ProHoster > Blog > administracja > Jak przejąć kontrolę nad infrastrukturą sieciową. Rozdział trzeci. Bezpieczeństwo sieci. Część trzecia

Jak przejąć kontrolę nad infrastrukturą sieciową. Rozdział trzeci. Bezpieczeństwo sieci. Część trzecia

Ten artykuł jest piątym z serii „Jak przejąć kontrolę nad infrastrukturą sieciową”. Można znaleźć treść wszystkich artykułów z serii oraz linki tutaj.

Ta część będzie poświęcona segmentom VPN w kampusie (biurze) i dostępie zdalnym.

Jak przejąć kontrolę nad infrastrukturą sieciową. Rozdział trzeci. Bezpieczeństwo sieci. Część trzecia

Projekt sieci biurowej może wydawać się łatwy.

Rzeczywiście, bierzemy przełączniki L2/L3 i łączymy je ze sobą. Następnie przeprowadzamy podstawową konfigurację vilanów i bram domyślnych, konfigurujemy prosty routing, podłączamy kontrolery WiFi, punkty dostępowe, instalujemy i konfigurujemy ASA do zdalnego dostępu, cieszymy się, że wszystko zadziałało. W zasadzie tak jak już pisałem w którymś z poprzednich artykuły tego cyklu prawie każdy student, który uczestniczył (i nauczył się) przez dwa semestry kursu telekomunikacyjnego, może zaprojektować i skonfigurować sieć biurową tak, aby „jakoś działała”.

Ale im więcej się uczysz, tym mniej proste wydaje się to zadanie. Dla mnie osobiście ten temat, czyli temat projektowania sieci biurowych, wcale nie wydaje się prosty i w tym artykule postaram się wyjaśnić dlaczego.

Krótko mówiąc, należy wziąć pod uwagę kilka czynników. Często te czynniki są ze sobą sprzeczne i należy szukać rozsądnego kompromisu.
Ta niepewność jest główną trudnością. Mówiąc więc o bezpieczeństwie mamy trójkąt o trzech wierzchołkach: bezpieczeństwo, wygoda dla pracowników, cena rozwiązania.
I za każdym razem trzeba szukać kompromisu pomiędzy tą trójką.

Architektura

Jako przykład architektury dla tych dwóch segmentów, podobnie jak w poprzednich artykułach, polecam Cisco BEZPIECZNE Model: Kampus korporacyjny, Krawędź internetowa przedsiębiorstwa.

Są to dokumenty nieco przestarzałe. Prezentuję je tutaj, ponieważ podstawowe schematy i podejście się nie zmieniły, ale jednocześnie prezentacja podoba mi się bardziej niż w nowa dokumentacja.

Nie zachęcając do korzystania z rozwiązań Cisco, nadal uważam, że warto dokładnie przestudiować ten projekt.

Artykuł ten, jak zwykle, w żaden sposób nie pretenduje do kompletności, a raczej stanowi uzupełnienie tych informacji.

Na koniec artykułu przeanalizujemy projekt biura Cisco SAFE pod kątem przedstawionych tutaj koncepcji.

Zasady ogólne

Projekt sieci biurowej musi oczywiście spełniać ogólne wymagania, które zostały omówione tutaj w rozdziale „Kryteria oceny jakości projektów”. Oprócz ceny i bezpieczeństwa, które zamierzamy omówić w tym artykule, istnieją jeszcze trzy kryteria, które musimy wziąć pod uwagę podczas projektowania (lub wprowadzania zmian):

  • skalowalność
  • łatwość obsługi (zarządzanie)
  • dostępność

Wiele z tego, o czym dyskutowano centra danych Dotyczy to również biura.

Jednak segment biurowy ma swoją specyfikę, która jest krytyczna z punktu widzenia bezpieczeństwa. Istota tej specyfiki polega na tym, że segment ten stworzony jest w celu świadczenia usług sieciowych pracownikom (a także partnerom i gościom) firmy, w związku z czym na najwyższym poziomie rozpatrywania problemu mamy dwa zadania:

  • chroń zasoby firmy przed złośliwymi działaniami, które mogą pochodzić ze strony pracowników (gości, partnerów) oraz wykorzystywanego przez nich oprogramowania. Obejmuje to również ochronę przed nieautoryzowanym podłączeniem do sieci.
  • chronić systemy i dane użytkowników

A to tylko jedna strona problemu (a raczej jeden wierzchołek trójkąta). Z drugiej strony wygoda użytkownika i cena zastosowanych rozwiązań.

Zacznijmy od sprawdzenia, czego użytkownik oczekuje od nowoczesnej sieci biurowej.

