ProHoster > Log > administrasjon > Hvordan ta kontroll over nettverksinfrastrukturen din. Kapittel tre. Nettverksikkerhet. Del tre
Hvordan ta kontroll over nettverksinfrastrukturen din. Kapittel tre. Nettverksikkerhet. Del tre
Denne artikkelen er den femte i serien "Hvordan ta kontroll over nettverksinfrastrukturen din." Innholdet i alle artiklene i serien og lenker finner du her.
Denne delen vil bli viet Campus (kontor) og VPN-segmenter med ekstern tilgang.
Utforming av kontornettverk kan virke enkelt.
Faktisk tar vi L2/L3-brytere og kobler dem til hverandre. Deretter utfører vi grunnleggende oppsett av vilans og standard gatewayer, setter opp enkel ruting, kobler til WiFi-kontrollere, tilgangspunkter, installerer og konfigurerer ASA for ekstern tilgang, vi er glade for at alt fungerte. I utgangspunktet, som jeg allerede skrev i en av de forrige Artikkel av denne syklusen kan nesten hver student som har deltatt (og lært) to semestre av et telekomkurs designe og konfigurere et kontornettverk slik at det "på en eller annen måte fungerer."
Men jo mer du lærer, jo mindre enkel begynner denne oppgaven å virke. For meg personlig virker ikke dette emnet, temaet kontornettverksdesign, enkelt i det hele tatt, og i denne artikkelen vil jeg prøve å forklare hvorfor.
Kort sagt, det er ganske mange faktorer å vurdere. Ofte er disse faktorene i konflikt med hverandre, og et rimelig kompromiss må søkes.
Denne usikkerheten er den største vanskeligheten. Så når vi snakker om sikkerhet, har vi en trekant med tre hjørner: sikkerhet, bekvemmelighet for ansatte, pris på løsningen.
Og hver gang må du se etter et kompromiss mellom disse tre.
Dette er noe utdaterte dokumenter. Jeg presenterer dem her fordi de grunnleggende ordningene og tilnærmingene ikke har endret seg, men samtidig liker jeg presentasjonen mer enn i ny dokumentasjon.
Uten å oppmuntre deg til å bruke Cisco-løsninger, tror jeg likevel det er nyttig å studere dette designet nøye.
Denne artikkelen later som vanlig ikke på noen måte å være fullstendig, men er snarere et tillegg til denne informasjonen.
På slutten av artikkelen vil vi analysere Cisco SAFE-kontordesignet i forhold til konseptene som er skissert her.
Generelle prinsipper
Utformingen av kontornettet skal selvsagt tilfredsstille de generelle kravene som har vært diskutert her i kapittelet «Kriterier for vurdering av designkvalitet». Foruten pris og sikkerhet, som vi har tenkt å diskutere i denne artikkelen, er det fortsatt tre kriterier som vi må vurdere når vi designer (eller gjør endringer):
skalerbarhet
brukervennlighet (håndterbarhet)
tilgjengelighet
Mye av det som ble diskutert for datasentre Dette gjelder også for kontoret.
Men fortsatt har kontorsegmentet sine egne detaljer, som er kritiske fra et sikkerhetssynspunkt. Essensen av denne spesifisiteten er at dette segmentet er opprettet for å tilby nettverkstjenester til ansatte (så vel som partnere og gjester) i selskapet, og som et resultat, på det høyeste nivået av vurdering av problemet, har vi to oppgaver:
beskytte bedriftens ressurser mot ondsinnede handlinger som kan komme fra ansatte (gjester, partnere) og fra programvaren de bruker. Dette inkluderer også beskyttelse mot uautorisert tilkobling til nettverket.
beskytte systemer og brukerdata
Og dette er bare én side av problemet (eller rettere sagt, ett toppunkt i trekanten). På den andre siden er brukervennligheten og prisen på løsningene som brukes.
La oss starte med å se på hva en bruker forventer av et moderne kontornettverk.
bekvemmelighet
Slik ser "nettverksfasiliteter" ut for en kontorbruker etter min mening:
mobilitet
Evne til å bruke hele spekteret av kjente enheter og operativsystemer
Enkel tilgang til alle nødvendige bedriftsressurser
Tilgjengelighet av Internett-ressurser, inkludert ulike skytjenester
"Rask drift" av nettverket
Alt dette gjelder både ansatte og gjester (eller partnere), og det er selskapets ingeniørers oppgave å differensiere tilgang for ulike brukergrupper basert på autorisasjon.
