ProHoster > blog > Amministrazzjoni > Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. L-ewwel parti

Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. L-ewwel parti

Dan l-artikolu huwa t-tielet minn sensiela ta’ artikli “Kif Tieħu Kontroll tal-Infrastruttura tan-Netwerk Tiegħek.” Il-kontenut tal-artikoli kollha fis-serje u l-links jistgħu jinstabu hawn.

Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. L-ewwel parti

M'hemmx għalfejn nitkellmu dwar l-eliminazzjoni kompletament tar-riskji tas-sigurtà. Fil-prinċipju, ma nistgħux innaqqsuhom għal żero. Irridu nifhmu wkoll li hekk kif nagħmlu ħilitna biex in-netwerk isir aktar u aktar sigur, is-soluzzjonijiet tagħna qed isiru aktar u aktar għaljin. Trid issib kompromess bejn l-ispiża, il-kumplessità u s-sigurtà li jagħmel sens għan-netwerk tiegħek.

Naturalment, id-disinn tas-sigurtà huwa integrat organikament fl-arkitettura ġenerali u s-soluzzjonijiet tas-sigurtà użati jaffettwaw l-iskalabbiltà, l-affidabbiltà, il-ġestjoni, ... tal-infrastruttura tan-netwerk, li għandhom jitqiesu wkoll.

Imma nfakkarkom li issa mhux qed nitkellmu dwar il-ħolqien ta' netwerk. Skond tagħna kundizzjonijiet inizjali diġà għażilna d-disinn, għażilna t-tagħmir, u ħloqna l-infrastruttura, u f'dan l-istadju, jekk possibbli, għandna "ngħixu" u nsibu soluzzjonijiet fil-kuntest tal-approċċ magħżul qabel.

Il-kompitu tagħna issa huwa li nidentifikaw ir-riskji assoċjati mas-sigurtà fil-livell tan-netwerk u nnaqqsuhom għal livell raġonevoli.

Verifika tas-sigurtà tan-netwerk

Jekk l-organizzazzjoni tiegħek implimentat proċessi ISO 27k, allura l-verifiki tas-sigurtà u l-bidliet fin-netwerk għandhom jidħlu bla xkiel fil-proċessi ġenerali fi ħdan dan l-approċċ. Iżda dawn l-istandards għadhom mhumiex dwar soluzzjonijiet speċifiċi, mhux dwar konfigurazzjoni, mhux dwar disinn... M'hemm l-ebda pariri ċari, l-ebda standards li jiddettaw fid-dettall kif għandu jkun in-netwerk tiegħek, din hija l-kumplessità u s-sbuħija ta 'dan il-kompitu.

Nixtieq nenfasizza diversi verifiki possibbli tas-sigurtà tan-netwerk:

  • verifika tal-konfigurazzjoni tat-tagħmir (twebbis)
  • verifika tad-disinn tas-sigurtà
  • verifika tal-aċċess
  • verifika tal-proċess

Verifika tal-konfigurazzjoni tat-tagħmir (twebbis)

Jidher li f'ħafna każijiet dan huwa l-aħjar punt tat-tluq għall-awditjar u t-titjib tas-sigurtà tan-netwerk tiegħek. IMHO, din hija turija tajba tal-liġi ta' Pareto (20% tal-isforz jipproduċi 80% tar-riżultat, u t-80% tal-isforz li jifdal jipproduċi biss 20% tar-riżultat).

L-aħħar nett hija li normalment ikollna rakkomandazzjonijiet minn bejjiegħa dwar "l-aħjar prattiki" għas-sigurtà meta nikkonfiguraw it-tagħmir. Dan jissejjaħ "ebusija".

Tista' wkoll ta' spiss issib kwestjonarju (jew toħloq wieħed lilek innifsek) ibbażat fuq dawn ir-rakkomandazzjonijiet, li jgħinek tiddetermina kemm il-konfigurazzjoni tat-tagħmir tiegħek tikkonforma ma' dawn l-"aħjar prattiki" u, skont ir-riżultat, tagħmel bidliet fin-netwerk tiegħek. . Dan jippermettilek tnaqqas b'mod sinifikanti r-riskji tas-sigurtà pjuttost faċilment, prattikament mingħajr spiża.

