ProHoster > Blog > administração > Como assumir o controle de sua infraestrutura de rede. Capítulo três. Segurança de rede. Parte TRÊS

Como assumir o controle de sua infraestrutura de rede. Capítulo três. Segurança de rede. Parte TRÊS

Este artigo é o quinto da série “Como assumir o controle de sua infraestrutura de rede”. O conteúdo de todos os artigos da série e links podem ser encontrados aqui.

Esta parte será dedicada aos segmentos Campus (Escritório) e VPN de acesso remoto.

Como assumir o controle de sua infraestrutura de rede. Capítulo três. Segurança de rede. Parte TRÊS

O design da rede do escritório pode parecer fácil.

Na verdade, pegamos os switches L2/L3 e os conectamos entre si. A seguir realizamos a configuração básica de vilans e gateways padrão, configuramos roteamento simples, conectamos controladores WiFi, pontos de acesso, instalamos e configuramos ASA para acesso remoto, estamos felizes que tudo funcionou. Basicamente, como já escrevi em um dos anteriores artigos deste ciclo, quase todos os alunos que frequentaram (e aprenderam) dois semestres de um curso de telecomunicações podem projetar e configurar uma rede de escritório para que “de alguma forma funcione”.

Mas quanto mais você aprende, menos simples essa tarefa começa a parecer. Para mim, pessoalmente, este tópico, o tema do design de redes de escritórios, não parece nada simples, e neste artigo tentarei explicar o porquê.

Resumindo, existem alguns fatores a serem considerados. Muitas vezes estes factores estão em conflito entre si e é necessário procurar um compromisso razoável.
Essa incerteza é a principal dificuldade. Então, falando em segurança, temos um triângulo com três vértices: segurança, comodidade para os funcionários, preço da solução.
E toda vez você tem que procurar um compromisso entre esses três.

Arquitetura

Como exemplo de arquitetura para esses dois segmentos, assim como em artigos anteriores, recomendo Cisco SEGURO modelo: Campus Empresarial, Borda da Internet Corporativa.

Estes são documentos um tanto desatualizados. Apresento-os aqui porque os esquemas fundamentais e a abordagem não mudaram, mas ao mesmo tempo gosto mais da apresentação do que em nova documentação.

Sem encorajá-lo a usar as soluções Cisco, ainda acho útil estudar cuidadosamente esse design.

Este artigo, como sempre, não pretende de forma alguma ser completo, mas sim um acréscimo a esta informação.

No final do artigo, analisaremos o design do escritório Cisco SAFE em termos dos conceitos aqui descritos.

Princípios Gerais

O projeto da rede de escritórios deve, obviamente, satisfazer os requisitos gerais que foram discutidos aqui no capítulo “Critérios para avaliação da qualidade do projeto”. Além do preço e da segurança, que pretendemos discutir neste artigo, existem ainda três critérios que devemos considerar na hora de projetar (ou fazer alterações):

  • escalabilidade
  • facilidade de uso (gerenciamento)
  • disponibilidade

Muito do que foi discutido centros de dados Isso também se aplica ao escritório.

Mas, mesmo assim, o segmento de escritórios tem especificidades próprias, que são críticas do ponto de vista da segurança. A essência desta especificidade é que este segmento é criado para fornecer serviços de rede aos funcionários (bem como parceiros e convidados) da empresa e, como resultado, no mais alto nível de consideração do problema temos duas tarefas:

  • proteger os recursos da empresa contra ações maliciosas que possam vir de funcionários (convidados, parceiros) e do software que eles utilizam. Isto também inclui proteção contra conexões não autorizadas à rede.
  • proteger sistemas e dados do usuário

E este é apenas um lado do problema (ou melhor, um vértice do triângulo). Do outro lado está a comodidade do usuário e o preço das soluções utilizadas.

Vamos começar analisando o que um usuário espera de uma rede de escritório moderna.