Udogodnienia

Oto, jak moim zdaniem wyglądają „udogodnienia sieciowe” dla użytkownika pakietu Office:

  • Mobilność
  • Możliwość korzystania z pełnej gamy znanych urządzeń i systemów operacyjnych
  • Łatwy dostęp do wszystkich niezbędnych zasobów firmy
  • Dostępność zasobów Internetu, w tym różnych usług chmurowych
  • „Szybkie działanie” sieci

Wszystko to dotyczy zarówno pracowników, jak i gości (lub partnerów), a zadaniem inżynierów firmy jest różnicowanie dostępu dla różnych grup użytkowników na podstawie uprawnień.

Przyjrzyjmy się każdemu z tych aspektów nieco bardziej szczegółowo.

Mobilność

Mowa tu o możliwości pracy i korzystania ze wszystkich niezbędnych zasobów firmy z dowolnego miejsca na świecie (oczywiście tam, gdzie dostępny jest Internet).

Dotyczy to w pełni biura. Jest to wygodne, gdy masz możliwość kontynuowania pracy z dowolnego miejsca w biurze, na przykład odbierania poczty, komunikowania się w firmowym komunikatorze, bycia dostępnym do rozmów wideo,… Dzięki temu możesz z jednej strony aby rozwiązać pewne problemy poprzez komunikację „na żywo” (np. udział w wiecach), a z drugiej strony być zawsze online, trzymać rękę na pulsie i szybko rozwiązywać pilne zadania o wysokim priorytecie. Jest to bardzo wygodne i naprawdę poprawia jakość komunikacji.

Osiąga się to poprzez odpowiedni projekt sieci WiFi.

Uwaga:

Tutaj zwykle pojawia się pytanie: czy wystarczy korzystać tylko z WiFi? Czy to oznacza, że ​​możesz przestać używać portów Ethernet w biurze? Jeśli mówimy tylko o użytkownikach, a nie o serwerach, które nadal można podłączyć zwykłym portem Ethernet, to generalnie odpowiedź brzmi: tak, możesz ograniczyć się tylko do Wi-Fi. Ale są niuanse.

Istnieją ważne grupy użytkowników, które wymagają odrębnego podejścia. Są to oczywiście administratorzy. W zasadzie połączenie Wi-Fi jest mniej niezawodne (pod względem utraty ruchu) i wolniejsze niż zwykły port Ethernet. Może to mieć znaczenie dla administratorów. Ponadto na przykład administratorzy sieci mogą w zasadzie mieć własną dedykowaną sieć Ethernet do połączeń pozapasmowych.

W Twojej firmie mogą istnieć inne grupy/działy, dla których te czynniki również są istotne.

Jest jeszcze jeden ważny punkt - telefonia. Być może z jakiegoś powodu nie chcesz korzystać z bezprzewodowego VoIP i chcesz używać telefonów IP ze zwykłym połączeniem Ethernet.

Ogólnie rzecz biorąc, firmy, dla których pracowałem, zwykle miały zarówno łączność Wi-Fi, jak i port Ethernet.

Chciałbym, żeby mobilność nie ograniczała się tylko do biura.

Aby zapewnić możliwość pracy z domu (lub innego miejsca z dostępem do Internetu), wykorzystywane jest połączenie VPN. Jednocześnie pożądane jest, aby pracownicy nie odczuwali różnicy pomiędzy pracą z domu a pracą zdalną, która zakłada taki sam dostęp. O tym, jak to zorganizować, omówimy nieco później w rozdziale „Ujednolicony scentralizowany system uwierzytelniania i autoryzacji”.

Uwaga:

Najprawdopodobniej nie będziesz w stanie w pełni zapewnić takiej samej jakości usług pracy zdalnej, jaką masz w biurze. Załóżmy, że używasz Cisco ASA 5520 jako bramy VPN karta danych to urządzenie jest w stanie „przetrawić” tylko 225 Mbit ruchu VPN. Oznacza to oczywiście, że pod względem przepustowości łączenie się przez VPN bardzo różni się od pracy w biurze. Ponadto, jeśli z jakiegoś powodu opóźnienia, straty, wahania (na przykład chcesz korzystać z biurowej telefonii IP) w przypadku usług sieciowych są znaczne, nie uzyskasz takiej samej jakości, jak gdybyś był w biurze. Dlatego też mówiąc o mobilności, musimy mieć świadomość możliwych ograniczeń.

Łatwy dostęp do wszystkich zasobów firmy

Zadanie to należy rozwiązać wspólnie z innymi działami technicznymi.
Idealna sytuacja jest wtedy, gdy użytkownik wystarczy tylko raz na uwierzytelnienie i po tym czasie ma dostęp do wszystkich niezbędnych zasobów.
Zapewnienie łatwego dostępu bez poświęcania bezpieczeństwa może znacznie poprawić produktywność i zmniejszyć stres wśród współpracowników.

Notatka 1

Łatwość dostępu nie zależy tylko od tego, ile razy trzeba wprowadzić hasło. Jeśli np. zgodnie z Twoją polityką bezpieczeństwa, aby połączyć się z biura do centrum danych, musisz najpierw połączyć się z bramką VPN, a jednocześnie tracisz dostęp do zasobów biura, to również jest to bardzo , bardzo niewygodne.

