Tento článok je piatym zo série „Ako prevziať kontrolu nad sieťovou infraštruktúrou“. Obsah všetkých článkov v sérii a odkazy nájdete .
Táto časť bude venovaná segmentom Campus (Office) a Remote access VPN.
Návrh kancelárskej siete sa môže zdať jednoduchý.
Skutočne vezmeme prepínače L2 / L3 a navzájom ich spojíme. Ďalej vykonáme základné nastavenie vilanov a predvolených brán, nastavíme jednoduché routovanie, pripojíme WiFi ovládače, prístupové body, nainštalujeme a nakonfigurujeme ASA pre vzdialený prístup, sme radi, že všetko fungovalo. V podstate, ako som už písal v jednom z predchádzajúcich z tohto cyklu môže takmer každý študent, ktorý absolvoval (a naučil sa) dva semestre telekomunikačného kurzu, navrhnúť a nakonfigurovať kancelársku sieť tak, aby „nejako fungovala“.
Ale čím viac sa učíte, tým menej jednoduchá sa táto úloha začína zdať. Mne osobne sa táto téma, téma návrhu kancelárskych sietí, nezdá vôbec jednoduchá a v tomto článku sa pokúsim vysvetliť prečo.
Stručne povedané, je potrebné zvážiť niekoľko faktorov. Často sú tieto faktory vo vzájomnom rozpore a treba hľadať rozumný kompromis.
Táto neistota je hlavným problémom. Takže ak hovoríme o bezpečnosti, máme trojuholník s tromi vrcholmi: bezpečnosť, pohodlie pre zamestnancov, cena riešenia.
A zakaždým musíte hľadať kompromis medzi týmito tromi.
architektúra
Ako príklad architektúry pre tieto dva segmenty, ako v predchádzajúcich článkoch, odporúčam Model: , .
Sú to už trochu zastarané dokumenty. Uvádzam ich tu, pretože zásadné schémy a prístup sa nezmenili, no zároveň sa mi prezentácia páči viac ako in .
Bez toho, aby som vás povzbudzoval k používaniu riešení Cisco, stále si myslím, že je užitočné pozorne si tento návrh preštudovať.
Tento článok sa ako obvykle nijako netvári ako úplný, ale je skôr doplnkom k týmto informáciám.
Na konci článku rozoberieme kancelársky dizajn Cisco SAFE z hľadiska tu načrtnutých konceptov.
Všeobecné zásady
Návrh kancelárskej siete musí samozrejme spĺňať všeobecné požiadavky, o ktorých sa diskutovalo v kapitole „Kritériá hodnotenia kvality návrhu“. Okrem ceny a bezpečnosti, o ktorých máme v úmysle diskutovať v tomto článku, stále existujú tri kritériá, ktoré musíme zvážiť pri navrhovaní (alebo vykonávaní zmien):
- škálovateľnosť
- jednoduchosť použitia (ovládateľnosť)
- dostupnosť
Veľa z toho, o čom sa diskutovalo To platí aj pre kanceláriu.
Kancelársky segment má však svoje špecifiká, ktoré sú z bezpečnostného hľadiska kritické. Podstatou tejto špecifickosti je, že tento segment je vytvorený na poskytovanie sieťových služieb zamestnancom (ako aj partnerom a hosťom) spoločnosti a v dôsledku toho máme na najvyššej úrovni zváženia problému dve úlohy:
- chrániť zdroje spoločnosti pred škodlivými činmi, ktoré môžu pochádzať od zamestnancov (hostí, partnerov) a od softvéru, ktorý používajú. To zahŕňa aj ochranu pred neoprávneným pripojením k sieti.
- chrániť systémy a používateľské údaje
A to je len jedna strana problému (alebo skôr jeden vrchol trojuholníka). Na druhej strane je užívateľský komfort a cena použitých riešení.
Začnime tým, že sa pozrieme na to, čo používateľ očakáva od modernej kancelárskej siete.
pohodlie
Takto podľa môjho názoru vyzerá „vybavenie siete“ pre používateľa v kancelárii:
- Мобильность
- Schopnosť používať celý rad známych zariadení a operačných systémov
- Jednoduchý prístup ku všetkým potrebným firemným zdrojom
- Dostupnosť internetových zdrojov vrátane rôznych cloudových služieb
- „Rýchla prevádzka“ siete
Toto všetko platí pre zamestnancov aj hostí (alebo partnerov) a je úlohou inžinierov spoločnosti rozlišovať prístup pre rôzne skupiny používateľov na základe autorizácie.
Pozrime sa na každý z týchto aspektov trochu podrobnejšie.
