ProHoster > Blog > Administrasi > Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian katilu
Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian katilu
Tulisan ieu mangrupikeun kalima dina séri "Kumaha Ngadalikeun Infrastruktur Jaringan anjeun." Eusi sadaya artikel dina séri sareng tautan tiasa dipendakan di dieu.
Bagian ieu bakal dikhususkeun ka Kampus (Kantor) & Segmen VPN aksés Jauh.
Desain jaringan kantor sigana gampang.
Mémang, urang nyandak saklar L2 / L3 teras sambungkeun ka unggal anu sanés. Salajengna, urang ngalaksanakeun setelan dasar tina vilans na gateways standar, nyetél routing basajan, sambungkeun controller WiFi, titik aksés, install sarta ngonpigurasikeun ASA pikeun aksés jauh, kami bungah yén sagalana digawé. Dasarna, sakumaha anu kuring parantos nyerat dina salah sahiji sateuacana artikel Dina siklus ieu, ampir unggal murid anu ngahadiran (sareng diajar) dua seméster tina kursus telekomunikasi tiasa ngarancang sareng ngonpigurasikeun jaringan kantor supados "kumaha waé jalanna."
Tapi beuki anjeun diajar, nu kirang basajan tugas ieu mimiti sigana. Pikeun kuring pribadi, topik ieu, topik desain jaringan kantor, teu sigana basajan pisan, sarta dina artikel ieu kuring baris coba ngajelaskeun naha.
Pondokna, aya rada sababaraha faktor mertimbangkeun. Seringna faktor-faktor ieu saling bertentangan sareng kompromi anu wajar kedah dipilarian.
Kateupastian ieu mangrupikeun kasusah utama. Janten, nyarios ngeunaan kaamanan, urang gaduh segitiga kalayan tilu titik: kaamanan, genah pikeun karyawan, harga solusi.
Sareng unggal waktos anjeun kedah milarian kompromi antara tilu ieu.
Ieu mangrupikeun dokumén anu rada luntur. Kuring nampilkeun aranjeunna di dieu kusabab skéma dasar sareng pendekatan henteu robih, tapi dina waktos anu sami kuring resep presentasi langkung ti di dokuméntasi anyar.
Tanpa nyorong anjeun nganggo solusi Cisco, kuring masih nyangka éta mangpaat pikeun diajar sacara saksama desain ieu.
Tulisan ieu, sapertos biasa, henteu pura-pura lengkep, tapi langkung seueur tambahan pikeun inpormasi ieu.
Dina ahir tulisan, urang bakal nganalisis desain kantor Cisco SAFE dina watesan konsép anu digariskeun di dieu.
prinsip umum
Rarancang jaringan kantor, tangtosna, kedah nyumponan sarat umum anu parantos dibahas di dieu dina bab "Kriteria pikeun meunteun kualitas desain". Salian harga sareng kaamanan, anu urang badé bahas dina tulisan ieu, masih aya tilu kritéria anu kedah dipertimbangkeun nalika ngarancang (atanapi ngarobih):
skalabilitas
betah pamakéan (managability)
kasadiaan
Loba naon ieu dibahas pikeun puseur data Ieu ogé bener keur kantor.
Tapi tetep, bagéan kantor gaduh spésifikna sorangan, anu kritis tina sudut pandang kaamanan. Hakekat spésifisitas ieu nyaéta yén bagéan ieu didamel pikeun nyayogikeun jasa jaringan ka karyawan (sareng mitra sareng tamu) perusahaan, sareng, salaku hasilna, dina tingkat pertimbangan anu paling luhur, kami ngagaduhan dua tugas:
ngajaga sumber daya perusahaan tina tindakan jahat anu asalna ti karyawan (tamu, mitra) sareng tina parangkat lunak anu aranjeunna anggo. Ieu ogé kalebet panyalindungan ngalawan sambungan anu teu sah ka jaringan.
ngajaga sistem sareng data pangguna
Sarta ieu ngan hiji sisi masalah (atawa rada, hiji vertex segitiga). Di sisi séjén nyaéta genah pangguna sareng harga solusi anu dianggo.
Hayu urang mimitian ku ningali naon anu diarepkeun pangguna tina jaringan kantor modern.
Fasilitas
Kieu kumaha "fasilitas jaringan" sapertos pikeun pangguna kantor dina pendapat kuring:
Mobilitas
Kamampuhan pikeun ngagunakeun rentang pinuh alat akrab jeung sistem operasi
Aksés gampang ka sadaya sumber daya perusahaan anu diperyogikeun
Kasadiaan sumber Internét, kalebet rupa-rupa jasa awan
"Operasi gancang" tina jaringan
Sadaya ieu manglaku ka karyawan sareng tamu (atanapi mitra), sareng éta tugas insinyur perusahaan pikeun ngabédakeun aksés pikeun grup pangguna anu béda dumasar kana otorisasina.