Notatka 2

Są usługi (np. dostęp do sprzętu sieciowego) gdzie zazwyczaj posiadamy własne dedykowane serwery AAA i jest to norma gdy w tym przypadku musimy dokonać kilkukrotnego uwierzytelnienia.

Dostępność zasobów Internetu

Internet to nie tylko rozrywka, ale także zestaw usług, które mogą być bardzo przydatne w pracy. Istnieją również czynniki czysto psychologiczne. Współczesny człowiek łączy się z innymi ludźmi za pośrednictwem Internetu wieloma wirtualnymi wątkami i moim zdaniem nie ma nic złego, jeśli nadal czuje to połączenie nawet podczas pracy.

Z punktu widzenia marnowania czasu nie ma nic złego, jeśli pracownik ma np. uruchomionego Skype'a i w razie potrzeby poświęca 5 minut na komunikację z ukochaną osobą.

Czy to oznacza, że ​​Internet powinien być zawsze dostępny, czy to oznacza, że ​​pracownicy mogą mieć dostęp do wszystkich zasobów i nie mieć nad nimi żadnej kontroli?

Nie, to oczywiście nie oznacza. Poziom otwartości Internetu może być różny dla różnych firm – od całkowitego zamknięcia do całkowitej otwartości. Sposoby kontrolowania ruchu omówimy w dalszej części rozdziałów poświęconych środkom bezpieczeństwa.

Możliwość korzystania z pełnej gamy znanych urządzeń

To wygodne, gdy np. masz możliwość dalszego korzystania ze wszystkich środków komunikacji, do których przywykłeś w pracy. Technicznie nie ma trudności z wdrożeniem tego. Do tego potrzebne jest WiFi i wilan dla gości.

Dobrze jest również, jeśli masz możliwość korzystania z systemu operacyjnego, do którego jesteś przyzwyczajony. Ale z moich obserwacji wynika, że ​​jest to zwykle dozwolone tylko menedżerom, administratorom i programistom.

Przykład

Można oczywiście podążać ścieżką zakazów, zabronić dostępu zdalnego, zabronić łączenia się z urządzeń mobilnych, ograniczyć wszystko do statycznych połączeń Ethernet, ograniczyć dostęp do Internetu, przymusowo konfiskować telefony komórkowe i gadżety na punkcie kontrolnym… i ta ścieżka faktycznie podążają niektóre organizacje o podwyższonych wymaganiach dotyczących bezpieczeństwa i być może w niektórych przypadkach może to być uzasadnione, ale… trzeba przyznać, że wygląda to na próbę zatrzymania postępu w pojedynczej organizacji. Zależy mi oczywiście na połączeniu możliwości, jakie dają nowoczesne technologie z odpowiednim poziomem bezpieczeństwa.

„Szybkie działanie” sieci

Szybkość przesyłania danych technicznie składa się z wielu czynników. Szybkość portu połączenia zwykle nie jest najważniejsza. Powolne działanie aplikacji nie zawsze wiąże się z problemami z siecią, ale na razie interesuje nas tylko część sieciowa. Najczęstszym problemem związanym ze „spowolnieniem” sieci lokalnej jest utrata pakietów. Zwykle ma to miejsce, gdy występuje wąskie gardło lub problemy L1 (OSI). Rzadziej w przypadku niektórych projektów (na przykład gdy w podsieciach domyślną bramą jest zapora sieciowa i w związku z tym cały ruch przechodzi przez nią) wydajność sprzętu może być niska.

Dlatego przy wyborze sprzętu i architektury należy skorelować prędkości portów końcowych, łączy trunkingowych i wydajność sprzętu.

Przykład

Załóżmy, że używasz przełączników z portami 1 gigabitowymi jako przełączników warstwy dostępu. Są one połączone ze sobą poprzez kanał Etherchannel 2 x 10 gigabitów. Jako bramę domyślną używasz firewalla z portami gigabitowymi, do podłączenia którego do sieci biurowej L2 używasz 2 portów gigabitowych połączonych w kanał Etherchannel.

Architektura ta jest dość wygodna z punktu widzenia funkcjonalności, ponieważ... Cały ruch przechodzi przez zaporę sieciową i można wygodnie zarządzać zasadami dostępu oraz stosować złożone algorytmy do kontroli ruchu i zapobiegania możliwym atakom (patrz poniżej), ale z punktu widzenia przepustowości i wydajności ten projekt ma oczywiście potencjalne problemy. Na przykład 2 hosty pobierające dane (z szybkością portu 1 gigabit) mogą całkowicie obciążyć 2 gigabitowe połączenie do zapory sieciowej, a tym samym doprowadzić do degradacji usług w całym segmencie biurowym.

Przyjrzeliśmy się jednemu wierzchołkowi trójkąta, teraz przyjrzyjmy się, jak możemy zapewnić bezpieczeństwo.

