Den här artikeln är den femte i serien "Hur du tar kontroll över din nätverksinfrastruktur." Innehållet i alla artiklar i serien och länkar finns .
Den här delen kommer att ägnas åt Campus (kontor) och VPN-segmenten med fjärråtkomst.
Utformning av kontorsnätverk kan verka lätt.
Faktum är att vi tar L2/L3-omkopplare och ansluter dem till varandra. Därefter utför vi den grundläggande installationen av vilans och standardgateways, ställer in enkel routing, ansluter WiFi-kontroller, åtkomstpunkter, installerar och konfigurerar ASA för fjärråtkomst, vi är glada att allt fungerade. I princip, som jag redan skrev i en av de tidigare av denna cykel kan nästan varje student som har gått (och lärt sig) två terminer av en telekomkurs designa och konfigurera ett kontorsnätverk så att det "på något sätt fungerar".
Men ju mer du lär dig, desto mindre enkel börjar denna uppgift verka. För mig personligen verkar det här ämnet, ämnet kontorsnätverksdesign, inte alls enkelt, och i den här artikeln ska jag försöka förklara varför.
Kort sagt, det finns en hel del faktorer att ta hänsyn till. Ofta är dessa faktorer i konflikt med varandra och en rimlig kompromiss måste sökas.
Denna osäkerhet är den största svårigheten. Så, på tal om säkerhet, har vi en triangel med tre hörn: säkerhet, bekvämlighet för anställda, priset på lösningen.
Och varje gång måste du leta efter en kompromiss mellan dessa tre.
Arkitektur
Som ett exempel på en arkitektur för dessa två segment, som i tidigare artiklar, rekommenderar jag modell: , .
Detta är något föråldrade dokument. Jag presenterar dem här eftersom de grundläggande scheman och tillvägagångssätten inte har förändrats, men samtidigt gillar jag presentationen mer än i .
Utan att uppmuntra dig att använda Cisco-lösningar tycker jag ändå att det är användbart att noggrant studera denna design.
Den här artikeln låtsas som vanligt inte på något sätt vara komplett utan är snarare ett tillägg till denna information.
I slutet av artikeln kommer vi att analysera Cisco SAFE-kontorsdesignen utifrån de koncept som beskrivs här.
Allmänna principer
Utformningen av kontorsnätet ska givetvis tillgodose de generella krav som diskuterats i kapitlet ”Kriterier för bedömning av designkvalitet”. Förutom pris och säkerhet, som vi tänker diskutera i den här artikeln, finns det fortfarande tre kriterier som vi måste ta hänsyn till när vi designar (eller gör ändringar):
- skalbarhet
- användarvänlighet (hanterbarhet)
- tillgänglighet
Mycket av det som diskuterades för Detta gäller även för kontoret.
Men ändå har kontorssegmentet sina egna detaljer, som är kritiska ur säkerhetssynpunkt. Kärnan i denna specificitet är att detta segment är skapat för att tillhandahålla nätverkstjänster till anställda (liksom partners och gäster) i företaget, och som ett resultat har vi två uppgifter på högsta nivå av övervägande av problemet:
- skydda företagets resurser från skadliga handlingar som kan komma från anställda (gäster, partners) och från programvaran de använder. Detta inkluderar även skydd mot obehörig anslutning till nätverket.
- skydda system och användardata
Och detta är bara en sida av problemet (eller snarare, en vertex av triangeln). På andra sidan är användarvänligheten och priset på de lösningar som används.
Låt oss börja med att titta på vad en användare förväntar sig av ett modernt kontorsnätverk.
bekvämlighet
Så här ser "nätverksbekvämligheter" ut för en kontorsanvändare enligt min mening:
- mobilitet
- Förmåga att använda hela utbudet av välbekanta enheter och operativsystem
- Enkel åtkomst till alla nödvändiga företagsresurser
- Tillgång till Internetresurser, inklusive olika molntjänster
- "Snabb drift" av nätverket
Allt detta gäller både anställda och gäster (eller partners), och det är företagets ingenjörers uppgift att särskilja åtkomsten för olika användargrupper utifrån behörighet.
