ProHoster > Blog > Uprava > Kako prevzeti nadzor nad svojo omrežno infrastrukturo. Tretje poglavje. Omrežna varnost. Tretji del

Kako prevzeti nadzor nad svojo omrežno infrastrukturo. Tretje poglavje. Omrežna varnost. Tretji del

Ta članek je peti v seriji »Kako prevzeti nadzor nad svojo omrežno infrastrukturo«. Vsebino vseh člankov v seriji in povezave najdete tukaj.

Ta del bo posvečen segmentoma Campus (Office) & Remote access VPN.

Kako prevzeti nadzor nad svojo omrežno infrastrukturo. Tretje poglavje. Omrežna varnost. Tretji del

Zasnova pisarniškega omrežja se morda zdi enostavna.

Dejansko vzamemo stikala L2/L3 in jih povežemo med seboj. Nato izvedemo osnovno nastavitev vilanov in privzetih prehodov, nastavimo preprosto usmerjanje, povežemo WiFi krmilnike, dostopne točke, namestimo in konfiguriramo ASA za oddaljeni dostop, veseli smo, da je vse delovalo. V glavnem, kot sem že napisal v enem od prejšnjih članki tega cikla lahko skoraj vsak študent, ki je obiskoval (in se učil) dva semestra tečaja telekomunikacij, načrtuje in konfigurira pisarniško omrežje, tako da "nekako deluje".

Toda bolj ko se učite, manj preprosta se zdi ta naloga. Meni osebno se ta tema, tema načrtovanja pisarniškega omrežja, ne zdi prav nič preprosta in v tem članku bom poskušal razložiti zakaj.

Skratka, upoštevati je treba kar nekaj dejavnikov. Pogosto so ti dejavniki med seboj v nasprotju in treba je iskati razumen kompromis.
Ta negotovost je glavna težava. Torej, ko govorimo o varnosti, imamo trikotnik s tremi oglišči: varnost, udobje za zaposlene, cena rešitve.
In vsakič je treba iskati kompromis med temi tremi.

arhitektura

Kot primer arhitekture za ta dva segmenta, kot v prejšnjih člankih, priporočam Cisco VARNO model: Enterprise Campus, Enterprise Internet Edge.

Gre za nekoliko zastarele dokumente. Tukaj jih predstavljam, ker se temeljne sheme in pristop niso spremenili, hkrati pa mi je predstavitev bolj všeč kot v nova dokumentacija.

Ne da bi vas spodbujal k uporabi rešitev Cisco, še vedno menim, da je koristno natančno preučiti to zasnovo.

Ta članek se, kot običajno, nikakor ne pretvarja, da je popoln, ampak je bolj dodatek k tem informacijam.

Na koncu članka bomo analizirali zasnovo pisarne Cisco SAFE z vidika tukaj opisanih konceptov.

Splošna načela

Zasnova pisarniškega omrežja mora seveda zadostiti splošnim zahtevam, o katerih smo govorili tukaj v poglavju »Merila za ocenjevanje kakovosti projektiranja«. Poleg cene in varnosti, o katerih nameravamo razpravljati v tem članku, še vedno obstajajo trije kriteriji, ki jih moramo upoštevati pri načrtovanju (ali spremembah):

  • razširljivost
  • enostavnost uporabe (vodljivost)
  • razpoložljivost

Veliko tega, o čemer se je razpravljalo podatkovnih centrov To velja tudi za pisarno.

A vseeno ima pisarniški segment svoje specifike, ki so kritične z varnostnega vidika. Bistvo te posebnosti je, da je ta segment ustvarjen za zagotavljanje omrežnih storitev zaposlenim (pa tudi partnerjem in gostom) podjetja, posledično pa imamo na najvišji ravni obravnave problema dve nalogi:

  • zaščititi vire podjetja pred zlonamernimi dejanji, ki lahko izvirajo od zaposlenih (gostov, partnerjev) in programske opreme, ki jo uporabljajo. To vključuje tudi zaščito pred nepooblaščeno povezavo z omrežjem.
  • zaščititi sisteme in uporabniške podatke

In to je le ena plat problema (oziroma eno oglišče trikotnika). Na drugi strani je udobje za uporabnika in cena uporabljenih rešitev.

Za začetek poglejmo, kaj uporabnik pričakuje od sodobnega pisarniškega omrežja.