Hayu urang nempo unggal aspék ieu dina leuwih jéntré saeutik.
Mobilitas
Urang keur diajak ngobrol ngeunaan kasempetan pikeun digawé sarta ngagunakeun sagala sumberdaya parusahaan diperlukeun ti mana di dunya (tangtu, dimana Internet sadia).
Ieu sapinuhna manglaku ka kantor. Ieu merenah lamun anjeun boga kasempetan pikeun neruskeun gawe ti mana wae di kantor, contona, narima surat, komunikasi dina utusan perusahaan, sadia pikeun nelepon video, ... Ku kituna, ieu ngidinan Anjeun, di hiji sisi, pikeun ngabéréskeun sababaraha masalah komunikasi "hirup" (Contona, ilubiung dina unjuk rasa), sarta di sisi séjén, jadi salawasna online, tetep ramo dina pulsa jeung gancang ngajawab sababaraha urgent tugas-prioritas tinggi. Ieu pisan merenah tur bener ngaronjatkeun kualitas komunikasi.
Ieu kahontal ku desain jaringan WiFi ditangtoskeun.
nyarios
Di dieu patarosan biasana timbul: éta cukup ngagunakeun ngan WiFi? Naha ieu hartosna anjeun tiasa ngeureunkeun nganggo palabuhan Ethernet di kantor? Upami urang ngan ukur nyarioskeun ngeunaan pangguna, sanés ngeunaan server, anu masih lumayan pikeun nyambung ka port Ethernet biasa, maka sacara umum jawabanna nyaéta: enya, anjeun ngan ukur tiasa ngawatesan diri ka WiFi. Tapi aya nuances.
Aya grup pamaké penting anu merlukeun pendekatan misah. Ieu, tangtosna, pangurus. Sacara prinsip, sambungan WiFi kirang dipercaya (dina hal leungitna lalulintas) jeung laun ti port Ethernet biasa. Ieu tiasa penting pikeun pangurus. Sajaba ti éta, administrator jaringan, contona, bisa, prinsipna mah, boga jaringan Ethernet dedicated sorangan pikeun sambungan kaluar-of-band.
Bisa jadi aya grup/departemén séjén di perusahaan anjeun anu faktor ieu ogé penting.
Aya titik penting séjén - telepon. Panginten kusabab sababaraha alesan anjeun henteu hoyong nganggo Wireless VoIP sareng hoyong nganggo telepon IP sareng sambungan Ethernet biasa.
Sacara umum, perusahaan anu kuring damel biasana ngagaduhan konektipitas WiFi sareng port Ethernet.
Abdi hoyong mobilitas teu dugi ka ngan kantor.
Pikeun mastikeun kamampuan damel ti bumi (atanapi tempat anu sanés nganggo Internét anu tiasa diaksés), sambungan VPN dianggo. Dina waktu nu sarua, éta desirable yén pagawé teu ngarasa bédana antara digawé ti imah jeung karya jauh, nu nganggap aksés sarua. Urang bakal ngabahas kumaha carana ngatur ieu saeutik engké dina bab "Unified auténtikasi terpusat jeung sistem otorisasina".
nyarios
Paling dipikaresep, anjeun moal bisa pinuh nyadiakeun kualitas sarua tina jasa pikeun karya jauh nu gaduh di kantor. Hayu urang nganggap yén anjeun ngagunakeun Cisco ASA 5520 salaku gateway VPN Anjeun lembar data alat ieu sanggup "nyerna" ngan 225 Mbit lalulintas VPN. Nyaéta, tangtosna, dina hal rubakpita, nyambungkeun via VPN béda pisan sareng damel ti kantor. Ogé, upami, kusabab sababaraha alesan, latency, leungitna, jitter (contona, anjeun hoyong nganggo kantor IP telephony) pikeun jasa jaringan anjeun penting, anjeun ogé moal nampi kualitas anu sami sareng upami anjeun aya di kantor. Ku alatan éta, lamun ngobrol ngeunaan mobilitas, urang kudu sadar kana watesan mungkin.
Aksés gampang ka sadaya sumber perusahaan
Tugas ieu kedah direngsekeun babarengan sareng departemén téknis anu sanés.
Kaayaan idéal nyaéta nalika pangguna ngan ukur kedah ngabuktoskeun kaaslianana sakali, teras anjeunna gaduh aksés ka sadaya sumber anu diperyogikeun.
Nyadiakeun aksés gampang tanpa ngorbankeun kaamanan sacara signifikan tiasa ningkatkeun produktivitas sareng ngirangan setrés diantara kolega anjeun.
Babasan 1
Gampang aksés henteu ngan ukur sabaraha kali anjeun kedah ngalebetkeun kecap konci. Upami, contona, saluyu sareng kabijakan kaamanan anjeun, pikeun nyambungkeun ti kantor ka pusat data, anjeun kedah mimiti nyambung ka gateway VPN, sareng dina waktos anu sami anjeun kaleungitan aksés kana sumber kantor, maka ieu ogé pisan. , teu merenah pisan.