Diversi eżempji għal xi sistemi operattivi Cisco.

Twebbis tal-Konfigurazzjoni Cisco IOS
Ebusija tal-Konfigurazzjoni Cisco IOS-XR
Twebbis tal-Konfigurazzjoni Cisco NX-OS
Lista ta' Kontroll tas-Sigurtà tal-Linji Bażi ta' Cisco

Abbażi ta' dawn id-dokumenti, tista' tinħoloq lista ta' rekwiżiti ta' konfigurazzjoni għal kull tip ta' tagħmir. Pereżempju, għal Cisco N7K VDC dawn ir-rekwiżiti jistgħu jidhru hekk.

B'dan il-mod, jistgħu jinħolqu fajls ta 'konfigurazzjoni għal tipi differenti ta' tagħmir attiv fl-infrastruttura tan-netwerk tiegħek. Sussegwentement, manwalment jew bl-użu ta 'awtomazzjoni, tista' "upload" dawn il-fajls ta 'konfigurazzjoni. Kif awtomat dan il-proċess se jiġi diskuss fid-dettall f'serje oħra ta 'artikoli dwar l-orkestrazzjoni u l-awtomazzjoni.

Verifika tad-disinn tas-sigurtà

Tipikament, netwerk ta' intrapriżi fih is-segmenti li ġejjin f'forma jew oħra:

  • DC (Servizzi Pubbliċi DMZ u Intranet data center)
  • Aċċess għall-Internet
  • Aċċess mill-bogħod VPN
  • tarf WAN
  • Fergħa
  • Kampus (Uffiċċju)
  • Core

Titoli meħuda minn Cisco SAFE mudell, iżda mhux meħtieġ, ovvjament, li jiġu mehmuża preċiżament ma 'dawn l-ismijiet u ma' dan il-mudell. Xorta waħda, irrid nitkellem dwar l-essenza u ma niddejjaqx fil-formalitajiet.

Għal kull wieħed minn dawn is-segmenti, ir-rekwiżiti tas-sigurtà, ir-riskji u, għaldaqstant, is-soluzzjonijiet se jkunu differenti.

Ejja nħarsu lejn kull wieħed minnhom separatament għall-problemi li tista' tiltaqa' magħhom mil-lat tad-disinn tas-sigurtà. Ovvjament, nerġa’ nerġa’ nirrepeti li dan l-artiklu bl-ebda mod ma jippretendi li hu komplut, li mhux faċli (jekk mhux impossibbli) li jinkiseb f’dan is-suġġett tassew profond u multidimensjonali, iżda jirrifletti l-esperjenza personali tiegħi.

M'hemm l-ebda soluzzjoni perfetta (għall-inqas għadu mhux). Huwa dejjem kompromess. Iżda huwa importanti li d-deċiżjoni li jintuża approċċ jew ieħor issir b'mod konxju, b'fehim kemm tal-vantaġġi kif ukoll tal-iżvantaġġi tiegħu.

Data Center

Is-segment l-aktar kritiku mil-lat tas-sigurtà.
U, bħas-soltu, lanqas hawn m'hemm l-ebda soluzzjoni universali. Kollox jiddependi ħafna fuq ir-rekwiżiti tan-netwerk.

Huwa meħtieġ firewall jew le?

Jidher li t-tweġiba hija ovvja, iżda kollox mhuwiex ċar daqs kemm jista’ jidher. U l-għażla tiegħek tista 'tiġi influwenzata mhux biss prezz.

Eżempju 1. Dewmien.

