ПроХостер > блог > Администрација > Како преузети контролу над вашом мрежном инфраструктуром. Треће поглавље. Мрежна безбедност. Трећи део

Како преузети контролу над вашом мрежном инфраструктуром. Треће поглавље. Мрежна безбедност. Трећи део

Овај чланак је пети у серији „Како преузети контролу над својом мрежном инфраструктуром“. Садржај свих чланака у серији и линкови се могу пронаћи овде.

Овај део ће бити посвећен кампусу (канцеларији) и ВПН сегментима за даљински приступ.

Како преузети контролу над вашом мрежном инфраструктуром. Треће поглавље. Мрежна безбедност. Трећи део

Дизајн канцеларијске мреже може изгледати лако.

Заиста, узимамо Л2/Л3 прекидаче и повезујемо их једни са другима. Затим вршимо основно подешавање вилана и подразумеваних гатеваи-а, постављамо једноставно рутирање, повезујемо ВиФи контролере, приступне тачке, инсталирамо и конфигуришемо АСА за даљински приступ, драго нам је да је све функционисало. У суштини, као што сам већ написао у једном од претходних чланци овог циклуса, скоро сваки студент који је похађао (и научио) два семестра курса телекомуникација може да дизајнира и конфигурише канцеларијску мрежу тако да „некако функционише“.

Али што више научите, овај задатак почиње да изгледа мање једноставан. Мени лично ова тема, тема дизајна канцеларијских мрежа, не делује нимало једноставно, а у овом чланку покушаћу да објасним зашто.

Укратко, постоји доста фактора које треба узети у обзир. Често су ови фактори у сукобу једни са другима и мора се тражити разуман компромис.
Ова неизвесност је главна потешкоћа. Дакле, када је реч о безбедности, имамо троугао са три темена: безбедност, погодност за запослене, цена решења.
И сваки пут морате тражити компромис између ово троје.

архитектура

Као пример архитектуре за ова два сегмента, као иу претходним чланцима, препоручујем Цисцо САФЕ модел: Ентерприсе Цампус, Ентерприсе Интернет Едге.

Ово су помало застарели документи. Овде их представљам јер се основне шеме и приступ нису променили, али ми се истовремено више свиђа презентација него у нова документација.

Без охрабривања да користите Цисцо решења, ипак мислим да је корисно пажљиво проучити овај дизајн.

Овај чланак, као и обично, ни на који начин не претендује да је потпун, већ је пре додатак овој информацији.

На крају чланка, анализираћемо дизајн Цисцо САФЕ канцеларије у смислу овде наведених концепата.

Општи принципи

Дизајн канцеларијске мреже мора, наравно, да задовољи опште захтеве о којима је било речи овде у поглављу „Критеријуми за оцењивање квалитета пројектовања”. Поред цене и безбедности, о којима намеравамо да разговарамо у овом чланку, још увек постоје три критеријума које морамо узети у обзир приликом пројектовања (или измена):

  • прилагодљивост
  • једноставност употребе (управљивост)
  • доступност

Много тога о чему се разговарало дата центри Ово важи и за канцеларију.

Али ипак, канцеларијски сегмент има своје специфичности, које су критичне са безбедносне тачке гледишта. Суштина ове специфичности је да је овај сегмент креиран за пружање мрежних услуга запосленима (као и партнерима и гостима) компаније, а као резултат тога, на највишем нивоу сагледавања проблема имамо два задатка:

  • заштити ресурсе компаније од злонамерних радњи које могу доћи од запослених (гости, партнера) и од софтвера који користе. Ово такође укључује заштиту од неовлашћеног повезивања на мрежу.
  • заштити системе и корисничке податке

А ово је само једна страна проблема (тачније, један врх троугла). На другој страни је погодност корисника и цена коришћених решења.

Почнимо тако што ћемо погледати шта корисник очекује од модерне канцеларијске мреже.