Instalações

Na minha opinião, esta é a aparência das “comodidades de rede” para um usuário de escritório:

  • Mobilidade
  • Capacidade de usar toda a gama de dispositivos e sistemas operacionais familiares
  • Fácil acesso a todos os recursos necessários da empresa
  • Disponibilidade de recursos da Internet, incluindo vários serviços em nuvem
  • "Operação rápida" da rede

Tudo isso se aplica tanto a funcionários quanto a convidados (ou parceiros), e é tarefa dos engenheiros da empresa diferenciar o acesso para diferentes grupos de usuários com base na autorização.

Vejamos cada um desses aspectos com um pouco mais de detalhes.

Mobilidade

Estamos falando da oportunidade de trabalhar e utilizar todos os recursos necessários da empresa de qualquer lugar do mundo (claro, onde a Internet estiver disponível).

Isso se aplica totalmente ao escritório. Isto é cómodo quando tem a oportunidade de continuar a trabalhar a partir de qualquer lugar do escritório, por exemplo, receber correio, comunicar num mensageiro corporativo, estar disponível para uma videochamada, ... Assim, permite-lhe, por um lado, para resolver alguns problemas de comunicação “ao vivo” (por exemplo, participar em comícios) e, por outro lado, estar sempre online, manter o controle e resolver rapidamente algumas tarefas urgentes de alta prioridade. Isto é muito conveniente e realmente melhora a qualidade das comunicações.

Isto é conseguido através de um design de rede WiFi adequado.

Nota

Aqui geralmente surge a pergunta: basta usar apenas WiFi? Isso significa que você pode parar de usar portas Ethernet no escritório? Se estamos falando apenas de usuários, e não de servidores, que ainda são razoáveis ​​​​para conectar-se a uma porta Ethernet normal, então em geral a resposta é: sim, você pode limitar-se apenas a WiFi. Mas existem nuances.

Existem grupos de usuários importantes que exigem uma abordagem separada. Estes são, claro, administradores. Em princípio, uma conexão WiFi é menos confiável (em termos de perda de tráfego) e mais lenta do que uma porta Ethernet normal. Isso pode ser significativo para administradores. Além disso, os administradores de rede, por exemplo, podem, em princípio, ter a sua própria rede Ethernet dedicada para conexões fora de banda.

Pode haver outros grupos/departamentos em sua empresa para os quais esses fatores também sejam importantes.

Há outro ponto importante - a telefonia. Talvez por algum motivo você não queira usar VoIP sem fio e queira usar telefones IP com uma conexão Ethernet normal.

Em geral, as empresas para as quais trabalhei normalmente tinham conectividade WiFi e uma porta Ethernet.

Gostaria que a mobilidade não se limitasse apenas ao escritório.

Para garantir a possibilidade de trabalhar em casa (ou em qualquer outro local com Internet acessível), é utilizada uma conexão VPN. Ao mesmo tempo, é desejável que os colaboradores não sintam a diferença entre trabalhar a partir de casa e o trabalho remoto, que pressupõe o mesmo acesso. Discutiremos como organizar isso um pouco mais adiante no capítulo “Sistema unificado de autenticação e autorização centralizado”.

Nota

Muito provavelmente, você não será capaz de fornecer totalmente a mesma qualidade de serviços para trabalho remoto que oferece no escritório. Vamos supor que você esteja usando um Cisco ASA 5520 como gateway VPN. folha de dados este dispositivo é capaz de “digerir” apenas 225 Mbit de tráfego VPN. Isto é, claro, em termos de largura de banda, conectar-se via VPN é muito diferente de trabalhar no escritório. Além disso, se, por algum motivo, a latência, a perda, o jitter (por exemplo, você deseja usar a telefonia IP do escritório) para seus serviços de rede forem significativos, você também não receberá a mesma qualidade como se estivesse no escritório. Portanto, ao falar em mobilidade, devemos estar atentos às possíveis limitações.

Fácil acesso a todos os recursos da empresa

Esta tarefa deverá ser resolvida em conjunto com outros departamentos técnicos.
A situação ideal é quando o usuário só precisa se autenticar uma vez, e depois disso ele tem acesso a todos os recursos necessários.
Fornecer acesso fácil sem sacrificar a segurança pode melhorar significativamente a produtividade e reduzir o estresse entre seus colegas.

