ProHoster > Blog > administratë > Si të merrni kontrollin e infrastrukturës së rrjetit tuaj. Kapitulli i tretë. Siguria e rrjetit. Pjesa e tretë

Si të merrni kontrollin e infrastrukturës së rrjetit tuaj. Kapitulli i tretë. Siguria e rrjetit. Pjesa e tretë

Ky artikull është i pesti në serinë "Si të merrni kontrollin e infrastrukturës së rrjetit tuaj". Përmbajtja e të gjithë artikujve në seri dhe lidhjet mund të gjenden këtu.

Kjo pjesë do t'i kushtohet segmenteve të Kampusit (Zyrës) dhe VPN me qasje në distancë.

Si të merrni kontrollin e infrastrukturës së rrjetit tuaj. Kapitulli i tretë. Siguria e rrjetit. Pjesa e tretë

Dizajni i rrjetit të zyrave mund të duket i lehtë.

Në të vërtetë, marrim çelsat L2/L3 dhe i lidhim me njëri-tjetrin. Më pas, ne kryejmë konfigurimin bazë të vilave dhe portave të paracaktuara, vendosim një rrugëtim të thjeshtë, lidhim kontrollorët WiFi, pikat e hyrjes, instalojmë dhe konfigurojmë ASA për qasje në distancë, jemi të kënaqur që gjithçka funksionoi. Në thelb, siç kam shkruar tashmë në një nga të mëparshmet artikuj të këtij cikli, pothuajse çdo student që ka ndjekur (dhe ka mësuar) dy semestra të një kursi telekomunikacioni mund të projektojë dhe konfigurojë një rrjet zyre në mënyrë që ai "disi të funksionojë".

Por sa më shumë të mësoni, aq më pak e thjeshtë fillon të duket kjo detyrë. Mua personalisht kjo temë, tema e dizajnit të rrjetit të zyrave, nuk më duket aspak e thjeshtë dhe në këtë artikull do të përpiqem të shpjegoj pse.

Me pak fjalë, ka mjaft faktorë për t'u marrë parasysh. Shpesh këta faktorë janë në konflikt me njëri-tjetrin dhe duhet kërkuar një kompromis i arsyeshëm.
Kjo pasiguri është vështirësia kryesore. Pra, duke folur për sigurinë, kemi një trekëndësh me tre kulme: siguria, komoditeti për punonjësit, çmimi i zgjidhjes.
Dhe çdo herë duhet të kërkoni një kompromis mes këtyre të treve.

Arkitekturë

Si shembull i një arkitekture për këto dy segmente, si në artikujt e mëparshëm, unë rekomandoj Cisco SAFE model: Kampusi i Ndërmarrjes, Enterprise Internet Edge.

Këto janë dokumente disi të vjetruara. I prezantoj këtu sepse skemat dhe qasja themelore nuk kanë ndryshuar, por në të njëjtën kohë më pëlqen prezantimi më shumë se në dokumentacion i ri.

Pa ju inkurajuar që të përdorni zgjidhjet Cisco, unë ende mendoj se është e dobishme të studioni me kujdes këtë dizajn.

Ky artikull, si zakonisht, në asnjë mënyrë nuk pretendon të jetë i plotë, por është më tepër një shtesë e këtij informacioni.

Në fund të artikullit, ne do të analizojmë dizajnin e zyrës Cisco SAFE për sa i përket koncepteve të përshkruara këtu.

Parimet e përgjithshme

Dizajni i rrjetit të zyrave, natyrisht, duhet të plotësojë kërkesat e përgjithshme që janë diskutuar këtu në kapitullin “Kriteret për vlerësimin e cilësisë së projektimit”. Përveç çmimit dhe sigurisë, të cilat ne synojmë t'i diskutojmë në këtë artikull, ekzistojnë ende tre kritere që duhet t'i marrim parasysh kur dizajnojmë (ose bëjmë ndryshime):

  • shkallëzueshmëria
  • lehtësia e përdorimit (menaxhueshmëria)
  • disponueshmëria

Pjesa më e madhe e asaj që u diskutua qendrat e të dhënave Kjo vlen edhe për zyrën.

Por megjithatë, segmenti i zyrave ka specifikat e veta, të cilat janë kritike nga pikëpamja e sigurisë. Thelbi i kësaj specifike është se ky segment është krijuar për të ofruar shërbime rrjeti për punonjësit (si dhe partnerët dhe mysafirët) të kompanisë, dhe, si rezultat, në nivelin më të lartë të shqyrtimit të problemit kemi dy detyra:

  • mbrojnë burimet e kompanisë nga veprimet keqdashëse që mund të vijnë nga punonjësit (të ftuarit, partnerët) dhe nga softueri që ata përdorin. Kjo gjithashtu përfshin mbrojtjen kundër lidhjes së paautorizuar me rrjetin.
  • mbrojnë sistemet dhe të dhënat e përdoruesve

Dhe kjo është vetëm njëra anë e problemit (ose më mirë, një kulm i trekëndëshit). Nga ana tjetër është komoditeti i përdoruesit dhe çmimi i zgjidhjeve të përdorura.