Låt oss titta på var och en av dessa aspekter lite mer detaljerat.
mobilitet
Vi talar om möjligheten att arbeta och använda alla nödvändiga företagsresurser från var som helst i världen (naturligtvis där Internet är tillgängligt).
Detta gäller fullt ut kontoret. Detta är praktiskt när du har möjlighet att fortsätta arbeta var som helst på kontoret, till exempel ta emot e-post, kommunicera i en företagsbudbärare, vara tillgänglig för ett videosamtal, ... Detta gör att du å ena sidan, att lösa vissa problem "live"-kommunikation (till exempel delta i rallyn), och å andra sidan alltid vara online, hålla fingret på pulsen och snabbt lösa några akuta högprioriterade uppgifter. Detta är mycket bekvämt och förbättrar verkligen kvaliteten på kommunikationen.
Detta uppnås genom korrekt WiFi-nätverksdesign.
anmärkning
Här uppstår oftast frågan: räcker det att bara använda WiFi? Betyder detta att du kan sluta använda Ethernet-portar på kontoret? Om vi bara pratar om användare, och inte om servrar, som fortfarande är rimliga att ansluta till en vanlig Ethernet-port, så är svaret i allmänhet: ja, du kan begränsa dig till enbart WiFi. Men det finns nyanser.
Det finns viktiga användargrupper som kräver ett separat tillvägagångssätt. Dessa är naturligtvis administratörer. I princip är en WiFi-anslutning mindre tillförlitlig (när det gäller trafikförlust) och långsammare än en vanlig Ethernet-port. Detta kan vara viktigt för administratörer. Dessutom kan exempelvis nätverksadministratörer i princip ha ett eget dedikerat Ethernet-nätverk för out-of-band-anslutningar.
Det kan finnas andra grupper/avdelningar i ditt företag för vilka dessa faktorer också är viktiga.
Det finns en annan viktig punkt - telefoni. Av någon anledning kanske du inte vill använda trådlös VoIP och vill använda IP-telefoner med en vanlig Ethernet-anslutning.
Generellt sett hade de företag jag arbetade för vanligtvis både WiFi-anslutning och en Ethernet-port.
Jag skulle vilja att rörligheten inte begränsas till bara kontoret.
För att säkerställa möjligheten att arbeta hemifrån (eller någon annan plats med tillgängligt internet) används en VPN-anslutning. Samtidigt är det önskvärt att de anställda inte känner skillnaden mellan att arbeta hemifrån och distansarbete, vilket förutsätter samma tillgång. Vi kommer att diskutera hur man organiserar detta lite senare i kapitlet "Enhetligt centraliserat autentiserings- och auktoriseringssystem."
anmärkning
Troligtvis kommer du inte att fullt ut kunna tillhandahålla samma kvalitet på tjänster för distansarbete som du har på kontoret. Låt oss anta att du använder en Cisco ASA 5520 som din VPN-gateway. den här enheten kan bara "smälta" 225 Mbit VPN-trafik. Det är, naturligtvis, när det gäller bandbredd, att ansluta via VPN skiljer sig mycket från att arbeta från kontoret. Dessutom, om, av någon anledning, latens, förlust, jitter (till exempel vill du använda kontors-IP-telefoni) för dina nätverkstjänster är betydande, kommer du inte heller att få samma kvalitet som om du var på kontoret. När vi talar om rörlighet måste vi därför vara medvetna om möjliga begränsningar.
Enkel åtkomst till alla företagets resurser
Denna uppgift bör lösas tillsammans med andra tekniska avdelningar.
Den idealiska situationen är när användaren bara behöver autentisera en gång, och efter det har han tillgång till alla nödvändiga resurser.
Att ge enkel åtkomst utan att offra säkerheten kan avsevärt förbättra produktiviteten och minska stressen bland dina kollegor.
Anteckning 1
Enkel åtkomst handlar inte bara om hur många gånger du måste ange ett lösenord. Om du till exempel i enlighet med din säkerhetspolicy för att ansluta från kontoret till datacentret först måste ansluta till VPN-gatewayen och samtidigt förlorar åtkomst till kontorsresurser, så är detta också mycket , mycket obekvämt.
