ProHoster > Блог > Maamulka > Sida loo xakameeyo kaabayaasha shabakadaada. Cutubka saddexaad. Ammaanka shabakadda. Qaybta saddexaad

Sida loo xakameeyo kaabayaasha shabakadaada. Cutubka saddexaad. Ammaanka shabakadda. Qaybta saddexaad

Maqaalkani waa kii shanaad ee taxanaha ah "Sida Loo Xakameeyo Kaabayaasha Shabakaddaada." Waxa ku jira dhammaan maqaallada taxanaha ah iyo xiriiriyeyaasha waa la heli karaa halkan.

Qaybtan waxaa loo go'aamin doonaa Campus (Xafiiska) & qaybaha VPN gelitaanka fog.

Sida loo xakameeyo kaabayaasha shabakadaada. Cutubka saddexaad. Ammaanka shabakadda. Qaybta saddexaad

Naqshadaynta shabakada xafiisku waxay u ekaan kartaa mid fudud.

Runtii, waxaanu qaadanaa furayaasha L2/L3 oo aanu isku xidhno midba midka kale. Marka xigta, waxaan fulineynaa aasaaska aasaasiga ah ee vilans iyo albaabada caadiga ah, dejineynaa marin fudud, isku xirka kontaroolayaasha WiFi, meelaha laga galo, rakibo oo u habeyno ASA meel fog laga galo, waxaan ku faraxsanahay in wax walba ay shaqeeyeen. Asal ahaan, sida aan hore ugu qoray mid ka mid ah kuwii hore maqaalada meertadan, ku dhawaad ​​arday kasta oo ka qayb galay (oo bartay) laba semester ee koorsada isgaadhsiinta ayaa qaabayn kara oo habayn kara shabakad xafiiseed si ay “si uun u shaqeyso.”

Laakiin mar kasta oo aad wax barato, hawshani way sii yaraanaysaa. Aniga shakhsi ahaan, mawduucan, mawduuca naqshadeynta shabakada xafiiska, uma muuqato mid fudud, oo maqaalkan waxaan isku dayi doonaa inaan sharaxo sababta.

Marka la soo koobo, waxaa jira dhowr arrimood oo la tixgeliyo. Inta badan arrimahan ayaa ah kuwo is khilaafaya, waana in la raadiyaa tanaasul macquul ah.
Hubanti la'aantan ayaa ah dhibka ugu weyn. Markaa, ka hadalka amniga, waxaanu leenahay saddex xagal leh saddex geesood: amniga, ku habboonaanta shaqaalaha, qiimaha xalka.
Mar walbana waa in aad raadisaa tanaasul ka dhexeeya saddexdan.

naqshadaha

Tusaale ahaan dhismaha labadan qaybood, sida maqaaladii hore, waxaan ku talinayaa Cisco SAFE model: Xarunta Ganacsiga, Shirkadda Internet Edge.

Kuwani waa dukumeentiyo xoogaa duugoobay. Waxaan halkan ku soo bandhigayaa sababtoo ah qorshayaasha aasaasiga ah iyo habka ma aysan bedelin, laakiin isla mar ahaantaana waxaan jeclahay bandhigga in ka badan dukumeenti cusub.

Adigoon ku dhiirigelineynin inaad isticmaasho xalalka Cisco, waxaan wali u maleynayaa inay faa'iido leedahay in si taxadar leh loo barto naqshadahan.

Maqaalkani, sida caadiga ah, sinaba iskama dhigayo inuu dhammaystiran yahay, laakiin waa ka sii daraya macluumaadkan.

Dhammaadka maqaalka, waxaan ku falanqeyn doonaa naqshadeynta xafiiska Cisco SAFE marka la eego fikradaha halkan lagu qeexay.

Mabaadi'da Guud

Naqshadaynta shabakada xafiiska waa, dabcan, inay buuxiso shuruudaha guud ee laga wada hadlay halkan cutubka "Shuruudaha lagu qiimeeyo tayada naqshadeynta". Ka sokow qiimaha iyo badbaadada, oo aan doonayno inaan kaga hadalno maqaalkan, waxaa weli jira saddex shuruudood oo ay tahay inaan tixgelinno marka la naqshadeynayo (ama isbeddello):

  • scalability
  • fududaato isticmaalka (maaraynta)
  • helitaan

Inta badan waxa laga hadlay xarumaha xogta Tani waxay sidoo kale run u tahay xafiiska.

Laakiin weli, qaybta xafiisku waxay leedahay waxyaabo gaar ah, kuwaas oo muhiim u ah dhinaca amniga. Nuxurka qaaska ah ayaa ah in qaybtan loo abuuray si ay u bixiso adeegyada shabakada shaqaalaha (iyo sidoo kale la-hawlgalayaasha iyo martida) ee shirkadda, iyo, natiijada, heerka ugu sarreeya ee tixgelinta dhibaatada waxaan leenahay laba hawlood:

  • ka ilaali agabka shirkadda falalka xaasidnimada leh ee ka iman kara shaqaalaha (martida, la-hawlgalayaasha) iyo software-ka ay isticmaalaan. Tan waxa kale oo ka mid ah ilaalinta xidhiidhka aan la ogolayn ee shabakada
  • ilaalinta nidaamyada iyo xogta isticmaalaha

Oo tani waa hal dhinac oo kaliya ee dhibaatada (ama halkii, hal vertex ee saddexagalka). Dhinaca kale waa ku habboonaanta isticmaalaha iyo qiimaha xalalka la isticmaalo.

Aan ku bilowno inaan eegno waxa isticmaaluhu ka filayo shabakad xafiiseed casri ah.

Amaanada

Waa kuwan waxa "shabakadda adeegyada" ay u eg yihiin isticmaale xafiiska fikradayda:

  • Dhaqdhaqaaqa
  • Awoodda isticmaalka qalabka la yaqaan ee kala duwan iyo nidaamyada hawlgalka
  • Si fudud u gelida dhammaan ilaha lagama maarmaanka u ah shirkadda
  • Helitaanka ilaha internetka, oo ay ku jiraan adeegyada daruuriga ah ee kala duwan
  • "Howlgalka degdega ah" ee shabakada

Waxaas oo dhami waxay khuseeyaan shaqaalaha iyo martida (ama la-hawlgalayaasha), waana hawsha injineerada shirkadda si ay u kala soocaan gelitaanka kooxaha isticmaala ee kala duwan oo ku salaysan oggolaanshaha.