Nota 1

A facilidade de acesso não se trata apenas de quantas vezes você precisa inserir uma senha. Se, por exemplo, de acordo com sua política de segurança, para se conectar do escritório ao data center, você deve primeiro se conectar ao gateway VPN e, ao mesmo tempo, perder o acesso aos recursos do escritório, isso também é muito , muito inconveniente.

Nota 2

Existem serviços (por exemplo, acesso a equipamentos de rede) onde normalmente temos servidores AAA dedicados e esta é a norma quando neste caso temos que autenticar várias vezes.

Disponibilidade de recursos da Internet

A Internet não é apenas entretenimento, mas também um conjunto de serviços que podem ser muito úteis para o trabalho. Existem também fatores puramente psicológicos. Uma pessoa moderna está conectada com outras pessoas pela Internet por meio de diversos fios virtuais e, na minha opinião, não há nada de errado se ela continuar a sentir essa conexão mesmo enquanto trabalha.

Do ponto de vista da perda de tempo, não há nada de errado se um funcionário, por exemplo, tiver o Skype funcionando e passar 5 minutos se comunicando com um ente querido, se necessário.

Isso significa que a Internet deve estar sempre disponível, significa que os funcionários podem ter acesso a todos os recursos e não controlá-los de forma alguma?

Não, não significa isso, é claro. O nível de abertura da Internet pode variar de empresa para empresa - desde o fechamento total até a abertura total. Discutiremos maneiras de controlar o tráfego posteriormente nas seções sobre medidas de segurança.

Capacidade de usar toda a gama de dispositivos familiares

É conveniente quando, por exemplo, você tem a oportunidade de continuar utilizando todos os meios de comunicação que está acostumado no trabalho. Não há dificuldade em implementar isso tecnicamente. Para isso você precisa de WiFi e um wilan de convidado.

Também é bom se você tiver a oportunidade de usar o sistema operacional com o qual está acostumado. Mas, na minha observação, isso normalmente só é permitido a gerentes, administradores e desenvolvedores.

Exemplo

Você pode, claro, seguir o caminho das proibições, proibir o acesso remoto, proibir a conexão de dispositivos móveis, limitar tudo a conexões Ethernet estáticas, limitar o acesso à Internet, confiscar compulsoriamente celulares e gadgets no posto de controle... e esse caminho na verdade, é seguido por algumas organizações com requisitos de segurança aumentados, e talvez em alguns casos isso possa ser justificado, mas... você deve concordar que isso parece uma tentativa de impedir o progresso em uma única organização. É claro que gostaria de combinar as oportunidades que as tecnologias modernas oferecem com um nível de segurança suficiente.

"Operação rápida" da rede

A velocidade de transferência de dados consiste tecnicamente em muitos fatores. E a velocidade da sua porta de conexão geralmente não é a mais importante. O funcionamento lento de uma aplicação nem sempre está associado a problemas de rede, mas por enquanto estamos interessados ​​apenas na parte de rede. O problema mais comum de “lentidão” da rede local está relacionado à perda de pacotes. Isso geralmente ocorre quando há um gargalo ou problemas de L1 (OSI). Mais raramente, com alguns designs (por exemplo, quando suas sub-redes têm um firewall como gateway padrão e, portanto, todo o tráfego passa por ele), o desempenho do hardware pode ser deficiente.

Portanto, ao escolher equipamentos e arquitetura, é necessário correlacionar as velocidades das portas finais, troncos e desempenho dos equipamentos.

Exemplo

Vamos supor que você esteja usando switches com portas de 1 gigabit como switches da camada de acesso. Eles estão conectados entre si via Etherchannel 2 x 10 gigabits. Como gateway padrão, você usa um firewall com portas gigabit, para conectar à rede do escritório L2 você usa 2 portas gigabit combinadas em um Etherchannel.

Esta arquitetura é bastante conveniente do ponto de vista funcional, porque... Todo o tráfego passa pelo firewall, e você pode gerenciar confortavelmente políticas de acesso e aplicar algoritmos complexos para controlar o tráfego e evitar possíveis ataques (veja abaixo), mas do ponto de vista da taxa de transferência e do desempenho, esse design, é claro, tem problemas potenciais. Assim, por exemplo, 2 hosts baixando dados (com uma velocidade de porta de 1 gigabit) podem carregar completamente uma conexão de 2 gigabits ao firewall e, assim, levar à degradação do serviço para todo o segmento de escritório.