Le të fillojmë duke parë se çfarë pret një përdorues nga një rrjet modern zyrash.

komoditet

Ja se si duken "komoditetet e rrjetit" për një përdorues zyre për mendimin tim:

  • lëvizshmëri
  • Aftësia për të përdorur gamën e plotë të pajisjeve dhe sistemeve operative të njohura
  • Qasje e lehtë në të gjitha burimet e nevojshme të kompanisë
  • Disponueshmëria e burimeve të internetit, duke përfshirë shërbime të ndryshme cloud
  • "Funksionimi i shpejtë" i rrjetit

E gjithë kjo vlen si për punonjësit ashtu edhe për të ftuarit (ose partnerët), dhe është detyrë e inxhinierëve të kompanisë të diferencojnë aksesin për grupe të ndryshme përdoruesish bazuar në autorizim.

Le të shohim secilin nga këto aspekte në pak më shumë detaje.

lëvizshmëri

Po flasim për mundësinë për të punuar dhe për të përdorur të gjitha burimet e nevojshme të kompanisë nga kudo në botë (sigurisht, ku interneti është i disponueshëm).

Kjo vlen plotësisht për zyrën. Kjo është e përshtatshme kur keni mundësinë të vazhdoni të punoni nga kudo në zyrë, për shembull, të merrni postë, të komunikoni në një mesazher të korporatës, të jeni të disponueshëm për një telefonatë video, ... Kështu, kjo ju lejon, nga njëra anë, për të zgjidhur disa çështje komunikimi "live" (për shembull, merrni pjesë në mitingje), dhe nga ana tjetër, jini gjithmonë në linjë, mbani gishtin mbi pulsin dhe zgjidhni shpejt disa detyra urgjente me prioritet të lartë. Kjo është shumë e përshtatshme dhe me të vërtetë përmirëson cilësinë e komunikimit.

Kjo arrihet me dizajnimin e duhur të rrjetit WiFi.

vërejtje

Këtu zakonisht lind pyetja: a mjafton të përdorësh vetëm WiFi? A do të thotë kjo se mund të ndaloni përdorimin e porteve Ethernet në zyrë? Nëse po flasim vetëm për përdoruesit, dhe jo për serverët, të cilët janë ende të arsyeshëm për t'u lidhur me një port të rregullt Ethernet, atëherë në përgjithësi përgjigja është: po, mund të kufizoni veten vetëm në WiFi. Por ka nuanca.

Ka grupe të rëndësishme përdoruesish që kërkojnë një qasje të veçantë. Këta janë, natyrisht, administratorë. Në parim, një lidhje WiFi është më pak e besueshme (përsa i përket humbjes së trafikut) dhe më e ngadaltë se një port i rregullt Ethernet. Kjo mund të jetë e rëndësishme për administratorët. Përveç kësaj, administratorët e rrjetit, për shembull, në parim mund të kenë rrjetin e tyre të dedikuar Ethernet për lidhje jashtë brezit.

Mund të ketë grupe/departamente të tjera në kompaninë tuaj për të cilat këta faktorë janë gjithashtu të rëndësishëm.

Ekziston një pikë tjetër e rëndësishme - telefonia. Ndoshta për ndonjë arsye nuk dëshironi të përdorni VoIP me valë dhe dëshironi të përdorni telefona IP me një lidhje të rregullt Ethernet.

Në përgjithësi, kompanitë për të cilat kam punuar zakonisht kishin lidhje WiFi dhe një port Ethernet.

Do të doja që lëvizshmëria të mos kufizohej vetëm në zyrë.

Për të siguruar aftësinë për të punuar nga shtëpia (ose çdo vend tjetër me internet të aksesueshëm), përdoret një lidhje VPN. Në të njëjtën kohë, është e dëshirueshme që punonjësit të mos ndiejnë dallimin midis punës nga shtëpia dhe punës në distancë, e cila supozon të njëjtën akses. Ne do të diskutojmë se si ta organizojmë këtë pak më vonë në kapitullin "Sistemi i unifikuar i vërtetimit dhe autorizimit i centralizuar".

vërejtje

Me shumë mundësi, nuk do të jeni në gjendje të ofroni plotësisht të njëjtën cilësi të shërbimeve për punë në distancë që keni në zyrë. Le të supozojmë se po përdorni një Cisco ASA 5520 si portën tuaj VPN. Sipas fletë të dhënash kjo pajisje është e aftë të "tretë" vetëm 225 Mbit të trafikut VPN. Kjo është, natyrisht, për sa i përket gjerësisë së brezit, lidhja përmes VPN është shumë e ndryshme nga puna nga zyra. Gjithashtu, nëse, për ndonjë arsye, vonesa, humbja, nervozizmi (për shembull, dëshironi të përdorni telefoninë IP të zyrës) për shërbimet e rrjetit tuaj janë të rëndësishme, gjithashtu nuk do të merrni të njëjtën cilësi sikur të ishit në zyrë. Prandaj, kur flasim për lëvizshmërinë, duhet të jemi të vetëdijshëm për kufizimet e mundshme.

Qasje e lehtë në të gjitha burimet e kompanisë

Kjo detyrë duhet të zgjidhet së bashku me departamentet e tjera teknike.
Situata ideale është kur përdoruesi duhet të vërtetojë vetëm një herë, dhe pas kësaj ai ka akses në të gjitha burimet e nevojshme.
Sigurimi i aksesit të lehtë pa sakrifikuar sigurinë mund të përmirësojë ndjeshëm produktivitetin dhe të reduktojë stresin midis kolegëve tuaj.