Zadośćuczynienie

Oczywiście zwykle naszym pragnieniem (a raczej pragnieniem naszego kierownictwa) jest osiągnięcie niemożliwego, a mianowicie zapewnienie maksymalnej wygody przy maksymalnym bezpieczeństwie i minimalnych kosztach.

Przyjrzyjmy się, jakie metody mamy do zapewnienia ochrony.

Jeśli chodzi o biuro, chciałbym wyróżnić następujące elementy:

  • podejście do projektowania oparte na zerowym zaufaniu
  • wysoki poziom ochrony
  • widoczność sieci
  • ujednolicony, scentralizowany system uwierzytelniania i autoryzacji
  • sprawdzanie hosta

Następnie omówimy nieco bardziej szczegółowo każdy z tych aspektów.

Zero zaufania

Świat IT zmienia się bardzo szybko. Nieco w ciągu ostatnich 10 lat pojawienie się nowych technologii i produktów doprowadziło do zasadniczej rewizji koncepcji bezpieczeństwa. Dziesięć lat temu, z punktu widzenia bezpieczeństwa, podzieliliśmy sieć na strefy zaufane, dmz i niezaufane oraz zastosowaliśmy tzw. „ochronę obwodową”, w której istniały 2 linie obrony: untrust -> dmz i dmz -> zaufanie. Ponadto ochrona ograniczała się zwykle do list dostępowych opartych na nagłówkach L3/L4 (OSI) (porty IP, TCP/UDP, flagi TCP). Wszystko, co dotyczyło wyższych poziomów, łącznie z L7, pozostawiono systemowi operacyjnemu i produktom zabezpieczającym zainstalowanym na hostach końcowych.

Teraz sytuacja uległa diametralnej zmianie. Nowoczesna koncepcja zero zaufania wynika z tego, że nie można już uważać systemów wewnętrznych, czyli tych znajdujących się wewnątrz obwodu, za zaufane, a samo pojęcie obwodu uległo rozmyciu.
Oprócz łącza internetowego mamy również

  • użytkownicy VPN korzystający ze zdalnego dostępu
  • różne gadżety osobiste, przyniesione laptopy, połączone przez biurowe WiFi
  • inne (oddziały).
  • integracja z infrastrukturą chmurową

Jak wygląda podejście Zero Trust w praktyce?

W idealnej sytuacji powinien być dozwolony tylko taki ruch, jaki jest wymagany, a jeśli mówimy o ideale, to kontrola powinna odbywać się nie tylko na poziomie L3/L4, ale także na poziomie aplikacji.

Jeśli na przykład masz możliwość przepuszczania całego ruchu przez zaporę sieciową, możesz spróbować zbliżyć się do ideału. Ale takie podejście może znacznie zmniejszyć całkowitą przepustowość sieci, a poza tym filtrowanie według aplikacji nie zawsze działa dobrze.

Kontrolując ruch na routerze lub przełączniku L3 (przy użyciu standardowych list ACL), można napotkać inne problemy:

  • Jest to tylko filtrowanie L3/L4. Nic nie stoi na przeszkodzie, aby atakujący użył dozwolonych portów (np. TCP 80) dla swojej aplikacji (nie http)
  • złożone zarządzanie listami ACL (trudne do analizy list ACL)
  • Nie jest to zapora sieciowa z pełnym stanem, co oznacza, że ​​należy wyraźnie zezwolić na ruch zwrotny
  • w przypadku przełączników zwykle jesteś dość mocno ograniczony rozmiarem TCAM, co może szybko stać się problemem, jeśli zastosujesz podejście „zezwalaj tylko na to, czego potrzebujesz”

Uwaga:

Mówiąc o ruchu zwrotnym, musimy pamiętać, że mamy następującą możliwość (Cisco)

zezwól na ustanowienie protokołu tcp any any

Ale musisz zrozumieć, że ta linia jest równoważna dwóm liniom:
zezwól tcp na dowolne potwierdzenie
zezwól na tcp dowolny dowolny pierwszy

Oznacza to, że nawet jeśli nie było początkowego segmentu TCP z flagą SYN (to znaczy, że sesja TCP nawet nie zaczęła się ustanawiać), ta lista ACL zezwoli na pakiet z flagą ACK, który atakujący będzie mógł wykorzystać do przesłania danych.

Oznacza to, że ta linia w żaden sposób nie zmienia routera ani przełącznika L3 w zaporę sieciową z pełnym stanem.

Wysoki poziom ochrony

В Artykuł W części poświęconej centrom danych rozważyliśmy następujące metody ochrony.