La oss se på hvert av disse aspektene litt mer detaljert.
mobilitet
Vi snakker om muligheten til å jobbe og bruke alle nødvendige bedriftsressurser fra hvor som helst i verden (selvfølgelig der Internett er tilgjengelig).
Dette gjelder fullt ut kontoret. Dette er praktisk når du har muligheten til å fortsette å jobbe fra hvor som helst på kontoret, for eksempel motta post, kommunisere i en bedriftsmessenger, være tilgjengelig for en videosamtale, ... Dermed lar dette deg på den ene siden, for å løse noen problemer «live»-kommunikasjon (for eksempel delta i stevner), og på den annen side alltid være online, holde fingeren på pulsen og raskt løse noen presserende, høyt prioriterte oppgaver. Dette er veldig praktisk og forbedrer virkelig kvaliteten på kommunikasjonen.
Dette oppnås ved riktig WiFi-nettverksdesign.
bemerkning
Her oppstår vanligvis spørsmålet: er det nok å bruke bare WiFi? Betyr dette at du kan slutte å bruke Ethernet-porter på kontoret? Hvis vi bare snakker om brukere, og ikke om servere, som fortsatt er rimelige å koble til med en vanlig Ethernet-port, så er svaret generelt: ja, du kan begrense deg til kun WiFi. Men det er nyanser.
Det er viktige brukergrupper som krever en egen tilnærming. Dette er selvfølgelig administratorer. I prinsippet er en WiFi-tilkobling mindre pålitelig (i form av trafikktap) og tregere enn en vanlig Ethernet-port. Dette kan være viktig for administratorer. I tillegg kan for eksempel nettverksadministratorer i prinsippet ha et eget dedikert Ethernet-nettverk for out-of-band-tilkoblinger.
Det kan være andre grupper/avdelinger i din bedrift som disse faktorene også er viktige for.
Det er et annet viktig poeng - telefoni. Kanskje du av en eller annen grunn ikke ønsker å bruke trådløs VoIP og vil bruke IP-telefoner med en vanlig Ethernet-tilkobling.
Generelt hadde selskapene jeg jobbet for vanligvis både WiFi-tilkobling og en Ethernet-port.
Jeg vil at mobilitet ikke skal begrenses til bare kontoret.
For å sikre muligheten til å jobbe hjemmefra (eller et hvilket som helst annet sted med tilgjengelig Internett), brukes en VPN-tilkobling. Samtidig er det ønskelig at ansatte ikke føler forskjell på hjemmearbeid og fjernarbeid, som forutsetter samme tilgang. Vi vil diskutere hvordan du organiserer dette litt senere i kapittelet "Enhetlig sentralisert autentiserings- og autorisasjonssystem."
bemerkning
Mest sannsynlig vil du ikke fullt ut kunne tilby den samme kvaliteten på tjenester for fjernarbeid som du har på kontoret. La oss anta at du bruker en Cisco ASA 5520 som din VPN-gateway. dataark denne enheten er i stand til å "fordøye" bare 225 Mbit VPN-trafikk. Det er, selvfølgelig, når det gjelder båndbredde, tilkobling via VPN er veldig forskjellig fra å jobbe fra kontoret. Dessuten, hvis, av en eller annen grunn, latens, tap, jitter (for eksempel du ønsker å bruke kontor IP-telefoni) for nettverkstjenestene dine er betydelige, vil du heller ikke motta samme kvalitet som om du var på kontoret. Når vi snakker om mobilitet, må vi derfor være oppmerksomme på mulige begrensninger.
Enkel tilgang til alle selskapets ressurser
Denne oppgaven bør løses i fellesskap med andre tekniske avdelinger.
Den ideelle situasjonen er når brukeren bare trenger å autentisere én gang, og etter det har han tilgang til alle nødvendige ressurser.
Å gi enkel tilgang uten å ofre sikkerheten kan forbedre produktiviteten betydelig og redusere stress blant kollegene dine.