Anteckning 2
Det finns tjänster (till exempel tillgång till nätverksutrustning) där vi vanligtvis har egna dedikerade AAA-servrar och det är normen när vi i det här fallet ska autentisera flera gånger.
Tillgång till Internetresurser
Internet är inte bara underhållning, utan också en uppsättning tjänster som kan vara mycket användbara för arbetet. Det finns också rent psykologiska faktorer. En modern person är ansluten till andra människor via Internet genom många virtuella trådar, och enligt min mening är det inget fel om han fortsätter att känna denna anslutning även när han arbetar.
Ur slöserisynpunkt är det inget fel om en anställd till exempel har Skype igång och lägger 5 minuter på att kommunicera med en nära och kära om det behövs.
Innebär det att internet alltid ska vara tillgängligt, betyder det att anställda kan ha tillgång till alla resurser och inte kontrollera dem på något sätt?
Nej betyder inte det såklart. Graden av öppenhet på Internet kan variera för olika företag – från fullständig nedläggning till fullständig öppenhet. Vi kommer att diskutera sätt att kontrollera trafiken senare i avsnitten om säkerhetsåtgärder.
Möjlighet att använda hela utbudet av välbekanta enheter
Det är praktiskt när du till exempel har möjlighet att fortsätta använda alla kommunikationsmedel du är van vid på jobbet. Det är inga svårigheter att tekniskt implementera detta. För detta behöver du WiFi och en gäst wilan.
Det är också bra om du har möjlighet att använda operativsystemet du är van vid. Men enligt min observation är detta vanligtvis bara tillåtet för chefer, administratörer och utvecklare.
Exempel
Du kan naturligtvis följa förbudens väg, förbjuda fjärråtkomst, förbjuda anslutning från mobila enheter, begränsa allt till statiska Ethernet-anslutningar, begränsa tillgången till Internet, tvångsmässigt konfiskera mobiltelefoner och prylar vid checkpointen... och denna väg följs faktiskt av vissa organisationer med ökade säkerhetskrav, och kanske i vissa fall kan detta vara motiverat, men... ni måste hålla med om att detta ser ut som ett försök att stoppa framsteg i en enskild organisation. Självklart skulle jag vilja kombinera de möjligheter som modern teknik ger med en tillräcklig säkerhetsnivå.
"Snabb drift" av nätverket
Dataöverföringshastigheten består tekniskt sett av många faktorer. Och hastigheten på din anslutningsport är vanligtvis inte den viktigaste. Den långsamma driften av en applikation är inte alltid förknippad med nätverksproblem, men för närvarande är vi bara intresserade av nätverksdelen. Det vanligaste problemet med lokala nätverks "avmattning" är relaterat till paketförlust. Detta inträffar vanligtvis när det finns en flaskhals eller L1 (OSI) problem. Mer sällan, med vissa konstruktioner (till exempel när dina undernät har en brandvägg som standardgateway och därmed all trafik går genom den), kan hårdvaruprestanda saknas.
När du väljer utrustning och arkitektur måste du därför korrelera hastigheterna för ändportar, trunkar och utrustningsprestanda.
Exempel
Låt oss anta att du använder switchar med 1 gigabit-portar som accesslagerswitchar. De är kopplade till varandra via Etherchannel 2 x 10 gigabit. Som standard-gateway använder du en brandvägg med gigabit-portar, för att ansluta till L2-kontorsnätverket du använder 2 gigabit-portar kombinerade till en Etherchannel.
Denna arkitektur är ganska bekväm ur funktionalitetssynpunkt, eftersom... All trafik går genom brandväggen, och du kan bekvämt hantera åtkomstpolicyer och tillämpa komplexa algoritmer för att kontrollera trafik och förhindra eventuella attacker (se nedan), men ur genomströmnings- och prestandasynpunkt har den här designen naturligtvis potentiella problem. Så till exempel kan 2 värdar som laddar ner data (med en porthastighet på 1 gigabit) ladda en 2 gigabit-anslutning helt till brandväggen och därmed leda till tjänsteförsämring för hela kontorssegmentet.