Aan mid kasta oo ka mid ah dhinacyadan si faahfaahsan u eegno.

Dhaqdhaqaaqa

Waxaan ka hadleynaa fursada aan ku shaqeyno oo aan u isticmaalno dhammaan ilaha lagama maarmaanka ah ee shirkadda meel kasta oo adduunka ah (dabcan, halkaas oo internetka laga heli karo).

Tani waxay si buuxda u khusaysaa xafiiska. Tani waxay ku habboon tahay marka aad fursad u leedahay inaad ka sii shaqeyso meel kasta oo ka mid ah xafiiska, tusaale ahaan, hesho boostada, la xiriir fariin shirkadeed, diyaar u ah wicitaanka fiidiyowga, ... Sidaa darteed, tani waxay kuu ogolaaneysaa, dhinaca kale, si aad u xalliso arrimaha qaarkood isgaarsiinta “tooska ah” (tusaale, ka qaybqaadashada isu soo baxyada), iyo dhanka kale, had iyo jeer ahaado khadka tooska ah, fartaada ku hay garaaca wadnaha oo dhaqso u xalliso qaar ka mid ah hawlaha mudnaanta sare leh ee degdega ah. Tani waa mid aad u habboon oo runtii hagaajinaysa tayada isgaarsiinta.

Tan waxaa lagu gaaraa naqshadda shabakadda WiFi ee habboon.

Ogow

Halkan su'aashu waxay badanaa soo baxdaa: ma ku filan tahay inaad isticmaasho WiFi kaliya? Tani miyay ka dhigan tahay inaad joojin karto isticmaalka dekedaha Ethernet ee xafiiska? Haddii aan ka hadleyno oo keliya dadka isticmaala, oo aan ku saabsanayn server-yada, kuwaas oo weli macquul ah in lagu xiro dekedda caadiga ah ee Ethernet, ka dibna guud ahaan jawaabtu waa: haa, waxaad ku xaddidi kartaa naftaada kaliya WiFi. Laakiin waxaa jira nuances.

Waxaa jira kooxo isticmaale oo muhiim ah oo u baahan hab gaar ah. Kuwani waa, dabcan, maamulayaal. Mabda 'ahaan, isku xirka WiFi waa mid aan la isku halleyn karin (marka la eego khasaaraha taraafikada) oo ka gaabiya dekedda caadiga ah ee Ethernet. Tani waxay muhiim u noqon kartaa maamulayaasha. Intaa waxaa dheer, maamulayaasha shabakadaha, tusaale ahaan, mabda'a ahaan, waxay yeelan karaan shabakad Ethernet u gaar ah oo loogu talagalay isku xirka ka baxsan band.

Waxaa laga yaabaa inay jiraan kooxo / waaxyo kale oo ka tirsan shirkaddaada kuwaas oo arrimahan ay sidoo kale muhiim u yihiin.

Waxaa jira qodob kale oo muhiim ah - telefoonka. Waxaa laga yaabaa inaadan rabin inaad isticmaasho Wireless VoIP oo aad rabto inaad isticmaasho taleefannada IP-ga ee leh isku xirka Ethernet caadiga ah.

Guud ahaan, shirkadihii aan u shaqeeyay waxay badanaa lahaayeen isku xirnaanta WiFi iyo dekedda Ethernet labadaba.

Waxaan jeclaan lahaa in dhaq-dhaqaaqa uusan ku koobnaan xafiiska oo kaliya.

Si loo hubiyo awoodda looga shaqeeyo guriga (ama meel kasta oo kale oo leh Internet la heli karo), isku xirka VPN ayaa la isticmaalaa. Isla mar ahaantaana, waa suurad wacan in shaqaaluhu aysan dareemin faraqa u dhexeeya ka shaqeynta guriga iyo shaqada fog, taas oo u maleyneysa inay isku mid yihiin. Waxaan ka hadli doonaa sida tan loo habeeyo wax yar ka dib cutubka "Nidaamka oggolaanshaha iyo xaqiijinta dhexe ee midaysan."

Ogow

Inta badan, ma awoodi doontid inaad si buuxda u bixiso tayada adeegyada shaqada fog ee aad ku leedahay xafiiska. Aynu ka soo qaadno inaad u isticmaaleyso Cisco ASA 5520 sidii albaabka VPN-kaaga xaashida xogta Qalabkani waxa uu awood u leeyahay in uu "shiidiyo" kaliya 225 Mbit ee taraafikada VPN. Taasi waa, dabcan, marka la eego xawaaraha xawaaraha, isku xirka VPN aad ayuu uga duwan yahay ka shaqeynta xafiiska. Sidoo kale, haddii, sabab qaar ka mid ah, latency, khasaaro, jitter (tusaale, aad rabto in aad isticmaasho xafiiska IP telephony) adeegyada shabakadaada waa muhiim, sidoo kale ma heli doontid tayada la mid ah sida haddii aad ku jirto xafiiska. Sidaa darteed, marka laga hadlayo dhaqdhaqaaqa, waa inaan ogaano xaddidaadaha suurtagalka ah.

Si fudud u gelida dhammaan ilaha shirkadda

Hawshan waa in si wadajir ah loola xalliyo waaxyaha kale ee farsamada.
Xaaladda ugu habboon waa marka adeegsaduhu u baahan yahay oo kaliya inuu xaqiijiyo hal mar, ka dibna wuxuu helayaa dhammaan agabyada lagama maarmaanka ah.
Bixinta helitaan sahlan iyada oo aan la hureynin amniga waxay si weyn u wanaajin kartaa wax soo saarka waxayna yareyn kartaa walbahaarka asxaabtaada.