Jekk latency baxxa hija rekwiżit essenzjali bejn xi segmenti tan-netwerk, li huwa, pereżempju, veru fil-każ ta 'skambju, allura ma nkunux nistgħu nużaw firewalls bejn dawn is-segmenti. Huwa diffiċli li ssib studji dwar latency fil-firewalls, iżda ftit mudelli ta 'swiċċ jistgħu jipprovdu latency ta' inqas minn jew fuq l-ordni ta '1 mksec, għalhekk naħseb jekk mikrosekondi huma importanti għalik, allura firewalls mhumiex għalik.

Eżempju 2. Prestazzjoni.

It-throughput ta 'l-ogħla swiċċijiet L3 huwa normalment ordni ta' kobor ogħla mill-throughput ta 'l-aktar firewalls b'saħħithom. Għalhekk, fil-każ ta 'traffiku ta' intensità għolja, x'aktarx ikollok ukoll tħalli dan it-traffiku jevita l-firewalls.

Eżempju 3. Affidabilità

Firewalls, speċjalment NGFW moderni (Next-Generation FW) huma apparati kumplessi. Huma ħafna aktar kumplessi minn swiċċijiet L3/L2. Huma jipprovdu numru kbir ta 'servizzi u għażliet ta' konfigurazzjoni, għalhekk mhux sorprendenti li l-affidabbiltà tagħhom hija ħafna aktar baxxa. Jekk il-kontinwità tas-servizz hija kritika għan-netwerk, allura jista 'jkollok tagħżel dak li se jwassal għal disponibbiltà aħjar - sigurtà b'firewall jew is-sempliċità ta' netwerk mibni fuq swiċċijiet (jew diversi tipi ta 'drappijiet) li juża ACLs regolari.

Fil-każ tal-eżempji ta’ hawn fuq, x’aktarx (bħas-soltu) ikollok issib kompromess. Ħares lejn is-soluzzjonijiet li ġejjin:

  • jekk tiddeċiedi li ma tużax firewalls ġewwa ċ-ċentru tad-dejta, allura trid taħseb dwar kif tillimita l-aċċess madwar il-perimetru kemm jista 'jkun. Pereżempju, tista 'tiftaħ biss il-portijiet meħtieġa mill-Internet (għat-traffiku tal-klijenti) u aċċess amministrattiv għaċ-ċentru tad-dejta biss minn jump hosts. Fuq jump hosts, wettaq il-kontrolli kollha meħtieġa (awtentikazzjoni/awtorizzazzjoni, antivirus, logging, ...)
  • tista' tuża partizzjoni loġika tan-netwerk taċ-ċentru tad-dejta f'segmenti, simili għall-iskema deskritta f'PSEFABRIC eżempju p002. F'dan il-każ, ir-rotot għandu jiġi kkonfigurat b'tali mod li traffiku sensittiv għad-dewmien jew ta 'intensità għolja jmur "fi ħdan" segment wieħed (fil-każ ta' p002, VRF) u ma jgħaddix mill-firewall. It-traffiku bejn is-segmenti differenti se jkompli jgħaddi mill-firewall. Tista 'wkoll tuża tnixxija tar-rotta bejn VRFs biex tevita li t-traffiku jerġa' jidderieġi permezz tal-firewall
  • Tista 'wkoll tuża firewall f'modalità trasparenti u biss għal dawk il-VLANs fejn dawn il-fatturi (latenza/prestazzjoni) mhumiex sinifikanti. Imma għandek bżonn tistudja bir-reqqa r-restrizzjonijiet assoċjati mal-użu ta 'dan il-mod għal kull bejjiegħ
  • tista' tkun trid tikkunsidra li tuża arkitettura ta' katina ta' servizz. Dan jippermetti biss li t-traffiku meħtieġ jgħaddi mill-firewall. Fit-teorija tidher sabiħa, imma qatt ma rajt din is-soluzzjoni fil-produzzjoni. Aħna ttestjajna l-katina tas-servizz għal Cisco ACI / Juniper SRX / F5 LTM madwar 3 snin ilu, iżda dak iż-żmien din is-soluzzjoni dehret "mhux raffinat" għalina.