Bemerkning 1
Enkel tilgang handler ikke bare om hvor mange ganger du må skrive inn et passord. Hvis du for eksempel i henhold til sikkerhetspolicyen din for å koble fra kontoret til datasenteret først må koble til VPN-gatewayen, og samtidig mister tilgangen til kontorressurser, så er dette også veldig , veldig upraktisk.
Bemerkning 2
Det er tjenester (for eksempel tilgang til nettverksutstyr) hvor vi vanligvis har egne dedikerte AAA-servere og dette er normen når vi i dette tilfellet må autentisere flere ganger.
Tilgjengelighet av Internett-ressurser
Internett er ikke bare underholdning, men også et sett med tjenester som kan være svært nyttige for jobben. Det er også rent psykologiske faktorer. En moderne person er forbundet med andre mennesker via Internett gjennom mange virtuelle tråder, og etter min mening er det ingenting galt hvis han fortsetter å føle denne forbindelsen selv mens han jobber.
Fra et sløsingssynspunkt er det ikke noe galt hvis en ansatt for eksempel har Skype i gang og bruker 5 minutter på å kommunisere med en man er glad i om nødvendig.
Betyr dette at Internett alltid skal være tilgjengelig, betyr det at ansatte kan ha tilgang til alle ressurser og ikke kontrollere dem på noen måte?
Nei betyr ikke det, selvfølgelig. Graden av åpenhet på Internett kan variere for ulike selskaper – fra fullstendig nedleggelse til fullstendig åpenhet. Vi vil diskutere måter å kontrollere trafikken på senere i avsnittene om sikkerhetstiltak.
Evne til å bruke hele spekteret av kjente enheter
Det er praktisk når du for eksempel har muligheten til å fortsette å bruke alle kommunikasjonsmidlene du er vant til på jobben. Det er ingen vanskeligheter med å implementere dette teknisk. For dette trenger du WiFi og en gjest wilan.
Det er også bra hvis du har muligheten til å bruke operativsystemet du er vant til. Men etter min observasjon er dette vanligvis bare tillatt for ledere, administratorer og utviklere.
Eksempel
Du kan selvfølgelig følge forbudsveien, forby fjerntilgang, forby tilkobling fra mobile enheter, begrense alt til statiske Ethernet-tilkoblinger, begrense tilgang til Internett, tvungent konfiskere mobiltelefoner og dingser ved sjekkpunktet ... og denne banen blir faktisk etterfulgt av noen organisasjoner med økte sikkerhetskrav, og kanskje i noen tilfeller kan dette være berettiget, men... du må være enig i at dette ser ut som et forsøk på å stoppe fremgang i en enkelt organisasjon. Jeg vil selvfølgelig kombinere mulighetene som moderne teknologi gir med et tilstrekkelig sikkerhetsnivå.
"Rask drift" av nettverket
Dataoverføringshastigheten består teknisk sett av mange faktorer. Og hastigheten på tilkoblingsporten din er vanligvis ikke den viktigste. Langsom drift av en applikasjon er ikke alltid forbundet med nettverksproblemer, men foreløpig er vi kun interessert i nettverksdelen. Det vanligste problemet med lokal nettverks "nedgang" er relatert til pakketap. Dette oppstår vanligvis når det er en flaskehals eller L1 (OSI) problemer. Mer sjelden, med noen design (for eksempel når subnettene dine har en brannmur som standard gateway og dermed all trafikk går gjennom den), kan maskinvareytelsen mangle.
Derfor, når du velger utstyr og arkitektur, må du korrelere hastighetene til endeporter, trunks og utstyrsytelse.
Eksempel
La oss anta at du bruker svitsjer med 1 gigabit-porter som aksesssvitsjer. De er koblet til hverandre via Etherchannel 2 x 10 gigabit. Som standard gateway bruker du en brannmur med gigabit-porter, for å koble til L2-kontornettverket du bruker 2 gigabit-porter kombinert til en Etherchannel.
Denne arkitekturen er ganske praktisk fra et funksjonssynspunkt, fordi... All trafikk går gjennom brannmuren, og du kan komfortabelt administrere tilgangspolicyer og bruke komplekse algoritmer for å kontrollere trafikk og forhindre mulige angrep (se nedenfor), men fra et gjennomstrømnings- og ytelsessynspunkt har selvfølgelig denne designen potensielle problemer. Så for eksempel kan 2 verter som laster ned data (med en porthastighet på 1 gigabit) laste en 2 gigabit-tilkobling fullstendig til brannmuren, og dermed føre til tjenesteforringelse for hele kontorsegmentet.