Hadal 1

Fududeynta helitaanku maaha kaliya inta jeer ee aad geliso erayga sirta ah. Haddii, tusaale ahaan, si waafaqsan siyaasaddaada amniga, si aad uga xirto xafiiska ilaa xarunta xogta, waa inaad marka hore ku xirtaa albaabka VPN, isla markaana aad lumiso helitaanka ilaha xafiiska, markaa tani sidoo kale waa mid aad u badan. , aad u dhib badan.

Hadal 2

Waxaa jira adeegyo (tusaale ahaan, helitaanka qalabka shabakada) halkaas oo aan inta badan ku haysano adeegayaal AAA u gaar ah tanina waa caadada marka ay taasi dhacdo waa inaan xaqiijinaa dhowr jeer.

Helitaanka ilaha internetka

Internetku maaha maaweelo oo kaliya, laakiin sidoo kale waa adeegyo aad waxtar ugu yeelan kara shaqada. Waxa kale oo jira arrimo nafsi ah oo keliya. Qofka casriga ah wuxuu ku xiran yahay dadka kale iyada oo loo marayo internetka iyada oo loo marayo taxane badan oo muuqaal ah, iyo, fikradayda, ma jiraan wax khalad ah haddii uu sii wado inuu dareemo xiriirkan xitaa marka uu shaqeynayo.

Marka laga eego aragtida wakhtiga luminta, ma jiraan wax khalad ah haddii shaqaale, tusaale ahaan, uu Skype ku shaqeeyo oo uu ku qaato 5 daqiiqo inuu la xiriiro qof la jecel yahay haddii loo baahdo.

Tani miyay ka dhigan tahay in Internetku had iyo jeer ahaado mid la heli karo, tani miyay ka dhigan tahay in shaqaaluhu ay heli karaan dhammaan agabyada oo aysan sinaba u xakameyn?

Maya taas macnaheedu maaha, dabcan. Heerka furfurnaanta Internetku wuu ku kala duwanaan karaa shirkado kala duwan - laga bilaabo xidhidh dhammaystiran ilaa furfurnaan dhammaystiran. Waxaan ka hadli doonaa siyaabaha lagu xakameynayo gaadiidka dambe qaybaha dambe ee tallaabooyinka amniga.

Awoodda isticmaalka dhammaan noocyada kala duwan ee qalabka la yaqaan

Way ku habboon tahay, tusaale ahaan, aad haysato fursad aad ku sii wadato isticmaalka dhammaan hababka isgaarsiinta ee aad u isticmaashay shaqada. Ma jirto wax dhib ah in farsamo ahaan tan loo fuliyo. Tani waxaad u baahan tahay WiFi iyo wilan martida.

Sidoo kale way fiican tahay haddii aad fursad u haysato inaad isticmaasho nidaamka qalliinka ee aad isticmaashay. Laakin, indha-indhayntayda, tan inta badan waxaa loo ogolyahay maamulayaasha, maamulayaasha iyo horumariyayaasha.

Tusaale:

Dabcan, waxaad raaci kartaa dariiqa mamnuucida, mamnuucida gelitaanka fogaanta, mamnuucida ku xidhida aaladaha mobilada, xadid wax walba ilaa xidhiidhada Ethernet ee taagan, xaddido gelitaanka interneedka, si qasab ah ula wareegi kartaa telefoonada gacanta iyo agabka isbaarada... iyo wadadan dhab ahaantii waxaa raacaya ururada qaarkood oo leh shuruudo amni oo kordhay, waxaana laga yaabaa in xaaladaha qaarkood tani ay sabab u tahay, laakiin... waa inaad ogolaataa in tani ay u egtahay isku day lagu joojinayo horumarka hal urur. Dabcan, waxaan jeclaan lahaa in aan isku daro fursadaha teknoolajiyada casriga ah ay bixiyaan heer ku filan oo ammaan ah.

"Howlgalka degdega ah" ee shabakada

Xawaaraha wareejinta xogta farsamo ahaan waxa uu ka kooban yahay arrimo badan. Xawaaraha dekeddaada inta badan maaha ta ugu muhiimsan. Hawlgalka gaabis ah ee codsigu had iyo jeer kuma xidhna dhibaatooyinka shabakadda, laakiin hadda waxaan xiisaynaynaa oo keliya qaybta shabakadda. Dhibaatada ugu badan ee shabakada maxalliga ah "gaabis" waxay la xiriirtaa luminta xirmooyinka. Tani waxay caadi ahaan dhacdaa marka ay jiraan dhibaatooyin qoorta ah ama L1 (OSI). Marar dhif ah, oo leh nashqado qaar (tusaale ahaan, marka shabakadaha hoose ay leeyihiin dab-damis sida albaabka caadiga ah oo markaa dhammaan taraafikada ay maraan), waxqabadka qalabka ayaa laga yaabaa inuu maqan yahay.

Sidaa darteed, markaad dooranayso qalabka iyo dhismaha, waxaad u baahan tahay inaad isku xirto xawaaraha dekedaha dhamaadka, jirridda iyo waxqabadka qalabka.

Tusaale:

Aynu ka soo qaadno inaad isticmaaleyso furayaasha leh 1 gigabit dekedood sida furayaasha lakabka gelitaanka. Waxay ku xiran yihiin midba midka kale iyada oo loo marayo Etherchannel 2 x 10 gigabits. Sida albaabka caadiga ah, waxaad isticmaashaa firewall leh dekedaha gigabit, si aad ugu xidho shabakada xafiiska L2 aad isticmaasho 2 gigabit dekedood oo la isku daray Etherchannel.

Qaab dhismeedkani aad buu ugu habboon yahay marka laga eego dhinaca shaqada, sababtoo ah... Dhammaan taraafikada waxay dhex maraan dab-damiska, waxaadna si raaxo leh u maareyn kartaa siyaasadaha gelitaanka, oo aad codsato algorithms adag si loo xakameeyo taraafikada loogana hortago weerarrada suurtagalka ah (hoos eeg), laakiin laga soo bilaabo muuqaalka iyo waxqabadka aragtida naqshaddan, dabcan, waxay leedahay dhibaatooyin suurtagal ah. Marka, tusaale ahaan, 2 martigeliyaha soo dejinta xogta (oo leh xawaare deked ah 1 gigabit) waxay si buuxda u dhejin kartaa isku xirka 2 gigabit ee dabka, sidaas darteedna waxay u horseedi kartaa hoos u dhac adeegga dhammaan qaybta xafiiska.