Vërejtje 1

Lehtësia e aksesit nuk ka të bëjë vetëm me atë se sa herë duhet të vendosni një fjalëkalim. Nëse, për shembull, në përputhje me politikën tuaj të sigurisë, për t'u lidhur nga zyra në qendrën e të dhënave, së pari duhet të lidheni me portën VPN dhe në të njëjtën kohë të humbni aksesin në burimet e zyrës, atëherë kjo është gjithashtu shumë , shumë i papërshtatshëm.

Vërejtje 2

Ka shërbime (për shembull, aksesi në pajisjet e rrjetit) ku ne zakonisht kemi serverët tanë të dedikuar AAA dhe kjo është norma kur në këtë rast duhet të vërtetojmë disa herë.

Disponueshmëria e burimeve të internetit

Interneti nuk është vetëm argëtim, por edhe një grup shërbimesh që mund të jenë shumë të dobishme për punë. Ka edhe faktorë thjesht psikologjikë. Një person modern është i lidhur me njerëzit e tjerë nëpërmjet internetit përmes shumë temave virtuale dhe, për mendimin tim, nuk ka asgjë të keqe nëse ai vazhdon ta ndjejë këtë lidhje edhe gjatë punës.

Nga pikëpamja e humbjes së kohës, nuk ka asgjë të keqe nëse një punonjës, për shembull, ka Skype në punë dhe shpenzon 5 minuta duke komunikuar me një të dashur nëse është e nevojshme.

A do të thotë kjo se interneti duhet të jetë gjithmonë i disponueshëm, a do të thotë kjo që punonjësit mund të kenë akses në të gjitha burimet dhe të mos i kontrollojnë ato në asnjë mënyrë?

Jo, sigurisht që nuk do të thotë. Niveli i hapjes së internetit mund të ndryshojë për kompani të ndryshme - nga mbyllja e plotë në hapjen e plotë. Ne do të diskutojmë mënyrat për të kontrolluar trafikun më vonë në seksionet mbi masat e sigurisë.

Aftësia për të përdorur gamën e plotë të pajisjeve të njohura

Është i përshtatshëm kur, për shembull, keni mundësinë të vazhdoni të përdorni të gjitha mjetet e komunikimit me të cilat jeni mësuar në punë. Nuk ka asnjë vështirësi në zbatimin teknikisht të kësaj. Për këtë ju duhet WiFi dhe një wilan i ftuar.

Është gjithashtu mirë nëse keni mundësinë të përdorni sistemin operativ me të cilin jeni mësuar. Por, sipas vëzhgimit tim, kjo zakonisht u lejohet vetëm menaxherëve, administratorëve dhe zhvilluesve.

Shembull

Sigurisht, mund të ndiqni rrugën e ndalimeve, të ndaloni aksesin në distancë, të ndaloni lidhjen nga pajisjet celulare, të kufizoni gjithçka në lidhjet statike Ethernet, të kufizoni aksesin në internet, të konfiskoni me detyrim telefonat celularë dhe pajisjet në pikën e kontrollit... dhe kjo rrugë në fakt ndiqet nga disa organizata me kërkesa të shtuara sigurie, dhe ndoshta në disa raste kjo mund të justifikohet, por... duhet të pranoni se kjo duket si një përpjekje për të ndaluar përparimin në një organizatë të vetme. Sigurisht, do të doja të kombinoja mundësitë që ofrojnë teknologjitë moderne me një nivel të mjaftueshëm sigurie.

"Funksionimi i shpejtë" i rrjetit

Shpejtësia e transferimit të të dhënave teknikisht përbëhet nga shumë faktorë. Dhe shpejtësia e portit tuaj të lidhjes zakonisht nuk është më e rëndësishmja. Funksionimi i ngadaltë i një aplikacioni nuk shoqërohet gjithmonë me probleme të rrjetit, por tani për tani na intereson vetëm pjesa e rrjetit. Problemi më i zakonshëm me "ngadalësimin" e rrjetit lokal lidhet me humbjen e paketave. Kjo zakonisht ndodh kur ka një pengesë ose probleme L1 (OSI). Më rrallë, me disa dizajne (për shembull, kur nënrrjetet tuaja kanë një mur zjarri si porta e paracaktuar dhe kështu i gjithë trafiku kalon përmes tij), performanca e harduerit mund të mungojë.

Prandaj, kur zgjidhni pajisjet dhe arkitekturën, duhet të lidhni shpejtësitë e portave fundore, trungut dhe performancës së pajisjeve.

Shembull

Le të supozojmë se po përdorni çelsin me porte 1 gigabit si ndërprerës të shtresave të aksesit. Ata janë të lidhur me njëri-tjetrin nëpërmjet kanalit Ether 2 x 10 gigabit. Si një portë e paracaktuar, ju përdorni një mur zjarri me porte gigabit, për t'u lidhur me rrjetin e zyrës L2, përdorni 2 porte gigabit të kombinuara në një kanal Ether.

Kjo arkitekturë është mjaft e përshtatshme nga pikëpamja funksionale, sepse... I gjithë trafiku kalon përmes murit të zjarrit, dhe ju mund të menaxhoni me lehtësi politikat e aksesit dhe të aplikoni algoritme komplekse për të kontrolluar trafikun dhe për të parandaluar sulmet e mundshme (shih më poshtë), por nga pikëpamja e xhiros dhe performancës, ky dizajn, natyrisht, ka probleme të mundshme. Kështu, për shembull, 2 hoste që shkarkojnë të dhëna (me një shpejtësi porti 1 gigabit) mund të ngarkojnë plotësisht një lidhje 2 gigabit me murin e zjarrit, dhe kështu të çojnë në degradim të shërbimit për të gjithë segmentin e zyrës.

