ProHoster > Blog > Administrasi > Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian katilu

Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian katilu

Tulisan ieu mangrupikeun kalima dina séri "Kumaha Ngadalikeun Infrastruktur Jaringan anjeun." Eusi sadaya artikel dina séri sareng tautan tiasa dipendakan di dieu.

Bagian ieu bakal dikhususkeun ka Kampus (Kantor) & Segmen VPN aksés Jauh.

Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian katilu

Desain jaringan kantor sigana gampang.

Mémang, urang nyandak saklar L2 / L3 teras sambungkeun ka unggal anu sanés. Salajengna, urang ngalaksanakeun setelan dasar tina vilans na gateways standar, nyetél routing basajan, sambungkeun controller WiFi, titik aksés, install sarta ngonpigurasikeun ASA pikeun aksés jauh, kami bungah yén sagalana digawé. Dasarna, sakumaha anu kuring parantos nyerat dina salah sahiji sateuacana artikel Dina siklus ieu, ampir unggal murid anu ngahadiran (sareng diajar) dua seméster tina kursus telekomunikasi tiasa ngarancang sareng ngonpigurasikeun jaringan kantor supados "kumaha waé jalanna."

Tapi beuki anjeun diajar, nu kirang basajan tugas ieu mimiti sigana. Pikeun kuring pribadi, topik ieu, topik desain jaringan kantor, teu sigana basajan pisan, sarta dina artikel ieu kuring baris coba ngajelaskeun naha.

Pondokna, aya rada sababaraha faktor mertimbangkeun. Seringna faktor-faktor ieu saling bertentangan sareng kompromi anu wajar kedah dipilarian.
Kateupastian ieu mangrupikeun kasusah utama. Janten, nyarios ngeunaan kaamanan, urang gaduh segitiga kalayan tilu titik: kaamanan, genah pikeun karyawan, harga solusi.
Sareng unggal waktos anjeun kedah milarian kompromi antara tilu ieu.

gawena undagi

Salaku conto arsitektur pikeun dua bagéan ieu, sakumaha dina artikel saméméhna, abdi nyarankeun Cisco AMAN modél: Kampus perusahaan, Perusahaan Internet Edge.

Ieu mangrupikeun dokumén anu rada luntur. Kuring nampilkeun aranjeunna di dieu kusabab skéma dasar sareng pendekatan henteu robih, tapi dina waktos anu sami kuring resep presentasi langkung ti di dokuméntasi anyar.

Tanpa nyorong anjeun nganggo solusi Cisco, kuring masih nyangka éta mangpaat pikeun diajar sacara saksama desain ieu.

Tulisan ieu, sapertos biasa, henteu pura-pura lengkep, tapi langkung seueur tambahan pikeun inpormasi ieu.

Dina ahir tulisan, urang bakal nganalisis desain kantor Cisco SAFE dina watesan konsép anu digariskeun di dieu.

prinsip umum

Rarancang jaringan kantor, tangtosna, kedah nyumponan sarat umum anu parantos dibahas di dieu dina bab "Kriteria pikeun meunteun kualitas desain". Salian harga sareng kaamanan, anu urang badé bahas dina tulisan ieu, masih aya tilu kritéria anu kedah dipertimbangkeun nalika ngarancang (atanapi ngarobih):

  • skalabilitas
  • betah pamakéan (managability)
  • kasadiaan

Loba naon ieu dibahas pikeun puseur data Ieu ogé bener keur kantor.

Tapi tetep, bagéan kantor gaduh spésifikna sorangan, anu kritis tina sudut pandang kaamanan. Hakekat spésifisitas ieu nyaéta yén bagéan ieu didamel pikeun nyayogikeun jasa jaringan ka karyawan (sareng mitra sareng tamu) perusahaan, sareng, salaku hasilna, dina tingkat pertimbangan anu paling luhur, kami ngagaduhan dua tugas:

  • ngajaga sumber daya perusahaan tina tindakan jahat anu asalna ti karyawan (tamu, mitra) sareng tina parangkat lunak anu aranjeunna anggo. Ieu ogé kalebet panyalindungan ngalawan sambungan anu teu sah ka jaringan.
  • ngajaga sistem sareng data pangguna

Sarta ieu ngan hiji sisi masalah (atawa rada, hiji vertex segitiga). Di sisi séjén nyaéta genah pangguna sareng harga solusi anu dianggo.

Hayu urang mimitian ku ningali naon anu diarepkeun pangguna tina jaringan kantor modern.

Fasilitas

Kieu kumaha "fasilitas jaringan" sapertos pikeun pangguna kantor dina pendapat kuring:

  • Mobilitas
  • Kamampuhan pikeun ngagunakeun rentang pinuh alat akrab jeung sistem operasi
  • Aksés gampang ka sadaya sumber daya perusahaan anu diperyogikeun
  • Kasadiaan sumber Internét, kalebet rupa-rupa jasa awan
  • "Operasi gancang" tina jaringan

Sadaya ieu manglaku ka karyawan sareng tamu (atanapi mitra), sareng éta tugas insinyur perusahaan pikeun ngabédakeun aksés pikeun grup pangguna anu béda dumasar kana otorisasina.