Waxaan eegnay hal gees oo saddex xagal ah, hadda aan eegno sida aan u sugi karno amniga.

Habka ilaalinta

Markaa, dabcan, sida caadiga ah rabitaankeena (ama halkii, rabitaanka maamulkeena) waa inaan gaarno wax aan macquul aheyn, kuwaas oo ah, inaan bixino ku habboonaanta ugu badan ee amniga ugu badan iyo kharashka ugu yar.

Aynu eegno hababka aan u bixino ilaalinta.

Xafiiska, waxaan iftiimin lahaa kuwa soo socda:

  • eber kalsoonida habka naqshadeynta
  • ilaalin heer sare ah
  • muuqaalka shabakada
  • nidaamka xaqiijinta iyo oggolaanshaha dhexe midaysan
  • hubinta martida loo yahay

Marka xigta, waxaynu si faahfaahsan u dul istaagi doonaa mid kasta oo ka mid ah dhinacyadan.

Aaladda Zero

Dunida IT si degdeg ah ayey isu beddeshaa. Kaliya 10kii sano ee la soo dhaafay, soo ifbaxa tignoolajiyada cusub iyo alaabooyinka ayaa horseeday dib u eegis weyn oo fikradaha amniga. Toban sano ka hor, marka laga eego dhinaca amniga, waxaan u kala saarnay shabakadda isku-xirnaanta, dmz iyo aagagga aan la aamini karin, waxaana adeegsannay waxa loogu yeero "ilaalinta wareegga", halkaas oo ay jireen 2 xariiq oo difaac ah: aan la aamini karin -> dmz iyo dmz -> kalsooni. Sidoo kale, ilaalinta badiyaa waxay ku koobnayd liisaska gelitaanka ee ku salaysan L3/L4 (OSI) madaxyada (IP, TCP/UDP dekedaha, calanka TCP). Wax kasta oo la xidhiidha heerarka sare, oo ay ku jiraan L7, ayaa loo daayay OS iyo alaabta amniga ee lagu rakibay martigeliyaha dhamaadka.

Hadda xaaladdu aad bay isu beddeshay. Fikradda casriga ah eber kalsooni waxay ka timaadaa xaqiiqda ah in aysan suurtagal ahayn in la tixgeliyo nidaamyada gudaha, taas oo ah, kuwa ku yaala gudaha wareegga, sida lagu kalsoon yahay, iyo fikradda wareegga laftiisa ayaa noqday mid mugdi ah.
Marka laga soo tago isku xirka internetka waxaan sidoo kale leenahay

  • Isticmaalayaasha VPN ee fogaanta
  • qalabyo kala duwan oo shakhsi ah, keenay laptops, ku xiran via WiFi xafiiska
  • xafiisyada kale (laanta).
  • is dhexgalka kaabayaasha daruuriga ah

Waa maxay habka Zero Trust u eg yahay ficil ahaan?

Fikrad ahaan, kaliya taraafikada loo baahan yahay waa in la oggolaadaa, haddii aan ka hadlayno wax ku habboon, markaa xakamaynta waa inaysan ahayn kaliya heerka L3 / L4, laakiin heerka codsiga.

Haddii, tusaale ahaan, aad awood u leedahay inaad ku gudubto dhammaan taraafikada iyada oo loo marayo firewall, markaa waxaad isku dayi kartaa inaad u dhawaato fikradda. Laakiin habkani wuxuu si weyn u yareeyn karaa wadarta xajmiyeedka shabakadaada, ka sokow, shaandhaynta codsiga had iyo jeer si fiican uma shaqeyso.

Markaad xakameynayso taraafikada router ama beddelka L3 (adoo isticmaalaya ACL-yada caadiga ah), waxaad la kulantaa dhibaatooyin kale:

  • Tani waa shaandhaynta L3/L4 kaliya. Ma jiraan wax ka joojinaya weeraryahan inuu isticmaalo dekedo la ogol yahay (tusaale TCP 80) codsigooda (ma aha http)
  • Maamulka adag ee ACL (ay adag tahay in la kala saaro ACLs)
  • Kani maaha dab-damis dawladeed oo buuxa, taasoo la macno ah inaad u baahan tahay inaad si cad u ogolaato taraafikada gadaashiisa
  • furayaasha waxaad sida caadiga ah si aad ah u xaddidan tahay cabbirka TCAM, kaas oo si dhakhso ah dhibaato u noqon kara haddii aad qaadato habka "kaliya oggolow waxaad u baahan tahay"

Ogow

Isagoo ka hadlaya taraafikada gadaale, waa inaan xasuusannaa inaan haysano fursadan soo socota (Cisco)

ogolaan tcp kasta oo la aasaasay

Laakin waxaad u baahan tahay inaad fahanto in xariiqani u dhigmayo laba sadar:
Ogow tcp kasta ack kasta
oggolow tcp kasta marka hore

Taas oo macnaheedu yahay in xitaa haddii aysan jirin qaybta TCP ee bilowga ah oo leh calanka SYN (taasi waa, fadhiga TCP xitaa ma uusan bilaabin in la dhiso), ACL waxay u oggolaan doontaa xirmo leh calanka ACK, kaas oo weeraryahan uu isticmaali karo si uu u wareejiyo xogta.

Taasi waa, khadkani sinaba uma beddelayo routerkaaga ama L3 u beddelashada firewall-ka buuxa.

Heer sare oo ilaalin ah

В maqaal Qaybta xarumaha xogta, waxaanu tixgelinay hababka ilaalinta ee soo socda.

