ProHoster > blog > administratie > Hoe u de controle over uw netwerkinfrastructuur kunt overnemen. Hoofdstuk drie. Netwerk veiligheid. Deel drie

Hoe u de controle over uw netwerkinfrastructuur kunt overnemen. Hoofdstuk drie. Netwerk veiligheid. Deel drie

Dit artikel is het vijfde in de serie ‘Hoe u de controle over uw netwerkinfrastructuur overneemt’. De inhoud van alle artikelen in de serie en links zijn te vinden hier.

Dit deel zal gewijd zijn aan de segmenten Campus (Kantoor) en Externe toegang VPN.

Hoe u de controle over uw netwerkinfrastructuur kunt overnemen. Hoofdstuk drie. Netwerk veiligheid. Deel drie

Het ontwerpen van een kantoornetwerk lijkt misschien eenvoudig.

We nemen inderdaad L2/L3-schakelaars en verbinden deze met elkaar. Vervolgens voeren we de basisinstallatie uit van vilans en standaardgateways, stellen eenvoudige routing in, verbinden WiFi-controllers, toegangspunten, installeren en configureren ASA voor externe toegang, we zijn blij dat alles werkte. Kortom, zoals ik al in een van de vorige schreef artikels In deze cyclus kan bijna elke student die twee semesters van een telecomcursus heeft gevolgd (en geleerd) een kantoornetwerk zo ontwerpen en configureren dat het ‘op de een of andere manier werkt’.

Maar hoe meer je leert, hoe minder eenvoudig deze taak begint te lijken. Voor mij persoonlijk lijkt dit onderwerp, het onderwerp kantoornetwerkontwerp, helemaal niet eenvoudig, en in dit artikel zal ik proberen uit te leggen waarom.

Kortom, er zijn nogal wat factoren waarmee u rekening moet houden. Vaak zijn deze factoren met elkaar in conflict en moet er naar een redelijk compromis worden gezocht.
Deze onzekerheid is het grootste probleem. Als we het dus over veiligheid hebben, hebben we een driehoek met drie hoekpunten: veiligheid, gemak voor werknemers, prijs van de oplossing.
En elke keer moet je zoeken naar een compromis tussen deze drie.

Architectuur

Als voorbeeld van een architectuur voor deze twee segmenten, zoals in eerdere artikelen, raad ik aan Cisco VEILIG model: Enterprise-campus, Enterprise Internet Edge.

Het zijn enigszins verouderde documenten. Ik presenteer ze hier omdat de fundamentele schema's en aanpak niet zijn veranderd, maar tegelijkertijd vind ik de presentatie leuker dan in nieuwe documentatie.

Zonder je aan te moedigen Cisco-oplossingen te gebruiken, denk ik toch dat het nuttig is om dit ontwerp zorgvuldig te bestuderen.

Dit artikel pretendeert zoals gebruikelijk geenszins volledig te zijn, maar is eerder een aanvulling op deze informatie.

Aan het einde van het artikel zullen we het Cisco SAFE-kantoorontwerp analyseren in termen van de hier geschetste concepten.

Algemene principes

De inrichting van het kantorennetwerk moet uiteraard voldoen aan de algemene eisen die zijn besproken hier in het hoofdstuk “Criteria voor het beoordelen van ontwerpkwaliteit”. Naast prijs en veiligheid, die we in dit artikel willen bespreken, zijn er nog drie criteria waarmee we rekening moeten houden bij het ontwerpen (of aanbrengen van wijzigingen):

  • schaalbaarheid
  • gebruiksgemak (beheersbaarheid)
  • beschikbaarheid

Veel van wat er besproken werd datacentra Dit geldt ook voor het kantoor.

Maar toch heeft het kantorensegment zijn eigen specifieke kenmerken, die vanuit veiligheidsoogpunt cruciaal zijn. De essentie van deze specificiteit is dat dit segment is gecreëerd om netwerkdiensten te leveren aan werknemers (maar ook partners en gasten) van het bedrijf, en als gevolg daarvan hebben we op het hoogste niveau van aandacht voor het probleem twee taken:

  • bedrijfsbronnen te beschermen tegen kwaadwillige acties die afkomstig kunnen zijn van werknemers (gasten, partners) en van de software die zij gebruiken. Dit omvat ook bescherming tegen ongeautoriseerde verbinding met het netwerk.
  • systemen en gebruikersgegevens beschermen

En dit is slechts één kant van het probleem (of beter gezegd: één hoekpunt van de driehoek). Aan de andere kant staat het gebruiksgemak en de prijs van de gebruikte oplossingen.

