ProHoster > Log > administrasjon > Hvordan ta kontroll over nettverksinfrastrukturen din. Kapittel tre. Nettverksikkerhet. Del tre

Hvordan ta kontroll over nettverksinfrastrukturen din. Kapittel tre. Nettverksikkerhet. Del tre

Denne artikkelen er den femte i serien "Hvordan ta kontroll over nettverksinfrastrukturen din." Innholdet i alle artiklene i serien og lenker finner du her.

Denne delen vil bli viet Campus (kontor) og VPN-segmenter med ekstern tilgang.

Hvordan ta kontroll over nettverksinfrastrukturen din. Kapittel tre. Nettverksikkerhet. Del tre

Utforming av kontornettverk kan virke enkelt.

Faktisk tar vi L2/L3-brytere og kobler dem til hverandre. Deretter utfører vi grunnleggende oppsett av vilans og standard gatewayer, setter opp enkel ruting, kobler til WiFi-kontrollere, tilgangspunkter, installerer og konfigurerer ASA for ekstern tilgang, vi er glade for at alt fungerte. I utgangspunktet, som jeg allerede skrev i en av de forrige Artikkel av denne syklusen kan nesten hver student som har deltatt (og lært) to semestre av et telekomkurs designe og konfigurere et kontornettverk slik at det "på en eller annen måte fungerer."

Men jo mer du lærer, jo mindre enkel begynner denne oppgaven å virke. For meg personlig virker ikke dette emnet, temaet kontornettverksdesign, enkelt i det hele tatt, og i denne artikkelen vil jeg prøve å forklare hvorfor.

Kort sagt, det er ganske mange faktorer å vurdere. Ofte er disse faktorene i konflikt med hverandre, og et rimelig kompromiss må søkes.
Denne usikkerheten er den største vanskeligheten. Så når vi snakker om sikkerhet, har vi en trekant med tre hjørner: sikkerhet, bekvemmelighet for ansatte, pris på løsningen.
Og hver gang må du se etter et kompromiss mellom disse tre.

arkitektur

Som et eksempel på en arkitektur for disse to segmentene, som i tidligere artikler, anbefaler jeg Cisco SAFE modell: Enterprise Campus, Enterprise Internet Edge.

Dette er noe utdaterte dokumenter. Jeg presenterer dem her fordi de grunnleggende ordningene og tilnærmingene ikke har endret seg, men samtidig liker jeg presentasjonen mer enn i ny dokumentasjon.

Uten å oppmuntre deg til å bruke Cisco-løsninger, tror jeg likevel det er nyttig å studere dette designet nøye.

Denne artikkelen later som vanlig ikke på noen måte å være fullstendig, men er snarere et tillegg til denne informasjonen.

På slutten av artikkelen vil vi analysere Cisco SAFE-kontordesignet i forhold til konseptene som er skissert her.

Generelle prinsipper

Utformingen av kontornettet skal selvsagt tilfredsstille de generelle kravene som har vært diskutert her i kapittelet «Kriterier for vurdering av designkvalitet». Foruten pris og sikkerhet, som vi har tenkt å diskutere i denne artikkelen, er det fortsatt tre kriterier som vi må vurdere når vi designer (eller gjør endringer):

  • skalerbarhet
  • brukervennlighet (håndterbarhet)
  • tilgjengelighet

Mye av det som ble diskutert for datasentre Dette gjelder også for kontoret.

Men fortsatt har kontorsegmentet sine egne detaljer, som er kritiske fra et sikkerhetssynspunkt. Essensen av denne spesifisiteten er at dette segmentet er opprettet for å tilby nettverkstjenester til ansatte (så vel som partnere og gjester) i selskapet, og som et resultat, på det høyeste nivået av vurdering av problemet, har vi to oppgaver:

  • beskytte bedriftens ressurser mot ondsinnede handlinger som kan komme fra ansatte (gjester, partnere) og fra programvaren de bruker. Dette inkluderer også beskyttelse mot uautorisert tilkobling til nettverket.
  • beskytte systemer og brukerdata

Og dette er bare én side av problemet (eller rettere sagt, ett toppunkt i trekanten). På den andre siden er brukervennligheten og prisen på løsningene som brukes.