Ne kemi parë një kulm të trekëndëshit, tani le të shohim se si mund të sigurojmë siguri.

Mjetet juridike

Pra, sigurisht, zakonisht dëshira jonë (ose më mirë, dëshira e menaxhmentit tonë) është të arrijmë të pamundurën, domethënë, të ofrojmë komoditet maksimal me siguri maksimale dhe kosto minimale.

Le të shohim se cilat metoda kemi për të siguruar mbrojtje.

Për zyrën, do të veçoja sa vijon:

  • Qasje zero besimi në dizajn
  • niveli i lartë i mbrojtjes
  • dukshmëria e rrjetit
  • sistem i unifikuar i centralizuar i vërtetimit dhe autorizimit
  • kontrollimi i hostit

Më tej, do të ndalemi pak më në detaje për secilin nga këto aspekte.

Zero besim

Bota e IT po ndryshon shumë shpejt. Vetëm gjatë 10 viteve të fundit, shfaqja e teknologjive dhe produkteve të reja ka çuar në një rishikim të madh të koncepteve të sigurisë. Dhjetë vjet më parë, nga pikëpamja e sigurisë, ne e segmentuam rrjetin në zona besimi, dmz dhe jo besimi, dhe përdorëm të ashtuquajturën "mbrojtje perimetrike", ku kishte 2 linja mbrojtjeje: untrust -> dmz dhe dmz -> besim. Gjithashtu, mbrojtja zakonisht kufizohej në listat e aksesit të bazuara në titujt L3/L4 (OSI) (IP, portet TCP/UDP, flamujt TCP). Gjithçka që lidhet me nivelet më të larta, duke përfshirë L7, iu la në dorë OS dhe produkteve të sigurisë të instaluara në hostet e fundit.

Tani situata ka ndryshuar në mënyrë dramatike. Koncept modern besim zero vjen nga fakti se nuk është më e mundur të konsiderohen si të besueshme sistemet e brendshme, pra ato që ndodhen brenda perimetrit, dhe vetë koncepti i perimetrit është bërë i paqartë.
Përveç lidhjes me internetin kemi edhe

  • Përdoruesit e VPN me qasje në distancë
  • pajisje të ndryshme personale, laptopë të sjellë, të lidhur me WiFi të zyrës
  • zyra të tjera (degë).
  • integrimi me infrastrukturën cloud

Si duket në praktikë qasja Zero Trust?

Idealisht, duhet të lejohet vetëm trafiku që kërkohet dhe, nëse flasim për një ideal, atëherë kontrolli duhet të jetë jo vetëm në nivelin L3/L4, por në nivelin e aplikimit.

Nëse, për shembull, keni aftësinë për të kaluar të gjithë trafikun përmes një muri zjarri, atëherë mund të përpiqeni t'i afroheni idealit. Por kjo qasje mund të zvogëlojë ndjeshëm gjerësinë totale të brezit të rrjetit tuaj, dhe përveç kësaj, filtrimi sipas aplikacionit nuk funksionon gjithmonë mirë.

Kur kontrolloni trafikun në një ruter ose ndërprerës L3 (duke përdorur ACL standarde), hasni probleme të tjera:

  • Ky është vetëm filtrim L3/L4. Asgjë nuk e ndalon një sulmues që të përdor portet e lejuara (p.sh. TCP 80) për aplikimin e tyre (jo http)
  • menaxhimi kompleks i ACL (i vështirë për t'u analizuar ACL-të)
  • Ky nuk është një mur zjarri i plotë shtetëror, që do të thotë se duhet të lejoni në mënyrë eksplicite trafikun e kundërt
  • me çelësat zakonisht jeni mjaft të kufizuar nga madhësia e TCAM, e cila mund të bëhet shpejt një problem nëse merrni qasjen "lejo vetëm atë që ju nevojitet".

vërejtje

Duke folur për trafikun e kundërt, duhet të kujtojmë se kemi mundësinë e mëposhtme (Cisco)

leje tcp ndonjë të vendosur

Por ju duhet të kuptoni se kjo linjë është e barabartë me dy rreshta:
leje tcp ndonjë ack
leje tcp ndonjë rst

Që do të thotë se edhe nëse nuk kishte asnjë segment fillestar TCP me flamurin SYN (d.m.th., sesioni TCP as që filloi të vendosej), kjo ACL do të lejojë një paketë me flamurin ACK, të cilën një sulmues mund ta përdorë për të transferuar të dhëna.

Kjo do të thotë, kjo linjë në asnjë mënyrë nuk e kthen ruterin tuaj ose ndërprerësin L3 në një mur zjarri të plotë.

Niveli i lartë i mbrojtjes

В artikull Në seksionin mbi qendrat e të dhënave, kemi shqyrtuar metodat e mëposhtme të mbrojtjes.

