ProHoster > blog > Amministrazzjoni > Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. It-tielet parti

Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. It-tielet parti

Dan l-artikolu huwa l-ħames fis-sensiela "Kif Tieħu Kontroll tal-Infrastruttura tan-Netwerk Tiegħek." Il-kontenut tal-artikoli kollha fis-serje u l-links jistgħu jinstabu hawn.

Din il-parti se tkun iddedikata għas-segmenti tal-Campus (Uffiċċju) u Remote access VPN.

Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. It-tielet parti

Id-disinn tan-netwerk tal-uffiċċju jista 'jidher faċli.

Tabilħaqq, nieħdu swiċċijiet L2/L3 u nqabbduhom ma 'xulxin. Sussegwentement, inwettqu s-setup bażiku ta 'vilans u gateways default, inwaqqfu routing sempliċi, qabbad kontrolluri WiFi, punti ta' aċċess, ninstallaw u kkonfiguraw ASA għal aċċess remot, aħna ferħanin li kollox ħadem. Bażikament, kif diġà ktibt f'wieħed minn ta 'qabel artikoli ta’ dan iċ-ċiklu, kważi kull student li attenda (u tgħallem) żewġ semestri ta’ kors tat-telekomunikazzjoni jista’ jiddisinja u kkonfigura netwerk tal-uffiċċju sabiex “b’xi mod jaħdem.”

Imma aktar ma titgħallem, inqas dan il-kompitu jibda jidher sempliċi. Għalija personalment, dan is-suġġett, is-suġġett tad-disinn tan-netwerk tal-uffiċċju, ma jidhirx sempliċi xejn, u f'dan l-artikolu ser nipprova nispjega għaliex.

Fil-qosor, hemm pjuttost ftit fatturi li għandek tikkonsidra. Ħafna drabi dawn il-fatturi jkunu f'kunflitt ma' xulxin u jrid jiġi mfittex kompromess raġonevoli.
Din l-inċertezza hija d-diffikultà ewlenija. Allura, nitkellmu dwar is-sigurtà, għandna trijangolu bi tliet vertiċi: sigurtà, konvenjenza għall-impjegati, prezz tas-soluzzjoni.
U kull darba trid tfittex kompromess bejn dawn it-tlieta.

arkitettura

Bħala eżempju ta 'arkitettura għal dawn iż-żewġ segmenti, bħal f'artikoli preċedenti, nirrakkomanda Cisco SAFE mudell: Kampus Intrapriża, Xifer tal-Internet tal-Intrapriża.

Dawn huma dokumenti kemmxejn skaduti. Nippreżentahom hawn għax l-iskemi fundamentali u l-approċċ ma nbidlux, iżda fl-istess ħin jogħġobni l-preżentazzjoni aktar milli fi dokumentazzjoni ġdida.

Mingħajr ma nħeġġiġek tuża s-soluzzjonijiet Cisco, xorta naħseb li huwa utli li tistudja bir-reqqa dan id-disinn.

Dan l-artiklu, bħas-soltu, bl-ebda mod ma jippretendi li huwa komplut, iżda huwa pjuttost żieda għal din l-informazzjoni.

Fl-aħħar tal-artiklu, aħna se nanalizzaw id-disinn tal-uffiċċju ta 'Cisco SAFE f'termini tal-kunċetti deskritti hawn.

Prinċipji ġenerali

Id-disinn tan-netwerk tal-uffiċċju għandu, ovvjament, jissodisfa r-rekwiżiti ġenerali li ġew diskussi hawn fil-kapitolu “Kriterji għall-valutazzjoni tal-kwalità tad-disinn”. Minbarra l-prezz u s-sigurtà, li għandna l-ħsieb li niddiskutu f’dan l-artikolu, għad hemm tliet kriterji li rridu nikkunsidraw meta niddisinjaw (jew nagħmlu bidliet):

  • iskalabbiltà
  • faċilità ta' użu (ġestjoni)
  • disponibbiltà

Ħafna minn dak li ġie diskuss għalih ċentri tad-data Dan jgħodd ukoll għall-uffiċċju.

Iżda xorta waħda, is-segment tal-uffiċċju għandu l-ispeċifiċitajiet tiegħu stess, li huma kritiċi mil-lat tas-sigurtà. L-essenza ta 'din l-ispeċifiċità hija li dan is-segment huwa maħluq biex jipprovdi servizzi ta' netwerk lill-impjegati (kif ukoll lill-imsieħba u lill-mistednin) tal-kumpanija, u, bħala riżultat, fl-ogħla livell ta 'konsiderazzjoni tal-problema għandna żewġ kompiti:

  • jipproteġi r-riżorsi tal-kumpanija minn azzjonijiet malizzjużi li jistgħu jiġu mill-impjegati (mistednin, imsieħba) u mis-softwer li jużaw. Dan jinkludi wkoll protezzjoni kontra konnessjoni mhux awtorizzata man-netwerk.
  • jipproteġi s-sistemi u d-dejta tal-utent

U din hija naħa waħda biss tal-problema (jew aħjar, vertiċi wieħed tat-trijangolu). Min-naħa l-oħra hemm il-konvenjenza tal-utent u l-prezz tas-soluzzjonijiet użati.

Nibdew billi nħarsu lejn dak li jistenna utent minn netwerk ta' uffiċċju modern.

Amenitajiet

Hawn kif jidhru l-"kumditajiet tan-netwerk" għal utent tal-uffiċċju fl-opinjoni tiegħi:

  • Mobilità
  • Kapaċità li tuża l-firxa sħiħa ta 'apparat u sistemi operattivi familjari
  • Aċċess faċli għar-riżorsi kollha meħtieġa tal-kumpanija
  • Disponibbiltà ta 'riżorsi tal-Internet, inklużi diversi servizzi cloud
  • "Tħaddim veloċi" tan-netwerk

Dan kollu japplika kemm għall-impjegati kif ukoll għall-mistednin (jew imsieħba), u huwa l-kompitu tal-inġiniera tal-kumpanija li jiddifferenzjaw l-aċċess għal gruppi ta 'utenti differenti abbażi tal-awtorizzazzjoni.