Objekti

Takole izgledajo "omrežne ugodnosti" za pisarniškega uporabnika po mojem mnenju:

  • Mobilnost
  • Sposobnost uporabe celotnega nabora znanih naprav in operacijskih sistemov
  • Enostaven dostop do vseh potrebnih virov podjetja
  • Razpoložljivost internetnih virov, vključno z različnimi storitvami v oblaku
  • "Hitro delovanje" omrežja

Vse to velja tako za zaposlene kot za goste (oz. partnerje), naloga inženirjev podjetja pa je, da na podlagi avtorizacije ločijo dostop za različne skupine uporabnikov.

Oglejmo si vsakega od teh vidikov nekoliko podrobneje.

Mobilnost

Govorimo o možnosti dela in uporabe vseh potrebnih virov podjetja od koderkoli na svetu (seveda tam, kjer je dostopen internet).

To v celoti velja za pisarno. To je priročno, ko imate možnost nadaljevati delo od kjerkoli v pisarni, na primer prejemati pošto, komunicirati v korporativnem messengerju, biti dosegljivi za video klic, ... Tako vam to omogoča, da po eni strani za reševanje nekaterih vprašanj "živo" komunikacijo (na primer, udeležba na shodih), po drugi strani pa bodite vedno na spletu, držite prst na utripu in hitro rešite nekatere nujne prednostne naloge. To je zelo priročno in resnično izboljša kakovost komunikacije.

To dosežemo s pravilno zasnovo WiFi omrežja.

Opomba

Tu se običajno pojavi vprašanje: ali je dovolj, da uporabljamo samo WiFi? Ali to pomeni, da lahko prenehate uporabljati vrata Ethernet v pisarni? Če govorimo samo o uporabnikih in ne o strežnikih, ki jih je še vedno smiselno povezati z običajnimi vrati Ethernet, potem je na splošno odgovor: da, lahko se omejite samo na WiFi. Vendar obstajajo nianse.

Obstajajo pomembne skupine uporabnikov, ki zahtevajo ločen pristop. To so seveda skrbniki. Načeloma je povezava WiFi manj zanesljiva (z vidika izgube prometa) in počasnejša od običajnih vrat Ethernet. To je lahko pomembno za skrbnike. Poleg tega imajo lahko na primer omrežni skrbniki načeloma lastno namensko ethernet omrežje za zunajpasovne povezave.

Morda obstajajo druge skupine/oddelki v vašem podjetju, za katere so ti dejavniki prav tako pomembni.

Obstaja še ena pomembna točka - telefonija. Morda iz nekega razloga ne želite uporabljati brezžičnega VoIP in želite uporabljati IP telefone z navadno ethernetno povezavo.

Na splošno so imela podjetja, za katera sem delal, običajno povezavo WiFi in vrata Ethernet.

Želim si, da mobilnost ne bi bila omejena samo na pisarno.

Za zagotovitev možnosti dela od doma (ali katerega koli drugega mesta z dostopnim internetom) se uporablja povezava VPN. Ob tem je zaželeno, da zaposleni ne čutijo razlike med delom od doma in delom na daljavo, ki predvideva enak dostop. O tem, kako to organizirati, bomo razpravljali malo kasneje v poglavju »Enoten centraliziran sistem za preverjanje pristnosti in avtorizacijo«.

Opomba

Najverjetneje ne boste mogli v celoti zagotoviti enake kakovosti storitev za delo na daljavo, kot jo imate v pisarni. Predpostavimo, da kot prehod VPN uporabljate Cisco ASA 5520. podatkovni list ta naprava je sposobna "prebaviti" samo 225 Mbit prometa VPN. To je, kar se tiče pasovne širine, se povezovanje prek VPN-ja zelo razlikuje od dela v pisarni. Tudi če so zakasnitve, izgube, tresenje (na primer, če želite uporabljati pisarniško IP telefonijo) za vaše omrežne storitve pomembne, tudi ne boste prejeli enake kakovosti, kot če bi bili v pisarni. Zato se moramo, ko govorimo o mobilnosti, zavedati možnih omejitev.

Enostaven dostop do vseh virov podjetja

To nalogo je treba rešiti skupaj z drugimi tehničnimi oddelki.
Idealna situacija je, ko se mora uporabnik samo enkrat avtentikirati, potem pa ima dostop do vseh potrebnih virov.
Zagotavljanje enostavnega dostopa brez žrtvovanja varnosti lahko bistveno izboljša produktivnost in zmanjša stres med vašimi sodelavci.

Opomba 1

Enostaven dostop ni samo to, kolikokrat morate vnesti geslo. Če se morate na primer v skladu z vašo varnostno politiko za povezavo iz pisarne v podatkovni center najprej povezati s prehodom VPN in hkrati izgubite dostop do pisarniških virov, potem je tudi to zelo , zelo neprijetno.