  • muri i zjarrit shtetëror (i parazgjedhur)
  • mbrojtje ddos/dos
  • muri i zjarrit i aplikacionit
  • parandalimi i kërcënimeve (antivirus, anti-spyware dhe cenueshmëria)
  • Filtrimi i URL-ve
  • filtrimi i të dhënave (filtrimi i përmbajtjes)
  • bllokimi i skedarëve (bllokimi i llojeve të skedarëve)

Në rastin e një zyre, situata është e ngjashme, por prioritetet janë paksa të ndryshme. Disponueshmëria (disponueshmëria) e zyrës zakonisht nuk është aq kritike sa në rastin e një qendre të dhënash, ndërsa gjasat e trafikut "të brendshëm" me qëllim të keq janë urdhra të përmasave më të larta.
Prandaj, metodat e mëposhtme të mbrojtjes për këtë segment bëhen kritike:

  • muri i zjarrit i aplikacionit
  • parandalimi i kërcënimeve (anti-virus, anti-spyware dhe cenueshmëria)
  • Filtrimi i URL-ve
  • filtrimi i të dhënave (filtrimi i përmbajtjes)
  • bllokimi i skedarëve (bllokimi i llojeve të skedarëve)

Edhe pse të gjitha këto metoda mbrojtëse, me përjashtim të murit të zjarrit të aplikacioneve, tradicionalisht janë zgjidhur dhe vazhdojnë të zgjidhen në hostet e fundit (për shembull, duke instaluar programe antivirus) dhe duke përdorur proxies, NGFW-të moderne gjithashtu ofrojnë këto shërbime.

Shitësit e pajisjeve të sigurisë përpiqen të krijojnë mbrojtje gjithëpërfshirëse, kështu që së bashku me mbrojtjen lokale, ata ofrojnë teknologji të ndryshme cloud dhe softuer klientësh për hostet (mbrojtja e pikës fundore/EPP). Kështu, për shembull, nga 2018 Gartner Magic Quadrant Ne shohim që Palo Alto dhe Cisco kanë EPP-të e tyre (PA: Traps, Cisco: AMP), por janë larg liderëve.

Aktivizimi i këtyre mbrojtjeve (zakonisht duke blerë licenca) në murin tuaj të zjarrit nuk është sigurisht i detyrueshëm (mund të shkoni në rrugën tradicionale), por ofron disa përfitime:

  • në këtë rast, ekziston një pikë e vetme e aplikimit të metodave të mbrojtjes, e cila përmirëson dukshmërinë (shih temën tjetër).
  • Nëse ka një pajisje të pambrojtur në rrjetin tuaj, atëherë ajo ende bie nën "ombrellën" e mbrojtjes së murit të zjarrit
  • Duke përdorur mbrojtjen e murit të zjarrit në lidhje me mbrojtjen e hostit të fundit, ne rrisim gjasat e zbulimit të trafikut me qëllim të keq. Për shembull, përdorimi i parandalimit të kërcënimit në hostet lokale dhe në një mur zjarri rrit gjasat e zbulimit (me kusht që, sigurisht, që këto zgjidhje të bazohen në produkte të ndryshme softuerike)

vërejtje

Nëse, për shembull, përdorni Kaspersky si një antivirus si në murin e zjarrit ashtu edhe në hostet e fundit, atëherë kjo, natyrisht, nuk do të rrisë shumë shanset tuaja për të parandaluar një sulm virusi në rrjetin tuaj.

Dukshmëria e rrjetit

Ideja qendrore është e thjeshtë - "shih" se çfarë po ndodh në rrjetin tuaj, si në kohë reale ashtu edhe në të dhëna historike.

Unë do ta ndaj këtë "vizion" në dy grupe:

Grupi i parë: çfarë ju ofron zakonisht sistemi juaj i monitorimit.

  • ngarkimi i pajisjeve
  • ngarkimi i kanaleve
  • përdorimin e kujtesës
  • përdorimi i diskut
  • ndryshimi i tabelës së rrugëtimit
  • statusi i lidhjes
  • disponueshmëria e pajisjeve (ose hosteve)
  • ...

Grupi dy: informacion lidhur me sigurinë.

  • lloje të ndryshme statistikash (për shembull, sipas aplikacionit, sipas trafikut të URL-së, çfarë lloje të të dhënave janë shkarkuar, të dhënat e përdoruesit)
  • çfarë u bllokua nga politikat e sigurisë dhe për çfarë arsye, përkatësisht
    • aplikimi i ndaluar
    • i ndaluar në bazë të ip/protokollit/portit/flamujve/zonave
    • parandalimi i kërcënimit
    • url filtrim
    • filtrimi i të dhënave
    • bllokimi i skedarëve
    • ...
  • statistikat mbi sulmet DOS/DDOS
  • përpjekje të dështuara për identifikim dhe autorizim
  • statistikat për të gjitha ngjarjet e mësipërme të shkeljes së politikës së sigurisë
  • ...

Në këtë kapitull mbi sigurinë na intereson pjesa e dytë.

Disa mure zjarri moderne (nga përvoja ime në Palo Alto) ofrojnë një nivel të mirë dukshmërie. Por, sigurisht, trafiku që ju intereson duhet të kalojë përmes këtij muri zjarri (në këtë rast ju keni mundësinë të bllokoni trafikun) ose të pasqyrohet në murin e zjarrit (përdoret vetëm për monitorim dhe analizë), dhe ju duhet të keni licenca për të mundësuar të gjitha këto shërbime.

