Ин мақола панҷумин дар силсилаи "Чӣ тавр инфрасохтори шабакавии худро назорат кардан мумкин аст" мебошад. Мундариҷаи ҳама мақолаҳои силсила ва истинодҳоро пайдо кардан мумкин аст .
Ин қисм ба кампус (офис) ва сегментҳои дастрасии дурдаст VPN бахшида мешавад.
Тарҳрезии шабакаи офис метавонад осон ба назар расад.
Дар ҳақиқат, мо коммутаторҳои L2/L3 мегирем ва онҳоро ба ҳамдигар мепайвандем. Минбаъд, мо танзими асосии виланҳо ва шлюзҳои пешфарзро анҷом медиҳем, масири оддӣ насб мекунем, контроллерҳои WiFi, нуқтаҳои дастрасӣ, насб ва танзим кардани ASA барои дастрасии дурдаст, мо шодем, ки ҳама чиз кор кард. Асосан, чунон ки ман аллакай дар яке аз гузашта навишта будам Аз ин давра, қариб ҳар як донишҷӯе, ки дар ду семестр дар курси телекоммуникатсия иштирок кардааст (ва омӯхтааст) метавонад шабакаи офисро тарҳрезӣ ва танзим кунад, то он "як навъ кор кунад".
Аммо чӣ қадаре ки шумо омӯзед, ин вазифа ҳамон қадар осонтар ба назар мерасад. Барои ман шахсан ин мавзӯъ, мавзӯи тарҳрезии шабакаҳои офисӣ, умуман оддӣ ба назар намерасад ва дар ин мақола ман кӯшиш мекунам, ки сабаби онро шарҳ диҳам.
Хулоса, чанд омилро ба назар гирифтан лозим аст. Аксар вақт ин омилҳо бо ҳам мухолифанд ва бояд созиши оқилона ҷустуҷӯ карда шавад.
Ин номуайянӣ мушкилии асосӣ аст. Ҳамин тавр, дар бораи амният сухан ронем, мо секунҷае дорем, ки се кунҷ дорад: амният, роҳат барои кормандон, нархи ҳалли.
Ва ҳар дафъа шумо бояд дар байни ин се созиш ҷустуҷӯ кунед.
меъморӣ
Ҳамчун намунаи меъморӣ барои ин ду сегмент, ба монанди мақолаҳои қаблӣ, ман тавсия медиҳам модел: , .
Инҳо ҳуҷҷатҳои каме кӯҳнаанд. Ман онҳоро дар ин ҷо пешниҳод мекунам, зеро схемаҳо ва равишҳои бунёдӣ тағир наёфтаанд, аммо дар айни замон ба ман презентатсия бештар аз он маъқул аст .
Бе ташвиқ кардани шумо ба истифодаи ҳалли Cisco, ман фикр мекунам, ки бодиққат омӯхтани ин тарҳ муфид аст.
Ин мақола, чун маъмул, ба ҳеҷ ваҷҳ худро пурра вонамуд намекунад, балки илова ба ин маълумот аст.
Дар охири мақола мо тарҳи офиси Cisco SAFE-ро аз рӯи мафҳумҳои дар ин ҷо зикршуда таҳлил хоҳем кард.
Принсипҳои умумӣ
Тарҳрезии шабакаи офис, албатта, бояд ба талаботи умумии мавриди баррасӣ қарордошта қонеъ гардад дар боби «Меъёрхои баходихии сифати лоихакашй». Ба ғайр аз нарх ва бехатарӣ, ки мо ният дорем дар ин мақола муҳокима кунем, то ҳол се меъёр вуҷуд дорад, ки ҳангоми тарҳрезӣ (ё ворид кардани тағйирот) мо бояд онҳоро ба назар гирем:
- миқёспазирӣ
- осонии идоракунӣ
- мавҷудият
Бисёре аз чизҳое, ки барои он муҳокима карда шуданд Ин ба офис низ дахл дорад.
Аммо ба ҳар ҳол, сегменти офис хусусиятҳои худро дорад, ки аз нуқтаи назари амният муҳиманд. Моҳияти ин хусусият дар он аст, ки ин сегмент барои расонидани хидматҳои шабакавӣ ба кормандон (инчунин шарикон ва меҳмонони) ширкат таъсис дода шудааст ва дар натиҷа, дар сатҳи баландтарини баррасии мушкилот мо ду вазифа дорем:
- захираҳои ширкатро аз амалҳои зараровар, ки метавонанд аз ҷониби кормандон (меҳмонон, шарикон) ва аз нармафзори истифодашаванда пайдо шаванд, муҳофизат кунед. Ин инчунин муҳофизат аз пайвасти беиҷозат ба шабакаро дар бар мегирад.
- ҳифзи системаҳо ва маълумоти корбар
Ва ин танҳо як тарафи масъала аст (ё дурусттараш, як қуллаи секунҷа). Аз тарафи дигар, роҳати корбарон ва нархи ҳалли истифодашуда мебошад.
Биёед аз дидани он, ки корбар аз шабакаи муосири офис чӣ интизор аст, оғоз кунем.
Шароит
Ба андешаи ман, ин аст, ки "вазъияти шабакавӣ" барои корбари офис чӣ гуна аст:
- Мобилият
- Имконияти истифодаи маҷмӯи пурраи дастгоҳҳои шинос ва системаҳои оператсионӣ
- Дастрасии осон ба тамоми захираҳои зарурии ширкат
- Мавҷудияти захираҳои интернетӣ, аз ҷумла хидматҳои гуногуни абрӣ
- «Амали зуд»-и шабака
Ҳамаи ин ҳам ба кормандон ва ҳам меҳмонон (ё шарикон) дахл дорад ва вазифаи муҳандисони ширкат аз он иборат аст, ки дастрасиро барои гурӯҳҳои гуногуни корбарон дар асоси иҷозат фарқ кунанд.