  • Dab-damis dawladeed (default)
  • ddos/dos ilaalinta
  • firewalling codsiga
  • ka hortagga khatarta ah (anti-virus, anti-spyware, iyo nuglaanta)
  • shaandhaynta URL
  • shaandhaynta xogta (content filter)
  • xannibista faylka (noocyada faylka oo xannibaya)

Marka laga hadlayo xafiiska, xaaladdu waa isku mid, laakiin mudnaanta ayaa xoogaa ka duwan. Helitaanka xafiisku (helitaanka) caadi ahaan maaha mid muhiim ah sida xaaladda xarunta xogta, halka suurtagalnimada taraafikada "gudaha" ee xaasidnimada leh ay tahay amarada baaxadda weyn.
Sidaa darteed, hababka ilaalinta soo socda ee qaybtan ayaa noqonaysa mid muhiim ah:

  • firewalling codsiga
  • ka hortagga khatarta ah (ka-hortagga fayraska, anti-spyware, iyo nuglaanta)
  • shaandhaynta URL
  • shaandhaynta xogta (content filter)
  • xannibista faylka (noocyada faylka oo xannibaya)

In kasta oo dhammaan hababkan ilaalinta, marka laga reebo dab-damiska codsiga, ay dhaqan ahaan ahaan jireen oo ay sii wadaan in lagu xalliyo marti-geliyeyaasha dhammaadka ah (tusaale ahaan, iyada oo la rakibayo barnaamijyada antivirus) iyo adeegsiga wakiillada, NGFW-yada casriga ah ayaa sidoo kale bixiya adeegyadan.

Iibiyeyaasha qalabka amniga waxay ku dadaalaan inay abuuraan ilaalin dhammaystiran, si ay ula socdaan ilaalinta maxalliga ah, waxay bixiyaan tignoolajiyada daruuriga ah ee kala duwan iyo softiweerka macmiilka ee martida loo yahay (illaalinta dhamaadka/EPP). Marka, tusaale ahaan, laga bilaabo 2018 Gartner Magic Quadrant Waxaan aragnaa in Palo Alto iyo Cisco ay leeyihiin EPP-yadooda (PA: Traps, Cisco: AMP), laakiin aad uga fog hoggaamiyeyaasha.

Awood u siinta ilaalintan (badanaa shatiga iibsashada) dab-darkaaga dabcan maaha qasab (waxaad mari kartaa dariiqa dhaqanka), laakiin waxay ku siinaysaa faa'iidooyin qaar:

  • Xaaladdan oo kale, waxaa jira hal dhibic oo ka mid ah codsiga hababka ilaalinta, taas oo hagaajinaysa muuqaalka (eeg mawduuca soo socda).
  • Haddii uu jiro aalad aan la ilaalin oo ku jirta shabakaddaada, markaa wali waxay ku hoos dhacdaa "dallada" ilaalinta dab-damiska
  • Adigoo adeegsanayna ilaalinta dab-damiska iyadoo lala kaashanayo ilaalinta dhammaadka-martida, waxaan kordhineynaa suurtagalnimada lagu ogaanayo taraafikada xun. Tusaale ahaan, adeegsiga ka-hortagga khatarta ah ee martida maxalliga ah iyo dab-damiska waxay kordhisaa suurtagalnimada in la ogaado (waxaa la bixiyaa, dabcan, in xalalkani ay ku saleysan yihiin alaabada software ee kala duwan)

Ogow

Haddii, tusaale ahaan, aad u isticmaasho Kaspersky sida fayraska labadaba dab-damiska iyo kuwa martida loo yahay, markaa tani, dabcan, si weyn uma kordhin doonto fursadahaaga inaad ka hortagto weerar fayras ah oo ku saabsan shabakadaada.

Muuqaalka shabakada

Fikradda ugu weyn way fududahay - "fiiri" waxa ka dhacaya shabakadaada, labadaba wakhtiga dhabta ah iyo xogta taariikhiga ah.

Waxaan “aragtida” u qaybin lahaa laba kooxood:

Kooxda koowaad: waxa nidaamkaaga la socodka badiyaa ku siiyo.

  • rarista qalabka
  • channels loading
  • isticmaalka xusuusta
  • isticmaalka diskka
  • beddelka miiska dajinta
  • heerka isku xirka
  • helitaanka qalabka (ama martigeliyaha)
  • ...

Kooxda labaad: macluumaadka la xiriira badbaadada.

  • noocyada kala duwan ee tirakoobyada (tusaale ahaan, codsi ahaan, taraafikada URL, noocyada xogta la soo dejiyey, xogta isticmaalaha)
  • waxa xannibay siyaasadaha amniga iyo sababta, oo kala ah
    • codsi mamnuuc ah
    • mamnuuc ku salaysan ip/protocol/port/calanka/aagagga
    • ka hortagga khatarta
    • shaandhaynta url
    • shaandhaynta xogta
    • xannibista faylka
    • ...
  • Tirakoobka weerarrada DOS/DDOS
  • isku day aqoonsi iyo oggolaansho oo guul daraystay
  • tirakoobyada dhammaan dhacdooyinka ku xad-gudbinta siyaasadda amniga ee kor ku xusan
  • ...

Cutubkan oo ku saabsan amniga, waxa aanu xiisaynaynaa qaybta labaad.

Qaar ka mid ah dab-damisyada casriga ah (laga bilaabo waayo-aragnimadayda Palo Alto) waxay bixiyaan muuqaal heer sare ah. Laakiin, dabcan, taraafikada aad xiisaynayso waa inay dhex maraan firewall-kan (haddii ay dhacdo inaad awood u leedahay inaad xannibto gaadiidka) ama u muujiso firewall (loo isticmaalo kaliya kormeerka iyo falanqaynta), waana inaad haysataa shati si aad awood ugu yeelatid dhammaan adeegyadan .

