ProHoster > Blog > Pentadbiran > Bagaimana untuk mengawal infrastruktur rangkaian anda. Bab tiga. Keselamatan rangkaian. Bahagian ketiga

Bagaimana untuk mengawal infrastruktur rangkaian anda. Bab tiga. Keselamatan rangkaian. Bahagian ketiga

Artikel ini ialah yang kelima dalam siri "Cara Mengambil Kawalan Infrastruktur Rangkaian Anda." Kandungan semua artikel dalam siri dan pautan boleh didapati di sini.

Bahagian ini akan ditumpukan kepada segmen VPN Kampus (Pejabat) & Akses jauh.

Bagaimana untuk mengawal infrastruktur rangkaian anda. Bab tiga. Keselamatan rangkaian. Bahagian ketiga

Reka bentuk rangkaian pejabat mungkin kelihatan mudah.

Sesungguhnya, kami mengambil suis L2/L3 dan menyambungkannya antara satu sama lain. Seterusnya, kami menjalankan persediaan asas vilan dan gerbang lalai, menyediakan penghalaan mudah, menyambungkan pengawal WiFi, titik akses, memasang dan mengkonfigurasi ASA untuk akses jauh, kami gembira kerana semuanya berfungsi. Pada asasnya, seperti yang telah saya tulis dalam salah satu daripada sebelumnya Perkara dalam kitaran ini, hampir setiap pelajar yang telah menghadiri (dan mempelajari) dua semester kursus telekomunikasi boleh mereka bentuk dan mengkonfigurasi rangkaian pejabat supaya ia "entah bagaimana berfungsi."

Tetapi semakin banyak anda belajar, semakin kurang mudah tugas ini mula kelihatan. Bagi saya secara peribadi, topik ini, topik reka bentuk rangkaian pejabat, tidak kelihatan mudah sama sekali, dan dalam artikel ini saya akan cuba menerangkan sebabnya.

Pendek kata, terdapat beberapa faktor yang perlu dipertimbangkan. Selalunya faktor-faktor ini bercanggah antara satu sama lain dan kompromi yang munasabah perlu dicari.
Ketidakpastian ini adalah kesukaran utama. Jadi, bercakap tentang keselamatan, kami mempunyai segitiga dengan tiga bucu: keselamatan, kemudahan untuk pekerja, harga penyelesaian.
Dan setiap kali anda perlu mencari kompromi antara ketiga-tiga ini.

seni bina

Sebagai contoh seni bina untuk kedua-dua segmen ini, seperti dalam artikel sebelum ini, saya syorkan Cisco SELAMAT model: Kampus Perusahaan, Tepi Internet Perusahaan.

Ini adalah dokumen yang agak ketinggalan zaman. Saya membentangkannya di sini kerana skema dan pendekatan asas tidak berubah, tetapi pada masa yang sama saya lebih suka persembahan daripada dalam dokumentasi baharu.

Tanpa menggalakkan anda menggunakan penyelesaian Cisco, saya masih fikir adalah berguna untuk mengkaji reka bentuk ini dengan teliti.

Artikel ini, seperti biasa, tidak dalam apa-apa cara berpura-pura lengkap, tetapi sebaliknya merupakan tambahan kepada maklumat ini.

Pada akhir artikel, kami akan menganalisis reka bentuk pejabat Cisco SAFE dari segi konsep yang digariskan di sini.

Prinsip umum

Reka bentuk rangkaian pejabat mestilah, sudah tentu, memenuhi keperluan umum yang telah dibincangkan di sini dalam bab “Kriteria untuk menilai kualiti reka bentuk”. Selain harga dan keselamatan, yang kami ingin bincangkan dalam artikel ini, masih terdapat tiga kriteria yang mesti kami pertimbangkan semasa mereka bentuk (atau membuat perubahan):

  • kebolehskalaan
  • kemudahan penggunaan (kebolehurusan)
  • ketersediaan

Banyak perkara yang dibincangkan pusat data Ini juga berlaku untuk pejabat.

Namun begitu, segmen pejabat mempunyai spesifikasi tersendiri, yang penting dari sudut keselamatan. Intipati kekhususan ini ialah segmen ini dicipta untuk menyediakan perkhidmatan rangkaian kepada pekerja (serta rakan kongsi dan tetamu) syarikat, dan, sebagai hasilnya, pada peringkat tertinggi pertimbangan masalah kami mempunyai dua tugas:

  • melindungi sumber syarikat daripada tindakan berniat jahat yang mungkin datang daripada pekerja (tetamu, rakan kongsi) dan daripada perisian yang mereka gunakan. Ini juga termasuk perlindungan terhadap sambungan yang tidak dibenarkan ke rangkaian.
  • melindungi sistem dan data pengguna

Dan ini hanya satu sisi masalah (atau lebih tepatnya, satu bucu segitiga). Di sisi lain adalah kemudahan pengguna dan harga penyelesaian yang digunakan.

Mari kita mulakan dengan melihat apa yang pengguna jangkakan daripada rangkaian pejabat moden.