La oss starte med å se på hva en bruker forventer av et moderne kontornettverk.

bekvemmelighet

Slik ser "nettverksfasiliteter" ut for en kontorbruker etter min mening:

  • mobilitet
  • Evne til å bruke hele spekteret av kjente enheter og operativsystemer
  • Enkel tilgang til alle nødvendige bedriftsressurser
  • Tilgjengelighet av Internett-ressurser, inkludert ulike skytjenester
  • "Rask drift" av nettverket

Alt dette gjelder både ansatte og gjester (eller partnere), og det er selskapets ingeniørers oppgave å differensiere tilgang for ulike brukergrupper basert på autorisasjon.

La oss se på hvert av disse aspektene litt mer detaljert.

mobilitet

Vi snakker om muligheten til å jobbe og bruke alle nødvendige bedriftsressurser fra hvor som helst i verden (selvfølgelig der Internett er tilgjengelig).

Dette gjelder fullt ut kontoret. Dette er praktisk når du har muligheten til å fortsette å jobbe fra hvor som helst på kontoret, for eksempel motta post, kommunisere i en bedriftsmessenger, være tilgjengelig for en videosamtale, ... Dermed lar dette deg på den ene siden, for å løse noen problemer «live»-kommunikasjon (for eksempel delta i stevner), og på den annen side alltid være online, holde fingeren på pulsen og raskt løse noen presserende, høyt prioriterte oppgaver. Dette er veldig praktisk og forbedrer virkelig kvaliteten på kommunikasjonen.

Dette oppnås ved riktig WiFi-nettverksdesign.

bemerkning

Her oppstår vanligvis spørsmålet: er det nok å bruke bare WiFi? Betyr dette at du kan slutte å bruke Ethernet-porter på kontoret? Hvis vi bare snakker om brukere, og ikke om servere, som fortsatt er rimelige å koble til med en vanlig Ethernet-port, så er svaret generelt: ja, du kan begrense deg til kun WiFi. Men det er nyanser.

Det er viktige brukergrupper som krever en egen tilnærming. Dette er selvfølgelig administratorer. I prinsippet er en WiFi-tilkobling mindre pålitelig (i form av trafikktap) og tregere enn en vanlig Ethernet-port. Dette kan være viktig for administratorer. I tillegg kan for eksempel nettverksadministratorer i prinsippet ha et eget dedikert Ethernet-nettverk for out-of-band-tilkoblinger.

Det kan være andre grupper/avdelinger i din bedrift som disse faktorene også er viktige for.

Det er et annet viktig poeng - telefoni. Kanskje du av en eller annen grunn ikke ønsker å bruke trådløs VoIP og vil bruke IP-telefoner med en vanlig Ethernet-tilkobling.

Generelt hadde selskapene jeg jobbet for vanligvis både WiFi-tilkobling og en Ethernet-port.

Jeg vil at mobilitet ikke skal begrenses til bare kontoret.

For å sikre muligheten til å jobbe hjemmefra (eller et hvilket som helst annet sted med tilgjengelig Internett), brukes en VPN-tilkobling. Samtidig er det ønskelig at ansatte ikke føler forskjell på hjemmearbeid og fjernarbeid, som forutsetter samme tilgang. Vi vil diskutere hvordan du organiserer dette litt senere i kapittelet "Enhetlig sentralisert autentiserings- og autorisasjonssystem."

bemerkning

Mest sannsynlig vil du ikke fullt ut kunne tilby den samme kvaliteten på tjenester for fjernarbeid som du har på kontoret. La oss anta at du bruker en Cisco ASA 5520 som din VPN-gateway. dataark denne enheten er i stand til å "fordøye" bare 225 Mbit VPN-trafikk. Det er, selvfølgelig, når det gjelder båndbredde, tilkobling via VPN er veldig forskjellig fra å jobbe fra kontoret. Dessuten, hvis, av en eller annen grunn, latens, tap, jitter (for eksempel du ønsker å bruke kontor IP-telefoni) for nettverkstjenestene dine er betydelige, vil du heller ikke motta samme kvalitet som om du var på kontoret. Når vi snakker om mobilitet, må vi derfor være oppmerksomme på mulige begrensninger.

Enkel tilgang til alle selskapets ressurser

Denne oppgaven bør løses i fellesskap med andre tekniske avdelinger.
Den ideelle situasjonen er når brukeren bare trenger å autentisere én gang, og etter det har han tilgang til alle nødvendige ressurser.
Å gi enkel tilgang uten å ofre sikkerheten kan forbedre produktiviteten betydelig og redusere stress blant kollegene dine.