Babasan 2
Aya jasa (contona, aksés ka alat-alat jaringan) dimana urang biasana boga server AAA dedicated sorangan jeung ieu norma lamun dina hal ieu urang kudu auténtikasi sababaraha kali.
Kasadiaan sumberdaya Internet
Internét henteu ngan ukur hiburan, tapi ogé sakumpulan jasa anu tiasa mangpaat pisan pikeun damel. Aya ogé faktor psikologis murni. Hiji jalma modern disambungkeun jeung jalma séjén ngaliwatan Internet ngaliwatan loba threads maya, sarta, dina pamanggih kuring, aya lepat lamun manehna terus ngarasa sambungan ieu sanajan bari digawé.
Tina sudut pandang ngabuang waktos, teu aya anu lepat upami karyawan, contona, ngajalankeun Skype sareng nyéépkeun 5 menit pikeun komunikasi sareng anu dipikacinta upami diperyogikeun.
Naha ieu hartosna yén Internét kedah salawasna aya, naha ieu hartosna yén pagawé tiasa gaduh aksés ka sadaya sumber daya sareng henteu ngontrolana ku cara naon waé?
Henteu henteu hartosna éta, tangtosna. Tingkat katerbukaan Internét tiasa bénten-béda pikeun perusahaan anu béda - tina panutupanana lengkep dugi ka kabuka lengkep. Urang bakal ngabahas cara ngadalikeun lalu lintas engké dina bagian ngeunaan ukuran kaamanan.
Kamampuhan ngagunakeun rentang pinuh alat akrab
Éta merenah lamun, contona, anjeun boga kasempetan pikeun neruskeun migunakeun sakabéh sarana komunikasi nu geus dipaké pikeun digawé. Teu aya kasusah dina téknis ngalaksanakeun ieu. Pikeun ieu anjeun peryogi WiFi sareng wilan tamu.
Éta ogé saé upami anjeun ngagaduhan kasempetan ngagunakeun sistem operasi anu anjeun biasa. Tapi, dina observasi kuring, ieu biasana ngan diwenangkeun manajer, administrator jeung developer.
conto
Anjeun tiasa, tangtosna, turutan jalur larangan, nyaram aksés jauh, nyaram nyambungkeun tina alat nu bagerak, ngawatesan sagalana kana sambungan Ethernet statik, ngawatesan aksés ka Internet, compulsorily ngarampas ponsel sarta gadget di checkpoint nu ... na jalur ieu. sabenerna dituturkeun ku sababaraha organisasi kalawan ngaronjat sarat kaamanan, jeung sugan dina sababaraha kasus ieu bisa jadi diyakinkeun, tapi ... anjeun kudu satuju yén ieu Sigana mah usaha eureun kamajuan dina organisasi tunggal. Tangtosna, kuring hoyong ngagabungkeun kasempetan anu disayogikeun ku téknologi modéren kalayan tingkat kaamanan anu cekap.
"Operasi gancang" tina jaringan
Laju mindahkeun data téhnisna diwangun ku sababaraha faktor. Sareng laju port sambungan anjeun biasana sanés anu paling penting. Operasi slow tina hiji aplikasi teu salawasna pakait sareng masalah jaringan, tapi pikeun ayeuna urang ngan museurkeun bagian jaringan. Masalah anu paling umum sareng "slowdown" jaringan lokal aya hubunganana sareng pakét leungitna. Ieu biasana lumangsung nalika aya masalah bottleneck atanapi L1 (OSI). Langkung jarang, sareng sababaraha desain (contona, nalika subnet anjeun gaduh firewall salaku gateway standar sahingga sadaya lalu lintas ngalangkunganana), kinerja hardware tiasa kirang.
Ku alatan éta, nalika milih alat sareng arsitéktur, anjeun kedah ngahubungkeun laju palabuhan tungtung, batang sareng kinerja alat.
conto
Anggap anjeun nganggo saklar sareng 1 palabuhan gigabit salaku saklar lapisan aksés. Aranjeunna disambungkeun ka silih via Etherchannel 2 x 10 gigabits. Salaku gateway standar, Anjeun nganggo firewall kalawan port gigabit, pikeun nyambungkeun nu ka jaringan kantor L2 Anjeun nganggo 2 palabuhan gigabit digabungkeun kana Etherchannel.
Arsitéktur ieu cukup merenah tina sudut pandang fungsional, sabab ... Kabéh lalulintas mana ngaliwatan firewall nu, tur anjeun comfortably bisa ngatur kawijakan aksés, jeung nerapkeun algoritma kompléks pikeun lalulintas kontrol jeung nyegah serangan mungkin (tempo di handap), tapi ti throughput jeung kinerja sudut pandang desain ieu, tangtu, boga masalah poténsial. Ku kituna, contona, 2 sarwa ngundeur data (kalayan speed port 1 gigabit) lengkep bisa muka sambungan 2 gigabit mun firewall, sahingga ngakibatkeun degradasi jasa pikeun sakabéh bagéan kantor.
