ProHoster > BLOG > administrare > Cum să preiei controlul asupra infrastructurii de rețea. Capitolul trei. Securitatea retelei. Partea a treia

Cum să preiei controlul asupra infrastructurii de rețea. Capitolul trei. Securitatea retelei. Partea a treia

Acest articol este al cincilea din seria „Cum să preia controlul asupra infrastructurii de rețea”. Conținutul tuturor articolelor din serie și link-urile pot fi găsite aici.

Această parte va fi dedicată segmentelor Campus (Office) și Remote Access VPN.

Cum să preiei controlul asupra infrastructurii de rețea. Capitolul trei. Securitatea retelei. Partea a treia

Proiectarea rețelei de birou poate părea ușor.

Într-adevăr, luăm comutatoarele L2/L3 și le conectăm între ele. În continuare, efectuăm o configurare de bază a vilanilor și a gateway-urilor implicite, configuram rutarea simplă, conectăm controlere WiFi, puncte de acces, instalăm și configuram ASA pentru acces la distanță, ne bucurăm că totul a funcționat. Practic, așa cum am scris deja într-una dintre cele anterioare articole din acest ciclu, aproape fiecare student care a urmat (și a învățat) două semestre ale unui curs de telecomunicații poate proiecta și configura o rețea de birouri astfel încât să „funcționeze cumva”.

Dar cu cât înveți mai mult, cu atât această sarcină începe să pară mai puțin simplă. Mie personal, acest subiect, subiectul designului rețelei de birouri, nu mi se pare deloc simplu, iar în acest articol voi încerca să explic de ce.

Pe scurt, sunt destul de mulți factori de luat în considerare. Adesea, acești factori sunt în conflict între ei și trebuie căutat un compromis rezonabil.
Această incertitudine este principala dificultate. Deci, vorbind despre securitate, avem un triunghi cu trei vârfuri: securitate, comoditate pentru angajați, prețul soluției.
Și de fiecare dată trebuie să cauți un compromis între acestea trei.

Arhitectură

Ca exemplu de arhitectură pentru aceste două segmente, ca și în articolele anterioare, recomand Cisco SAFE model: Campusul Enterprise, Enterprise Internet Edge.

Acestea sunt documente oarecum învechite. Le prezint aici pentru ca schemele fundamentale si abordarea nu s-au schimbat, dar in acelasi timp imi place prezentarea mai mult decat in documentație nouă.

Fără a vă încuraja să utilizați soluțiile Cisco, cred că este util să studiați cu atenție acest design.

Acest articol, ca de obicei, nu se pretinde în niciun fel a fi complet, ci este mai degrabă o completare la aceste informații.

La sfârșitul articolului, vom analiza designul biroului Cisco SAFE în ceea ce privește conceptele prezentate aici.

Principii generale

Designul rețelei de birouri trebuie, desigur, să satisfacă cerințele generale care au fost discutate aici în capitolul „Criterii de evaluare a calității designului”. Pe lângă preț și siguranță, despre care intenționăm să le discutăm în acest articol, există încă trei criterii pe care trebuie să le luăm în considerare atunci când proiectăm (sau facem modificări):

  • scalabilitate
  • ușurință în utilizare (gestionabilitate)
  • disponibilitate

Mare parte din ceea ce s-a discutat pentru centre de date Acest lucru este valabil și pentru birou.

Dar totuși, segmentul de birouri are specificul său, care este critic din punct de vedere al securității. Esența acestui specific este că acest segment este creat pentru a oferi servicii de rețea angajaților (precum partenerilor și invitaților) companiei și, ca urmare, la cel mai înalt nivel de luare în considerare a problemei avem două sarcini:

  • proteja resursele companiei de acțiunile rău intenționate care pot veni de la angajați (oaspeți, parteneri) și de la software-ul pe care îl folosesc. Aceasta include și protecție împotriva conexiunii neautorizate la rețea.
  • proteja sistemele și datele utilizatorilor

Și aceasta este doar o parte a problemei (sau mai degrabă, un vârf al triunghiului). Pe de altă parte este confortul utilizatorului și prețul soluțiilor utilizate.

Să începem prin a ne uita la ceea ce se așteaptă un utilizator de la o rețea modernă de birouri.

comoditate

Iată cum arată „facilitățile de rețea” pentru un utilizator de birou, în opinia mea:

  • mobilitate
  • Abilitatea de a utiliza întreaga gamă de dispozitive și sisteme de operare familiare
  • Acces ușor la toate resursele necesare ale companiei
  • Disponibilitatea resurselor de internet, inclusiv diverse servicii cloud
  • „Funcționare rapidă” a rețelei

Toate acestea se aplică atât angajaților, cât și oaspeților (sau partenerilor), iar inginerii companiei au sarcina de a diferenția accesul pentru diferite grupuri de utilizatori în funcție de autorizare.