Hayu urang nempo unggal aspék ieu dina leuwih jéntré saeutik.

Mobilitas

Urang keur diajak ngobrol ngeunaan kasempetan pikeun digawé sarta ngagunakeun sagala sumberdaya parusahaan diperlukeun ti mana di dunya (tangtu, dimana Internet sadia).

Ieu sapinuhna manglaku ka kantor. Ieu merenah lamun anjeun boga kasempetan pikeun neruskeun gawe ti mana wae di kantor, contona, narima surat, komunikasi dina utusan perusahaan, sadia pikeun nelepon video, ... Ku kituna, ieu ngidinan Anjeun, di hiji sisi, pikeun ngabéréskeun sababaraha masalah komunikasi "hirup" (Contona, ilubiung dina unjuk rasa), sarta di sisi séjén, jadi salawasna online, tetep ramo dina pulsa jeung gancang ngajawab sababaraha urgent tugas-prioritas tinggi. Ieu pisan merenah tur bener ngaronjatkeun kualitas komunikasi.

Ieu kahontal ku desain jaringan WiFi ditangtoskeun.

nyarios

Di dieu patarosan biasana timbul: éta cukup ngagunakeun ngan WiFi? Naha ieu hartosna anjeun tiasa ngeureunkeun nganggo palabuhan Ethernet di kantor? Upami urang ngan ukur nyarioskeun ngeunaan pangguna, sanés ngeunaan server, anu masih lumayan pikeun nyambung ka port Ethernet biasa, maka sacara umum jawabanna nyaéta: enya, anjeun ngan ukur tiasa ngawatesan diri ka WiFi. Tapi aya nuances.

Aya grup pamaké penting anu merlukeun pendekatan misah. Ieu, tangtosna, pangurus. Sacara prinsip, sambungan WiFi kirang dipercaya (dina hal leungitna lalulintas) jeung laun ti port Ethernet biasa. Ieu tiasa penting pikeun pangurus. Sajaba ti éta, administrator jaringan, contona, bisa, prinsipna mah, boga jaringan Ethernet dedicated sorangan pikeun sambungan kaluar-of-band.

Bisa jadi aya grup/departemén séjén di perusahaan anjeun anu faktor ieu ogé penting.

Aya titik penting séjén - telepon. Panginten kusabab sababaraha alesan anjeun henteu hoyong nganggo Wireless VoIP sareng hoyong nganggo telepon IP sareng sambungan Ethernet biasa.

Sacara umum, perusahaan anu kuring damel biasana ngagaduhan konektipitas WiFi sareng port Ethernet.

Abdi hoyong mobilitas teu dugi ka ngan kantor.

Pikeun mastikeun kamampuan damel ti bumi (atanapi tempat anu sanés nganggo Internét anu tiasa diaksés), sambungan VPN dianggo. Dina waktu nu sarua, éta desirable yén pagawé teu ngarasa bédana antara digawé ti imah jeung karya jauh, nu nganggap aksés sarua. Urang bakal ngabahas kumaha carana ngatur ieu saeutik engké dina bab "Unified auténtikasi terpusat jeung sistem otorisasina".

nyarios

Paling dipikaresep, anjeun moal bisa pinuh nyadiakeun kualitas sarua tina jasa pikeun karya jauh nu gaduh di kantor. Hayu urang nganggap yén anjeun ngagunakeun Cisco ASA 5520 salaku gateway VPN Anjeun lembar data alat ieu sanggup "nyerna" ngan 225 Mbit lalulintas VPN. Nyaéta, tangtosna, dina hal rubakpita, nyambungkeun via VPN béda pisan sareng damel ti kantor. Ogé, upami, kusabab sababaraha alesan, latency, leungitna, jitter (contona, anjeun hoyong nganggo kantor IP telephony) pikeun jasa jaringan anjeun penting, anjeun ogé moal nampi kualitas anu sami sareng upami anjeun aya di kantor. Ku alatan éta, lamun ngobrol ngeunaan mobilitas, urang kudu sadar kana watesan mungkin.

Aksés gampang ka sadaya sumber perusahaan

Tugas ieu kedah direngsekeun babarengan sareng departemén téknis anu sanés.
Kaayaan idéal nyaéta nalika pangguna ngan ukur kedah ngabuktoskeun kaaslianana sakali, teras anjeunna gaduh aksés ka sadaya sumber anu diperyogikeun.
Nyadiakeun aksés gampang tanpa ngorbankeun kaamanan sacara signifikan tiasa ningkatkeun produktivitas sareng ngirangan setrés diantara kolega anjeun.

Babasan 1

Gampang aksés henteu ngan ukur sabaraha kali anjeun kedah ngalebetkeun kecap konci. Upami, contona, saluyu sareng kabijakan kaamanan anjeun, pikeun nyambungkeun ti kantor ka pusat data, anjeun kedah mimiti nyambung ka gateway VPN, sareng dina waktos anu sami anjeun kaleungitan aksés kana sumber kantor, maka ieu ogé pisan. , teu merenah pisan.