Livell ta' protezzjoni

Issa trid twieġeb il-mistoqsija dwar liema għodod trid tuża biex tiffiltra t-traffiku. Hawn huma xi wħud mill-karatteristiċi li huma ġeneralment preżenti fl-NGFW (per eżempju, hawn):

  • firewalling stateful (default)
  • applikazzjoni firewalling
  • prevenzjoni tat-theddid (antivirus, anti-spyware, u vulnerabbiltà)
  • Iffiltrar tal-URL
  • filtrazzjoni tad-dejta (filtrazzjoni tal-kontenut)
  • imblukkar ta' fajls (imblukkar ta' tipi ta' fajls)
  • dos protezzjoni

U lanqas kollox huwa ċar. Jidher li iktar ma jkun għoli l-livell ta 'protezzjoni, aħjar. Imma trid tqis dan ukoll

  • Iktar ma tuża l-funzjonijiet tal-firewall ta’ hawn fuq, iktar ikun għali naturalment (liċenzji, moduli addizzjonali)
  • l-użu ta' xi algoritmi jista' jnaqqas b'mod sinifikanti l-passaġġ tal-firewall u jżid ukoll id-dewmien, ara pereżempju hawn
  • bħal kull soluzzjoni kumplessa, l-użu ta 'metodi ta' protezzjoni kumplessi jista 'jnaqqas l-affidabbiltà tas-soluzzjoni tiegħek, pereżempju, meta tuża firewalling tal-applikazzjoni, iltqajt ma' imblukkar ta 'xi applikazzjonijiet ta' ħidma pjuttost standard (dns, smb)

Bħal dejjem, trid issib l-aħjar soluzzjoni għan-netwerk tiegħek.

Huwa impossibbli li tingħata risposta definittiva għall-mistoqsija dwar liema funzjonijiet ta' protezzjoni jistgħu jkunu meħtieġa. L-ewwelnett, għax ovvjament jiddependi fuq id-dejta li qed tittrasmetti jew taħżen u tipprova tipproteġi. It-tieni nett, fir-realtà, ħafna drabi l-għażla tal-għodod tas-sigurtà hija kwistjoni ta 'fidi u fiduċja fil-bejjiegħ. Ma tafx l-algoritmi, ma tafx kemm huma effettivi, u ma tistax tittestjahom bis-sħiħ.

Għalhekk, f'segmenti kritiċi, soluzzjoni tajba tista' tkun li tuża offerti minn kumpaniji differenti. Pereżempju, tista 'tippermetti l-antivirus fuq il-firewall, iżda wkoll tuża protezzjoni antivirus (minn manifattur ieħor) lokalment fuq l-ospiti.

Segmentazzjoni

Qed nitkellmu dwar is-segmentazzjoni loġika tan-netwerk taċ-ċentru tad-dejta. Pereżempju, il-qsim f'VLANs u subnets huwa wkoll segmentazzjoni loġika, iżda mhux se nqisuha minħabba l-ovvju tagħha. Segmentazzjoni interessanti li tqis entitajiet bħal żoni ta' sigurtà FW, VRFs (u l-analogi tagħhom fir-rigward ta 'diversi bejjiegħa), apparat loġiku (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Eżempju ta 'segmentazzjoni loġika bħal din u d-disinn taċ-ċentru tad-dejta li hemm domanda bħalissa huwa mogħti fi p002 tal-proġett PSEFABRIC.

Wara li ddefinixxiet il-partijiet loġiċi tan-netwerk tiegħek, tista 'mbagħad tiddeskrivi kif it-traffiku jiċċaqlaq bejn segmenti differenti, fuq liema apparati se jitwettaq filtrazzjoni u b'liema mezzi.

Jekk in-netwerk tiegħek m'għandux partizzjoni loġika ċara u r-regoli għall-applikazzjoni ta' politiki ta' sigurtà għal flussi ta' dejta differenti mhumiex formalizzati, dan ifisser li meta tiftaħ dan jew dak l-aċċess, tkun imġiegħel issolvi din il-problema, u bi probabbiltà għolja inti se ssolviha kull darba b'mod differenti.