Ejja nħarsu lejn kull wieħed minn dawn l-aspetti fi ftit aktar dettall.

Mobilità

Qed nitkellmu dwar l-opportunità li taħdem u tuża r-riżorsi kollha meħtieġa tal-kumpanija minn kullimkien fid-dinja (naturalment, fejn l-Internet huwa disponibbli).

Dan japplika bis-sħiħ għall-uffiċċju. Dan huwa konvenjenti meta jkollok l-opportunità li tkompli taħdem minn kullimkien fl-uffiċċju, pereżempju, tirċievi posta, tikkomunika f'messaġġier korporattiv, tkun disponibbli għal sejħa bil-vidjo, ... Għalhekk, dan jippermettilek, min-naħa waħda, biex issolvi xi kwistjonijiet ta 'komunikazzjoni "live" (per eżempju, tipparteċipa f'rallies), u min-naħa l-oħra, tkun dejjem onlajn, żomm subgħajk fuq il-polz u malajr issolvi xi kompiti urġenti ta' prijorità għolja. Dan huwa konvenjenti ħafna u verament itejjeb il-kwalità tal-komunikazzjonijiet.

Dan jinkiseb b'disinn xieraq tan-netwerk WiFi.

Nota:

Hawnhekk normalment tqum il-mistoqsija: huwa biżżejjed li tuża biss WiFi? Dan ifisser li tista' tieqaf tuża portijiet Ethernet fl-uffiċċju? Jekk qed nitkellmu biss dwar utenti, u mhux dwar servers, li għadhom raġonevoli biex jgħaqqdu ma 'port Ethernet regolari, allura b'mod ġenerali t-tweġiba hija: iva, tista' tillimita lilek innifsek għal WiFi biss. Iżda hemm sfumaturi.

Hemm gruppi ta' utenti importanti li jeħtieġu approċċ separat. Dawn huma, ovvjament, amministraturi. Fil-prinċipju, konnessjoni WiFi hija inqas affidabbli (f'termini ta 'telf ta' traffiku) u aktar bil-mod minn port Ethernet regolari. Dan jista' jkun sinifikanti għall-amministraturi. Barra minn hekk, l-amministraturi tan-netwerk, pereżempju, jistgħu, fil-prinċipju, ikollhom in-netwerk Ethernet iddedikat tagħhom stess għal konnessjonijiet barra mill-banda.

Jista' jkun hemm gruppi/dipartimenti oħra fil-kumpanija tiegħek li għalihom dawn il-fatturi huma importanti wkoll.

Hemm punt ieħor importanti - it-telefonija. Forsi għal xi raġuni ma tridx tuża Wireless VoIP u trid tuża telefowns IP b'konnessjoni Ethernet regolari.

B'mod ġenerali, il-kumpaniji li ħdimt għalihom normalment kellhom kemm konnettività WiFi kif ukoll port Ethernet.

Nixtieq li l-mobilità ma tkunx limitata biss għall-uffiċċju.

Biex tkun żgurata l-abbiltà li taħdem mid-dar (jew kwalunkwe post ieħor b'Internet aċċessibbli), tintuża konnessjoni VPN. Fl-istess ħin, huwa mixtieq li l-impjegati ma jħossux id-differenza bejn ix-xogħol mid-dar u x-xogħol mill-bogħod, li jassumi l-istess aċċess. Aħna ser niddiskutu kif norganizzaw dan ftit aktar tard fil-kapitolu "Sistema ta 'awtentikazzjoni u awtorizzazzjoni ċentralizzata unifikata."

Nota:

Ħafna probabbli, ma tkunx tista' tipprovdi bis-sħiħ l-istess kwalità ta' servizzi għal xogħol mill-bogħod li għandek fl-uffiċċju. Ejja nassumu li qed tuża Cisco ASA 5520 bħala l-gateway VPN tiegħek folja tad-dejta dan l-apparat huwa kapaċi li "jiddiġerixxi" biss 225 Mbit tat-traffiku VPN. Jiġifieri, ovvjament, f'termini ta 'bandwidth, il-konnessjoni permezz ta' VPN hija differenti ħafna milli taħdem mill-uffiċċju. Ukoll, jekk, għal xi raġuni, latency, telf, jitter (per eżempju, trid tuża uffiċċju tat-telefonija IP) għas-servizzi tan-netwerk tiegħek huma sinifikanti, inti wkoll mhux se tirċievi l-istess kwalità daqs li kieku inti fl-uffiċċju. Għalhekk, meta nitkellmu dwar il-mobilità, irridu nkunu konxji tal-limitazzjonijiet possibbli.

Aċċess faċli għar-riżorsi kollha tal-kumpanija

Dan il-kompitu għandu jiġi solvut flimkien ma 'dipartimenti tekniċi oħra.
Is-sitwazzjoni ideali hija meta l-utent jeħtieġ biss li jawtentika darba, u wara dan ikollu aċċess għar-riżorsi kollha meħtieġa.
Li tipprovdi aċċess faċli mingħajr ma tiġi sagrifikata s-sigurtà tista' ttejjeb b'mod sinifikanti l-produttività u tnaqqas l-istress fost il-kollegi tiegħek.

Rimarka 1

Il-faċilità ta' aċċess mhijiex biss dwar kemm-il darba trid tidħol password. Jekk, pereżempju, skont il-politika tas-sigurtà tiegħek, sabiex tikkonnettja mill-uffiċċju għaċ-ċentru tad-dejta, l-ewwel trid tikkonnettja mal-gateway VPN, u fl-istess ħin titlef l-aċċess għar-riżorsi tal-uffiċċju, allura dan huwa wkoll ħafna , inkonvenjenti ħafna.