Bemerkning 1

Enkel tilgang handler ikke bare om hvor mange ganger du må skrive inn et passord. Hvis du for eksempel i henhold til sikkerhetspolicyen din for å koble fra kontoret til datasenteret først må koble til VPN-gatewayen, og samtidig mister tilgangen til kontorressurser, så er dette også veldig , veldig upraktisk.

Bemerkning 2

Det er tjenester (for eksempel tilgang til nettverksutstyr) hvor vi vanligvis har egne dedikerte AAA-servere og dette er normen når vi i dette tilfellet må autentisere flere ganger.

Tilgjengelighet av Internett-ressurser

Internett er ikke bare underholdning, men også et sett med tjenester som kan være svært nyttige for jobben. Det er også rent psykologiske faktorer. En moderne person er forbundet med andre mennesker via Internett gjennom mange virtuelle tråder, og etter min mening er det ingenting galt hvis han fortsetter å føle denne forbindelsen selv mens han jobber.

Fra et sløsingssynspunkt er det ikke noe galt hvis en ansatt for eksempel har Skype i gang og bruker 5 minutter på å kommunisere med en man er glad i om nødvendig.

Betyr dette at Internett alltid skal være tilgjengelig, betyr det at ansatte kan ha tilgang til alle ressurser og ikke kontrollere dem på noen måte?

Nei betyr ikke det, selvfølgelig. Graden av åpenhet på Internett kan variere for ulike selskaper – fra fullstendig nedleggelse til fullstendig åpenhet. Vi vil diskutere måter å kontrollere trafikken på senere i avsnittene om sikkerhetstiltak.

Evne til å bruke hele spekteret av kjente enheter

Det er praktisk når du for eksempel har muligheten til å fortsette å bruke alle kommunikasjonsmidlene du er vant til på jobben. Det er ingen vanskeligheter med å implementere dette teknisk. For dette trenger du WiFi og en gjest wilan.

Det er også bra hvis du har muligheten til å bruke operativsystemet du er vant til. Men etter min observasjon er dette vanligvis bare tillatt for ledere, administratorer og utviklere.

Eksempel

Du kan selvfølgelig følge forbudsveien, forby fjerntilgang, forby tilkobling fra mobile enheter, begrense alt til statiske Ethernet-tilkoblinger, begrense tilgang til Internett, tvungent konfiskere mobiltelefoner og dingser ved sjekkpunktet ... og denne banen blir faktisk etterfulgt av noen organisasjoner med økte sikkerhetskrav, og kanskje i noen tilfeller kan dette være berettiget, men... du må være enig i at dette ser ut som et forsøk på å stoppe fremgang i en enkelt organisasjon. Jeg vil selvfølgelig kombinere mulighetene som moderne teknologi gir med et tilstrekkelig sikkerhetsnivå.

"Rask drift" av nettverket

Dataoverføringshastigheten består teknisk sett av mange faktorer. Og hastigheten på tilkoblingsporten din er vanligvis ikke den viktigste. Langsom drift av en applikasjon er ikke alltid forbundet med nettverksproblemer, men foreløpig er vi kun interessert i nettverksdelen. Det vanligste problemet med lokal nettverks "nedgang" er relatert til pakketap. Dette oppstår vanligvis når det er en flaskehals eller L1 (OSI) problemer. Mer sjelden, med noen design (for eksempel når subnettene dine har en brannmur som standard gateway og dermed all trafikk går gjennom den), kan maskinvareytelsen mangle.

Derfor, når du velger utstyr og arkitektur, må du korrelere hastighetene til endeporter, trunks og utstyrsytelse.

Eksempel

La oss anta at du bruker svitsjer med 1 gigabit-porter som aksesssvitsjer. De er koblet til hverandre via Etherchannel 2 x 10 gigabit. Som standard gateway bruker du en brannmur med gigabit-porter, for å koble til L2-kontornettverket du bruker 2 gigabit-porter kombinert til en Etherchannel.

Denne arkitekturen er ganske praktisk fra et funksjonssynspunkt, fordi... All trafikk går gjennom brannmuren, og du kan komfortabelt administrere tilgangspolicyer og bruke komplekse algoritmer for å kontrollere trafikk og forhindre mulige angrep (se nedenfor), men fra et gjennomstrømnings- og ytelsessynspunkt har selvfølgelig denne designen potensielle problemer. Så for eksempel kan 2 verter som laster ned data (med en porthastighet på 1 gigabit) laste en 2 gigabit-tilkobling fullstendig til brannmuren, og dermed føre til tjenesteforringelse for hele kontorsegmentet.