Биёед ҳар яке аз ин ҷанбаҳоро каме муфассалтар дида бароем.
Мобилият
Сухан дар бораи имкони кор кардан ва истифода бурдани тамоми захираҳои зарурии ширкат аз ҳар гӯшаи ҷаҳон меравад (албатта, дар он ҷое, ки Интернет дастрас аст).
Ин комилан ба идора дахл дорад. Ин қулай аст, вақте ки шумо имкони идома додани корро аз ҳар ҷои офис доред, масалан, қабули почта, муошират дар мессенҷери корпоративӣ, барои занги видеоӣ дастрас будан, ... Ҳамин тариқ, ин ба шумо имкон медиҳад, ки аз як тараф, барои халли баъзе масъалахо муоширати «зинда» (масалан, дар митингхо иштирок кардан) ва аз тарафи дигар, доимо онлайн бошед, ангушти худро дар набз нигоҳ доред ва баъзе вазифаҳои аввалиндараҷаи таъхирнопазирро зуд ҳал кунед. Ин хеле қулай аст ва воқеан сифати алоқаро беҳтар мекунад.
Ин тавассути тарҳрезии дурусти шабакаи WiFi ба даст меояд.
Эзоҳ:
Дар ин ҷо одатан савол ба миён меояд: оё истифодаи танҳо WiFi кифоя аст? Оё ин маънои онро дорад, ки шумо метавонед истифода аз портҳои Ethernet дар офисро бас кунед? Агар мо танҳо дар бораи корбарон сухан ронем, на дар бораи серверҳое, ки барои пайвастшавӣ бо порти муқаррарии Ethernet ҳанӯз оқилонаанд, пас дар маҷмӯъ ҷавоб ин аст: ҳа, шумо метавонед худро танҳо бо WiFi маҳдуд кунед. Аммо нозукиҳо вуҷуд доранд.
Гурӯҳҳои муҳими корбарон мавҷуданд, ки муносибати алоҳидаро талаб мекунанд. Инҳо, албатта, маъмурон мебошанд. Аслан, пайвасти WiFi камтар эътимоднок аст (аз нуқтаи назари талафоти трафик) ва сусттар аз бандари муқаррарии Ethernet. Ин метавонад барои маъмурон муҳим бошад. Илова бар ин, маъмурони шабака, масалан, метавонанд, асосан, шабакаи махсуси Ethernet-и худро барои пайвастҳои берун аз банд дошта бошанд.
Дар ширкати шумо шояд дигар гурӯҳҳо/шӯъбаҳо бошанд, ки барои онҳо ин омилҳо муҳиманд.
Боз як нуктаи мухим — телефония. Шояд бо баъзе сабабҳо шумо намехоҳед VoIP-и бесимро истифода баред ва мехоҳед, ки телефонҳои IP-ро бо пайвасти муқаррарии Ethernet истифода баред.
Умуман, ширкатҳое, ки ман кор мекардам, одатан ҳам пайвасти WiFi ва ҳам порти Ethernet доштанд.
Ман мехоҳам, ки ҳаракат танҳо бо офис маҳдуд нашавад.
Барои таъмини қобилияти кор аз хона (ё ҳама ҷое, ки ба Интернет дастрас аст), пайвасти VPN истифода мешавад. Дар баробари ин, матлуб аст, ки кормандон фарқияти байни кор аз хона ва кори дурдаст, ки дастрасии якхеларо дар назар дорад, эҳсос накунанд. Мо дар бораи чӣ гуна ташкили онро каме дертар дар боби "Системаи ягонаи мутамаркази аутентификатсия ва авторизатсия" муҳокима хоҳем кард.
Эзоҳ:
Эҳтимол, шумо ҳамон сифати хидматҳоро барои кори дурдаст, ки дар офис доред, пурра таъмин карда наметавонед. Фарз мекунем, ки шумо Cisco ASA 5520-ро ҳамчун дарвозаи VPN-и худ истифода мебаред. ин дастгоҳ қодир аст ҳамагӣ 225 Мбит трафики VPN-ро “ҳазм кунад”. Яъне, албатта, аз ҷиҳати фарохмаҷро, пайвастшавӣ тавассути VPN аз кор дар офис хеле фарқ мекунад. Инчунин, агар бо ягон сабаб таъхир, гумшавӣ, ҷиттер (масалан, шумо мехоҳед, ки IP-телефонияи офисро истифода баред) барои хидматҳои шабакаи шумо назаррас бошад, шумо инчунин ҳамон сифатеро, ки гӯё дар офис ҳастед, қабул нахоҳед кард. Аз ин рӯ, ҳангоми сухан дар бораи ҳаракат, мо бояд аз маҳдудиятҳои имконпазир огоҳ бошем.
Дастрасии осон ба тамоми захираҳои ширкат
Ин вазифаро якчоя бо дигар шуъбахои техникй хал кардан лозим аст.
Вазъияти идеалӣ он аст, ки корбар бояд танҳо як маротиба аутентификатсия кунад ва пас аз он ӯ ба ҳама захираҳои зарурӣ дастрасӣ пайдо кунад.
Таъмини дастрасии осон бидуни талафи амният метавонад маҳсулнокӣ ба таври қобили мулоҳиза беҳтар шавад ва фишори байни ҳамкорони худро коҳиш диҳад.
Эзоҳ 1
Осонии дастрасӣ на танҳо дар бораи он аст, ки шумо бояд чанд маротиба парол ворид кунед. Агар, масалан, мувофиқи сиёсати амнияти шумо, барои пайваст шудан аз офис ба маркази додаҳо, шумо бояд аввал ба шлюзи VPN пайваст шавед ва ҳамзамон дастрасӣ ба захираҳои офисро аз даст диҳед, ин ҳам хеле муҳим аст. , хеле ногувор.
