ProHoster > Blog > Administrasi > Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian hiji

Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian hiji

Tulisan ieu mangrupikeun anu katilu dina séri tulisan "Kumaha Ngadalikeun Infrastruktur Jaringan anjeun." Eusi sadaya artikel dina séri sareng tautan tiasa dipendakan di dieu.

Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian hiji

Henteu aya gunana ngobrol ngeunaan ngaleungitkeun résiko kaamanan lengkep. Sacara prinsip, urang moal bisa ngurangan kana enol. Urang ogé kedah ngartos yén nalika urang narékahan pikeun ngajantenkeun jaringan langkung aman, solusi urang janten langkung mahal. Anjeun kudu neangan trade-off antara ongkos, pajeulitna, jeung kaamanan nu asup akal pikeun jaringan Anjeun.

Tangtosna, desain kaamanan sacara organik diintegrasikeun kana arsitéktur umum sareng solusi kaamanan anu dianggo mangaruhan skalabilitas, réliabilitas, kamampuan, ... infrastruktur jaringan, anu ogé kedah dipertimbangkeun.

Tapi hayu atuh ngingetkeun yén ayeuna urang teu ngobrol ngeunaan nyieun jaringan. Numutkeun urang kaayaan awal Kami parantos milih desain, milih alat-alat, sareng nyiptakeun infrastruktur, sareng dina tahap ieu, upami mungkin, urang kedah "hirup" sareng milarian solusi dina konteks pendekatan anu dipilih sateuacana.

Tugas urang ayeuna nyaéta pikeun ngaidentipikasi résiko anu aya hubunganana sareng kaamanan dina tingkat jaringan sareng ngiranganana ka tingkat anu wajar.

Inok kaamanan jaringan

Upami organisasi anjeun parantos ngalaksanakeun prosés ISO 27k, maka pamariksaan kaamanan sareng parobihan jaringan kedah pas kana prosés umum dina pendekatan ieu. Tapi standar ieu masih teu ngeunaan solusi husus, teu ngeunaan konfigurasi, teu ngeunaan desain ... Aya henteu nasihat jelas-cut, euweuh standar dictating di jéntré kumaha jaringan anjeun kedah kawas, ieu téh pajeulitna jeung kageulisan tugas ieu.

Kuring bakal nyorot sababaraha kamungkinan audit kaamanan jaringan:

  • audit konfigurasi peralatan (hardening)
  • audit desain kaamanan
  • aksés audit
  • prosés audit

Audit konfigurasi peralatan (hardening)

Sigana yén dina kalolobaan kasus ieu mangrupikeun titik awal anu pangsaéna pikeun ngaudit sareng ningkatkeun kaamanan jaringan anjeun. IMHO, ieu téh demonstrasi hade hukum Pareto urang (20% usaha ngahasilkeun 80% hasilna, jeung sésana 80% usaha ngahasilkeun ngan 20% hasilna).

Intina nyaéta yén urang biasana ngagaduhan saran ti anu ngical paralatan ngeunaan "prakték pangsaéna" pikeun kaamanan nalika ngonpigurasikeun alat. Ieu disebut "hardening".

Anjeun oge bisa mindeng manggihan kuesioner (atawa nyieun hiji sorangan) dumasar kana saran ieu, nu bakal nulungan urang nangtukeun kumaha ogé konfigurasi pakakas anjeun luyu jeung ieu "prakték pangalusna" na, luyu jeung hasilna, nyieun parobahan dina jaringan anjeun. . Ieu bakal ngidinan Anjeun pikeun nyata ngurangan resiko kaamanan cukup gampang, dina ampir euweuh ongkos.

Sababaraha conto pikeun sababaraha sistem operasi Cisco.

Cisco ios Konfigurasi Hardening
Cisco ios-XR Konfigurasi Hardening
Cisco NX-OS Konfigurasi Hardening
Daptar Cék Kaamanan Cisco Baseline

Dumasar kana dokumén ieu, daptar syarat konfigurasi pikeun unggal jinis alat tiasa didamel. Contona, pikeun Cisco N7K VDC sarat ieu bisa kasampak kawas janten.