Vi har tittat på triangelns ena hörn, låt oss nu titta på hur vi kan säkerställa säkerheten.
Skyddsmedel
Så, naturligtvis, vanligtvis är vår önskan (eller snarare, vår lednings önskan) att uppnå det omöjliga, nämligen att tillhandahålla maximal bekvämlighet med maximal säkerhet och minimal kostnad.
Låt oss titta på vilka metoder vi har för att ge skydd.
För kontoret vill jag lyfta fram följande:
- noll förtroende för design
- hög skyddsnivå
- nätverkssynlighet
- enhetligt centraliserat autentiserings- och auktoriseringssystem
- värdkontroll
Därefter kommer vi att uppehålla oss lite mer i detalj vid var och en av dessa aspekter.
Nollförtroende
IT-världen förändras väldigt snabbt. Bara under de senaste 10 åren har framväxten av nya teknologier och produkter lett till en stor revidering av säkerhetskoncept. För tio år sedan, ur säkerhetssynpunkt, segmenterade vi nätverket i trust-, dmz- och untrust-zoner och använde det så kallade "perimeterskyddet", där det fanns 2 försvarslinjer: untrust -> dmz och dmz -> förtroende. Skyddet var också vanligtvis begränsat till åtkomstlistor baserade på L3/L4 (OSI)-rubriker (IP, TCP/UDP-portar, TCP-flaggor). Allt relaterat till högre nivåer, inklusive L7, överläts till OS och säkerhetsprodukter installerade på slutvärdarna.
Nu har situationen förändrats dramatiskt. Modernt koncept kommer från det faktum att det inte längre är möjligt att betrakta interna system, det vill säga de som ligger innanför omkretsen, som betrodda, och själva begreppet omkrets har blivit suddigt.
Förutom internetuppkoppling har vi också
- VPN-användare med fjärråtkomst
- olika personliga prylar, medtagna bärbara datorer, uppkopplade via kontors-WiFi
- andra (filial)kontor
- integration med molninfrastruktur
Hur ser Zero Trust-upplägget ut i praktiken?
Helst bör endast den trafik som krävs tillåtas och, om vi talar om ett ideal, bör kontroll inte bara ske på L3/L4-nivå, utan på applikationsnivå.
Om du till exempel har möjlighet att passera all trafik genom en brandvägg, då kan du försöka komma närmare idealet. Men detta tillvägagångssätt kan avsevärt minska den totala bandbredden för ditt nätverk, och dessutom fungerar inte alltid filtrering efter applikation bra.
När du styr trafik på en router eller L3-switch (med standard ACL) stöter du på andra problem:
- Detta är endast L3/L4-filtrering. Det finns inget som hindrar en angripare från att använda tillåtna portar (t.ex. TCP 80) för sin applikation (inte http)
- komplex ACL-hantering (svårt att tolka ACL)
- Detta är inte en statefull brandvägg, vilket innebär att du uttryckligen måste tillåta omvänd trafik
- med switchar är du vanligtvis ganska hårt begränsad av storleken på TCAM, vilket snabbt kan bli ett problem om du använder metoden "tillåt bara vad du behöver"
anmärkning
På tal om omvänd trafik måste vi komma ihåg att vi har följande möjlighet (Cisco)
tillåta tcp någon etablerad
Men du måste förstå att den här linjen motsvarar två linjer:
tillåt tcp vilken som helst ack
tillåt tcp någon som helstVilket innebär att även om det inte fanns något initialt TCP-segment med SYN-flaggan (det vill säga TCP-sessionen började inte ens etableras), kommer denna ACL att tillåta ett paket med ACK-flaggan, som en angripare kan använda för att överföra data.
Det vill säga, denna linje förvandlar inte på något sätt din router eller L3-switch till en statefull brandvägg.
Hög skyddsnivå
В I avsnittet om datacenter övervägde vi följande skyddsmetoder.