Să ne uităm puțin mai detaliat la fiecare dintre aceste aspecte.

mobilitate

Vorbim despre oportunitatea de a lucra și de a folosi toate resursele necesare ale companiei de oriunde în lume (desigur, unde este disponibil internetul).

Acest lucru se aplică pe deplin la birou. Acest lucru este convenabil atunci când aveți posibilitatea de a continua să lucrați de oriunde în birou, de exemplu, să primiți e-mail, să comunicați într-un mesager corporativ, să fiți disponibil pentru un apel video, ... Astfel, acest lucru vă permite, pe de o parte, pentru a rezolva unele probleme de comunicare „în direct” (de exemplu, participarea la mitinguri) și, pe de altă parte, fii mereu online, ține-ți degetul pe puls și rezolvi rapid unele sarcini urgente cu prioritate ridicată. Acest lucru este foarte convenabil și chiar îmbunătățește calitatea comunicațiilor.

Acest lucru se realizează printr-un design adecvat al rețelei WiFi.

remarcă

Aici apare de obicei întrebarea: este suficient să folosești doar WiFi? Înseamnă asta că poți înceta să mai folosești porturile Ethernet la birou? Dacă vorbim doar despre utilizatori, și nu despre servere, care încă sunt rezonabile să se conecteze cu un port Ethernet obișnuit, atunci în general răspunsul este: da, vă puteți limita doar la WiFi. Dar există nuanțe.

Există grupuri importante de utilizatori care necesită o abordare separată. Aceștia sunt, desigur, administratori. În principiu, o conexiune WiFi este mai puțin fiabilă (din punct de vedere al pierderii de trafic) și mai lentă decât un port Ethernet obișnuit. Acest lucru poate fi semnificativ pentru administratori. În plus, administratorii de rețea, de exemplu, pot avea, în principiu, propria lor rețea Ethernet dedicată pentru conexiuni în afara bandă.

Pot exista și alte grupuri/departamente în compania dumneavoastră pentru care acești factori sunt de asemenea importanți.

Mai este un punct important - telefonia. Poate din anumite motive nu doriți să utilizați VoIP fără fir și doriți să utilizați telefoane IP cu o conexiune Ethernet obișnuită.

În general, companiile pentru care am lucrat aveau de obicei atât conectivitate WiFi, cât și un port Ethernet.

Aș dori ca mobilitatea să nu se limiteze doar la birou.

Pentru a asigura capacitatea de a lucra de acasă (sau orice alt loc cu internet accesibil), este utilizată o conexiune VPN. În același timp, este de dorit ca angajații să nu simtă diferența dintre lucrul de acasă și lucrul la distanță, care presupune același acces. Vom discuta despre cum să organizăm acest lucru puțin mai târziu în capitolul „Sistem de autorizare și autentificare centralizat unificat”.

remarcă

Cel mai probabil, nu veți putea oferi pe deplin aceeași calitate a serviciilor de lucru la distanță pe care le aveți la birou. Să presupunem că utilizați un Cisco ASA 5520 ca gateway VPN fișă tehnică acest dispozitiv este capabil să „digere” doar 225 Mbit de trafic VPN. Adică, desigur, în ceea ce privește lățimea de bandă, conectarea prin VPN este foarte diferită de lucrul de la birou. De asemenea, dacă, din anumite motive, latența, pierderea, fluctuația (de exemplu, doriți să utilizați telefonia IP de birou) pentru serviciile dvs. de rețea sunt semnificative, nu veți primi aceeași calitate ca și când ați fi la birou. Prin urmare, atunci când vorbim despre mobilitate, trebuie să fim conștienți de posibilele limitări.

Acces facil la toate resursele companiei

Această sarcină ar trebui rezolvată împreună cu alte departamente tehnice.
Situația ideală este atunci când utilizatorul trebuie să se autentifice o singură dată, iar după aceea are acces la toate resursele necesare.
Oferirea de acces ușor fără a sacrifica securitatea poate îmbunătăți semnificativ productivitatea și reduce stresul în rândul colegilor tăi.