Ku cara kieu, file konfigurasi bisa dijieun pikeun tipena béda pakakas aktip dina infrastruktur jaringan Anjeun. Salajengna, sacara manual atanapi nganggo automation, anjeun tiasa "munggah" file konfigurasi ieu. Kumaha cara ngajadikeun otomatis prosés ieu bakal dibahas sacara rinci dina séri tulisan sanés ngeunaan orkestrasi sareng otomatisasi.

Inok desain kaamanan

Biasana, jaringan perusahaan ngandung bagéan di handap ieu dina hiji bentuk atanapi anu sanés:

  • DC (DMZ jasa publik sareng pusat data Intranet)
  • aksés Internét
  • VPN aksés jauh
  • tepi WAN
  • cabang
  • Kampus (Kantor)
  • inti

Judul dicokot tina Cisco AMAN model, tapi teu perlu, tangtosna, napel persis kana ngaran ieu jeung model ieu. Leungit, abdi hoyong ngobrol ngeunaan hakekat sarta teu meunang bogged handap dina formalities.

Pikeun unggal bagéan ieu, syarat kaamanan, résiko sareng, sasuai, solusi bakal béda.

Hayu urang tingali masing-masing masing-masing pikeun masalah anu anjeun tiasa patepang tina sudut pandang desain kaamanan. Tangtosna, kuring ngulang deui yén tulisan ieu henteu pura-pura lengkep, anu henteu gampang (upami teu mungkin) pikeun dihontal dina topik anu jero sareng multifaceted ieu, tapi éta ngagambarkeun pangalaman pribadi kuring.

Henteu aya solusi anu sampurna (sahenteuna henteu acan). Éta salawasna kompromi. Tapi hal anu penting yén kaputusan ngagunakeun hiji pendekatan atawa sejen dijieun sadar, kalawan pamahaman duanana pro jeung kontra.

data Center

Bagéan anu paling kritis tina sudut pandang kaamanan.
Sareng, sapertos biasa, teu aya solusi universal di dieu ogé. Eta sadayana gumantung pisan kana sarat jaringan.

Naha firewall perlu atanapi henteu?

Éta sigana yén jawabanna écés, tapi sadayana henteu jelas sakumaha sigana. Jeung pilihan Anjeun bisa dipangaruhan teu ngan harga.

Conto 1. reureuh.

Lamun latency low mangrupa sarat penting antara sababaraha bagéan jaringan, nu, contona, leres dina kasus bursa, urang moal bisa ngagunakeun firewalls antara bagéan ieu. Hésé milarian studi ngeunaan latency di firewalls, tapi sababaraha model switch bisa nyadiakeun latency kirang ti atawa dina urutan 1 mksec, jadi Jigana lamun microseconds penting pikeun anjeun, lajeng firewalls henteu keur anjeun.

Conto 2. Kinerja.

The throughput switch L3 luhur biasana mangrupa urutan gedena leuwih luhur ti throughput tina firewalls pangkuatna. Ku alatan éta, dina kasus lalulintas-inténsitas tinggi, anjeun ogé bakal paling dipikaresep kudu ngidinan lalulintas ieu bypass firewalls.

Conto 3. Réliabilitas.

Firewalls, utamana NGFW modern (FW Generasi salajengna) mangrupakeun alat kompléks. Aranjeunna langkung kompleks tibatan saklar L3 / L2. Aranjeunna nyayogikeun sajumlah ageung jasa sareng pilihan konfigurasi, janten henteu heran yén réliabilitasna langkung handap. Upami kontinuitas jasa penting pikeun jaringan, maka anjeun kedah milih naon anu bakal ngakibatkeun kasadiaan anu langkung saé - kaamanan sareng firewall atanapi kesederhanaan jaringan anu diwangun dina saklar (atanapi sababaraha jinis lawon) nganggo ACL biasa.