- stateful brandvägg (standard)
- ddos/dos skydd
- applikationsbrandvägg
- hotförebyggande (antivirus, antispionprogram och sårbarhet)
- URL -filtrering
- datafiltrering (innehållsfiltrering)
- filblockering (filtypsblockering)
När det gäller ett kontor är situationen likartad, men prioriteringarna är något annorlunda. Kontorstillgänglighet (tillgänglighet) är vanligtvis inte lika kritisk som i fallet med ett datacenter, medan sannolikheten för "intern" skadlig trafik är storleksordningar högre.
Därför blir följande skyddsmetoder för detta segment kritiska:
- applikationsbrandvägg
- hotförebyggande (antivirus, antispionprogram och sårbarhet)
- URL -filtrering
- datafiltrering (innehållsfiltrering)
- filblockering (filtypsblockering)
Även om alla dessa skyddsmetoder, med undantag för applikationsbrandväggar, traditionellt har varit och fortsätter att lösas på slutvärdarna (till exempel genom att installera antivirusprogram) och använda proxyservrar, tillhandahåller moderna NGFW också dessa tjänster.
Säkerhetsutrustningsleverantörer strävar efter att skapa ett heltäckande skydd, så tillsammans med lokalt skydd erbjuder de olika molnteknologier och klientprogramvara för värdar (slutpunktsskydd/EPP). Så till exempel från Vi ser att Palo Alto och Cisco har sina egna EPPs (PA: Traps, Cisco: AMP), men är långt ifrån ledarna.
Att aktivera dessa skydd (vanligtvis genom att köpa licenser) på din brandvägg är naturligtvis inte obligatoriskt (du kan gå den traditionella vägen), men det ger vissa fördelar:
- i det här fallet finns det en enda punkt för tillämpning av skyddsmetoder, vilket förbättrar synligheten (se nästa ämne).
- Om det finns en oskyddad enhet i ditt nätverk faller den fortfarande under brandväggsskyddets "paraply"
- Genom att använda brandväggsskydd i kombination med slutvärdsskydd ökar vi sannolikheten för att upptäcka skadlig trafik. Att till exempel använda hotprevention på lokala värdar och på en brandvägg ökar sannolikheten för upptäckt (förutsatt att dessa lösningar är baserade på olika mjukvaruprodukter)
anmärkning
Om du till exempel använder Kaspersky som ett antivirus både på brandväggen och på slutvärdarna, så kommer detta naturligtvis inte att öka dina chanser nämnvärt att förhindra en virusattack på ditt nätverk.
Nätverkssynlighet
är enkelt - "se" vad som händer på ditt nätverk, både i realtid och historiska data.
Jag skulle dela upp denna "vision" i två grupper:
Grupp ett: vad ditt övervakningssystem vanligtvis förser dig med.
- lastning av utrustning
- ladda kanaler
- minnesanvändning
- diskanvändning
- ändra routingtabellen
- länkstatus
- tillgänglighet av utrustning (eller värdar)
- .
Grupp två: säkerhetsrelaterad information.
- olika typer av statistik (till exempel per applikation, efter URL-trafik, vilka typer av data som laddades ner, användardata)
- vad som blockerades av säkerhetspolicyer och av vilken anledning, nämligen
- förbjuden tillämpning
- förbjudet baserat på ip/protokoll/port/flaggor/zoner
- förebyggande av hot
- url-filtrering
- datafiltrering
- filblockering
- .
- statistik över DOS/DDOS-attacker
- misslyckade identifierings- och auktoriseringsförsök
- statistik för alla ovanstående säkerhetspolicyöverträdelser
- .
I det här kapitlet om säkerhet är vi intresserade av den andra delen.
Vissa moderna brandväggar (från min Palo Alto-erfarenhet) ger en god synlighet. Men naturligtvis måste trafiken du är intresserad av gå genom denna brandvägg (i så fall har du möjlighet att blockera trafik) eller speglad till brandväggen (används endast för övervakning och analys), och du måste ha licenser för att aktivera alla dessa tjänster.
Det finns naturligtvis ett alternativt sätt, eller snarare det traditionella sättet, t.ex.