  • stanowa zapora sieciowa (domyślna)
  • Ochrona ddos/dos
  • zapora sieciowa aplikacji
  • zapobieganie zagrożeniom (antywirus, oprogramowanie antyszpiegowskie i podatność na zagrożenia)
  • Filtrowanie adresów URL
  • filtrowanie danych (filtrowanie treści)
  • blokowanie plików (blokowanie typów plików)

W przypadku urzędu sytuacja jest podobna, jednak priorytety są nieco inne. Dostępność biura (dostępność) zwykle nie jest tak krytyczna jak w przypadku centrum danych, natomiast prawdopodobieństwo „wewnętrznego” szkodliwego ruchu jest o rząd wielkości większe.
Dlatego krytyczne znaczenie mają następujące metody ochrony tego segmentu:

  • zapora sieciowa aplikacji
  • zapobieganie zagrożeniom (antywirusy, oprogramowanie szpiegowskie i luki w zabezpieczeniach)
  • Filtrowanie adresów URL
  • filtrowanie danych (filtrowanie treści)
  • blokowanie plików (blokowanie typów plików)

Chociaż wszystkie te metody ochrony, z wyjątkiem zapory aplikacji, tradycyjnie były i nadal są rozwiązywane na hostach końcowych (na przykład poprzez instalowanie programów antywirusowych) i przy użyciu serwerów proxy, nowoczesne NGFW również świadczą te usługi.

Dostawcy sprzętu zabezpieczającego dążą do stworzenia kompleksowej ochrony, dlatego obok ochrony lokalnej oferują różne technologie chmurowe i oprogramowanie klienckie dla hostów (ochrona punktów końcowych/EPP). I tak na przykład od Magiczny kwadrant Gartnera 2018 Widzimy, że Palo Alto i Cisco mają swoje własne EPP (PA: Traps, Cisco: AMP), ale daleko im do liderów.

Włączenie tych zabezpieczeń (zwykle poprzez zakup licencji) na zaporze sieciowej nie jest oczywiście obowiązkowe (można skorzystać z tradycyjnej metody), ale zapewnia pewne korzyści:

  • w tym przypadku istnieje jeden punkt zastosowania metod ochrony, co poprawia widoczność (patrz następny temat).
  • Jeśli w Twojej sieci znajduje się niechronione urządzenie, nadal znajduje się ono pod „parasolem” ochrony firewall
  • Stosując ochronę firewall w połączeniu z ochroną hosta końcowego, zwiększamy prawdopodobieństwo wykrycia szkodliwego ruchu. Przykładowo zastosowanie zapobiegania zagrożeniom na lokalnych hostach i na zaporze sieciowej zwiększa prawdopodobieństwo wykrycia (oczywiście pod warunkiem, że rozwiązania te opierają się na innym oprogramowaniu)

Uwaga:

Jeśli na przykład używasz Kaspersky jako programu antywirusowego zarówno na zaporze sieciowej, jak i na hostach końcowych, to oczywiście nie zwiększy to znacznie twoich szans na zapobiegnięcie atakowi wirusa na twoją sieć.

Widoczność sieci

Główną ideą jest proste – „zobacz”, co dzieje się w Twojej sieci, zarówno w czasie rzeczywistym, jak i w danych historycznych.

Podzieliłbym tę „wizję” na dwie grupy:

Grupa pierwsza: co zwykle zapewnia Twój system monitorowania.

  • ładowanie sprzętu
  • ładowanie kanałów
  • zużycie pamięci
  • użycie dysku
  • zmiana tablicy routingu
  • stan łącza
  • dostępność sprzętu (lub gospodarzy)
  • ...

Grupa druga: informacje związane z bezpieczeństwem.

  • różnego rodzaju statystyki (np. według aplikacji, ruchu URL, jakiego rodzaju dane zostały pobrane, dane użytkownika)
  • co zostało zablokowane przez zasady bezpieczeństwa i z jakiego powodu, a mianowicie
    • zabronione zastosowanie
    • zabronione ze względu na adres IP/protokół/port/flagi/strefy
    • zapobieganie zagrożeniom
    • filtrowanie adresów URL
    • filtrowanie danych
    • blokowanie plików
    • ...
  • statystyki dotyczące ataków DOS/DDOS
  • nieudane próby identyfikacji i autoryzacji
  • statystyki dotyczące wszystkich powyższych zdarzeń naruszenia polityki bezpieczeństwa
  • ...

W tym rozdziale poświęconym bezpieczeństwu interesuje nas część druga.

Niektóre nowoczesne zapory ogniowe (z mojego doświadczenia w Palo Alto) zapewniają dobry poziom widoczności. Ale oczywiście ruch, który Cię interesuje, musi przechodzić przez tę zaporę (w takim przypadku masz możliwość blokowania ruchu) lub być kopiowany do zapory (używanej tylko do monitorowania i analizy) i musisz mieć licencje, aby umożliwić wszystkim te usługi.

Istnieje oczywiście sposób alternatywny, a raczej tradycyjny, np.