Sigurisht, ekziston një mënyrë alternative, ose më mirë mënyra tradicionale, për shembull,

  • Statistikat e sesioneve mund të mblidhen nëpërmjet netflow dhe më pas të përdoren shërbime speciale për analizën e informacionit dhe vizualizimin e të dhënave
  • parandalimi i kërcënimeve – programe speciale (anti-virus, anti-spyware, firewall) në hostet fundorë
  • Filtrimi i URL-së, filtrimi i të dhënave, bllokimi i skedarëve – në përfaqësues
  • është gjithashtu e mundur të analizohet tcpdump duke përdorur p.sh. gërhij

Ju mund t'i kombinoni këto dy qasje, duke plotësuar veçoritë që mungojnë ose duke i dubluar ato për të rritur gjasat e zbulimit të një sulmi.

Cila qasje duhet të zgjidhni?
Shumë varet nga kualifikimet dhe preferencat e ekipit tuaj.
Si atje, ashtu edhe ka të mirat dhe të këqijat.

Sistemi i unifikuar i vërtetimit dhe autorizimit i centralizuar

Kur është projektuar mirë, lëvizshmëria që diskutuam në këtë artikull supozon se ju keni të njëjtën akses nëse punoni nga zyra ose nga shtëpia, nga aeroporti, nga një kafene ose kudo tjetër (me kufizimet që diskutuam më lart). Do të duket, cili është problemi?
Për të kuptuar më mirë kompleksitetin e kësaj detyre, le të shohim një dizajn tipik.

Shembull

  • Ju keni ndarë të gjithë punonjësit në grupe. Ju keni vendosur të siguroni akses sipas grupeve
  • Brenda zyrës, ju kontrolloni aksesin në murin e zjarrit të zyrës
  • Ju kontrolloni trafikun nga zyra në qendrën e të dhënave në murin e zjarrit të qendrës së të dhënave
  • Ju përdorni një Cisco ASA si një portë VPN dhe për të kontrolluar trafikun që hyn në rrjetin tuaj nga klientët në distancë, ju përdorni ACL lokale (në ASA).

Tani, le të themi se ju kërkohet të shtoni akses shtesë për një punonjës të caktuar. Në këtë rast, ju kërkohet të shtoni akses vetëm tek ai dhe askush tjetër nga grupi i tij.

Për këtë duhet të krijojmë një grup të veçantë për këtë punonjës, d.m.th

  • krijoni një grup të veçantë IP në ASA për këtë punonjës
  • shtoni një ACL të ri në ASA dhe lidheni atë me atë klient në distancë
  • krijoni politika të reja sigurie në muret e zjarrit të zyrave dhe qendrave të të dhënave

Është mirë nëse kjo ngjarje është e rrallë. Por në praktikën time kishte një situatë kur punonjësit merrnin pjesë në projekte të ndryshme, dhe ky grup projektesh për disa prej tyre ndryshonte mjaft shpesh, dhe nuk ishin 1-2 persona, por dhjetëra. Sigurisht, këtu duhet ndryshuar diçka.

Kjo u zgjidh në mënyrën e mëposhtme.

Ne vendosëm që LDAP do të ishte burimi i vetëm i së vërtetës që përcakton të gjitha akseset e mundshme të punonjësve. Ne krijuam të gjitha llojet e grupeve që përcaktojnë grupe aksesesh dhe caktuam çdo përdorues në një ose më shumë grupe.

Kështu, për shembull, supozoni se kishte grupe

  • mysafir (qasje në internet)
  • akses i përbashkët (qasja në burimet e përbashkëta: posta, baza e njohurive, ...)
  • kontabilitetit
  • projekti 1
  • projekti 2
  • administratori i bazës së të dhënave
  • administrator linux
  • ...

Dhe nëse njëri nga punonjësit ishte i përfshirë në projektin 1 dhe projektin 2, dhe ai kishte nevojë për aksesin e nevojshëm për të punuar në këto projekte, atëherë ky punonjës u caktua në grupet e mëposhtme:

  • mysafir
  • akses të përbashkët
  • projekti 1
  • projekti 2

Si mund ta kthejmë tani këtë informacion në akses në pajisjet e rrjetit?

Cisco ASA Dinamic Access Policy (DAP) (shih www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) zgjidhja është e duhura për këtë detyrë.

Shkurtimisht në lidhje me zbatimin tonë, gjatë procesit të identifikimit/autorizimit, ASA merr nga LDAP një grup grupesh që korrespondojnë me një përdorues të caktuar dhe "mbledh" nga disa ACL lokale (secila prej të cilave korrespondon me një grup) një ACL dinamike me të gjitha akseset e nevojshme. , e cila korrespondon plotësisht me dëshirat tona.

Por kjo është vetëm për lidhjet VPN. Për ta bërë situatën të njëjtë si për punonjësit e lidhur me VPN ashtu edhe për ata në zyrë, u ndërmor hapi i mëposhtëm.

Kur lidheni nga zyra, përdoruesit që përdorin protokollin 802.1x përfunduan ose në një LAN të ftuar (për mysafirët) ose në një LAN të përbashkët (për punonjësit e kompanisë). Më tej, për të marrë akses specifik (për shembull, në projekte në një qendër të dhënash), punonjësit duhej të lidheshin përmes VPN.