Мобильность
Hovoríme o možnosti pracovať a využívať všetky potrebné firemné zdroje odkiaľkoľvek na svete (samozrejme tam, kde je dostupný internet).
V plnej miere to platí pre úrad. Je to výhodné, keď máte možnosť pokračovať v práci odkiaľkoľvek v kancelárii, napríklad prijímať poštu, komunikovať vo firemnom messengeri, byť k dispozícii pre videohovor, ... To vám na jednej strane umožňuje, na vyriešenie niektorých problémov „živou“ komunikáciou (napríklad účasť na mítingoch) a na druhej strane byť vždy online, držať palce a rýchlo riešiť niektoré naliehavé úlohy s vysokou prioritou. Je to veľmi pohodlné a skutočne to zlepšuje kvalitu komunikácie.
To sa dosiahne správnym návrhom WiFi siete.
poznámka
Tu zvyčajne vyvstáva otázka: stačí používať iba WiFi? Znamená to, že môžete prestať používať ethernetové porty v kancelárii? Ak hovoríme iba o používateľoch a nie o serveroch, ktoré je stále rozumné pripojiť sa k bežnému ethernetovému portu, potom vo všeobecnosti odpoveď znie: áno, môžete sa obmedziť iba na WiFi. Ale existujú nuansy.
Existujú dôležité skupiny používateľov, ktoré si vyžadujú samostatný prístup. Sú to samozrejme správcovia. V zásade je WiFi pripojenie menej spoľahlivé (z hľadiska straty prevádzky) a pomalšie ako bežný ethernetový port. To môže byť dôležité pre správcov. Okrem toho napríklad správcovia siete môžu mať v zásade vlastnú vyhradenú ethernetovú sieť na pripojenie mimo pásma.
Vo vašej spoločnosti môžu existovať ďalšie skupiny/oddelenia, pre ktoré sú tieto faktory tiež dôležité.
Je tu ešte jeden dôležitý bod – telefonovanie. Možno z nejakého dôvodu nechcete používať bezdrôtové VoIP a chcete používať IP telefóny s bežným ethernetovým pripojením.
Vo všeobecnosti spoločnosti, pre ktoré som pracoval, mali zvyčajne WiFi pripojenie aj ethernetový port.
Bol by som rád, keby sa mobilita neobmedzovala len na kanceláriu.
Na zabezpečenie možnosti pracovať z domu (alebo akéhokoľvek iného miesta s prístupným internetom) sa používa pripojenie VPN. Zároveň je žiaduce, aby zamestnanci nepociťovali rozdiel medzi prácou z domu a prácou na diaľku, ktorá predpokladá rovnaký prístup. O tom, ako to usporiadať, si povieme o niečo neskôr v kapitole „Jednotný centralizovaný systém autentifikácie a autorizácie“.
poznámka
S najväčšou pravdepodobnosťou nebudete môcť plne poskytnúť rovnakú kvalitu služieb pre prácu na diaľku, akú máte v kancelárii. Predpokladajme, že ako bránu VPN používate Cisco ASA 5520. Podľa toto zariadenie je schopné „stráviť“ iba 225 Mbit prevádzky VPN. To znamená, samozrejme, pokiaľ ide o šírku pásma, pripojenie cez VPN je veľmi odlišné od práce z kancelárie. Taktiež, ak je z nejakého dôvodu latencia, strata, jitter (napríklad chcete použiť kancelársku IP telefóniu) pre vaše sieťové služby významné, tiež nedostanete rovnakú kvalitu, ako keby ste boli v kancelárii. Preto, keď hovoríme o mobilite, musíme si uvedomiť možné obmedzenia.
Jednoduchý prístup ku všetkým zdrojom spoločnosti
Táto úloha by sa mala riešiť spoločne s ostatnými technickými oddeleniami.
Ideálny stav je, keď sa používateľovi stačí autentifikovať raz a potom má prístup ku všetkým potrebným zdrojom.
Poskytovanie jednoduchého prístupu bez obetovania zabezpečenia môže výrazne zvýšiť produktivitu a znížiť stres medzi vašimi kolegami.
Poznámka 1
Jednoduchý prístup nie je len o tom, koľkokrát musíte zadať heslo. Ak sa napríklad v súlade s vašou bezpečnostnou politikou, aby ste sa mohli pripojiť z kancelárie do dátového centra, musíte sa najprv pripojiť k bráne VPN a zároveň stratíte prístup k zdrojom kancelárie, potom je to tiež veľmi , veľmi nepohodlné.