Vi har sett på ett toppunkt i trekanten, la oss nå se på hvordan vi kan sikre sikkerhet.

rettsmidler

Så, selvfølgelig, er vanligvis vårt ønske (eller rettere sagt, ønsket til vår ledelse) å oppnå det umulige, nemlig å gi maksimal bekvemmelighet med maksimal sikkerhet og minimale kostnader.

La oss se på hvilke metoder vi har for å gi beskyttelse.

For kontoret vil jeg fremheve følgende:

  • null tillit tilnærming til design
  • høyt beskyttelsesnivå
  • nettverkssynlighet
  • enhetlig sentralisert autentiserings- og autorisasjonssystem
  • vertskontroll

Deretter vil vi dvele litt mer detaljert på hvert av disse aspektene.

Null tillit

IT-verdenen endrer seg veldig raskt. I løpet av de siste 10 årene har fremveksten av nye teknologier og produkter ført til en stor revisjon av sikkerhetskonsepter. For ti år siden, fra et sikkerhetssynspunkt, segmenterte vi nettverket i trust-, dmz- og untrust-soner, og brukte den såkalte "perimeterbeskyttelsen", der det var 2 forsvarslinjer: utillit -> dmz og dmz -> tillit. Beskyttelsen var også vanligvis begrenset til tilgangslister basert på L3/L4 (OSI)-overskrifter (IP, TCP/UDP-porter, TCP-flagg). Alt relatert til høyere nivåer, inkludert L7, ble overlatt til operativsystemet og sikkerhetsproduktene installert på sluttvertene.

Nå har situasjonen endret seg dramatisk. Moderne konsept null tillit kommer fra det faktum at det ikke lenger er mulig å betrakte interne systemer, det vil si de som ligger innenfor omkretsen, som pålitelige, og konseptet om selve omkretsen har blitt uskarpt.
I tillegg til internettforbindelse har vi også

  • VPN-brukere med ekstern tilgang
  • ulike personlige dingser, medbrakte bærbare datamaskiner, koblet til via kontor-WiFi
  • andre (avdelings)kontorer
  • integrasjon med skyinfrastruktur

Hvordan ser Zero Trust-tilnærmingen ut i praksis?

Ideelt sett bør bare trafikken som kreves tillates, og hvis vi snakker om et ideal, bør kontrollen ikke bare være på L3/L4-nivå, men på applikasjonsnivå.

Hvis du for eksempel har muligheten til å sende all trafikk gjennom en brannmur, så kan du prøve å komme nærmere idealet. Men denne tilnærmingen kan redusere den totale båndbredden til nettverket ditt betydelig, og dessuten fungerer ikke alltid filtrering etter applikasjon bra.

Når du kontrollerer trafikk på en ruter eller L3-svitsj (ved bruk av standard ACL-er), støter du på andre problemer:

  • Dette er kun L3/L4-filtrering. Det er ingenting som hindrer en angriper fra å bruke tillatte porter (f.eks. TCP 80) for sin applikasjon (ikke http)
  • kompleks ACL-administrasjon (vanskelig å analysere ACL-er)
  • Dette er ikke en statefull brannmur, noe som betyr at du eksplisitt må tillate omvendt trafikk
  • med brytere er du vanligvis ganske tett begrenset av størrelsen på TCAM, noe som raskt kan bli et problem hvis du tar "bare tillat det du trenger"-tilnærmingen

bemerkning

Når vi snakker om omvendt trafikk, må vi huske at vi har følgende mulighet (Cisco)

tillate tcp noen etablerte

Men du må forstå at denne linjen tilsvarer to linjer:
tillat tcp enhver ack
tillate tcp noen som helst først

Noe som betyr at selv om det ikke var noe innledende TCP-segment med SYN-flagget (det vil si at TCP-økten ikke en gang begynte å etablere seg), vil denne ACL tillate en pakke med ACK-flagget, som en angriper kan bruke til å overføre data.

Det vil si at denne linjen på ingen måte gjør ruteren eller L3-svitsjen til en statefull brannmur.

Høyt beskyttelsesnivå

В artikkel I avsnittet om datasentre vurderte vi følgende beskyttelsesmetoder.