Kemudahan

Inilah rupa "kemudahan rangkaian" bagi pengguna pejabat pada pendapat saya:

  • Mobiliti
  • Keupayaan untuk menggunakan rangkaian penuh peranti dan sistem pengendalian biasa
  • Akses mudah kepada semua sumber syarikat yang diperlukan
  • Ketersediaan sumber Internet, termasuk pelbagai perkhidmatan awan
  • "Operasi pantas" rangkaian

Semua ini terpakai kepada kedua-dua pekerja dan tetamu (atau rakan kongsi), dan menjadi tugas jurutera syarikat untuk membezakan akses untuk kumpulan pengguna yang berbeza berdasarkan kebenaran.

Mari kita lihat setiap aspek ini dengan lebih terperinci.

Mobiliti

Kami bercakap tentang peluang untuk bekerja dan menggunakan semua sumber syarikat yang diperlukan dari mana-mana sahaja di dunia (sudah tentu, di mana Internet tersedia).

Ini terpakai sepenuhnya untuk pejabat. Ini mudah apabila anda mempunyai peluang untuk terus bekerja dari mana-mana sahaja di pejabat, sebagai contoh, menerima mel, berkomunikasi dalam utusan korporat, tersedia untuk panggilan video, ... Oleh itu, ini membolehkan anda, dalam satu tangan, untuk menyelesaikan beberapa isu komunikasi "secara langsung" (contohnya, mengambil bahagian dalam perhimpunan), dan sebaliknya, sentiasa dalam talian, teruskan jari anda pada nadi dan cepat menyelesaikan beberapa tugas keutamaan tinggi yang mendesak. Ini sangat mudah dan benar-benar meningkatkan kualiti komunikasi.

Ini dicapai dengan reka bentuk rangkaian WiFi yang betul.

Nota:

Di sini persoalan biasanya timbul: adakah cukup untuk menggunakan WiFi sahaja? Adakah ini bermakna anda boleh berhenti menggunakan port Ethernet di pejabat? Jika kita hanya bercakap tentang pengguna, dan bukan tentang pelayan, yang masih munasabah untuk disambungkan dengan port Ethernet biasa, maka secara umum jawapannya ialah: ya, anda boleh mengehadkan diri anda kepada WiFi sahaja. Tetapi ada nuansa.

Terdapat kumpulan pengguna penting yang memerlukan pendekatan berasingan. Ini, sudah tentu, pentadbir. Pada dasarnya, sambungan WiFi kurang dipercayai (dari segi kehilangan trafik) dan lebih perlahan daripada port Ethernet biasa. Ini boleh menjadi penting untuk pentadbir. Di samping itu, pentadbir rangkaian, sebagai contoh, boleh, pada dasarnya, mempunyai rangkaian Ethernet khusus mereka sendiri untuk sambungan luar jalur.

Mungkin terdapat kumpulan/jabatan lain dalam syarikat anda yang mana faktor ini juga penting.

Terdapat satu lagi perkara penting - telefon. Mungkin atas sebab tertentu anda tidak mahu menggunakan VoIP Tanpa Wayar dan mahu menggunakan telefon IP dengan sambungan Ethernet biasa.

Secara umum, syarikat tempat saya bekerja biasanya mempunyai sambungan WiFi dan port Ethernet.

Saya ingin mobiliti tidak terhad kepada pejabat sahaja.

Untuk memastikan keupayaan untuk bekerja dari rumah (atau mana-mana tempat lain dengan Internet boleh diakses), sambungan VPN digunakan. Pada masa yang sama, adalah wajar pekerja tidak merasakan perbezaan antara bekerja dari rumah dan kerja jauh, yang menganggap akses yang sama. Kami akan membincangkan cara mengatur ini sedikit kemudian dalam bab "Sistem pengesahan dan kebenaran berpusat bersatu."

Nota:

Kemungkinan besar, anda tidak akan dapat menyediakan sepenuhnya kualiti perkhidmatan yang sama untuk kerja jauh yang anda ada di pejabat. Mari kita anggap bahawa anda menggunakan Cisco ASA 5520 sebagai gerbang VPN anda. Menurut Lembaran data peranti ini mampu "mencerna" hanya 225 Mbit trafik VPN. Iaitu, tentu saja, dari segi lebar jalur, menyambung melalui VPN sangat berbeza daripada bekerja dari pejabat. Selain itu, jika, atas sebab tertentu, kependaman, kehilangan, kegelisahan (contohnya, anda ingin menggunakan telefon IP pejabat) untuk perkhidmatan rangkaian anda adalah penting, anda juga tidak akan menerima kualiti yang sama seperti anda berada di pejabat. Oleh itu, apabila bercakap tentang mobiliti, kita mesti menyedari batasan yang mungkin berlaku.

Akses mudah kepada semua sumber syarikat

Tugas ini harus diselesaikan bersama dengan jabatan teknikal yang lain.
Situasi yang ideal ialah apabila pengguna hanya perlu mengesahkan sekali, dan selepas itu dia mempunyai akses kepada semua sumber yang diperlukan.
Menyediakan akses mudah tanpa mengorbankan keselamatan boleh meningkatkan produktiviti dengan ketara dan mengurangkan tekanan dalam kalangan rakan sekerja anda.