Laten we beginnen met te kijken naar wat een gebruiker verwacht van een modern kantoornetwerk.

gemak

Zo zien “netwerkvoorzieningen” er naar mijn mening uit voor een kantoorgebruiker:

  • mobiliteit
  • Mogelijkheid om het volledige scala aan bekende apparaten en besturingssystemen te gebruiken
  • Gemakkelijke toegang tot alle benodigde bedrijfsmiddelen
  • Beschikbaarheid van internetbronnen, waaronder verschillende clouddiensten
  • "Snelle werking" van het netwerk

Dit alles geldt voor zowel werknemers als gasten (of partners), en het is de taak van de technici van het bedrijf om de toegang voor verschillende gebruikersgroepen te differentiëren op basis van autorisatie.

Laten we elk van deze aspecten wat gedetailleerder bekijken.

mobiliteit

We hebben het over de mogelijkheid om overal ter wereld te werken en alle benodigde bedrijfsmiddelen te gebruiken (uiteraard waar internet beschikbaar is).

Dit geldt volledig voor het kantoor. Dit is handig wanneer u de mogelijkheid heeft om overal op kantoor te blijven werken, bijvoorbeeld om post te ontvangen, te communiceren in een bedrijfsmessenger, beschikbaar te zijn voor een videogesprek, ... Zo kunt u enerzijds om sommige problemen op te lossen met “live” communicatie (bijvoorbeeld deelnemen aan rally’s), en aan de andere kant, wees altijd online, houd de vinger aan de pols en los snel enkele dringende taken met hoge prioriteit op. Dit is erg handig en verbetert de kwaliteit van de communicatie aanzienlijk.

Dit wordt bereikt door een goed WiFi-netwerkontwerp.

opmerking

Hier rijst meestal de vraag: is het voldoende om alleen WiFi te gebruiken? Betekent dit dat u kunt stoppen met het gebruik van Ethernet-poorten op kantoor? Als we het alleen over gebruikers hebben, en niet over servers, die nog redelijk te verbinden zijn met een reguliere Ethernet-poort, dan is het antwoord in het algemeen: ja, je kunt je beperken tot alleen WiFi. Maar er zijn nuances.

Er zijn belangrijke gebruikersgroepen die een aparte aanpak vergen. Dit zijn uiteraard beheerders. In principe is een WiFi-verbinding minder betrouwbaar (qua verkeersverlies) en langzamer dan een reguliere Ethernet-poort. Voor beheerders kan dit van grote betekenis zijn. Daarnaast kunnen netwerkbeheerders bijvoorbeeld in principe beschikken over een eigen dedicated Ethernet-netwerk voor out-of-band verbindingen.

Mogelijk zijn er binnen uw bedrijf ook andere groepen/afdelingen waarvoor deze factoren van belang zijn.

Er is nog een belangrijk punt: telefonie. Misschien wilt u om de een of andere reden geen gebruik maken van draadloze VoIP en wilt u IP-telefoons gebruiken met een gewone Ethernet-verbinding.

Over het algemeen hadden de bedrijven waarvoor ik werkte meestal zowel WiFi-connectiviteit als een Ethernet-poort.

Ik zou willen dat de mobiliteit niet beperkt blijft tot alleen het kantoor.

Om de mogelijkheid te garanderen om vanuit huis (of een andere plek met toegankelijk internet) te werken, wordt er gebruik gemaakt van een VPN-verbinding. Tegelijkertijd is het wenselijk dat medewerkers het verschil niet voelen tussen thuiswerken en werken op afstand, waarbij dezelfde toegang wordt verondersteld. Hoe we dit kunnen organiseren, bespreken we verderop in het hoofdstuk ‘Eenvoudig gecentraliseerd authenticatie- en autorisatiesysteem’.

opmerking

Hoogstwaarschijnlijk zult u voor werken op afstand niet dezelfde kwaliteit van dienstverlening kunnen bieden als op kantoor. Laten we aannemen dat u een Cisco ASA 5520 als uw VPN-gateway gebruikt gegevensblad dit apparaat kan slechts 225 Mbit aan VPN-verkeer “verteren”. Dat wil zeggen, qua bandbreedte is verbinden via VPN natuurlijk heel anders dan werken vanaf kantoor. Ook als om wat voor reden dan ook de latentie, het verlies, de jitter (u wilt bijvoorbeeld kantoor-IP-telefonie gebruiken) voor uw netwerkdiensten aanzienlijk zijn, krijgt u ook niet dezelfde kwaliteit als wanneer u op kantoor zou zijn. Als we het over mobiliteit hebben, moeten we ons daarom bewust zijn van mogelijke beperkingen.

Gemakkelijke toegang tot alle bedrijfsmiddelen

Deze taak moet samen met andere technische afdelingen worden opgelost.
De ideale situatie is wanneer de gebruiker zich slechts één keer hoeft te authenticeren en daarna toegang heeft tot alle benodigde bronnen.
Door gemakkelijke toegang te bieden zonder dat dit ten koste gaat van de veiligheid, kunt u de productiviteit aanzienlijk verbeteren en de stress onder uw collega's verminderen.