Rimarka 2

Hemm servizzi (pereżempju, aċċess għal tagħmir tan-netwerk) fejn normalment ikollna s-servers AAA dedikati tagħna stess u din hija n-norma meta f’dan il-każ ikollna jawtentikaw diversi drabi.

Disponibbiltà tar-riżorsi tal-Internet

L-Internet mhuwiex biss divertiment, iżda wkoll sett ta 'servizzi li jistgħu jkunu utli ħafna għax-xogħol. Hemm ukoll fatturi purament psikoloġiċi. Persuna moderna hija konnessa ma 'nies oħra permezz tal-Internet permezz ta' ħafna ħjut virtwali, u, fl-opinjoni tiegħi, m'hemm xejn ħażin jekk ikompli jħoss din il-konnessjoni anke waqt li jaħdem.

Mil-lat ta’ ħela ta’ ħin, m’hemm xejn ħażin jekk impjegat, pereżempju, ikollu Skype jaħdem u jqatta’ 5 minuti jikkomunika ma’ xi ħadd maħbub jekk ikun meħtieġ.

Dan ifisser li l-Internet għandu jkun dejjem disponibbli, dan ifisser li l-impjegati jista’ jkollhom aċċess għar-riżorsi kollha u ma jikkontrollawhom bl-ebda mod?

Le ma jfissirx li, ovvjament. Il-livell ta' ftuħ tal-Internet jista' jvarja għal kumpaniji differenti - minn għeluq sħiħ għal ftuħ sħiħ. Se niddiskutu modi kif tikkontrolla t-traffiku aktar tard fit-taqsimiet dwar il-miżuri tas-sigurtà.

Kapaċità li tuża l-firxa sħiħa ta 'apparat familjari

Huwa konvenjenti meta, pereżempju, ikollok l-opportunità li tkompli tuża l-mezzi kollha ta’ komunikazzjoni li tkun imdorri bihom fuq ix-xogħol. M'hemm l-ebda diffikultà fl-implimentazzjoni teknika ta' dan. Għal dan għandek bżonn WiFi u wilan mistieden.

Tajjeb ukoll jekk għandek l-opportunità li tuża s-sistema operattiva li mdorri biha. Iżda, fl-osservazzjoni tiegħi, dan huwa normalment permess biss lill-maniġers, amministraturi u żviluppaturi.

Eżempju

Tista', ovvjament, issegwi t-triq tal-projbizzjonijiet, tipprojbixxi aċċess mill-bogħod, tipprojbixxi l-konnessjoni minn apparat mobbli, tillimita kollox għal konnessjonijiet Ethernet statiċi, tillimita l-aċċess għall-Internet, tikkonfiska b'mod obbligatorju mowbajls u aġġeġġi fil-punt ta 'kontroll... u din it-triq huwa fil-fatt segwit minn xi organizzazzjonijiet b'rekwiżiti ta 'sigurtà miżjuda, u forsi f'xi każijiet dan jista' jkun iġġustifikat, iżda... trid taqbel li dan jidher qisu tentattiv biex jitwaqqaf il-progress f'organizzazzjoni waħda. Naturalment, nixtieq ngħaqqad l-opportunitajiet li jipprovdu t-teknoloġiji moderni b'livell suffiċjenti ta 'sigurtà.

"Tħaddim veloċi" tan-netwerk

Il-veloċità tat-trasferiment tad-dejta teknikament tikkonsisti f'ħafna fatturi. U l-veloċità tal-port tal-konnessjoni tiegħek normalment mhix l-aktar waħda importanti. It-tħaddim bil-mod ta 'applikazzjoni mhux dejjem huwa assoċjat ma' problemi tan-netwerk, iżda għalissa aħna interessati biss fil-parti tan-netwerk. L-aktar problema komuni bit-“tnaqqis” tan-netwerk lokali hija relatata mat-telf tal-pakketti. Dan normalment iseħħ meta jkun hemm konġestjoni jew problemi L1 (OSI). Iktar rari, b'xi disinji (pereżempju, meta s-subnets tiegħek ikollhom firewall bħala l-gateway default u għalhekk it-traffiku kollu jgħaddi minnu), il-prestazzjoni tal-hardware tista 'tkun nieqsa.

Għalhekk, meta tagħżel it-tagħmir u l-arkitettura, għandek bżonn tikkorrelata l-veloċitajiet tal-portijiet tat-tarf, bagolli u prestazzjoni tat-tagħmir.

Eżempju

Ejja nassumu li qed tuża swiċċijiet b'portijiet ta' gigabit 1 bħala swiċċijiet tas-saff ta' aċċess. Huma konnessi ma 'xulxin permezz ta' Etherchannel 2 x 10 gigabits. Bħala gateway default, tuża firewall b'portijiet gigabit, biex tikkonnettja liema man-netwerk tal-uffiċċju L2 tuża 2 portijiet gigabit flimkien f'Etherchannel.

Din l-arkitettura hija pjuttost konvenjenti mil-lat tal-funzjonalità, għaliex... It-traffiku kollu jgħaddi mill-firewall, u tista 'tmexxi bil-kumdità politiki ta' aċċess, u tapplika algoritmi kumplessi biex tikkontrolla t-traffiku u tipprevjeni attakki possibbli (ara hawn taħt), iżda mil-lat ta' throughput u prestazzjoni dan id-disinn, ovvjament, għandu problemi potenzjali. Allura, pereżempju, 2 hosts li jniżżlu d-dejta (b'veloċità tal-port ta '1 gigabit) jistgħu jgħabbu kompletament konnessjoni ta' 2 gigabit mal-firewall, u b'hekk iwasslu għal degradazzjoni tas-servizz għas-segment kollu tal-uffiċċju.