Vimos um vértice do triângulo, agora vamos ver como podemos garantir a segurança.

Remédios

Então, claro, normalmente o nosso desejo (ou melhor, o desejo da nossa gestão) é conseguir o impossível, ou seja, proporcionar a máxima comodidade com a máxima segurança e o mínimo custo.

Vejamos quais métodos temos para fornecer proteção.

Para o escritório destaco o seguinte:

  • abordagem de confiança zero para design
  • alto nível de proteção
  • visibilidade da rede
  • sistema unificado de autenticação e autorização centralizado
  • verificação de host

A seguir, nos deteremos um pouco mais detalhadamente em cada um desses aspectos.

Confiança zero

O mundo da TI está mudando muito rapidamente. Nos últimos 10 anos, o surgimento de novas tecnologias e produtos levou a uma grande revisão dos conceitos de segurança. Há dez anos, do ponto de vista de segurança, segmentamos a rede em zonas de confiança, dmz e não confiável, e utilizamos a chamada “proteção de perímetro”, onde havia 2 linhas de defesa: desconfiança -> dmz e dmz -> confiar. Além disso, a proteção geralmente era limitada a listas de acesso baseadas em cabeçalhos L3/L4 (OSI) (IP, portas TCP/UDP, sinalizadores TCP). Tudo relacionado aos níveis superiores, incluindo L7, foi deixado para o sistema operacional e os produtos de segurança instalados nos hosts finais.

Agora a situação mudou dramaticamente. Conceito moderno zero confiança vem do fato de que não é mais possível considerar os sistemas internos, ou seja, aqueles localizados dentro do perímetro, como confiáveis, e o próprio conceito de perímetro tornou-se confuso.
Além da conexão com a internet também temos

  • usuários VPN de acesso remoto
  • vários dispositivos pessoais, trouxe laptops, conectados via WiFi do escritório
  • outros escritórios (filiais)
  • integração com infraestrutura em nuvem

Como é a abordagem Zero Trust na prática?

Idealmente, apenas o tráfego necessário deve ser permitido e, se estamos falando de um ideal, então o controle deve ser não apenas no nível L3/L4, mas no nível da aplicação.

Se, por exemplo, você tiver a capacidade de passar todo o tráfego por um firewall, poderá tentar chegar mais perto do ideal. Mas essa abordagem pode reduzir significativamente a largura de banda total da sua rede e, além disso, a filtragem por aplicativo nem sempre funciona bem.

Ao controlar o tráfego em um roteador ou switch L3 (usando ACLs padrão), você encontra outros problemas:

  • Esta é apenas a filtragem L3/L4. Não há nada que impeça um invasor de usar portas permitidas (por exemplo, TCP 80) para sua aplicação (não http).
  • gerenciamento complexo de ACL (difícil de analisar ACLs)
  • Este não é um firewall statefull, o que significa que você precisa permitir explicitamente o tráfego reverso
  • com switches, você geralmente fica bastante limitado pelo tamanho do TCAM, o que pode rapidamente se tornar um problema se você adotar a abordagem "permitir apenas o que você precisa"

Nota

Falando em tráfego reverso, devemos lembrar que temos a seguinte oportunidade (Cisco)

permitir tcp qualquer qualquer estabelecido

Mas você precisa entender que esta linha equivale a duas linhas:
permitir tcp qualquer qualquer confirmação
permitir tcp qualquer primeiro

O que significa que mesmo que não houvesse nenhum segmento TCP inicial com o sinalizador SYN (ou seja, a sessão TCP nem sequer começou a ser estabelecida), esta ACL permitirá um pacote com o sinalizador ACK, que um invasor pode usar para transferir dados.

Ou seja, esta linha de forma alguma transforma seu roteador ou switch L3 em um firewall statefull.

Alto nível de proteção

В статье Na seção sobre data centers, consideramos os seguintes métodos de proteção.