Эзоҳ 2
Хадамотҳо вуҷуд доранд (масалан, дастрасӣ ба таҷҳизоти шабакавӣ), ки мо одатан серверҳои махсуси AAA-и худро дорем ва ин меъёр аст, вақте ки дар ин ҳолат мо бояд якчанд маротиба аутентификатсия кунем.
Мавҷудияти захираҳои интернетӣ
Интернет на танҳо вақтхушӣ, балки маҷмӯи хидматҳоест, ки метавонанд барои кор хеле муфид бошанд. Омилҳои сирф равонӣ низ вуҷуд доранд. Одами муосир тавассути Интернет тавассути риштаҳои зиёди виртуалӣ бо одамони дигар пайваст мешавад ва ба назари ман, агар ӯ ҳатто ҳангоми кор ин робитаро эҳсос кунад, ҳеҷ бадӣ надорад.
Аз нуқтаи назари беҳуда сарф кардани вақт, ҳеҷ бадие нест, агар корманд, масалан, Skype кор кунад ва дар ҳолати зарурӣ барои муошират бо шахси наздикаш 5 дақиқа сарф кунад.
Оё ин маънои онро дорад, ки Интернет бояд ҳамеша дастрас бошад, оё ин маънои онро дорад, ки кормандон метавонанд ба ҳама захираҳо дастрасӣ дошта бошанд ва онҳоро ба ҳеҷ ваҷҳ назорат накунанд?
Не ин маънои онро надорад, албатта. Дараҷаи кушодагии Интернет барои ширкатҳои гуногун метавонад фарқ кунад - аз пӯшидани пурра то кушодагии пурра. Мо роҳҳои назорати ҳаракати нақлиётро баъдтар дар бахшҳои чораҳои амниятӣ баррасӣ хоҳем кард.
Имконияти истифодаи маҷмӯи пурраи дастгоҳҳои шинос
Ин қулай аст, вақте ки, масалан, шумо имкон доред, ки тамоми воситаҳои алоқаеро, ки дар ҷои кор одат кардаед, идома диҳед. Дар бобати аз чихати техникй чорй намудани ин кор душворй нест. Барои ин ба шумо WiFi ва wilan меҳмон лозим аст.
Инчунин хуб аст, агар шумо имконияти истифодаи системаи пардозандаро, ки ба он одат кардаед, дошта бошед. Аммо, ба мушоҳидаи ман, ин одатан танҳо ба менеҷерҳо, маъмурон ва таҳиягарон иҷозат дода мешавад.
Мисол
Шумо метавонед, албатта, аз роҳи мамнӯъиятҳо пайравӣ кунед, дастрасии дурдастро манъ кунед, пайвастшавӣ аз дастгоҳҳои мобилиро манъ кунед, ҳама чизро ба пайвастҳои статикии Ethernet маҳдуд кунед, дастрасӣ ба Интернетро маҳдуд кунед, телефонҳои мобилӣ ва гаҷетҳоро дар гузаргоҳ маҷбуран мусодира кунед ... ва ин роҳ дар асл баъзе ташкилотҳое, ки талаботи баландтари амният доранд, пайравӣ мекунанд ва шояд дар баъзе мавридҳо ин метавонад асоснок бошад, аммо... шумо бояд розӣ бошед, ки ин як кӯшиши боздоштани пешрафт дар як созмон ба назар мерасад. Албатта, ман мехостам имкониятҳоеро, ки технологияҳои муосир таъмин мекунанд, бо сатҳи кофии амният муттаҳид созам.
«Амали зуд»-и шабака
Суръати интиқоли маълумот аз ҷиҳати техникӣ аз бисёр омилҳо иборат аст. Ва суръати порти пайвасти шумо одатан муҳимтарин нест. Фаъолияти сусти барнома на ҳамеша бо мушкилоти шабака алоқаманд аст, аммо ҳоло мо танҳо ба қисми шабака таваҷҷӯҳ дорем. Мушкилоти маъмултарин бо "сустшавии" шабакаи маҳаллӣ бо талафи бастаҳо алоқаманд аст. Ин одатан вақте рух медиҳад, ки мушкилот ё мушкилоти L1 (OSI) вуҷуд доранд. Камтар, бо баъзе тарҳҳо (масалан, вақте ки зершабакаҳои шумо ҳамчун дарвозаи пешфарз девори деворӣ доранд ва ба ин васила тамоми трафик аз он мегузарад), иҷрои сахтафзор метавонад нокифоя бошад.
Аз ин рӯ, ҳангоми интихоби таҷҳизот ва меъморӣ, шумо бояд суръати портҳои ниҳоӣ, танаи ва кори таҷҳизотро мувофиқат кунед.
Мисол
Фарз мекунем, ки шумо коммутаторҳоро бо портҳои 1 гигабитӣ ҳамчун коммутаторҳои қабати дастрасӣ истифода мебаред. Онҳо ба ҳамдигар тавассути Etherchannel 2 x 10 гигабит пайваст мешаванд. Ҳамчун як дарвозаи пешфарз, шумо девори бандарҳои гигабитиро истифода мебаред, ки барои пайваст шудан ба шабакаи офиси L2 шумо 2 бандарҳои гигабитиро дар як Etherchannel якҷоя истифода мебаред.
Ин меъморӣ аз нуқтаи назари функсионалӣ хеле қулай аст, зеро... Ҳама трафик тавассути брандмауэр мегузарад ва шумо метавонед сиёсати дастрасиро ба осонӣ идора кунед ва алгоритмҳои мураккабро барои назорати трафик ва пешгирии ҳамлаҳои эҳтимолӣ истифода баред (ба поён нигаред), аммо аз нуқтаи назари интиқол ва иҷрои ин тарҳ, албатта, мушкилоти эҳтимолӣ дорад. Ҳамин тавр, масалан, 2 ҳост барои зеркашии маълумот (бо суръати порти 1 гигабит) метавонад пайвасти 2 гигабитро ба брандмауэр пурра бор кунад ва ба ин васила боиси таназзули хидмат барои тамоми сегменти офис гардад.
Мо як қуллаи секунҷаро аз назар гузарондем, акнун биёед бубинем, ки чӣ тавр мо амниятро таъмин карда метавонем.
Рафторҳо
Пас, албатта, одатан хоҳиши мо (ё дурусттараш, хоҳиши роҳбарияти мо) ноил шудан ба чизи ғайриимкон аст, яъне таъмини бароҳатии ҳадди аксар бо бехатарии ҳадди аксар ва хароҷоти ҳадди ақал.
Биёед бубинем, ки мо кадом усулҳоро барои муҳофизат кардан дорем.
Барои офис, ман инҳоро таъкид мекунам:
- муносибати сифр эътимод ба тарҳрезӣ
- сатҳи баланди муҳофизат
- дидани шабака
- системаи ягонаи мутамаркази аутентификатсия ва авторизатсия
- санҷиши мизбон
Минбаъд, мо дар бораи ҳар яке аз ин ҷанбаҳо каме муфассалтар таваққуф хоҳем кард.
Боварӣ сифр
Ҷаҳони IT хеле зуд тағйир меёбад. Танҳо дар тӯли 10 соли охир, пайдоиши технологияҳо ва маҳсулоти нав боиси аз нав дида баромадани консепсияҳои амният гардид. Даҳ сол пеш, аз нуқтаи назари амният, мо шабакаро ба минтақаҳои эътимод, dmz ва нобовар тақсим кардем ва ба истилоҳ "муҳофизати периметрӣ" -ро истифода бурдем, ки дар он 2 хатти дифоъ мавҷуд буд: untrust -> dmz ва dmz -> эътимод. Инчунин, муҳофизат одатан бо рӯйхатҳои дастрасӣ дар асоси сарлавҳаҳои L3/L4 (OSI) маҳдуд мешуд (IP, портҳои TCP/UDP, парчамҳои TCP). Ҳама чизҳои марбут ба сатҳҳои баландтар, аз ҷумла L7, ба OS ва маҳсулоти амниятӣ дар ҳостҳои ниҳоӣ насб карда шуданд.
Холо вазъият ба куллй тагьир ёфтааст. Консепсияи муосир аз он бармеояд, ки дигар системахои дохилиро, яъне системахои дар дохили периметр чойгиршударо боваринок хисоб кардан мумкин нест ва худи мафхуми периметр норавшан шудааст.
Илова бар пайвасти интернет мо низ дорем
- истифодабарандагони VPN дастрасии дурдаст
- гаҷетҳои гуногуни шахсӣ, ноутбукҳо овардаанд, ки тавассути WiFi офисӣ пайваст карда шудаанд
- дигар идорахо (филиалхо).
- ҳамгироӣ бо инфрасохтори абрӣ
Муносибати Zero Trust дар амал чӣ гуна аст?
Идеалӣ, танҳо трафики зарурӣ бояд иҷозат дода шавад ва агар сухан дар бораи идеал равад, пас назорат бояд на танҳо дар сатҳи L3/L4, балки дар сатҳи барнома бошад.
Агар, масалан, шумо тавонед, ки тамоми трафикро тавассути брандмауэр гузаред, пас шумо метавонед кӯшиш кунед, ки ба идеал наздик шавед. Аммо ин равиш метавонад маҷрои умумии шабакаи шуморо ба таври назаррас коҳиш диҳад ва ба ғайр аз ин, филтр аз рӯи барнома на ҳамеша хуб кор мекунад.
Ҳангоми идоракунии трафик дар роутер ё коммутатори L3 (бо истифода аз ACL-ҳои стандартӣ), шумо бо мушкилоти дигар дучор мешавед:
- Ин танҳо филтркунии L3/L4 аст. Ҳеҷ чиз барои ҳамлакунанда аз истифодаи портҳои иҷозатдодашуда (масалан, TCP 80) барои татбиқи онҳо (на http) монеъ намешавад.
- идоракунии мураккаби ACL (таҳлили ACL душвор аст)
- Ин як девори пурраи давлатӣ нест, маънои онро дорад, ки шумо бояд ба таври возеҳ трафики баръаксро иҷозат диҳед
- бо коммутаторҳо шумо одатан бо андозаи TCAM хеле маҳдуд ҳастед, ки агар шумо равиши "танҳо ба он чизеро, ки ба шумо лозим аст, иҷозат диҳед" зуд ба мушкилот табдил меёбад.
Эзоҳ:
Дар бораи трафики баръакс сухан ронда, мо бояд дар хотир дорем, ки мо имконияти зерин дорем (Cisco)
иҷозат tcp ҳама гуна таъсис
Аммо шумо бояд фаҳмед, ки ин сатр ба ду сатр баробар аст:
ба tcp ҳама гуна акк иҷозат диҳед
tcp ба ҳама гуна аввал иҷозат диҳедИн маънои онро дорад, ки ҳатто агар сегменти ибтидоии TCP бо парчами SYN вуҷуд надошта бошад (яъне сессияи TCP ҳатто ба таъсис наёфтааст), ин ACL бастаеро бо парчами ACK иҷозат медиҳад, ки ҳамлакунанда метавонад барои интиқоли маълумот истифода кунад.
Яъне, ин хат ба ҳеҷ ваҷҳ роутер ё гузариши L3-и шуморо ба девори пурраи давлатӣ табдил намедиҳад.
Сатҳи баланди муҳофизат
В Дар бахши марказҳои додаҳо мо усулҳои зерини муҳофизатро баррасӣ кардем.
- Сипари ҳолати давлатӣ (пешфарз)
- Муҳофизати ddos/dos
- девори барнома
- пешгирии таҳдид (антивирус, зидди ҷосусӣ ва осебпазирӣ)
- Филтри URL
- филтркунии маълумот (филтри мундариҷа)
- бастани файл (банд кардани намудҳои файл)
Дар офис бошад, вазъият ба ин монанд аст, аммо афзалиятҳо каме фарқ мекунанд. Мавҷудияти офис (дастрасӣ) одатан мисли маркази додаҳо он қадар муҳим нест, дар ҳоле ки эҳтимолияти трафики зараровар "дохилӣ" аз ҳад зиёд аст.
Аз ин рӯ, усулҳои зерини муҳофизат барои ин сегмент муҳиманд:
- девори барнома
- пешгирии таҳдид (антивирус, зидди ҷосусӣ ва осебпазирӣ)
- Филтри URL
- филтркунии маълумот (филтри мундариҷа)
- бастани файл (банд кардани намудҳои файл)
Гарчанде ки ҳамаи ин усулҳои муҳофизатӣ, ба истиснои девори барномаҳо, ба таври анъанавӣ дар ҳостҳои ниҳоӣ (масалан, тавассути насб кардани барномаҳои антивирус) ва бо истифода аз проксиҳо ҳал мешуданд ва ҳал карда мешаванд, NGFW-ҳои муосир низ ин хидматҳоро пешкаш мекунанд.
Фурӯшандагони таҷҳизоти амниятӣ мекӯшанд, ки муҳофизати ҳамаҷониба эҷод кунанд, аз ин рӯ онҳо дар баробари ҳифзи маҳаллӣ технологияҳои гуногуни абрӣ ва нармафзори муштариро барои ҳостҳо пешниҳод мекунанд (муҳофизати нуқтаи ниҳоӣ/EPP). Ҳамин тавр, масалан, аз Мо мебинем, ки Palo Alto ва Cisco EPP-ҳои худро доранд (PA: Traps, Cisco: AMP), аммо аз пешвоён дуранд.
Даргиронидани ин муҳофизатҳо (одатан тавассути хариди литсензияҳо) дар брандмауэри худ албатта ҳатмӣ нест (шумо метавонед ба масири анъанавӣ биравед), аммо он баъзе бартариҳоро медиҳад:
- дар ин маврид нуктаи ягонаи татбиќи усулњои њифз мављуд аст, ки аёниятро бењтар мекунад (ба мавзўи оянда нигаред).
- Агар дар шабакаи шумо дастгоҳи муҳофизатнашаванда мавҷуд бошад, он ҳоло ҳам зери "чатр" -и муҳофизати брандмауэр меафтад.
- Бо истифода аз муҳофизати брандмауэр дар якҷоягӣ бо ҳифзи мизбони ниҳоӣ, мо эҳтимолияти ошкор кардани трафики зарароварро зиёд мекунем. Масалан, истифодаи пешгирии таҳдид дар ҳостҳои маҳаллӣ ва брандмауэр эҳтимолияти ошкоркуниро зиёд мекунад (албатта, ба шарте ки ин қарорҳо ба маҳсулоти гуногуни нармафзор асос ёфта бошанд)
Эзоҳ:
Агар, масалан, шумо Kaspersky-ро ҳамчун антивирус ҳам дар брандмауэр ва ҳам дар ҳостҳои ниҳоӣ истифода баред, пас ин, албатта, имконияти шуморо барои пешгирии ҳамлаи вирусӣ ба шабакаи шумо зиёд намекунад.
Намоиши шабака
оддӣ аст - "бинед" чӣ дар шабакаи шумо чӣ рӯй медиҳад, ҳам дар вақти воқеӣ ва ҳам маълумоти таърихӣ.
Ман ин «биниш»-ро ба ду гурӯҳ тақсим мекунам:
Гурӯҳи якум: системаи мониторинги шумо одатан ба шумо чӣ медиҳад.
- боркунии таҷҳизот
- каналҳои боркунӣ
- истифодаи хотира
- истифодаи диск
- тағир додани ҷадвали масир
- ҳолати пайванд
- мавҷудияти таҷҳизот (ё ҳостҳо)
- ...
Гурӯҳи дуюм: маълумот оид ба бехатарӣ.
- намудҳои гуногуни омор (масалан, аз рӯи замима, аз рӯи трафики URL, кадом намуди маълумотҳо бор карда шудаанд, маълумоти корбар)
- ки бо сиёсати амният монеъ шуд ва бо кадом сабаб, яъне
- татбиқи манъшуда
- дар асоси IP/протокол/порт/парчамҳо/минтақаҳо манъ аст
- пешгирии таҳдид
- филтри URL
- филтркунии маълумот
- бастани файл
- ...
- омор оид ба ҳамлаҳои DOS/DDOS
- кӯшишҳои номуваффақ муайян ва иҷозат
- омори ҳамаи рӯйдодҳои дар боло зикршуда оид ба вайронкунии сиёсати амният
- ...
Дар ин боб оид ба амният, мо ба қисми дуюм таваҷҷӯҳ дорем.
Баъзе деворҳои муосир (аз таҷрибаи ман Пало Алто) сатҳи хуби намоёнро таъмин мекунанд. Аммо, албатта, трафике, ки шумо ба он таваҷҷӯҳ доред, бояд тавассути ин девор гузарад (дар ин ҳолат шумо қобилияти бастани трафикро доред) ё ба брандмауэр инъикос кардан (танҳо барои назорат ва таҳлил истифода мешавад) ва шумо бояд иҷозатнома дошта бошед, ки ҳама ин хидматҳо.
Албатта, як роҳи алтернативӣ, дурусттараш роҳи анъанавӣ вуҷуд дорад, масалан,
- Омори ҷаласаро метавон тавассути netflow ҷамъоварӣ кард ва сипас аз утилитаҳои махсус барои таҳлили иттилоот ва визуализатсияи додаҳо истифода бурд
- пешгирии таҳдид - барномаҳои махсус (антивирус, зидди ҷосусӣ, брандмауэр) дар ҳостҳои ниҳоӣ
- Филтри URL, филтри маълумот, бастани файл - дар прокси
- инчунин мумкин аст, ки tcpdump-ро бо истифода аз масалан.
Шумо метавонед ин ду равишро муттаҳид карда, хусусиятҳои гумшударо пурра кунед ё онҳоро такрор кунед, то эҳтимолияти ошкор кардани ҳамларо афзоиш диҳед.
Кадом равишро шумо бояд интихоб кунед?
Бештар аз тахассус ва афзалиятҳои дастаи шумо вобаста аст.
Ҳам дар он ҷо ва ҳам ҷиҳатҳои мусбӣ ва манфии он вуҷуд доранд.
Системаи ягонаи мутамаркази аутентификатсия ва авторизатсия
Вақте ки хуб тарҳрезӣ шудааст, ҳаракате, ки мо дар ин мақола муҳокима кардем, дар назар аст, ки шумо дастрасии якхела доред, хоҳ аз офис ё аз хона, аз фурудгоҳ, аз қаҳвахона ё дар ҷои дигар кор кунед (бо маҳдудиятҳое, ки мо дар боло муҳокима кардем). Чунин ба назар мерасад, ки мушкил дар чист?
Барои беҳтар фаҳмидани мураккабии ин вазифа, биёед як тарҳи маъмулиро дида бароем.
Мисол
- Шумо ҳамаи кормандонро ба гурӯҳҳо тақсим кардед. Шумо тасмим гирифтед, ки дастрасиро аз рӯи гурӯҳҳо таъмин кунед
- Дар дохили офис, шумо дастрасӣ ба девори офисро назорат мекунед
- Шумо трафикро аз офис ба маркази додаҳо дар девори маркази додаҳо назорат мекунед
- Шумо Cisco ASA-ро ҳамчун дарвозаи VPN истифода мебаред ва барои назорат кардани трафики воридшаванда ба шабакаи шумо аз муштариёни дурдаст, шумо ACL-ҳои маҳаллиро (дар ASA) истифода мебаред
Акнун, биёед бигӯем, ки аз шумо хоҳиш карда мешавад, ки дастрасии иловагиро ба як корманди муайян илова кунед. Дар ин ҳолат, аз шумо хоҳиш карда мешавад, ки танҳо ба ӯ дастрасӣ илова кунед ва ҳеҷ каси дигар аз гурӯҳи ӯ.
Барои ин мо бояд барои ин корманд гурухи алохида ташкил кунем, яъне
- як ҳавзи IP алоҳида дар ASA барои ин корманд эҷод
- ACL-и навро дар ASA илова кунед ва онро ба он муштарии дурдаст пайваст кунед
- сиёсати нави амниятро дар деворҳои офис ва маркази додаҳо эҷод кунед
Хуб аст, ки агар ин ҳодиса кам рух диҳад. Аммо дар амалияи ман вазъияте буд, ки кормандон дар лоињањои гуногун иштирок мекарданд ва ин маљмўи лоињањо барои баъзеи онњо зуд-зуд таѓйир ёфта, на 1-2 нафар, балки дахњо нафар буданд. Албатта, дар ин чо чизеро тагьир додан лозим буд.
Ин бо роҳи зерин ҳал карда шуд.
Мо тасмим гирифтем, ки LDAP ягона сарчашмаи ҳақиқат бошад, ки ҳама дастрасии имконпазири кормандонро муайян мекунад. Мо ҳама гуна гурӯҳҳоеро таъсис додем, ки маҷмӯи дастрасиро муайян мекунанд ва мо ҳар як корбарро ба як ё якчанд гурӯҳҳо таъин кардем.
Масалан, фарз кунем, ки гурӯҳҳо буданд
- меҳмон (дастрасӣ ба интернет)
- дастрасии умумӣ (дастрасӣ ба захираҳои муштарак: почта, пойгоҳи дониш, ...)
- баҳисобгирӣ
- лоиҳаи 1
- лоиҳаи 2
- мудири базаи маълумот
- мудири linux
- ...
Ва агар яке аз кормандон ҳам дар лоиҳаи 1 ва ҳам лоиҳаи 2 ҷалб шуда бошад ва ба ӯ дастрасии зарурӣ барои кор дар ин лоиҳаҳо лозим бошад, пас ин корманд ба гурӯҳҳои зерин таъин карда шуд:
- меҳмон
- дастрасии умумӣ
- лоиҳаи 1
- лоиҳаи 2
Чӣ тавр мо метавонем ин маълумотро ба дастрасӣ ба таҷҳизоти шабакавӣ табдил диҳем?
Сиёсати дастрасии динамикии Cisco ASA (DAP) (ниг )^алли ин вазифа дуруст аст.
Мухтасар дар бораи татбиқи мо, дар ҷараёни муайянсозӣ/авторизатсия, ASA аз LDAP маҷмӯи гурӯҳҳоеро, ки ба корбари додашуда мувофиқанд, мегирад ва аз якчанд ACL-и маҳаллӣ (ҳар кадоме ба гурӯҳ мувофиқат мекунад) ACL-и динамикиро бо ҳама дастрасии зарурӣ “ҷамъ мекунад”. , ки ба хохиши мо комилан мувофик аст.
Аммо ин танҳо барои пайвастҳои VPN аст. Барои якхела кардани вазъият барои ҳам кормандони тавассути VPN пайвастшуда ва ҳам онҳое, ки дар офис ҳастанд, қадами зерин андешида шуд.
Ҳангоми пайвастшавӣ аз офис, корбароне, ки протоколи 802.1x-ро истифода мебаранд, дар як LAN меҳмон (барои меҳмонон) ё LAN муштарак (барои кормандони ширкат) анҷом ёфтанд. Ғайр аз он, барои дастрасии мушаххас (масалан, ба лоиҳаҳо дар маркази додаҳо), кормандон бояд тавассути VPN пайваст шаванд.
Барои пайвастшавӣ аз офис ва аз хона, дар ASA гурӯҳҳои гуногуни нақб истифода мешуданд. Ин зарур аст, ки барои онҳое, ки аз офис пайваст мешаванд, трафик ба захираҳои муштарак (аз ҷониби ҳамаи кормандон истифода мешавад, ба монанди почта, серверҳои файл, системаи чиптаҳо, dns, ...) на тавассути ASA, балки тавассути шабакаи маҳаллӣ гузарад. . Хамин тавр, мо АСА-ро бо трафики нодаркор, аз чумла трафики пуршиддат бор накардем.
Хамин тавр, масъала хал карда шуд.
гирифтем
- ҳамон маҷмӯи дастрасӣҳо барои ҳарду пайвастшавӣ аз офис ва пайвастҳои дурдаст
- набудани таназзули хидмат ҳангоми кор аз офис, ки бо интиқоли трафики шадид тавассути ASA алоқаманд аст
Кадом бартариҳои дигари ин равиш?
Дар маъмурияти дастрасӣ. Дастрасҳоро дар як ҷо ба осонӣ иваз кардан мумкин аст.
Масалан, агар корманд ширкатро тарк кунад, шумо танҳо ӯро аз LDAP хориҷ мекунед ва ӯ ба таври худкор ҳама дастрасиро аз даст медиҳад.
Санҷиши мизбон
Бо имкони пайвасти дурдаст, мо хатари ба шабака ворид кардани на танҳо як корманди ширкатро дорем, балки тамоми нармафзори зарароваре, ки эҳтимолан дар компютери ӯ мавҷуд аст (масалан, хона) ва илова бар ин, тавассути ин нармафзор мо метавонад дастрасӣ ба шабакаи моро ба ҳамлагаре, ки аз ин ҳост ҳамчун прокси истифода мебарад, таъмин кунад.
Барои мизбони аз дур пайвастшуда маънои ҳамон талаботҳои амниятиро ҳамчун мизбони дохили офис татбиқ мекунад.
Ин инчунин версияи "дуруст"-и OS, антивирус, зидди ҷосусӣ ва нармафзор ва навсозиҳои брандмауэрро дар назар дорад. Одатан, ин қобилият дар дарвозаи VPN мавҷуд аст (барои ASA нигаред, масалан, ).
Инчунин оқилона аст, ки ҳамон усулҳои таҳлил ва бастани трафикро истифода баред (ниг. “Сатҳи баланди муҳофизат”), ки сиёсати амниятии шумо ба трафики офис татбиқ мешавад.
Фарз кардан оқилона аст, ки шабакаи офиси шумо дигар бо бинои офис ва мизбонҳои дохили он маҳдуд намешавад.
Мисол
Техникаи хуб ин аст, ки ҳар як корманде, ки дастрасии дурдастро талаб мекунад, бо ноутбуки хуб ва қулай таъмин карда, аз онҳо ҳам дар офис ва ҳам аз хона танҳо аз он кор талаб кунад.
Он на танҳо амнияти шабакаи шуморо беҳтар мекунад, балки он воқеан ҳам қулай аст ва одатан аз ҷониби кормандон ба таври мусбӣ дида мешавад (агар он ноутбуки воқеан хуб ва барои корбар дӯстона бошад).
Дар бораи ҳисси таносуб ва мувозинат
Асосан, ин сухбат дар бораи куллаи сеюми секунчаи мо — дар бораи нарх аст.
Биёед як мисоли гипотетикиро дида бароем.
Мисол
Шумо барои 200 нафар офис доред. Шумо тасмим гирифтед, ки онро то ҳадди имкон қулай ва бехатар созед.
Аз ин рӯ, шумо тасмим гирифтед, ки тамоми трафикро тавассути брандмауэр гузаронед ва аз ин рӯ, барои ҳамаи зершабақаҳои офис брандмауэр дарвозаи пешфарз аст. Илова ба нармафзори амниятие, ки дар ҳар як мизбони ниҳоӣ насб шудааст (антивирус, нармафзори зидди ҷосусӣ ва нармафзори брандмауэр), шумо инчунин тасмим гирифтед, ки тамоми усулҳои имконпазири муҳофизатро дар брандмауэр истифода баред.
Барои таъмини суръати баланди пайвастшавӣ (ҳама барои роҳат), шумо коммутаторҳоро бо 10 портҳои дастрасии гигабитӣ ҳамчун коммутаторҳои дастрасӣ ва деворҳои NGFW-и баландсифатро ҳамчун брандмауэр интихоб кардед, масалан, силсилаи Palo Alto 7K (бо 40 порти гигабит), табиист, ки бо ҳама иҷозатномаҳо дохил карда шудааст ва табиист, ки як ҷуфти дастрасии баланд.
Инчунин, албатта, барои кор кардан бо ин хати таҷҳизот ба мо ҳадди аққал якчанд муҳандисони баландихтисос дар соҳаи амният лозиманд.
Баъдан, шумо қарор додед, ки ба ҳар як корманд ноутбуки хуб диҳед.
Ҳамагӣ, тақрибан 10 миллион доллар барои татбиқ, садҳо ҳазор доллар (ба фикрам ба як миллион наздиктар) барои дастгирии солона ва маоши муҳандисон.
Офис, 200 нафар...
Бароҳат? Ман фикр мекунам, ки ҳа аст.Шумо бо ин пешниҳод ба роҳбарият муроҷиат мекунед...
Шояд дар ҷаҳон як қатор ширкатҳое ҳастанд, ки барои онҳо ин як роҳи ҳалли қобили қабул ва дуруст аст. Агар шумо корманди ин ширкат бошед, табрик мекунам, аммо дар аксари мавридҳо ман боварӣ дорам, ки дониши шумо аз ҷониби роҳбарият қадр карда намешавад.
Оё ин мисол муболига шудааст? Боби оянда ба ин савол ҷавоб хоҳад дод.