Ħarsa lejn vertiċi wieħed tat-trijangolu, issa ejja nħarsu lejn kif nistgħu niżguraw is-sigurtà.

Mezzi ta 'protezzjoni

Allura, ovvjament, normalment ix-xewqa tagħna (jew aħjar, ix-xewqa tal-ġestjoni tagħna) hija li niksbu l-impossibbli, jiġifieri, li nipprovdu konvenjenza massima b'sigurtà massima u spiża minima.

Ejja nħarsu lejn liema metodi għandna biex nipprovdu protezzjoni.

Għall-uffiċċju nixtieq nenfasizza dan li ġej:

  • approċċ ta' fiduċja żero għad-disinn
  • livell għoli ta’ protezzjoni
  • viżibilità tan-netwerk
  • sistema ta' awtentikazzjoni u awtorizzazzjoni ċentralizzata unifikata
  • verifika tal-ospitanti

Sussegwentement, se noqogħdu fi ftit aktar dettall fuq kull wieħed minn dawn l-aspetti.

Fiduċja żero

Id-dinja tal-IT qed tinbidel malajr ħafna. Ftit matul l-aħħar 10 snin, l-emerġenza ta 'teknoloġiji u prodotti ġodda wasslet għal reviżjoni kbira tal-kunċetti tas-sigurtà. Għaxar snin ilu, mil-lat tas-sigurtà, issegmentajna n-netwerk f'żoni ta' fiduċja, dmz u untrust, u użajna l-hekk imsejħa "protezzjoni tal-perimetru", fejn kien hemm 2 linji ta' difiża: untrust -> dmz u dmz -> fiduċja. Ukoll, il-protezzjoni ġeneralment kienet limitata għal listi ta 'aċċess ibbażati fuq headers L3/L4 (OSI) (IP, portijiet TCP/UDP, bnadar TCP). Dak kollu relatat ma 'livelli ogħla, inkluż L7, tħalla f'idejn l-OS u l-prodotti tas-sigurtà installati fuq l-ospiti finali.

Issa s-sitwazzjoni nbidlet b'mod drammatiku. Kunċett modern fiduċja żero ġej mill-fatt li m'għadux possibbli li jitqiesu s-sistemi interni, jiġifieri dawk li jinsabu ġewwa l-perimetru, bħala fdati, u l-kunċett tal-perimetru innifsu sar imċajpar.
Minbarra konnessjoni tal-internet għandna wkoll

  • utenti VPN aċċess remot
  • diversi aġġeġġi personali, miġjuba laptops, konnessi permezz tal-WiFi tal-uffiċċju
  • uffiċċji (fergħat) oħra
  • integrazzjoni mal-infrastruttura tal-cloud

Kif jidher l-approċċ Zero Trust fil-prattika?

Idealment, għandu jkun permess biss it-traffiku li huwa meħtieġ u, jekk qed nitkellmu dwar ideali, allura l-kontroll għandu jkun mhux biss fil-livell L3/L4, iżda fil-livell tal-applikazzjoni.

Jekk, pereżempju, għandek il-kapaċità li tgħaddi t-traffiku kollu minn firewall, allura tista 'tipprova tersaq eqreb lejn l-ideali. Iżda dan l-approċċ jista 'jnaqqas b'mod sinifikanti l-bandwidth totali tan-netwerk tiegħek, u barra minn hekk, l-iffiltrar bl-applikazzjoni mhux dejjem jaħdem tajjeb.

Meta tikkontrolla t-traffiku fuq router jew swiċċ L3 (bl-użu ta' ACLs standard), tiltaqa' ma' problemi oħra:

  • Dan huwa filtrazzjoni L3/L4 biss. M'hemm xejn li jwaqqaf lil attakkant milli juża portijiet permessi (eż. TCP 80) għall-applikazzjoni tiegħu (mhux http)
  • ġestjoni kumplessa tal-ACL (diffiċli biex jiġu analizzati l-ACLs)
  • Dan mhuwiex firewall statefull, li jfisser li għandek bżonn tippermetti espliċitament it-traffiku invers
  • bi swiċċijiet int normalment pjuttost limitat sew mid-daqs tat-TCAM, li malajr tista 'ssir problema jekk tieħu l-approċċ "Ħalli dak li għandek bżonn biss"

Nota:

Meta nitkellmu dwar it-traffiku invers, irridu niftakru li għandna l-opportunità li ġejja (Cisco)

permess tcp kwalunkwe kwalunkwe stabbilit

Imma trid tifhem li din il-linja hija ekwivalenti għal żewġ linji:
permess tcp kwalunkwe kwalunkwe ack
permess tcp kwalunkwe kwalunkwe rst

Li jfisser li anki jekk ma kien hemm l-ebda segment TCP inizjali bil-bandiera SYN (jiġifieri, is-sessjoni TCP lanqas biss bdiet tistabbilixxi), dan l-ACL se jippermetti pakkett bil-bandiera ACK, li attakkant jista 'juża biex jittrasferixxi d-data.

Jiġifieri, din il-linja bl-ebda mod ma ddawwar ir-router jew is-swiċċ L3 tiegħek f'firewall statefull.

Livell għoli ta 'protezzjoni

В artikolu Fit-taqsima dwar iċ-ċentri tad-dejta, ikkunsidrajna l-metodi ta 'protezzjoni li ġejjin.