Установе

Ево како по мом мишљењу изгледају „мрежне погодности“ за канцеларијског корисника:

  • Мобилност
  • Могућност коришћења читавог спектра познатих уређаја и оперативних система
  • Лак приступ свим потребним ресурсима компаније
  • Доступност Интернет ресурса, укључујући разне услуге у облаку
  • „Брзи рад” мреже

Све ово важи и за запослене и за госте (или партнере), а задатак инжењера компаније је да разликују приступ за различите групе корисника на основу ауторизације.

Хајде да погледамо сваки од ових аспеката мало детаљније.

Мобилност

Говоримо о могућности рада и коришћења свих потребних ресурса компаније са било ког места у свету (наравно, тамо где је интернет доступан).

Ово се у потпуности односи на канцеларију. Ово је згодно када имате прилику да наставите да радите са било ког места у канцеларији, на пример, примате пошту, комуницирате у корпоративном месинџеру, будете доступни за видео позив,... Дакле, ово вам омогућава, с једне стране, да решите неке проблеме „уживо” комуникацијом (на пример, учествујете на скуповима), а са друге стране, будите увек онлајн, држите прст на пулсу и брзо решите неке хитне задатке високог приоритета. Ово је веома згодно и заиста побољшава квалитет комуникације.

Ово се постиже правилним дизајном ВиФи мреже.

Напомена

Овде се обично поставља питање: да ли је довољно користити само ВиФи? Да ли то значи да можете престати да користите Етхернет портове у канцеларији? Ако говоримо само о корисницима, а не о серверима, које је и даље разумно да се повежу са обичним Етхернет портом, онда је генерално одговор: да, можете се ограничити само на ВиФи. Али постоје нијансе.

Постоје важне групе корисника које захтевају посебан приступ. То су, наравно, администратори. У принципу, ВиФи веза је мање поуздана (у смислу губитка саобраћаја) и спорија од обичног Етхернет порта. Ово може бити значајно за администраторе. Поред тога, мрежни администратори, на пример, могу, у принципу, да имају сопствену наменску Етхернет мрежу за ванпојасни везе.

Можда постоје и друге групе/одељења у вашој компанији за које су ови фактори такође важни.

Постоји још једна важна тачка - телефонија. Можда из неког разлога не желите да користите бежични ВоИП и желите да користите ИП телефоне са редовном Етхернет везом.

Генерално, компаније у којима сам радио обично су имале и ВиФи конекцију и Етхернет порт.

Волео бих да мобилност не буде ограничена само на канцеларију.

Да би се обезбедила могућност рада од куће (или било ког другог места са доступним Интернетом), користи се ВПН веза. Истовремено, пожељно је да запослени не осећају разлику између рада од куће и рада на даљину, што подразумева исти приступ. Разговараћемо о томе како то организовати мало касније у поглављу „Јединствени централизовани систем аутентификације и ауторизације“.

Напомена

Највероватније нећете моћи у потпуности да пружите исти квалитет услуга за даљински рад који имате у канцеларији. Претпоставимо да користите Цисцо АСА 5520 као свој ВПН мрежни пролаз дата схеет овај уређај је способан да „свари“ само 225 Мбит ВПН саобраћаја. То је, наравно, у погледу пропусног опсега, повезивање преко ВПН-а се веома разликује од рада из канцеларије. Такође, ако су из неког разлога кашњење, губитак, подрхтавање (на пример, желите да користите канцеларијску ИП телефонију) значајни за ваше мрежне услуге, такође нећете добити исти квалитет као да сте у канцеларији. Стога, када говоримо о мобилности, морамо бити свесни могућих ограничења.

Лак приступ свим ресурсима компаније

Овај задатак треба решавати заједно са другим техничким одељењима.
Идеална ситуација је када корисник треба само једном да се аутентификује, а након тога има приступ свим потребним ресурсима.
Омогућавање лаког приступа без жртвовања сигурности може значајно побољшати продуктивност и смањити стрес међу вашим колегама.

Напомена 1

Лакоћа приступа није само у томе колико пута морате да унесете лозинку. Ако, на пример, у складу са вашом безбедносном политиком, да бисте се повезали из канцеларије са дата центром, прво морате да се повежете на ВПН гејтвеј, а истовремено изгубите приступ канцеларијским ресурсима, онда је и ово веома , веома незгодно.