- Sessionsstatistik kan samlas in via netflow och sedan användas speciella verktyg för informationsanalys och datavisualisering
- hotförebyggande – specialprogram (antivirus, antispionprogram, brandvägg) på slutvärdar
- URL-filtrering, datafiltrering, filblockering – på proxy
- det går även att analysera tcpdump med hjälp av t.ex.
Du kan kombinera dessa två metoder, komplettera saknade funktioner eller duplicera dem för att öka sannolikheten för att upptäcka en attack.
Vilket tillvägagångssätt ska du välja?
Beror mycket på ditt lags kvalifikationer och preferenser.
Både där och där finns för- och nackdelar.
Enhetligt centraliserat autentiserings- och auktoriseringssystem
När den är väl utformad förutsätter mobiliteten vi diskuterade i den här artikeln att du har samma tillgång oavsett om du arbetar från kontoret eller hemifrån, från flygplatsen, från ett kafé eller någon annanstans (med de begränsningar som vi diskuterade ovan). Det verkar, vad är problemet?
För att bättre förstå komplexiteten i denna uppgift, låt oss titta på en typisk design.
Exempel
- Ni har delat in alla anställda i grupper. Du har bestämt dig för att ge åtkomst av grupper
- Inne på kontoret styr du åtkomsten på kontorets brandvägg
- Du styr trafiken från kontoret till datacentret på datacentrets brandvägg
- Du använder en Cisco ASA som en VPN-gateway och för att styra trafik som kommer in i ditt nätverk från fjärrklienter använder du lokala (på ASA) ACL:er
Låt oss nu säga att du blir ombedd att lägga till ytterligare åtkomst till en viss anställd. I det här fallet uppmanas du att lägga till åtkomst endast till honom och ingen annan från hans grupp.
För detta måste vi skapa en separat grupp för den här medarbetaren, det vill säga
- skapa en separat IP-pool på ASA för denna anställd
- lägg till en ny ACL på ASA och bind den till den fjärrklienten
- skapa nya säkerhetspolicyer för kontors- och datacenterbrandväggar
Det är bra om denna händelse är sällsynt. Men i min praktik var det en situation när anställda deltog i olika projekt, och den här uppsättningen av projekt för några av dem ändrades ganska ofta, och det var inte 1-2 personer, utan dussintals. Naturligtvis behövde något ändras här.
Detta löstes på följande sätt.
Vi beslutade att LDAP skulle vara den enda sanningskällan som avgör alla möjliga anställdas åtkomster. Vi skapade alla typer av grupper som definierar uppsättningar av åtkomster, och vi tilldelade varje användare till en eller flera grupper.
Så, till exempel, anta att det fanns grupper
- gäst (internetåtkomst)
- gemensam åtkomst (tillgång till delade resurser: post, kunskapsbas, ...)
- redovisning
- projekt 1
- projekt 2
- databasadministratör
- linux administratör
- .
Och om en av de anställda var involverad i både projekt 1 och projekt 2, och han behövde den åtkomst som krävs för att arbeta i dessa projekt, tilldelas denna anställde till följande grupper:
- gäst
- gemensam tillgång
- projekt 1
- projekt 2
Hur kan vi nu omvandla denna information till åtkomst på nätverksutrustning?
Cisco ASA Dynamic Access Policy (DAP) (se ) lösningen är helt rätt för denna uppgift.
Kort om vår implementering, under identifiering/auktoriseringsprocessen, tar ASA emot från LDAP en uppsättning grupper som motsvarar en given användare och "samlar" från flera lokala ACL:er (som var och en motsvarar en grupp) en dynamisk ACL med alla nödvändiga åtkomster , vilket helt motsvarar våra önskemål.
Men detta är bara för VPN-anslutningar. För att göra situationen lika för både anställda anslutna via VPN och de på kontoret togs följande steg.
Vid anslutning från kontoret hamnade användare som använder 802.1x-protokollet i antingen ett gäst-LAN (för gäster) eller ett delat LAN (för företagets anställda). Vidare, för att få specifik åtkomst (till exempel till projekt i ett datacenter), var anställda tvungna att ansluta via VPN.