Catatan 1

Kemudahan akses bukan hanya tentang berapa kali anda perlu memasukkan kata laluan. Jika, sebagai contoh, selaras dengan dasar keselamatan anda, untuk menyambung dari pejabat ke pusat data, anda mesti terlebih dahulu menyambung ke gerbang VPN, dan pada masa yang sama anda kehilangan akses kepada sumber pejabat, maka ini juga sangat , sangat menyusahkan.

Catatan 2

Terdapat perkhidmatan (contohnya, akses kepada peralatan rangkaian) di mana kami biasanya mempunyai pelayan AAA khusus kami sendiri dan ini adalah norma apabila dalam kes ini kami perlu mengesahkan beberapa kali.

Ketersediaan sumber Internet

Internet bukan sahaja hiburan, tetapi juga satu set perkhidmatan yang boleh menjadi sangat berguna untuk kerja. Terdapat juga faktor psikologi semata-mata. Orang moden berhubung dengan orang lain melalui Internet melalui banyak rangkaian maya, dan, pada pendapat saya, tidak salah jika dia terus merasakan hubungan ini walaupun semasa bekerja.

Dari sudut membuang masa, tidak ada salahnya jika pekerja misalnya, menjalankan Skype dan meluangkan masa 5 minit untuk berkomunikasi dengan orang tersayang jika perlu.

Adakah ini bermakna Internet harus sentiasa tersedia, adakah ini bermakna pekerja boleh mempunyai akses kepada semua sumber dan tidak mengawalnya dalam apa jua cara?

Tidak tidak bermakna itu, sudah tentu. Tahap keterbukaan Internet boleh berbeza-beza untuk syarikat yang berbeza - daripada penutupan sepenuhnya kepada keterbukaan lengkap. Kami akan membincangkan cara untuk mengawal lalu lintas kemudian dalam bahagian mengenai langkah keselamatan.

Keupayaan untuk menggunakan rangkaian penuh peranti biasa

Ia mudah apabila, sebagai contoh, anda mempunyai peluang untuk terus menggunakan semua cara komunikasi yang anda gunakan di tempat kerja. Tidak ada kesukaran untuk melaksanakannya secara teknikal. Untuk ini anda memerlukan WiFi dan wilan tetamu.

Ia juga bagus jika anda berpeluang menggunakan sistem pengendalian yang anda biasa gunakan. Tetapi, pada pemerhatian saya, ini biasanya hanya dibenarkan kepada pengurus, pentadbir dan pembangun.

Contoh

Anda boleh, sudah tentu, mengikut laluan larangan, melarang akses jauh, melarang menyambung dari peranti mudah alih, mengehadkan segala-galanya kepada sambungan Ethernet statik, mengehadkan akses ke Internet, merampas telefon bimbit dan gajet secara paksa di pusat pemeriksaan... dan laluan ini sebenarnya diikuti oleh sesetengah organisasi dengan keperluan keselamatan yang meningkat, dan mungkin dalam beberapa kes ini mungkin wajar, tetapi... anda mesti bersetuju bahawa ini kelihatan seperti percubaan untuk menghentikan kemajuan dalam satu organisasi. Sudah tentu, saya ingin menggabungkan peluang yang disediakan oleh teknologi moden dengan tahap keselamatan yang mencukupi.

"Operasi pantas" rangkaian

Kelajuan pemindahan data secara teknikalnya terdiri daripada banyak faktor. Dan kelajuan port sambungan anda biasanya bukan yang paling penting. Operasi lambat sesuatu aplikasi tidak selalu dikaitkan dengan masalah rangkaian, tetapi buat masa ini kami hanya berminat pada bahagian rangkaian. Masalah yang paling biasa dengan "kelembapan" rangkaian tempatan adalah berkaitan dengan kehilangan paket. Ini biasanya berlaku apabila terdapat masalah bottleneck atau L1 (OSI). Lebih jarang, dengan beberapa reka bentuk (contohnya, apabila subnet anda mempunyai tembok api sebagai get laluan lalai dan dengan itu semua trafik melaluinya), prestasi perkakasan mungkin kurang.

Oleh itu, apabila memilih peralatan dan seni bina, anda perlu mengaitkan kelajuan port akhir, batang dan prestasi peralatan.

Contoh

Katakan anda menggunakan suis dengan 1 port gigabit sebagai suis lapisan akses. Mereka disambungkan antara satu sama lain melalui Etherchannel 2 x 10 gigabit. Sebagai get laluan lalai, anda menggunakan tembok api dengan port gigabit, untuk menyambungkannya ke rangkaian pejabat L2 yang anda gunakan 2 port gigabit digabungkan menjadi Etherchannel.