Vi har sett på ett toppunkt i trekanten, la oss nå se på hvordan vi kan sikre sikkerhet.
rettsmidler
Så, selvfølgelig, er vanligvis vårt ønske (eller rettere sagt, ønsket til vår ledelse) å oppnå det umulige, nemlig å gi maksimal bekvemmelighet med maksimal sikkerhet og minimale kostnader.
La oss se på hvilke metoder vi har for å gi beskyttelse.
For kontoret vil jeg fremheve følgende:
null tillit tilnærming til design
høyt beskyttelsesnivå
nettverkssynlighet
enhetlig sentralisert autentiserings- og autorisasjonssystem
vertskontroll
Deretter vil vi dvele litt mer detaljert på hvert av disse aspektene.
Null tillit
IT-verdenen endrer seg veldig raskt. I løpet av de siste 10 årene har fremveksten av nye teknologier og produkter ført til en stor revisjon av sikkerhetskonsepter. For ti år siden, fra et sikkerhetssynspunkt, segmenterte vi nettverket i trust-, dmz- og untrust-soner, og brukte den såkalte "perimeterbeskyttelsen", der det var 2 forsvarslinjer: utillit -> dmz og dmz -> tillit. Beskyttelsen var også vanligvis begrenset til tilgangslister basert på L3/L4 (OSI)-overskrifter (IP, TCP/UDP-porter, TCP-flagg). Alt relatert til høyere nivåer, inkludert L7, ble overlatt til operativsystemet og sikkerhetsproduktene installert på sluttvertene.
Nå har situasjonen endret seg dramatisk. Moderne konsept null tillit kommer fra det faktum at det ikke lenger er mulig å betrakte interne systemer, det vil si de som ligger innenfor omkretsen, som pålitelige, og konseptet om selve omkretsen har blitt uskarpt.
I tillegg til internettforbindelse har vi også
VPN-brukere med ekstern tilgang
ulike personlige dingser, medbrakte bærbare datamaskiner, koblet til via kontor-WiFi
andre (avdelings)kontorer
integrasjon med skyinfrastruktur
Hvordan ser Zero Trust-tilnærmingen ut i praksis?
Ideelt sett bør bare trafikken som kreves tillates, og hvis vi snakker om et ideal, bør kontrollen ikke bare være på L3/L4-nivå, men på applikasjonsnivå.
Hvis du for eksempel har muligheten til å sende all trafikk gjennom en brannmur, så kan du prøve å komme nærmere idealet. Men denne tilnærmingen kan redusere den totale båndbredden til nettverket ditt betydelig, og dessuten fungerer ikke alltid filtrering etter applikasjon bra.
Når du kontrollerer trafikk på en ruter eller L3-svitsj (ved bruk av standard ACL-er), støter du på andre problemer:
Dette er kun L3/L4-filtrering. Det er ingenting som hindrer en angriper fra å bruke tillatte porter (f.eks. TCP 80) for sin applikasjon (ikke http)
kompleks ACL-administrasjon (vanskelig å analysere ACL-er)
Dette er ikke en statefull brannmur, noe som betyr at du eksplisitt må tillate omvendt trafikk
med brytere er du vanligvis ganske tett begrenset av størrelsen på TCAM, noe som raskt kan bli et problem hvis du tar "bare tillat det du trenger"-tilnærmingen
bemerkning
Når vi snakker om omvendt trafikk, må vi huske at vi har følgende mulighet (Cisco)
tillate tcp noen etablerte
Men du må forstå at denne linjen tilsvarer to linjer:
tillat tcp enhver ack
tillate tcp noen som helst først
Noe som betyr at selv om det ikke var noe innledende TCP-segment med SYN-flagget (det vil si at TCP-økten ikke en gang begynte å etablere seg), vil denne ACL tillate en pakke med ACK-flagget, som en angriper kan bruke til å overføre data.
Det vil si at denne linjen på ingen måte gjør ruteren eller L3-svitsjen til en statefull brannmur.