Opomba 2

Obstajajo storitve (na primer dostop do omrežne opreme), kjer imamo običajno lastne namenske strežnike AAA in to je pravilo, ko se moramo v tem primeru večkrat avtentikirati.

Razpoložljivost internetnih virov

Internet ni samo zabava, ampak tudi niz storitev, ki so lahko zelo koristne pri delu. Obstajajo tudi čisto psihološki dejavniki. Sodoben človek je preko spleta povezan z drugimi ljudmi preko številnih virtualnih niti in po mojem mnenju ni nič narobe, če to povezanost čuti tudi med delom.

Z vidika zapravljanja časa ni nič narobe, če ima zaposleni na primer delujoč Skype in porabi 5 minut za komunikacijo z ljubljeno osebo, če je treba.

Ali to pomeni, da mora biti internet vedno na voljo, ali to pomeni, da imajo lahko zaposleni dostop do vseh virov in jih nikakor ne nadzorujejo?

Ne ne pomeni tega, seveda. Stopnja odprtosti interneta je lahko za različna podjetja različna – od popolnega zaprtja do popolne odprtosti. O načinih nadzora prometa bomo razpravljali pozneje v razdelkih o varnostnih ukrepih.

Sposobnost uporabe celotnega nabora znanih naprav

Primerno je, ko imate na primer možnost, da še naprej uporabljate vsa komunikacijska sredstva, ki ste jih vajeni v službi. Pri tehnični izvedbi tega ni težav. Za to potrebujete WiFi in wilan za goste.

Prav tako je dobro, če imate možnost uporabljati operacijski sistem, ki ste ga vajeni. Toda po mojem opažanju je to običajno dovoljeno le upraviteljem, skrbnikom in razvijalcem.

Primer

Lahko pa seveda po poti prepovedi, prepoved oddaljenega dostopa, prepoved povezovanja z mobilnih naprav, omejitev vsega na statične ethernetne povezave, omejitev dostopa do interneta, obvezna odvzem mobilnih telefonov in pripomočkov na kontrolni točki ... in ta pot dejansko sledijo nekatere organizacije s povečanimi varnostnimi zahtevami in morda je v nekaterih primerih to lahko upravičeno, ampak ... strinjate se, da je to videti kot poskus zaustavitve napredka v eni sami organizaciji. Seveda bi želel združiti priložnosti, ki jih ponujajo sodobne tehnologije, z zadostno stopnjo varnosti.

"Hitro delovanje" omrežja

Hitrost prenosa podatkov je tehnično sestavljena iz številnih dejavnikov. Hitrost vaših povezovalnih vrat običajno ni najpomembnejša. Počasno delovanje aplikacije ni vedno povezano z omrežnimi težavami, ampak nas za zdaj zanima le omrežni del. Najpogostejša težava z "upočasnitvijo" lokalnega omrežja je povezana z izgubo paketov. To se običajno zgodi, ko obstaja ozko grlo ali težave L1 (OSI). Redkeje je pri nekaterih zasnovah (na primer, ko imajo vaša podomrežja požarni zid kot privzeti prehod in tako ves promet poteka skozi njega), zmogljivost strojne opreme morda manjka.

Zato morate pri izbiri opreme in arhitekture povezati hitrosti končnih vrat, debla in zmogljivost opreme.

Primer

Predpostavimo, da kot stikala dostopne plasti uporabljate stikala z 1 gigabitnimi vrati. Med seboj so povezani preko Etherchannel 2 x 10 gigabitov. Kot privzeti prehod uporabljate požarni zid z gigabitnimi vrati, za povezavo katerih v pisarniško omrežje L2 uporabite 2 gigabitna vrata, združena v Etherchannel.

Ta arhitektura je s stališča funkcionalnosti precej priročna, saj... Ves promet poteka skozi požarni zid in lahko udobno upravljate politike dostopa ter uporabite zapletene algoritme za nadzor prometa in preprečevanje morebitnih napadov (glejte spodaj), toda z vidika prepustnosti in zmogljivosti ima ta zasnova seveda potencialne težave. Tako lahko na primer 2 gostitelja, ki prenašata podatke (s hitrostjo vrat 1 gigabit), popolnoma obremeni 2 gigabitno povezavo s požarnim zidom in tako povzroči poslabšanje storitve za celoten pisarniški segment.

Ogledali smo si eno oglišče trikotnika, zdaj pa poglejmo, kako lahko zagotovimo varnost.