Ħafna drabi s-segmentazzjoni hija bbażata biss fuq żoni ta 'sigurtà FW. Imbagħad trid twieġeb il-mistoqsijiet li ġejjin:

  • liema żoni tas-sigurtà għandek bżonn
  • x'livell ta' protezzjoni trid tapplika għal kull waħda minn dawn iż-żoni
  • se jkun permess it-traffiku fi ħdan iż-żona awtomatikament?
  • jekk le, liema politiki ta' filtrazzjoni tat-traffiku se jiġu applikati f'kull żona
  • liema politiki ta' filtrazzjoni tat-traffiku se jiġu applikati għal kull par ta' żoni (sors/destinazzjoni)

TCAM

Problema komuni hija TCAM insuffiċjenti (Ternary Content Addressable Memory), kemm għar-rotot kif ukoll għall-aċċessi. IMHO, din hija waħda mill-aktar kwistjonijiet importanti meta tagħżel it-tagħmir, għalhekk għandek bżonn tittratta din il-kwistjoni bil-grad xieraq ta 'kura.

Eżempju 1. Tabella ta' Tressiq TCAM.

ejja nikkunsidraw Palo Alto 7k firewall
Naraw li d-daqs tat-tabella ta 'trażmissjoni IPv4* = 32K
Barra minn hekk, dan in-numru ta' rotot huwa komuni għall-VSYSs kollha.

Ejja nassumu li skond id-disinn tiegħek inti tiddeċiedi li tuża 4 VSYS.
Kull wieħed minn dawn il-VSYSs huwa konness permezz ta' BGP ma' żewġ PEs MPLS tal-cloud li tuża bħala BB. Għalhekk, 4 VSYS jiskambjaw ir-rotot speċifiċi kollha ma' xulxin u għandhom tabella ta' twassil b'madwar l-istess settijiet ta' rotot (iżda NHs differenti). Għax kull VSYS għandu 2 sessjonijiet BGP (bl-istess settings), allura kull rotta riċevuta permezz tal-MPLS għandha 2 NH u, għaldaqstant, 2 entrati FIB fit-Tabella ta 'Trasmissjoni. Jekk nassumu li dan huwa l-uniku firewall fiċ-ċentru tad-dejta u għandu jkun jaf dwar ir-rotot kollha, allura dan ikun ifisser li n-numru totali ta 'rotot fiċ-ċentru tad-dejta tagħna ma jistax ikun aktar minn 32K/(4 * 2) = 4K.

Issa, jekk nassumu li għandna 2 ċentri tad-dejta (bl-istess disinn), u rridu nużaw VLANs "miġbuda" bejn ċentri tad-dejta (per eżempju, għal vMotion), allura biex insolvu l-problema tar-routing, irridu nużaw rotot ospitanti . Iżda dan ifisser li għal ċentri tad-dejta 2 se jkollna mhux aktar minn 4096 host possibbli u, ovvjament, dan jista 'ma jkunx biżżejjed.

Eżempju 2. ACL TCAM.

Jekk qed tippjana li tiffiltra t-traffiku fuq swiċċijiet L3 (jew soluzzjonijiet oħra li jużaw swiċċijiet L3, pereżempju, Cisco ACI), allura meta tagħżel tagħmir għandek tagħti attenzjoni lit-TCAM ACL.

Ejja ngħidu li trid tikkontrolla l-aċċess fuq l-interfaces SVI taċ-Cisco Catalyst 4500. Imbagħad, kif jidher minn Dan l-artiklu, biex tikkontrolla t-traffiku ħerġin (kif deħlin) fuq interfaces, tista 'tuża biss 4096 linja TCAM. Li meta tuża TCAM3 jagħtik madwar 4000 elf ACE (linji ACL).