Observație 1

Ușurința de acces nu este doar de câte ori trebuie să introduceți o parolă. Dacă, de exemplu, în conformitate cu politica dvs. de securitate, pentru a vă conecta de la birou la centrul de date, trebuie mai întâi să vă conectați la gateway-ul VPN și, în același timp, pierdeți accesul la resursele de birou, atunci acest lucru este, de asemenea, foarte , foarte incomod.

Observație 2

Există servicii (de exemplu, acces la echipamente de rețea) unde de obicei avem propriile servere AAA dedicate și aceasta este norma când în acest caz trebuie să ne autentificăm de mai multe ori.

Disponibilitatea resurselor de internet

Internetul nu este doar divertisment, ci și un set de servicii care pot fi foarte utile pentru muncă. Există și factori pur psihologici. O persoană modernă este conectată cu alți oameni prin Internet prin multe fire virtuale și, în opinia mea, nu este nimic în neregulă dacă continuă să simtă această conexiune chiar și în timp ce lucrează.

Din punctul de vedere al pierderii timpului, nu este nimic în neregulă dacă un angajat, de exemplu, are Skype în funcțiune și petrece 5 minute comunicând cu o persoană dragă dacă este necesar.

Înseamnă asta că internetul ar trebui să fie întotdeauna disponibil, înseamnă asta că angajații pot avea acces la toate resursele și nu le pot controla în niciun fel?

Nu, nu înseamnă asta, desigur. Nivelul de deschidere a internetului poate varia în funcție de companii - de la închiderea completă la deschiderea completă. Vom discuta modalități de control al traficului mai târziu în secțiunile privind măsurile de securitate.

Abilitatea de a utiliza întreaga gamă de dispozitive familiare

Este convenabil atunci când, de exemplu, aveți posibilitatea de a continua să utilizați toate mijloacele de comunicare cu care sunteți obișnuit la locul de muncă. Nu există nicio dificultate în implementarea tehnică a acestui lucru. Pentru aceasta aveți nevoie de WiFi și de un wilan pentru oaspeți.

De asemenea, este bine dacă ai ocazia să folosești sistemul de operare cu care te-ai obișnuit. Dar, în observația mea, acest lucru este de obicei permis doar managerilor, administratorilor și dezvoltatorilor.

Exemplu

Puteți, desigur, să urmați calea interdicțiilor, să interziceți accesul la distanță, să interziceți conectarea de pe dispozitive mobile, să limitați totul la conexiuni Ethernet statice, să limitați accesul la Internet, să confiscați obligatoriu telefoane mobile și gadgeturi la punctul de control... și această cale. este de fapt urmat de unele organizații cu cerințe de securitate crescute și poate că în unele cazuri acest lucru poate fi justificat, dar... trebuie să fiți de acord că aceasta arată ca o încercare de a opri progresul într-o singură organizație. Desigur, aș dori să combin oportunitățile pe care tehnologiile moderne le oferă cu un nivel suficient de securitate.

„Funcționare rapidă” a rețelei

Viteza de transfer de date constă din punct de vedere tehnic din mulți factori. Și viteza portului de conexiune nu este de obicei cea mai importantă. Funcționarea lentă a unei aplicații nu este întotdeauna asociată cu probleme de rețea, dar deocamdată ne interesează doar partea de rețea. Cea mai frecventă problemă cu „încetinirea” rețelei locale este legată de pierderea pachetelor. Acest lucru apare de obicei atunci când există un blocaj sau probleme L1 (OSI). Mai rar, cu unele modele (de exemplu, când subrețelele dvs. au un firewall ca gateway implicit și, prin urmare, tot traficul trece prin acesta), performanța hardware poate fi lipsită.

Prin urmare, atunci când alegeți echipamentul și arhitectura, trebuie să corelați vitezele porturilor finale, trunchiurile și performanța echipamentului.

Exemplu

Să presupunem că utilizați comutatoare cu porturi de 1 gigabit ca comutatoare de nivel de acces. Sunt conectate între ele prin Etherchannel 2 x 10 gigabiți. Ca gateway implicit, utilizați un firewall cu porturi gigabit, pentru a vă conecta la rețeaua de birou L2, utilizați porturi de 2 gigabit combinate într-un canal Etherchannel.

Această arhitectură este destul de convenabilă din punct de vedere al funcționalității, deoarece... Tot traficul trece prin firewall și puteți gestiona confortabil politicile de acces și puteți aplica algoritmi complecși pentru a controla traficul și a preveni eventualele atacuri (vezi mai jos), dar din punct de vedere al debitului și al performanței acest design, desigur, are potențiale probleme. Deci, de exemplu, 2 gazde care descarcă date (cu o viteză de port de 1 gigabit) pot încărca complet o conexiune de 2 gigabit la firewall și, astfel, pot duce la degradarea serviciului pentru întregul segment de birou.