Babasan 2

Aya jasa (contona, aksés ka alat-alat jaringan) dimana urang biasana boga server AAA dedicated sorangan jeung ieu norma lamun dina hal ieu urang kudu auténtikasi sababaraha kali.

Kasadiaan sumberdaya Internet

Internét henteu ngan ukur hiburan, tapi ogé sakumpulan jasa anu tiasa mangpaat pisan pikeun damel. Aya ogé faktor psikologis murni. Hiji jalma modern disambungkeun jeung jalma séjén ngaliwatan Internet ngaliwatan loba threads maya, sarta, dina pamanggih kuring, aya lepat lamun manehna terus ngarasa sambungan ieu sanajan bari digawé.

Tina sudut pandang ngabuang waktos, teu aya anu lepat upami karyawan, contona, ngajalankeun Skype sareng nyéépkeun 5 menit pikeun komunikasi sareng anu dipikacinta upami diperyogikeun.

Naha ieu hartosna yén Internét kedah salawasna aya, naha ieu hartosna yén pagawé tiasa gaduh aksés ka sadaya sumber daya sareng henteu ngontrolana ku cara naon waé?

Henteu henteu hartosna éta, tangtosna. Tingkat katerbukaan Internét tiasa bénten-béda pikeun perusahaan anu béda - tina panutupanana lengkep dugi ka kabuka lengkep. Urang bakal ngabahas cara ngadalikeun lalu lintas engké dina bagian ngeunaan ukuran kaamanan.

Kamampuhan ngagunakeun rentang pinuh alat akrab

Éta merenah lamun, contona, anjeun boga kasempetan pikeun neruskeun migunakeun sakabéh sarana komunikasi nu geus dipaké pikeun digawé. Teu aya kasusah dina téknis ngalaksanakeun ieu. Pikeun ieu anjeun peryogi WiFi sareng wilan tamu.

Éta ogé saé upami anjeun ngagaduhan kasempetan ngagunakeun sistem operasi anu anjeun biasa. Tapi, dina observasi kuring, ieu biasana ngan diwenangkeun manajer, administrator jeung developer.

conto

Anjeun tiasa, tangtosna, turutan jalur larangan, nyaram aksés jauh, nyaram nyambungkeun tina alat nu bagerak, ngawatesan sagalana kana sambungan Ethernet statik, ngawatesan aksés ka Internet, compulsorily ngarampas ponsel sarta gadget di checkpoint nu ... na jalur ieu. sabenerna dituturkeun ku sababaraha organisasi kalawan ngaronjat sarat kaamanan, jeung sugan dina sababaraha kasus ieu bisa jadi diyakinkeun, tapi ... anjeun kudu satuju yén ieu Sigana mah usaha eureun kamajuan dina organisasi tunggal. Tangtosna, kuring hoyong ngagabungkeun kasempetan anu disayogikeun ku téknologi modéren kalayan tingkat kaamanan anu cekap.

"Operasi gancang" tina jaringan

Laju mindahkeun data téhnisna diwangun ku sababaraha faktor. Sareng laju port sambungan anjeun biasana sanés anu paling penting. Operasi slow tina hiji aplikasi teu salawasna pakait sareng masalah jaringan, tapi pikeun ayeuna urang ngan museurkeun bagian jaringan. Masalah anu paling umum sareng "slowdown" jaringan lokal aya hubunganana sareng pakét leungitna. Ieu biasana lumangsung nalika aya masalah bottleneck atanapi L1 (OSI). Langkung jarang, sareng sababaraha desain (contona, nalika subnet anjeun gaduh firewall salaku gateway standar sahingga sadaya lalu lintas ngalangkunganana), kinerja hardware tiasa kirang.

Ku alatan éta, nalika milih alat sareng arsitéktur, anjeun kedah ngahubungkeun laju palabuhan tungtung, batang sareng kinerja alat.

conto

Anggap anjeun nganggo saklar sareng 1 palabuhan gigabit salaku saklar lapisan aksés. Aranjeunna disambungkeun ka silih via Etherchannel 2 x 10 gigabits. Salaku gateway standar, Anjeun nganggo firewall kalawan port gigabit, pikeun nyambungkeun nu ka jaringan kantor L2 Anjeun nganggo 2 palabuhan gigabit digabungkeun kana Etherchannel.

Arsitéktur ieu cukup merenah tina sudut pandang fungsional, sabab ... Kabéh lalulintas mana ngaliwatan firewall nu, tur anjeun comfortably bisa ngatur kawijakan aksés, jeung nerapkeun algoritma kompléks pikeun lalulintas kontrol jeung nyegah serangan mungkin (tempo di handap), tapi ti throughput jeung kinerja sudut pandang desain ieu, tangtu, boga masalah poténsial. Ku kituna, contona, 2 sarwa ngundeur data (kalayan speed port 1 gigabit) lengkep bisa muka sambungan 2 gigabit mun firewall, sahingga ngakibatkeun degradasi jasa pikeun sakabéh bagéan kantor.