Høyt beskyttelsesnivå
В artikkel I avsnittet om datasentre vurderte vi følgende beskyttelsesmetoder.
stateful brannmur (standard)
ddos/dos beskyttelse
applikasjons brannmur
trusselforebygging (antivirus, antispyware og sårbarhet)
URL -filtrering
datafiltrering (innholdsfiltrering)
filblokkering (blokkering av filtyper)
Når det gjelder et kontor, er situasjonen lik, men prioriteringene er litt annerledes. Kontortilgjengelighet (tilgjengelighet) er vanligvis ikke så kritisk som i tilfellet med et datasenter, mens sannsynligheten for "intern" ondsinnet trafikk er størrelsesordener høyere.
Derfor blir følgende beskyttelsesmetoder for dette segmentet kritiske:
applikasjons brannmur
trusselforebygging (antivirus, antispyware og sårbarhet)
URL -filtrering
datafiltrering (innholdsfiltrering)
filblokkering (blokkering av filtyper)
Selv om alle disse beskyttelsesmetodene, med unntak av applikasjonsbrannmur, tradisjonelt har vært og fortsetter å bli løst på sluttvertene (for eksempel ved å installere antivirusprogrammer) og bruke proxyer, tilbyr moderne NGFW-er også disse tjenestene.
Leverandører av sikkerhetsutstyr streber etter å skape omfattende beskyttelse, så sammen med lokal beskyttelse tilbyr de ulike skyteknologier og klientprogramvare for verter (endepunktbeskyttelse/EPP). Så for eksempel fra 2018 Gartner Magic Quadrant Vi ser at Palo Alto og Cisco har egne EPP-er (PA: Traps, Cisco: AMP), men er langt fra lederne.
Å aktivere disse beskyttelsene (vanligvis ved å kjøpe lisenser) på brannmuren din er selvfølgelig ikke obligatorisk (du kan gå den tradisjonelle ruten), men det gir noen fordeler:
i dette tilfellet er det et enkelt brukspunkt for beskyttelsesmetoder, som forbedrer synligheten (se neste emne).
Hvis det er en ubeskyttet enhet på nettverket ditt, faller den fortsatt under "paraplyen" av brannmurbeskyttelse
Ved å bruke brannmurbeskyttelse sammen med endevertsbeskyttelse øker vi sannsynligheten for å oppdage skadelig trafikk. For eksempel øker bruk av trusselforebygging på lokale verter og på en brannmur sannsynligheten for oppdagelse (forutsatt at disse løsningene er basert på forskjellige programvareprodukter)
bemerkning
Hvis du for eksempel bruker Kaspersky som et antivirus både på brannmuren og på sluttvertene, så vil dette selvfølgelig ikke øke sjansene dine for å forhindre et virusangrep på nettverket i stor grad.
Nettverkssynlighet
sentrale ideen er enkelt - "se" hva som skjer på nettverket ditt, både i sanntid og historiske data.
Jeg vil dele denne "visjonen" i to grupper:
Gruppe én: hva overvåkingssystemet ditt vanligvis gir deg.
lasting av utstyr
lasting av kanaler
minnebruk
Diskbruk
endre rutetabellen
koblingsstatus
tilgjengelighet av utstyr (eller verter)
...
Gruppe to: sikkerhetsrelatert informasjon.
ulike typer statistikk (for eksempel etter applikasjon, etter URL-trafikk, hvilke typer data som ble lastet ned, brukerdata)
hva som ble blokkert av sikkerhetspolicyer og av hvilken grunn, nemlig
forbudt søknad
forbudt basert på ip/protokoll/port/flagg/soner
trusselforebygging
url-filtrering
datafiltrering
filblokkering
...
statistikk over DOS/DDOS-angrep
mislykkede identifiserings- og autorisasjonsforsøk
statistikk for alle ovennevnte sikkerhetsbruddhendelser
...
I dette kapittelet om sikkerhet er vi interessert i den andre delen.
Noen moderne brannmurer (fra min erfaring fra Palo Alto) gir et godt nivå av synlighet. Men selvfølgelig må trafikken du er interessert i gå gjennom denne brannmuren (i så fall har du muligheten til å blokkere trafikk) eller speiles til brannmuren (brukes kun til overvåking og analyse), og du må ha lisenser for å aktivere alle disse tjenestene.
Det finnes selvfølgelig en alternativ måte, eller rettere sagt den tradisjonelle måten, f.eks.