Opmerking 1

Toegangsgemak gaat niet alleen over het aantal keren dat u een wachtwoord moet invoeren. Als u bijvoorbeeld, in overeenstemming met uw beveiligingsbeleid, om verbinding te maken van kantoor naar het datacenter eerst verbinding moet maken met de VPN-gateway en tegelijkertijd de toegang tot kantoorbronnen verliest, dan is dit ook erg , erg lastig.

Opmerking 2

Er zijn diensten (bijvoorbeeld toegang tot netwerkapparatuur) waarbij we meestal onze eigen speciale AAA-servers hebben en dit is de norm wanneer we in dit geval meerdere keren moeten authenticeren.

Beschikbaarheid van internetbronnen

Internet is niet alleen entertainment, maar ook een reeks diensten die erg handig kunnen zijn voor het werk. Er zijn ook puur psychologische factoren. Een modern mens is via internet via vele virtuele draden met andere mensen verbonden, en naar mijn mening is er niets mis mee als hij deze verbinding zelfs tijdens het werk blijft voelen.

Vanuit het oogpunt van tijdverspilling is er niets aan de hand als een medewerker bijvoorbeeld Skype heeft draaien en indien nodig 5 minuten besteedt aan het communiceren met een dierbare.

Betekent dit dat internet altijd beschikbaar moet zijn, betekent dit dat medewerkers toegang kunnen hebben tot alle bronnen en daar op geen enkele manier controle over hebben?

Nee betekent dat natuurlijk niet. Het niveau van openheid van internet kan voor verschillende bedrijven variëren - van volledige sluiting tot volledige openheid. We zullen verderop in de paragrafen over veiligheidsmaatregelen manieren bespreken om het verkeer te controleren.

Mogelijkheid om het volledige scala aan bekende apparaten te gebruiken

Handig als je bijvoorbeeld de mogelijkheid hebt om alle communicatiemiddelen te blijven gebruiken die je op je werk gewend bent. Er zijn geen problemen om dit technisch te implementeren. Hiervoor heb je WiFi en een gastwilan nodig.

Ook is het fijn als je de mogelijkheid hebt om het besturingssysteem te gebruiken dat je gewend bent. Maar naar mijn mening is dit meestal alleen toegestaan ​​voor managers, beheerders en ontwikkelaars.

Voorbeeld

Je kunt natuurlijk het pad van de verboden volgen, toegang op afstand verbieden, verbinding vanaf mobiele apparaten verbieden, alles beperken tot statische Ethernet-verbindingen, de toegang tot internet beperken, mobiele telefoons en gadgets verplicht in beslag nemen bij de controlepost... en dit pad wordt feitelijk gevolgd door sommige organisaties met verhoogde beveiligingseisen, en misschien is dit in sommige gevallen gerechtvaardigd, maar... u moet het ermee eens zijn dat dit lijkt op een poging om de vooruitgang in een enkele organisatie tegen te houden. Uiteraard wil ik de kansen die moderne technologieën bieden combineren met een voldoende beveiligingsniveau.

"Snelle werking" van het netwerk

De snelheid van gegevensoverdracht bestaat technisch gezien uit vele factoren. En de snelheid van uw verbindingspoort is meestal niet het belangrijkste. De trage werking van een applicatie gaat niet altijd gepaard met netwerkproblemen, maar voorlopig zijn we alleen geïnteresseerd in het netwerkgedeelte. Het meest voorkomende probleem met "vertraging" van het lokale netwerk houdt verband met pakketverlies. Dit gebeurt meestal als er een knelpunt of L1 (OSI)-problemen zijn. In zeldzamere gevallen kan het zijn dat bij sommige ontwerpen (bijvoorbeeld wanneer uw subnetten een firewall als standaardgateway hebben en dus al het verkeer er doorheen gaat) de hardware onvoldoende presteert.

Daarom moet u bij het kiezen van apparatuur en architectuur de snelheden van eindpoorten, trunks en apparatuurprestaties met elkaar in verband brengen.

Voorbeeld

Laten we aannemen dat u switches met 1 Gigabit-poorten gebruikt als access layer-switches. Ze zijn met elkaar verbonden via Etherchannel 2 x 10 gigabits. Als standaard gateway gebruik je een firewall met gigabit poorten, voor de verbinding met het L2 kantoornetwerk gebruik je 2 gigabit poorten gecombineerd tot een Etherchannel.

Deze architectuur is vanuit functioneel oogpunt best handig, omdat... Al het verkeer gaat door de firewall en u kunt het toegangsbeleid gemakkelijk beheren en complexe algoritmen toepassen om het verkeer te controleren en mogelijke aanvallen te voorkomen (zie hieronder), maar vanuit het oogpunt van doorvoer en prestaties kent dit ontwerp uiteraard potentiële problemen. Zo kunnen bijvoorbeeld 2 hosts die data downloaden (met een poortsnelheid van 1 gigabit) een 2 gigabit verbinding met de firewall volledig belasten, en zo leiden tot serviceverslechtering voor het hele kantoorsegment.