Seni bina ini agak mudah dari sudut kefungsian, kerana... Semua trafik melalui tembok api, dan anda boleh mengurus dasar akses dengan selesa, dan menggunakan algoritma yang kompleks untuk mengawal trafik dan mencegah kemungkinan serangan (lihat di bawah), tetapi dari sudut prestasi dan prestasi reka bentuk ini, sudah tentu, mempunyai potensi masalah. Jadi, sebagai contoh, 2 hos memuat turun data (dengan kelajuan port 1 gigabit) boleh memuatkan sepenuhnya sambungan 2 gigabit ke tembok api, dan dengan itu membawa kepada kemerosotan perkhidmatan untuk keseluruhan segmen pejabat.

Kami telah melihat satu bucu segitiga, sekarang mari kita lihat bagaimana kita boleh memastikan keselamatan.

Pemulihan

Jadi, sudah tentu, biasanya keinginan kami (atau lebih tepat, keinginan pengurusan kami) adalah untuk mencapai yang mustahil, iaitu, untuk menyediakan kemudahan maksimum dengan keselamatan maksimum dan kos minimum.

Mari kita lihat kaedah apa yang kita ada untuk memberikan perlindungan.

Untuk pejabat, saya akan menyerlahkan perkara berikut:

  • pendekatan sifar amanah terhadap reka bentuk
  • tahap perlindungan yang tinggi
  • keterlihatan rangkaian
  • sistem pengesahan dan kebenaran berpusat bersatu
  • pemeriksaan tuan rumah

Seterusnya, kita akan membincangkan dengan lebih terperinci mengenai setiap aspek ini.

Kepercayaan Sifar

Dunia IT berubah dengan cepat. Hanya sepanjang 10 tahun yang lalu, kemunculan teknologi dan produk baharu telah membawa kepada semakan utama konsep keselamatan. Sepuluh tahun yang lalu, dari sudut keselamatan, kami membahagikan rangkaian kepada zon amanah, dmz dan tidak amanah, dan menggunakan apa yang dipanggil "perlindungan perimeter", di mana terdapat 2 baris pertahanan: tidak amanah -> dmz dan dmz -> amanah. Juga, perlindungan biasanya terhad kepada senarai akses berdasarkan pengepala L3/L4 (OSI) (IP, port TCP/UDP, bendera TCP). Semua yang berkaitan dengan tahap yang lebih tinggi, termasuk L7, diserahkan kepada OS dan produk keselamatan yang dipasang pada hos akhir.

Kini keadaan telah berubah secara mendadak. Konsep moden amanah sifar datang dari fakta bahawa tidak lagi mungkin untuk mempertimbangkan sistem dalaman, iaitu, yang terletak di dalam perimeter, sebagai dipercayai, dan konsep perimeter itu sendiri telah menjadi kabur.
Selain sambungan internet kami juga ada

  • pengguna VPN akses jauh
  • pelbagai gajet peribadi, membawa komputer riba, disambungkan melalui WiFi pejabat
  • pejabat (cawangan) lain
  • integrasi dengan infrastruktur awan

Apakah rupa pendekatan Zero Trust dalam amalan?

Sebaik-baiknya, hanya trafik yang diperlukan harus dibenarkan dan, jika kita bercakap tentang ideal, maka kawalan hendaklah bukan sahaja pada tahap L3/L4, tetapi pada tahap aplikasi.

Jika, sebagai contoh, anda mempunyai keupayaan untuk melepasi semua lalu lintas melalui tembok api, maka anda boleh cuba mendekati yang ideal. Tetapi pendekatan ini boleh mengurangkan jumlah lebar jalur rangkaian anda dengan ketara, dan selain itu, penapisan mengikut aplikasi tidak selalu berfungsi dengan baik.

Apabila mengawal trafik pada penghala atau suis L3 (menggunakan ACL standard), anda menghadapi masalah lain:

  • Ini adalah penapisan L3/L4 sahaja. Tiada apa-apa yang menghalang penyerang daripada menggunakan port yang dibenarkan (cth TCP 80) untuk aplikasi mereka (bukan http)
  • pengurusan ACL yang kompleks (sukar untuk menghuraikan ACL)
  • Ini bukan tembok api statefull, bermakna anda perlu membenarkan trafik terbalik secara eksplisit
  • dengan suis, anda biasanya sangat terhad oleh saiz TCAM, yang boleh menjadi masalah dengan cepat jika anda menggunakan pendekatan "hanya benarkan apa yang anda perlukan"

Nota:

Bercakap tentang trafik terbalik, kita mesti ingat bahawa kita mempunyai peluang berikut (Cisco)

membenarkan tcp mana-mana yang ditubuhkan

Tetapi anda perlu memahami bahawa baris ini bersamaan dengan dua baris:
membenarkan tcp sebarang ack
izinkan tcp apa-apa dahulu

Ini bermakna walaupun tiada segmen TCP awal dengan bendera SYN (iaitu, sesi TCP tidak mula ditubuhkan), ACL ini akan membenarkan paket dengan bendera ACK, yang boleh digunakan oleh penyerang untuk memindahkan data.

Iaitu, baris ini sama sekali tidak mengubah penghala atau suis L3 anda menjadi tembok api penuh negara.

Tahap perlindungan yang tinggi

В artikel Dalam bahagian mengenai pusat data, kami mempertimbangkan kaedah perlindungan berikut.