Poznámka 2
Existujú služby (napríklad prístup k sieťovým zariadeniam), kde zvyčajne máme vlastné dedikované servery AAA, a to je norma, keď sa v tomto prípade musíme niekoľkokrát autentifikovať.
Dostupnosť internetových zdrojov
Internet nie je len zábava, ale aj súbor služieb, ktoré môžu byť pre prácu veľmi užitočné. Existujú aj čisto psychologické faktory. Moderný človek je cez internet prepojený s inými ľuďmi prostredníctvom mnohých virtuálnych vlákien a podľa mňa na tom nie je nič zlé, ak toto spojenie pociťuje aj počas práce.
Z pohľadu plytvania časom nie je nič zlé, ak má zamestnanec napríklad spustený Skype a v prípade potreby strávi 5 minút komunikáciou s blízkym.
Znamená to, že internet by mal byť vždy dostupný, znamená to, že zamestnanci môžu mať prístup ku všetkým zdrojom a nijako ich nekontrolujú?
Nie, to samozrejme neznamená. Úroveň otvorenosti internetu sa môže u rôznych spoločností líšiť – od úplného uzavretia až po úplnú otvorenosť. Spôsoby riadenia dopravy si rozoberieme neskôr v častiach o bezpečnostných opatreniach.
Schopnosť používať celý rad známych zariadení
Je to výhodné, keď máte napríklad možnosť naďalej využívať všetky komunikačné prostriedky, na ktoré ste v práci zvyknutí. Nie je problém to technicky realizovať. Na to potrebujete WiFi a hosťovský wilan.
Je tiež dobré, ak máte možnosť používať operačný systém, na ktorý ste zvyknutí. Ale podľa môjho pozorovania je to zvyčajne povolené iba manažérom, správcom a vývojárom.
Príklad
Môžete, samozrejme, ísť cestou zákazov, zakázať vzdialený prístup, zakázať pripojenie z mobilných zariadení, obmedziť všetko na statické ethernetové pripojenia, obmedziť prístup na internet, povinne zabaviť mobilné telefóny a miniaplikácie na kontrolnom bode... a táto cesta v skutočnosti nasledujú niektoré organizácie so zvýšenými bezpečnostnými požiadavkami a možno to môže byť v niektorých prípadoch opodstatnené, ale... musíte súhlasiť, že to vyzerá ako pokus zastaviť pokrok v jednej organizácii. Samozrejme, rád by som spojil možnosti, ktoré poskytujú moderné technológie, s dostatočnou úrovňou bezpečnosti.
„Rýchla prevádzka“ siete
Rýchlosť prenosu dát technicky pozostáva z mnohých faktorov. A rýchlosť vášho portu pripojenia zvyčajne nie je najdôležitejšia. Pomalá prevádzka aplikácie nie je vždy spojená so sieťovými problémami, ale zatiaľ nás zaujíma iba sieťová časť. Najčastejší problém so „spomalením“ lokálnej siete súvisí so stratou paketov. To sa zvyčajne vyskytuje, keď sa vyskytne problém s prekážkou alebo L1 (OSI). Zriedkavejšie môže pri niektorých návrhoch (napríklad, keď vaše podsiete majú bránu firewall ako predvolenú bránu, a teda všetka prevádzka prechádza cez ňu) chýbať výkon hardvéru.
Preto pri výbere vybavenia a architektúry musíte korelovať rýchlosti koncových portov, trunkov a výkonu zariadenia.
Príklad
Predpokladajme, že ako prepínače prístupovej vrstvy používate prepínače s 1 gigabitovými portami. Sú navzájom prepojené cez Etherchannel 2 x 10 gigabitov. Ako predvolenú bránu používate firewall s gigabitovými portami, na pripojenie ktorých do kancelárskej siete L2 použijete 2 gigabitové porty kombinované do Etherchannelu.
Táto architektúra je celkom pohodlná z hľadiska funkčnosti, pretože... Všetka prevádzka prechádza cez firewall a môžete pohodlne spravovať prístupové politiky a aplikovať zložité algoritmy na riadenie prevádzky a predchádzanie možným útokom (pozri nižšie), ale z hľadiska priepustnosti a výkonu má tento dizajn, samozrejme, potenciálne problémy. Takže napríklad 2 hostitelia sťahujúci dáta (s rýchlosťou portu 1 gigabit) môžu úplne načítať 2 gigabitové pripojenie k firewallu a viesť tak k degradácii služieb pre celý segment kancelárskych priestorov.