We hebben naar één hoekpunt van de driehoek gekeken. Laten we nu eens kijken hoe we de veiligheid kunnen garanderen.

remedies

Het is dus meestal onze wens (of beter gezegd de wens van ons management) om het onmogelijke te bereiken, namelijk het bieden van maximaal gemak met maximale veiligheid en minimale kosten.

Laten we eens kijken welke methoden we hebben om bescherming te bieden.

Voor het kantoor zou ik het volgende willen benadrukken:

  • Zero Trust-benadering van ontwerp
  • hoog beschermingsniveau
  • zichtbaarheid van het netwerk
  • uniform gecentraliseerd authenticatie- en autorisatiesysteem
  • gastheer controleren

Vervolgens gaan we dieper in op elk van deze aspecten.

Geen vertrouwen

De IT-wereld verandert zeer snel. De afgelopen tien jaar heeft de opkomst van nieuwe technologieën en producten geleid tot een ingrijpende herziening van beveiligingsconcepten. Tien jaar geleden hebben we vanuit veiligheidsoogpunt het netwerk gesegmenteerd in trust-, dmz- en untrust-zones, en hebben we de zogenaamde “perimeterbescherming” gebruikt, waarbij er twee verdedigingslinies waren: untrust -> dmz en dmz -> vertrouwen. Bovendien was de bescherming doorgaans beperkt tot toegangslijsten op basis van L10/L2 (OSI)-headers (IP, TCP/UDP-poorten, TCP-vlaggen). Alles met betrekking tot hogere niveaus, inclusief L3, werd overgelaten aan het besturingssysteem en de beveiligingsproducten die op de eindhosts waren geïnstalleerd.

Nu is de situatie dramatisch veranderd. Moderne concept nul vertrouwen komt voort uit het feit dat het niet langer mogelijk is om interne systemen, dat wil zeggen de systemen die zich binnen de perimeter bevinden, als vertrouwd te beschouwen, en dat het concept van de perimeter zelf vervaagd is.
Naast internetverbinding hebben we ook

  • VPN-gebruikers voor externe toegang
  • diverse persoonlijke gadgets, meegenomen laptops, verbonden via kantoor WiFi
  • andere (filiaal)kantoren
  • integratie met cloudinfrastructuur

Hoe ziet de Zero Trust-aanpak er in de praktijk uit?

Idealiter zou alleen het benodigde verkeer moeten worden toegestaan ​​en als we het over een ideaal hebben, dan zou de controle niet alleen op L3/L4-niveau moeten plaatsvinden, maar op applicatieniveau.

Als u bijvoorbeeld al het verkeer door een firewall kunt laten gaan, kunt u proberen dichter bij het ideaal te komen. Maar deze aanpak kan de totale bandbreedte van uw netwerk aanzienlijk verminderen, en bovendien werkt filteren op toepassing niet altijd goed.

Bij het controleren van verkeer op een router of L3-switch (met behulp van standaard ACL's), kom je andere problemen tegen:

  • Dit is alleen L3/L4-filtering. Niets houdt een aanvaller tegen om toegestane poorten (bijvoorbeeld TCP 80) te gebruiken voor zijn toepassing (niet http)
  • complex ACL-beheer (moeilijk te ontleden ACL's)
  • Dit is geen statefull firewall, wat betekent dat u expliciet omgekeerd verkeer moet toestaan
  • met schakelaars word je meestal behoorlijk beperkt door de grootte van de TCAM, wat snel een probleem kan worden als je de benadering van 'sta alleen toe wat je nodig hebt' hanteert

opmerking

Over achteruitverkeer gesproken, we moeten niet vergeten dat we de volgende mogelijkheid hebben (Cisco)

laat tcp elke gevestigde toe

Maar je moet begrijpen dat deze regel gelijk is aan twee regels:
laat tcp elke ack toe
sta tcp elke willekeurige eerste toe

Dat betekent dat zelfs als er geen initieel TCP-segment met de SYN-vlag was (dat wil zeggen dat de TCP-sessie nog niet eens tot stand was gekomen), deze ACL een pakket met de ACK-vlag zal toestaan, dat een aanvaller kan gebruiken om gegevens over te dragen.

Dat wil zeggen dat deze regel uw router of L3-switch op geen enkele manier in een statefull firewall verandert.

Hoog beschermingsniveau

В статье In het gedeelte over datacenters hebben we de volgende beveiligingsmethoden besproken.