  • firewall com estado (padrão)
  • proteção ddos/dos
  • firewall de aplicativos
  • prevenção de ameaças (antivírus, anti-spyware e vulnerabilidade)
  • Filtragem de URL
  • filtragem de dados (filtragem de conteúdo)
  • bloqueio de arquivos (bloqueio de tipos de arquivos)

No caso de um escritório a situação é semelhante, mas as prioridades são um pouco diferentes. A disponibilidade (disponibilidade) do escritório geralmente não é tão crítica como no caso de um data center, enquanto a probabilidade de tráfego malicioso “interno” é muito maior.
Portanto, os seguintes métodos de proteção para este segmento tornam-se críticos:

  • firewall de aplicativos
  • prevenção de ameaças (antivírus, antispyware e vulnerabilidade)
  • Filtragem de URL
  • filtragem de dados (filtragem de conteúdo)
  • bloqueio de arquivos (bloqueio de tipos de arquivos)

Embora todos esses métodos de proteção, com exceção do firewall de aplicativos, tenham sido tradicionalmente e continuem a ser resolvidos nos hosts finais (por exemplo, instalando programas antivírus) e usando proxies, os NGFWs modernos também fornecem esses serviços.

Os fornecedores de equipamentos de segurança se esforçam para criar uma proteção abrangente e, portanto, junto com a proteção local, oferecem diversas tecnologias de nuvem e software cliente para hosts (proteção de ponto final/EPP). Então, por exemplo, de Quadrante Mágico do Gartner 2018 Vemos que Palo Alto e Cisco têm seus próprios EPPs (PA: Traps, Cisco: AMP), mas estão longe dos líderes.

Ativar essas proteções (geralmente através da compra de licenças) em seu firewall não é obrigatório (você pode seguir o caminho tradicional), mas oferece alguns benefícios:

  • neste caso, existe um ponto único de aplicação dos métodos de proteção, o que melhora a visibilidade (veja o próximo tópico).
  • Se houver um dispositivo desprotegido em sua rede, ele ainda estará sob o “guarda-chuva” da proteção por firewall
  • Ao usar a proteção de firewall em conjunto com a proteção do host final, aumentamos a probabilidade de detecção de tráfego malicioso. Por exemplo, usar a prevenção contra ameaças em hosts locais e em um firewall aumenta a probabilidade de detecção (desde que, é claro, essas soluções sejam baseadas em produtos de software diferentes).

Nota

Se, por exemplo, você usar o Kaspersky como antivírus tanto no firewall quanto nos hosts finais, isso, é claro, não aumentará muito suas chances de impedir um ataque de vírus em sua rede.

Visibilidade da rede

idéia central é simples - “veja” o que está acontecendo na sua rede, tanto em tempo real quanto em dados históricos.

Eu dividiria esta “visão” em dois grupos:

Grupo um: o que seu sistema de monitoramento geralmente fornece.

  • carregamento de equipamentos
  • carregando canais
  • uso de memória
  • Uso de disco
  • alterando a tabela de roteamento
  • status do link
  • disponibilidade de equipamentos (ou hosts)
  • ...

Grupo dois: informações relacionadas à segurança.

  • vários tipos de estatísticas (por exemplo, por aplicativo, por tráfego de URL, quais tipos de dados foram baixados, dados do usuário)
  • o que foi bloqueado pelas políticas de segurança e por que motivo, nomeadamente
    • aplicação proibida
    • proibido com base em ip/protocol/port/flags/zones
    • prevenção de ameaças
    • filtragem de url
    • filtragem de dados
    • bloqueio de arquivo
    • ...
  • estatísticas sobre ataques DOS/DDOS
  • tentativas fracassadas de identificação e autorização
  • estatísticas para todos os eventos de violação da política de segurança acima
  • ...

Neste capítulo sobre segurança, estamos interessados ​​na segunda parte.

Alguns firewalls modernos (da minha experiência em Palo Alto) oferecem um bom nível de visibilidade. Mas, claro, o tráfego de seu interesse deve passar por esse firewall (nesse caso você tem a capacidade de bloquear o tráfego) ou espelhado no firewall (usado apenas para monitoramento e análise), e você deve ter licenças para habilitar todos esses serviços.