  • firewalling stateful (default)
  • ddos/dos protezzjoni
  • applikazzjoni firewalling
  • prevenzjoni tat-theddid (antivirus, anti-spyware, u vulnerabbiltà)
  • Iffiltrar tal-URL
  • filtrazzjoni tad-dejta (filtrazzjoni tal-kontenut)
  • imblukkar ta' fajls (imblukkar ta' tipi ta' fajls)

Fil-każ ta 'uffiċċju, is-sitwazzjoni hija simili, iżda l-prijoritajiet huma kemmxejn differenti. Id-disponibbiltà tal-uffiċċju (disponibbiltà) normalment mhix daqshekk kritika bħal fil-każ ta 'ċentru tad-dejta, filwaqt li l-probabbiltà ta' traffiku malizzjuż "intern" hija ordnijiet ta 'kobor ogħla.
Għalhekk, il-metodi ta 'protezzjoni li ġejjin għal dan is-segment isiru kritiċi:

  • applikazzjoni firewalling
  • prevenzjoni tat-theddid (anti-virus, anti-spyware, u vulnerabbiltà)
  • Iffiltrar tal-URL
  • filtrazzjoni tad-dejta (filtrazzjoni tal-kontenut)
  • imblukkar ta' fajls (imblukkar ta' tipi ta' fajls)

Għalkemm dawn il-metodi ta 'protezzjoni kollha, bl-eċċezzjoni tal-firewalling tal-applikazzjoni, tradizzjonalment ġew u għadhom jiġu solvuti fuq l-ospiti finali (pereżempju, billi jiġu installati programmi antivirus) u bl-użu ta' prokuri, l-NGFWs moderni jipprovdu wkoll dawn is-servizzi.

Il-bejjiegħa tat-tagħmir tas-sigurtà jistinkaw biex joħolqu protezzjoni komprensiva, għalhekk flimkien mal-protezzjoni lokali, joffru diversi teknoloġiji tas-sħab u softwer tal-klijenti għall-ospiti (protezzjoni tal-punt finali/EPP). Allura, per eżempju, minn 2018 Gartner Magic Quadrant Naraw li Palo Alto u Cisco għandhom l-EPPs tagħhom stess (PA: Traps, Cisco: AMP), iżda huma 'l bogħod mill-mexxejja.

L-attivazzjoni ta' dawn il-protezzjonijiet (ġeneralment billi tixtri liċenzji) fuq il-firewall tiegħek ovvjament mhix obbligatorja (tista' tmur ir-rotta tradizzjonali), iżda tipprovdi xi benefiċċji:

  • f'dan il-każ, hemm punt wieħed ta 'applikazzjoni ta' metodi ta 'protezzjoni, li jtejjeb il-viżibilità (ara s-suġġett li jmiss).
  • Jekk hemm apparat mhux protett fuq in-netwerk tiegħek, allura xorta jaqa 'taħt l-"umbrella" tal-protezzjoni tal-firewall
  • Bl-użu tal-protezzjoni tal-firewall flimkien mal-protezzjoni tal-aħħar ospitanti, inżidu l-probabbiltà li niskopru traffiku malizzjuż. Pereżempju, l-użu tal-prevenzjoni tat-theddid fuq hosts lokali u fuq firewall iżid il-probabbiltà ta’ skoperta (sakemm, ovvjament, dawn is-soluzzjonijiet huma bbażati fuq prodotti ta’ softwer differenti)

Nota:

Jekk, pereżempju, tuża Kaspersky bħala antivirus kemm fuq il-firewall kif ukoll fuq l-aħħar hosts, allura dan, ovvjament, mhux se jżid ħafna ċ-ċansijiet tiegħek li jipprevjeni attakk tal-virus fuq in-netwerk tiegħek.

Viżibilità tan-netwerk

L-idea prinċipali hija sempliċi - "ara" x'qed jiġri fuq in-netwerk tiegħek, kemm f'ħin reali kif ukoll fid-dejta storika.

Nixtieq naqsam din il-"viżjoni" f'żewġ gruppi:

Grupp wieħed: dak is-sistema ta' monitoraġġ tiegħek normalment tipprovdilek.

  • tagħbija tat-tagħmir
  • kanali tat-tagħbija
  • użu tal-memorja
  • użu tad-disk
  • tibdel it-tabella tar-rotta
  • l-istatus tal-link
  • disponibbiltà ta' tagħmir (jew hosts)
  • ...

Grupp tnejn: informazzjoni relatata mas-sikurezza.

  • diversi tipi ta’ statistika (pereżempju, skont l-applikazzjoni, bit-traffiku tal-URL, liema tipi ta’ dejta tniżżlet, dejta tal-utent)
  • x'kien imblukkat mill-politiki tas-sigurtà u għal liema raġuni, jiġifieri
    • applikazzjoni pprojbita
    • projbit ibbażat fuq ip/protokoll/port/bnadar/żoni
    • prevenzjoni tat-theddid
    • filtrazzjoni url
    • filtrazzjoni tad-data
    • imblukkar tal-fajls
    • ...
  • statistika dwar attakki DOS/DDOS
  • tentattivi falluti ta' identifikazzjoni u awtorizzazzjoni
  • statistika għall-avvenimenti kollha ta' ksur tal-politika tas-sigurtà ta' hawn fuq
  • ...

F'dan il-kapitolu dwar is-sigurtà, aħna interessati fit-tieni parti.

Xi firewalls moderni (mill-esperjenza tiegħi ta' Palo Alto) jipprovdu livell tajjeb ta' viżibilità. Iżda, ovvjament, it-traffiku li inti interessat fih irid jgħaddi minn dan il-firewall (f'liema każ għandek il-ħila li timblokka t-traffiku) jew rifless mal-firewall (użat biss għall-monitoraġġ u l-analiżi), u jrid ikollok liċenzji biex tippermetti kollha. dawn is-servizzi.