  • stateful firewalling (standaard)
  • ddos/dos-bescherming
  • firewalling van toepassingen
  • preventie van bedreigingen (antivirus, anti-spyware en kwetsbaarheid)
  • URL-filtering
  • gegevensfiltering (inhoudsfiltering)
  • bestandsblokkering (blokkering van bestandstypen)

In het geval van een kantoor is de situatie vergelijkbaar, maar liggen de prioriteiten iets anders. De beschikbaarheid van kantoren (beschikbaarheid) is doorgaans niet zo kritisch als in het geval van een datacenter, terwijl de kans op ‘intern’ kwaadaardig verkeer vele malen groter is.
Daarom worden de volgende beveiligingsmethoden voor dit segment van cruciaal belang:

  • firewalling van toepassingen
  • preventie van bedreigingen (antivirus, antispyware en kwetsbaarheid)
  • URL-filtering
  • gegevensfiltering (inhoudsfiltering)
  • bestandsblokkering (blokkering van bestandstypen)

Hoewel al deze beschermingsmethoden, met uitzondering van applicatiefirewalls, traditioneel werden en nog steeds worden opgelost op de eindhosts (bijvoorbeeld door antivirusprogramma's te installeren) en het gebruik van proxy's, bieden moderne NGFW's deze diensten ook aan.

Leveranciers van beveiligingsapparatuur streven ernaar om uitgebreide bescherming te creëren. Daarom bieden ze naast lokale bescherming ook verschillende cloudtechnologieën en clientsoftware voor hosts (eindpuntbescherming/EPP). Dus bijvoorbeeld van Gartner Magic Quadrant 2018 We zien dat Palo Alto en Cisco hun eigen EPP’s hebben (PA: Traps, Cisco: AMP), maar verre van de leiders zijn.

Het inschakelen van deze beveiligingen (meestal door licenties aan te schaffen) op uw firewall is uiteraard niet verplicht (u kunt de traditionele route volgen), maar het biedt wel enkele voordelen:

  • in dit geval is er één enkel toepassingspunt van beveiligingsmethoden, wat de zichtbaarheid verbetert (zie het volgende onderwerp).
  • Als er een onbeveiligd apparaat op uw netwerk aanwezig is, valt dit nog steeds onder de “paraplu” van firewallbescherming
  • Door firewallbescherming te gebruiken in combinatie met end-hostbescherming vergroten we de kans op het detecteren van kwaadaardig verkeer. Het gebruik van bedreigingspreventie op lokale hosts en op een firewall vergroot bijvoorbeeld de kans op detectie (op voorwaarde natuurlijk dat deze oplossingen gebaseerd zijn op verschillende softwareproducten)

opmerking

Als u Kaspersky bijvoorbeeld zowel op de firewall als op de eindhosts als antivirus gebruikt, vergroot dit uiteraard uw kansen om een ​​virusaanval op uw netwerk te voorkomen niet enorm.

Netwerkzichtbaarheid

kerngedachte is eenvoudig: “zie” wat er op uw netwerk gebeurt, zowel in realtime als in historische gegevens.

Ik zou deze “visie” in twee groepen verdelen:

Groep één: wat uw monitoringsysteem u gewoonlijk biedt.

  • apparatuur laden
  • kanalen laden
  • geheugengebruik
  • schijfgebruik
  • het wijzigen van de routeringstabel
  • linkstatus
  • beschikbaarheid van apparatuur (of hosts)
  • ...

Groep twee: veiligheidsgerelateerde informatie.

  • verschillende soorten statistieken (bijvoorbeeld per applicatie, per URL-verkeer, welke soorten gegevens zijn gedownload, gebruikersgegevens)
  • wat werd geblokkeerd door het beveiligingsbeleid en om welke reden, namelijk
    • verboden toepassing
    • verboden op basis van ip/protocol/poort/vlaggen/zones
    • bedreiging voorkomen
    • URL-filtering
    • gegevensfiltering
    • bestandsblokkering
    • ...
  • statistieken over DOS/DDOS-aanvallen
  • mislukte identificatie- en autorisatiepogingen
  • statistieken voor alle bovengenoemde schendingen van het beveiligingsbeleid
  • ...

In dit hoofdstuk over veiligheid zijn we geïnteresseerd in het tweede deel.

Sommige moderne firewalls (uit mijn Palo Alto-ervaring) bieden een goed niveau van zichtbaarheid. Maar het verkeer waarin u geïnteresseerd bent, moet uiteraard door deze firewall gaan (in dat geval heeft u de mogelijkheid om verkeer te blokkeren) of gespiegeld naar de firewall (alleen gebruikt voor monitoring en analyse), en u moet over licenties beschikken om al het verkeer mogelijk te maken. deze diensten.