Pozreli sme sa na jeden vrchol trojuholníka, teraz sa pozrime na to, ako môžeme zaistiť bezpečnosť.
opravné
Takže, samozrejme, zvyčajne je našou túžbou (alebo skôr túžbou nášho manažmentu) dosiahnuť nemožné, konkrétne poskytnúť maximálne pohodlie s maximálnou bezpečnosťou a minimálnymi nákladmi.
Pozrime sa, aké metódy máme na zabezpečenie ochrany.
Pre kanceláriu by som zdôraznil nasledovné:
- prístup nulovej dôvery k dizajnu
- vysoká úroveň ochrany
- viditeľnosť siete
- jednotný centralizovaný systém autentifikácie a autorizácie
- kontrola hostiteľa
Ďalej sa budeme venovať každému z týchto aspektov trochu podrobnejšie.
Nulová dôvera
Svet IT sa veľmi rýchlo mení. Len za posledných 10 rokov viedol vznik nových technológií a produktov k zásadnej revízii bezpečnostných koncepcií. Pred desiatimi rokmi sme z bezpečnostného hľadiska rozčlenili sieť na zóny dôvery, dmz a nedôvery a použili sme takzvanú „ochranu perimetra“, kde existovali 2 línie obrany: nedôvera -> dmz a dmz -> dôverovať. Tiež ochrana bola zvyčajne obmedzená na prístupové zoznamy založené na hlavičkách L3/L4 (OSI) (IP, TCP/UDP porty, TCP príznaky). Všetko, čo sa týkalo vyšších úrovní, vrátane L7, bolo ponechané na OS a bezpečnostné produkty nainštalované na koncových hostiteľoch.
Teraz sa situácia dramaticky zmenila. Moderný koncept vychádza zo skutočnosti, že už nie je možné považovať interné systémy, teda tie, ktoré sa nachádzajú vo vnútri perimetra, za dôveryhodné, a pojem samotného perimetra sa zahmlieva.
Okrem pripojenia na internet máme aj
- vzdialení používatelia VPN
- rôzne osobné vychytávky, prinesené notebooky, pripojené cez kancelársku WiFi
- iné (pobočkové) kancelárie
- integrácia s cloudovou infraštruktúrou
Ako vyzerá prístup nulovej dôvery v praxi?
V ideálnom prípade by mala byť povolená iba požadovaná prevádzka a ak hovoríme o ideáli, potom by kontrola mala byť nielen na úrovni L3/L4, ale na úrovni aplikácie.
Ak máte napríklad možnosť prejsť všetku komunikáciu cez firewall, môžete sa pokúsiť priblížiť k ideálu. Tento prístup však môže výrazne znížiť celkovú šírku pásma vašej siete a okrem toho filtrovanie podľa aplikácie nie vždy funguje dobre.
Pri riadení prevádzky na smerovači alebo prepínači L3 (pomocou štandardných ACL) narazíte na ďalšie problémy:
- Toto je len filtrovanie L3/L4. Útočníkovi nič nebráni použiť povolené porty (napr. TCP 80) pre svoju aplikáciu (nie http)
- komplexná správa ACL (ťažké analyzovať ACL)
- Toto nie je stavová brána firewall, čo znamená, že musíte explicitne povoliť spätnú komunikáciu
- s prepínačmi ste zvyčajne dosť pevne obmedzení veľkosťou TCAM, čo sa môže rýchlo stať problémom, ak použijete prístup „povoľte len to, čo potrebujete“
poznámka
Keď už hovoríme o spätnej premávke, musíme si uvedomiť, že máme nasledujúcu príležitosť (Cisco)
povoliť tcp akékoľvek zavedené
Musíte však pochopiť, že tento riadok je ekvivalentný dvom riadkom:
povoliť tcp akékoľvek potvrdenie
allow tcp any any rstČo znamená, že aj keby neexistoval žiadny počiatočný segment TCP s príznakom SYN (to znamená, že relácia TCP sa ani nezačala vytvárať), toto ACL umožní paket s príznakom ACK, ktorý môže útočník použiť na prenos údajov.
To znamená, že táto linka v žiadnom prípade nepremení váš smerovač alebo prepínač L3 na stavový firewall.
Vysoká úroveň ochrany
В V časti o dátových centrách sme zvážili nasledujúce spôsoby ochrany.
- stavový firewall (predvolené)
- ochrana ddos/dos
- aplikačný firewall
- prevencia hrozieb (antivírus, antispyware a zraniteľnosť)
- Filtrovanie adries URL
- filtrovanie údajov (filtrovanie obsahu)
- blokovanie súborov (blokovanie typov súborov)
V prípade kancelárie je situácia podobná, priority sú však trochu iné. Dostupnosť kancelárie (dostupnosť) zvyčajne nie je taká kritická ako v prípade dátového centra, zatiaľ čo pravdepodobnosť „internej“ škodlivej prevádzky je rádovo vyššia.