Existe, claro, uma forma alternativa, ou melhor, a forma tradicional, por exemplo,

  • As estatísticas da sessão podem ser coletadas via netflow e depois usadas em utilitários especiais para análise de informações e visualização de dados
  • prevenção de ameaças – programas especiais (antivírus, antispyware, firewall) em hosts finais
  • Filtragem de URL, filtragem de dados, bloqueio de arquivos – em proxy
  • também é possível analisar o tcpdump usando, por ex. bufar

Você pode combinar essas duas abordagens, complementando os recursos ausentes ou duplicando-os para aumentar a probabilidade de detecção de um ataque.

Qual abordagem você deve escolher?
Depende muito das qualificações e preferências da sua equipe.
Tanto lá como há prós e contras.

Sistema unificado de autenticação e autorização centralizado

Quando bem projetada, a mobilidade que discutimos neste artigo pressupõe que você tenha o mesmo acesso, quer trabalhe no escritório ou em casa, no aeroporto, em uma cafeteria ou em qualquer outro lugar (com as limitações discutidas acima). Ao que parece, qual é o problema?
Para entender melhor a complexidade desta tarefa, vejamos um design típico.

Exemplo

  • Você dividiu todos os funcionários em grupos. Você decidiu fornecer acesso por grupos
  • Dentro do escritório, você controla o acesso no firewall do escritório
  • Você controla o tráfego do escritório para o data center no firewall do data center
  • Você usa um Cisco ASA como gateway VPN e para controlar o tráfego que entra na sua rede vindo de clientes remotos, você usa ACLs locais (no ASA)

Agora, digamos que você seja solicitado a adicionar acesso adicional a um determinado funcionário. Nesse caso, você será solicitado a adicionar acesso apenas a ele e a mais ninguém de seu grupo.

Para isso temos que criar um grupo separado para este funcionário, ou seja

  • crie um pool de IP separado no ASA para este funcionário
  • adicione uma nova ACL no ASA e vincule-a a esse cliente remoto
  • criar novas políticas de segurança em firewalls de escritórios e data centers

É bom que este evento seja raro. Mas na minha prática havia uma situação em que os funcionários participavam de projetos diferentes, e esse conjunto de projetos para alguns deles mudava com bastante frequência, e não eram 1-2 pessoas, mas dezenas. Claro, algo precisava ser mudado aqui.

Isso foi resolvido da seguinte maneira.

Decidimos que o LDAP seria a única fonte de verdade que determinaria todos os possíveis acessos dos funcionários. Criamos todos os tipos de grupos que definem conjuntos de acessos e atribuímos a cada usuário um ou mais grupos.

Então, por exemplo, suponha que houvesse grupos

  • convidado (acesso à Internet)
  • acesso comum (acesso a recursos compartilhados: correio, base de conhecimento, ...)
  • contabilidade
  • projeto 1
  • projeto 2
  • administrador de banco de dados
  • administrador linux
  • ...

E se um dos funcionários estivesse envolvido no projeto 1 e no projeto 2 e precisasse do acesso necessário para trabalhar nesses projetos, esse funcionário era alocado nos seguintes grupos:

  • convidado
  • acesso comum
  • projeto 1
  • projeto 2

Como podemos agora transformar esta informação em acesso em equipamentos de rede?

Política de acesso dinâmico (DAP) Cisco ASA (consulte www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) a solução é ideal para esta tarefa.

Resumidamente sobre a nossa implementação, durante o processo de identificação/autorização, o ASA recebe do LDAP um conjunto de grupos correspondentes a um determinado usuário e “coleta” de diversas ACLs locais (cada uma delas corresponde a um grupo) uma ACL dinâmica com todos os acessos necessários , o que corresponde plenamente aos nossos desejos.

Mas isto é apenas para conexões VPN. Para que a situação seja igual tanto para os funcionários conectados via VPN quanto para os que estão no escritório, foi dado o seguinte passo.

Ao se conectarem do escritório, os usuários que usavam o protocolo 802.1x acabavam em uma LAN convidada (para convidados) ou em uma LAN compartilhada (para funcionários da empresa). Além disso, para obter acesso específico (por exemplo, a projetos num data center), os funcionários tinham que se conectar via VPN.