  • tembok api stateful (lalai)
  • perlindungan ddos/dos
  • firewall aplikasi
  • pencegahan ancaman (antivirus, anti-perisian pengintip dan kerentanan)
  • Penapisan URL
  • penapisan data (penapisan kandungan)
  • menyekat fail (menyekat jenis fail)

Dalam kes pejabat, keadaannya serupa, tetapi keutamaannya berbeza sedikit. Ketersediaan pejabat (ketersediaan) biasanya tidak begitu kritikal seperti dalam kes pusat data, manakala kemungkinan trafik berniat jahat "dalaman" adalah urutan magnitud yang lebih tinggi.
Oleh itu, kaedah perlindungan berikut untuk segmen ini menjadi kritikal:

  • firewall aplikasi
  • pencegahan ancaman (anti-virus, anti-perisian pengintip, dan kerentanan)
  • Penapisan URL
  • penapisan data (penapisan kandungan)
  • menyekat fail (menyekat jenis fail)

Walaupun semua kaedah perlindungan ini, kecuali firewall aplikasi, secara tradisinya telah dan terus diselesaikan pada hos akhir (contohnya, dengan memasang program antivirus) dan menggunakan proksi, NGFW moden turut menyediakan perkhidmatan ini.

Penjual peralatan keselamatan berusaha untuk mencipta perlindungan yang komprehensif, jadi bersama-sama dengan perlindungan tempatan, mereka menawarkan pelbagai teknologi awan dan perisian pelanggan untuk hos (perlindungan titik akhir/EPP). Jadi, sebagai contoh, daripada Kuadran Ajaib Gartner 2018 Kami melihat bahawa Palo Alto dan Cisco mempunyai EPP mereka sendiri (PA: Traps, Cisco: AMP), tetapi jauh daripada pemimpin.

Mendayakan perlindungan ini (biasanya dengan membeli lesen) pada tembok api anda sudah tentu tidak wajib (anda boleh menggunakan laluan tradisional), tetapi ia memberikan beberapa faedah:

  • dalam kes ini, terdapat satu titik penggunaan kaedah perlindungan, yang meningkatkan keterlihatan (lihat topik seterusnya).
  • Jika terdapat peranti yang tidak dilindungi pada rangkaian anda, maka peranti itu masih berada di bawah "payung" perlindungan tembok api
  • Dengan menggunakan perlindungan tembok api bersama-sama dengan perlindungan hos akhir, kami meningkatkan kemungkinan untuk mengesan trafik berniat jahat. Contohnya, menggunakan pencegahan ancaman pada hos tempatan dan pada tembok api meningkatkan kemungkinan pengesanan (dengan syarat, sudah tentu, penyelesaian ini berdasarkan produk perisian yang berbeza)

Nota:

Jika, sebagai contoh, anda menggunakan Kaspersky sebagai antivirus pada kedua-dua firewall dan pada hos akhir, maka ini, sudah tentu, tidak akan meningkatkan peluang anda untuk menghalang serangan virus pada rangkaian anda.

Keterlihatan rangkaian

idea pusat adalah mudah - "lihat" apa yang berlaku pada rangkaian anda, dalam masa nyata dan data sejarah.

Saya akan membahagikan "penglihatan" ini kepada dua kumpulan:

Kumpulan satu: apa yang biasanya disediakan oleh sistem pemantauan anda kepada anda.

  • pemuatan peralatan
  • memuatkan saluran
  • penggunaan memori
  • penggunaan cakera
  • menukar jadual penghalaan
  • status pautan
  • ketersediaan peralatan (atau hos)
  • ...

Kumpulan dua: maklumat berkaitan keselamatan.

  • pelbagai jenis statistik (contohnya, mengikut aplikasi, mengikut trafik URL, jenis data yang dimuat turun, data pengguna)
  • apa yang disekat oleh dasar keselamatan dan atas sebab apa, iaitu
    • permohonan yang dilarang
    • dilarang berdasarkan ip/protokol/port/flags/zon
    • pencegahan ancaman
    • penapisan url
    • penapisan data
    • menyekat fail
    • ...
  • statistik mengenai serangan DOS/DDOS
  • percubaan pengenalan dan kebenaran gagal
  • statistik untuk semua peristiwa pelanggaran dasar keselamatan di atas
  • ...

Dalam bab keselamatan ini, kami berminat dengan bahagian kedua.

Beberapa tembok api moden (dari pengalaman Palo Alto saya) memberikan tahap keterlihatan yang baik. Tetapi, sudah tentu, trafik yang anda minati mesti melalui tembok api ini (dalam hal ini anda mempunyai keupayaan untuk menyekat trafik) atau dicerminkan ke dinding api (hanya digunakan untuk pemantauan dan analisis), dan anda mesti mempunyai lesen untuk membolehkan semua perkhidmatan ini.