Preto sú pre tento segment kritické nasledujúce metódy ochrany:
- aplikačný firewall
- prevencia hrozieb (antivírus, antispyware a zraniteľnosť)
- Filtrovanie adries URL
- filtrovanie údajov (filtrovanie obsahu)
- blokovanie súborov (blokovanie typov súborov)
Aj keď všetky tieto spôsoby ochrany, s výnimkou aplikačného firewallingu, sa tradične riešili a riešia na koncových hostiteľoch (napríklad inštaláciou antivírusových programov) a pomocou proxy, moderné NGFW poskytujú aj tieto služby.
Dodávatelia bezpečnostných zariadení sa snažia vytvárať komplexnú ochranu, preto spolu s lokálnou ochranou ponúkajú rôzne cloudové technológie a klientsky softvér pre hostiteľov (end point protection/EPP). Takže napríklad od Vidíme, že Palo Alto a Cisco majú svoje vlastné EPP (PA: Traps, Cisco: AMP), ale sú ďaleko od lídrov.
Povolenie týchto ochrán (zvyčajne zakúpením licencií) na vašom firewalle samozrejme nie je povinné (môžete ísť tradičnou cestou), ale poskytuje určité výhody:
- v tomto prípade existuje jediný bod aplikácie metód ochrany, ktorý zlepšuje viditeľnosť (pozri nasledujúcu tému).
- Ak sa vo vašej sieti nachádza nechránené zariadenie, stále spadá pod „dáždnik“ ochrany brány firewall
- Používaním ochrany firewallom v spojení s ochranou koncového hostiteľa zvyšujeme pravdepodobnosť odhalenia škodlivej prevádzky. Napríklad používanie prevencie hrozieb na lokálnych hostiteľoch a na firewalle zvyšuje pravdepodobnosť odhalenia (samozrejme za predpokladu, že tieto riešenia sú založené na rôznych softvérových produktoch)
poznámka
Ak napríklad používate Kaspersky ako antivírus na firewalle aj na koncových hostiteľoch, potom to, samozrejme, výrazne nezvýši vaše šance na zabránenie vírusovému útoku na vašu sieť.
Viditeľnosť siete
je jednoduché – „pozrite si“, čo sa deje vo vašej sieti, a to v reálnom čase aj v historických údajoch.
Túto „víziu“ by som rozdelil do dvoch skupín:
Skupina jedna: čo vám váš monitorovací systém zvyčajne poskytuje.
- nakladanie zariadení
- načítavacie kanály
- Využitie pamäte
- využitie disku
- zmena smerovacej tabuľky
- stav odkazu
- dostupnosť vybavenia (alebo hostiteľov)
- ...
Skupina dva: informácie súvisiace s bezpečnosťou.
- rôzne typy štatistík (napríklad podľa aplikácie, návštevnosti URL, aké typy údajov boli stiahnuté, údaje používateľov)
- čo bolo zablokované bezpečnostnými politikami a z akého dôvodu, konkrétne
- zakázaná aplikácia
- zakázané na základe IP/protokolu/portu/vlajok/zón
- prevencia hrozieb
- filtrovanie adries URL
- filtrovanie údajov
- blokovanie súborov
- ...
- štatistiky o útokoch DOS/DDOS
- neúspešné pokusy o identifikáciu a autorizáciu
- štatistiky pre všetky vyššie uvedené udalosti porušenia bezpečnostnej politiky
- ...
V tejto kapitole o bezpečnosti nás zaujíma druhá časť.
Niektoré moderné brány firewall (z mojej skúsenosti v Palo Alto) poskytujú dobrú úroveň viditeľnosti. Ale, samozrejme, návštevnosť, ktorá vás zaujíma, musí prejsť cez tento firewall (v takom prípade máte možnosť blokovať prenos) alebo zrkadlená na firewall (používa sa len na monitorovanie a analýzu) a musíte mať licencie na povolenie všetkých tieto služby.
Existuje samozrejme aj alternatívny spôsob, alebo skôr tradičný spôsob, napr.
- Štatistiky relácií možno zbierať prostredníctvom netflow a potom použiť špeciálne nástroje na analýzu informácií a vizualizáciu údajov
- prevencia hrozieb – špeciálne programy (antivírus, antispyware, firewall) na koncových hostiteľoch
- Filtrovanie adries URL, filtrovanie údajov, blokovanie súborov – na serveri proxy
- je tiež možné analyzovať tcpdump pomocou napr.