Para conectar-se do escritório e de casa, diferentes grupos de túneis foram usados ​​no ASA. Isto é necessário para que, para quem se conecta a partir do escritório, o tráfego para recursos compartilhados (utilizados por todos os funcionários, como correio, servidores de arquivos, sistema de tickets, dns, ...) não passe pelo ASA, mas pela rede local . Assim, não carregamos o ASA com tráfego desnecessário, incluindo tráfego de alta intensidade.

Assim, o problema foi resolvido.
Nós temos

  • o mesmo conjunto de acessos para conexões do escritório e conexões remotas
  • ausência de degradação do serviço ao trabalhar no escritório associada à transmissão de tráfego de alta intensidade através do ASA

Que outras vantagens desta abordagem?
Na administração de acesso. Os acessos podem ser facilmente alterados num só local.
Por exemplo, se um funcionário sair da empresa, basta removê-lo do LDAP e ele perderá automaticamente todo o acesso.

Verificação de host

Com a possibilidade de ligação remota, corremos o risco de permitir a entrada na rede não só de um funcionário da empresa, mas também de todos os softwares maliciosos que muito provavelmente estão presentes no seu computador (por exemplo, doméstico), e além disso, através deste software nós pode estar fornecendo acesso à nossa rede a um invasor usando este host como proxy.

Faz sentido que um host conectado remotamente aplique os mesmos requisitos de segurança que um host no escritório.

Isso também pressupõe a versão “correta” do sistema operacional, software antivírus, antispyware e firewall e atualizações. Normalmente, esse recurso existe no gateway VPN (para ASA, consulte, por exemplo, aqui).

Também é aconselhável aplicar as mesmas técnicas de análise e bloqueio de tráfego (consulte “Alto nível de proteção”) que sua política de segurança aplica ao tráfego do escritório.

É razoável presumir que a rede do seu escritório não está mais limitada ao prédio de escritórios e aos hosts dentro dele.

Exemplo

Uma boa técnica é fornecer a cada funcionário que necessita de acesso remoto um laptop bom e conveniente e exigir que ele trabalhe, tanto no escritório quanto em casa, somente a partir dele.

Ele não apenas melhora a segurança da sua rede, mas também é muito conveniente e geralmente é visto com bons olhos pelos funcionários (se for um laptop realmente bom e fácil de usar).

Sobre um senso de proporção e equilíbrio

Basicamente, esta é uma conversa sobre o terceiro vértice do nosso triângulo - sobre preço.
Vejamos um exemplo hipotético.

Exemplo

Você tem um escritório para 200 pessoas. Você decidiu torná-lo o mais conveniente e seguro possível.

Portanto, você decidiu passar todo o tráfego pelo firewall e, portanto, para todas as sub-redes do escritório, o firewall é o gateway padrão. Além do software de segurança instalado em cada host final (software antivírus, antispyware e firewall), você também decidiu aplicar todos os métodos de proteção possíveis no firewall.

Para garantir alta velocidade de conexão (tudo por conveniência), você escolheu switches com portas de acesso de 10 Gigabit como switches de acesso e firewalls NGFW de alto desempenho como firewalls, por exemplo, série Palo Alto 7K (com portas de 40 Gigabit), naturalmente com todas as licenças incluído e, naturalmente, um par de alta disponibilidade.

Além disso, é claro, para trabalhar com esta linha de equipamentos precisamos de pelo menos alguns engenheiros de segurança altamente qualificados.

Em seguida, você decidiu dar a cada funcionário um bom laptop.

No total, cerca de 10 milhões de dólares para implementação, centenas de milhares de dólares (acho que mais perto de um milhão) para apoio anual e salários para engenheiros.

Escritório, 200 pessoas...
Confortável? Acho que sim.

Você vem com essa proposta para sua gestão...
Talvez existam várias empresas no mundo para as quais esta seja uma solução aceitável e correta. Se você é funcionário desta empresa, meus parabéns, mas na grande maioria dos casos tenho certeza que seu conhecimento não será apreciado pela administração.

Este exemplo é exagerado? O próximo capítulo responderá a esta pergunta.