Ne-am uitat la un vârf al triunghiului, acum să vedem cum putem asigura securitatea.

căi de atac

Deci, desigur, de obicei dorința noastră (sau mai bine zis, dorința conducerii noastre) este de a realiza imposibilul, și anume, de a oferi confort maxim cu siguranță maximă și cost minim.

Să ne uităm la ce metode avem pentru a oferi protecție.

Pentru birou, aș sublinia următoarele:

  • abordare a designului cu încredere zero
  • nivel ridicat de protecție
  • vizibilitatea rețelei
  • sistem centralizat unificat de autentificare și autorizare
  • verificarea gazdei

În continuare, ne vom opri puțin mai detaliat asupra fiecăruia dintre aceste aspecte.

Încredere zero

Lumea IT se schimbă foarte repede. Doar în ultimii 10 ani, apariția noilor tehnologii și produse a condus la o revizuire majoră a conceptelor de securitate. În urmă cu zece ani, din punct de vedere al securității, am segmentat rețeaua în zone de încredere, dmz și untrust și am folosit așa-numita „protecție perimetrală”, unde existau 2 linii de apărare: untrust -> dmz și dmz -> încredere. De asemenea, protecția a fost de obicei limitată la listele de acces bazate pe anteturi L3/L4 (OSI) (IP, porturi TCP/UDP, steaguri TCP). Tot ceea ce ține de nivelurile superioare, inclusiv L7, a fost lăsat în seama sistemului de operare și a produselor de securitate instalate pe gazdele finale.

Acum situația s-a schimbat dramatic. Concept modern încredere zero vine din faptul că nu se mai pot considera sistemele interne, adică cele situate în interiorul perimetrului, ca fiind de încredere, iar conceptul de perimetru în sine a devenit estompat.
Pe langa conexiunea la internet avem si

  • utilizatorii VPN cu acces la distanță
  • diverse gadgeturi personale, laptopuri aduse, conectate prin office WiFi
  • alte birouri (filiale).
  • integrarea cu infrastructura cloud

Cum arată abordarea Zero Trust în practică?

Ideal ar trebui să fie permis doar traficul necesar și, dacă vorbim de un ideal, atunci controlul ar trebui să fie nu doar la nivelul L3/L4, ci la nivelul aplicației.

Dacă, de exemplu, aveți capacitatea de a trece tot traficul printr-un firewall, atunci puteți încerca să vă apropiați de ideal. Dar această abordare poate reduce semnificativ lățimea de bandă totală a rețelei dvs. și, în plus, filtrarea după aplicație nu funcționează întotdeauna bine.

Când controlați traficul pe un router sau un comutator L3 (folosind ACL-uri standard), întâmpinați alte probleme:

  • Aceasta este numai filtrarea L3/L4. Nu există nimic care să împiedice un atacator să folosească porturile permise (de ex. TCP 80) pentru aplicația sa (nu http)
  • management complex ACL (ACL-uri dificil de analizat)
  • Acesta nu este un firewall cu stare, ceea ce înseamnă că trebuie să permiteți în mod explicit traficul invers
  • cu comutatoare, sunteți de obicei destul de strâns limitat de dimensiunea TCAM, ceea ce poate deveni rapid o problemă dacă adoptați abordarea „permiteți doar ceea ce aveți nevoie”

remarcă

Vorbind despre traficul invers, trebuie să ne amintim că avem următoarea oportunitate (Cisco)

permite tcp orice orice stabilit

Dar trebuie să înțelegeți că această linie este echivalentă cu două linii:
permite tcp orice orice ack
permite tcp orice orice prima

Ceea ce înseamnă că, chiar dacă nu a existat un segment TCP inițial cu flag SYN (adică sesiunea TCP nici nu a început să se stabilească), acest ACL va permite un pachet cu flag ACK, pe care un atacator îl poate folosi pentru a transfera date.

Adică, această linie nu transformă în niciun caz routerul sau comutatorul L3 într-un firewall cu stare.

Nivel ridicat de protecție

В articol În secțiunea privind centrele de date, am luat în considerare următoarele metode de protecție.