Për t'u lidhur nga zyra dhe nga shtëpia, grupe të ndryshme tunelesh janë përdorur në ASA. Kjo është e nevojshme në mënyrë që për ata që lidhen nga zyra, trafiku në burimet e përbashkëta (të përdorur nga të gjithë punonjësit, si posta, serverët e skedarëve, sistemi i biletave, dns, ...) të mos kalojë përmes ASA-së, por përmes rrjetit lokal. . Kështu, ne nuk e ngarkuam ASA-në me trafik të panevojshëm, përfshirë trafikun me intensitet të lartë.

Kështu, problemi u zgjidh.
Ne kemi

  • i njëjti grup aksesesh për të dy lidhjet nga zyra dhe lidhjet në distancë
  • mungesa e degradimit të shërbimit gjatë punës nga zyra e lidhur me transmetimin e trafikut me intensitet të lartë nëpërmjet ASA

Cilat janë avantazhet e tjera të kësaj qasjeje?
Në administrimin e aksesit. Qasjet mund të ndryshohen lehtësisht në një vend.
Për shembull, nëse një punonjës largohet nga kompania, atëherë thjesht e hiqni atë nga LDAP dhe ai automatikisht humbet të gjithë aksesin.

Kontrollimi i hostit

Me mundësinë e lidhjes në distancë, rrezikojmë të lejojmë jo vetëm një punonjës të kompanisë në rrjet, por edhe të gjithë softuerin keqdashës që ka shumë të ngjarë të jetë i pranishëm në kompjuterin e tij (për shembull, në shtëpi), dhe për më tepër, përmes këtij softueri ne mund të jetë duke i ofruar akses në rrjetin tonë një sulmuesi që përdor këtë host si një përfaqësues.

Ka kuptim që një host i lidhur në distancë të zbatojë të njëjtat kërkesa sigurie si një host në zyrë.

Kjo supozon gjithashtu versionin "korrekt" të softuerit dhe përditësimeve të sistemit operativ, anti-virus, anti-spyware dhe firewall. Në mënyrë tipike, kjo aftësi ekziston në portën VPN (për ASA shih, për shembull, këtu).

Është gjithashtu e mençur të aplikoni të njëjtat teknika të analizës dhe bllokimit të trafikut (shih "Niveli i lartë i mbrojtjes") që zbaton politika juaj e sigurisë për trafikun e zyrës.

Është e arsyeshme të supozohet se rrjeti juaj i zyrës nuk është më i kufizuar në ndërtesën e zyrës dhe hostet brenda saj.

Shembull

Një teknikë e mirë është t'i pajisni çdo punonjësi që kërkon qasje në distancë me një laptop të mirë dhe të përshtatshëm dhe t'i kërkohet të punojnë, si në zyrë ashtu edhe nga shtëpia, vetëm nga ai.

Jo vetëm që përmirëson sigurinë e rrjetit tuaj, por është gjithashtu vërtet i përshtatshëm dhe zakonisht shikohet në mënyrë të favorshme nga punonjësit (nëse është një laptop vërtet i mirë dhe i përshtatshëm për përdoruesit).

Rreth ndjenjës së proporcionit dhe ekuilibrit

Në thelb, kjo është një bisedë për kulmin e tretë të trekëndëshit tonë - për çmimin.
Le të shohim një shembull hipotetik.

Shembull

Ju keni një zyrë për 200 persona. Ju vendosët ta bëni atë sa më të përshtatshëm dhe sa më të sigurt.

Prandaj, vendosët të kaloni të gjithë trafikun përmes murit të zjarrit dhe kështu për të gjitha nënrrjetat e zyrës muri i zjarrit është porta e paracaktuar. Përveç softuerit të sigurisë të instaluar në çdo host fundor (software antivirus, anti-spyware dhe firewall), ju gjithashtu vendosët të aplikoni të gjitha metodat e mundshme të mbrojtjes në murin e zjarrit.

Për të siguruar shpejtësi të lartë lidhjeje (të gjitha për lehtësi), ju zgjodhët çelsat me 10 porte aksesi Gigabit si çelësa aksesi dhe muret e zjarrit NGFW me performancë të lartë si mure zjarri, për shembull, seritë Palo Alto 7K (me porte 40 Gigabit), natyrisht me të gjitha licencat përfshirë dhe, natyrisht, një palë me disponueshmëri të lartë.

Gjithashtu, sigurisht, për të punuar me këtë linjë pajisjesh na duhen të paktën disa inxhinierë sigurie të kualifikuar.

Më pas, vendosët t'i jepni secilit punonjës një laptop të mirë.

Gjithsej, rreth 10 milionë dollarë për zbatim, qindra mijëra dollarë (mendoj afër një milion) për mbështetje vjetore dhe paga për inxhinierët.

Zyra, 200 persona...
Të rehatshme? Unë mendoj se është po.

Ju vini me këtë propozim në menaxhmentin tuaj...
Ndoshta ka një sërë kompanish në botë për të cilat kjo është një zgjidhje e pranueshme dhe korrekte. Nëse jeni punonjës i kësaj kompanie, ju përgëzoj, por në shumicën dërrmuese të rasteve, jam i sigurt se njohuritë tuaja nuk do të vlerësohen nga menaxhmenti.

A është i ekzagjeruar ky shembull? Kapitulli tjetër do t'i përgjigjet kësaj pyetjeje.