Kami parantos ningali salah sahiji titik segitiga, ayeuna hayu urang tingali kumaha urang tiasa mastikeun kaamanan.
Pangobatan
Janten, tangtosna, biasana kahayang urang (atanapi langkungna, kahayang manajemén urang) nyaéta pikeun ngahontal anu teu mungkin, nyaéta, nyayogikeun genah maksimal kalayan kaamanan maksimal sareng biaya minimum.
Hayu urang tingali metode naon anu urang kedah nyayogikeun panyalindungan.
Pikeun kantor, kuring bakal nyorot ieu:
enol trust pendekatan kana desain
tingkat luhur panyalindungan
pisibilitas jaringan
auténtikasi terpusat ngahiji jeung sistem otorisasina
mariksa host
Salajengna, urang bakal Huni di leuwih jéntré ngeunaan unggal aspék ieu.
Percanten Nol
Dunya IT robih gancang pisan. Ngan leuwih 10 taun kaliwat, mecenghulna téknologi anyar jeung produk geus ngarah ka révisi utama konsep kaamanan. Sapuluh taun ka pengker, tina sudut pandang kaamanan, kami ngabagi jaringan kana zona amanah, dmz sareng untrust, sareng nganggo anu disebut "perlindungan perimeter", dimana aya 2 garis pertahanan: untrust -> dmz sareng dmz -> kapercayaan. Ogé, panyalindungan biasana dugi ka daptar aksés dumasar kana lulugu L3/L4 (OSI) (IP, port TCP/UDP, umbul TCP). Sagalana patali jeung tingkat luhur, kaasup L7, ieu ditinggalkeun ka OS jeung produk kaamanan dipasang dina host tungtung.
Ayeuna kaayaan geus robah nyirorot. Konsep modern enol kapercayaan asalna tina kanyataan yén teu mungkin mertimbangkeun sistem internal, nyaeta, anu lokasina di jero perimeter, sakumaha dipercaya, sarta konsép perimeter sorangan geus kabur.
Salian sambungan internét urang ogé boga
aksés jauh pamaké VPN
rupa-rupa gadget pribadi, laptop dibawa, disambungkeun via WiFi kantor
kantor séjén (cabang).
integrasi jeung infrastruktur awan
Kumaha pendekatan Zero Trust dina prakna?
Ideally, ngan lalulintas anu diperlukeun kudu diwenangkeun tur, lamun urang ngobrol ngeunaan idéal, kontrol kedah teu ukur dina tingkat L3 / L4, tapi dina tingkat aplikasi.
Upami, contona, anjeun gaduh kamampuan ngalangkungan sadaya lalu lintas ngalangkungan firewall, maka anjeun tiasa nyobian ngadeukeutan ka idéal. Tapi pendekatan ieu sacara signifikan tiasa ngirangan total rubakpita jaringan anjeun, sareng sajaba ti éta, nyaring ku aplikasi henteu salawasna jalan saé.
Nalika ngadalikeun lalu lintas dina router atanapi switch L3 (ngagunakeun ACL standar), anjeun mendakan masalah anu sanés:
Ieu L3/L4 nyaring wungkul. Henteu aya anu ngahalangan panyerang tina ngagunakeun palabuhan anu diidinan (contona TCP 80) pikeun aplikasina (sanés http)
manajemén ACL kompléks (hésé parse ACLs)
Ieu sanes firewall statefull, hartina anjeun kudu eksplisit ngidinan lalulintas sabalikna
kalawan saklar anjeun biasana geulis pageuh kawates ku ukuran TCAM, nu bisa gancang jadi masalah lamun nyandak pendekatan "ngan ngidinan naon butuh".
nyarios
Diomongkeun ngeunaan lalulintas sabalikna, urang kudu inget yen urang boga kasempetan handap (Cisco)
idin tcp naon wae ngadegkeun
Tapi anjeun kedah ngartos yén garis ieu sami sareng dua garis:
ijinkeun tcp wae ack
izin tcp wae heula
Anu hartosna sanajan teu aya bagéan TCP awal sareng bandéra SYN (nyaéta, sési TCP malah henteu mimiti ngadegkeun), ACL ieu bakal ngamungkinkeun pakét kalayan bandéra ACK, anu tiasa dianggo ku panyerang pikeun mindahkeun data.
Nyaéta, jalur ieu henteu ngajantenkeun router anjeun atanapi switch L3 janten firewall statefull.
tingkat luhur panyalindungan
В artikel Dina bagian ngeunaan pusat data, kami nganggap metode perlindungan di handap ieu.
firewall stateful (standar)
panyalindungan ddos / dos
aplikasi firewall
pencegahan ancaman (antivirus, anti spyware, sareng kerentanan)
nyaring URL
nyaring data (saringan eusi)
meungpeuk file (meungpeuk tipe file)
Dina kasus kantor, kaayaanana sami, tapi prioritasna rada béda. Kasadiaan kantor (kasadiaan) biasana henteu kritis sapertos dina kasus pusat data, sedengkeun kamungkinan lalulintas jahat "internal" langkung ageung.