  • firewall cu stare (implicit)
  • protectie ddos/dos
  • firewall-ul aplicației
  • prevenirea amenințărilor (antivirus, anti-spyware și vulnerabilitate)
  • Filtrare URL
  • filtrarea datelor (filtrarea conținutului)
  • blocarea fișierelor (blocarea tipurilor de fișiere)

În cazul unui birou, situația este similară, dar prioritățile sunt ușor diferite. Disponibilitatea biroului (disponibilitatea) nu este de obicei la fel de critică ca în cazul unui centru de date, în timp ce probabilitatea unui trafic rău intenționat „intern” este cu mult mai mare.
Prin urmare, următoarele metode de protecție pentru acest segment devin critice:

  • firewall-ul aplicației
  • prevenirea amenințărilor (anti-virus, anti-spyware și vulnerabilitate)
  • Filtrare URL
  • filtrarea datelor (filtrarea conținutului)
  • blocarea fișierelor (blocarea tipurilor de fișiere)

Deși toate aceste metode de protecție, cu excepția firewall-ului aplicațiilor, au fost și continuă să fie rezolvate în mod tradițional pe gazdele finale (de exemplu, prin instalarea de programe antivirus) și folosind proxy, NGFW-urile moderne oferă și aceste servicii.

Vânzătorii de echipamente de securitate se străduiesc să creeze o protecție cuprinzătoare, astfel încât, împreună cu protecția locală, oferă diverse tehnologii cloud și software client pentru gazde (protecție punct final/EPP). Deci, de exemplu, de la 2018 Gartner Magic Quadrant Vedem că Palo Alto și Cisco au propriile EPP-uri (PA: Traps, Cisco: AMP), dar sunt departe de lideri.

Activarea acestor protecții (de obicei prin achiziționarea de licențe) pe firewall nu este, desigur, obligatorie (puteți merge pe calea tradițională), dar oferă unele beneficii:

  • în acest caz, există un singur punct de aplicare a metodelor de protecție, care îmbunătățește vizibilitatea (vezi subiectul următor).
  • Dacă există un dispozitiv neprotejat în rețeaua dvs., atunci acesta inca se află sub „umbrela” protecției firewall
  • Folosind protecția firewall împreună cu protecția gazdei finale, creștem probabilitatea de a detecta trafic rău intenționat. De exemplu, utilizarea prevenirii amenințărilor pe gazdele locale și pe un firewall crește probabilitatea de detectare (cu condiția, desigur, ca aceste soluții să se bazeze pe diferite produse software)

remarcă

Dacă, de exemplu, utilizați Kaspersky ca antivirus atât pe firewall, cât și pe gazdele finale, atunci acest lucru, desigur, nu vă va crește foarte mult șansele de a preveni un atac de virus în rețeaua dvs.

Vizibilitatea rețelei

idee centrală este simplu - „vedeți” ce se întâmplă în rețeaua dvs., atât în ​​timp real, cât și în datele istorice.

Aș împărți această „viziune” în două grupuri:

Grupa unu: ceea ce vă oferă sistemul dvs. de monitorizare de obicei.

  • încărcarea echipamentelor
  • canale de încărcare
  • folosirea memoriei
  • utilizarea discului
  • schimbarea tabelului de rutare
  • starea linkului
  • disponibilitatea echipamentelor (sau gazdelor)
  • ...

Grupa doi: informații legate de siguranță.

  • diverse tipuri de statistici (de exemplu, după aplicație, după traficul URL, ce tipuri de date au fost descărcate, datele utilizatorului)
  • ce a fost blocat de politicile de securitate și din ce motiv și anume
    • aplicare interzisă
    • interzis pe baza ip/protocol/port/flags/zone
    • prevenirea amenințărilor
    • filtrare URL
    • filtrarea datelor
    • blocarea fișierelor
    • ...
  • statistici privind atacurile DOS/DDOS
  • încercări eșuate de identificare și autorizare
  • statistici pentru toate evenimentele de încălcare a politicii de securitate de mai sus
  • ...

În acest capitol despre securitate, ne interesează partea a doua.

Unele firewall-uri moderne (din experiența mea Palo Alto) oferă un nivel bun de vizibilitate. Dar, desigur, traficul de care sunteți interesat trebuie să treacă prin acest firewall (caz în care aveți capacitatea de a bloca traficul) sau să fie reflectat în firewall (utilizat doar pentru monitorizare și analiză) și trebuie să aveți licențe pentru a activa toate aceste servicii.