Напомена 2

Постоје услуге (на пример, приступ мрежној опреми) где обично имамо сопствене наменске ААА сервере и то је норма када у овом случају морамо више пута да се аутентификујемо.

Доступност Интернет ресурса

Интернет није само забава, већ и скуп услуга које могу бити веома корисне за рад. Постоје и чисто психолошки фактори. Савремени човек је повезан са другим људима преко интернета кроз многе виртуелне нити и, по мом мишљењу, нема ничег лошег ако настави да осећа ту везу и док ради.

Са становишта губљења времена, нема ништа лоше ако запослени, на пример, има покренут Скипе и проведе 5 минута у комуникацији са вољеном особом ако је потребно.

Да ли то значи да Интернет увек треба да буде доступан, да ли то значи да запослени могу да имају приступ свим ресурсима и да их не контролишу ни на који начин?

Не не значи то, наравно. Ниво отворености Интернета може да варира за различите компаније – од потпуног затварања до потпуне отворености. О начинима контроле саобраћаја ћемо разговарати касније у одељцима о безбедносним мерама.

Могућност коришћења читавог спектра познатих уређаја

Згодно је када, на пример, имате прилику да наставите да користите сва средства комуникације на која сте навикли на послу. Нема потешкоћа у техничкој имплементацији овога. За ово вам је потребан ВиФи и вилан за госте.

Такође је добро ако имате прилику да користите оперативни систем на који сте навикли. Али, по мом запажању, ово је обично дозвољено само менаџерима, администраторима и програмерима.

Пример

Можете, наравно, ићи путем забрана, забранити даљински приступ, забранити повезивање са мобилних уређаја, ограничити све на статичне етернет везе, ограничити приступ интернету, принудно одузети мобилне телефоне и геџете на контролном пункту... и овај пут заправо прате неке организације са повећаним безбедносним захтевима, и можда у неким случајевима то може бити оправдано, али... морате се сложити да ово изгледа као покушај да се заустави напредак у једној организацији. Наравно, желео бих да комбинујем могућности које пружају савремене технологије са довољним нивоом безбедности.

„Брзи рад” мреже

Брзина преноса података технички се састоји од много фактора. А брзина вашег порта за везу обично није најважнија. Спор рад апликације није увек повезан са мрежним проблемима, али за сада нас занима само мрежни део. Најчешћи проблем са "успоравањем" локалне мреже је везан за губитак пакета. Ово се обично дешава када постоји уско грло или проблеми Л1 (ОСИ). Ређе, код неких дизајна (на пример, када ваше подмреже имају заштитни зид као подразумевани гатеваи и стога сав саобраћај пролази кроз њега), перформансе хардвера можда недостају.

Стога, када бирате опрему и архитектуру, потребно је да повежете брзине крајњих портова, транкова и перформанси опреме.

Пример

Претпоставимо да користите прекидаче са 1 гигабитним портовима као прекидаче слоја приступа. Они су међусобно повезани преко Етхерцханнел 2 к 10 гигабита. Као подразумевани мрежни пролаз, користите заштитни зид са гигабитним портовима, да бисте га повезали са Л2 канцеларијском мрежом, користите 2 гигабитна порта комбинована у Етхерцханнел.

Ова архитектура је прилично згодна са тачке гледишта функционалности, јер... Сав саобраћај пролази кроз заштитни зид, а ви можете удобно управљати политикама приступа и примењивати сложене алгоритме за контролу саобраћаја и спречавање могућих напада (погледајте доле), али са становишта пропусности и перформанси овај дизајн, наравно, има потенцијалне проблеме. Тако, на пример, 2 хоста који преузимају податке (са брзином порта од 1 гигабита) могу у потпуности да учитају 2 гигабитну везу на заштитни зид и тако доведу до деградације услуге за цео сегмент канцеларије.

Погледали смо један врх троугла, сада погледајмо како можемо осигурати сигурност.

Лекови

Дакле, наравно, обично је наша жеља (или боље речено, жеља нашег менаџмента) да постигнемо немогуће, односно да обезбедимо максималну удобност уз максималну сигурност и минималне трошкове.