Ku alatan éta, métode panyalindungan di handap pikeun bagéan ieu jadi kritis:
aplikasi firewall
pencegahan ancaman (anti-virus, anti-spyware, sareng kerentanan)
nyaring URL
nyaring data (saringan eusi)
meungpeuk file (meungpeuk tipe file)
Sanajan sakabéh métode panyalindungan ieu, iwal firewalling aplikasi, geus tradisional geus jeung terus direngsekeun dina host tungtung (contona, ku masang program antipirus) jeung ngagunakeun proxy, NGFWs modern ogé nyadiakeun layanan ieu.
Ngical paralatan kaamanan narékahan pikeun nyieun panyalindungan komprehensif, jadi babarengan jeung perlindungan lokal, aranjeunna nawiskeun rupa-rupa téknologi awan jeung software klien pikeun host (perlindungan titik tungtung / EPP). Ku kituna, contona, ti 2018 Gartner Magic kuadran Urang nempo yén Palo Alto na Cisco boga EPPs sorangan (Pa: sarap, Cisco: AMP), tapi jauh ti pamingpin.
Aktipkeun panyalindungan ieu (biasana ku mésér lisénsi) dina firewall anjeun tangtosna henteu wajib (anjeun tiasa ngalangkungan jalur tradisional), tapi éta masihan sababaraha kauntungan:
dina hal ieu, aya hiji titik aplikasi tina métode panyalindungan, nu ngaronjatkeun pisibilitas (tingali topik salajengna).
Upami aya alat anu teu dijagi dina jaringan anjeun, éta tetep aya dina "payung" panyalindungan firewall
Ku ngagunakeun panyalindungan firewall babarengan jeung panyalindungan end-host, urang ngaronjatkeun likelihood ngadeteksi lalulintas jahat. Salaku conto, ngagunakeun pencegahan anceman dina host lokal sareng dina firewall ningkatkeun kamungkinan deteksi (disadiakeun, tangtosna, solusi ieu dumasar kana produk parangkat lunak anu béda).
nyarios
Upami, contona, anjeun nganggo Kaspersky salaku antipirus boh dina firewall sareng host tungtung, maka ieu, tangtosna, henteu bakal ningkatkeun kasempetan anjeun pikeun nyegah serangan virus dina jaringan anjeun.
pisibilitas jaringan
gagasan sentral basajan - "tingali" naon anu lumangsung dina jaringan anjeun, boh sacara real waktos sareng data sajarah.
Abdi ngabagi "visi" ieu kana dua kelompok:
Kelompok hiji: naon sistem ngawaskeun anjeun biasana nyadiakeun anjeun kalawan.
loading parabot
saluran loading
pamakéan memori
pamakéan disk
ngarobah tabel routing
status link
kasadiaan pakakas (atanapi host)
...
Kelompok dua: informasi patali kaamanan.
rupa-rupa jenis statistik (contona, ku aplikasi, patalimarga URL, jenis data naon anu diundeur, data pamaké)
naon anu diblokir ku kawijakan kaamanan jeung naon alesan, nyaéta
aplikasi dilarang
dilarang dumasar kana ip / protokol / port / bandéra / zona
pencegahan ancaman
nyaring url
nyaring data
meungpeuk file
...
statistik dina serangan DOS / DDOS
idéntifikasi gagal jeung usaha otorisasina
statistik pikeun sakabéh acara palanggaran kawijakan kaamanan di luhur
...
Dina bab kaamanan ieu, urang museurkeun bagian kadua.
Sababaraha firewalls modern (tina pangalaman Palo Alto kuring) nyadiakeun tingkat alus pisibilitas. Tapi, tangtosna, lalu lintas anu anjeun pikahoyong kedah ngalangkungan firewall ieu (upami anjeun gaduh kamampuan pikeun meungpeuk lalu lintas) atanapi dicerminkeun kana firewall (ngan dianggo pikeun ngawaskeun sareng analisa), sareng anjeun kedah gaduh lisénsi pikeun ngaktifkeun sadayana. jasa ieu.
Aya, tangtosna, cara alternatif, atanapi langkung tepatna cara tradisional, contona,
Statistik sési tiasa dikumpulkeun via netflow teras dianggo utilitas khusus pikeun analisa inpormasi sareng visualisasi data
pencegahan ancaman - program husus (anti-virus, anti spyware, firewall) dina host tungtung
Nyaring URL, nyaring data, meungpeuk file - dina proxy
eta oge mungkin pikeun nganalisis tcpdump ngagunakeun e.g. ngorondang
Anjeun tiasa ngagabungkeun dua pendekatan ieu, ngalengkepan fitur anu leungit atanapi duplikat aranjeunna pikeun ningkatkeun kamungkinan ngadeteksi serangan.