  • stateful brannmur (standard)
  • ddos/dos beskyttelse
  • applikasjons brannmur
  • trusselforebygging (antivirus, antispyware og sårbarhet)
  • URL -filtrering
  • datafiltrering (innholdsfiltrering)
  • filblokkering (blokkering av filtyper)

Når det gjelder et kontor, er situasjonen lik, men prioriteringene er litt annerledes. Kontortilgjengelighet (tilgjengelighet) er vanligvis ikke så kritisk som i tilfellet med et datasenter, mens sannsynligheten for "intern" ondsinnet trafikk er størrelsesordener høyere.
Derfor blir følgende beskyttelsesmetoder for dette segmentet kritiske:

  • applikasjons brannmur
  • trusselforebygging (antivirus, antispyware og sårbarhet)
  • URL -filtrering
  • datafiltrering (innholdsfiltrering)
  • filblokkering (blokkering av filtyper)

Selv om alle disse beskyttelsesmetodene, med unntak av applikasjonsbrannmur, tradisjonelt har vært og fortsetter å bli løst på sluttvertene (for eksempel ved å installere antivirusprogrammer) og bruke proxyer, tilbyr moderne NGFW-er også disse tjenestene.

Leverandører av sikkerhetsutstyr streber etter å skape omfattende beskyttelse, så sammen med lokal beskyttelse tilbyr de ulike skyteknologier og klientprogramvare for verter (endepunktbeskyttelse/EPP). Så for eksempel fra 2018 Gartner Magic Quadrant Vi ser at Palo Alto og Cisco har egne EPP-er (PA: Traps, Cisco: AMP), men er langt fra lederne.

Å aktivere disse beskyttelsene (vanligvis ved å kjøpe lisenser) på brannmuren din er selvfølgelig ikke obligatorisk (du kan gå den tradisjonelle ruten), men det gir noen fordeler:

  • i dette tilfellet er det et enkelt brukspunkt for beskyttelsesmetoder, som forbedrer synligheten (se neste emne).
  • Hvis det er en ubeskyttet enhet på nettverket ditt, faller den fortsatt under "paraplyen" av brannmurbeskyttelse
  • Ved å bruke brannmurbeskyttelse sammen med endevertsbeskyttelse øker vi sannsynligheten for å oppdage skadelig trafikk. For eksempel øker bruk av trusselforebygging på lokale verter og på en brannmur sannsynligheten for oppdagelse (forutsatt at disse løsningene er basert på forskjellige programvareprodukter)

bemerkning

Hvis du for eksempel bruker Kaspersky som et antivirus både på brannmuren og på sluttvertene, så vil dette selvfølgelig ikke øke sjansene dine for å forhindre et virusangrep på nettverket i stor grad.

Nettverkssynlighet

sentrale ideen er enkelt - "se" hva som skjer på nettverket ditt, både i sanntid og historiske data.

Jeg vil dele denne "visjonen" i to grupper:

Gruppe én: hva overvåkingssystemet ditt vanligvis gir deg.

  • lasting av utstyr
  • lasting av kanaler
  • minnebruk
  • Diskbruk
  • endre rutetabellen
  • koblingsstatus
  • tilgjengelighet av utstyr (eller verter)
  • ...

Gruppe to: sikkerhetsrelatert informasjon.

  • ulike typer statistikk (for eksempel etter applikasjon, etter URL-trafikk, hvilke typer data som ble lastet ned, brukerdata)
  • hva som ble blokkert av sikkerhetspolicyer og av hvilken grunn, nemlig
    • forbudt søknad
    • forbudt basert på ip/protokoll/port/flagg/soner
    • trusselforebygging
    • url-filtrering
    • datafiltrering
    • filblokkering
    • ...
  • statistikk over DOS/DDOS-angrep
  • mislykkede identifiserings- og autorisasjonsforsøk
  • statistikk for alle ovennevnte sikkerhetsbruddhendelser
  • ...

I dette kapittelet om sikkerhet er vi interessert i den andre delen.

Noen moderne brannmurer (fra min erfaring fra Palo Alto) gir et godt nivå av synlighet. Men selvfølgelig må trafikken du er interessert i gå gjennom denne brannmuren (i så fall har du muligheten til å blokkere trafikk) eller speiles til brannmuren (brukes kun til overvåking og analyse), og du må ha lisenser for å aktivere alle disse tjenestene.

Det finnes selvfølgelig en alternativ måte, eller rettere sagt den tradisjonelle måten, f.eks.