Sudah tentu ada cara alternatif, atau lebih tepatnya cara tradisional, sebagai contoh,

  • Statistik sesi boleh dikumpul melalui aliran bersih dan kemudian menggunakan utiliti khas untuk analisis maklumat dan visualisasi data
  • pencegahan ancaman – program khas (anti-virus, anti-perisian pengintip, firewall) pada hos akhir
  • Penapisan URL, penapisan data, penyekatan fail – pada proksi
  • ia juga mungkin untuk menganalisis tcpdump menggunakan mis. dengus

Anda boleh menggabungkan kedua-dua pendekatan ini, melengkapkan ciri yang hilang atau menduplikasinya untuk meningkatkan kemungkinan mengesan serangan.

Pendekatan mana yang patut anda pilih?
Sangat bergantung pada kelayakan dan keutamaan pasukan anda.
Kedua-dua ada dan ada kebaikan dan keburukan.

Sistem pengesahan dan kebenaran berpusat bersatu

Apabila direka dengan baik, mobiliti yang kami bincangkan dalam artikel ini mengandaikan bahawa anda mempunyai akses yang sama sama ada anda bekerja dari pejabat atau dari rumah, dari lapangan terbang, dari kedai kopi atau di mana-mana sahaja (dengan pengehadan yang kami bincangkan di atas). Nampaknya, apa masalahnya?
Untuk lebih memahami kerumitan tugasan ini, mari lihat reka bentuk biasa.

Contoh

  • Anda telah membahagikan semua pekerja kepada kumpulan. Anda telah memutuskan untuk menyediakan akses mengikut kumpulan
  • Di dalam pejabat, anda mengawal akses pada tembok api pejabat
  • Anda mengawal trafik dari pejabat ke pusat data pada tembok api pusat data
  • Anda menggunakan Cisco ASA sebagai gerbang VPN dan untuk mengawal trafik yang memasuki rangkaian anda daripada pelanggan jauh, anda menggunakan ACL tempatan (pada ASA).

Sekarang, katakan anda diminta menambah akses tambahan kepada pekerja tertentu. Dalam kes ini, anda diminta untuk menambah akses hanya kepadanya dan tiada orang lain daripada kumpulannya.

Untuk ini kita perlu membuat kumpulan berasingan untuk pekerja ini, iaitu

  • buat kumpulan IP berasingan pada ASA untuk pekerja ini
  • tambahkan ACL baharu pada ASA dan ikatkannya kepada pelanggan jauh itu
  • cipta dasar keselamatan baharu pada tembok api pejabat dan pusat data

Baguslah kalau event ni jarang-jarang. Tetapi dalam amalan saya terdapat situasi apabila pekerja mengambil bahagian dalam projek yang berbeza, dan set projek ini untuk sesetengah daripada mereka berubah agak kerap, dan ia bukan 1-2 orang, tetapi berpuluh-puluh. Sudah tentu, sesuatu perlu diubah di sini.

Ini telah diselesaikan dengan cara berikut.

Kami memutuskan bahawa LDAP akan menjadi satu-satunya sumber kebenaran yang menentukan semua kemungkinan akses pekerja. Kami mencipta semua jenis kumpulan yang mentakrifkan set akses, dan kami menugaskan setiap pengguna kepada satu atau lebih kumpulan.

Jadi, sebagai contoh, katakan ada kumpulan

  • tetamu (akses Internet)
  • akses biasa (akses kepada sumber yang dikongsi: mel, pangkalan pengetahuan, ...)
  • perakaunan
  • projek 1
  • projek 2
  • pentadbir pangkalan data
  • pentadbir linux
  • ...

Dan jika salah seorang pekerja terlibat dalam kedua-dua projek 1 dan projek 2, dan dia memerlukan akses yang diperlukan untuk bekerja dalam projek ini, maka pekerja ini telah ditugaskan kepada kumpulan berikut:

  • tetamu
  • akses bersama
  • projek 1
  • projek 2

Bagaimanakah kita boleh menukar maklumat ini kepada akses pada peralatan rangkaian?

Polisi Capaian Dinamik Cisco ASA (DAP) (lihat www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) penyelesaian adalah tepat untuk tugas ini.

Secara ringkas tentang pelaksanaan kami, semasa proses pengenalan/kebenaran, ASA menerima daripada LDAP satu set kumpulan yang sepadan dengan pengguna tertentu dan "mengumpul" daripada beberapa ACL tempatan (masing-masing sepadan dengan kumpulan) ACL dinamik dengan semua akses yang diperlukan , yang sepenuhnya sesuai dengan kehendak kami.

Tetapi ini hanya untuk sambungan VPN. Untuk menjadikan keadaan sama bagi kedua-dua pekerja yang disambungkan melalui VPN dan mereka yang berada di pejabat, langkah berikut telah diambil.

Apabila menyambung dari pejabat, pengguna yang menggunakan protokol 802.1x berakhir dengan LAN tetamu (untuk tetamu) atau LAN kongsi (untuk pekerja syarikat). Selanjutnya, untuk mendapatkan akses khusus (contohnya, kepada projek di pusat data), pekerja perlu menyambung melalui VPN.