Sesjonsstatistikk kan samles inn via netflow og deretter brukes spesialverktøy for informasjonsanalyse og datavisualisering
trusselforebygging – spesielle programmer (antivirus, antispyware, brannmur) på sluttverter
URL-filtrering, datafiltrering, filblokkering – på proxy
det er også mulig å analysere tcpdump ved hjelp av f.eks. fnuse
Du kan kombinere disse to tilnærmingene, utfylle manglende funksjoner eller duplisere dem for å øke sannsynligheten for å oppdage et angrep.
Hvilken tilnærming bør du velge?
Avhenger veldig av teamets kvalifikasjoner og preferanser.
Både der og der er fordeler og ulemper.
Samlet sentralisert autentiserings- og autorisasjonssystem
Når den er godt utformet, forutsetter mobiliteten vi diskuterte i denne artikkelen at du har samme tilgang enten du jobber fra kontoret eller hjemmefra, fra flyplassen, fra en kaffebar eller andre steder (med begrensningene vi diskuterte ovenfor). Det ser ut til, hva er problemet?
For bedre å forstå kompleksiteten til denne oppgaven, la oss se på et typisk design.
Eksempel
Dere har delt inn alle ansatte i grupper. Du har bestemt deg for å gi tilgang for grupper
Inne på kontoret kontrollerer du tilgangen på kontorets brannmur
Du styrer trafikken fra kontoret til datasenteret på datasenterets brannmur
Du bruker en Cisco ASA som en VPN-gateway, og for å kontrollere trafikk som kommer inn i nettverket ditt fra eksterne klienter, bruker du lokale (på ASA) ACL-er
La oss nå si at du blir bedt om å legge til ekstra tilgang til en bestemt ansatt. I dette tilfellet blir du bedt om å legge til tilgang kun til ham og ingen andre fra gruppen hans.
Til dette må vi opprette en egen gruppe for denne ansatte, altså
opprette en egen IP-pool på ASA for denne ansatte
legg til en ny ACL på ASA og bind den til den eksterne klienten
lage nye sikkerhetspolicyer for kontor- og datasenterbrannmurer
Det er bra hvis denne hendelsen er sjelden. Men i min praksis var det en situasjon da ansatte deltok i forskjellige prosjekter, og dette settet med prosjekter for noen av dem endret seg ganske ofte, og det var ikke 1-2 personer, men dusinvis. Her måtte selvfølgelig noe endres.
Dette ble løst på følgende måte.
Vi bestemte at LDAP ville være den eneste kilden til sannhet som bestemmer alle mulige ansattes tilganger. Vi opprettet alle slags grupper som definerer sett med tilganger, og vi tilordnet hver bruker til en eller flere grupper.
Så, for eksempel, anta at det var grupper
gjest (internetttilgang)
felles tilgang (tilgang til delte ressurser: post, kunnskapsbase, ...)
regnskap
prosjekt 1
prosjekt 2
database administrator
linux administrator
...
Og hvis en av de ansatte var involvert i både prosjekt 1 og prosjekt 2, og han trengte tilgangen som er nødvendig for å jobbe i disse prosjektene, ble denne ansatte tildelt følgende grupper:
gjest
felles tilgang
prosjekt 1
prosjekt 2
Hvordan kan vi nå gjøre denne informasjonen om til tilgang på nettverksutstyr?
Kort om implementeringen vår, under identifiserings-/autorisasjonsprosessen mottar ASA fra LDAP et sett med grupper som tilsvarer en gitt bruker og "samler" fra flere lokale ACLer (som hver tilsvarer en gruppe) en dynamisk ACL med alle nødvendige tilganger , som fullt ut samsvarer med våre ønsker.
Men dette er bare for VPN-tilkoblinger. For å gjøre situasjonen lik for både ansatte koblet via VPN og de på kontoret, ble følgende trinn tatt.
Ved tilkobling fra kontoret havnet brukere som brukte 802.1x-protokollen enten i et gjeste-LAN (for gjester) eller et delt LAN (for ansatte i selskapet). Videre, for å få spesifikk tilgang (for eksempel til prosjekter i et datasenter), måtte ansatte koble seg til via VPN.
