгаая өгөгдлийн хуудас, хар Cisco GPL Хэрэв бид оффисын нийт зурвасын өргөнийг дор хаяж 10-20 гигабит байлгахыг хүсвэл 4K хувилбарыг худалдаж авах ёстой гэдгийг бид харж байна.

Тэмдэглэл

Би нийт зурвасын өргөний тухай ярихдаа дэд сүлжээнүүдийн хоорондох урсгалыг хэлж байна (мөн нэг вилана дотор биш).

GPL-ээс харахад аюулын хамгаалалт бүхий HA багцын үнэ загвараас хамааран (4110 - 4150) ~0,5-2,5 сая долларын хооронд хэлбэлздэг.

Энэ нь бидний загвар өмнөх жишээтэй төстэй болж эхэлдэг.

Энэ нь энэ загвар буруу гэсэн үг үү?
Үгүй ээ, энэ нь тийм гэсэн үг биш юм. Cisco нь танд байгаа бүтээгдэхүүний шугамд тулгуурлан хамгийн сайн хамгаалалтыг өгдөг. Гэхдээ энэ нь таны хувьд заавал хийх ёстой зүйл гэсэн үг биш юм.

Зарчмын хувьд энэ нь оффис эсвэл дата төвийг төлөвлөхөд гарч ирдэг нийтлэг асуулт бөгөөд энэ нь зөвхөн буулт хийх шаардлагатай гэсэн үг юм.

Жишээлбэл, бүх урсгалыг галт ханаар бүү явуул, энэ тохиолдолд 3-р сонголт надад маш сайн мэт санагдаж магадгүй, эсвэл (өмнөх хэсгийг үзнэ үү) танд аюул заналхийллийн хамгаалалт хэрэггүй эсвэл галт хана огт хэрэггүй байж магадгүй юм. сүлжээний сегмент бөгөөд та төлбөртэй (үнэтэй биш) эсвэл нээлттэй эхийн шийдлүүдийг ашиглан идэвхгүй хяналт тавихад өөрийгөө хязгаарлах хэрэгтэй, эсвэл танд галт хана хэрэгтэй, гэхдээ өөр үйлдвэрлэгчээс.

Ихэнхдээ ийм эргэлзээ үргэлж байдаг бөгөөд аль шийдвэр нь танд хамгийн тохиромжтой вэ гэсэн тодорхой хариулт байдаггүй.
Энэ бол энэ ажлын нарийн төвөгтэй байдал, гоо үзэсгэлэн юм.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх