ProHoster > blog > Utawala > Jinsi ya kuchukua udhibiti wa miundombinu ya mtandao wako. Sura ya tatu. Usalama wa mtandao. Sehemu ya tatu

Jinsi ya kuchukua udhibiti wa miundombinu ya mtandao wako. Sura ya tatu. Usalama wa mtandao. Sehemu ya tatu

Makala haya ni ya tano katika mfululizo wa “Jinsi ya Kudhibiti Miundombinu ya Mtandao Wako.” Yaliyomo katika nakala zote kwenye safu na viungo vinaweza kupatikana hapa.

Sehemu hii itatumika kwa Kampasi (Ofisi) na sehemu za VPN za ufikiaji wa Mbali.

Jinsi ya kuchukua udhibiti wa miundombinu ya mtandao wako. Sura ya tatu. Usalama wa mtandao. Sehemu ya tatu

Muundo wa mtandao wa ofisi unaweza kuonekana kuwa rahisi.

Hakika, tunachukua swichi za L2/L3 na kuziunganisha kwa kila mmoja. Ifuatayo, tunafanya usanidi wa kimsingi wa wahalifu na lango la msingi, weka njia rahisi, unganisha vidhibiti vya WiFi, vituo vya ufikiaji, sasisha na usanidi ASA kwa ufikiaji wa mbali, tunafurahi kuwa kila kitu kilifanya kazi. Kimsingi, kama nilivyoandika katika moja ya hapo awali makala wa mzunguko huu, karibu kila mwanafunzi ambaye amehudhuria (na kujifunza) mihula miwili ya kozi ya mawasiliano ya simu anaweza kubuni na kusanidi mtandao wa ofisi ili “ufanye kazi kwa njia fulani.”

Lakini kadiri unavyojifunza zaidi, ndivyo kazi hii inavyoanza kuonekana kuwa rahisi. Kwa mimi binafsi, mada hii, mada ya kubuni mtandao wa ofisi, haionekani kuwa rahisi kabisa, na katika makala hii nitajaribu kueleza kwa nini.

Kwa kifupi, kuna mambo machache kabisa ya kuzingatia. Mara nyingi mambo haya yanakinzana na maelewano yanayofaa yanapaswa kutafutwa.
Kutokuwa na uhakika huu ndio ugumu kuu. Kwa hivyo, tukizungumza juu ya usalama, tuna pembetatu iliyo na wima tatu: usalama, urahisi wa wafanyikazi, bei ya suluhisho.
Na kila wakati inabidi utafute maelewano kati ya haya matatu.

usanifu

Kama mfano wa usanifu wa sehemu hizi mbili, kama katika nakala zilizopita, ninapendekeza Cisco SALAMA mfano: Kampasi ya Biashara, Biashara Internet Edge.

Hizi ni hati ambazo zimepitwa na wakati. Ninaziwasilisha hapa kwa sababu skimu na mbinu za kimsingi hazijabadilika, lakini wakati huo huo napenda uwasilishaji zaidi kuliko katika nyaraka mpya.

Bila kukuhimiza kutumia suluhisho za Cisco, bado nadhani ni muhimu kusoma kwa uangalifu muundo huu.

Nakala hii, kama kawaida, haijifanya kuwa kamili, lakini ni nyongeza ya habari hii.

Mwishoni mwa kifungu, tutachambua muundo wa ofisi ya Cisco SAFE kulingana na dhana zilizoainishwa hapa.

Kanuni kuu

Muundo wa mtandao wa ofisi lazima, bila shaka, ukidhi mahitaji ya jumla ambayo yamejadiliwa hapa katika sura "Vigezo vya kutathmini ubora wa muundo". Kando na bei na usalama, ambazo tunakusudia kujadili katika nakala hii, bado kuna vigezo vitatu ambavyo lazima tuzingatie wakati wa kuunda (au kufanya mabadiliko):

  • scalability
  • urahisi wa matumizi (usimamizi)
  • upatikanaji

Mengi ya yale yaliyojadiliwa vituo vya data Hii pia ni kweli kwa ofisi.

Lakini bado, sehemu ya ofisi ina maalum yake, ambayo ni muhimu kutoka kwa mtazamo wa usalama. Kiini cha maalum hii ni kwamba sehemu hii imeundwa kutoa huduma za mtandao kwa wafanyakazi (pamoja na washirika na wageni) wa kampuni, na, kwa sababu hiyo, katika ngazi ya juu ya kuzingatia tatizo tuna kazi mbili:

  • linda rasilimali za kampuni dhidi ya vitendo viovu ambavyo vinaweza kutoka kwa wafanyikazi (wageni, washirika) na kutoka kwa programu wanayotumia. Hii pia inajumuisha ulinzi dhidi ya muunganisho usioidhinishwa kwenye mtandao.
  • kulinda mifumo na data ya mtumiaji

Na hii ni upande mmoja tu wa tatizo (au tuseme, vertex moja ya pembetatu). Kwa upande mwingine ni urahisi wa mtumiaji na bei ya suluhisho zinazotumiwa.

Wacha tuanze kwa kuangalia kile mtumiaji anatarajia kutoka kwa mtandao wa kisasa wa ofisi.

Vistawishi

Hivi ndivyo "vistawishi vya mtandao" vinaonekana kwa mtumiaji wa ofisi kwa maoni yangu:

  • Uhamaji
  • Uwezo wa kutumia anuwai kamili ya vifaa vinavyojulikana na mifumo ya uendeshaji
  • Ufikiaji rahisi wa rasilimali zote muhimu za kampuni
  • Upatikanaji wa rasilimali za mtandao, ikiwa ni pamoja na huduma mbalimbali za wingu
  • "Operesheni ya haraka" ya mtandao

Yote hii inatumika kwa wafanyikazi na wageni (au washirika), na ni kazi ya wahandisi wa kampuni kutofautisha ufikiaji wa vikundi tofauti vya watumiaji kulingana na idhini.

Hebu tuangalie kila moja ya vipengele hivi kwa undani zaidi.

Uhamaji

Tunazungumza juu ya fursa ya kufanya kazi na kutumia rasilimali zote muhimu za kampuni kutoka mahali popote ulimwenguni (bila shaka, ambapo mtandao unapatikana).

Hii inatumika kikamilifu kwa ofisi. Hii ni rahisi wakati una fursa ya kuendelea kufanya kazi kutoka mahali popote katika ofisi, kwa mfano, kupokea barua, kuwasiliana na mjumbe wa ushirika, kupatikana kwa simu ya video, ... Kwa hiyo, hii inakuwezesha, kwa upande mmoja, kwa njia ya mjumbe wa ushirika. kusuluhisha maswala kadhaa ya mawasiliano ya "moja kwa moja" (kwa mfano, shiriki katika mikutano), na kwa upande mwingine, kuwa mtandaoni kila wakati, weka kidole chako kwenye mapigo na usuluhishe haraka kazi zingine za kipaumbele. Hii ni rahisi sana na inaboresha ubora wa mawasiliano.

Hii inafanikiwa na muundo sahihi wa mtandao wa WiFi.

Kumbuka

Hapa swali kawaida hutokea: ni ya kutosha kutumia WiFi tu? Hii inamaanisha kuwa unaweza kuacha kutumia bandari za Ethernet ofisini? Ikiwa tunazungumza tu juu ya watumiaji, na sio juu ya seva, ambazo bado zina busara kuunganishwa na bandari ya kawaida ya Ethernet, basi kwa ujumla jibu ni: ndio, unaweza kujizuia kwa WiFi tu. Lakini kuna nuances.

Kuna makundi muhimu ya watumiaji ambayo yanahitaji mbinu tofauti. Bila shaka, hawa ni wasimamizi. Kimsingi, muunganisho wa WiFi hauaminiki sana (kwa suala la upotezaji wa trafiki) na polepole kuliko bandari ya kawaida ya Ethernet. Hii inaweza kuwa muhimu kwa wasimamizi. Kwa kuongeza, wasimamizi wa mtandao, kwa mfano, wanaweza, kimsingi, kuwa na mtandao wao wa kujitolea wa Ethernet kwa miunganisho ya nje ya bendi.

Kunaweza kuwa na vikundi/idara nyingine katika kampuni yako ambayo mambo haya pia ni muhimu.

Kuna jambo lingine muhimu - simu. Labda kwa sababu fulani hutaki kutumia Wireless VoIP na unataka kutumia simu za IP zilizo na muunganisho wa kawaida wa Ethaneti.

Kwa ujumla, kampuni nilizofanyia kazi kawaida zilikuwa na muunganisho wa WiFi na bandari ya Ethernet.

Ningependa uhamaji usiwe mdogo kwa ofisi tu.

Ili kuhakikisha uwezo wa kufanya kazi kutoka nyumbani (au mahali pengine popote na mtandao unaoweza kupatikana), muunganisho wa VPN hutumiwa. Wakati huo huo, ni kuhitajika kwamba wafanyakazi hawajisiki tofauti kati ya kufanya kazi kutoka nyumbani na kazi ya mbali, ambayo inachukua upatikanaji sawa. Tutajadili jinsi ya kupanga hii baadaye kidogo katika sura ya "Uthibitishaji wa kati na mfumo wa uidhinishaji."

Kumbuka

Uwezekano mkubwa zaidi, hautaweza kutoa kikamilifu ubora sawa wa huduma kwa kazi ya mbali ambayo unayo katika ofisi. Hebu tuchukulie kuwa unatumia Cisco ASA 5520 kama lango lako la VPN. Kulingana na karatasi ya data kifaa hiki kina uwezo wa "kusaga" tu 225 Mbit ya trafiki ya VPN. Hiyo ni, bila shaka, kwa suala la bandwidth, kuunganisha kupitia VPN ni tofauti sana na kufanya kazi kutoka kwa ofisi. Pia, ikiwa, kwa sababu fulani, latency, hasara, jitter (kwa mfano, unataka kutumia ofisi ya IP telephony) kwa huduma za mtandao wako ni muhimu, pia hutapokea ubora sawa na kama uko ofisini. Kwa hiyo, wakati wa kuzungumza juu ya uhamaji, ni lazima tujue mapungufu iwezekanavyo.

Ufikiaji rahisi wa rasilimali zote za kampuni

Kazi hii inapaswa kutatuliwa kwa pamoja na idara zingine za kiufundi.
Hali nzuri ni wakati mtumiaji anahitaji tu kuthibitisha mara moja, na baada ya hapo ana upatikanaji wa rasilimali zote muhimu.
Kutoa ufikiaji rahisi bila kutoa usalama kunaweza kuboresha tija kwa kiasi kikubwa na kupunguza mkazo kati ya wenzako.

Sema 1

Ufikiaji rahisi sio tu kuhusu mara ngapi unapaswa kuingiza nenosiri. Ikiwa, kwa mfano, kwa mujibu wa sera yako ya usalama, ili kuunganisha kutoka ofisi hadi kituo cha data, lazima kwanza uunganishe kwenye lango la VPN, na wakati huo huo unapoteza upatikanaji wa rasilimali za ofisi, basi hii pia ni sana. , usumbufu sana.

Sema 2

Kuna huduma (kwa mfano, upatikanaji wa vifaa vya mtandao) ambapo kwa kawaida tuna seva zetu za AAA zilizojitolea na hii ndiyo kawaida wakati katika kesi hii tunapaswa kuthibitisha mara kadhaa.

Upatikanaji wa rasilimali za mtandao

Mtandao sio burudani tu, bali pia seti ya huduma ambazo zinaweza kuwa muhimu sana kwa kazi. Pia kuna sababu za kisaikolojia tu. Mtu wa kisasa ameunganishwa na watu wengine kupitia mtandao kupitia nyuzi nyingi za kawaida, na, kwa maoni yangu, hakuna kitu kibaya ikiwa anaendelea kuhisi uhusiano huu hata wakati wa kufanya kazi.

Kutoka kwa mtazamo wa kupoteza muda, hakuna chochote kibaya ikiwa mfanyakazi, kwa mfano, ana Skype inayoendesha na hutumia dakika 5 kuwasiliana na mpendwa ikiwa ni lazima.

Je, hii ina maana kwamba Intaneti inapaswa kupatikana kila wakati, je, hii ina maana kwamba wafanyakazi wanaweza kupata rasilimali zote na wasizidhibiti kwa njia yoyote?

Hapana haimaanishi hivyo, bila shaka. Kiwango cha uwazi wa mtandao kinaweza kutofautiana kwa makampuni tofauti - kutoka kwa kufungwa kamili hadi uwazi kamili. Tutajadili njia za kudhibiti trafiki baadaye katika sehemu za hatua za usalama.

Uwezo wa kutumia anuwai kamili ya vifaa vinavyojulikana

Ni rahisi wakati, kwa mfano, una fursa ya kuendelea kutumia njia zote za mawasiliano ulizozoea kazini. Hakuna ugumu katika kutekeleza hili kitaalam. Kwa hili unahitaji WiFi na wilan mgeni.

Pia ni nzuri ikiwa una fursa ya kutumia mfumo wa uendeshaji uliozoea. Lakini, kwa uchunguzi wangu, hii kawaida inaruhusiwa tu kwa wasimamizi, wasimamizi na watengenezaji.

Mfano

Unaweza, kwa kweli, kufuata njia ya marufuku, kukataza ufikiaji wa mbali, kukataza kuunganishwa kutoka kwa vifaa vya rununu, kupunguza kila kitu kwa viunganisho vya Ethernet tuli, kikomo cha ufikiaji wa Mtandao, kutaifisha simu za rununu na vidude kwa lazima kwenye kituo cha ukaguzi ... na njia hii. kwa kweli inafuatwa na baadhi ya mashirika yenye mahitaji ya usalama yaliyoongezeka, na pengine katika hali fulani hii inaweza kuhalalishwa, lakini... lazima ukubali kwamba hili linaonekana kama jaribio la kusimamisha maendeleo katika shirika moja. Bila shaka, ningependa kuchanganya fursa ambazo teknolojia za kisasa hutoa kwa kiwango cha kutosha cha usalama.

"Operesheni ya haraka" ya mtandao

Kasi ya uhamishaji data kitaalam ina mambo mengi. Na kasi ya bandari yako ya uunganisho kawaida sio muhimu zaidi. Uendeshaji wa polepole wa programu sio daima unahusishwa na matatizo ya mtandao, lakini kwa sasa tunavutiwa tu na sehemu ya mtandao. Tatizo la kawaida na "kupungua" kwa mtandao wa ndani ni kuhusiana na kupoteza pakiti. Hii kawaida hutokea wakati kuna shida au matatizo ya L1 (OSI). Mara chache zaidi, kwa miundo fulani (kwa mfano, wakati nyavu zako ndogo zina ngome kama lango chaguo-msingi na hivyo trafiki yote huipitia), utendakazi wa maunzi unaweza kukosa.

Kwa hiyo, wakati wa kuchagua vifaa na usanifu, unahitaji kuunganisha kasi ya bandari za mwisho, shina na utendaji wa vifaa.

Mfano

Wacha tufikirie kuwa unatumia swichi zilizo na bandari 1 za gigabit kama swichi za safu ya ufikiaji. Wameunganishwa kwa kila mmoja kupitia Etherchannel 2 x 10 gigabits. Kama lango chaguo-msingi, unatumia ngome iliyo na milango ya gigabit, kuunganisha ambayo kwenye mtandao wa ofisi ya L2 unatumia milango 2 ya gigabit iliyojumuishwa kuwa Etherchannel.

Usanifu huu ni rahisi sana kutoka kwa mtazamo wa utendaji, kwa sababu ... Trafiki zote hupitia ngome, na unaweza kudhibiti sera za ufikiaji kwa urahisi, na kutumia algoriti changamano kudhibiti trafiki na kuzuia mashambulizi yanayoweza kutokea (tazama hapa chini), lakini kutokana na mtazamo wa matokeo na utendaji, muundo huu, bila shaka, una matatizo yanayoweza kutokea. Kwa hiyo, kwa mfano, majeshi 2 ya kupakua data (kwa kasi ya bandari ya gigabit 1) yanaweza kupakia kabisa uunganisho wa gigabit 2 kwenye firewall, na hivyo kusababisha uharibifu wa huduma kwa sehemu nzima ya ofisi.

Tumeangalia kipeo kimoja cha pembetatu, sasa hebu tuangalie jinsi tunavyoweza kuhakikisha usalama.

Njia za ulinzi

Kwa hivyo, kwa kweli, kawaida hamu yetu (au tuseme, hamu ya usimamizi wetu) ni kufikia kisichowezekana, yaani, kutoa urahisi wa juu na usalama wa juu na gharama ya chini.

Hebu tuangalie ni njia gani tunazo za kutoa ulinzi.

Kwa ofisi, ningeangazia yafuatayo:

  • sifuri mbinu ya kubuni
  • kiwango cha juu cha ulinzi
  • mwonekano wa mtandao
  • mfumo wa umoja wa uthibitishaji na uidhinishaji wa kati
  • kuangalia mwenyeji

Ifuatayo, tutakaa kwa undani zaidi juu ya kila moja ya vipengele hivi.

Zero Uaminifu

Ulimwengu wa IT unabadilika haraka sana. Zaidi ya miaka 10 iliyopita, kuibuka kwa teknolojia mpya na bidhaa kumesababisha marekebisho makubwa ya dhana za usalama. Miaka kumi iliyopita, kwa mtazamo wa kiusalama, tuligawa mtandao kuwa maeneo ya kuaminiana, dmz na yasiyoaminika, na tukatumia kinachojulikana kama "ulinzi wa mzunguko", ambapo kulikuwa na njia 2 za ulinzi: kutokuwa na imani -> dmz na dmz -> uaminifu. Pia, ulinzi kwa kawaida ulidhibitiwa kwa orodha za ufikiaji kulingana na vichwa vya L3/L4 (OSI) (IP, bandari za TCP/UDP, bendera za TCP). Kila kitu kinachohusiana na viwango vya juu, pamoja na L7, kiliachwa kwa Mfumo wa Uendeshaji na bidhaa za usalama zilizosakinishwa kwenye seva pangishi za mwisho.

Sasa hali imebadilika sana. Dhana ya kisasa uaminifu sifuri inatokana na ukweli kwamba haiwezekani tena kuzingatia mifumo ya ndani, ambayo ni, zile ziko ndani ya eneo, kama inavyoaminika, na dhana ya mzunguko yenyewe imekuwa wazi.
Mbali na muunganisho wa mtandao pia tunayo

  • ufikiaji wa mbali kwa watumiaji wa VPN
  • gadgets mbalimbali za kibinafsi, zilizoleta laptops, zilizounganishwa kupitia WiFi ya ofisi
  • ofisi nyingine (matawi).
  • ushirikiano na miundombinu ya wingu

Je, mbinu ya Zero Trust inaonekanaje kiutendaji?

Kwa kweli, trafiki tu ambayo inahitajika inapaswa kuruhusiwa na, ikiwa tunazungumza juu ya bora, basi udhibiti haupaswi kuwa tu kwa kiwango cha L3/L4, lakini kwa kiwango cha maombi.

Ikiwa, kwa mfano, una uwezo wa kupitisha trafiki yote kupitia firewall, basi unaweza kujaribu kupata karibu na bora. Lakini mbinu hii inaweza kupunguza kwa kiasi kikubwa jumla ya bandwidth ya mtandao wako, na zaidi ya hayo, kuchuja kwa programu haifanyi kazi vizuri kila wakati.

Unapodhibiti trafiki kwenye kipanga njia au swichi ya L3 (kwa kutumia ACL za kawaida), unakumbana na matatizo mengine:

  • Huu ni uchujaji wa L3/L4 pekee. Hakuna kitu kinachozuia mshambuliaji kutumia milango inayoruhusiwa (kwa mfano TCP 80) kwa programu yao (sio http)
  • usimamizi tata wa ACL (ngumu kuchanganua ACL)
  • Huu sio ngome kamili, kumaanisha unahitaji kuruhusu trafiki ya kurudi nyuma kwa uwazi
  • na swichi kawaida huzuiliwa sana na saizi ya TCAM, ambayo inaweza kuwa shida haraka ikiwa utachukua mbinu ya "ruhusu tu kile unachohitaji".

Kumbuka

Kuzungumza juu ya trafiki ya kurudi nyuma, lazima tukumbuke kuwa tunayo fursa ifuatayo (Cisco)

ruhusu tcp yoyote iliyoanzishwa

Lakini unahitaji kuelewa kuwa mstari huu ni sawa na mistari miwili:
ruhusu tcp ack yoyote
ruhusu tcp mwanzo wowote

Inayomaanisha kuwa hata kama hakukuwa na sehemu ya awali ya TCP iliyo na bendera ya SYN (yaani, kipindi cha TCP hakikuanza hata kuanzishwa), ACL hii itaruhusu pakiti iliyo na bendera ya ACK, ambayo mshambuliaji anaweza kutumia kuhamisha data.

Hiyo ni, laini hii haibadilishi kipanga njia chako au swichi ya L3 kuwa ngome kamili ya moto.

Kiwango cha juu cha ulinzi

В Ibara ya Katika sehemu ya vituo vya data, tulizingatia mbinu zifuatazo za ulinzi.

  • firewalling ya hali (chaguo-msingi)
  • ulinzi wa ddos/dos
  • maombi ya firewalling
  • kuzuia tishio (antivirus, anti-spyware, na mazingira magumu)
  • Uchujaji wa URL
  • kuchuja data (kuchuja yaliyomo)
  • kuzuia faili (kuzuia aina za faili)

Katika kesi ya ofisi, hali ni sawa, lakini vipaumbele ni tofauti kidogo. Upatikanaji wa ofisi (upatikanaji) kwa kawaida si muhimu kama ilivyo kwa kituo cha data, ilhali uwezekano wa trafiki mbaya ya "ndani" ni maagizo ya ukubwa wa juu.
Kwa hivyo, njia zifuatazo za ulinzi wa sehemu hii huwa muhimu:

  • maombi ya firewalling
  • kuzuia tishio (kinga-virusi, anti-spyware, na mazingira magumu)
  • Uchujaji wa URL
  • kuchuja data (kuchuja yaliyomo)
  • kuzuia faili (kuzuia aina za faili)

Ingawa njia hizi zote za ulinzi, isipokuwa programu za kuzima moto, zimesuluhishwa na zinaendelea kusuluhishwa kwenye seva za mwisho (kwa mfano, kwa kusakinisha programu za kuzuia virusi) na kutumia proksi, NGFW za kisasa pia hutoa huduma hizi.

Wachuuzi wa vifaa vya usalama hujitahidi kuunda ulinzi wa kina, kwa hivyo pamoja na ulinzi wa ndani, wanatoa teknolojia mbalimbali za wingu na programu za mteja kwa wapangishi (ulinzi wa sehemu ya mwisho/EPP). Kwa hiyo, kwa mfano, kutoka 2018 Gartner Magic Quadrant Tunaona kwamba Palo Alto na Cisco wana EPP zao (PA: Mitego, Cisco: AMP), lakini wako mbali na viongozi.

Kuwasha ulinzi huu (kawaida kwa kununua leseni) kwenye ngome yako bila shaka si lazima (unaweza kwenda kwa njia ya jadi), lakini inatoa manufaa fulani:

  • katika kesi hii, kuna hatua moja ya matumizi ya mbinu za ulinzi, ambayo inaboresha mwonekano (angalia mada inayofuata).
  • Ikiwa kuna kifaa kisicholindwa kwenye mtandao wako, basi bado iko chini ya "mwavuli" wa ulinzi wa firewall.
  • Kwa kutumia ulinzi wa ngome kwa kushirikiana na ulinzi wa mwenyeji wa mwisho, tunaongeza uwezekano wa kugundua trafiki hasidi. Kwa mfano, kutumia uzuiaji wa vitisho kwa wapangishi wa karibu na kwenye ngome huongeza uwezekano wa kutambuliwa (mradi, bila shaka, suluhu hizi zinatokana na bidhaa tofauti za programu)

Kumbuka

Ikiwa, kwa mfano, unatumia Kaspersky kama antivirus kwenye firewall na kwenye majeshi ya mwisho, basi hii, bila shaka, haitaongeza sana nafasi zako za kuzuia mashambulizi ya virusi kwenye mtandao wako.

Mwonekano wa mtandao

Wazo kuu ni rahisi - "ona" kinachotokea kwenye mtandao wako, katika muda halisi na data ya kihistoria.

Ningegawanya "maono" haya katika vikundi viwili:

Kundi la kwanza: kile ambacho mfumo wako wa ufuatiliaji hukupa kwa kawaida.

  • upakiaji wa vifaa
  • kupakia njia
  • matumizi ya kumbukumbu
  • matumizi ya diski
  • kubadilisha meza ya uelekezaji
  • hali ya kiungo
  • upatikanaji wa vifaa (au majeshi)
  • ...

Kundi la pili: habari zinazohusiana na usalama.

  • aina mbalimbali za takwimu (kwa mfano, kwa maombi, kwa trafiki ya URL, ni aina gani za data zilizopakuliwa, data ya mtumiaji)
  • nini kilizuiwa na sera za usalama na kwa sababu gani, yaani
    • maombi marufuku
    • marufuku kulingana na ip/protocol/port/flags/zones
    • kuzuia vitisho
    • uchujaji wa url
    • kuchuja data
    • kuzuia faili
    • ...
  • takwimu za mashambulizi ya DOS/DDOS
  • majaribio ya kitambulisho na uidhinishaji yameshindwa
  • takwimu za matukio yote ya juu ya ukiukaji wa sera ya usalama
  • ...

Katika sura hii ya usalama, tunavutiwa na sehemu ya pili.

Baadhi ya ngome za kisasa (kutoka kwa uzoefu wangu wa Palo Alto) hutoa kiwango kizuri cha mwonekano. Lakini, kwa kweli, trafiki unayovutiwa nayo lazima ipitie ukuta huu (kwa hali ambayo una uwezo wa kuzuia trafiki) au kuakisiwa kwa ukuta wa moto (unaotumiwa tu kwa ufuatiliaji na uchambuzi), na lazima uwe na leseni ili kuwezesha yote. huduma hizi.

Kuna, kwa kweli, njia mbadala, au tuseme njia ya jadi, kwa mfano,

  • Takwimu za kipindi zinaweza kukusanywa kupitia mtandao na kisha kutumia huduma maalum kwa uchambuzi wa habari na taswira ya data.
  • kuzuia tishio - programu maalum (kupambana na virusi, anti-spyware, firewall) kwenye majeshi ya mwisho
  • Kuchuja URL, kuchuja data, kuzuia faili - kwenye seva mbadala
  • inawezekana pia kuchambua tcpdump kwa kutumia k.m. koroma

Unaweza kuchanganya mbinu hizi mbili, ukikamilisha vipengele vinavyokosekana au kuviiga ili kuongeza uwezekano wa kugundua shambulio.

Je, ni mbinu gani unapaswa kuchagua?
Inategemea sana sifa na matakwa ya timu yako.
Wote huko na kuna faida na hasara.

Mfumo wa umoja wa uthibitishaji na uidhinishaji wa kati

Ikiwa imeundwa vyema, uhamaji tuliojadili katika makala hii unafikiri kwamba una ufikiaji sawa iwe unafanya kazi kutoka ofisi au kutoka nyumbani, kutoka uwanja wa ndege, kutoka kwa duka la kahawa au popote pengine (pamoja na mapungufu tuliyojadili hapo juu). Inaonekana, shida ni nini?
Ili kuelewa vizuri utata wa kazi hii, hebu tuangalie muundo wa kawaida.

Mfano

  • Umegawanya wafanyikazi wote katika vikundi. Umeamua kutoa ufikiaji kwa vikundi
  • Ndani ya ofisi, unadhibiti ufikiaji kwenye ngome ya ofisi
  • Unadhibiti trafiki kutoka ofisi hadi kituo cha data kwenye ngome ya kituo cha data
  • Unatumia Cisco ASA kama lango la VPN na kudhibiti trafiki inayoingia kwenye mtandao wako kutoka kwa wateja wa mbali, unatumia ACL za karibu nawe (kwenye ASA)

Sasa, tuseme unaombwa kuongeza ufikiaji wa ziada kwa mfanyakazi fulani. Katika kesi hii, unaulizwa kuongeza ufikiaji kwake tu na hakuna mtu mwingine kutoka kwa kikundi chake.

Kwa hili tunapaswa kuunda kikundi tofauti kwa mfanyakazi huyu, yaani

  • tengeneza dimbwi tofauti la IP kwenye ASA kwa mfanyakazi huyu
  • ongeza ACL mpya kwenye ASA na uifunge kwa mteja huyo wa mbali
  • kuunda sera mpya za usalama kwenye ngome za ofisi na kituo cha data

Ni vizuri ikiwa tukio hili ni nadra. Lakini katika mazoezi yangu kulikuwa na hali wakati wafanyikazi walishiriki katika miradi tofauti, na seti hii ya miradi kwa baadhi yao ilibadilika mara nyingi, na haikuwa watu 1-2, lakini kadhaa. Bila shaka, jambo fulani lilihitaji kubadilishwa hapa.

Hili lilitatuliwa kwa njia ifuatayo.

Tuliamua kwamba LDAP itakuwa chanzo pekee cha ukweli ambacho huamua ufikiaji wote unaowezekana wa mfanyakazi. Tuliunda kila aina ya vikundi ambavyo vinafafanua seti za ufikiaji, na tukaweka kila mtumiaji kwa kikundi kimoja au zaidi.

Kwa hivyo, kwa mfano, tuseme kulikuwa na vikundi

  • mgeni (ufikiaji wa mtandao)
  • ufikiaji wa kawaida (ufikiaji wa rasilimali zilizoshirikiwa: barua, msingi wa maarifa, ...)
  • uhasibu
  • mradi 1
  • mradi 2
  • msimamizi wa msingi wa data
  • msimamizi wa linux
  • ...

Na ikiwa mmoja wa wafanyikazi alihusika katika mradi wa 1 na mradi wa 2, na alihitaji ufikiaji muhimu wa kufanya kazi katika miradi hii, basi mfanyakazi huyu alipewa vikundi vifuatavyo:

  • mgeni
  • ufikiaji wa kawaida
  • mradi 1
  • mradi 2

Je, tunawezaje sasa kugeuza maelezo haya kuwa ufikiaji kwenye vifaa vya mtandao?

Sera ya Ufikiaji Nguvu ya Cisco ASA (DAP) (tazama www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) suluhisho ni sawa kwa kazi hii.

Kwa ufupi kuhusu utekelezaji wetu, wakati wa mchakato wa utambuzi/uidhinishaji, ASA inapokea kutoka kwa LDAP seti ya vikundi vinavyolingana na mtumiaji fulani na "kukusanya" kutoka kwa ACL kadhaa za ndani (kila moja ikilingana na kikundi) ACL inayobadilika yenye ufikiaji wote muhimu. , ambayo inalingana kikamilifu na matakwa yetu.

Lakini hii ni kwa miunganisho ya VPN tu. Ili kufanya hali kuwa sawa kwa wafanyakazi wote waliounganishwa kupitia VPN na wale walio ofisini, hatua ifuatayo ilichukuliwa.

Wakati wa kuunganisha kutoka ofisini, watumiaji wanaotumia itifaki ya 802.1x waliishia kwenye LAN ya wageni (kwa wageni) au LAN iliyoshirikiwa (kwa wafanyikazi wa kampuni). Zaidi ya hayo, ili kupata ufikiaji maalum (kwa mfano, kwa miradi katika kituo cha data), wafanyikazi walilazimika kuunganishwa kupitia VPN.

Kuunganishwa kutoka kwa ofisi na kutoka nyumbani, vikundi tofauti vya handaki vilitumiwa kwenye ASA. Hii ni muhimu ili kwa wale wanaounganisha kutoka kwa ofisi, trafiki kwa rasilimali zilizoshirikiwa (zinazotumiwa na wafanyikazi wote, kama barua, seva za faili, mfumo wa tikiti, dns, ...) haipiti ASA, lakini kupitia mtandao wa ndani. . Kwa hivyo, hatukupakia ASA na trafiki isiyo ya lazima, ikiwa ni pamoja na trafiki ya juu.

Hivyo, tatizo lilitatuliwa.
Tumepata

  • seti sawa ya ufikiaji wa viunganisho vyote kutoka kwa ofisi na viunganisho vya mbali
  • kutokuwepo kwa uharibifu wa huduma wakati wa kufanya kazi kutoka kwa ofisi inayohusishwa na upitishaji wa trafiki ya juu kupitia ASA

Ni faida gani nyingine za njia hii?
Katika utawala wa upatikanaji. Mifikio inaweza kubadilishwa kwa urahisi katika sehemu moja.
Kwa mfano, ikiwa mfanyakazi anaacha kampuni, basi unamwondoa tu kutoka kwa LDAP, na anapoteza ufikiaji wote kiatomati.

Mwenyeji anaangalia

Kwa uwezekano wa uunganisho wa mbali, tuna hatari ya kuruhusu sio tu mfanyakazi wa kampuni kwenye mtandao, lakini pia programu zote mbaya ambazo zina uwezekano mkubwa wa kuwepo kwenye kompyuta yake (kwa mfano, nyumbani), na zaidi ya hayo, kupitia programu hii sisi. huenda inatoa ufikiaji wa mtandao wetu kwa mshambulizi anayetumia seva pangishi kama proksi.

Inaleta maana kwa seva pangishi iliyounganishwa kwa mbali kutumia mahitaji sawa ya usalama kama mwenyeji wa ndani ya ofisi.

Hii pia inachukua toleo "sahihi" la OS, kizuia virusi, anti-spyware, na programu ya ngome na masasisho. Kawaida, uwezo huu upo kwenye lango la VPN (kwa ASA tazama, kwa mfano, hapa).

Pia ni busara kutumia uchanganuzi sawa wa trafiki na mbinu za kuzuia (ona "Kiwango cha juu cha ulinzi") ambacho sera yako ya usalama inatumika kwa trafiki ofisini.

Ni jambo la busara kudhani kuwa mtandao wa ofisi yako sio tu kwa jengo la ofisi na waandaji ndani yake.

Mfano

Mbinu nzuri ni kumpa kila mfanyakazi ambaye anahitaji ufikiaji wa mbali na kompyuta nzuri, inayofaa na kuwahitaji kufanya kazi, ofisini na nyumbani, kutoka kwake tu.

Sio tu kwamba inaboresha usalama wa mtandao wako, lakini pia ni rahisi sana na kwa kawaida hutazamwa vyema na wafanyakazi (ikiwa ni kompyuta ndogo nzuri, inayofaa mtumiaji).

Kuhusu hisia ya uwiano na usawa

Kimsingi, hii ni mazungumzo kuhusu vertex ya tatu ya pembetatu yetu - kuhusu bei.
Hebu tuangalie mfano wa dhahania.

Mfano

Una ofisi ya watu 200. Uliamua kuifanya iwe rahisi na salama iwezekanavyo.

Kwa hivyo, uliamua kupitisha trafiki yote kupitia ngome na kwa hivyo kwa subnets zote za ofisi firewall ndio lango chaguo-msingi. Mbali na programu ya usalama iliyosanikishwa kwenye kila mpangishi wa mwisho (kinga-virusi, anti-spyware, na programu ya ngome), pia uliamua kutumia njia zote za ulinzi zinazowezekana kwenye ngome.

Ili kuhakikisha kasi ya juu ya muunganisho (yote kwa urahisi), ulichagua swichi zilizo na milango 10 ya ufikiaji ya Gigabit kama swichi za ufikiaji, na ngome za NGFW zenye utendakazi wa hali ya juu kama ngome, kwa mfano, mfululizo wa Palo Alto 7K (wenye bandari 40 za Gigabit), zenye leseni zote. pamoja na, kwa kawaida, jozi ya Upatikanaji wa Juu.

Pia, kwa kweli, ili kufanya kazi na safu hii ya vifaa tunahitaji angalau wahandisi kadhaa wa usalama waliohitimu sana.

Kisha, uliamua kumpa kila mfanyakazi laptop nzuri.

Jumla, kama dola milioni 10 za utekelezaji, mamia ya maelfu ya dola (nadhani karibu milioni) kwa msaada wa kila mwaka na mishahara ya wahandisi.

Ofisi, watu 200 ...
Raha? Nadhani ni ndiyo.

Unakuja na pendekezo hili kwa usimamizi wako...
Labda kuna idadi ya kampuni ulimwenguni ambayo hii ni suluhisho linalokubalika na sahihi. Ikiwa wewe ni mfanyakazi wa kampuni hii, pongezi zangu, lakini katika idadi kubwa ya matukio, nina hakika kwamba ujuzi wako hautathaminiwa na usimamizi.

Je, mfano huu umetiwa chumvi? Sura inayofuata itajibu swali hili.

Ikiwa kwenye mtandao wako huoni yoyote ya hapo juu, basi hii ndiyo kawaida.
Kwa kila kesi maalum, unahitaji kupata maelewano yako mwenyewe ya busara kati ya urahisi, bei na usalama. Mara nyingi huhitaji hata NGFW katika ofisi yako, na ulinzi wa L7 kwenye firewall hauhitajiki. Inatosha kutoa kiwango kizuri cha kujulikana na tahadhari, na hii inaweza kufanyika kwa kutumia bidhaa za chanzo wazi, kwa mfano. Ndio, majibu yako kwa shambulio hayatakuwa mara moja, lakini jambo kuu ni kwamba utaiona, na kwa michakato inayofaa katika idara yako, utaweza kuibadilisha haraka.

Na nikukumbushe kwamba, kwa mujibu wa dhana ya mfululizo huu wa makala, hautengenezi mtandao, unajaribu tu kuboresha kile ulichopata.

Uchambuzi SALAMA wa usanifu wa ofisi

Zingatia mraba huu nyekundu ambao nilitenga mahali kwenye mchoro kutoka Mwongozo wa Usanifu wa Kampasi SALAMAambayo ningependa kujadili hapa.

Jinsi ya kuchukua udhibiti wa miundombinu ya mtandao wako. Sura ya tatu. Usalama wa mtandao. Sehemu ya tatu

Hii ni moja ya maeneo muhimu ya usanifu na moja ya kutokuwa na uhakika muhimu.

Kumbuka

Sijawahi kusanidi au kufanya kazi na FirePower (kutoka kwa waya ya moto ya Cisco - ASA pekee), kwa hivyo nitaichukulia kama ngome nyingine yoyote, kama Juniper SRX au Palo Alto, ikizingatiwa kuwa ina uwezo sawa.

Kati ya miundo ya kawaida, naona chaguzi 4 tu zinazowezekana za kutumia firewall na unganisho hili:

  • lango chaguo-msingi kwa kila subnet ni swichi, wakati ngome iko katika hali ya uwazi (yaani, trafiki yote hupitia humo, lakini haifanyi kuruka kwa L3)
  • lango chaguo-msingi kwa kila subnet ni violesura vidogo vya ngome (au violesura vya SVI), swichi ina jukumu la L2.
  • VRF tofauti hutumiwa kwenye swichi, na trafiki kati ya VRF hupitia ngome, trafiki ndani ya VRF moja inadhibitiwa na ACL kwenye swichi.
  • trafiki yote inaakisiwa kwa ngome kwa uchambuzi na ufuatiliaji; trafiki haipiti

Sema 1

Mchanganyiko wa chaguzi hizi inawezekana, lakini kwa unyenyekevu hatutazingatia.

Kumbuka2

Pia kuna uwezekano wa kutumia PBR (usanifu wa mnyororo wa huduma), lakini kwa sasa hii, ingawa suluhisho nzuri kwa maoni yangu, ni ya kigeni, kwa hivyo siizingatii hapa.

Kutoka kwa maelezo ya mtiririko katika hati, tunaona kwamba trafiki bado inapitia firewall, yaani, kwa mujibu wa kubuni Cisco, chaguo la nne linaondolewa.

Hebu tuangalie chaguzi mbili za kwanza kwanza.
Kwa chaguo hizi, trafiki yote hupitia firewall.

Sasa hebu tuangalie karatasi ya data, tazama Cisco GPL na tunaona kwamba ikiwa tunataka jumla ya kipimo data cha ofisi yetu iwe angalau gigabiti 10 - 20, basi lazima tununue toleo la 4K.

Kumbuka

Ninapozungumza juu ya jumla ya bandwidth, ninamaanisha trafiki kati ya subnets (na sio ndani ya vilana moja).

Kutoka kwa GPL tunaona kwamba kwa Kifungu cha HA kilicho na Ulinzi wa Tishio, bei kulingana na mfano (4110 - 4150) inatofautiana kutoka ~ $ 0,5 - 2,5 milioni.

Hiyo ni, muundo wetu huanza kufanana na mfano uliopita.

Je, hii inamaanisha kuwa muundo huu si sahihi?
Hapana, hiyo haimaanishi. Cisco inakupa ulinzi bora zaidi kulingana na laini ya bidhaa iliyo nayo. Lakini hiyo haimaanishi kuwa ni lazima ufanye kwako.

Kimsingi, hili ni swali la kawaida linalojitokeza wakati wa kubuni ofisi au kituo cha data, na inamaanisha tu kwamba maelewano yanahitajika kutafutwa.

Kwa mfano, usiruhusu trafiki yote kupitia ngome, katika hali ambayo chaguo la 3 linaonekana kuwa nzuri kwangu, au (angalia sehemu iliyotangulia) labda hauitaji Ulinzi wa Tishio au hauitaji ngome kabisa kwa hilo. sehemu ya mtandao, na unahitaji tu kujiwekea kikomo kwa ufuatiliaji wa passiv kutumia kulipwa (sio ghali) au ufumbuzi wa chanzo wazi, au unahitaji firewall, lakini kutoka kwa muuzaji tofauti.

Kawaida kuna kutokuwa na uhakika huu kila wakati na hakuna jibu wazi kuhusu ni uamuzi gani ulio bora kwako.
Huu ndio ugumu na uzuri wa kazi hii.

Chanzo: mapenzi.com

Kuongeza maoni