Агар шумо дар шабакаи шумо ягон чизи дар боло зикршударо надида бошед, ин меъёр аст.
Барои ҳар як ҳолати мушаххас, шумо бояд созиши оқилонаи худро дар байни роҳат, нарх ва бехатарӣ пайдо кунед. Аксар вақт ба шумо ҳатто дар идораи худ NGFW лозим нест ва муҳофизати L7 дар брандмауэр талаб карда намешавад. Барои таъмини сатҳи хуби намоён ва огоҳиҳо кофӣ аст ва ин метавонад бо истифода аз маҳсулоти кушодаасос, масалан, анҷом дода шавад. Бале, вокуниши шумо ба ҳамла фавран нахоҳад буд, аммо чизи асосӣ ин аст, ки шумо онро мебинед ва бо равандҳои дуруст дар шӯъбаи шумо, шумо метавонед онро зуд безарар кунед.
Ва ба шумо хотиррасон мекунам, ки тибқи консепсияи ин силсила мақолаҳо, шумо шабакаро тарҳрезӣ намекунед, шумо танҳо кӯшиш мекунед, ки он чизеро, ки гирифтаед, такмил диҳед.
Таҳлили бехатарии меъмории офис
Ба ин майдони сурх диққат диҳед, ки ман бо он дар диаграмма ҷой ҷудо кардам ки ман мехостам дар ин чо мухокима кунам.
Ин яке аз ҷойҳои асосии меъморӣ ва яке аз муҳимтарин номуайяниҳост.
Эзоҳ:
Ман ҳеҷ гоҳ бо FirePower насб накардаам ё кор накардаам (аз хати девори Cisco - танҳо ASA), аз ин рӯ, ман онро мисли ҳама гуна девори девори дигар, ба мисли Juniper SRX ё Palo Alto муносибат хоҳам кард, агар фарз кунем, ки он қобилиятҳои якхела дорад.
Аз тарҳҳои муқаррарӣ, ман танҳо 4 имконоти имконпазирро барои истифодаи девор бо ин пайваст мебинам:
- дарвозаи пешфарз барои ҳар як зершабака коммутатор аст, дар ҳоле ки брандмауэр дар ҳолати шаффоф аст (яъне тамоми трафик аз он мегузарад, аммо он хоп L3-ро ташкил намекунад)
- шлюзи пешфарз барои ҳар як зершабақа зер-интерфейсҳои брандмауэр (ё интерфейсҳои SVI) мебошад, коммутатор нақши L2-ро мебозад
- Дар коммутатор VRF-ҳои гуногун истифода мешаванд ва трафик байни VRFҳо тавассути брандмауэр мегузарад, трафик дар як VRF аз ҷониби ACL дар коммутатор идора карда мешавад
- тамоми трафик барои таҳлил ва назорат ба брандмауэр инъикос карда мешавад; трафик аз он намегузарад
Эзоҳ 1
Омезиши ин вариантҳо имконпазир аст, аммо барои соддагӣ мо онҳоро баррасӣ намекунем.
Эзоҳ 2
Имконияти истифодаи PBR (меъмории занҷираи хидматрасонӣ) низ вуҷуд дорад, аммо ҳоло ин, гарчанде ки ҳалли зебо ба назари ман, хеле экзотикӣ аст, бинобар ин ман онро дар ин ҷо баррасӣ намекунам.
Аз тавсифи ҷараёнҳо дар ҳуҷҷат мо мебинем, ки трафик то ҳол тавассути брандмауэр мегузарад, яъне мувофиқи тарҳи Cisco, варианти чорум хориҷ карда шудааст.
Биёед аввал ду варианти аввалро дида бароем.
Бо ин интихобҳо, тамоми трафик тавассути брандмауэр мегузарад.
Акнун биёед бубинем , назар ва мо мебинем, ки агар мо хоҳем, ки маҷрои умумии офиси мо ҳадди аққал тақрибан 10 - 20 гигабит бошад, пас мо бояд версияи 4K-ро харем.
Эзоҳ:
Вақте ки ман дар бораи фарохмаҷрои умумӣ гап мезанам, ман трафики байни зершабакаҳоро дар назар дорам (на дар дохили як вилана).
Аз GPL мо мебинем, ки барои HA Bundle with Threat Defense, нарх вобаста ба модели (4110 - 4150) аз ~ 0,5 - 2,5 миллион доллар фарқ мекунад.
Яъне тарҳи мо ба мисоли қаблӣ шабоҳат дорад.
Оё ин маънои онро дорад, ки ин тарҳ нодуруст аст?
Не, ин маънои онро надорад. Cisco ба шумо беҳтарин муҳофизатро дар асоси хати маҳсулоте, ки дорад, медиҳад. Аммо ин маънои онро надорад, ки ин барои шумо ҳатмист.
Аслан, ин як саволи маъмулест, ки ҳангоми тарҳрезии офис ё маркази додаҳо ба миён меояд ва ин танҳо маънои онро дорад, ки созиш бояд ҷустуҷӯ карда шавад.
Масалан, нагузоред, ки тамоми трафик тавассути брандмауэр гузарад, дар ин ҳолат варианти 3 ба назари ман хеле хуб менамояд, ё (ба қисмати қаблӣ нигаред) шояд шумо ба муҳофизати таҳдид ниёз надоред ё дар ин ҳолат ба брандмауэр тамоман лозим нест. сегменти шабака, ва шумо танҳо лозим аст, ки худро бо мониторинги ғайрифаъол бо истифода аз ҳалли пулакӣ (на гарон) ё кушодаасос маҳдуд кунед, ё ба шумо девори девор лозим аст, аммо аз фурӯшандаи дигар.
Одатан, ин номуайянӣ ҳамеша вуҷуд дорад ва ҷавоби дақиқе нест, ки кадом қарор барои шумо беҳтар аст.
Дар ин аст мураккабӣ ва зебоии ин вазифа.
Манбаъ: will.com