Er is natuurlijk een alternatieve manier, of beter gezegd de traditionele manier, bijvoorbeeld

  • Sessiestatistieken kunnen worden verzameld via netflow en vervolgens speciale hulpprogramma's gebruiken voor informatieanalyse en datavisualisatie
  • bedreigingspreventie – speciale programma's (antivirus, antispyware, firewall) op eindhosts
  • URL-filtering, gegevensfiltering, bestandsblokkering – op proxy
  • het is ook mogelijk om tcpdump te analyseren met behulp van b.v. snuiven

U kunt deze twee benaderingen combineren, ontbrekende functies aanvullen of dupliceren om de kans op het detecteren van een aanval te vergroten.

Welke aanpak moet je kiezen?
Sterk afhankelijk van de kwalificaties en voorkeuren van uw team.
Zowel daar als daar zijn voor- en nadelen.

Uniform gecentraliseerd authenticatie- en autorisatiesysteem

Als het goed is ontworpen, gaat de mobiliteit die we in dit artikel hebben besproken ervan uit dat je dezelfde toegang hebt, of je nu op kantoor of thuis werkt, vanaf het vliegveld, vanuit een koffieshop of waar dan ook (met de beperkingen die we hierboven hebben besproken). Het lijkt erop: wat is het probleem?
Laten we eens kijken naar een typisch ontwerp om de complexiteit van deze taak beter te begrijpen.

Voorbeeld

  • Je hebt alle medewerkers in groepen verdeeld. U heeft besloten toegang te verlenen aan groepen
  • Binnen het kantoor beheert u de toegang via de kantoorfirewall
  • Via de datacenterfirewall regelt u het verkeer van kantoor naar het datacenter
  • U gebruikt een Cisco ASA als VPN-gateway en om het verkeer dat uw netwerk binnenkomt vanaf externe clients te controleren, gebruikt u lokale (op de ASA) ACL's

Stel nu dat u wordt gevraagd om extra toegang toe te voegen aan een bepaalde medewerker. In dit geval wordt u gevraagd om alleen toegang aan hem toe te voegen en aan niemand anders uit zijn groep.

Hiervoor moeten we dus een aparte groep aanmaken voor deze medewerker

  • maak voor deze medewerker een aparte IP-pool op de ASA
  • voeg een nieuwe ACL toe aan de ASA en bind deze aan die externe client
  • creëer nieuw beveiligingsbeleid voor kantoor- en datacenterfirewalls

Het is goed als deze gebeurtenis zeldzaam is. Maar in mijn praktijk was er een situatie waarin werknemers aan verschillende projecten deelnamen, en deze reeks projecten voor sommigen van hen veranderde vrij vaak, en het waren niet 1-2 personen, maar tientallen. Natuurlijk moest hier iets veranderd worden.

Dit werd op de volgende manier opgelost.

We besloten dat LDAP de enige bron van waarheid zou zijn die alle mogelijke toegangen voor werknemers zou bepalen. We hebben allerlei groepen gemaakt die toegangssets definiëren, en we hebben elke gebruiker aan een of meer groepen toegewezen.

Stel bijvoorbeeld dat er groepen waren

  • gast (internettoegang)
  • gemeenschappelijke toegang (toegang tot gedeelde bronnen: e-mail, kennisbank, ...)
  • boekhoudkundige
  • project 1
  • project 2
  • database Administrator
  • Linux-beheerder
  • ...

En als een van de medewerkers betrokken was bij zowel project 1 als project 2, en hij de benodigde toegang nodig had om in deze projecten te werken, dan werd deze medewerker in de volgende groepen ingedeeld:

  • gast
  • gemeenschappelijke toegang
  • project 1
  • project 2

Hoe kunnen we deze informatie nu omzetten in toegang op netwerkapparatuur?

Cisco ASA Dynamic Access Policy (DAP) (zie www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) oplossing is precies goed voor deze taak.

Kort over onze implementatie: tijdens het identificatie-/autorisatieproces ontvangt ASA van LDAP een reeks groepen die overeenkomen met een bepaalde gebruiker en 'verzamelt' ASA van verschillende lokale ACL's (die elk overeenkomen met een groep) een dynamische ACL met alle noodzakelijke toegangen , wat volledig aansluit bij onze wensen.

Maar dit is alleen voor VPN-verbindingen. Om de situatie voor zowel medewerkers die via VPN verbonden zijn als voor medewerkers op kantoor hetzelfde te maken, is de volgende stap gezet.

Bij verbinding vanaf kantoor kwamen gebruikers die het 802.1x-protocol gebruikten terecht in een gast-LAN ​​(voor gasten) of een LAN met gedeelde toegang (voor bedrijfsmedewerkers). Om specifieke toegang te krijgen (bijvoorbeeld tot projecten in een datacenter) moesten medewerkers bovendien verbinding maken via VPN.