Tieto dva prístupy môžete kombinovať, dopĺňať chýbajúce funkcie alebo ich duplikovať, aby ste zvýšili pravdepodobnosť odhalenia útoku.
Aký prístup by ste si mali zvoliť?
Veľmi záleží na kvalifikácii a preferenciách vášho tímu.
Tam aj tam sú klady a zápory.
Jednotný centralizovaný systém autentifikácie a autorizácie
Keď je mobilita dobre navrhnutá, predpokladá sa, že máte rovnaký prístup, či už pracujete z kancelárie alebo z domu, z letiska, z kaviarne alebo kdekoľvek inde (s obmedzeniami, o ktorých sme hovorili vyššie). Zdalo by sa, v čom je problém?
Aby sme lepšie pochopili zložitosť tejto úlohy, pozrime sa na typický dizajn.
Príklad
- Rozdelili ste všetkých zamestnancov do skupín. Rozhodli ste sa poskytnúť prístup skupinám
- Vo vnútri kancelárie ovládate prístup cez firewall kancelárie
- Prevádzku z kancelárie do dátového centra riadite na firewalle dátového centra
- Používate Cisco ASA ako bránu VPN a na riadenie prenosu vstupujúceho do vašej siete zo vzdialených klientov používate lokálne (na ASA) ACL
Teraz povedzme, že ste požiadaní o pridanie ďalšieho prístupu k určitému zamestnancovi. V tomto prípade budete požiadaní, aby ste pridali prístup iba jemu a nikomu inému z jeho skupiny.
Na to musíme pre tohto zamestnanca vytvoriť samostatnú skupinu, tzn
- vytvoriť samostatnú oblasť IP na ASA pre tohto zamestnanca
- pridajte nový ACL na ASA a naviažte ho na tohto vzdialeného klienta
- vytvoriť nové bezpečnostné zásady pre brány firewall v kanceláriách a dátových centrách
Je dobré, ak je táto udalosť zriedkavá. V mojej praxi však nastala situácia, keď sa zamestnanci podieľali na rôznych projektoch a tento súbor projektov sa pre niektorých z nich dosť často menil a neboli to 1-2 ľudia, ale desiatky. Samozrejme, tu bolo potrebné niečo zmeniť.
Toto bolo vyriešené nasledujúcim spôsobom.
Rozhodli sme sa, že LDAP bude jediným zdrojom pravdy, ktorý určuje všetky možné prístupy zamestnancov. Vytvorili sme všetky druhy skupín, ktoré definujú množiny prístupov, a každého používateľa sme priradili do jednej alebo viacerých skupín.
Predpokladajme teda, že existovali skupiny
- hosť (prístup na internet)
- spoločný prístup (prístup k zdieľaným zdrojom: pošta, báza znalostí, ...)
- účtovníctva
- projekt 1
- projekt 2
- správca databázy
- linuxový administrátor
- ...
A ak bol jeden zo zamestnancov zapojený do projektu 1 aj projektu 2 a potreboval prístup potrebný na prácu v týchto projektoch, potom bol tento zamestnanec zaradený do nasledujúcich skupín:
- host
- spoločný prístup
- projekt 1
- projekt 2
Ako môžeme teraz zmeniť tieto informácie na prístup na sieťových zariadeniach?
Cisco ASA Dynamic Access Policy (DAP) (pozri ) riešenie je práve pre túto úlohu.
Stručne o našej implementácii, počas procesu identifikácie/autorizácie ASA prijíma z LDAP množinu skupín zodpovedajúcich danému používateľovi a „zbiera“ z niekoľkých lokálnych ACL (z ktorých každý zodpovedá skupine) dynamický ACL so všetkými potrebnými prístupmi. , čo plne zodpovedá našim prianiam.
Toto je však len pre pripojenia VPN. Aby bola situácia rovnaká pre zamestnancov pripojených cez VPN, ako aj pre zamestnancov v kancelárii, bol urobený nasledujúci krok.
Používatelia využívajúci protokol 802.1x pri pripájaní z kancelárie končili buď v hosťovskej LAN (pre hostí), alebo v zdieľanej LAN (pre zamestnancov firmy). Ďalej, aby zamestnanci získali špecifický prístup (napríklad k projektom v dátovom centre), museli sa pripojiť cez VPN.