Pendekatan mana anu anjeun kedah pilih?
Kacida gumantung kana kualifikasi sareng karesep tim anjeun.
Boh aya boh aya pro jeung kontra.
Sistem auténtikasi sareng otorisasi terpusat terpadu
Nalika dirarancang saé, mobilitas anu urang bahas dina tulisan ieu nganggap yén anjeun gaduh aksés anu sami naha anjeun damel ti kantor atanapi ti bumi, ti bandara, ti warung kopi atanapi dimana waé (kalayan watesan anu kami bahas di luhur). Éta sigana, naon masalahna?
Pikeun langkung ngartos pajeulitna tugas ieu, hayu urang tingali desain anu biasa.
conto
Anjeun parantos ngabagi sadaya karyawan kana grup. Anjeun geus mutuskeun pikeun nyadiakeun aksés ku grup
Di jero kantor, anjeun ngadalikeun aksés dina firewall kantor
Anjeun ngadalikeun lalulintas ti kantor ka puseur data dina firewall puseur data
Anjeun nganggo Cisco ASA salaku gateway VPN sareng pikeun ngatur lalu lintas anu asup ka jaringan anjeun tina klien jauh, anjeun nganggo ACL lokal (dina ASA).
Ayeuna, anggap anjeun dipenta pikeun nambihan aksés tambahan ka karyawan anu tangtu. Dina hal ieu, anjeun dipenta pikeun nambahkeun aksés ngan ka anjeunna jeung euweuh batur ti grup na.
Keur kitu urang kudu nyieun grup misah pikeun pagawe ieu, nyaeta
nyieun kolam renang IP misah dina ASA pikeun pagawe ieu
tambahkeun ACL anyar dina ASA sareng ngabeungkeut kana éta klien jauh
nyieun kawijakan kaamanan anyar dina firewalls kantor jeung data puseur
Sae upami acara ieu jarang. Tapi dina prakna mah aya kaayaan nalika karyawan ilubiung dina proyék béda, sarta susunan ieu proyék pikeun sawatara di antarana robah rada mindeng, tur éta teu 1-2 jalma, tapi puluhan. Tangtosna, aya anu kedah dirobih di dieu.
Ieu direngsekeun ku cara di handap ieu.
Urang mutuskeun yén LDAP bakal jadi hiji-hijina sumber bebeneran nu nangtukeun sagala aksés pagawe mungkin. Kami nyiptakeun sagala jinis grup anu netepkeun set aksés, sareng kami masihan unggal pangguna ka hiji atanapi langkung grup.
Ku kituna, contona, anggap aya grup
tamu (aksés Internét)
aksés umum (aksés ka sumberdaya dibagikeun: mail, basis pangaweruh, ...)
akuntansi
proyék 1
proyék 2
administrator basis data
administrator linux
...
Sareng upami salah sahiji karyawan aub dina proyék 1 sareng proyék 2, sareng anjeunna peryogi aksés anu dipikabutuh pikeun damel di proyék ieu, maka karyawan ieu ditugaskeun ka grup ieu:
tatamu
aksés umum
proyék 1
proyék 2
Kumaha ayeuna urang tiasa ngaktipkeun inpormasi ieu kana aksés kana alat jaringan?
Sakeudeung ngeunaan palaksanaan urang, salila prosés idéntifikasi / otorisasina, ASA narima ti LDAP sakumpulan grup pakait jeung pamaké dibikeun tur "ngumpulkeun" ti sababaraha ACLs lokal (masing-masing pakait jeung grup) a ACL dinamis kalayan sagala aksés diperlukeun. , nu pinuh luyu jeung kahayang urang.
Tapi ieu ngan pikeun sambungan VPN. Pikeun ngajantenkeun kaayaan anu sami pikeun karyawan anu nyambung via VPN sareng anu aya di kantor, léngkah-léngkah ieu dilaksanakeun.
Nalika nyambungkeun ti kantor, pamaké ngagunakeun protokol 802.1x réngsé dina boh LAN tamu (pikeun sémah) atawa LAN dibagikeun (pikeun karyawan parusahaan). Saterusna, pikeun ménta aksés husus (contona, pikeun proyék-proyék di puseur data), pagawé kudu nyambung via VPN.
Pikeun nyambung ti kantor sareng ti bumi, grup torowongan anu béda-béda dianggo dina ASA. Ieu diperlukeun ku kituna pikeun maranéhanana nyambungkeun ti kantor, lalulintas keur sumberdaya dibagikeun (dipaké ku sakabéh pagawé, kayaning mail, file server, sistem tikét, dns, ...) teu ngaliwatan ASA, tapi ngaliwatan jaringan lokal. . Ku kituna, kami henteu ngamuat ASA kalayan lalu lintas anu teu dipikabutuh, kalebet lalu lintas inténsitas tinggi.