  • Sesjonsstatistikk kan samles inn via netflow og deretter brukes spesialverktøy for informasjonsanalyse og datavisualisering
  • trusselforebygging – spesielle programmer (antivirus, antispyware, brannmur) på sluttverter
  • URL-filtrering, datafiltrering, filblokkering – på proxy
  • det er også mulig å analysere tcpdump ved hjelp av f.eks. fnuse

Du kan kombinere disse to tilnærmingene, utfylle manglende funksjoner eller duplisere dem for å øke sannsynligheten for å oppdage et angrep.

Hvilken tilnærming bør du velge?
Avhenger veldig av teamets kvalifikasjoner og preferanser.
Både der og der er fordeler og ulemper.

Samlet sentralisert autentiserings- og autorisasjonssystem

Når den er godt utformet, forutsetter mobiliteten vi diskuterte i denne artikkelen at du har samme tilgang enten du jobber fra kontoret eller hjemmefra, fra flyplassen, fra en kaffebar eller andre steder (med begrensningene vi diskuterte ovenfor). Det ser ut til, hva er problemet?
For bedre å forstå kompleksiteten til denne oppgaven, la oss se på et typisk design.

Eksempel

  • Dere har delt inn alle ansatte i grupper. Du har bestemt deg for å gi tilgang for grupper
  • Inne på kontoret kontrollerer du tilgangen på kontorets brannmur
  • Du styrer trafikken fra kontoret til datasenteret på datasenterets brannmur
  • Du bruker en Cisco ASA som en VPN-gateway, og for å kontrollere trafikk som kommer inn i nettverket ditt fra eksterne klienter, bruker du lokale (på ASA) ACL-er

La oss nå si at du blir bedt om å legge til ekstra tilgang til en bestemt ansatt. I dette tilfellet blir du bedt om å legge til tilgang kun til ham og ingen andre fra gruppen hans.

Til dette må vi opprette en egen gruppe for denne ansatte, altså

  • opprette en egen IP-pool på ASA for denne ansatte
  • legg til en ny ACL på ASA og bind den til den eksterne klienten
  • lage nye sikkerhetspolicyer for kontor- og datasenterbrannmurer

Det er bra hvis denne hendelsen er sjelden. Men i min praksis var det en situasjon da ansatte deltok i forskjellige prosjekter, og dette settet med prosjekter for noen av dem endret seg ganske ofte, og det var ikke 1-2 personer, men dusinvis. Her måtte selvfølgelig noe endres.

Dette ble løst på følgende måte.

Vi bestemte at LDAP ville være den eneste kilden til sannhet som bestemmer alle mulige ansattes tilganger. Vi opprettet alle slags grupper som definerer sett med tilganger, og vi tilordnet hver bruker til en eller flere grupper.

Så, for eksempel, anta at det var grupper

  • gjest (internetttilgang)
  • felles tilgang (tilgang til delte ressurser: post, kunnskapsbase, ...)
  • regnskap
  • prosjekt 1
  • prosjekt 2
  • database administrator
  • linux administrator
  • ...

Og hvis en av de ansatte var involvert i både prosjekt 1 og prosjekt 2, og han trengte tilgangen som er nødvendig for å jobbe i disse prosjektene, ble denne ansatte tildelt følgende grupper:

  • gjest
  • felles tilgang
  • prosjekt 1
  • prosjekt 2

Hvordan kan vi nå gjøre denne informasjonen om til tilgang på nettverksutstyr?

Cisco ASA Dynamic Access Policy (DAP) (se www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) løsningen er helt riktig for denne oppgaven.

Kort om implementeringen vår, under identifiserings-/autorisasjonsprosessen mottar ASA fra LDAP et sett med grupper som tilsvarer en gitt bruker og "samler" fra flere lokale ACLer (som hver tilsvarer en gruppe) en dynamisk ACL med alle nødvendige tilganger , som fullt ut samsvarer med våre ønsker.

Men dette er bare for VPN-tilkoblinger. For å gjøre situasjonen lik for både ansatte koblet via VPN og de på kontoret, ble følgende trinn tatt.

Ved tilkobling fra kontoret havnet brukere som brukte 802.1x-protokollen enten i et gjeste-LAN (for gjester) eller et delt LAN (for ansatte i selskapet). Videre, for å få spesifikk tilgang (for eksempel til prosjekter i et datasenter), måtte ansatte koble seg til via VPN.