Sredstva za zaščito

Zato je seveda običajno naša želja (ali bolje rečeno želja našega vodstva) doseči nemogoče, namreč zagotoviti maksimalno udobje z največjo varnostjo in minimalnimi stroški.

Poglejmo, s katerimi metodami lahko zagotovimo zaščito.

Za pisarno bi izpostavil naslednje:

  • pristop ničelnega zaupanja k oblikovanju
  • visoka stopnja zaščite
  • vidnost omrežja
  • enoten centraliziran sistem za avtentikacijo in avtorizacijo
  • preverjanje gostitelja

Nato se bomo nekoliko podrobneje posvetili vsakemu od teh vidikov.

Nič zaupanja

Svet IT se zelo hitro spreminja. Samo v zadnjih 10 letih je pojav novih tehnologij in izdelkov privedel do velike revizije varnostnih konceptov. Pred desetimi leti smo z varnostnega vidika omrežje razdelili na cone zaupanja, dmz in nezaupanja ter uporabili tako imenovano “perimeter protection”, kjer sta obstajali 2 obrambni liniji: nezaupanje -> dmz in dmz -> zaupanje. Poleg tega je bila zaščita običajno omejena na sezname dostopa, ki temeljijo na glavah L3/L4 (OSI) (IP, vrata TCP/UDP, zastavice TCP). Vse v zvezi z višjimi nivoji, vključno z L7, je bilo prepuščeno operacijskemu sistemu in varnostnim izdelkom, nameščenim na končnih gostiteljih.

Zdaj se je situacija dramatično spremenila. Sodoben koncept ničelno zaupanje izvira iz dejstva, da notranjih sistemov, torej tistih, ki se nahajajo znotraj perimetra, ni več mogoče šteti za zaupanja vredne, sam koncept perimetra pa je postal zamegljen.
Poleg internetne povezave imamo tudi

  • uporabniki VPN z oddaljenim dostopom
  • različne osebne pripomočke, prinesel prenosne računalnike, povezane prek pisarniškega WiFi
  • druge (poslovalnice).
  • integracija z infrastrukturo v oblaku

Kako je v praksi videti pristop Zero Trust?

V idealnem primeru bi moral biti dovoljen samo tisti promet, ki je potreben, in če govorimo o idealu, potem nadzor ne bi smel biti le na ravni L3/L4, temveč na ravni aplikacije.

Če imate na primer možnost prenesti ves promet skozi požarni zid, potem se lahko poskusite približati idealu. Toda ta pristop lahko znatno zmanjša skupno pasovno širino vašega omrežja, poleg tega pa filtriranje po aplikaciji ne deluje vedno dobro.

Pri nadzoru prometa na usmerjevalniku ali stikalu L3 (z uporabo standardnih ACL-jev) naletite na druge težave:

  • To je samo filtriranje L3/L4. Napadalcu nič ne preprečuje uporabe dovoljenih vrat (npr. TCP 80) za svojo aplikacijo (ne http).
  • zapleteno upravljanje ACL (težko razčleniti ACL-je)
  • To ni požarni zid s polnim stanjem, kar pomeni, da morate izrecno dovoliti povratni promet
  • s stikali ste običajno precej omejeni z velikostjo TCAM, kar lahko hitro postane težava, če se odločite za pristop "dovolite samo tisto, kar potrebujete".

Opomba

Ko govorimo o povratnem prometu, ne smemo pozabiti, da imamo naslednjo priložnost (Cisco)

dovoli tcp kateri koli kateri koli vzpostavljen

Vendar morate razumeti, da je ta vrstica enakovredna dvema vrsticama:
dovoli tcp vse potrditve
permit tcp any any first

Kar pomeni, da tudi če ni bilo začetnega segmenta TCP z zastavo SYN (to pomeni, da se seja TCP sploh ni začela vzpostavljati), bo ta ACL dovolil paket z zastavico ACK, ki ga lahko napadalec uporabi za prenos podatkov.

To pomeni, da ta vrstica nikakor ne spremeni vašega usmerjevalnika ali stikala L3 v požarni zid s polnim stanjem.

Visoka stopnja zaščite

В članek V poglavju o podatkovnih centrih smo upoštevali naslednje načine zaščite.