Dina kasus conto di luhur, anjeun bakal paling dipikaresep (saperti biasa) kudu manggihan kompromi a. Tingali kana solusi di handap ieu:

  • Upami anjeun mutuskeun henteu nganggo firewall di jero pusat data, maka anjeun kedah mikirkeun kumaha ngawatesan aksés kana perimeter saloba mungkin. Salaku conto, anjeun ngan ukur tiasa muka palabuhan anu diperyogikeun tina Internét (pikeun lalu lintas klien) sareng aksés administrasi ka pusat data ngan ukur tina host luncat. Dina jump host, laksanakeun sadaya pamariksaan anu diperyogikeun (auténtikasi/otorisasi, antipirus, logging, ...)
  • anjeun tiasa nganggo partisi logis tina jaringan pusat data kana bagéan, sami sareng skéma anu dijelaskeun dina PSEFABRIC conto p002. Dina hal ieu, routing kudu ngonpigurasi dina cara sapertos nu lalulintas reureuh-sénsitip atawa inténsitas tinggi mana "dina" hiji bagean (dina kasus p002, VRF) jeung teu ngaliwatan firewall nu. Lalu lintas antara bagéan anu béda-béda bakal terus ngalangkungan firewall. Anjeun oge bisa make jalur bocor antara VRFs ulah alihan lalulintas ngaliwatan firewall nu
  • Anjeun oge bisa make firewall dina modeu transparan sarta ngan pikeun maranéhanana VLANs mana faktor ieu (latency / kinerja) teu signifikan. Tapi anjeun kedah taliti diajar larangan anu aya hubunganana sareng pamakean mod ieu pikeun unggal padagang
  • Anjeun meureun hoyong mertimbangkeun ngagunakeun arsitéktur ranté jasa. Ieu bakal ngidinan ukur lalulintas diperlukeun ngaliwatan firewall nu. Sigana saé dina téori, tapi kuring henteu pernah ningali solusi ieu dina produksi. Urang diuji ranté jasa pikeun Cisco ACI / Juniper SRX / F5 LTM ngeunaan 3 sababaraha taun ka pengker, tapi dina waktos anu sareng leyuran ieu seemed "kasar" pikeun urang.

Tingkat panyalindungan

Ayeuna anjeun kedah ngajawab patarosan naon alat anu anjeun hoyong pake pikeun nyaring lalu lintas. Ieu sababaraha fitur anu biasana aya dina NGFW (contona, di dieu):

  • firewall stateful (standar)
  • aplikasi firewall
  • pencegahan ancaman (antivirus, anti spyware, sareng kerentanan)
  • nyaring URL
  • nyaring data (saringan eusi)
  • meungpeuk file (meungpeuk tipe file)
  • panyalindungan dos

Sareng henteu sadayana terang ogé. Sigana nu leuwih luhur tingkat panyalindungan, nu hadé. Tapi anjeun ogé kedah mertimbangkeun éta

  • Langkung seueur fungsi firewall di luhur anu anjeun anggo, langkung mahal hargana (lisensi, modul tambahan)
  • pamakéan sababaraha algoritma nyata bisa ngurangan throughput firewall sarta ogé ngaronjatkeun reureuh, tingali contona di dieu
  • Sapertos solusi anu kompleks, pamakean metode panyalindungan kompleks tiasa ngirangan réliabilitas solusi anjeun, contona, nalika nganggo firewall aplikasi, kuring mendakan blokir sababaraha aplikasi anu cukup standar (dns, smb)

Sakumaha biasa, anjeun kedah milarian solusi anu pangsaéna pikeun jaringan anjeun.

Teu mungkin pikeun ngajawab sual naon fungsi panyalindungan mungkin diperlukeun. Firstly, sabab tangtu gumantung kana data anjeun ngirimkeun atawa nyimpen jeung nyoba ngajaga. Kadua, kanyataanna, sering pilihan alat kaamanan mangrupikeun masalah iman sareng kapercayaan ka anu ngajual. Anjeun teu nyaho algoritma, anjeun teu nyaho kumaha éféktif aranjeunna, jeung anjeun teu tiasa pinuh nguji aranjeunna.

Ku alatan éta, dina bagéan kritis, leyuran alus bisa jadi ngagunakeun nawaran ti pausahaan béda. Contona, anjeun tiasa ngaktipkeun antipirus dina firewall, tapi ogé ngagunakeun panyalindungan antipirus (ti produsén séjén) lokal dina host.