Waxaa jira, dabcan, hab kale, ama halkii hab dhaqameed, tusaale ahaan,

  • Tirakoobka fadhiga waxa lagu soo ururin karaa netflow ka dibna loo isticmaalo utility gaar ah falanqaynta macluumaadka iyo xog-ururinta
  • Ka hortagga khatarta - barnaamijyo gaar ah (ka-hortagga fayraska, anti-spyware, firewall) ee martigeliyayaasha dhamaadka
  • shaandhaynta URL, shaandhaynta xogta, xannibista faylka - wakiil
  • Waxa kale oo suurtogal ah in la falanqeeyo tcpdump iyadoo la isticmaalayo tusaale ahaan. khuurada

Waxaad isku dari kartaa labadan hab, adigoo buuxinaya sifooyinka maqan ama nuqul ka dhigaya si aad u kordhiso suurtagalnimada in la ogaado weerarka.

Habka ay tahay inaad doorato?
Aad ayey ugu xiran tahay shahaadooyinka iyo dookhyada kooxdaada.
Labaduba halkaas iyo waxaa jira faa'iidooyin iyo khasaare.

Nidaamka xaqiijinta iyo oggolaanshaha dhexe midaysan

Marka si fiican loo qaabeeyey, dhaqdhaqaaqa aan ka wada hadalnay maqaalkani wuxuu u maleynayaa inaad isku mid tahay inaad ka shaqeyso xafiiska ama guriga, garoonka diyaaradaha, kafeega ama meel kale (oo leh xaddidaadyada aan kor ku soo hadalnay). Waxay u muuqan lahayd, waa maxay dhibku?
Si aad si fiican u fahamto kakanaanta hawshan, aynu eegno naqshad caadi ah.

Tusaale:

  • Dhammaan shaqaalaha waxaad u qaybisay kooxo. Waxaad go'aansatey inaad kooxuhu geliso
  • Gudaha xafiiska, waxaad xakameysaa gelitaanka darbiga xafiiska
  • Waxaad xakameysaa taraafikada xafiiska ilaa xarunta xogta ee dabka xarunta xogta
  • Waxaad u isticmaashaa Cisco ASA sida albaabka VPN iyo si aad u xakamayso taraafikada ka soo galaya shabakadaada macaamiisha fog, waxaad isticmaashaa gudaha (ASA) ACLs

Hadda, aynu nidhaahno waxaa lagaa codsanayaa inaad ku darto galaangal dheeraad ah shaqaale gaar ah. Xaaladdan oo kale, waxaa lagu weydiinayaa inaad ku darto gelitaanka isaga oo keliya oo ma jiro qof kale oo ka tirsan kooxdiisa.

Tan waa inaan u abuurnaa koox gaar ah shaqaalahan, taasi waa

  • u samee barkad IP gaar ah oo ku taal ASA shaqaalahan
  • ku dar ACL cusub ASA oo ku xidh macmiilkaas fog
  • abuuraan siyaasado cusub oo amniga ah oo ku saabsan xafiisyada iyo xarumaha xogta dab-damiska

Way fiican tahay haddii dhacdadani ay naadir tahay. Laakiin dhaqankayga waxaa jiray xaalad marka shaqaaluhu ay ka qaybqaateen mashaariic kala duwan, iyo mashaariicdan qaar ka mid ah ayaa isbeddelay marar badan, mana ahayn 1-2 qof, laakiin daraasiin. Dabcan, wax loo baahan yahay in halkan laga beddelo.

Tan waxaa lagu xalliyay habka soo socda.

Waxaan go'aansanay in LDAP ay noqon doonto isha kaliya ee runta ee go'aamisa dhammaan gelitaanka shaqaalaha. Waxaan abuurnay dhammaan noocyada kooxaha kuwaas oo qeexaya qaybaha gelitaanka, waxaanan u xilsaarnay isticmaale kasta hal ama in ka badan.

Marka, tusaale ahaan, ka soo qaad inay jireen kooxo

  • martida (Internetka gelitaanka)
  • Helitaanka guud (helitaanka ilaha la wadaago: boostada, saldhigga aqoonta, ...)
  • xisaabaadka
  • mashruuca 1
  • mashruuca 2
  • maamulaha saldhiga xogta
  • maamulaha linux
  • ...

Oo haddii mid ka mid ah shaqaalaha uu ku lug lahaa labada mashruuc 1 iyo mashruuca 2, oo uu u baahan yahay helitaanka lagama maarmaanka ah si uu uga shaqeeyo mashaariicdan, ka dibna shaqaalahan waxaa loo qoondeeyey kooxaha soo socda:

  • martida
  • helitaan guud
  • mashruuca 1
  • mashruuca 2

Sideen hadda ugu beddeli karnaa macluumaadkan helitaanka qalabka shabakada?

Siyaasadda gelitaanka firfircoon ee Cisco ASA (DAP) (eeg www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) xalku waa sax hawshan.

Si kooban oo ku saabsan hirgalintayada, inta lagu jiro habka aqoonsiga/ogolaanshaha, ASA waxay ka heshaa LDAP koox koox ah oo u dhiganta isticmaale la bixiyay waxayna "ururinaysaa" dhowr ACL oo maxalli ah (mid kasta oo ka mid ah koox u dhiganta) ACL firfircoon oo leh dhammaan marinnada lagama maarmaanka ah , taas oo si buuxda u dhiganta rabitaankeena.

Laakiin tani waxa kaliya oo loogu talagalay xidhiidhada VPN. Si xaalada isku mid looga dhigo labada shaqaale ee ku xidhan VPN iyo kuwa xafiiska jooga, talaabada soo socota ayaa la qaaday.

Marka lagala xiriirinayo xafiiska, isticmaalayaasha isticmaalaya borotokoolka 802.1x waxay ku dhamaanayaan LAN martida ah (martida) ama LAN la wadaago (shaqaalaha shirkadda). Intaa waxaa dheer, si loo helo marin gaar ah (tusaale, mashaariicda xarunta xogta), shaqaaluhu waa inay ku xidhmaan VPN.

Si loogu xidho xafiiska iyo guriga, kooxo tunnel kala duwan ayaa loo adeegsaday ASA. Tani waxay lagama maarmaan u tahay kuwa ku xiran xafiiska, taraafikada ilaha la wadaago (ay isticmaalaan dhammaan shaqaalaha, sida boostada, server-yada faylka, nidaamka tigidhada, dns, ...) ma marin ASA, laakiin iyada oo loo marayo shabakada maxaliga ah . Markaa, kuma aannu shubin ASA gaadiidka aan loo baahnayn, oo ay ku jiraan taraafikada xoogga badan.