Hemm, ovvjament, mod alternattiv, jew aħjar il-mod tradizzjonali, pereżempju,

  • L-istatistika tas-sessjoni tista' tinġabar permezz ta' netflow u mbagħad tintuża utilitajiet speċjali għall-analiżi tal-informazzjoni u l-viżwalizzazzjoni tad-dejta
  • prevenzjoni tat-theddid – programmi speċjali (anti-virus, anti-spyware, firewall) fuq hosts finali
  • Iffiltrar tal-URL, filtrazzjoni tad-dejta, imblukkar tal-fajls - fuq prokura
  • huwa wkoll possibbli li tiġi analizzata tcpdump billi tuża eż. toħroġ

Tista 'tgħaqqad dawn iż-żewġ approċċi, tikkumplimenta l-karatteristiċi neqsin jew tidduplikahom biex iżżid il-probabbiltà li tiskopri attakk.

Liema approċċ għandek tagħżel?
Jiddependi ħafna fuq il-kwalifiki u l-preferenzi tat-tim tiegħek.
Kemm hemm kif ukoll hemm vantaġġi u liżvantaġġi.

Sistema ta' awtentikazzjoni u awtorizzazzjoni ċentralizzata unifikata

Meta tkun iddisinjata tajjeb, il-mobilità li ddiskutejna f'dan l-artikolu tassumi li għandek l-istess aċċess kemm jekk tkun qed taħdem mill-uffiċċju jew mid-dar, mill-ajruport, minn ħanut tal-kafè, jew imkien ieħor (bil-limitazzjonijiet li ddiskutejna hawn fuq). Jidher, x'inhi l-problema?
Biex tifhem aħjar il-kumplessità ta 'dan il-kompitu, ejja nħarsu lejn disinn tipiku.

Eżempju

  • Inti qsamt l-impjegati kollha fi gruppi. Iddeċidejt li tipprovdi aċċess minn gruppi
  • Ġewwa l-uffiċċju, tikkontrolla l-aċċess fuq il-firewall tal-uffiċċju
  • Int tikkontrolla t-traffiku mill-uffiċċju għaċ-ċentru tad-dejta fuq il-firewall taċ-ċentru tad-dejta
  • Int tuża Cisco ASA bħala gateway VPN, u biex tikkontrolla t-traffiku li jidħol fin-netwerk tiegħek minn klijenti remoti, tuża ACLs lokali (fuq l-ASA).

Issa, ejja ngħidu li inti mitlub iżżid aċċess addizzjonali għal ċertu impjegat. F'dan il-każ, inti mitlub li żżid aċċess għalih biss u ħadd ieħor mill-grupp tiegħu.

Għal dan irridu noħolqu grupp separat għal dan l-impjegat, jiġifieri

  • toħloq ġabra ta' PI separata fuq l-ASA għal dan l-impjegat
  • żid ACL ġdid fuq l-ASA u jorbotha ma' dak il-klijent remot
  • toħloq politiki ta’ sigurtà ġodda fuq firewalls tal-uffiċċju u taċ-ċentru tad-dejta

Tajjeb jekk dan l-avveniment ikun rari. Iżda fil-prattika tiegħi kien hemm sitwazzjoni meta l-impjegati pparteċipaw fi proġetti differenti, u dan is-sett ta 'proġetti għal xi wħud minnhom inbidel ta' spiss, u ma kienx 1-2 nies, iżda għexieren. Ovvjament, hemm bżonn tinbidel xi ħaġa hawn.

Dan ġie solvut bil-mod li ġej.

Iddeċidejna li LDAP ikun l-uniku sors ta 'verità li jiddetermina l-aċċessi kollha possibbli tal-impjegati. Ħloqna kull tip ta 'gruppi li jiddefinixxu settijiet ta' aċċessi, u aħna assenjati kull utent għal grupp wieħed jew aktar.

Allura, per eżempju, ejja ngħidu li kien hemm gruppi

  • mistieden (aċċess għall-Internet)
  • aċċess komuni (aċċess għal riżorsi kondiviżi: posta, bażi ta’ għarfien, ...)
  • kontabilità
  • proġett tal-1
  • proġett tal-2
  • amministratur tad-database
  • amministratur tal-Linux
  • ...

U jekk wieħed mill-impjegati kien involut kemm fil-proġett 1 kif ukoll fil-proġett 2, u kellu bżonn l-aċċess meħtieġ biex jaħdem f'dawn il-proġetti, allura dan l-impjegat ġie assenjat lill-gruppi li ġejjin:

  • mistieden
  • aċċess komuni
  • proġett tal-1
  • proġett tal-2

Kif nistgħu issa nbiddlu din l-informazzjoni f'aċċess fuq tagħmir tan-netwerk?

Politika ta' Aċċess Dinamika ta' Cisco ASA (DAP) (ara www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) is-soluzzjoni hija tajba għal dan il-kompitu.

Fil-qosor dwar l-implimentazzjoni tagħna, matul il-proċess ta’ identifikazzjoni/awtorizzazzjoni, ASA tirċievi minn LDAP sett ta’ gruppi li jikkorrispondu għal utent partikolari u “tiġbor” minn diversi ACLs lokali (li kull wieħed minnhom jikkorrispondi għal grupp) ACL dinamiku bl-aċċessi kollha meħtieġa , li tikkorrispondi bis-sħiħ max-xewqat tagħna.

Iżda dan huwa biss għal konnessjonijiet VPN. Biex is-sitwazzjoni ssir l-istess kemm għall-impjegati konnessi permezz ta 'VPN kif ukoll għal dawk fl-uffiċċju, ittieħdet il-pass li ġej.

Meta kkonnettjaw mill-uffiċċju, l-utenti li jużaw il-protokoll 802.1x spiċċaw jew f'LAN mistiedna (għall-mistednin) jew f'LAN kondiviża (għall-impjegati tal-kumpanija). Barra minn hekk, biex jiksbu aċċess speċifiku (per eżempju, għal proġetti f'ċentru tad-dejta), l-impjegati kellhom jgħaqqdu permezz ta 'VPN.