  • požarni zid s spremljanjem stanja (privzeto)
  • ddos/dos zaščita
  • požarni zid aplikacije
  • preprečevanje groženj (protivirusna, protivohunska programska oprema in ranljivost)
  • Filtriranje URL-jev
  • filtriranje podatkov (filtriranje vsebine)
  • blokiranje datotek (blokiranje vrst datotek)

Pri pisarni je situacija podobna, vendar so prioritete nekoliko drugačne. Razpoložljivost pisarne (dosegljivost) običajno ni tako kritična kot v primeru podatkovnega centra, medtem ko je verjetnost "notranjega" zlonamernega prometa za več redov velikosti.
Zato so naslednje metode zaščite za ta segment kritične:

  • požarni zid aplikacije
  • preprečevanje groženj (protivirusna, protivohunska programska oprema in ranljivost)
  • Filtriranje URL-jev
  • filtriranje podatkov (filtriranje vsebine)
  • blokiranje datotek (blokiranje vrst datotek)

Čeprav so se vsi ti načini zaščite, z izjemo požarnega zidu aplikacij, tradicionalno reševali in se še vedno rešujejo na končnih gostiteljih (na primer z namestitvijo protivirusnih programov) in s proxyji, sodobni NGFW-ji omogočajo tudi te storitve.

Proizvajalci varnostne opreme stremijo k ustvarjanju celovite zaščite, zato poleg lokalne zaščite ponujajo različne oblačne tehnologije in odjemalsko programsko opremo za gostitelje (end point protection/EPP). Tako na primer iz 2018 Gartnerjev magični kvadrant Vidimo, da imata Palo Alto in Cisco svoje EPP (PA: Traps, Cisco: AMP), vendar sta daleč od vodilnih.

Omogočanje teh zaščit (običajno z nakupom licenc) na vašem požarnem zidu seveda ni obvezno (lahko izberete tradicionalno pot), vendar ponuja nekaj prednosti:

  • v tem primeru obstaja ena sama točka uporabe zaščitnih metod, kar izboljša vidnost (glej naslednjo temo).
  • Če je v vašem omrežju nezaščitena naprava, še vedno spada pod "dežnik" zaščite požarnega zidu
  • Z uporabo zaščite požarnega zidu v povezavi z zaščito končnega gostitelja povečamo verjetnost odkrivanja zlonamernega prometa. Na primer, uporaba preprečevanja groženj na lokalnih gostiteljih in na požarnem zidu poveča verjetnost odkrivanja (seveda pod pogojem, da te rešitve temeljijo na različnih programskih izdelkih)

Opomba

Če na primer uporabljate Kaspersky kot antivirus tako na požarnem zidu kot na končnih gostiteljih, potem to seveda ne bo bistveno povečalo vaših možnosti, da preprečite virusni napad na vaše omrežje.

Vidnost omrežja

osrednja ideja je preprosto - "glejte", kaj se dogaja v vašem omrežju, v realnem času in zgodovinskih podatkih.

To "vizijo" bi razdelil v dve skupini:

Prva skupina: kar vam običajno nudi vaš nadzorni sistem.

  • nakladanje opreme
  • nalaganje kanalov
  • uporaba pomnilnika
  • uporaba diska
  • spreminjanje usmerjevalne tabele
  • stanje povezave
  • razpoložljivost opreme (ali gostiteljev)
  • ...

Druga skupina: varnostne informacije.

  • različne vrste statistik (na primer po aplikaciji, po prometu URL-jev, kateri tipi podatkov so bili preneseni, uporabniški podatki)
  • kaj so blokirale varnostne politike in zakaj, namreč
    • prepovedana uporaba
    • prepovedano glede na ip/protocol/vrata/zastave/cone
    • preprečevanje groženj
    • filtriranje URL-jev
    • filtriranje podatkov
    • blokiranje datoteke
    • ...
  • statistika DOS/DDOS napadov
  • neuspeli poskusi identifikacije in avtorizacije
  • statistika za vse zgoraj navedene dogodke kršitev varnostne politike
  • ...

V tem poglavju o varnosti nas zanima drugi del.

Nekateri sodobni požarni zidovi (iz mojih izkušenj v Palo Altu) zagotavljajo dobro raven vidljivosti. Seveda pa mora promet, ki vas zanima, iti skozi ta požarni zid (v tem primeru imate možnost blokiranja prometa) ali zrcaljen na požarni zid (uporablja se samo za spremljanje in analizo) in imeti morate licence, da omogočite vse te storitve.

Obstaja pa seveda tudi alternativni način, oziroma tradicionalni način, npr.