Хајде да погледамо које методе имамо да обезбедимо заштиту.

За канцеларију бих истакао следеће:

  • приступ дизајну без поверења
  • висок ниво заштите
  • видљивост мреже
  • јединствени централизовани систем аутентификације и ауторизације
  • провера домаћина

Затим ћемо се задржати мало детаљније на сваком од ових аспеката.

Зеро Труст

ИТ свет се веома брзо мења. Само у последњих 10 година, појава нових технологија и производа довела је до велике ревизије безбедносних концепата. Прије десет година, са сигурносне тачке гледишта, сегментирали смо мрежу на зоне повјерења, дмз и неповјерења и користили такозвану „заштиту периметра“, гдје су постојале 2 линије одбране: неповјерење -> дмз и дмз -> поверење. Такође, заштита је обично била ограничена на листе приступа засноване на Л3/Л4 (ОСИ) заглављима (ИП, ТЦП/УДП портови, ТЦП заставице). Све у вези са вишим нивоима, укључујући Л7, препуштено је оперативном систему и безбедносним производима инсталираним на крајњим хостовима.

Сада се ситуација драматично променила. Модеран концепт нулто поверење произилази из чињенице да унутрашње системе, односно оне који се налазе унутар периметра више није могуће сматрати поузданим, а сам концепт периметра је постао замагљен.
Поред интернет конекције имамо и

  • удаљени приступ ВПН корисницима
  • разни лични геџети, донети лаптопи, повезани преко канцеларијског ВиФи-а
  • друге (филијале) канцеларије
  • интеграција са инфраструктуром облака

Како приступ Зеро Труст изгледа у пракси?

У идеалном случају, треба дозволити само саобраћај који је потребан и, ако говоримо о идеалном, онда контрола треба да буде не само на нивоу Л3/Л4, већ на нивоу апликације.

Ако, на пример, имате могућност да сав саобраћај прођете кроз заштитни зид, онда можете покушати да се приближите идеалу. Али овај приступ може значајно смањити укупни пропусни опсег ваше мреже, а осим тога, филтрирање према апликацији не функционише увек добро.

Када контролишете саобраћај на рутеру или Л3 прекидачу (користећи стандардне АЦЛ-ове), наилазите на друге проблеме:

  • Ово је само Л3/Л4 филтрирање. Ништа не спречава нападача да користи дозвољене портове (нпр. ТЦП 80) за своју апликацију (не хттп)
  • сложено управљање АЦЛ-овима (тешко за рашчлањивање АЦЛ-ова)
  • Ово није заштитни зид са пуним стањем, што значи да морате експлицитно да дозволите обрнути саобраћај
  • са прекидачима сте обично прилично строго ограничени величином ТЦАМ-а, што може брзо да постане проблем ако примените приступ „дозволите само оно што вам треба“

Напомена

Говорећи о обрнутом саобраћају, морамо имати на уму да имамо следећу прилику (Цисцо)

дозволи тцп било који установљен

Али морате да схватите да је ова линија еквивалентна двема линијама:
дозволи тцп било који ацк
дозволи тцп било који први

Што значи да чак и ако није постојао почетни ТЦП сегмент са СИН заставицом (то јест, ТЦП сесија није ни почела да се успоставља), овај АЦЛ ће дозволити пакет са АЦК заставицом, који нападач може да користи за пренос података.

То јест, ова линија ни на који начин не претвара ваш рутер или Л3 прекидач у заштитни зид са пуним стањем.

Висок ниво заштите

В Чланак У одељку о центрима података размотрили смо следеће методе заштите.