Kami parantos ningali salah sahiji titik segitiga, ayeuna hayu urang tingali kumaha urang tiasa mastikeun kaamanan.

Pangobatan

Janten, tangtosna, biasana kahayang urang (atanapi langkungna, kahayang manajemén urang) nyaéta pikeun ngahontal anu teu mungkin, nyaéta, nyayogikeun genah maksimal kalayan kaamanan maksimal sareng biaya minimum.

Hayu urang tingali metode naon anu urang kedah nyayogikeun panyalindungan.

Pikeun kantor, kuring bakal nyorot ieu:

  • enol trust pendekatan kana desain
  • tingkat luhur panyalindungan
  • pisibilitas jaringan
  • auténtikasi terpusat ngahiji jeung sistem otorisasina
  • mariksa host

Salajengna, urang bakal Huni di leuwih jéntré ngeunaan unggal aspék ieu.

Percanten Nol

Dunya IT robih gancang pisan. Ngan leuwih 10 taun kaliwat, mecenghulna téknologi anyar jeung produk geus ngarah ka révisi utama konsep kaamanan. Sapuluh taun ka pengker, tina sudut pandang kaamanan, kami ngabagi jaringan kana zona amanah, dmz sareng untrust, sareng nganggo anu disebut "perlindungan perimeter", dimana aya 2 garis pertahanan: untrust -> dmz sareng dmz -> kapercayaan. Ogé, panyalindungan biasana dugi ka daptar aksés dumasar kana lulugu L3/L4 (OSI) (IP, port TCP/UDP, umbul TCP). Sagalana patali jeung tingkat luhur, kaasup L7, ieu ditinggalkeun ka OS jeung produk kaamanan dipasang dina host tungtung.

Ayeuna kaayaan geus robah nyirorot. Konsep modern enol kapercayaan asalna tina kanyataan yén teu mungkin mertimbangkeun sistem internal, nyaeta, anu lokasina di jero perimeter, sakumaha dipercaya, sarta konsép perimeter sorangan geus kabur.
Salian sambungan internét urang ogé boga

  • aksés jauh pamaké VPN
  • rupa-rupa gadget pribadi, laptop dibawa, disambungkeun via WiFi kantor
  • kantor séjén (cabang).
  • integrasi jeung infrastruktur awan

Kumaha pendekatan Zero Trust dina prakna?

Ideally, ngan lalulintas anu diperlukeun kudu diwenangkeun tur, lamun urang ngobrol ngeunaan idéal, kontrol kedah teu ukur dina tingkat L3 / L4, tapi dina tingkat aplikasi.

Upami, contona, anjeun gaduh kamampuan ngalangkungan sadaya lalu lintas ngalangkungan firewall, maka anjeun tiasa nyobian ngadeukeutan ka idéal. Tapi pendekatan ieu sacara signifikan tiasa ngirangan total rubakpita jaringan anjeun, sareng sajaba ti éta, nyaring ku aplikasi henteu salawasna jalan saé.

Nalika ngadalikeun lalu lintas dina router atanapi switch L3 (ngagunakeun ACL standar), anjeun mendakan masalah anu sanés:

  • Ieu L3/L4 nyaring wungkul. Henteu aya anu ngahalangan panyerang tina ngagunakeun palabuhan anu diidinan (contona TCP 80) pikeun aplikasina (sanés http)
  • manajemén ACL kompléks (hésé parse ACLs)
  • Ieu sanes firewall statefull, hartina anjeun kudu eksplisit ngidinan lalulintas sabalikna
  • kalawan saklar anjeun biasana geulis pageuh kawates ku ukuran TCAM, nu bisa gancang jadi masalah lamun nyandak pendekatan "ngan ngidinan naon butuh".

nyarios

Diomongkeun ngeunaan lalulintas sabalikna, urang kudu inget yen urang boga kasempetan handap (Cisco)

idin tcp naon wae ngadegkeun

Tapi anjeun kedah ngartos yén garis ieu sami sareng dua garis:
ijinkeun tcp wae ack
izin tcp wae heula

Anu hartosna sanajan teu aya bagéan TCP awal sareng bandéra SYN (nyaéta, sési TCP malah henteu mimiti ngadegkeun), ACL ieu bakal ngamungkinkeun pakét kalayan bandéra ACK, anu tiasa dianggo ku panyerang pikeun mindahkeun data.

Nyaéta, jalur ieu henteu ngajantenkeun router anjeun atanapi switch L3 janten firewall statefull.

tingkat luhur panyalindungan

В artikel Dina bagian ngeunaan pusat data, kami nganggap metode perlindungan di handap ieu.