Există, desigur, un mod alternativ, sau mai degrabă modul tradițional, de exemplu,

  • Statisticile sesiunii pot fi colectate prin netflow și apoi utilizate utilități speciale pentru analiza informațiilor și vizualizarea datelor
  • prevenirea amenințărilor – programe speciale (anti-virus, anti-spyware, firewall) pe gazdele finale
  • Filtrarea adreselor URL, filtrarea datelor, blocarea fișierelor – pe proxy
  • este, de asemenea, posibil să se analizeze tcpdump folosind de ex. sforăit

Puteți combina aceste două abordări, completând caracteristicile lipsă sau duplicându-le pentru a crește probabilitatea de a detecta un atac.

Ce abordare ar trebui să alegi?
Depinde foarte mult de calificările și preferințele echipei tale.
Atât acolo, cât și există argumente pro și contra.

Sistem centralizat unificat de autentificare și autorizare

Când este bine concepută, mobilitatea despre care am discutat în acest articol presupune că aveți același acces indiferent dacă lucrați de la birou sau de acasă, de la aeroport, de la o cafenea sau oriunde altundeva (cu limitările pe care le-am discutat mai sus). S-ar părea, care este problema?
Pentru a înțelege mai bine complexitatea acestei sarcini, să ne uităm la un design tipic.

Exemplu

  • Ați împărțit toți angajații în grupuri. Ați decis să oferiți acces pe grupuri
  • În interiorul biroului, controlezi accesul pe firewall-ul biroului
  • Controlați traficul de la birou la centrul de date prin firewall-ul centrului de date
  • Utilizați un Cisco ASA ca gateway VPN și pentru a controla traficul care intră în rețea de la clienți la distanță, utilizați ACL-uri locale (pe ASA).

Acum, să presupunem că vi se cere să adăugați acces suplimentar la un anumit angajat. În acest caz, vi se cere să adăugați acces numai la el și la nimeni altcineva din grupul său.

Pentru aceasta trebuie să creăm un grup separat pentru acest angajat, adică

  • creați un grup de IP separat pe ASA pentru acest angajat
  • adăugați un nou ACL pe ASA și legați-l la acel client la distanță
  • creați noi politici de securitate pentru firewall-urile de birou și centre de date

Este bine dacă acest eveniment este rar. Dar în practica mea a existat o situație în care angajații au participat la diferite proiecte, iar acest set de proiecte pentru unii dintre ei s-a schimbat destul de des și nu a fost 1-2 persoane, ci zeci. Desigur, aici trebuia schimbat ceva.

Acest lucru a fost rezolvat în felul următor.

Am decis că LDAP va fi singura sursă de adevăr care determină toate accesele posibile ale angajaților. Am creat tot felul de grupuri care definesc seturi de accesări și am atribuit fiecărui utilizator unul sau mai multe grupuri.

Deci, de exemplu, să presupunem că au existat grupuri

  • oaspete (acces la internet)
  • acces comun (acces la resurse partajate: e-mail, bază de cunoștințe, ...)
  • contabilitate
  • proiect 1
  • proiect 2
  • administratorul bazei de date
  • administrator linux
  • ...

Și dacă unul dintre angajați a fost implicat atât în ​​proiectul 1, cât și în proiectul 2 și avea nevoie de accesul necesar pentru a lucra în aceste proiecte, atunci acest angajat a fost repartizat în următoarele grupuri:

  • oaspete
  • acces comun
  • proiect 1
  • proiect 2

Cum putem transforma acum aceste informații în acces pe echipamente de rețea?

Politica de acces dinamic (DAP) Cisco ASA (a se vedea www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) soluția este potrivită pentru această sarcină.

Pe scurt despre implementarea noastră, în timpul procesului de identificare/autorizare, ASA primește de la LDAP un set de grupuri corespunzătoare unui anumit utilizator și „colectează” de la mai multe ACL-uri locale (fiecare corespunde unui grup) un ACL dinamic cu toate accesele necesare , care corespunde pe deplin dorințelor noastre.

Dar aceasta este doar pentru conexiunile VPN. Pentru ca situația să fie aceeași atât pentru angajații conectați prin VPN, cât și pentru cei din birou, s-a făcut următorul pas.

Când se conectează de la birou, utilizatorii care foloseau protocolul 802.1x au ajuns fie într-un LAN pentru oaspeți (pentru oaspeți), fie într-un LAN partajat (pentru angajații companiei). Mai mult, pentru a obține acces specific (de exemplu, la proiecte dintr-un centru de date), angajații trebuiau să se conecteze prin VPN.