  • заштитни зид са стањем (подразумевано)
  • ддос/дос заштита
  • заштитни зид апликација
  • превенција претњи (антивирус, анти-шпијунски софтвер и рањивост)
  • Филтрирање УРЛ-а
  • филтрирање података (филтрирање садржаја)
  • блокирање датотека (блокирање типова датотека)

У случају канцеларије, ситуација је слична, али су приоритети мало другачији. Доступност (доступност) канцеларије обично није толико критична као у случају дата центра, док је вероватноћа „интерног“ злонамерног саобраћаја за редове величине већа.
Стога, следеће методе заштите за овај сегмент постају критичне:

  • заштитни зид апликација
  • спречавање претњи (анти-вирус, анти-шпијунски софтвер и рањивост)
  • Филтрирање УРЛ-а
  • филтрирање података (филтрирање садржаја)
  • блокирање датотека (блокирање типова датотека)

Иако су све ове методе заштите, са изузетком заштитног зида апликација, традиционално биле и настављају да се решавају на крајњим хостовима (на пример, инсталирањем антивирусних програма) и коришћењем проксија, савремени НГФВ-ови такође пружају ове услуге.

Продавци сигурносне опреме настоје да створе свеобухватну заштиту, па уз локалну заштиту нуде различите технологије у облаку и клијентски софтвер за хостове (заштита крајње тачке/ЕПП). Тако, на пример, од Гартнер Магиц Куадрант 2018 Видимо да Пало Алто и Цисцо имају своје ЕПП (ПА: Трапс, Цисцо: АМП), али су далеко од лидера.

Омогућавање ове заштите (обично куповином лиценци) на вашем заштитном зиду наравно није обавезно (можете ићи традиционалним путем), али пружа неке предности:

  • у овом случају постоји једна тачка примене метода заштите, која побољшава видљивост (види следећу тему).
  • Ако на вашој мрежи постоји незаштићени уређај, он и даље спада под „кишобран“ заштите заштитног зида
  • Коришћењем заштите заштитног зида у комбинацији са заштитом крајњег хоста, повећавамо вероватноћу откривања злонамерног саобраћаја. На пример, коришћење превенције претњи на локалним хостовима и на заштитном зиду повећава вероватноћу откривања (наравно, под условом да су ова решења заснована на различитим софтверским производима)

Напомена

Ако, на пример, користите Касперски као антивирус и на заштитном зиду и на крајњим хостовима, онда то, наравно, неће много повећати ваше шансе да спречите напад вируса на вашу мрежу.

Мрежна видљивост

централна идеја је једноставно - „видите“ шта се дешава на вашој мрежи, у реалном времену и историјским подацима.

Ову „визију“ бих поделио у две групе:

Група прва: оно што вам обично пружа ваш систем за праћење.

  • утовар опреме
  • учитавање канала
  • употреба меморије
  • коришћење диска
  • промена табеле рутирања
  • статус везе
  • доступност опреме (или домаћина)
  • ...

Група два: информације везане за безбедност.

  • разне врсте статистике (на пример, према апликацији, према УРЛ саобраћају, које врсте података су преузете, подаци корисника)
  • шта је блокирано безбедносним политикама и из ког разлога, наиме
    • забрањена примена
    • забрањено на основу ип/протокола/порта/заставица/зона
    • спречавање претњи
    • УРЛ филтрирање
    • филтрирање података
    • блокирање датотека
    • ...
  • статистика о ДОС/ДДОС нападима
  • неуспели покушаји идентификације и ауторизације
  • статистике за све горе наведене догађаје кршења безбедносне политике
  • ...

У овом поглављу о безбедности занима нас други део.

Неки модерни заштитни зидови (из мог искуства у Пало Алту) пружају добар ниво видљивости. Али, наравно, саобраћај који вас занима мора проћи кроз овај заштитни зид (у том случају имате могућност да блокирате саобраћај) или пресликан на заштитни зид (користи се само за праћење и анализу), и морате имати лиценце да бисте омогућили све ове услуге.

Постоји, наравно, алтернативни начин, односно традиционални начин, нпр.

  • Статистика сесије се може прикупити преко нетфлов-а, а затим користити посебне услужне програме за анализу информација и визуелизацију података
  • превенција претњи – специјални програми (анти-вирус, анти-спиваре, фиревалл) на крајњим хостовима
  • Филтрирање УРЛ-а, филтрирање података, блокирање датотека – на проксију
  • такође је могуће анализирати тцпдумп користећи нпр. фркнути

Можете комбиновати ова два приступа, допуњавајући недостајуће функције или их дуплирајући да бисте повећали вероватноћу откривања напада.