  • firewall stateful (standar)
  • panyalindungan ddos ​​/ dos
  • aplikasi firewall
  • pencegahan ancaman (antivirus, anti spyware, sareng kerentanan)
  • nyaring URL
  • nyaring data (saringan eusi)
  • meungpeuk file (meungpeuk tipe file)

Dina kasus kantor, kaayaanana sami, tapi prioritasna rada béda. Kasadiaan kantor (kasadiaan) biasana henteu kritis sapertos dina kasus pusat data, sedengkeun kamungkinan lalulintas jahat "internal" langkung ageung.
Ku alatan éta, métode panyalindungan di handap pikeun bagéan ieu jadi kritis:

  • aplikasi firewall
  • pencegahan ancaman (anti-virus, anti-spyware, sareng kerentanan)
  • nyaring URL
  • nyaring data (saringan eusi)
  • meungpeuk file (meungpeuk tipe file)

Sanajan sakabéh métode panyalindungan ieu, iwal firewalling aplikasi, geus tradisional geus jeung terus direngsekeun dina host tungtung (contona, ku masang program antipirus) jeung ngagunakeun proxy, NGFWs modern ogé nyadiakeun layanan ieu.

Ngical paralatan kaamanan narékahan pikeun nyieun panyalindungan komprehensif, jadi babarengan jeung perlindungan lokal, aranjeunna nawiskeun rupa-rupa téknologi awan jeung software klien pikeun host (perlindungan titik tungtung / EPP). Ku kituna, contona, ti 2018 Gartner Magic kuadran Urang nempo yén Palo Alto na Cisco boga EPPs sorangan (Pa: sarap, Cisco: AMP), tapi jauh ti pamingpin.

Aktipkeun panyalindungan ieu (biasana ku mésér lisénsi) dina firewall anjeun tangtosna henteu wajib (anjeun tiasa ngalangkungan jalur tradisional), tapi éta masihan sababaraha kauntungan:

  • dina hal ieu, aya hiji titik aplikasi tina métode panyalindungan, nu ngaronjatkeun pisibilitas (tingali topik salajengna).
  • Upami aya alat anu teu dijagi dina jaringan anjeun, éta tetep aya dina "payung" panyalindungan firewall
  • Ku ngagunakeun panyalindungan firewall babarengan jeung panyalindungan end-host, urang ngaronjatkeun likelihood ngadeteksi lalulintas jahat. Salaku conto, ngagunakeun pencegahan anceman dina host lokal sareng dina firewall ningkatkeun kamungkinan deteksi (disadiakeun, tangtosna, solusi ieu dumasar kana produk parangkat lunak anu béda).

nyarios

Upami, contona, anjeun nganggo Kaspersky salaku antipirus boh dina firewall sareng host tungtung, maka ieu, tangtosna, henteu bakal ningkatkeun kasempetan anjeun pikeun nyegah serangan virus dina jaringan anjeun.

pisibilitas jaringan

gagasan sentral basajan - "tingali" naon anu lumangsung dina jaringan anjeun, boh sacara real waktos sareng data sajarah.

Abdi ngabagi "visi" ieu kana dua kelompok:

Kelompok hiji: naon sistem ngawaskeun anjeun biasana nyadiakeun anjeun kalawan.

  • loading parabot
  • saluran loading
  • pamakéan memori
  • pamakéan disk
  • ngarobah tabel routing
  • status link
  • kasadiaan pakakas (atanapi host)
  • ...

Kelompok dua: informasi patali kaamanan.

  • rupa-rupa jenis statistik (contona, ku aplikasi, patalimarga URL, jenis data naon anu diundeur, data pamaké)
  • naon anu diblokir ku kawijakan kaamanan jeung naon alesan, nyaéta
    • aplikasi dilarang
    • dilarang dumasar kana ip / protokol / port / bandéra / zona
    • pencegahan ancaman
    • nyaring url
    • nyaring data
    • meungpeuk file
    • ...
  • statistik dina serangan DOS / DDOS
  • idéntifikasi gagal jeung usaha otorisasina
  • statistik pikeun sakabéh acara palanggaran kawijakan kaamanan di luhur
  • ...

Dina bab kaamanan ieu, urang museurkeun bagian kadua.

Sababaraha firewalls modern (tina pangalaman Palo Alto kuring) nyadiakeun tingkat alus pisibilitas. Tapi, tangtosna, lalu lintas anu anjeun pikahoyong kedah ngalangkungan firewall ieu (upami anjeun gaduh kamampuan pikeun meungpeuk lalu lintas) atanapi dicerminkeun kana firewall (ngan dianggo pikeun ngawaskeun sareng analisa), sareng anjeun kedah gaduh lisénsi pikeun ngaktifkeun sadayana. jasa ieu.

Aya, tangtosna, cara alternatif, atanapi langkung tepatna cara tradisional, contona,

  • Statistik sési tiasa dikumpulkeun via netflow teras dianggo utilitas khusus pikeun analisa inpormasi sareng visualisasi data
  • pencegahan ancaman - program husus (anti-virus, anti spyware, firewall) dina host tungtung
  • Nyaring URL, nyaring data, meungpeuk file - dina proxy
  • eta oge mungkin pikeun nganalisis tcpdump ngagunakeun e.g. ngorondang

Anjeun tiasa ngagabungkeun dua pendekatan ieu, ngalengkepan fitur anu leungit atanapi duplikat aranjeunna pikeun ningkatkeun kamungkinan ngadeteksi serangan.