Jekk qed tiffaċċja l-problema ta 'TCAM insuffiċjenti, allura, l-ewwelnett, ovvjament, trid tikkunsidra l-possibbiltà ta' ottimizzazzjoni. Għalhekk, f'każ ta 'problema bid-daqs tat-Tabella ta' Trażmissjoni, trid tikkunsidra l-possibbiltà li r-rotot jiġu aggregati. F'każ ta' problema bid-daqs tat-TCAM għall-aċċessi, awditja l-aċċessi, neħħi r-rekords skaduti u li jikkoinċidu, u possibbilment tirrevedi l-proċedura għall-ftuħ tal-aċċessi (se tiġi diskussa fid-dettall fil-kapitolu dwar l-aċċessi tal-verifika).

Disponibbiltà Għolja

Il-mistoqsija hija: għandi nuża HA għall-firewalls jew ninstalla żewġ kaxxi indipendenti "b'mod parallel" u, jekk waħda minnhom tfalli, inrotot it-traffiku mit-tieni?

Jidher li t-tweġiba hija ovvja - uża HA. Ir-raġuni għaliex din il-mistoqsija għadha tqum hija li, sfortunatament, il-perċentwali teoretiċi u ta' reklamar 99 u bosta perċentwali deċimali ta' aċċessibbiltà fil-prattika jirriżultaw li mhumiex daqshekk wardji. HA hija loġikament ħaġa pjuttost kumplessa, u fuq tagħmir differenti, u b'bejjiegħa differenti (ma kien hemm l-ebda eċċezzjoni), qbidna problemi u bugs u waqfiet tas-servizz.

Jekk tuża HA, ser ikollok l-opportunità li titfi n-nodi individwali, taqleb bejniethom mingħajr ma twaqqaf is-servizz, li huwa importanti, pereżempju, meta tagħmel titjib, iżda fl-istess ħin għandek probabbiltà 'l bogħod minn żero li ż-żewġ nodi se tinkiser fl-istess ħin, u wkoll li l-aġġornament li jmiss mhux se jmur bla xkiel kif iwiegħed il-bejjiegħ (din il-problema tista 'tiġi evitata jekk ikollok l-opportunità li tittestja l-aġġornament fuq tagħmir tal-laboratorju).

Jekk ma tużax HA, allura mil-lat ta' falliment doppju r-riskji tiegħek huma ħafna aktar baxxi (peress li għandek 2 firewalls indipendenti), iżda peress li... sessjonijiet mhumiex sinkronizzati, allura kull darba li taqleb bejn dawn il-firewalls titlef it-traffiku. Tista', ovvjament, tuża firewalls mingħajr stat, iżda mbagħad il-punt li tuża firewall huwa fil-biċċa l-kbira mitluf.

Għalhekk, jekk bħala riżultat tal-verifika skoprejt firewalls solitarju, u qed taħseb biex iżżid l-affidabbiltà tan-netwerk tiegħek, allura HA, ovvjament, hija waħda mis-soluzzjonijiet rakkomandati, iżda għandek tqis ukoll l-iżvantaġġi assoċjati b'dan l-approċċ u, forsi, speċifikament għan-netwerk tiegħek, soluzzjoni oħra tkun aktar adattata.

Ġestibilità

Fil-prinċipju, HA hija wkoll dwar il-kontrollabbiltà. Minflok ma tikkonfigura 2 kaxxi separatament u tittratta l-problema li żżomm il-konfigurazzjonijiet sinkronizzati, timmaniġġjahom daqslikieku kellek apparat wieħed.

Imma forsi għandek ħafna ċentri tad-dejta u ħafna firewalls, allura din il-mistoqsija tqum f'livell ġdid. U l-mistoqsija mhix biss dwar il-konfigurazzjoni, iżda wkoll dwar

  • konfigurazzjonijiet tal-backup
  • aġġornamenti
  • titjib
  • monitoraġġ
  • qtugħ tas-siġar

U dan kollu jista 'jiġi solvut minn sistemi ta' ġestjoni ċentralizzati.

Allura, per eżempju, jekk qed tuża firewalls Palo Alto, allura View hija tali soluzzjoni.

Għandha titkompla.

Sors: www.habr.com

Żid kumment