Pentru a conecta de la birou și de acasă, pe ASA au fost folosite diferite grupuri de tuneluri. Acest lucru este necesar pentru ca pentru cei care se conectează de la birou, traficul către resursele partajate (utilizate de toți angajații, cum ar fi mail, servere de fișiere, sistem de bilete, dns, ...) să nu treacă prin ASA, ci prin rețeaua locală. . Astfel, nu am încărcat ASA cu trafic inutil, inclusiv cu trafic de mare intensitate.

Astfel, problema a fost rezolvată.
Avem

  • același set de accese atât pentru conexiunile de la birou, cât și pentru conexiunile de la distanță
  • absența degradării serviciului la lucrul de la birou asociată cu transmiterea traficului de mare intensitate prin ASA

Ce alte avantaje ale acestei abordări?
În administrarea accesului. Accesurile pot fi schimbate cu ușurință într-un singur loc.
De exemplu, dacă un angajat părăsește compania, atunci pur și simplu îl eliminați din LDAP și pierde automat tot accesul.

Verificarea gazdei

Cu posibilitatea conexiunii de la distanță, riscăm să permitem nu doar un angajat al companiei să intre în rețea, ci și tot software-ul rău intenționat care este foarte probabil prezent pe computerul său (de exemplu, acasă), și mai mult, prin acest software poate oferi acces la rețeaua noastră unui atacator care folosește această gazdă ca proxy.

Este logic ca o gazdă conectată de la distanță să aplice aceleași cerințe de securitate ca și o gazdă din birou.

Aceasta presupune, de asemenea, versiunea „corectă” a sistemului de operare, antivirus, anti-spyware și software și actualizări de firewall. De obicei, această capacitate există pe gateway-ul VPN (pentru ASA vezi, de exemplu, aici).

De asemenea, este înțelept să aplicați aceleași tehnici de analiză și blocare a traficului (consultați „Nivel înalt de protecție”) pe care politica dvs. de securitate se aplică traficului de birou.

Este rezonabil să presupunem că rețeaua dvs. de birouri nu se mai limitează la clădirea de birouri și la gazdele din cadrul acesteia.

Exemplu

O tehnică bună este de a oferi fiecărui angajat care are nevoie de acces la distanță un laptop bun, convenabil și de a-i cere să lucreze, atât la birou, cât și de acasă, doar de pe acesta.

Nu numai că îmbunătățește securitatea rețelei tale, dar este și foarte convenabil și este de obicei privit favorabil de către angajați (dacă este un laptop cu adevărat bun, ușor de utilizat).

Despre un simț al proporției și al echilibrului

Practic, aceasta este o conversație despre al treilea vârf al triunghiului nostru - despre preț.
Să ne uităm la un exemplu ipotetic.

Exemplu

Ai un birou pentru 200 de persoane. Ai decis să-l faci cât mai convenabil și cât mai sigur posibil.

Prin urmare, ați decis să treceți tot traficul prin firewall și astfel pentru toate subrețelele de birou, firewall-ul este gateway-ul implicit. Pe lângă software-ul de securitate instalat pe fiecare gazdă finală (software antivirus, anti-spyware și firewall), ați decis să aplicați și toate metodele de protecție posibile pe firewall.

Pentru a asigura o viteză mare de conectare (toate pentru comoditate), ați ales comutatoare cu 10 porturi de acces Gigabit ca comutatoare de acces și firewall-uri NGFW de înaltă performanță ca firewall, de exemplu, seria Palo Alto 7K (cu porturi de 40 Gigabit), desigur cu toate licențele inclusă și, desigur, o pereche High Availability.

De asemenea, desigur, pentru a lucra cu această linie de echipamente avem nevoie de cel puțin o pereche de ingineri de securitate cu înaltă calificare.

Apoi, ați decis să oferiți fiecărui angajat un laptop bun.

Total, aproximativ 10 milioane de dolari pentru implementare, sute de mii de dolari (cred că mai aproape de un milion) pentru suport anual și salarii pentru ingineri.

Birou, 200 de persoane...
Confortabil? Presupun că este da.

Vii cu această propunere către conducerea ta...
Poate că există o serie de companii în lume pentru care aceasta este o soluție acceptabilă și corectă. Dacă sunteți angajat al acestei companii, felicitările mele, dar în marea majoritate a cazurilor, sunt sigur că cunoștințele dumneavoastră nu vor fi apreciate de conducere.

Este exagerat acest exemplu? Următorul capitol va răspunde la această întrebare.