Pendekatan mana anu anjeun kedah pilih?
Kacida gumantung kana kualifikasi sareng karesep tim anjeun.
Boh aya boh aya pro jeung kontra.

Sistem auténtikasi sareng otorisasi terpusat terpadu

Nalika dirarancang saé, mobilitas anu urang bahas dina tulisan ieu nganggap yén anjeun gaduh aksés anu sami naha anjeun damel ti kantor atanapi ti bumi, ti bandara, ti warung kopi atanapi dimana waé (kalayan watesan anu kami bahas di luhur). Éta sigana, naon masalahna?
Pikeun langkung ngartos pajeulitna tugas ieu, hayu urang tingali desain anu biasa.

conto

  • Anjeun parantos ngabagi sadaya karyawan kana grup. Anjeun geus mutuskeun pikeun nyadiakeun aksés ku grup
  • Di jero kantor, anjeun ngadalikeun aksés dina firewall kantor
  • Anjeun ngadalikeun lalulintas ti kantor ka puseur data dina firewall puseur data
  • Anjeun nganggo Cisco ASA salaku gateway VPN sareng pikeun ngatur lalu lintas anu asup ka jaringan anjeun tina klien jauh, anjeun nganggo ACL lokal (dina ASA).

Ayeuna, anggap anjeun dipenta pikeun nambihan aksés tambahan ka karyawan anu tangtu. Dina hal ieu, anjeun dipenta pikeun nambahkeun aksés ngan ka anjeunna jeung euweuh batur ti grup na.

Keur kitu urang kudu nyieun grup misah pikeun pagawe ieu, nyaeta

  • nyieun kolam renang IP misah dina ASA pikeun pagawe ieu
  • tambahkeun ACL anyar dina ASA sareng ngabeungkeut kana éta klien jauh
  • nyieun kawijakan kaamanan anyar dina firewalls kantor jeung data puseur

Sae upami acara ieu jarang. Tapi dina prakna mah aya kaayaan nalika karyawan ilubiung dina proyék béda, sarta susunan ieu proyék pikeun sawatara di antarana robah rada mindeng, tur éta teu 1-2 jalma, tapi puluhan. Tangtosna, aya anu kedah dirobih di dieu.

Ieu direngsekeun ku cara di handap ieu.

Urang mutuskeun yén LDAP bakal jadi hiji-hijina sumber bebeneran nu nangtukeun sagala aksés pagawe mungkin. Kami nyiptakeun sagala jinis grup anu netepkeun set aksés, sareng kami masihan unggal pangguna ka hiji atanapi langkung grup.

Ku kituna, contona, anggap aya grup

  • tamu (aksés Internét)
  • aksés umum (aksés ka sumberdaya dibagikeun: mail, basis pangaweruh, ...)
  • akuntansi
  • proyék 1
  • proyék 2
  • administrator basis data
  • administrator linux
  • ...

Sareng upami salah sahiji karyawan aub dina proyék 1 sareng proyék 2, sareng anjeunna peryogi aksés anu dipikabutuh pikeun damel di proyék ieu, maka karyawan ieu ditugaskeun ka grup ieu:

  • tatamu
  • aksés umum
  • proyék 1
  • proyék 2

Kumaha ayeuna urang tiasa ngaktipkeun inpormasi ieu kana aksés kana alat jaringan?

Cisco ASA Kawijakan Aksés Dinamis (DAP) (tingali www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) solusi anu pas keur tugas ieu.

Sakeudeung ngeunaan palaksanaan urang, salila prosés idéntifikasi / otorisasina, ASA narima ti LDAP sakumpulan grup pakait jeung pamaké dibikeun tur "ngumpulkeun" ti sababaraha ACLs lokal (masing-masing pakait jeung grup) a ACL dinamis kalayan sagala aksés diperlukeun. , nu pinuh luyu jeung kahayang urang.

Tapi ieu ngan pikeun sambungan VPN. Pikeun ngajantenkeun kaayaan anu sami pikeun karyawan anu nyambung via VPN sareng anu aya di kantor, léngkah-léngkah ieu dilaksanakeun.

Nalika nyambungkeun ti kantor, pamaké ngagunakeun protokol 802.1x réngsé dina boh LAN tamu (pikeun sémah) atawa LAN dibagikeun (pikeun karyawan parusahaan). Saterusna, pikeun ménta aksés husus (contona, pikeun proyék-proyék di puseur data), pagawé kudu nyambung via VPN.

Pikeun nyambung ti kantor sareng ti bumi, grup torowongan anu béda-béda dianggo dina ASA. Ieu diperlukeun ku kituna pikeun maranéhanana nyambungkeun ti kantor, lalulintas keur sumberdaya dibagikeun (dipaké ku sakabéh pagawé, kayaning mail, file server, sistem tikét, dns, ...) teu ngaliwatan ASA, tapi ngaliwatan jaringan lokal. . Ku kituna, kami henteu ngamuat ASA kalayan lalu lintas anu teu dipikabutuh, kalebet lalu lintas inténsitas tinggi.