Untuk menyambung dari pejabat dan dari rumah, kumpulan terowong yang berbeza digunakan pada ASA. Ini adalah perlu supaya bagi mereka yang menyambung dari pejabat, trafik ke sumber yang dikongsi (digunakan oleh semua pekerja, seperti mel, pelayan fail, sistem tiket, dns, ...) tidak melalui ASA, tetapi melalui rangkaian tempatan . Oleh itu, kami tidak memuatkan ASA dengan trafik yang tidak perlu, termasuk trafik intensiti tinggi.

Oleh itu, masalah itu telah diselesaikan.
Kami mendapat

  • set akses yang sama untuk kedua-dua sambungan dari pejabat dan sambungan jauh
  • ketiadaan kemerosotan perkhidmatan apabila bekerja dari pejabat yang berkaitan dengan penghantaran trafik intensiti tinggi melalui ASA

Apakah kelebihan lain dari pendekatan ini?
Dalam pentadbiran akses. Akses boleh ditukar dengan mudah di satu tempat.
Contohnya, jika pekerja meninggalkan syarikat, maka anda hanya mengalih keluar dia daripada LDAP, dan dia kehilangan semua akses secara automatik.

Semakan hos

Dengan kemungkinan sambungan jauh, kami menghadapi risiko membenarkan bukan sahaja pekerja syarikat ke dalam rangkaian, tetapi juga semua perisian berniat jahat yang kemungkinan besar terdapat pada komputernya (contohnya, rumah), dan lebih-lebih lagi, melalui perisian ini kami mungkin menyediakan akses kepada rangkaian kami kepada penyerang menggunakan hos ini sebagai proksi.

Adalah masuk akal untuk hos yang disambungkan dari jauh untuk menggunakan keperluan keselamatan yang sama seperti hos dalam pejabat.

Ini juga menganggap versi "betul" OS, anti-virus, anti-perisian pengintip dan perisian tembok api dan kemas kini. Biasanya, keupayaan ini wujud pada gerbang VPN (untuk ASA lihat, sebagai contoh, di sini).

Adalah juga bijak untuk menggunakan analisis trafik dan teknik menyekat yang sama (lihat "Perlindungan tahap tinggi") yang digunakan oleh dasar keselamatan anda pada trafik pejabat.

Adalah munasabah untuk mengandaikan bahawa rangkaian pejabat anda tidak lagi terhad kepada bangunan pejabat dan hos di dalamnya.

Contoh

Teknik yang baik adalah untuk menyediakan setiap pekerja yang memerlukan akses jauh dengan komputer riba yang baik dan mudah serta memerlukan mereka bekerja, di pejabat dan dari rumah, hanya daripadanya.

Ia bukan sahaja meningkatkan keselamatan rangkaian anda, tetapi ia juga sangat mudah dan biasanya dilihat dengan baik oleh pekerja (jika ia adalah komputer riba yang sangat bagus dan mesra pengguna).

Mengenai rasa perkadaran dan keseimbangan

Pada asasnya, ini ialah perbualan tentang puncak ketiga segitiga kami - mengenai harga.
Mari kita lihat contoh hipotesis.

Contoh

Anda mempunyai pejabat untuk 200 orang. Anda memutuskan untuk menjadikannya semudah dan selamat yang mungkin.

Oleh itu, anda memutuskan untuk melepasi semua trafik melalui tembok api dan oleh itu untuk semua subnet pejabat, tembok api ialah get laluan lalai. Sebagai tambahan kepada perisian keselamatan yang dipasang pada setiap hos akhir (anti-virus, anti-perisian pengintip dan perisian tembok api), anda juga memutuskan untuk menggunakan semua kaedah perlindungan yang mungkin pada tembok api.

Untuk memastikan kelajuan sambungan yang tinggi (semua untuk kemudahan), anda memilih suis dengan 10 port akses Gigabit sebagai suis akses, dan tembok api NGFW berprestasi tinggi sebagai tembok api, contohnya, siri Palo Alto 7K (dengan 40 port Gigabit), secara semula jadi dengan semua lesen disertakan dan, secara semula jadi, pasangan Ketersediaan Tinggi.

Juga, sudah tentu, untuk bekerja dengan barisan peralatan ini kita memerlukan sekurang-kurangnya beberapa jurutera keselamatan yang berkelayakan tinggi.

Seterusnya, anda memutuskan untuk memberikan setiap pekerja komputer riba yang baik.

Jumlahnya, kira-kira 10 juta dolar untuk pelaksanaan, ratusan ribu dolar (saya rasa lebih dekat kepada satu juta) untuk sokongan tahunan dan gaji jurutera.

Pejabat, 200 orang...
Selesa? Saya rasa ya.

Anda datang dengan cadangan ini kepada pengurusan anda...
Mungkin terdapat beberapa syarikat di dunia yang mana ini adalah penyelesaian yang boleh diterima dan betul. Jika anda seorang pekerja syarikat ini, tahniah saya ucapkan, tetapi dalam kebanyakan kes, saya pasti pengetahuan anda tidak akan dihargai oleh pihak pengurusan.

Adakah contoh ini dibesar-besarkan? Bab seterusnya akan menjawab soalan ini.