For å koble fra kontoret og hjemmefra ble det brukt forskjellige tunnelgrupper på ASA. Dette er nødvendig for at for de som kobler seg fra kontoret, skal trafikk til delte ressurser (brukes av alle ansatte, som post, filservere, billettsystem, dns, ...) ikke gå gjennom ASA, men gjennom det lokale nettverket . Dermed belastet vi ikke ASA med unødvendig trafikk, inkludert høyintensiv trafikk.

Dermed var problemet løst.
Vi fikk

  • samme sett med tilganger for både tilkoblinger fra kontoret og eksterne tilkoblinger
  • fravær av tjenesteforringelse ved arbeid fra kontoret knyttet til overføring av høyintensiv trafikk gjennom ASA

Hvilke andre fordeler med denne tilnærmingen?
I tilgangsadministrasjon. Tilganger kan enkelt endres på ett sted.
For eksempel, hvis en ansatt forlater selskapet, så fjerner du ham ganske enkelt fra LDAP, og han mister automatisk all tilgang.

Vertskontroll

Med muligheten for ekstern tilkobling risikerer vi å tillate ikke bare en bedriftsansatt inn i nettverket, men også all den skadelige programvaren som sannsynligvis finnes på datamaskinen hans (for eksempel hjemme), og dessuten, gjennom denne programvaren kan gi tilgang til nettverket vårt til en angriper som bruker denne verten som proxy.

Det er fornuftig for en eksternt tilkoblet vert å bruke de samme sikkerhetskravene som en vert på kontoret.

Dette forutsetter også den "riktige" versjonen av operativsystemet, antivirus-, antispyware- og brannmurprogramvare og oppdateringer. Vanligvis finnes denne muligheten på VPN-gatewayen (for ASA se f.eks. her).

Det er også lurt å bruke de samme trafikkanalyse- og blokkeringsteknikkene (se "Høyt beskyttelsesnivå") som sikkerhetspolicyen din gjelder for kontortrafikk.

Det er rimelig å anta at kontornettverket ditt ikke lenger er begrenset til kontorbygningen og vertene i den.

Eksempel

En god teknikk er å gi hver ansatt som trenger ekstern tilgang en god, praktisk bærbar datamaskin og kreve at de jobber, både på kontoret og hjemmefra, kun fra den.

Ikke bare forbedrer det sikkerheten til nettverket ditt, men det er også veldig praktisk og blir vanligvis sett positivt av ansatte (hvis det er en veldig god, brukervennlig bærbar datamaskin).

Om en følelse av proporsjoner og balanse

I utgangspunktet er dette en samtale om det tredje toppunktet i trekanten vår - om pris.
La oss se på et hypotetisk eksempel.

Eksempel

Du har et kontor for 200 personer. Du bestemte deg for å gjøre det så praktisk og så trygt som mulig.

Derfor bestemte du deg for å sende all trafikk gjennom brannmuren, og dermed er brannmuren standard gateway for alle kontorundernett. I tillegg til sikkerhetsprogramvaren som er installert på hver endevert (antivirus, antispyware og brannmurprogramvare), bestemte du deg også for å bruke alle mulige beskyttelsesmetoder på brannmuren.

For å sikre høy tilkoblingshastighet (alt for enkelhets skyld), valgte du svitsjer med 10 Gigabit-tilgangsporter som tilgangssvitsjer, og høyytelses NGFW-brannmurer som brannmurer, for eksempel Palo Alto 7K-serien (med 40 Gigabit-porter), naturligvis med alle lisenser inkludert og, naturligvis, et High Availability-par.

For å jobbe med denne utstyrslinjen trenger vi selvfølgelig minst et par høyt kvalifiserte sikkerhetsingeniører.

Deretter bestemte du deg for å gi hver ansatt en god bærbar datamaskin.

Totalt, rundt 10 millioner dollar for implementering, hundretusenvis av dollar (tror jeg nærmere en million) for årlig støtte og lønn til ingeniører.

Kontor, 200 personer...
Komfortabel? Jeg antar det er ja.

Du kommer med dette forslaget til din ledelse...
Kanskje er det en rekke selskaper i verden som dette er en akseptabel og riktig løsning for. Hvis du er ansatt i dette selskapet, gratulerer jeg, men i de aller fleste tilfeller er jeg sikker på at kunnskapen din ikke vil bli verdsatt av ledelsen.

Er dette eksemplet overdrevet? Det neste kapittelet vil svare på dette spørsmålet.