Ku kituna, masalah ieu direngsekeun.
Urang meunang

  • set sarua aksés pikeun duanana sambungan ti kantor jeung sambungan jauh
  • henteuna degradasi jasa nalika damel ti kantor anu aya hubunganana sareng pangiriman lalu lintas inténsitas tinggi ngalangkungan ASA

Naon kaunggulan sejenna tina pendekatan ieu?
Dina administrasi aksés. Aksés bisa gampang dirobah dina hiji tempat.
Contona, upami hiji pagawe ninggalkeun pausahaan, mangka anjeun ngan saukur miceun manehna tina LDAP, sarta anjeunna otomatis leungit kabeh aksés.

Mariksa host

Kalawan kamungkinan sambungan jauh, urang ngajalankeun résiko sahingga teu ukur hiji pagawe parusahaan kana jaringan, tapi ogé sagala software jahat anu kamungkinan pisan hadir dina komputer na (contona, imah), komo deui, ngaliwatan software ieu kami. bisa jadi nyadiakeun aksés ka jaringan kami ka panyerang ngagunakeun host ieu salaku proxy.

Masuk akal pikeun host anu disambungkeun jarak jauh pikeun nerapkeun syarat kaamanan anu sami sareng host di kantor.

Ieu ogé nganggap versi "bener" tina OS, anti virus, anti spyware, jeung software firewall sarta apdet. Biasana, kamampuan ieu aya dina gerbang VPN (pikeun ASA tingali, contona, di dieu).

Éta ogé wijaksana pikeun nerapkeun analisa lalu lintas sareng téknik blocking anu sami (tingali "Tingkat panyalindungan anu luhur") yén kabijakan kaamanan anjeun berlaku pikeun lalu lintas kantor.

Wajar pikeun nganggap yén jaringan kantor anjeun henteu dugi ka gedong kantor sareng host di jerona.

conto

Téhnik anu saé nyaéta nyayogikeun unggal karyawan anu peryogi aksés jarak jauh kalayan laptop anu saé, merenah sareng ngabutuhkeun aranjeunna damel, boh di kantor sareng ti bumi, ngan ukur ti dinya.

Henteu ngan ukur ningkatkeun kaamanan jaringan anjeun, tapi ogé ngagampangkeun sareng biasana ditingali ku karyawan (upami éta laptop anu saé, ramah-pamaké).

Ngeunaan rasa proporsi sarta kasaimbangan

Dasarna, ieu paguneman ngeunaan vertex katilu tina segitiga urang - ngeunaan harga.
Hayu urang nempo hiji conto hypothetical.

conto

Anjeun gaduh kantor pikeun 200 urang. Anjeun mutuskeun pikeun nyieun salaku merenah tur jadi aman sabisa.

Ku alatan éta, anjeun mutuskeun pikeun nembus sakabéh lalulintas ngaliwatan firewall sahingga pikeun sakabéh subnets kantor firewall teh gateway standar. Salian ti parangkat lunak kaamanan anu dipasang dina unggal host tungtung (anti-virus, anti-spyware, sareng parangkat lunak firewall), anjeun ogé mutuskeun pikeun nerapkeun sadaya metode panyalindungan anu mungkin dina firewall.

Pikeun mastikeun speed sambungan tinggi (sadayana pikeun genah), Anjeun milih saklar kalawan 10 Gigabit palabuhan aksés salaku switch aksés, sarta-kinerja tinggi NGFW firewalls sakumaha firewalls, Contona, Palo Alto 7K runtuyan (jeung 40 palabuhan Gigabit), lumrah jeung sagala lisensi. kaasup jeung, sacara alami, pasangan kasadiaan High.

Ogé, tangtosna, pikeun damel sareng alat-alat ieu kami peryogi sahenteuna sababaraha insinyur kaamanan anu mumpuni.

Salajengna, anjeun mutuskeun pikeun masihan unggal karyawan laptop anu saé.

Total, ngeunaan 10 juta dollar pikeun palaksanaan, ratusan rébu tina dollar (Jigana ngadeukeutan ka juta) pikeun rojongan taunan tur gaji pikeun insinyur.

Kantor, 200 urang...
Sreg? Sigana mah enya.

Anjeun sumping sareng usulan ieu ka manajemén anjeun ...
Panginten aya sababaraha perusahaan di dunya dimana ieu mangrupikeun solusi anu tiasa ditampi sareng leres. Upami anjeun karyawan perusahaan ieu, ucapan salamet, tapi dina kalolobaan kasus, kuring yakin yén pangaweruh anjeun moal diapresiasi ku manajemén.

Ieu conto exaggerated? Bab salajengna bakal ngajawab patarosan ieu.