Jika pada rangkaian anda anda tidak melihat mana-mana perkara di atas, maka ini adalah norma.
Untuk setiap kes tertentu, anda perlu mencari kompromi munasabah anda sendiri antara kemudahan, harga dan keselamatan. Selalunya anda tidak memerlukan NGFW di pejabat anda, dan perlindungan L7 pada firewall tidak diperlukan. Ia cukup untuk memberikan tahap keterlihatan dan makluman yang baik, dan ini boleh dilakukan menggunakan produk sumber terbuka, sebagai contoh. Ya, reaksi anda terhadap serangan tidak akan berlaku serta-merta, tetapi perkara utama ialah anda akan melihatnya, dan dengan proses yang betul di jabatan anda, anda akan dapat meneutralkannya dengan cepat.

Dan izinkan saya mengingatkan anda bahawa, mengikut konsep siri artikel ini, anda tidak mereka bentuk rangkaian, anda hanya cuba memperbaiki apa yang anda dapat.

Analisis SELAMAT seni bina pejabat

Beri perhatian kepada petak merah ini yang saya peruntukkan tempat pada gambar rajah Panduan Seni Bina Kampus Selamat SELAMATyang saya ingin bincangkan di sini.

Bagaimana untuk mengawal infrastruktur rangkaian anda. Bab tiga. Keselamatan rangkaian. Bahagian ketiga

Ini adalah salah satu tempat utama seni bina dan salah satu ketidakpastian yang paling penting.

Nota:

Saya tidak pernah menyediakan atau bekerja dengan FirePower (dari barisan firewall Cisco - hanya ASA), jadi saya akan menganggapnya seperti tembok api lain, seperti Juniper SRX atau Palo Alto, dengan mengandaikan ia mempunyai keupayaan yang sama.

Daripada reka bentuk biasa, saya melihat hanya 4 pilihan yang mungkin untuk menggunakan tembok api dengan sambungan ini:

  • get laluan lalai untuk setiap subnet ialah suis, manakala firewall berada dalam mod lutsinar (iaitu, semua trafik melaluinya, tetapi ia tidak membentuk lompatan L3)
  • get laluan lalai untuk setiap subnet ialah sub-antara muka firewall (atau antara muka SVI), suis memainkan peranan L2
  • VRF berbeza digunakan pada suis, dan trafik antara VRF melalui tembok api, trafik dalam satu VRF dikawal oleh ACL pada suis
  • semua trafik dicerminkan ke firewall untuk analisis dan pemantauan; trafik tidak melaluinya

Catatan 1

Gabungan pilihan ini adalah mungkin, tetapi untuk kesederhanaan kami tidak akan mempertimbangkannya.

Nota2

Terdapat juga kemungkinan menggunakan PBR (seni bina rantai perkhidmatan), tetapi buat masa ini, walaupun penyelesaian yang indah pada pendapat saya, agak eksotik, jadi saya tidak mempertimbangkannya di sini.

Daripada penerangan aliran dalam dokumen, kita melihat bahawa trafik masih melalui tembok api, iaitu, mengikut reka bentuk Cisco, pilihan keempat dihapuskan.

Mari kita lihat dua pilihan pertama dahulu.
Dengan pilihan ini, semua trafik melalui tembok api.

Sekarang mari kita lihat Lembaran data, tengok Cisco GPL dan kami melihat bahawa jika kami mahukan jumlah lebar jalur untuk pejabat kami sekurang-kurangnya sekitar 10 - 20 gigabit, maka kami mesti membeli versi 4K.

Nota:

Apabila saya bercakap tentang jumlah lebar jalur, saya maksudkan trafik antara subnet (dan bukan dalam satu vilana).

Daripada GPL kita melihat bahawa untuk Bundle HA dengan Threat Defense, harga bergantung pada model (4110 - 4150) berbeza dari ~0,5 - 2,5 juta dolar.

Iaitu, reka bentuk kami mula menyerupai contoh sebelumnya.

Adakah ini bermakna reka bentuk ini salah?
Tidak, itu tidak bermakna. Cisco memberi anda perlindungan terbaik berdasarkan barisan produk yang dimilikinya. Tetapi itu tidak bermakna ia mesti dilakukan untuk anda.

Pada dasarnya, ini adalah soalan biasa yang timbul semasa mereka bentuk pejabat atau pusat data, dan ini hanya bermakna kompromi perlu dicari.

Sebagai contoh, jangan biarkan semua trafik melalui tembok api, dalam hal ini pilihan 3 nampaknya cukup bagus untuk saya, atau (lihat bahagian sebelumnya) mungkin anda tidak memerlukan Pertahanan Ancaman atau tidak memerlukan tembok api sama sekali pada itu segmen rangkaian, dan anda hanya perlu mengehadkan diri anda kepada pemantauan pasif menggunakan penyelesaian berbayar (tidak mahal) atau sumber terbuka, atau anda memerlukan tembok api, tetapi daripada vendor yang berbeza.

Biasanya selalu ada ketidakpastian ini dan tiada jawapan yang jelas tentang keputusan mana yang terbaik untuk anda.
Inilah kerumitan dan keindahan tugas ini.

Sumber: www.habr.com

Tambah komen