Ku kituna, masalah ieu direngsekeun.
Urang meunang
set sarua aksés pikeun duanana sambungan ti kantor jeung sambungan jauh
henteuna degradasi jasa nalika damel ti kantor anu aya hubunganana sareng pangiriman lalu lintas inténsitas tinggi ngalangkungan ASA
Naon kaunggulan sejenna tina pendekatan ieu?
Dina administrasi aksés. Aksés bisa gampang dirobah dina hiji tempat.
Contona, upami hiji pagawe ninggalkeun pausahaan, mangka anjeun ngan saukur miceun manehna tina LDAP, sarta anjeunna otomatis leungit kabeh aksés.
Mariksa host
Kalawan kamungkinan sambungan jauh, urang ngajalankeun résiko sahingga teu ukur hiji pagawe parusahaan kana jaringan, tapi ogé sagala software jahat anu kamungkinan pisan hadir dina komputer na (contona, imah), komo deui, ngaliwatan software ieu kami. bisa jadi nyadiakeun aksés ka jaringan kami ka panyerang ngagunakeun host ieu salaku proxy.
Masuk akal pikeun host anu disambungkeun jarak jauh pikeun nerapkeun syarat kaamanan anu sami sareng host di kantor.
Ieu ogé nganggap versi "bener" tina OS, anti virus, anti spyware, jeung software firewall sarta apdet. Biasana, kamampuan ieu aya dina gerbang VPN (pikeun ASA tingali, contona, di dieu).
Éta ogé wijaksana pikeun nerapkeun analisa lalu lintas sareng téknik blocking anu sami (tingali "Tingkat panyalindungan anu luhur") yén kabijakan kaamanan anjeun berlaku pikeun lalu lintas kantor.
Wajar pikeun nganggap yén jaringan kantor anjeun henteu dugi ka gedong kantor sareng host di jerona.
conto
Téhnik anu saé nyaéta nyayogikeun unggal karyawan anu peryogi aksés jarak jauh kalayan laptop anu saé, merenah sareng ngabutuhkeun aranjeunna damel, boh di kantor sareng ti bumi, ngan ukur ti dinya.
Henteu ngan ukur ningkatkeun kaamanan jaringan anjeun, tapi ogé ngagampangkeun sareng biasana ditingali ku karyawan (upami éta laptop anu saé, ramah-pamaké).
Ngeunaan rasa proporsi sarta kasaimbangan
Dasarna, ieu paguneman ngeunaan vertex katilu tina segitiga urang - ngeunaan harga.
Hayu urang nempo hiji conto hypothetical.
conto
Anjeun gaduh kantor pikeun 200 urang. Anjeun mutuskeun pikeun nyieun salaku merenah tur jadi aman sabisa.
Ku alatan éta, anjeun mutuskeun pikeun nembus sakabéh lalulintas ngaliwatan firewall sahingga pikeun sakabéh subnets kantor firewall teh gateway standar. Salian ti parangkat lunak kaamanan anu dipasang dina unggal host tungtung (anti-virus, anti-spyware, sareng parangkat lunak firewall), anjeun ogé mutuskeun pikeun nerapkeun sadaya metode panyalindungan anu mungkin dina firewall.
Pikeun mastikeun speed sambungan tinggi (sadayana pikeun genah), Anjeun milih saklar kalawan 10 Gigabit palabuhan aksés salaku switch aksés, sarta-kinerja tinggi NGFW firewalls sakumaha firewalls, Contona, Palo Alto 7K runtuyan (jeung 40 palabuhan Gigabit), lumrah jeung sagala lisensi. kaasup jeung, sacara alami, pasangan kasadiaan High.
Ogé, tangtosna, pikeun damel sareng alat-alat ieu kami peryogi sahenteuna sababaraha insinyur kaamanan anu mumpuni.
Salajengna, anjeun mutuskeun pikeun masihan unggal karyawan laptop anu saé.
Total, ngeunaan 10 juta dollar pikeun palaksanaan, ratusan rébu tina dollar (Jigana ngadeukeutan ka juta) pikeun rojongan taunan tur gaji pikeun insinyur.
Kantor, 200 urang...
Sreg? Sigana mah enya.
Anjeun sumping sareng usulan ieu ka manajemén anjeun ...
Panginten aya sababaraha perusahaan di dunya dimana ieu mangrupikeun solusi anu tiasa ditampi sareng leres. Upami anjeun karyawan perusahaan ieu, ucapan salamet, tapi dina kalolobaan kasus, kuring yakin yén pangaweruh anjeun moal diapresiasi ku manajemén.
Ieu conto exaggerated? Bab salajengna bakal ngajawab patarosan ieu.
Upami dina jaringan anjeun anjeun henteu ningali anu di luhur, maka ieu mangrupikeun norma.