Om vanuit kantoor en vanuit huis verbinding te maken, werd op de ASA gebruik gemaakt van verschillende tunnelgroepen. Dit is nodig zodat voor degenen die verbinding maken vanaf kantoor, het verkeer naar gedeelde bronnen (gebruikt door alle medewerkers, zoals mail, fileservers, ticketsysteem, dns, ...) niet via de ASA verloopt, maar via het lokale netwerk. . We hebben de ASA dus niet belast met onnodig verkeer, inclusief verkeer met hoge intensiteit.

Zo was het probleem opgelost.
Wij hebben

  • dezelfde set toegangen voor zowel verbindingen vanaf het kantoor als verbindingen op afstand
  • afwezigheid van verslechtering van de dienstverlening bij het werken vanuit kantoor, geassocieerd met de transmissie van verkeer met hoge intensiteit via ASA

Welke andere voordelen van deze aanpak?
In toegangsbeheer. Toegangen kunnen eenvoudig op één plek worden gewijzigd.
Als een medewerker bijvoorbeeld het bedrijf verlaat, verwijdert u hem eenvoudigweg uit LDAP en verliest hij automatisch alle toegang.

Controle van de gastheer

Met de mogelijkheid van een externe verbinding lopen we het risico dat we niet alleen een medewerker van het bedrijf in het netwerk toelaten, maar ook alle kwaadaardige software die zeer waarschijnlijk op zijn computer (bijvoorbeeld thuis) aanwezig is, en bovendien dat we via deze software biedt mogelijk toegang tot ons netwerk aan een aanvaller die deze host als proxy gebruikt.

Het is logisch dat een op afstand verbonden host dezelfde beveiligingsvereisten toepast als een host op kantoor.

Hierbij wordt ook uitgegaan van de “juiste” versie van het besturingssysteem, antivirus-, antispyware- en firewallsoftware en updates. Normaal gesproken bestaat deze mogelijkheid op de VPN-gateway (zie voor ASA bijvoorbeeld hier).

Ook is het verstandig om dezelfde verkeersanalyse- en blokkeringstechnieken toe te passen (zie “Hoog beschermingsniveau”) die uw beveiligingsbeleid ook toepast op kantoorverkeer.

Het is redelijk om aan te nemen dat uw kantoornetwerk niet langer beperkt is tot het kantoorgebouw en de hosts daarin.

Voorbeeld

Een goede techniek is om elke medewerker die toegang op afstand nodig heeft, te voorzien van een goede, handige laptop en hem te verplichten om alleen daarop te werken, zowel op kantoor als thuis.

Het verbetert niet alleen de veiligheid van uw netwerk, maar het is ook erg handig en wordt doorgaans positief beoordeeld door werknemers (als het een echt goede, gebruiksvriendelijke laptop is).

Over gevoel voor verhoudingen en evenwicht

Kortom, dit is een gesprek over het derde hoekpunt van onze driehoek: over de prijs.
Laten we eens kijken naar een hypothetisch voorbeeld.

Voorbeeld

Je hebt een kantoor voor 200 personen. Je hebt besloten om het zo gemakkelijk en veilig mogelijk te maken.

Daarom hebt u besloten al het verkeer door de firewall te laten gaan en daarom is de firewall voor alle kantoorsubnetten de standaardgateway. Naast de beveiligingssoftware die op elke eindhost is geïnstalleerd (antivirus-, antispyware- en firewallsoftware), hebt u ook besloten om alle mogelijke beveiligingsmethoden op de firewall toe te passen.

Om een ​​hoge verbindingssnelheid te garanderen (alles voor het gemak), hebt u gekozen voor switches met 10 Gigabit-toegangspoorten als toegangsswitches en krachtige NGFW-firewalls als firewalls, bijvoorbeeld de Palo Alto 7K-serie (met 40 Gigabit-poorten), uiteraard met alle licenties inbegrepen en uiteraard een High Availability-paar.

Om met deze apparatuur te kunnen werken, hebben we uiteraard op zijn minst een paar hooggekwalificeerde beveiligingsingenieurs nodig.

Vervolgens besloot je om iedere medewerker een goede laptop te geven.

In totaal ongeveer 10 miljoen dollar voor de implementatie, honderdduizenden dollars (ik denk dichter bij een miljoen) voor jaarlijkse ondersteuning en salarissen voor ingenieurs.

Kantoor, 200 mensen...
Comfortabel? Ik denk dat het ja is.

U komt met dit voorstel aan uw management...
Wellicht zijn er een aantal bedrijven in de wereld waarvoor dit een acceptabele en correcte oplossing is. Als u een werknemer van dit bedrijf bent, mijn felicitaties, maar in de overgrote meerderheid van de gevallen weet ik zeker dat uw kennis niet op prijs zal worden gesteld door het management.

Is dit voorbeeld overdreven? Het volgende hoofdstuk zal deze vraag beantwoorden.