  • Statistiko seje je mogoče zbrati prek netflowa in nato uporabiti posebne pripomočke za analizo informacij in vizualizacijo podatkov
  • preprečevanje groženj – posebni programi (protivirusni, protivohunski, požarni zid) na končnih gostiteljih
  • Filtriranje URL-jev, filtriranje podatkov, blokiranje datotek – na proxyju
  • prav tako je mogoče analizirati tcpdump z uporabo npr. smrčkati

Ta dva pristopa lahko kombinirate tako, da dopolnite manjkajoče funkcije ali jih podvojite, da povečate verjetnost zaznavanja napada.

Kateri pristop izbrati?
Zelo odvisno od kvalifikacij in preferenc vaše ekipe.
Tako tam kot tam so prednosti in slabosti.

Enoten centraliziran sistem za avtentikacijo in avtorizacijo

Ko je mobilnost, o kateri smo razpravljali v tem članku, dobro zasnovana, predvideva, da imate enak dostop, ne glede na to, ali delate v pisarni ali od doma, z letališča, iz kavarne ali kjer koli drugje (z omejitvami, o katerih smo govorili zgoraj). Zdi se, v čem je problem?
Da bi bolje razumeli zapletenost te naloge, si poglejmo tipično zasnovo.

Primer

  • Vse zaposlene ste razdelili v skupine. Odločili ste se, da omogočite dostop po skupinah
  • Znotraj pisarne nadzorujete dostop na požarnem zidu pisarne
  • Promet iz pisarne v podatkovni center nadzorujete na požarnem zidu podatkovnega centra
  • Cisco ASA uporabljate kot prehod VPN in za nadzor prometa, ki vstopa v vaše omrežje od oddaljenih odjemalcev, uporabljate lokalne (na ASA) ACL-je

Zdaj pa recimo, da ste pozvani, da določenemu zaposlenemu dodate dodaten dostop. V tem primeru boste morali dodati dostop samo njemu in nikomur drugemu iz njegove skupine.

Za to moramo ustvariti ločeno skupino za tega zaposlenega, tj

  • ustvarite ločeno skupino IP na ASA za tega zaposlenega
  • dodajte nov ACL na ASA in ga povežite s tem oddaljenim odjemalcem
  • ustvarite nove varnostne politike na požarnih zidovih pisarn in podatkovnih centrov

Dobro je, če je ta dogodek redek. Toda v moji praksi je prišlo do situacije, ko so zaposleni sodelovali v različnih projektih in ta nabor projektov se je za nekatere od njih pogosto spreminjal in ni šlo za 1-2 ljudi, ampak na desetine. Seveda je bilo tu treba nekaj spremeniti.

To je bilo rešeno na naslednji način.

Odločili smo se, da bo LDAP edini vir resnice, ki določa vse možne dostope zaposlenih. Ustvarili smo vse vrste skupin, ki določajo nabore dostopov, in vsakega uporabnika smo dodelili eni ali več skupinam.

Torej, na primer, predpostavimo, da obstajajo skupine

  • gost (dostop do interneta)
  • skupni dostop (dostop do skupnih virov: pošta, baza znanja, ...)
  • računovodstvo
  • projekt 1
  • projekt 2
  • skrbnik baze podatkov
  • administrator za linux
  • ...

In če je bil eden od zaposlenih vključen v projekt 1 in projekt 2 in je potreboval dostop, potreben za delo v teh projektih, potem je bil ta zaposleni dodeljen naslednjim skupinam:

  • gost
  • skupni dostop
  • projekt 1
  • projekt 2

Kako lahko zdaj te informacije spremenimo v dostop do omrežne opreme?

Politika dinamičnega dostopa Cisco ASA (DAP) (glejte www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) rešitev je ravno pravšnja za to nalogo.

Na kratko o naši implementaciji, med postopkom identifikacije/avtorizacije ASA od LDAP prejme nabor skupin, ki ustrezajo danemu uporabniku, in "zbere" iz več lokalnih ACL (od katerih vsak ustreza skupini) dinamični ACL z vsemi potrebnimi dostopi , ki v celoti ustreza našim željam.

Vendar je to samo za povezave VPN. Da bi bila situacija enaka tako za zaposlene, ki so povezani prek VPN, kot za tiste v pisarni, je bil narejen naslednji korak.

Pri povezovanju iz pisarne so uporabniki, ki uporabljajo protokol 802.1x, končali bodisi v gostujočem omrežju (za goste) bodisi v skupnem omrežju (za zaposlene v podjetju). Poleg tega so se morali zaposleni za pridobitev posebnega dostopa (na primer do projektov v podatkovnem centru) povezati prek VPN-ja.