Који приступ треба изабрати?
У великој мери зависи од квалификација и преференција вашег тима.
И ту и тамо има предности и мане.

Јединствени централизовани систем аутентификације и ауторизације

Када је добро осмишљена, мобилност о којој смо говорили у овом чланку претпоставља да имате исти приступ било да радите из канцеларије или од куће, са аеродрома, из кафића или било где другде (уз ограничења о којима смо горе говорили). Чини се, у чему је проблем?
Да бисмо боље разумели сложеност овог задатка, погледајмо типичан дизајн.

Пример

  • Поделили сте све запослене у групе. Одлучили сте да омогућите приступ по групама
  • Унутар канцеларије контролишете приступ на канцеларијском заштитном зиду
  • Ви контролишете саобраћај од канцеларије до дата центра на заштитном зиду дата центра
  • Користите Цисцо АСА као ВПН гатеваи и да контролишете саобраћај који улази у вашу мрежу са удаљених клијената, користите локалне (на АСА) АЦЛ-ове

Сада, рецимо да се од вас тражи да додате додатни приступ одређеном запосленом. У овом случају, од вас се тражи да додате приступ само њему и никоме другом из његове групе.

За ово морамо да направимо посебну групу за овог запосленог, тј

  • креирајте посебан ИП скуп на АСА за овог запосленог
  • додајте нови АЦЛ на АСА и повежите га са тим удаљеним клијентом
  • креирајте нове безбедносне политике на заштитним зидовима канцеларија и центара података

Добро је ако је овај догађај реткост. Али у мојој пракси постојала је ситуација када су запослени учествовали у различитим пројектима, а овај скуп пројеката за неке од њих се често мењао, и то није било 1-2 особе, већ десетине. Наравно, ту је требало нешто променити.

Ово је решено на следећи начин.

Одлучили смо да ЛДАП буде једини извор истине који одређује све могуће приступе запослених. Направили смо све врсте група које дефинишу скупове приступа и сваког корисника смо доделили једној или више група.

Дакле, на пример, претпоставимо да постоје групе

  • гост (приступ интернету)
  • заједнички приступ (приступ заједничким ресурсима: пошта, база знања, ...)
  • рачуноводство
  • пројекат КСНУМКС
  • пројекат КСНУМКС
  • Администратор базе
  • линук администратор
  • ...

А ако је неко од запослених био укључен и у пројекат 1 и у пројекат 2, а њему је био потребан приступ неопходан за рад на овим пројектима, онда је овај запослени распоређен у следеће групе:

  • гост
  • заједнички приступ
  • пројекат КСНУМКС
  • пројекат КСНУМКС

Како сада можемо ове информације претворити у приступ мрежној опреми?

Цисцо АСА Политика динамичког приступа (ДАП) (погледајте ввв.цисцо.цом/ц/ен/ус/суппорт/доцс/сецурити/аса-5500-к-сериес-нект-генератион-фиреваллс/108000-дап-деплои-гуиде.хтмл) решење је тачно за овај задатак.

Укратко о нашој имплементацији, током процеса идентификације/ауторизације, АСА прима од ЛДАП-а скуп група које одговарају датом кориснику и „прикупља“ од неколико локалних АЦЛ-ова (од којих сваки одговара групи) динамички АЦЛ са свим потребним приступима , што у потпуности одговара нашим жељама.

Али ово је само за ВПН везе. Да би ситуација била иста за запослене повезане преко ВПН-а и оне у канцеларији, предузет је следећи корак.

Приликом повезивања из канцеларије, корисници који користе 802.1к протокол завршили су или у гостујућој ЛАН (за госте) или дељеној ЛАН (за запослене у компанији). Даље, да би добили одређени приступ (на пример, пројектима у дата центру), запослени су морали да се повежу преко ВПН-а.

За повезивање из канцеларије и од куће, на АСА су коришћене различите групе тунела. Ово је неопходно како за оне који се повезују из канцеларије, саобраћај ка дељеним ресурсима (које користе сви запослени, као што су пошта, фајл сервери, тикет систем, днс,...) не би ишао преко АСА, већ преко локалне мреже . Дакле, АСА нисмо оптеретили непотребним саобраћајем, укључујући и саобраћај високог интензитета.