Na pripojenie z kancelárie az domu boli na ASA použité rôzne tunelové skupiny. Je to potrebné, aby pre tých, ktorí sa pripájajú z kancelárie, prevádzka na zdieľané zdroje (používané všetkými zamestnancami, ako je pošta, súborové servery, ticket systém, dns, ...) neprechádzala cez ASA, ale cez lokálnu sieť . Nezaťažili sme tak ASA zbytočnou premávkou vrátane vysokointenzívnej premávky.
Tým bol problém vyriešený.
Máme
- rovnaký súbor prístupov pre pripojenia z kancelárie aj vzdialené pripojenia
- absencia degradácie služby pri práci z kancelárie spojená s prenosom vysokointenzívnej prevádzky cez ASA
Aké ďalšie výhody má tento prístup?
V administrácii prístupu. Prístupy je možné jednoducho meniť na jednom mieste.
Napríklad, ak zamestnanec odíde zo spoločnosti, jednoducho ho odstránite z LDAP a on automaticky stratí všetok prístup.
Kontrola hostiteľa
Pri možnosti vzdialeného pripojenia riskujeme, že do siete vpustíme nielen zamestnanca firmy, ale aj všetok škodlivý softvér, ktorý sa s veľkou pravdepodobnosťou nachádza na jeho počítači (napríklad domácom) a navyše prostredníctvom tohto softvéru môže poskytovať prístup do našej siete útočníkovi, ktorý používa tohto hostiteľa ako server proxy.
Pre vzdialene pripojený hostiteľ má zmysel uplatňovať rovnaké bezpečnostné požiadavky ako hostiteľ v kancelárii.
To tiež predpokladá „správnu“ verziu OS, antivírusového, antispywarového a firewallového softvéru a aktualizácií. Zvyčajne táto možnosť existuje na bráne VPN (pre ASA pozri napr. ).
Je tiež múdre použiť rovnaké techniky analýzy a blokovania návštevnosti (pozrite si časť „Vysoká úroveň ochrany“), ktoré vaša bezpečnostná politika uplatňuje na prevádzku v kancelárii.
Je rozumné predpokladať, že vaša kancelárska sieť už nie je obmedzená na kancelársku budovu a hostiteľov v nej.
Príklad
Dobrou technikou je poskytnúť každému zamestnancovi, ktorý vyžaduje vzdialený prístup, dobrý a pohodlný notebook a vyžadovať, aby pracoval v kancelárii aj z domu iba z neho.
Nielenže to zlepšuje bezpečnosť vašej siete, ale je to aj naozaj pohodlné a zamestnanci ho zvyčajne vnímajú priaznivo (ak je to naozaj dobrý a užívateľsky prívetivý notebook).
O zmysle pre proporcie a rovnováhu
V podstate ide o rozhovor o treťom vrchole nášho trojuholníka – o cene.
Pozrime sa na hypotetický príklad.
Príklad
Máte kanceláriu pre 200 ľudí. Rozhodli ste sa, že to bude čo najpohodlnejšie a najbezpečnejšie.
Preto ste sa rozhodli preniesť všetku komunikáciu cez firewall a teda pre všetky podsiete kancelárie je firewall predvolenou bránou. Okrem bezpečnostného softvéru nainštalovaného na každom koncovom hostiteľovi (antivírusový, antispywarový a firewallový softvér) ste sa tiež rozhodli použiť všetky možné metódy ochrany na firewalle.
Aby ste zaistili vysokú rýchlosť pripojenia (všetko pre pohodlie), vybrali ste si prepínače s 10 gigabitovými prístupovými portami ako prístupové prepínače a vysokovýkonné brány firewall NGFW ako brány firewall, napríklad séria Palo Alto 7K (so 40 gigabitovými portami), samozrejme so všetkými licenciami. zahrnuté a, prirodzene, pár s vysokou dostupnosťou.
Samozrejme, na prácu s týmto radom zariadení potrebujeme aspoň pár vysokokvalifikovaných bezpečnostných inžinierov.
Ďalej ste sa rozhodli dať každému zamestnancovi dobrý notebook.
Celkovo asi 10 miliónov dolárov na implementáciu, státisíce dolárov (myslím, že bližšie k miliónu) na ročnú podporu a platy pre inžinierov.
Kancelária, 200 ľudí...
Pohodlne? Myslím, že áno.Prichádzate s týmto návrhom svojmu manažmentu...
Možno je na svete množstvo spoločností, pre ktoré je to prijateľné a správne riešenie. Ak ste zamestnancom tejto spoločnosti, gratulujem, ale v drvivej väčšine prípadov som si istý, že vaše znalosti vedenie neocení.
Je tento príklad prehnaný? Na túto otázku odpovie nasledujúca kapitola.