Haddaba, dhibkii waa la xalliyay.
Waxaan helnay

  • isku mid ah marin-u-helidda labada isku-xidh ee xafiiska iyo xidhiidhada fog-fog
  • maqnaanshaha hoos u dhaca adeegga marka laga shaqeeyo xafiiska ee la xidhiidha gudbinta taraafikada xoogga badan ee ASA

Waa maxay faa'iidooyinka kale ee habkan?
In maamulka helaan. Gelitaanka si fudud ayaa loogu beddeli karaa hal meel.
Tusaale ahaan, haddii shaqaaluhu ka tago shirkadda, markaa waxaad si fudud uga saartaa LDAP, oo wuxuu si toos ah u luminayaa dhammaan gelitaanka.

Hubinta martida loo yahay

Iyada oo ay suurtogal tahay in la isku xidho fogfog, waxaan wadnaa khatarta ah inaan u oggolaano shaqaalaha shirkadda oo keliya shabakadda, laakiin sidoo kale dhammaan software-ka xaasidnimada ah ee ay u badan tahay inuu ku jiro kombuyuutarkiisa (tusaale, guriga), iyo weliba, iyada oo loo marayo software-kan. waxaa laga yaabaa in ay soo geliso shabakadeena weeraryahan u isticmaalaya martida loo yahay wakiil ahaan.

Waxaa macno u leh martigeliyaha fog ee ku xiran inuu dalbado isla shuruudaha amniga sida martigeliyaha xafiiska dhexdiisa.

Tani waxay sidoo kale u qaadaneysaa nooca "saxda ah" ee OS, anti-virus, anti-spyware, iyo software-ka firewall iyo cusbooneysiinta. Caadi ahaan, awoodani waxa ay ka jirtaa albaabka VPN (tusaale ASA eeg, tusaale ahaan, halkan).

Waxa kale oo ay caqli badan tahay in la isticmaalo isla falanqaynta taraafikada iyo farsamooyinka xannibaadda (eeg "ilaalinta heerka sare") ee siyaasaddaada ammaanku ay khusayso taraafikada xafiiska.

Waa macquul in loo qaato in shabakadaada xafiiska aysan ku koobnayn dhismaha xafiiska iyo martigeliyaha ku dhex jira.

Tusaale:

Farsamo wanaagsan ayaa ah in la siiyo shaqaale kasta oo u baahan in meel fog laga galo Laptop wanaagsan oo ku habboon oo looga baahan yahay inay ka shaqeeyaan xafiiska iyo guriga labadaba, oo keliya.

Ma aha oo kaliya in ay wanaajiso amniga shabakadaada, laakiin sidoo kale runtii waa ku habboon tahay oo inta badan si wanaagsan ayay u eegaan shaqaaluhu (haddii ay run ahaantii fiican tahay, laptop-ka saaxiibtinimo ku habboon).

Ku saabsan dareenka saamiga iyo dheelitirka

Asal ahaan, tani waa wadahadal ku saabsan geesta saddexaad ee saddexagalkayaga - oo ku saabsan qiimaha.
Bal aynu eegno tusaale mala awaal ah.

Tusaale:

Waxaad ku leedahay xafiis 200 oo qof. Waxaad go'aansatay inaad ka dhigto mid ku habboon oo badbaado leh intii suurtagal ah.

Sidaa darteed, waxaad go'aansatey inaad dhammaan taraafikada dhex marto dab-damiska oo sidaas darteed dhammaan xafiisyada hoose ee xafiiska dab-darku waa albaabka caadiga ah. Marka lagu daro software-ka badbaadada ee lagu rakibay martigeliyaha dhamaadka kasta (ka-hortagga fayraska, anti-spyware, iyo software firewall), waxaad sidoo kale go'aansatey inaad ku dabaqdo dhammaan hababka ilaalinta suurtagalka ah ee dabka.

Si loo hubiyo xawaaraha isku xirka sare (dhammaan ku habboonaanta), waxaad dooratay furayaasha leh 10 dekedood oo Gigabit ah sida furayaasha gelitaanka, iyo waxqabadka sare ee dab-demiska NGFW sida dab-damiska, tusaale ahaan, taxanaha Palo Alto 7K (oo leh 40 Gigabit dekedaha), dabiici ahaan leh dhammaan shatiyada ku jira iyo, dabiiciyan, lammaane Helitaan Sare leh.

Sidoo kale, dabcan, si aan ugu shaqayno khadkan qalabka waxaan u baahanahay ugu yaraan laba injineer oo xagga amniga ah oo aqoon sare leh.

Marka xigta, waxaad go'aansatey inaad siiso shaqaale kasta laptop wanaagsan.

Wadarta, qiyaastii 10 milyan oo doolar oo lagu fulinayo, boqollaal kun oo doolar (waxaan u malaynayaa in ku dhow hal milyan) oo loogu talagalay taageerada sannadlaha ah iyo mushaharka injineerada.

Xafiiska, 200 oo qof...
Raaxo leh? Waxaan filayaa inay haa tahay.

Waxaad ula timid soo jeedintan maamulkaaga...
Waxaa laga yaabaa in ay jiraan shirkado badan oo adduunka ah kuwaas oo tani u tahay xal la aqbali karo oo sax ah. Haddii aad tahay shaqaale ka tirsan shirkaddan, waan ku hambalyeynayaa, laakiin inta badan kiisaska, waxaan hubaa in aqoontaada aan lagu qaddarin doonin maamulka.

Tusaalahan ma la buunbuuniyay? Cutubka xiga ayaa ka jawaabi doona su'aashan.