Тиме је проблем решен.
Имамо

  • исти скуп приступа за обе везе из канцеларије и удаљене везе
  • одсуство деградације услуге при раду из канцеларије повезано са преносом саобраћаја високог интензитета преко АСА

Које су још предности овог приступа?
У администрацији приступа. Приступи се могу лако променити на једном месту.
На пример, ако запослени напусти компанију, онда га једноставно уклоните из ЛДАП-а и он аутоматски губи сваки приступ.

Провера домаћина

Са могућношћу даљинског повезивања, ризикујемо да дозволимо не само запосленом компаније у мрежу, већ и сав злонамерни софтвер који је врло вероватно присутан на његовом рачунару (на пример, код куће), а штавише, преко овог софтвера ми можда пружа приступ нашој мрежи нападачу који користи овај хост као прокси.

Има смисла да удаљени повезани хост примењује исте безбедносне захтеве као и хост у канцеларији.

Ово такође претпоставља „исправну“ верзију оперативног система, антивирусни, анти-шпијунски софтвер и софтвер и ажурирања за заштитни зид. Обично ова могућност постоји на ВПН мрежном пролазу (за АСА погледајте, на пример, овде).

Такође је мудро применити исте технике анализе саобраћаја и блокирања (погледајте „Високи ниво заштите“) које ваша безбедносна политика примењује на канцеларијски саобраћај.

Разумно је претпоставити да ваша канцеларијска мрежа више није ограничена на пословну зграду и домаћине у њој.

Пример

Добра техника је да се сваком запосленом коме је потребан даљински приступ обезбеди добар, згодан лаптоп и захтева од њега да ради, како у канцеларији тако и од куће, само са њега.

Не само да побољшава безбедност ваше мреже, већ је и заиста згодан и запослени га обично позитивно гледају (ако се ради о стварно добром лаптопу прилагођеном кориснику).

О осећају за меру и равнотежу

У суштини, ово је разговор о трећем врху нашег троугла - о цени.
Погледајмо хипотетички пример.

Пример

Имате канцеларију за 200 људи. Одлучили сте да га учините што згоднијим и сигурнијим.

Стога сте одлучили да сав саобраћај прођете кроз заштитни зид и тако за све канцеларијске подмреже заштитни зид је подразумевани пролаз. Поред безбедносног софтвера инсталираног на сваком крајњем хосту (антивирусни, анти-шпијунски софтвер и софтвер заштитног зида), такође сте одлучили да примените све могуће методе заштите на заштитном зиду.

Да бисте обезбедили велику брзину везе (све ради погодности), изабрали сте прекидаче са 10 гигабитних приступних портова као приступне прекидаче и НГФВ заштитне зидове високих перформанси као заштитне зидове, на пример, Пало Алто 7К серију (са 40 гигабитних портова), наравно са свим лиценцама укључен и, наравно, пар високе доступности.

Такође, наравно, за рад са овом линијом опреме потребно нам је бар неколико висококвалификованих безбедносних инжењера.

Затим сте одлучили да сваком запосленом дате добар лаптоп.

Укупно, око 10 милиона долара за имплементацију, стотине хиљада долара (мислим да је близу милион) за годишњу подршку и плате за инжењере.

Канцеларија, 200 људи...
Удобан? Ваљда је да.

Долазите са овим предлогом свом руководству...
Можда постоји неколико компанија у свету за које је ово прихватљиво и исправно решење. Ако сте запослени у овој компанији, честитам, али у великој већини случајева, сигуран сам да ваше знање неће бити цењено од стране менаџмента.

Да ли је овај пример преувеличан? Следеће поглавље ће одговорити на ово питање.