Segmentasi

Urang ngobrol ngeunaan segmentation logis tina jaringan puseur data. Salaku conto, ngabagi kana VLAN sareng subnet ogé mangrupikeun ségméntasi logis, tapi urang moal nganggap éta kusabab écésna. Segmentasi anu pikaresepeun nyandak éntitas sapertos zona kaamanan FW, VRFs (sareng analogna anu aya hubunganana sareng sababaraha padagang), alat logis (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Conto ségméntasi logis sapertos sareng desain pusat data paménta ayeuna dirumuskeun dina p002 tina proyék PSEFABRIC.

Saatos netepkeun bagian logis tina jaringan anjeun, anjeun teras tiasa ngajelaskeun kumaha lalu lintas ngalir antara bagéan anu béda-béda, dimana nyaring alat bakal dilakukeun sareng ku cara naon.

Upami jaringan anjeun henteu ngagaduhan partisi logis anu jelas sareng aturan pikeun nerapkeun kawijakan kaamanan pikeun aliran data anu béda-béda henteu diformalkeun, ieu hartosna nalika anjeun muka aksés ieu atanapi éta, anjeun kapaksa ngabéréskeun masalah ieu, sareng kamungkinan anu luhur anjeun. bakal ngajawab eta unggal waktu béda.

Seringna segmentasi ngan ukur dumasar kana zona kaamanan FW. Teras anjeun kedah ngajawab patarosan ieu:

  • zona kaamanan naon anu anjeun peryogikeun
  • tingkat panyalindungan naon anu anjeun hoyong terapkeun ka unggal zona ieu
  • bakal lalulintas intra-zone diwenangkeun sacara standar?
  • lamun henteu, naon kawijakan nyaring lalulintas bakal dilarapkeun dina unggal zone
  • kawijakan panyaring lalulintas naon anu bakal diterapkeun pikeun unggal pasangan zona (sumber/tujuan)

TCAM

Masalah umum nyaéta TCAM anu teu cekap (Memori Ternary Content Addressable), boh pikeun rute sareng aksés. IMHO, ieu mangrupikeun salah sahiji masalah anu paling penting nalika milih alat, janten anjeun kedah ngarawat masalah ieu kalayan perawatan anu pas.

Conto 1. Neraskeun Table TCAM.

Hayu urang mertimbangkeun Palo Alto 7k firewall
Urang nempo yén IPv4 diteruskeun ukuran tabel * = 32K
Leuwih ti éta, jumlah ruteu ieu umum pikeun sakabéh VSYSs.

Hayu urang nganggap yén nurutkeun desain anjeun mutuskeun pikeun ngagunakeun 4 VSYS.
Unggal VSYS ieu disambungkeun via BGP ka dua MPLS PEs awan nu Anjeun pake salaku BB. Ku kituna, 4 VSYS tukeur sagala ruteu husus saling sarta boga tabel diteruskeun jeung kira susunan sarua ruteu (tapi NHs béda). Sabab unggal VSYS boga 2 sesi BGP (kalawan setélan sarua), lajeng unggal jalur narima via MPLS boga 2 NH jeung, sasuai, 2 éntri FIB dina Neraskeun Table. Lamun urang nganggap yén ieu téh hijina firewall di puseur data sarta kudu nyaho ngeunaan sagala ruteu, lajeng ieu bakal hartosna yén total jumlah ruteu di puseur data urang teu bisa leuwih ti 32K / (4 * 2) = 4K.

Ayeuna, lamun urang nganggap yen urang boga 2 puseur data (kalawan desain sarua), sarta kami hoyong nganggo VLANs "stretched" antara puseur data (contona, pikeun vMotion), lajeng pikeun ngajawab masalah routing, urang kudu make ruteu host. . Tapi ieu ngandung harti yén pikeun 2 puseur data urang moal boga leuwih ti 4096 mungkin host na, tangtosna, ieu bisa jadi teu cukup.

Conto 2. ACL TCAM.

Lamun rencana pikeun nyaring lalulintas dina saklar L3 (atawa solusi séjén anu ngagunakeun saklar L3, Contona, Cisco ACI), lajeng nalika milih alat Anjeun kudu nengetan TCAM ACL.