For å koble fra kontoret og hjemmefra ble det brukt forskjellige tunnelgrupper på ASA. Dette er nødvendig for at for de som kobler seg fra kontoret, skal trafikk til delte ressurser (brukes av alle ansatte, som post, filservere, billettsystem, dns, ...) ikke gå gjennom ASA, men gjennom det lokale nettverket . Dermed belastet vi ikke ASA med unødvendig trafikk, inkludert høyintensiv trafikk.
Dermed var problemet løst.
Vi fikk
samme sett med tilganger for både tilkoblinger fra kontoret og eksterne tilkoblinger
fravær av tjenesteforringelse ved arbeid fra kontoret knyttet til overføring av høyintensiv trafikk gjennom ASA
Hvilke andre fordeler med denne tilnærmingen?
I tilgangsadministrasjon. Tilganger kan enkelt endres på ett sted.
For eksempel, hvis en ansatt forlater selskapet, så fjerner du ham ganske enkelt fra LDAP, og han mister automatisk all tilgang.
Vertskontroll
Med muligheten for ekstern tilkobling risikerer vi å tillate ikke bare en bedriftsansatt inn i nettverket, men også all den skadelige programvaren som sannsynligvis finnes på datamaskinen hans (for eksempel hjemme), og dessuten, gjennom denne programvaren kan gi tilgang til nettverket vårt til en angriper som bruker denne verten som proxy.
Det er fornuftig for en eksternt tilkoblet vert å bruke de samme sikkerhetskravene som en vert på kontoret.
Dette forutsetter også den "riktige" versjonen av operativsystemet, antivirus-, antispyware- og brannmurprogramvare og oppdateringer. Vanligvis finnes denne muligheten på VPN-gatewayen (for ASA se f.eks. her).
Det er også lurt å bruke de samme trafikkanalyse- og blokkeringsteknikkene (se "Høyt beskyttelsesnivå") som sikkerhetspolicyen din gjelder for kontortrafikk.
Det er rimelig å anta at kontornettverket ditt ikke lenger er begrenset til kontorbygningen og vertene i den.
Eksempel
En god teknikk er å gi hver ansatt som trenger ekstern tilgang en god, praktisk bærbar datamaskin og kreve at de jobber, både på kontoret og hjemmefra, kun fra den.
Ikke bare forbedrer det sikkerheten til nettverket ditt, men det er også veldig praktisk og blir vanligvis sett positivt av ansatte (hvis det er en veldig god, brukervennlig bærbar datamaskin).
Om en følelse av proporsjoner og balanse
I utgangspunktet er dette en samtale om det tredje toppunktet i trekanten vår - om pris.
La oss se på et hypotetisk eksempel.
Eksempel
Du har et kontor for 200 personer. Du bestemte deg for å gjøre det så praktisk og så trygt som mulig.
Derfor bestemte du deg for å sende all trafikk gjennom brannmuren, og dermed er brannmuren standard gateway for alle kontorundernett. I tillegg til sikkerhetsprogramvaren som er installert på hver endevert (antivirus, antispyware og brannmurprogramvare), bestemte du deg også for å bruke alle mulige beskyttelsesmetoder på brannmuren.
For å sikre høy tilkoblingshastighet (alt for enkelhets skyld), valgte du svitsjer med 10 Gigabit-tilgangsporter som tilgangssvitsjer, og høyytelses NGFW-brannmurer som brannmurer, for eksempel Palo Alto 7K-serien (med 40 Gigabit-porter), naturligvis med alle lisenser inkludert og, naturligvis, et High Availability-par.
For å jobbe med denne utstyrslinjen trenger vi selvfølgelig minst et par høyt kvalifiserte sikkerhetsingeniører.
Deretter bestemte du deg for å gi hver ansatt en god bærbar datamaskin.
Totalt, rundt 10 millioner dollar for implementering, hundretusenvis av dollar (tror jeg nærmere en million) for årlig støtte og lønn til ingeniører.
Kontor, 200 personer...
Komfortabel? Jeg antar det er ja.
Du kommer med dette forslaget til din ledelse...
Kanskje er det en rekke selskaper i verden som dette er en akseptabel og riktig løsning for. Hvis du er ansatt i dette selskapet, gratulerer jeg, men i de aller fleste tilfeller er jeg sikker på at kunnskapen din ikke vil bli verdsatt av ledelsen.