Hvis du ikke ser noe av det ovennevnte på nettverket ditt, er dette normen.
For hvert enkelt tilfelle må du finne ditt eget rimelige kompromiss mellom bekvemmelighet, pris og sikkerhet. Ofte trenger du ikke engang NGFW på kontoret ditt, og L7-beskyttelse på brannmuren er ikke nødvendig. Det er nok til å gi et godt nivå av synlighet og varsler, og dette kan for eksempel gjøres ved hjelp av åpen kildekode-produkter. Ja, reaksjonen din på et angrep vil ikke være umiddelbar, men hovedsaken er at du vil se det, og med de riktige prosessene på plass i avdelingen din, vil du raskt kunne nøytralisere det.

Og la meg minne deg på at, i henhold til konseptet til denne artikkelserien, designer du ikke et nettverk, du prøver bare å forbedre det du har.

SIKKER analyse av kontorarkitektur

Vær oppmerksom på denne røde firkanten som jeg tildelte en plass på diagrammet fra SAFE Secure Campus Architecture Guidesom jeg vil diskutere her.

Hvordan ta kontroll over nettverksinfrastrukturen din. Kapittel tre. Nettverksikkerhet. Del tre

Dette er et av de viktigste stedene for arkitektur og en av de viktigste usikkerhetsmomentene.

bemerkning

Jeg har aldri satt opp eller jobbet med FirePower (fra Ciscos brannmurlinje - kun ASA), så jeg vil behandle den som enhver annen brannmur, som Juniper SRX eller Palo Alto, forutsatt at den har de samme egenskapene.

Av de vanlige designene ser jeg bare 4 mulige alternativer for å bruke en brannmur med denne tilkoblingen:

  • standard gateway for hvert subnett er en svitsj, mens brannmuren er i transparent modus (det vil si at all trafikk går gjennom den, men den danner ikke et L3-hopp)
  • standard gateway for hvert undernett er brannmurens undergrensesnitt (eller SVI-grensesnitt), svitsjen spiller rollen som L2
  • forskjellige VRF-er brukes på svitsjen, og trafikk mellom VRF-er går gjennom brannmuren, trafikk innenfor én VRF styres av ACL-en på svitsjen
  • all trafikk speiles til brannmuren for analyse og overvåking, trafikk går ikke gjennom den

Bemerkning 1

Kombinasjoner av disse alternativene er mulige, men for enkelhets skyld vil vi ikke vurdere dem.

Notat 2

Det er også mulighet for å bruke PBR (service chain architecture), men foreløpig er dette, selv om det er en vakker løsning etter min mening, ganske eksotisk, så jeg vurderer det ikke her.

Fra beskrivelsen av flytene i dokumentet ser vi at trafikken fortsatt går gjennom brannmuren, det vil si at i henhold til Cisco-designet er det fjerde alternativet eliminert.

La oss først se på de to første alternativene.
Med disse alternativene går all trafikk gjennom brannmuren.

La oss nå se dataark, se Cisco GPL og vi ser at hvis vi vil at den totale båndbredden for kontoret vårt skal være minst rundt 10 - 20 gigabit, så må vi kjøpe 4K-versjonen.

bemerkning

Når jeg snakker om den totale båndbredden, mener jeg trafikk mellom undernett (og ikke innenfor en vilana).

Fra GPL ser vi at for HA Bundle med Threat Defense varierer prisen avhengig av modellen (4110 - 4150) fra ~0,5 - 2,5 millioner dollar.

Det vil si at designen vår begynner å ligne det forrige eksemplet.

Betyr dette at designet er feil?
Nei, det betyr ikke det. Cisco gir deg best mulig beskyttelse basert på produktlinjen den har. Men det betyr ikke at det er et must for deg.

I prinsippet er dette et vanlig spørsmål som dukker opp når man designer et kontor eller datasenter, og det betyr bare at det må søkes et kompromiss.

For eksempel, ikke la all trafikk gå gjennom en brannmur, i så fall virker alternativ 3 ganske bra for meg, eller (se forrige avsnitt) kanskje du ikke trenger Threat Defense eller trenger ikke en brannmur i det hele tatt på det nettverkssegmentet, og du trenger bare å begrense deg til passiv overvåking ved å bruke betalte (ikke dyre) eller åpen kildekode-løsninger, eller du trenger en brannmur, men fra en annen leverandør.

Vanligvis er det alltid denne usikkerheten og det er ikke noe klart svar på hvilken avgjørelse som er best for deg.
Dette er kompleksiteten og skjønnheten i denne oppgaven.

Kilde: www.habr.com

Legg til en kommentar