Anggap rék ngadalikeun aksés dina interfaces SVI of Cisco katalis 4500. Lajeng, sakumaha bisa ditempo ti Artikel ieu, Pikeun ngadalikeun lalulintas kaluar (ogé asup) on interfaces, anjeun tiasa nganggo ukur 4096 TCAM garis. Nu lamun maké TCAM3 bakal mere Anjeun ngeunaan 4000 sarébu ACEs (garis ACL).

Upami anjeun nyanghareupan masalah TCAM anu teu cekap, maka, mimitina, tangtosna, anjeun kedah mertimbangkeun kamungkinan optimasi. Janten, upami aya masalah sareng ukuran Tabel Neraskeun, anjeun kedah mertimbangkeun kamungkinan ngahijikeun rute. Upami aya masalah sareng ukuran TCAM pikeun aksés, aksés Inok, cabut rékaman anu luntur sareng tumpang tindih, sareng kamungkinan ngarévisi prosedur pikeun muka aksés (bakal dibahas sacara rinci dina bab ngeunaan aksés audit).

kasadiaan tinggi

pertanyaan anu: Kuring kudu make HA pikeun firewalls atanapi install dua kotak bebas "dina paralel" na, lamun salah sahijina gagal, lalulintas jalur ngaliwatan kadua?

Ieu bakal sigana yen jawaban atra - pamakéan HA. Alesan naha patarosan ieu masih timbul éta, hanjakalna, téoritis jeung pariwara 99 sarta sababaraha percentages decimal of diakses dina praktekna tétéla jadi jauh ti kitu rosy. HA logis rada hal kompléks, sarta dina alat béda, tur kalawan ngical paralatan béda (teu aya iwal), urang bray masalah jeung bug sarta layanan eureun.

Lamun make HA, anjeun bakal boga kasempetan pikeun mareuman titik individu, pindah antara aranjeunna tanpa stopping jasa, nu penting, contona, nalika nyieun upgrades, tapi dina waktos anu sareng anjeun boga probability tebih ti enol yén duanana titik. bakal megatkeun dina waktos anu sareng, sarta ogé yén pamutahiran salajengna moal jadi mulus sakumaha janji ngajual (masalah ieu bisa dihindari lamun boga kasempetan pikeun nguji pamutahiran on parabot laboratorium).

Upami anjeun henteu nganggo HA, maka tina sudut pandang gagal ganda résiko anjeun langkung handap (sabab anjeun gaduh 2 firewall mandiri), tapi saprak ... sesi teu nyingkronkeun, lajeng unggal waktos Anjeun pindah antara firewalls ieu anjeun bakal leungit lalulintas. Anjeun tiasa, tangtosna, ngagunakeun firewall stateless, tapi lajeng titik pamakéan firewall a leungit.

Ku alatan éta, lamun salaku hasil tina Inok anjeun geus kapanggih firewalls ngalamun, jeung anjeun mikir ngeunaan ngaronjatkeun reliabiliti jaringan anjeun, lajeng HA, tangtosna, mangrupa salah sahiji solusi dianjurkeun, tapi ogé kudu tumut kana akun kalemahan pakait. kalayan pendekatan ieu sareng, sigana, khusus pikeun jaringan anjeun, solusi anu sanés bakal langkung cocog.

Kamampuhan

Sacara prinsip, HA ogé ngeunaan controllability. Gantina ngonpigurasikeun 2 kotak sacara misah sareng ngatasi masalah ngajaga konfigurasi singkronisasi, anjeun ngatur éta saolah-olah anjeun gaduh hiji alat.

Tapi panginten anjeun gaduh seueur pusat data sareng seueur firewall, teras patarosan ieu timbul dina tingkat anu énggal. Jeung patarosan henteu ngan ngeunaan konfigurasi, tapi ogé ngeunaan

  • konfigurasi cadangan
  • apdet
  • pamutahiran
  • ngawaskeun
  • logging

Sareng sadaya ieu tiasa direngsekeun ku sistem manajemen terpusat.

Janten, contona, upami anjeun nganggo firewall Palo Alto, teras Panorama nyaeta solusi sapertos.

Terus dituluykeun.

sumber: www.habr.com

Tambahkeun komentar