Dacă în rețeaua dvs. nu vedeți nimic din cele de mai sus, atunci aceasta este norma.
Pentru fiecare caz specific, trebuie să găsiți propriul compromis rezonabil între comoditate, preț și siguranță. Adesea nici măcar nu aveți nevoie de NGFW în birou, iar protecția L7 pe firewall nu este necesară. Este suficient să oferiți un nivel bun de vizibilitate și alerte, iar acest lucru se poate face folosind produse open source, de exemplu. Da, reacția ta la un atac nu va fi imediată, dar principalul lucru este că o vei vedea și, cu procesele potrivite în cadrul departamentului tău, vei putea să o neutralizezi rapid.

Și permiteți-mi să vă reamintesc că, conform conceptului acestei serii de articole, nu proiectați o rețea, ci doar încercați să îmbunătățiți ceea ce ați obținut.

Analiza SIGURANTA a arhitecturii biroului

Atentie la acest patrat rosu cu care am alocat un loc pe diagrama din Ghid de arhitectură SAFE Secure Campusdespre care as vrea sa le discut aici.

Cum să preiei controlul asupra infrastructurii de rețea. Capitolul trei. Securitatea retelei. Partea a treia

Acesta este unul dintre locurile cheie ale arhitecturii și una dintre cele mai importante incertitudini.

remarcă

Nu am configurat și nu am lucrat niciodată cu FirePower (de la linia de firewall Cisco - doar ASA), așa că îl voi trata ca orice alt firewall, cum ar fi Juniper SRX sau Palo Alto, presupunând că are aceleași capacități.

Dintre modelele obișnuite, văd doar 4 opțiuni posibile pentru utilizarea unui firewall cu această conexiune:

  • gateway-ul implicit pentru fiecare subrețea este un comutator, în timp ce firewall-ul este în modul transparent (adică tot traficul trece prin el, dar nu formează un hop L3)
  • gateway-ul implicit pentru fiecare subrețea este sub-interfețele firewall (sau interfețele SVI), comutatorul joacă rolul de L2
  • diferite VRF sunt utilizate pe comutator, iar traficul dintre VRF trece prin firewall, traficul într-un singur VRF este controlat de ACL de pe switch
  • tot traficul este reflectat în firewall pentru analiză și monitorizare; traficul nu trece prin acesta

Observație 1

Combinațiile acestor opțiuni sunt posibile, dar pentru simplitate nu le vom lua în considerare.

Nota 2

Există și posibilitatea utilizării PBR (service chain architecture), dar deocamdată aceasta, deși o soluție frumoasă după părerea mea, este mai degrabă exotică, așa că nu o iau în considerare aici.

Din descrierea fluxurilor din document, vedem că traficul trece în continuare prin firewall, adică în conformitate cu designul Cisco, a patra opțiune este eliminată.

Să ne uităm mai întâi la primele două opțiuni.
Cu aceste opțiuni, tot traficul trece prin firewall.

Acum ne uităm fișă tehnică, uite Cisco GPL și vedem că dacă dorim ca lățimea de bandă totală pentru biroul nostru să fie de cel puțin 10 - 20 de gigabiți, atunci trebuie să cumpărăm versiunea 4K.

remarcă

Când vorbesc despre lățimea totală de bandă, mă refer la trafic între subrețele (și nu într-o vilă).

Din GPL vedem ca pentru Bundle-ul HA cu Threat Defense, pretul in functie de model (4110 - 4150) variaza intre ~0,5 - 2,5 milioane de dolari.

Adică, designul nostru începe să semene cu exemplul anterior.

Înseamnă asta că acest design este greșit?
Nu, asta nu înseamnă asta. Cisco vă oferă cea mai bună protecție posibilă pe baza liniei de produse pe care o are. Dar asta nu înseamnă că este un lucru obligatoriu pentru tine.

În principiu, aceasta este o întrebare frecventă care apare atunci când proiectați un birou sau un centru de date și înseamnă doar că trebuie căutat un compromis.

De exemplu, nu lăsați tot traficul să treacă printr-un firewall, caz în care opțiunea 3 mi se pare destul de bună sau (a se vedea secțiunea anterioară) poate nu aveți nevoie de Threat Defense sau nu aveți nevoie deloc de un firewall pentru asta segment de rețea și trebuie doar să vă limitați la monitorizarea pasivă folosind soluții plătite (nu scumpe) sau open source sau aveți nevoie de un firewall, dar de la un alt furnizor.

De obicei, există întotdeauna această incertitudine și nu există un răspuns clar cu privire la care decizie este cea mai bună pentru tine.
Aceasta este complexitatea și frumusețea acestei sarcini.

Sursa: www.habr.com

Adauga un comentariu