Ако на вашој мрежи не видите ништа од горе наведеног, онда је то норма.
За сваки конкретан случај, морате пронаћи свој разуман компромис између погодности, цене и сигурности. Често вам ни не треба НГФВ у вашој канцеларији, а Л7 заштита на заштитном зиду није потребна. Довољно је обезбедити добар ниво видљивости и упозорења, а то се може урадити помоћу производа отвореног кода, на пример. Да, ваша реакција на напад неће бити тренутна, али најважније је да ћете то видети и да ћете са одговарајућим процесима у вашем одељењу моћи брзо да је неутралишете.

И да вас подсетим да, по концепту ове серије чланака, ви не дизајнирате мрежу, већ само покушавате да побољшате оно што сте добили.

СИГУРНА анализа канцеларијске архитектуре

Обратите пажњу на овај црвени квадрат са којим сам доделио место на дијаграму Водич за архитектуру САФЕ Сецуре Цампусо чему бих желео да разговарам овде.

Како преузети контролу над вашом мрежном инфраструктуром. Треће поглавље. Мрежна безбедност. Трећи део

Ово је једно од кључних места архитектуре и једна од најважнијих неизвесности.

Напомена

Никада нисам постављао нити радио са ФиреПовер-ом (из Цисцо-ове линије заштитног зида - само АСА), тако да ћу га третирати као било који други заштитни зид, као што је Јунипер СРКС или Пало Алто, под претпоставком да има исте могућности.

Од уобичајених дизајна, видим само 4 могуће опције за коришћење заштитног зида са овом везом:

  • подразумевани гатеваи за сваку подмрежу је прекидач, док је заштитни зид у транспарентном режиму (то јест, сав саобраћај иде кроз њега, али не формира Л3 скок)
  • подразумевани гејтвеј за сваку подмрежу су подинтерфејси заштитног зида (или СВИ интерфејси), прекидач игра улогу Л2
  • различити ВРФ-ови се користе на прекидачу, а саобраћај између ВРФ-ова иде кроз заштитни зид, саобраћај унутар једног ВРФ-а контролише АЦЛ на комутатору
  • сав саобраћај се пресликава на заштитни зид ради анализе и надгледања; саобраћај не пролази кроз њега

Напомена 1

Могуће су комбинације ових опција, али их због једноставности нећемо разматрати.

Ноте 2

Постоји и могућност коришћења ПБР (архитектуре ланца услуга), али за сада је ово, иако лепо решење по мом мишљењу, прилично егзотично, тако да га овде не разматрам.

Из описа токова у документу видимо да саобраћај и даље иде кроз фиревалл, односно, у складу са Цисцо дизајном, четврта опција је елиминисана.

Хајде да прво погледамо прве две опције.
Са овим опцијама, сав саобраћај пролази кроз заштитни зид.

Сада изгледа дата схеет, погледај Цисцо ГПЛ и видимо да ако желимо да укупни пропусни опсег за нашу канцеларију буде најмање око 10 - 20 гигабита, онда морамо да купимо 4К верзију.

Напомена

Када говорим о укупном пропусном опсегу, мислим на саобраћај између подмрежа (а не унутар једне вилане).

Из ГПЛ-а видимо да за ХА Бундле са одбраном од претњи цена у зависности од модела (4110 - 4150) варира од ~0,5 - 2,5 милиона долара.

То јест, наш дизајн почиње да личи на претходни пример.

Да ли то значи да је овај дизајн погрешан?
Не, то не значи то. Цисцо вам пружа најбољу могућу заштиту на основу линије производа коју има. Али то не значи да је то обавезно за вас.

У принципу, ово је уобичајено питање које се поставља приликом пројектовања канцеларије или дата центра, а то само значи да треба тражити компромис.

На пример, не дозволите да сав саобраћај пролази кроз заштитни зид, у ком случају ми се опција 3 чини прилично добром, или (погледајте претходни одељак) можда вам није потребна одбрана од претњи или вам уопште не треба заштитни зид на томе мрежни сегмент, а ви само треба да се ограничите на пасивно надгледање користећи плаћена (не скупа) или решења отвореног кода, или вам је потребан заштитни зид, али другог произвођача.

Обично увек постоји та неизвесност и нема јасног одговора која је одлука најбоља за вас.
Ово је сложеност и лепота овог задатка.

Извор: ввв.хабр.цом

Додај коментар