  • Statystyki sesji można zbierać za pośrednictwem sieci Netflow, a następnie wykorzystywać specjalne narzędzia do analizy informacji i wizualizacji danych
  • zapobieganie zagrożeniom – specjalne programy (antywirusowe, antyspyware, firewall) na hostach końcowych
  • Filtrowanie adresów URL, filtrowanie danych, blokowanie plików – na proxy
  • możliwa jest również analiza tcpdump za pomocą np. prychnięcie

Możesz połączyć te dwa podejścia, uzupełniając brakujące funkcje lub powielając je, aby zwiększyć prawdopodobieństwo wykrycia ataku.

Które podejście wybrać?
W dużej mierze zależy to od kwalifikacji i preferencji Twojego zespołu.
Zarówno tam, jak i tam są plusy i minusy.

Ujednolicony, scentralizowany system uwierzytelniania i autoryzacji

Dobrze zaprojektowana mobilność, którą omówiliśmy w tym artykule, zakłada, że ​​masz taki sam dostęp, niezależnie od tego, czy pracujesz w biurze, czy w domu, na lotnisku, w kawiarni czy gdziekolwiek indziej (z ograniczeniami, które omówiliśmy powyżej). Wydawałoby się, w czym jest problem?
Aby lepiej zrozumieć złożoność tego zadania, spójrzmy na typowy projekt.

Przykład

  • Podzieliłeś wszystkich pracowników na grupy. Zdecydowałeś się na zapewnienie dostępu grupowego
  • Wewnątrz biura możesz kontrolować dostęp za pomocą zapory sieciowej
  • Kontrolujesz ruch z biura do centrum danych za pomocą zapory centrum danych
  • Używasz Cisco ASA jako bramy VPN i do kontrolowania ruchu wchodzącego do Twojej sieci od klientów zdalnych, używasz lokalnych (na ASA) list ACL

Załóżmy teraz, że zostaniesz poproszony o dodanie dodatkowego dostępu dla określonego pracownika. W takim przypadku zostaniesz poproszony o dodanie dostępu tylko dla niego i nikogo innego z jego grupy.

W tym celu musimy stworzyć osobną grupę dla tego pracownika, tj

  • utwórz oddzielną pulę adresów IP w ASA dla tego pracownika
  • dodaj nową listę ACL na ASA i powiąż ją z tym zdalnym klientem
  • tworzyć nowe zasady bezpieczeństwa na zaporach sieciowych w biurach i centrach danych

Dobrze, jeśli to wydarzenie jest rzadkie. Ale w mojej praktyce zdarzały się sytuacje, gdy pracownicy brali udział w różnych projektach i ten zestaw projektów dla niektórych z nich zmieniał się dość często i nie było to 1-2 osoby, ale dziesiątki. Oczywiście coś tu trzeba zmienić.

Rozwiązano to w następujący sposób.

Zdecydowaliśmy, że LDAP będzie jedynym źródłem prawdy określającym wszystkie możliwe dostępy pracowników. Stworzyliśmy wszelkiego rodzaju grupy definiujące zestawy dostępów i przypisaliśmy każdego użytkownika do jednej lub większej liczby grup.

Załóżmy na przykład, że istnieją grupy

  • gość (dostęp do Internetu)
  • wspólny dostęp (dostęp do współdzielonych zasobów: poczty, bazy wiedzy, ...)
  • rachunkowość
  • projekt 1
  • projekt 2
  • Administrator bazy danych
  • administrator Linuksa
  • ...

A jeśli jeden z pracowników był zaangażowany zarówno w projekt 1, jak i projekt 2 i potrzebował dostępu niezbędnego do pracy w tych projektach, to pracownik ten był przydzielany do następujących grup:

  • gość
  • powszechny dostęp
  • projekt 1
  • projekt 2

Jak możemy teraz zamienić te informacje w dostęp do sprzętu sieciowego?

Polityka dostępu dynamicznego Cisco ASA (DAP) (patrz www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next- Generation-firewalls/108000-dap-deploy-guide.html) rozwiązanie jest w sam raz dla tego zadania.

Krótko o naszej implementacji, podczas procesu identyfikacji/autoryzacji ASA otrzymuje z LDAP zestaw grup odpowiadających danemu użytkownikowi i „zbiera” z kilku lokalnych list ACL (każda z nich odpowiada grupie) dynamiczną listę ACL ze wszystkimi niezbędnymi dostępami , co w pełni odpowiada naszym życzeniom.

Ale dotyczy to tylko połączeń VPN. Aby sytuacja była jednakowa zarówno dla pracowników podłączonych przez VPN, jak i tych w biurze, podjęto następujący krok.

Podczas łączenia się z biura użytkownicy korzystający z protokołu 802.1x trafiali do gościnnej sieci LAN (dla gości) lub do współdzielonej sieci LAN (dla pracowników firmy). Ponadto, aby uzyskać określony dostęp (na przykład do projektów w centrum danych), pracownicy musieli łączyć się przez VPN.