Se na sua rede você não vir nenhuma das opções acima, então esta é a norma.
Para cada caso específico, você precisa encontrar seu próprio compromisso razoável entre conveniência, preço e segurança. Muitas vezes você nem precisa do NGFW em seu escritório, e a proteção L7 no firewall não é necessária. Basta fornecer um bom nível de visibilidade e alertas, e isso pode ser feito utilizando produtos de código aberto, por exemplo. Sim, a sua reação a um ataque não será imediata, mas o principal é que você o verá e, com os processos adequados implementados no seu departamento, poderá neutralizá-lo rapidamente.

E deixe-me lembrar que, de acordo com o conceito desta série de artigos, você não está desenhando uma rede, está apenas tentando melhorar o que conseguiu.

Análise SEGURA da arquitetura de escritórios

Preste atenção a este quadrado vermelho com o qual aloquei um lugar no diagrama de Guia de arquitetura de campus seguro SAFEque gostaria de discutir aqui.

Como assumir o controle de sua infraestrutura de rede. Capítulo três. Segurança de rede. Parte TRÊS

Este é um dos lugares-chave da arquitetura e uma das incertezas mais importantes.

Nota

Nunca configurei ou trabalhei com FirePower (da linha de firewall da Cisco - apenas ASA), então vou tratá-lo como qualquer outro firewall, como Juniper SRX ou Palo Alto, presumindo que tenha os mesmos recursos.

Dos designs usuais, vejo apenas 4 opções possíveis para usar um firewall com esta conexão:

  • o gateway padrão para cada sub-rede é um switch, enquanto o firewall está em modo transparente (ou seja, todo o tráfego passa por ele, mas não forma um salto L3)
  • o gateway padrão para cada sub-rede são as subinterfaces de firewall (ou interfaces SVI), o switch desempenha a função de L2
  • diferentes VRFs são usados ​​no switch, e o tráfego entre VRFs passa pelo firewall, o tráfego dentro de um VRF é controlado pela ACL no switch
  • todo o tráfego é espelhado no firewall para análise e monitoramento; o tráfego não passa por ele

Nota 1

Combinações dessas opções são possíveis, mas por simplicidade não as consideraremos.

Nota 2

Existe também a possibilidade de usar PBR (arquitetura de cadeia de serviços), mas por enquanto esta, embora seja uma solução bonita na minha opinião, é bastante exótica, por isso não estou considerando isso aqui.

Pela descrição dos fluxos no documento, vemos que o tráfego ainda passa pelo firewall, ou seja, de acordo com o desenho da Cisco, a quarta opção é eliminada.

Vejamos primeiro as duas primeiras opções.
Com essas opções, todo o tráfego passa pelo firewall.

Agora olha folha de dadosolha Cisco GPL e vemos que se quisermos que a largura de banda total do nosso escritório seja de pelo menos 10 a 20 gigabits, devemos comprar a versão 4K.

Nota

Quando falo sobre largura de banda total, quero dizer tráfego entre sub-redes (e não dentro de uma vilana).

Na GPL, vemos que para o pacote HA com Threat Defense, o preço dependendo do modelo (4110 - 4150) varia de ~0,5 - 2,5 milhões de dólares.

Ou seja, nosso design começa a se parecer com o exemplo anterior.

Isso significa que esse design está errado?
Não, isso não significa isso. A Cisco oferece a melhor proteção possível com base na linha de produtos que possui. Mas isso não significa que seja obrigatório para você.

Em princípio, esta é uma questão comum que surge ao projetar um escritório ou data center e significa apenas que é necessário buscar um compromisso.

Por exemplo, não deixe todo o tráfego passar pelo firewall; nesse caso, a opção 3 parece muito boa para mim ou (consulte a seção anterior) talvez você não precise do Threat Defense ou não precise de nenhum firewall nisso segmento de rede, e você só precisa se limitar ao monitoramento passivo usando soluções pagas (não caras) ou de código aberto, ou precisa de um firewall, mas de um fornecedor diferente.

Geralmente sempre existe essa incerteza e não há uma resposta clara sobre qual decisão é a melhor para você.
Esta é a complexidade e a beleza desta tarefa.

Fonte: habr.com

Adicionar um comentário