Upami dina jaringan anjeun anjeun henteu ningali anu di luhur, maka ieu mangrupikeun norma.
Pikeun unggal kasus husus, Anjeun kudu neangan kompromi lumrah sorangan antara genah, harga jeung kaamanan. Sering anjeun henteu peryogi NGFW di kantor anjeun, sareng panyalindungan L7 dina firewall henteu diperyogikeun. Cukup pikeun nyayogikeun tingkat pisibilitas sareng panggeuing anu saé, sareng ieu tiasa dilakukeun nganggo produk open source, contona. Leres, réaksi anjeun kana serangan moal langsung, tapi anu utama nyaéta anjeun bakal ningali éta, sareng kalayan prosés anu leres di tempat di jabatan anjeun, anjeun bakal tiasa gancang netralkeunana.

Sareng kuring ngingetkeun yén, dumasar kana konsép séri tulisan ieu, anjeun henteu ngarancang jaringan, anjeun ngan ukur nyobian ningkatkeun naon anu anjeun pikahoyong.

Analisis AMAN arsitektur kantor

Nengetan pasagi beureum ieu kalawan nu kuring allocated tempat dina diagram ti Pituduh Arsitéktur Kampus Amananu abdi hoyong bahas di dieu.

Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian katilu

Ieu salah sahiji tempat konci arsitéktur sarta salah sahiji uncertainties pangpentingna.

nyarios

Kuring geus pernah nyetél atawa gawé bareng FirePower (tina garis firewall Cisco urang - hijina ASA), jadi kuring bakal ngubaran eta kawas firewall séjén, kawas Juniper SRX atanapi Palo Alto, asumsina boga kamampuhan anu sarua.

Tina desain anu biasa, kuring ngan ukur ningali 4 pilihan pikeun ngagunakeun firewall kalayan sambungan ieu:

  • Gerbang standar pikeun tiap subnet nyaéta saklar, sedengkeun firewall dina modeu transparan (nyaéta, sadaya lalu lintas ngalangkunganana, tapi henteu ngabentuk L3 hop)
  • gateway standar pikeun tiap subnet nyaéta sub-interfaces firewall (atawa interfaces SVI), switch muterkeun peran L2.
  • VRFs béda dipaké dina switch, sarta lalulintas antara VRFs ngaliwatan firewall nu, lalulintas dina hiji VRF dikawasa ku ACL on saklar.
  • sadaya lalu lintas dicerminkeun kana firewall pikeun analisa sareng ngawaskeun; lalu lintas henteu ngalangkunganana

Babasan 1

Kombinasi pilihan ieu mungkin, tapi pikeun kesederhanaan urang moal nganggap aranjeunna.

Catetan2

Aya ogé kamungkinan ngagunakeun PBR (arsitéktur ranté jasa), tapi pikeun ayeuna ieu, sanajan solusi geulis dina pamadegan mah, rada aheng, jadi kuring teu tempo di dieu.

Tina pedaran ngeunaan aliran dina dokumén, urang nempo yén lalulintas masih ngaliwatan firewall nu, nyaeta, luyu jeung desain Cisco, pilihan kaopat ngaleungitkeun.

Hayu urang nempo dua pilihan kahiji.
Kalayan pilihan ieu, sadaya lalu lintas ngalangkungan firewall.

Ayeuna hayu urang tingali lembar data, neuteup Cisco GPL sareng urang tingali yén upami urang hoyong bandwidth total pikeun kantor urang sahenteuna sakitar 10 - 20 gigabit, maka urang kedah mésér versi 4K.

nyarios

Lamun kuring ngobrol ngeunaan total rubakpita, abdi hartosna lalulintas antara subnets (teu dina hiji vilana).

Tina GPL kami ningali yén pikeun HA Bundle sareng Threat Defense, hargana gumantung kana modél (4110 - 4150) beda-beda ti ~ 0,5 - 2,5 juta dolar.

Hartina, desain urang mimiti nyarupaan conto saméméhna.

Naha ieu hartosna desain ieu salah?
Henteu, éta henteu hartosna. Cisco méré Anjeun panyalindungan pangalusna mungkin dumasar kana garis produk eta boga. Tapi sanés hartosna éta kedah dilakukeun pikeun anjeun.

Sacara prinsip, ieu mangrupikeun patarosan umum anu timbul nalika ngarancang kantor atanapi pusat data, sareng éta ngan ukur kedah milarian kompromi.

Salaku conto, ulah ngantepkeun sadaya lalu lintas ngalangkungan firewall, dimana pilihan 3 sigana saé pikeun kuring, atanapi (tingali bagian sateuacana) panginten anjeun henteu peryogi Pertahanan Ancaman atanapi henteu peryogi firewall pisan dina éta. bagean jaringan, jeung anjeun ngan kudu ngawatesan diri ngawas pasip ngagunakeun mayar (teu mahal) atanapi solusi open source, atawa anjeun perlu firewall a, tapi ti ngajual béda.

Biasana sok aya kateupastian ieu sareng teu aya jawaban anu jelas ngeunaan kaputusan mana anu pangsaéna pikeun anjeun.
Ieu pajeulitna sareng kaéndahan tugas ieu.

sumber: www.habr.com

Tambahkeun komentar