Nëse në rrjetin tuaj nuk shihni asnjë nga sa më sipër, atëherë kjo është norma.
Për çdo rast specifik, ju duhet të gjeni kompromisin tuaj të arsyeshëm midis komoditetit, çmimit dhe sigurisë. Shpesh nuk ju nevojitet as NGFW në zyrën tuaj dhe mbrojtja L7 në murin e zjarrit nuk kërkohet. Mjafton të sigurohet një nivel i mirë i shikueshmërisë dhe sinjalizimeve, dhe kjo mund të bëhet duke përdorur produkte me burim të hapur, për shembull. Po, reagimi juaj ndaj një sulmi nuk do të jetë i menjëhershëm, por gjëja kryesore është se ju do ta shihni atë dhe me proceset e duhura në departamentin tuaj, do të jeni në gjendje ta neutralizoni shpejt atë.

Dhe më lejoni t'ju kujtoj se, sipas konceptit të kësaj serie artikujsh, ju nuk po dizajnoni një rrjet, por vetëm po përpiqeni të përmirësoni atë që keni marrë.

Analiza SAFE e arkitekturës së zyrës

Kushtojini vëmendje këtij sheshi të kuq me të cilin kam caktuar një vend në diagram Udhëzues i Arkitekturës së Sigurt të Kampusit SAFEtë cilat do të doja të diskutoja këtu.

Si të merrni kontrollin e infrastrukturës së rrjetit tuaj. Kapitulli i tretë. Siguria e rrjetit. Pjesa e tretë

Ky është një nga vendet kyçe të arkitekturës dhe një nga pasiguritë më të rëndësishme.

vërejtje

Unë kurrë nuk kam vendosur ose punuar me FirePower (nga linja e murit të zjarrit të Cisco - vetëm ASA), kështu që do ta trajtoj atë si çdo mur tjetër zjarri, si Juniper SRX ose Palo Alto, duke supozuar se ka të njëjtat aftësi.

Nga modelet e zakonshme, unë shoh vetëm 4 opsione të mundshme për përdorimin e një muri zjarri me këtë lidhje:

  • porta e paracaktuar për çdo nënrrjet është një ndërprerës, ndërsa muri i zjarrit është në modalitetin transparent (d.m.th., i gjithë trafiku kalon përmes tij, por nuk formon një hop L3)
  • porta e paracaktuar për çdo nënrrjet është nënndërfaqja e murit të zjarrit (ose ndërfaqet SVI), çelësi luan rolin e L2
  • VRF të ndryshme përdoren në çelës, dhe trafiku ndërmjet VRF-ve kalon përmes murit të zjarrit, trafiku brenda një VRF kontrollohet nga ACL në çelës
  • i gjithë trafiku pasqyrohet në murin e zjarrit për analizë dhe monitorim; trafiku nuk kalon nëpër të

Vërejtje 1

Kombinimet e këtyre opsioneve janë të mundshme, por për thjeshtësi ne nuk do t'i konsiderojmë ato.

Shënim 2

Ekziston edhe mundësia e përdorimit të PBR (arkitektura e zinxhirit të shërbimit), por tani për tani kjo, megjithëse një zgjidhje e bukur për mendimin tim, është mjaft ekzotike, kështu që nuk po e konsideroj këtu.

Nga përshkrimi i flukseve në dokument, shohim që trafiku ende kalon nëpër murin e zjarrit, domethënë, në përputhje me modelin Cisco, opsioni i katërt eliminohet.

Le të shohim së pari dy opsionet e para.
Me këto opsione, i gjithë trafiku kalon përmes murit të zjarrit.

Tani le të shohim fletë të dhënash, shiko Cisco GPL dhe shohim që nëse duam që gjerësia e brezit total për zyrën tonë të jetë të paktën rreth 10 - 20 gigabit, atëherë duhet të blejmë versionin 4K.

vërejtje

Kur flas për gjerësinë totale të brezit, nënkuptoj trafikun midis nën-rrjeteve (dhe jo brenda një vilana).

Nga GPL shohim se për HA Bundle with Threat Defense, çmimi në varësi të modelit (4110 - 4150) varion nga ~0,5 - 2,5 milion dollarë.

Kjo do të thotë, dizajni ynë fillon të ngjajë me shembullin e mëparshëm.

A do të thotë kjo që ky dizajn është i gabuar?
Jo, kjo nuk do të thotë. Cisco ju jep mbrojtjen më të mirë të mundshme bazuar në linjën e produkteve që ka. Por kjo nuk do të thotë se është një gjë e domosdoshme për ju.

Në parim, kjo është një pyetje e zakonshme që lind gjatë projektimit të një zyre ose qendre të dhënash, dhe kjo do të thotë vetëm se duhet kërkuar një kompromis.

Për shembull, mos lejoni që i gjithë trafiku të kalojë përmes një muri zjarri, në të cilin rast opsioni 3 më duket mjaft i mirë, ose (shih seksionin e mëparshëm) ndoshta nuk keni nevojë për Mbrojtjen nga Kërcënimi ose nuk keni nevojë fare për një mur zjarri në atë segmentin e rrjetit, dhe thjesht duhet të kufizoheni në monitorimin pasiv duke përdorur zgjidhje me pagesë (jo të shtrenjta) ose me burim të hapur, ose keni nevojë për një mur zjarri, por nga një shitës tjetër.

Zakonisht ekziston gjithmonë kjo pasiguri dhe nuk ka një përgjigje të qartë se cili vendim është më i miri për ju.
Ky është kompleksiteti dhe bukuria e kësaj detyre.

Burimi: www.habr.com

Shto një koment