För att ansluta från kontoret och hemifrån användes olika tunnelgrupper på ASA. Detta är nödvändigt så att för de som ansluter från kontoret, trafik till delade resurser (används av alla anställda, såsom e-post, filservrar, biljettsystem, dns, ...) inte går via ASA, utan genom det lokala nätverket . Vi laddade alltså inte ASA med onödig trafik, inklusive högintensiv trafik.
Därmed var problemet löst.
Vi har
- samma uppsättning åtkomster för både anslutningar från kontoret och fjärranslutningar
- frånvaro av serviceförsämring vid arbete från kontoret i samband med överföring av högintensiv trafik genom ASA
Vilka andra fördelar med detta tillvägagångssätt?
I åtkomstadministration. Åtkomster kan enkelt ändras på ett ställe.
Till exempel, om en anställd lämnar företaget, tar du helt enkelt bort honom från LDAP, och han förlorar automatiskt all åtkomst.
Värdkontroll
Med möjligheten till fjärranslutning riskerar vi att tillåta inte bara en företagsanställd i nätverket, utan även all skadlig programvara som med stor sannolikhet finns på hans dator (till exempel hem), och dessutom, genom denna programvara kan ge åtkomst till vårt nätverk till en angripare som använder denna värd som proxy.
Det är vettigt för en fjärransluten värd att tillämpa samma säkerhetskrav som en värd på kontoret.
Detta förutsätter också den "rätta" versionen av operativsystemet, antivirus, antispionprogram och brandväggsprogram och uppdateringar. Vanligtvis finns denna funktion på VPN-gatewayen (för ASA se t.ex. ).
Det är också klokt att använda samma trafikanalys och blockeringsteknik (se "Hög skyddsnivå") som din säkerhetspolicy gäller för kontorstrafik.
Det är rimligt att anta att ditt kontorsnätverk inte längre är begränsat till kontorsbyggnaden och värdarna inom den.
Exempel
En bra teknik är att förse varje anställd som behöver fjärråtkomst med en bra, bekväm bärbar dator och kräva att de arbetar, både på kontoret och hemifrån, bara från den.
Det förbättrar inte bara säkerheten för ditt nätverk, utan det är också väldigt bekvämt och ses vanligtvis positivt av anställda (om det är en riktigt bra, användarvänlig bärbar dator).
Om känsla för proportioner och balans
I grund och botten är detta en konversation om det tredje hörnet av vår triangel - om pris.
Låt oss titta på ett hypotetiskt exempel.
Exempel
Du har ett kontor för 200 personer. Du bestämde dig för att göra det så bekvämt och så säkert som möjligt.
Därför bestämde du dig för att skicka all trafik genom brandväggen och för alla kontorsundernät är brandväggen standardgatewayen. Utöver säkerhetsprogramvaran som är installerad på varje slutvärd (antivirus, antispionprogram och brandväggsprogram), bestämde du dig också för att tillämpa alla möjliga skyddsmetoder på brandväggen.
För att säkerställa hög anslutningshastighet (allt för enkelhetens skull) valde du switchar med 10 Gigabit accessportar som access switchar och högpresterande NGFW brandväggar som brandväggar, till exempel Palo Alto 7K-serien (med 40 Gigabit portar), naturligtvis med alla licenser ingår och, naturligtvis, ett par med hög tillgänglighet.
För att arbeta med denna utrustning behöver vi naturligtvis åtminstone ett par högt kvalificerade säkerhetsingenjörer.
Därefter bestämde du dig för att ge varje anställd en bra bärbar dator.
Totalt cirka 10 miljoner dollar för implementering, hundratusentals dollar (tror jag närmare en miljon) för årlig support och löner för ingenjörer.
Kontor, 200 personer...
Bekväm? Jag antar att det är ja.Du kommer med detta förslag till din ledning...
Kanske finns det ett antal företag i världen för vilka detta är en acceptabel och korrekt lösning. Om du är anställd på detta företag, gratulerar jag, men i de allra flesta fall är jag säker på att dina kunskaper inte kommer att uppskattas av ledningen.
Är detta exempel överdrivet? Nästa kapitel kommer att besvara denna fråga.