Als u op uw netwerk niets van het bovenstaande ziet, dan is dit de norm.
Voor elk specifiek geval moet u uw eigen redelijke compromis vinden tussen gemak, prijs en veiligheid. Vaak heb je NGFW niet eens nodig op kantoor, en is L7-bescherming op de firewall niet vereist. Het is voldoende om een ​​goed niveau van zichtbaarheid en waarschuwingen te bieden, en dit kan bijvoorbeeld worden gedaan met behulp van open source-producten. Ja, uw reactie op een aanval zal niet onmiddellijk zijn, maar het belangrijkste is dat u deze zult zien, en dat u, met de juiste processen op uw afdeling, deze snel kunt neutraliseren.

En laat me je eraan herinneren dat je, volgens het concept van deze serie artikelen, geen netwerk ontwerpt, maar alleen probeert te verbeteren wat je hebt.

VEILIGE analyse van kantoorarchitectuur

Let op dit rode vierkant waarmee ik een plaats op het diagram heb toegewezen VEILIG Beveiligde Campusarchitectuurgidsdie ik hier graag wil bespreken.

Hoe u de controle over uw netwerkinfrastructuur kunt overnemen. Hoofdstuk drie. Netwerk veiligheid. Deel drie

Dit is een van de belangrijkste plekken van de architectuur en een van de belangrijkste onzekerheden.

opmerking

Ik heb FirePower (van Cisco's firewalllijn - alleen ASA) nog nooit geïnstalleerd of ermee gewerkt, dus ik zal het behandelen als elke andere firewall, zoals Juniper SRX of Palo Alto, ervan uitgaande dat het dezelfde mogelijkheden heeft.

Van de gebruikelijke ontwerpen zie ik slechts 4 mogelijke opties voor het gebruik van een firewall met deze verbinding:

  • de standaardgateway voor elk subnet is een switch, terwijl de firewall zich in de transparante modus bevindt (dat wil zeggen dat al het verkeer er doorheen gaat, maar geen L3-hop vormt)
  • de standaardgateway voor elk subnet zijn de firewall-subinterfaces (of SVI-interfaces), de switch speelt de rol van L2
  • op de switch worden verschillende VRF's gebruikt, en verkeer tussen VRF's gaat door de firewall, verkeer binnen één VRF wordt bestuurd door de ACL op de switch
  • al het verkeer wordt naar de firewall gespiegeld voor analyse en monitoring; het verkeer gaat er niet doorheen

Opmerking 1

Combinaties van deze opties zijn mogelijk, maar voor de eenvoud zullen we ze niet overwegen.

Opmerking2

Er is ook de mogelijkheid om PBR (service chain architecture) te gebruiken, maar voorlopig is dit, hoewel naar mijn mening een mooie oplossing, nogal exotisch, dus ik overweeg het hier niet.

Uit de beschrijving van de stromen in het document zien we dat het verkeer nog steeds door de firewall gaat, dat wil zeggen dat, in overeenstemming met het Cisco-ontwerp, de vierde optie wordt geëlimineerd.

Laten we eerst naar de eerste twee opties kijken.
Bij deze opties gaat al het verkeer door de firewall.

Nu kijken we gegevensblad, Look Cisco GPL en we zien dat als we willen dat de totale bandbreedte voor ons kantoor minimaal rond de 10 - 20 gigabits ligt, we de 4K-versie moeten kopen.

opmerking

Als ik het heb over de totale bandbreedte, bedoel ik verkeer tussen subnetten (en niet binnen één vilana).

Uit de GPL zien we dat voor de HA-bundel met Threat Defense de prijs afhankelijk van het model (4110 - 4150) varieert van ~0,5 - 2,5 miljoen dollar.

Dat wil zeggen, ons ontwerp begint op het vorige voorbeeld te lijken.

Betekent dit dat dit ontwerp verkeerd is?
Nee, dat betekent het niet. Cisco biedt u de best mogelijke bescherming op basis van de productlijn die het heeft. Maar dat betekent niet dat het voor jou een must-do is.

Dit is in principe een veel voorkomende vraag die zich voordoet bij het ontwerpen van een kantoor of datacenter, en het betekent alleen maar dat er naar een compromis gezocht moet worden.

Laat bijvoorbeeld niet al het verkeer door een firewall gaan, in welk geval optie 3 mij redelijk goed lijkt, of (zie vorige sectie) misschien heb je geen Threat Defense nodig of heb je daar helemaal geen firewall voor nodig netwerksegment, en je hoeft je alleen maar te beperken tot passieve monitoring met behulp van betaalde (niet dure) of open source-oplossingen, of je hebt een firewall nodig, maar van een andere leverancier.

Meestal is er altijd onzekerheid en is er geen duidelijk antwoord op de vraag welke beslissing voor u het beste is.
Dit is de complexiteit en schoonheid van deze taak.

Bron: www.habr.com

Voeg een reactie