Biex tgħaqqad mill-uffiċċju u mid-dar, intużaw gruppi ta 'mini differenti fuq l-ASA. Dan huwa meħtieġ sabiex għal dawk li jgħaqqdu mill-uffiċċju, it-traffiku għal riżorsi kondiviżi (użati mill-impjegati kollha, bħal posta, servers tal-fajls, sistema tal-biljetti, dns, ...) ma jgħaddix mill-ASA, iżda min-netwerk lokali . B’hekk, ma għabniex l-ASA bi traffiku bla bżonn, inkluż traffiku ta’ intensità għolja.

Għalhekk, il-problema ġiet solvuta.
Sirna

  • l-istess sett ta 'aċċessi kemm għall-konnessjonijiet mill-uffiċċju u konnessjonijiet remoti
  • assenza ta’ degradazzjoni tas-servizz meta taħdem mill-uffiċċju assoċjat mat-trażmissjoni ta’ traffiku ta’ intensità għolja permezz tal-ASA

Liema vantaġġi oħra ta 'dan l-approċċ?
Fl-amministrazzjoni tal-aċċess. L-aċċessi jistgħu jinbidlu faċilment f'post wieħed.
Pereżempju, jekk impjegat jitlaq mill-kumpanija, allura sempliċement tneħħih minn LDAP, u awtomatikament jitlef l-aċċess kollu.

Iċċekkjar ospitanti

Bil-possibbiltà ta 'konnessjoni remota, aħna nirriskjaw li nħallu mhux biss impjegat tal-kumpanija jidħol fin-netwerk, iżda wkoll is-softwer malizzjuż kollu li x'aktarx huwa preżenti fuq il-kompjuter tiegħu (per eżempju, id-dar), u barra minn hekk, permezz ta' dan is-software aħna jista' jkun qed jipprovdi aċċess għan-netwerk tagħna lil attakkant li juża dan il-host bħala prokura.

Jagħmel sens li host konness mill-bogħod japplika l-istess rekwiżiti ta' sigurtà bħal host fl-uffiċċju.

Dan jassumi wkoll il-verżjoni "korretta" tal-OS, anti-virus, anti-spyware, u firewall software u aġġornamenti. Tipikament, din il-kapaċità teżisti fuq il-gateway VPN (għall-ASA ara, pereżempju, hawn).

Huwa għaqli wkoll li tapplika l-istess analiżi tat-traffiku u tekniki ta’ imblukkar (ara “Livell għoli ta’ protezzjoni”) li l-politika tas-sigurtà tiegħek tapplika għat-traffiku tal-uffiċċju.

Huwa raġonevoli li wieħed jassumi li n-netwerk tal-uffiċċju tiegħek m'għadux limitat għall-bini tal-uffiċini u l-ospiti fi ħdanu.

Eżempju

Teknika tajba hija li tipprovdi lil kull impjegat li jeħtieġ aċċess mill-bogħod b'laptop tajjeb u konvenjenti u jeħtieġ li jaħdem, kemm fl-uffiċċju kif ukoll mid-dar, minnu biss.

Mhux biss itejjeb is-sigurtà tan-netwerk tiegħek, iżda huwa wkoll tassew konvenjenti u ġeneralment jitqies b'mod favorevoli mill-impjegati (jekk huwa laptop verament tajjeb u faċli għall-utent).

Dwar sens ta 'proporzjon u bilanċ

Bażikament, din hija konverżazzjoni dwar it-tielet vertiċi tat-trijangolu tagħna - dwar il-prezz.
Ejja nħarsu lejn eżempju ipotetiku.

Eżempju

Għandek uffiċċju għal 200 ruħ. Iddeċidejt li tagħmilha konvenjenti u sigura kemm jista' jkun.

Għalhekk, iddeċidejt li tgħaddi t-traffiku kollu mill-firewall u għalhekk għas-subnets kollha tal-uffiċċju l-firewall huwa l-portal default. Minbarra s-softwer tas-sigurtà installat fuq kull host aħħari (anti-virus, anti-spyware, u softwer tal-firewall), iddeċidejt ukoll li tapplika l-metodi ta 'protezzjoni kollha possibbli fuq il-firewall.

Biex tiżgura veloċità għolja ta' konnessjoni (kollha għall-konvenjenza), għażilt swiċċijiet b'10 ports ta' aċċess Gigabit bħala swiċċijiet ta' aċċess, u firewalls NGFW ta' prestazzjoni għolja bħala firewalls, pereżempju, serje Palo Alto 7K (b'40 port Gigabit), naturalment bil-liċenzji kollha inklużi u, naturalment, par ta’ Disponibbiltà Għolja.

Ukoll, ovvjament, biex naħdmu ma 'din il-linja ta' tagħmir għandna bżonn mill-inqas koppja ta 'inġiniera tas-sigurtà kwalifikati ħafna.

Sussegwentement, iddeċidejt li tagħti lil kull impjegat laptop tajjeb.

Total, madwar 10 miljun dollaru għall-implimentazzjoni, mijiet ta 'eluf ta' dollari (naħseb eqreb miljun) għal appoġġ annwali u salarji għall-inġiniera.

Uffiċċju, 200 ruħ...
Komdu? I raden huwa iva.

Tiġi b'din il-proposta lill-maniġment tiegħek...
Forsi hemm numru ta 'kumpaniji fid-dinja li għalihom din hija soluzzjoni aċċettabbli u korretta. Jekk inti impjegat ta 'din il-kumpanija, prosit tiegħi, iżda fil-maġġoranza l-kbira tal-każijiet, jien ċert li l-għarfien tiegħek mhux se jkun apprezzat mill-maniġment.

Dan l-eżempju huwa esaġerat? Il-kapitolu li jmiss se jwieġeb din il-mistoqsija.