Pikeun unggal kasus husus, Anjeun kudu neangan kompromi lumrah sorangan antara genah, harga jeung kaamanan. Sering anjeun henteu peryogi NGFW di kantor anjeun, sareng panyalindungan L7 dina firewall henteu diperyogikeun. Cukup pikeun nyayogikeun tingkat pisibilitas sareng panggeuing anu saé, sareng ieu tiasa dilakukeun nganggo produk open source, contona. Leres, réaksi anjeun kana serangan moal langsung, tapi anu utama nyaéta anjeun bakal ningali éta, sareng kalayan prosés anu leres di tempat di jabatan anjeun, anjeun bakal tiasa gancang netralkeunana.
Sareng kuring ngingetkeun yén, dumasar kana konsép séri tulisan ieu, anjeun henteu ngarancang jaringan, anjeun ngan ukur nyobian ningkatkeun naon anu anjeun pikahoyong.
Analisis AMAN arsitektur kantor
Nengetan pasagi beureum ieu kalawan nu kuring allocated tempat dina diagram ti Pituduh Arsitéktur Kampus Amananu abdi hoyong bahas di dieu.
Ieu salah sahiji tempat konci arsitéktur sarta salah sahiji uncertainties pangpentingna.
nyarios
Kuring geus pernah nyetél atawa gawé bareng FirePower (tina garis firewall Cisco urang - hijina ASA), jadi kuring bakal ngubaran eta kawas firewall séjén, kawas Juniper SRX atanapi Palo Alto, asumsina boga kamampuhan anu sarua.
Tina desain anu biasa, kuring ngan ukur ningali 4 pilihan pikeun ngagunakeun firewall kalayan sambungan ieu:
Gerbang standar pikeun tiap subnet nyaéta saklar, sedengkeun firewall dina modeu transparan (nyaéta, sadaya lalu lintas ngalangkunganana, tapi henteu ngabentuk L3 hop)
gateway standar pikeun tiap subnet nyaéta sub-interfaces firewall (atawa interfaces SVI), switch muterkeun peran L2.
VRFs béda dipaké dina switch, sarta lalulintas antara VRFs ngaliwatan firewall nu, lalulintas dina hiji VRF dikawasa ku ACL on saklar.
sadaya lalu lintas dicerminkeun kana firewall pikeun analisa sareng ngawaskeun; lalu lintas henteu ngalangkunganana
Babasan 1
Kombinasi pilihan ieu mungkin, tapi pikeun kesederhanaan urang moal nganggap aranjeunna.
Catetan2
Aya ogé kamungkinan ngagunakeun PBR (arsitéktur ranté jasa), tapi pikeun ayeuna ieu, sanajan solusi geulis dina pamadegan mah, rada aheng, jadi kuring teu tempo di dieu.
Tina pedaran ngeunaan aliran dina dokumén, urang nempo yén lalulintas masih ngaliwatan firewall nu, nyaeta, luyu jeung desain Cisco, pilihan kaopat ngaleungitkeun.
Hayu urang nempo dua pilihan kahiji.
Kalayan pilihan ieu, sadaya lalu lintas ngalangkungan firewall.
Ayeuna hayu urang tingali lembar data, neuteup Cisco GPL sareng urang tingali yén upami urang hoyong bandwidth total pikeun kantor urang sahenteuna sakitar 10 - 20 gigabit, maka urang kedah mésér versi 4K.
nyarios
Lamun kuring ngobrol ngeunaan total rubakpita, abdi hartosna lalulintas antara subnets (teu dina hiji vilana).
Tina GPL kami ningali yén pikeun HA Bundle sareng Threat Defense, hargana gumantung kana modél (4110 - 4150) beda-beda ti ~ 0,5 - 2,5 juta dolar.
Hartina, desain urang mimiti nyarupaan conto saméméhna.
Naha ieu hartosna desain ieu salah?
Henteu, éta henteu hartosna. Cisco méré Anjeun panyalindungan pangalusna mungkin dumasar kana garis produk eta boga. Tapi sanés hartosna éta kedah dilakukeun pikeun anjeun.
Sacara prinsip, ieu mangrupikeun patarosan umum anu timbul nalika ngarancang kantor atanapi pusat data, sareng éta ngan ukur kedah milarian kompromi.
Salaku conto, ulah ngantepkeun sadaya lalu lintas ngalangkungan firewall, dimana pilihan 3 sigana saé pikeun kuring, atanapi (tingali bagian sateuacana) panginten anjeun henteu peryogi Pertahanan Ancaman atanapi henteu peryogi firewall pisan dina éta. bagean jaringan, jeung anjeun ngan kudu ngawatesan diri ngawas pasip ngagunakeun mayar (teu mahal) atanapi solusi open source, atawa anjeun perlu firewall a, tapi ti ngajual béda.
Biasana sok aya kateupastian ieu sareng teu aya jawaban anu jelas ngeunaan kaputusan mana anu pangsaéna pikeun anjeun.
Ieu pajeulitna sareng kaéndahan tugas ieu.