Za povezavo iz pisarne in od doma so bile na ASA uporabljene različne skupine tunelov. To je potrebno zato, da pri tistih, ki se povezujejo iz pisarne, promet do skupnih virov (ki jih uporabljajo vsi zaposleni, kot je pošta, datotečni strežniki, sistem vstopnic, dns, ...) ne poteka preko ASA, ampak preko lokalnega omrežja. . Tako ASA nismo obremenili z nepotrebnim prometom, tudi z visoko intenzivnostjo.

Tako je bil problem rešen.
Imamo

  • enak nabor dostopov za povezave iz pisarne in oddaljene povezave
  • odsotnost poslabšanja storitev pri delu iz pisarne, povezanega s prenosom visoko intenzivnega prometa prek ASA

Katere druge prednosti ima ta pristop?
V administraciji dostopa. Dostope je mogoče enostavno spreminjati na enem mestu.
Na primer, če zaposleni zapusti podjetje, ga preprosto odstranite iz LDAP in samodejno izgubi ves dostop.

Preverjanje gostitelja

Z možnostjo povezave na daljavo tvegamo, da v omrežje spustimo ne le zaposlenega v podjetju, ampak tudi vso zlonamerno programsko opremo, ki je zelo verjetno prisotna na njegovem računalniku (na primer domačem), poleg tega pa prek te programske opreme morda omogoča dostop do našega omrežja napadalcu, ki uporablja tega gostitelja kot proxy.

Smiselno je, da oddaljeno povezan gostitelj uporabi enake varnostne zahteve kot gostitelj v pisarni.

To prav tako predpostavlja "pravilno" različico operacijskega sistema, protivirusno, protivohunsko programsko opremo in programsko opremo ter posodobitve požarnega zidu. Običajno ta zmožnost obstaja na prehodu VPN (za ASA glejte na primer tukaj).

Prav tako je pametno uporabiti enako analizo prometa in tehnike blokiranja (glejte »Visoka stopnja zaščite«), kot jih vaša varnostna politika uporablja za pisarniški promet.

Razumno je domnevati, da vaše pisarniško omrežje ni več omejeno na poslovno stavbo in gostitelje v njej.

Primer

Dobra tehnika je zagotoviti vsakemu zaposlenemu, ki potrebuje dostop na daljavo, dober, priročen prenosnik in od njega zahtevati, da dela tako v pisarni kot od doma samo z njega.

Ne samo, da izboljša varnost vašega omrežja, ampak je tudi zelo priročen in ga zaposleni običajno gledajo pozitivno (če gre za res dober, uporabniku prijazen prenosnik).

O občutku za mero in ravnotežje

V bistvu je to pogovor o tretji točki našega trikotnika - o ceni.
Poglejmo hipotetični primer.

Primer

Imate pisarno za 200 ljudi. Odločili ste se, da bo čim bolj priročno in varno.

Zato ste se odločili, da ves promet preidete skozi požarni zid, zato je za vsa pisarniška podomrežja požarni zid privzeti prehod. Poleg varnostne programske opreme, nameščene na vsakem končnem gostitelju (protivirusna, protivohunska programska oprema in programska oprema za požarni zid), ste se tudi odločili uporabiti vse možne metode zaščite na požarnem zidu.

Za zagotovitev visoke hitrosti povezave (vse za udobje) ste za dostopna stikala izbrali stikala z 10 Gigabitnimi dostopnimi vrati, za požarne zidove pa visoko zmogljive požarne zidove NGFW, na primer serije Palo Alto 7K (s 40 Gigabitnimi vrati), seveda z vsemi licencami vključen in seveda par visoke razpoložljivosti.

Seveda pa za delo s to linijo opreme potrebujemo vsaj nekaj visoko usposobljenih varnostnih inženirjev.

Nato ste se odločili, da boste vsakemu zaposlenemu dali dober prenosni računalnik.

Skupaj približno 10 milijonov dolarjev za implementacijo, več sto tisoč dolarjev (mislim, da bližje milijonu) za letno podporo in plače inženirjev.

Pisarna, 200 ljudi...
Udobno? Mislim, da je ja.

S tem predlogom ste prišli svojemu vodstvu ...
Morda je na svetu kar nekaj podjetij, za katera je to sprejemljiva in pravilna rešitev. Če ste zaposleni v tem podjetju, vam čestitam, a v veliki večini primerov sem prepričan, da vaše znanje pri vodstvu ne bo cenjeno.

Je ta primer pretiran? Naslednje poglavje bo odgovorilo na to vprašanje.