Jekk fuq in-netwerk tiegħek ma tara xejn minn hawn fuq, allura din hija n-norma.
Għal kull każ speċifiku, trid issib il-kompromess raġonevoli tiegħek stess bejn il-konvenjenza, il-prezz u s-sigurtà. Ħafna drabi lanqas ma jkollok bżonn NGFW fl-uffiċċju tiegħek, u l-protezzjoni L7 fuq il-firewall mhix meħtieġa. Huwa biżżejjed li tipprovdi livell tajjeb ta 'viżibilità u twissijiet, u dan jista' jsir bl-użu ta 'prodotti ta' sors miftuħ, pereżempju. Iva, ir-reazzjoni tiegħek għal attakk mhux se tkun immedjata, iżda l-ħaġa prinċipali hija li taraha, u bil-proċessi t-tajbin fis-seħħ fid-dipartiment tiegħek, tkun tista 'tinnewtralizzaha malajr.

U ħalluni nfakkarkom li, skont il-kunċett ta 'din is-serje ta' artikli, m'intix qed tfassal netwerk, qed tipprova biss ittejjeb dak li ksibt.

Analiżi SAFE tal-arkitettura tal-uffiċċju

Oqgħod attent għal dan il-kwadru aħmar li miegħu allokajt post fuq id-dijagramma minn Gwida għall-Arkitettura tal-Kampus Sikura SAFEli nixtieq niddiskuti hawn.

Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. It-tielet parti

Dan huwa wieħed mill-postijiet ewlenin tal-arkitettura u waħda mill-aktar inċertezzi importanti.

Nota:

Qatt ma waqqaft jew ħdimt ma 'FirePower (mill-linja tal-firewall ta' Cisco - ASA biss), għalhekk ser nittrattaha bħal kull firewall ieħor, bħal Juniper SRX jew Palo Alto, jekk wieħed jassumi li għandu l-istess kapaċitajiet.

Mid-disinji tas-soltu, nara biss 4 għażliet possibbli għall-użu ta 'firewall b'din il-konnessjoni:

  • il-portal default għal kull subnet huwa swiċċ, filwaqt li l-firewall huwa f'modalità trasparenti (jiġifieri, it-traffiku kollu jgħaddi minnu, iżda ma jifformax hop L3)
  • il-portal default għal kull subnet huwa s-sub-interfaces tal-firewall (jew interfaces SVI), is-swiċċ għandu r-rwol ta 'L2
  • VRFs differenti jintużaw fuq is-swiċċ, u t-traffiku bejn il-VRFs jgħaddi mill-firewall, it-traffiku fi ħdan VRF wieħed huwa kkontrollat ​​mill-ACL fuq is-swiċċ
  • it-traffiku kollu huwa rifless fil-firewall għall-analiżi u l-monitoraġġ tat-traffiku ma jgħaddix minnu

Rimarka 1

Kombinazzjonijiet ta 'dawn l-għażliet huma possibbli, iżda għas-sempliċità mhux se nqisuhom.

Nota2

Hemm ukoll il-possibbiltà li tuża PBR (arkitettura tal-katina tas-servizz), iżda għalissa din, għalkemm soluzzjoni sabiħa fl-opinjoni tiegħi, hija pjuttost eżotika, għalhekk mhux qed nikkunsidraha hawn.

Mid-deskrizzjoni tal-flussi fid-dokument, naraw li t-traffiku għadu jgħaddi mill-firewall, jiġifieri, skont id-disinn Cisco, ir-raba 'għażla hija eliminata.

Ejja nħarsu lejn l-ewwel żewġ għażliet l-ewwel.
B'dawn l-għażliet, it-traffiku kollu jgħaddi mill-firewall.

Issa ejja nħarsu folja tad-dejta, ara Cisco GPL u naraw li jekk irridu li l-bandwidth totali għall-uffiċċju tagħna jkun mill-inqas madwar 10 - 20 gigabit, allura rridu nixtru l-verżjoni 4K.

Nota:

Meta nitkellem dwar il-bandwidth totali, infisser traffiku bejn subnets (u mhux fi ħdan vilana waħda).

Mill-GPL naraw li għall-HA Bundle ma Threat Defense, il-prezz jiddependi fuq il-mudell (4110 - 4150) ivarja minn ~ 0,5 - 2,5 miljun dollaru.

Jiġifieri, id-disinn tagħna jibda jixbah l-eżempju preċedenti.

Dan ifisser li dan id-disinn huwa ħażin?
Le, dan ma jfissirx dan. Cisco jagħtik l-aħjar protezzjoni possibbli bbażata fuq il-linja tal-prodotti li għandha. Iżda dan ma jfissirx li hija trid tagħmel għalik.

Fil-prinċipju, din hija mistoqsija komuni li tqum meta jiġi ddisinjat uffiċċju jew ċentru tad-dejta, u dan ifisser biss li jeħtieġ li jiġi mfittex kompromess.

Pereżempju, tħallix it-traffiku kollu jgħaddi minn firewall, f'liema każ l-għażla 3 tidher pjuttost tajba għalija, jew (ara t-taqsima preċedenti) forsi m'għandekx bżonn Threat Defense jew m'għandek bżonn firewall xejn fuq dak segment tan-netwerk, u għandek bżonn biss tillimita lilek innifsek għal monitoraġġ passiv billi tuża soluzzjonijiet imħallsa (mhux għaljin) jew open source, jew għandek bżonn firewall, iżda minn bejjiegħ differenti.

Normalment dejjem ikun hemm din l-inċertezza u m'hemm l-ebda tweġiba ċara dwar liema deċiżjoni hija l-aħjar għalik.
Din hija l-kumplessità u s-sbuħija ta 'dan il-kompitu.

Sors: www.habr.com

Żid kumment