Er dette eksemplet overdrevet? Det neste kapittelet vil svare på dette spørsmålet.
Hvis du ikke ser noe av det ovennevnte på nettverket ditt, er dette normen.
For hvert enkelt tilfelle må du finne ditt eget rimelige kompromiss mellom bekvemmelighet, pris og sikkerhet. Ofte trenger du ikke engang NGFW på kontoret ditt, og L7-beskyttelse på brannmuren er ikke nødvendig. Det er nok til å gi et godt nivå av synlighet og varsler, og dette kan for eksempel gjøres ved hjelp av åpen kildekode-produkter. Ja, reaksjonen din på et angrep vil ikke være umiddelbar, men hovedsaken er at du vil se det, og med de riktige prosessene på plass i avdelingen din, vil du raskt kunne nøytralisere det.
Og la meg minne deg på at, i henhold til konseptet til denne artikkelserien, designer du ikke et nettverk, du prøver bare å forbedre det du har.
Dette er et av de viktigste stedene for arkitektur og en av de viktigste usikkerhetsmomentene.
bemerkning
Jeg har aldri satt opp eller jobbet med FirePower (fra Ciscos brannmurlinje - kun ASA), så jeg vil behandle den som enhver annen brannmur, som Juniper SRX eller Palo Alto, forutsatt at den har de samme egenskapene.
Av de vanlige designene ser jeg bare 4 mulige alternativer for å bruke en brannmur med denne tilkoblingen:
standard gateway for hvert subnett er en svitsj, mens brannmuren er i transparent modus (det vil si at all trafikk går gjennom den, men den danner ikke et L3-hopp)
standard gateway for hvert undernett er brannmurens undergrensesnitt (eller SVI-grensesnitt), svitsjen spiller rollen som L2
forskjellige VRF-er brukes på svitsjen, og trafikk mellom VRF-er går gjennom brannmuren, trafikk innenfor én VRF styres av ACL-en på svitsjen
all trafikk speiles til brannmuren for analyse og overvåking, trafikk går ikke gjennom den
Bemerkning 1
Kombinasjoner av disse alternativene er mulige, men for enkelhets skyld vil vi ikke vurdere dem.
Notat 2
Det er også mulighet for å bruke PBR (service chain architecture), men foreløpig er dette, selv om det er en vakker løsning etter min mening, ganske eksotisk, så jeg vurderer det ikke her.
Fra beskrivelsen av flytene i dokumentet ser vi at trafikken fortsatt går gjennom brannmuren, det vil si at i henhold til Cisco-designet er det fjerde alternativet eliminert.
La oss først se på de to første alternativene.
Med disse alternativene går all trafikk gjennom brannmuren.
La oss nå se dataark, se Cisco GPL og vi ser at hvis vi vil at den totale båndbredden for kontoret vårt skal være minst rundt 10 - 20 gigabit, så må vi kjøpe 4K-versjonen.
bemerkning
Når jeg snakker om den totale båndbredden, mener jeg trafikk mellom undernett (og ikke innenfor en vilana).
Fra GPL ser vi at for HA Bundle med Threat Defense varierer prisen avhengig av modellen (4110 - 4150) fra ~0,5 - 2,5 millioner dollar.
Det vil si at designen vår begynner å ligne det forrige eksemplet.
Betyr dette at designet er feil?
Nei, det betyr ikke det. Cisco gir deg best mulig beskyttelse basert på produktlinjen den har. Men det betyr ikke at det er et must for deg.
I prinsippet er dette et vanlig spørsmål som dukker opp når man designer et kontor eller datasenter, og det betyr bare at det må søkes et kompromiss.
For eksempel, ikke la all trafikk gå gjennom en brannmur, i så fall virker alternativ 3 ganske bra for meg, eller (se forrige avsnitt) kanskje du ikke trenger Threat Defense eller trenger ikke en brannmur i det hele tatt på det nettverkssegmentet, og du trenger bare å begrense deg til passiv overvåking ved å bruke betalte (ikke dyre) eller åpen kildekode-løsninger, eller du trenger en brannmur, men fra en annen leverandør.
Vanligvis er det alltid denne usikkerheten og det er ikke noe klart svar på hvilken avgjørelse som er best for deg.
Dette er kompleksiteten og skjønnheten i denne oppgaven.