Aby połączyć się z biura i z domu, w ASA zastosowano różne grupy tuneli. Jest to konieczne, aby w przypadku osób łączących się z biura ruch do współdzielonych zasobów (wykorzystywanych przez wszystkich pracowników, takich jak poczta, serwery plików, system biletów, dns, ...) nie przechodził przez ASA, ale przez sieć lokalną . Dzięki temu nie obciążaliśmy ASA niepotrzebnym ruchem, w tym ruchem o dużej intensywności.

W ten sposób problem został rozwiązany.
Mamy

  • ten sam zestaw dostępów dla obu połączeń z biura i połączeń zdalnych
  • brak degradacji usług podczas pracy w biurze związanym z transmisją ruchu o dużym natężeniu przez ASA

Jakie inne zalety tego podejścia?
W administracji dostępem. Dostępy można łatwo zmieniać w jednym miejscu.
Na przykład, jeśli pracownik opuści firmę, po prostu usuniesz go z LDAP, a on automatycznie straci cały dostęp.

Sprawdzanie hosta

Dzięki możliwości połączenia zdalnego narażamy się na wpuszczenie do sieci nie tylko pracownika firmy, ale także całego szkodliwego oprogramowania, które z dużym prawdopodobieństwem znajduje się na jego komputerze (np. domowym), a ponadto za pośrednictwem tego oprogramowania możemy może zapewniać dostęp do naszej sieci osobie atakującej używającej tego hosta jako serwera proxy.

W przypadku hosta podłączonego zdalnie sensowne jest stosowanie tych samych wymagań bezpieczeństwa, co hosta w biurze.

Zakłada to również „poprawną” wersję systemu operacyjnego, oprogramowania antywirusowego, antyszpiegującego i zapory ogniowej oraz aktualizacji. Zazwyczaj taka możliwość istnieje w bramie VPN (w przypadku ASA zobacz na przykład tutaj).

Rozsądnie jest również zastosować te same techniki analizy ruchu i blokowania (patrz „Wysoki poziom ochrony”), jakie stosuje Twoja polityka bezpieczeństwa w przypadku ruchu biurowego.

Rozsądnie jest założyć, że sieć biurowa nie ogranicza się już do budynku biurowego i znajdujących się w nim hostów.

Przykład

Dobrą techniką jest wyposażenie każdego pracownika wymagającego zdalnego dostępu w dobry, wygodny laptop i wymaganie od niego pracy zarówno w biurze, jak i w domu, tylko z niego.

Nie tylko poprawia bezpieczeństwo Twojej sieci, ale jest też naprawdę wygodne i zwykle jest pozytywnie oceniane przez pracowników (jeśli jest to naprawdę dobry, przyjazny w obsłudze laptop).

O poczuciu proporcji i równowagi

W zasadzie jest to rozmowa o trzecim wierzchołku naszego trójkąta – o cenie.
Spójrzmy na hipotetyczny przykład.

Przykład

Masz biuro na 200 osób. Zdecydowałeś się uczynić to tak wygodnym i bezpiecznym, jak to tylko możliwe.

Dlatego zdecydowano się przepuszczać cały ruch przez zaporę i dlatego dla wszystkich podsieci biurowych zapora jest bramą domyślną. Oprócz oprogramowania zabezpieczającego zainstalowanego na każdym hoście końcowym (oprogramowanie antywirusowe, antyszpiegowskie i zapora ogniowa) zdecydowałeś się również zastosować wszystkie możliwe metody ochrony na zaporze ogniowej.

Aby zapewnić wysoką prędkość połączenia (wszystko dla wygody), jako przełączniki dostępowe wybrałeś przełączniki z 10 Gigabitowymi portami dostępowymi, a jako firewalle wysokowydajne firewalle NGFW, np. serię Palo Alto 7K (z 40 portami Gigabit), oczywiście ze wszystkimi licencjami w zestawie i oczywiście para High Availability.

Oczywiście do pracy z tą linią sprzętu potrzebujemy co najmniej kilku wysoko wykwalifikowanych inżynierów bezpieczeństwa.

Następnie zdecydowałeś się dać każdemu pracownikowi dobry laptop.

Łącznie około 10 milionów dolarów na wdrożenie, setki tysięcy dolarów (myślę, że bliżej miliona) na roczne wsparcie i pensje dla inżynierów.

Biuro, 200 osób...
Wygodny? Chyba tak.

Przychodzisz z tą propozycją do swojego kierownictwa...
Być może jest na świecie kilka firm, dla których jest to rozwiązanie akceptowalne i prawidłowe. Jeżeli jesteś pracownikiem tej firmy to serdecznie gratuluję, jednak w zdecydowanej większości przypadków jestem pewien, że Twoja wiedza nie zostanie doceniona przez kierownictwo.

Czy ten przykład jest przesadzony? Następny rozdział odpowie na to pytanie.