Ak vo vašej sieti nevidíte nič z vyššie uvedeného, potom je to norma.
Pre každý konkrétny prípad musíte nájsť svoj vlastný rozumný kompromis medzi pohodlím, cenou a bezpečnosťou. Často vo svojej kancelárii ani nepotrebujete NGFW a ochrana L7 na bráne firewall sa nevyžaduje. Stačí poskytnúť dobrú úroveň viditeľnosti a upozornení, a to sa dá dosiahnuť napríklad pomocou produktov s otvoreným zdrojovým kódom. Áno, vaša reakcia na útok nebude okamžitá, ale hlavné je, že ho uvidíte a so správnymi procesmi vo vašom oddelení ho budete vedieť rýchlo zneškodniť.
A pripomeniem, že podľa konceptu tejto série článkov nenavrhujete sieť, len sa snažíte vylepšiť to, čo máte.
BEZPEČNÁ analýza kancelárskej architektúry
Venujte pozornosť tomuto červenému štvorcu, z ktorého som pridelil miesto na diagrame o ktorých by som tu chcel diskutovať.
Toto je jedno z kľúčových miest architektúry a jedna z najdôležitejších neistôt.
poznámka
Nikdy som nenastavoval ani nepracoval s FirePower (z radu firewallov Cisco - iba ASA), takže s ním budem zaobchádzať ako s akýmkoľvek iným firewallom, ako je Juniper SRX alebo Palo Alto, za predpokladu, že má rovnaké možnosti.
Z bežných návrhov vidím iba 4 možné možnosti použitia brány firewall s týmto pripojením:
- predvolená brána pre každú podsieť je prepínač, zatiaľ čo brána firewall je v transparentnom režime (to znamená, že cez ňu prechádza všetka prevádzka, ale netvorí skok L3)
- predvolenou bránou pre každú podsieť sú podrozhrania brány firewall (alebo rozhrania SVI), prepínač hrá úlohu L2
- na prepínači sa používajú rôzne VRF a prevádzka medzi VRF prechádza cez firewall, prevádzka v rámci jedného VRF je riadená ACL na prepínači
- všetka prevádzka sa zrkadlí do brány firewall na analýzu a monitorovanie, prevádzka cez ňu neprechádza
Poznámka 1
Kombinácie týchto možností sú možné, ale pre jednoduchosť ich nebudeme zvažovať.
Poznámka 2
Je tu aj možnosť využitia PBR (service chain architecture), no zatiaľ je toto, aj keď podľa mňa krásne riešenie, dosť exotické, takže to tu neuvažujem.
Z popisu tokov v dokumente vidíme, že prevádzka stále prechádza cez firewall, čiže v súlade s dizajnom Cisco je štvrtá možnosť eliminovaná.
Najprv sa pozrime na prvé dve možnosti.
Pri týchto možnostiach všetka prevádzka prechádza cez bránu firewall.
Teraz sa pozrime pozri a vidíme, že ak chceme, aby celková šírka pásma pre našu kanceláriu bola aspoň okolo 10 - 20 gigabitov, tak si musíme kúpiť 4K verziu.
poznámka
Keď hovorím o celkovej šírke pásma, mám na mysli prevádzku medzi podsieťami (a nie v rámci jednej vily).
Z GPL vidíme, že pre HA Bundle s Threat Defense sa cena v závislosti od modelu (4110 – 4150) pohybuje od ~0,5 – 2,5 milióna dolárov.
To znamená, že náš dizajn sa začína podobať na predchádzajúci príklad.
Znamená to, že tento dizajn je nesprávny?
Nie, to neznamená. Cisco vám poskytuje najlepšiu možnú ochranu na základe produktového radu, ktorý má. To však neznamená, že je pre vás nevyhnutnosťou.
V zásade ide o bežnú otázku, ktorá vzniká pri návrhu kancelárie alebo dátového centra a znamená to len to, že treba hľadať kompromis.
Napríklad nedovoľte, aby všetka prevádzka prechádzala cez firewall, v takom prípade sa mi zdá možnosť 3 celkom dobrá, alebo (pozri predchádzajúcu časť) možno nepotrebujete ochranu pred hrozbami alebo na to nepotrebujete firewall vôbec sieťový segment a stačí sa obmedziť na pasívny monitoring pomocou platených (nie drahých) alebo open source riešení, prípadne potrebujete firewall, ale od iného dodávateľa.
Zvyčajne existuje táto neistota a neexistuje jednoznačná odpoveď na to, ktoré rozhodnutie je pre vás najlepšie.
V tom spočíva zložitosť a krása tejto úlohy.
Zdroj: hab.com