Če v vašem omrežju ne vidite ničesar od zgoraj navedenega, je to običajno.
Za vsak konkreten primer morate najti svoj razumen kompromis med udobjem, ceno in varnostjo. Pogosto NGFW sploh ne potrebujete v svoji pisarni in zaščita L7 na požarnem zidu ni potrebna. Dovolj je zagotoviti dobro raven vidnosti in opozoril, to pa je mogoče storiti na primer z odprtokodnimi izdelki. Da, vaša reakcija na napad ne bo takojšnja, a glavno je, da ga boste opazili in s pravimi procesi v vašem oddelku ga boste lahko hitro nevtralizirali.

In naj vas spomnim, da v skladu s konceptom te serije člankov ne načrtujete omrežja, ampak samo poskušate izboljšati, kar imate.

VARNA analiza pisarniške arhitekture

Bodite pozorni na ta rdeči kvadrat, ki sem mu dodelil mesto na diagramu Vodnik po arhitekturi varnega kampusa SAFEo katerih bi rad tukaj razpravljal.

Kako prevzeti nadzor nad svojo omrežno infrastrukturo. Tretje poglavje. Omrežna varnost. Tretji del

To je eno ključnih mest arhitekture in ena najpomembnejših negotovosti.

Opomba

Nikoli nisem nastavil ali delal z FirePowerjem (iz Ciscove linije požarnih zidov - samo ASA), zato ga bom obravnaval kot kateri koli drug požarni zid, kot je Juniper SRX ali Palo Alto, ob predpostavki, da ima enake zmogljivosti.

Od običajnih modelov vidim le 4 možne možnosti za uporabo požarnega zidu s to povezavo:

  • privzeti prehod za vsako podomrežje je stikalo, medtem ko je požarni zid v transparentnem načinu (to pomeni, da gre ves promet skozi njega, vendar ne tvori skoka L3)
  • privzeti prehod za vsako podomrežje so podvmesniki požarnega zidu (ali vmesniki SVI), stikalo igra vlogo L2
  • na stikalu se uporabljajo različni VRF-ji, promet med VRF-ji pa poteka skozi požarni zid, promet znotraj enega VRF-ja pa nadzira ACL na stikalu
  • ves promet se zrcali na požarni zid za analizo in spremljanje; promet ne gre skozi njega

Opomba 1

Možne so kombinacije teh možnosti, vendar jih zaradi enostavnosti ne bomo upoštevali.

Opomba2

Obstaja tudi možnost uporabe PBR (service chain architecture), vendar je zaenkrat ta, čeprav po mojem mnenju lepa rešitev, precej eksotika, zato o njej tukaj ne razmišljam.

Iz opisa tokov v dokumentu vidimo, da promet še vedno poteka skozi požarni zid, torej v skladu s Cisco zasnovo četrta možnost odpade.

Oglejmo si najprej prvi dve možnosti.
S temi možnostmi gre ves promet skozi požarni zid.

Zdaj pa poglejmo podatkovni list, poglej Cisco GPL in vidimo, da če želimo, da je skupna pasovna širina za našo pisarno vsaj okoli 10 - 20 gigabitov, potem moramo kupiti različico 4K.

Opomba

Ko govorim o skupni pasovni širini, mislim na promet med podomrežji (in ne znotraj ene vilane).

Iz GPL vidimo, da se cena za paket HA Bundle z zaščito pred grožnjami razlikuje glede na model (4110–4150) od ~0,5 do 2,5 milijona dolarjev.

To pomeni, da naša zasnova začne spominjati na prejšnji primer.

Ali to pomeni, da je ta zasnova napačna?
Ne, to ne pomeni tega. Cisco vam nudi najboljšo možno zaščito glede na linijo izdelkov, ki jih ima. Vendar to ne pomeni, da je to za vas obvezno.

Načeloma je to pogosto vprašanje, ki se pojavi pri načrtovanju pisarne ali podatkovnega centra in pomeni le, da je treba iskati kompromis.

Na primer, ne dovolite, da gre ves promet skozi požarni zid, v tem primeru se mi zdi 3. možnost precej dobra ali (glejte prejšnji razdelek) morda ne potrebujete zaščite pred grožnjami ali požarnega zidu sploh ne potrebujete omrežnem segmentu in se morate samo omejiti na pasivno spremljanje z uporabo plačljivih (ne dragih) ali odprtokodnih rešitev ali pa potrebujete požarni zid, vendar od drugega proizvajalca.

Ponavadi vedno obstaja ta negotovost in ni jasnega odgovora, katera odločitev je za vas najboljša.
To je kompleksnost in lepota te naloge.

Vir: www.habr.com

Dodaj komentar