Jeśli w Twojej sieci nie widzisz żadnego z powyższych, jest to norma.
Dla każdego konkretnego przypadku należy znaleźć własny, rozsądny kompromis pomiędzy wygodą, ceną i bezpieczeństwem. Często nawet nie potrzebujesz NGFW w swoim biurze, a ochrona L7 na zaporze ogniowej nie jest wymagana. Wystarczy zapewnić dobry poziom widoczności i alertów, a można to zrobić na przykład za pomocą produktów open source. Tak, Twoja reakcja na atak nie będzie natychmiastowa, ale najważniejsze, że go zobaczysz, a dzięki odpowiednim procesom w Twoim dziale będziesz mógł go szybko zneutralizować.

A przypomnę, że zgodnie z koncepcją tego cyklu artykułów nie projektujesz sieci, a jedynie próbujesz ulepszyć to, co już masz.

BEZPIECZNA analiza architektury biurowej

Zwróć uwagę na ten czerwony kwadrat, z którego przydzieliłem miejsce na schemacie Przewodnik po architekturze bezpiecznego kampusu SAFEktóre chciałbym tutaj omówić.

Jak przejąć kontrolę nad infrastrukturą sieciową. Rozdział trzeci. Bezpieczeństwo sieci. Część trzecia

To jedno z kluczowych miejsc architektury i jedna z najważniejszych niepewności.

Uwaga:

Nigdy nie konfigurowałem ani nie pracowałem z FirePower (z linii firewall Cisco - tylko ASA), więc będę go traktować jak każdą inną zaporę ogniową, jak Juniper SRX lub Palo Alto, zakładając, że ma te same możliwości.

Ze zwykłych projektów widzę tylko 4 możliwe opcje użycia zapory ogniowej z tym połączeniem:

  • bramą domyślną dla każdej podsieci jest przełącznik, natomiast zapora sieciowa jest w trybie przezroczystym (tzn. cały ruch przez nią przechodzi, ale nie tworzy przeskoku L3)
  • bramą domyślną dla każdej podsieci są podinterfejsy firewalla (lub interfejsy SVI), przełącznik pełni rolę L2
  • na przełączniku używane są różne VRF, a ruch pomiędzy VRF przechodzi przez zaporę ogniową, ruch w obrębie jednego VRF jest kontrolowany przez listę ACL na przełączniku
  • cały ruch jest odzwierciedlany w zaporze sieciowej w celu analizy i monitorowania; ruch nie przechodzi przez nią

Notatka 1

Możliwe są kombinacje tych opcji, ale dla uproszczenia nie będziemy ich rozważać.

Uwaga 2

Istnieje również możliwość wykorzystania PBR (architektura łańcucha usług), ale na razie to rozwiązanie, choć moim zdaniem piękne, jest dość egzotyczne, więc nie rozważam go tutaj.

Z opisu przepływów w dokumencie widzimy, że ruch w dalszym ciągu przechodzi przez firewall, czyli zgodnie z projektem Cisco czwarta opcja jest wyeliminowana.

Przyjrzyjmy się najpierw dwóm pierwszym opcjom.
Dzięki tym opcjom cały ruch przechodzi przez zaporę.

Teraz spójrzmy karta danych, Patrzeć Cisco GPL i widzimy, że jeśli chcemy, aby łączna przepustowość naszego biura wynosiła co najmniej około 10 - 20 gigabitów, to musimy kupić wersję 4K.

Uwaga:

Kiedy mówię o całkowitej przepustowości, mam na myśli ruch pomiędzy podsieciami (a nie w obrębie jednej willi).

Z licencji GPL wynika, że ​​cena pakietu HA z Threat Defense w zależności od modelu (4110 - 4150) waha się od ~0,5 - 2,5 miliona dolarów.

Oznacza to, że nasz projekt zaczyna przypominać poprzedni przykład.

Czy to oznacza, że ​​ten projekt jest błędny?
Nie, to nie znaczy. Cisco zapewnia najlepszą możliwą ochronę w oparciu o posiadaną linię produktów. Ale to nie znaczy, że jest to dla Ciebie obowiązek.

W zasadzie jest to częste pytanie, które pojawia się przy projektowaniu biura lub centrum danych i oznacza jedynie, że należy szukać kompromisu.

Na przykład nie przepuszczaj całego ruchu przez zaporę sieciową – w takim przypadku opcja 3 wydaje mi się całkiem dobra lub (zobacz poprzednią sekcję) może nie potrzebujesz modułu Threat Defense lub w ogóle nie potrzebujesz zapory ogniowej segmencie sieci, a wystarczy ograniczyć się do pasywnego monitorowania za pomocą płatnych (nie drogich) lub rozwiązań typu open source, albo potrzebujesz firewalla, ale od innego dostawcy.

Zwykle zawsze istnieje ta niepewność i nie ma jasnej odpowiedzi, która decyzja jest dla Ciebie najlepsza.
Na tym polega złożoność i piękno tego zadania.

Źródło: www.habr.com

Dodaj komentarz