Om du inte ser något av ovanstående på ditt nätverk, är detta normen.
För varje specifikt fall måste du hitta din egen rimliga kompromiss mellan bekvämlighet, pris och säkerhet. Ofta behöver du inte ens NGFW på ditt kontor, och L7-skydd på brandväggen krävs inte. Det räcker med att ge en bra nivå av synlighet och varningar, och detta kan göras med till exempel produkter med öppen källkod. Ja, din reaktion på en attack kommer inte att vara omedelbar, men huvudsaken är att du kommer att se den, och med rätt processer på plats på din avdelning kommer du snabbt att kunna neutralisera den.
Och låt mig påminna dig om att, enligt konceptet för denna artikelserie, designar du inte ett nätverk, du försöker bara förbättra det du har.
SÄKER analys av kontorsarkitektur
Var uppmärksam på denna röda ruta som jag tilldelade en plats på diagrammet från som jag skulle vilja diskutera här.
Detta är en av arkitekturens nyckelplatser och en av de viktigaste osäkerheterna.
anmärkning
Jag har aldrig konfigurerat eller arbetat med FirePower (från Ciscos brandväggslinje - bara ASA), så jag kommer att behandla den som vilken annan brandvägg som helst, som Juniper SRX eller Palo Alto, förutsatt att den har samma kapacitet.
Av de vanliga designerna ser jag bara fyra möjliga alternativ för att använda en brandvägg med denna anslutning:
- standardgatewayen för varje subnät är en switch, medan brandväggen är i transparent läge (det vill säga all trafik går igenom den, men den bildar inte ett L3-hopp)
- standardgatewayen för varje subnät är brandväggens undergränssnitt (eller SVI-gränssnitt), switchen spelar rollen som L2
- olika VRF:er används på switchen, och trafik mellan VRF:er går genom brandväggen, trafik inom en VRF styrs av ACL på switchen
- all trafik speglas till brandväggen för analys och övervakning, trafik går inte igenom den
Anteckning 1
Kombinationer av dessa alternativ är möjliga, men för enkelhetens skull kommer vi inte att överväga dem.
Anteckning 2
Det finns också möjlighet att använda PBR (service chain architecture), men för närvarande är detta, även om det är en vacker lösning enligt mig, ganska exotiskt, så jag överväger det inte här.
Från beskrivningen av flödena i dokumentet ser vi att trafiken fortfarande går genom brandväggen, det vill säga i enlighet med Cisco-designen elimineras det fjärde alternativet.
Låt oss först titta på de två första alternativen.
Med dessa alternativ går all trafik genom brandväggen.
Nu tittar vi , se och vi ser att om vi vill att den totala bandbredden för vårt kontor ska vara minst runt 10 - 20 gigabit, så måste vi köpa 4K-versionen.
anmärkning
När jag pratar om den totala bandbredden menar jag trafik mellan subnät (och inte inom en vilana).
Från GPL ser vi att för HA Bundle with Threat Defense varierar priset beroende på modell (4110 - 4150) från ~0,5 - 2,5 miljoner dollar.
Det vill säga, vår design börjar likna det tidigare exemplet.
Betyder detta att den här designen är fel?
Nej, det betyder inte det. Cisco ger dig bästa möjliga skydd baserat på den produktlinje den har. Men det betyder inte att det är ett måste för dig.
Det är i princip en vanlig fråga som dyker upp när man designar ett kontor eller datacenter, och det betyder bara att en kompromiss behöver sökas.
Låt till exempel inte all trafik gå genom en brandvägg, i så fall verkar alternativ 3 ganska bra för mig, eller (se föregående avsnitt) kanske du inte behöver Threat Defense eller behöver ingen brandvägg alls på det nätverkssegment, och du behöver bara begränsa dig till passiv övervakning med betalda (inte dyra) eller öppen källkodslösningar, eller så behöver du en brandvägg, men från en annan leverantör.
Vanligtvis finns det alltid denna osäkerhet och det finns inget tydligt svar på vilket beslut som är bäst för dig.
Detta är komplexiteten och skönheten i denna uppgift.
Källa: will.com