Haddii shabakadaada aanad ku arkin mid ka mid ah kuwa kor ku xusan, markaa tani waa caadada.
Kiis kasta oo gaar ah, waxaad u baahan tahay inaad hesho tanaasul macquul ah oo adiga kuu gaar ah oo u dhexeeya ku habboonaanta, qiimaha iyo badbaadada. Badana xitaa uma baahnid NGFW xafiiskaaga, ilaalinta L7 ee dab-damiska looma baahna. Waa ku filan tahay in la bixiyo heer wanaagsan oo muuqaal ah iyo digniino, tanna waxaa lagu samayn karaa iyada oo la adeegsanayo alaabta furan, tusaale ahaan. Haa, falcelintaada weerarku ma noqon doonto mid degdeg ah, laakiin waxa ugu muhiimsan waa inaad arki doonto, iyo hababka saxda ah ee ku jira qaybtaada, waxaad awoodi doontaa inaad si dhakhso ah u dhexdhexaadiso.

Oo aan ku xasuusiyo in, marka loo eego fikradda maqaalladan taxanaha ah, ma samaynaysid shabakad, waxaad kaliya isku dayeysaa inaad hagaajiso waxaad heshay.

Falanqaynta SAFE ee qaab dhismeedka xafiiska

U fiirso afargeeska cas ee aan meel uga qoondeeyay jaantuska Hagaha Dhismaha Xarunta Ammaanka ee Nabadgelyadaoo aan jeclahay in aan halkan kaga hadlo.

Sida loo xakameeyo kaabayaasha shabakadaada. Cutubka saddexaad. Ammaanka shabakadda. Qaybta saddexaad

Tani waa mid ka mid ah meelaha muhiimka ah ee dhismaha iyo mid ka mid ah hubanti la'aanta ugu muhiimsan.

Ogow

Waligay ma aan dejin ama lama shaqayn FirePower (laga bilaabo khadka dabka ee Cisco - kaliya ASA), markaa waxaan ula dhaqmi doonaa sida dab-damiska kale, sida Juniper SRX ama Palo Alto, anigoo u malaynaya inay leedahay awood isku mid ah.

Naqshadaynta caadiga ah, waxaan arkaa kaliya 4 ikhtiyaar oo suurtagal ah oo loogu talagalay isticmaalka firewall ee xiriirkan:

  • Albaabka caadiga ah ee subnet kasta waa bedel, halka dabku uu ku jiro qaab hufan (taas oo ah, dhammaan taraafikada ayaa dhex mara, laakiin ma samaynayso hop L3)
  • Albaabka caadiga ah ee subnet kasta waa is dhexgal-hoosaadyada dab-damiska (ama SVI interfaces), beddelku wuxuu ciyaaraa doorka L2
  • VRF-yo kala duwan ayaa loo adeegsadaa dareeska, taraafikada u dhaxaysa VRF-yada waxay maraan dab-damiska, taraafikada gudaha hal VRF waxaa gacanta ku haya ACL
  • dhammaan taraafikada waxaa lagu milicsadaa dab-damiska si loo falanqeeyo loona kormeero; gaadiidku ma dhex maro

Hadal 1

Isku darka xulashooyinkan waa suurtagal, laakiin si fudud uma tixgelin doonno iyaga.

Xusuusin2

Waxa kale oo jira suurtogalnimada isticmaalka PBR (qaab-dhismeedka silsiladda adeegga), laakiin hadda tani, in kasta oo xal qurux badan fikradayda, waa halkii qalaad, markaa anigu halkan kama fiirsanayo.

Laga soo bilaabo sharraxaadda qulqulka dukumeentiga, waxaan aragnaa in taraafikada ay wali sii socoto dabka, taas oo ah, iyada oo la raacayo naqshadeynta Cisco, doorashada afaraad waa la tirtiray.

Aynu marka hore eegno labada doorasho ee hore.
Ikhtiyaaradan, dhammaan taraafikada waxay maraan firewall-ka.

Hadda aan eegno xaashida xogta, eeg Cisco GPL waxaanan aragnaa in haddii aan rabno wadarta guud ee xafiskeena in ay ahaato ugu yaraan 10 - 20 gigabits, markaa waa in aan iibsanaa nooca 4K.

Ogow

Marka aan ka hadlo wadarta bandwidth, waxaan ula jeedaa taraafikada u dhexeeya subnets (oo aan ku dhex jirin hal vilana).

Laga soo bilaabo GPL-ka waxaan ku aragnaa in loogu talagalay xirmada HA oo leh Difaaca Hanjabaadda, qiimaha waxay ku xiran tahay qaabka (4110 - 4150) waxay ka duwan tahay ~ 0,5 - 2,5 million dollars.

Taasi waa, naqshadeenu waxay bilaabataa inay u ekaato tusaalihii hore.

Tani miyay ka dhigan tahay in naqshadani khalad tahay?
Maya, taasi macnaheedu maaha. Cisco waxay ku siinaysaa ilaalinta ugu wanaagsan ee suurtogalka ah iyadoo lagu saleynayo xariiqda alaabta ee ay leedahay. Laakiin taasi macnaheedu maaha inay waajib kugu tahay.

Mabda 'ahaan, tani waa su'aal caadi ah oo soo baxda marka la naqshadeynayo xafiis ama xarun xogeed, kaliya waxay ka dhigan tahay in tanaasul la raadiyo.

Tusaale ahaan, ha u oggolaan dhammaan taraafikada inay dhex maraan firewall-ka, taas oo ikhtiyaarka 3 ay iigu muuqato mid aad u fiican, ama (fiiri qaybta hore) waxaa laga yaabaa inaadan u baahnayn Difaaca Khatarta ah ama aadan u baahnayn gebi ahaanba taas. qaybta shabakada, oo kaliya waxaad u baahan tahay inaad naftaada ku xaddido la socodka dadban adigoo isticmaalaya lacag (aan qaali ahayn) ama xalal il furan, ama waxaad u baahan tahay dab-damis, laakiin ka iibiye kale.

Sida caadiga ah mar walba waxaa jira hubaal la'aantan mana jirto jawaab cad oo ku saabsan go'aanka adiga kuu fiican.
Tani waa kakanaanta iyo quruxda hawshan.

Source: www.habr.com

Add a comment