ProHoster > Blog > Pangangasiwa > Paano kontrolin ang iyong imprastraktura ng network. Ikatlong Kabanata. Seguridad ng network. Unang bahagi

Paano kontrolin ang iyong imprastraktura ng network. Ikatlong Kabanata. Seguridad ng network. Unang bahagi

Ang artikulong ito ay ang pangatlo sa isang serye ng mga artikulong "Paano Kontrolin ang Iyong Imprastraktura sa Network." Ang mga nilalaman ng lahat ng mga artikulo sa serye at mga link ay matatagpuan dito.

Paano kontrolin ang iyong imprastraktura ng network. Ikatlong Kabanata. Seguridad ng network. Unang bahagi

Walang saysay na pag-usapan ang ganap na pag-aalis ng mga panganib sa seguridad. Sa prinsipyo, hindi natin maaaring bawasan ang mga ito sa zero. Kailangan din nating maunawaan na habang nagsusumikap tayong gawing mas ligtas ang network, ang ating mga solusyon ay nagiging mas mahal. Kailangan mong maghanap ng trade-off sa pagitan ng gastos, pagiging kumplikado, at seguridad na may katuturan para sa iyong network.

Siyempre, ang disenyo ng seguridad ay organikong isinama sa pangkalahatang arkitektura at ang mga solusyon sa seguridad na ginamit ay nakakaapekto sa scalability, pagiging maaasahan, pamamahala, ... ng imprastraktura ng network, na dapat ding isaalang-alang.

Ngunit hayaan mong ipaalala ko sa iyo na ngayon ay hindi natin pinag-uusapan ang paglikha ng isang network. Ayon sa aming paunang kondisyon napili na natin ang disenyo, pinili ang kagamitan, at nilikha ang imprastraktura, at sa yugtong ito, kung maaari, dapat tayong "mabuhay" at maghanap ng mga solusyon sa konteksto ng dating napiling diskarte.

Ang aming gawain ngayon ay tukuyin ang mga panganib na nauugnay sa seguridad sa antas ng network at bawasan ang mga ito sa isang makatwirang antas.

Pag-audit sa seguridad ng network

Kung ang iyong organisasyon ay nagpatupad ng mga prosesong ISO 27k, ang mga pag-audit sa seguridad at mga pagbabago sa network ay dapat magkasya nang walang putol sa pangkalahatang mga proseso sa loob ng diskarteng ito. Ngunit ang mga pamantayang ito ay hindi pa rin tungkol sa mga tiyak na solusyon, hindi tungkol sa pagsasaayos, hindi tungkol sa disenyo... Walang malinaw na payo, walang mga pamantayang nagdidikta nang detalyado kung ano dapat ang iyong network, ito ang pagiging kumplikado at kagandahan ng gawaing ito.

I-highlight ko ang ilang posibleng pag-audit sa seguridad ng network:

  • audit ng configuration ng kagamitan (hardening)
  • pag-audit sa disenyo ng seguridad
  • access audit
  • proseso ng audit

Audit ng configuration ng kagamitan (hardening)

Mukhang sa karamihan ng mga kaso ito ang pinakamahusay na panimulang punto para sa pag-audit at pagpapabuti ng seguridad ng iyong network. IMHO, ito ay isang magandang pagpapakita ng batas ni Pareto (20% ng pagsisikap ay gumagawa ng 80% ng resulta, at ang natitirang 80% ng pagsisikap ay gumagawa lamang ng 20% ​​ng resulta).

Ang bottom line ay karaniwang mayroon kaming mga rekomendasyon mula sa mga vendor tungkol sa "pinakamahuhusay na kagawian" para sa seguridad kapag nagko-configure ng kagamitan. Ito ay tinatawag na "hardening".

Madalas ka ring makakita ng questionnaire (o gumawa ng isa sa iyong sarili) batay sa mga rekomendasyong ito, na tutulong sa iyo na matukoy kung gaano kahusay ang pagsasaayos ng iyong kagamitan sa "pinakamahuhusay na kagawian" na ito at, alinsunod sa resulta, gumawa ng mga pagbabago sa iyong network . Ito ay magbibigay-daan sa iyo upang makabuluhang bawasan ang mga panganib sa seguridad nang medyo madali, sa halos walang gastos.

Ilang mga halimbawa para sa ilang mga operating system ng Cisco.

Pagpapatigas ng Configuration ng Cisco IOS
Pagpapatigas ng Configuration ng Cisco IOS-XR
Pagpapatigas ng Configuration ng Cisco NX-OS
Cisco Baseline Security Check List

Batay sa mga dokumentong ito, maaaring gumawa ng isang listahan ng mga kinakailangan sa pagsasaayos para sa bawat uri ng kagamitan. Halimbawa, para sa isang Cisco N7K VDC ang mga kinakailangang ito ay maaaring magmukhang kaya.

Sa ganitong paraan, maaaring malikha ang mga configuration file para sa iba't ibang uri ng aktibong kagamitan sa iyong imprastraktura ng network. Susunod, manu-mano o gamit ang automation, maaari mong "i-upload" ang mga configuration file na ito. Kung paano i-automate ang prosesong ito ay tatalakayin nang detalyado sa isa pang serye ng mga artikulo sa orkestrasyon at automation.

Pag-audit sa disenyo ng seguridad

Karaniwan, ang isang enterprise network ay naglalaman ng mga sumusunod na segment sa isang anyo o iba pa:

  • DC (Mga serbisyong pampubliko DMZ at Intranet data center)
  • Internet access
  • Remote access VPN
  • gilid ng WAN
  • Sangay
  • Campus (Opisina)
  • Ubod

Mga pamagat na kinuha mula sa LIGTAS ang Cisco modelo, ngunit hindi kinakailangan, siyempre, na ilakip nang tumpak sa mga pangalang ito at sa modelong ito. Gayunpaman, gusto kong pag-usapan ang kakanyahan at hindi magulo sa mga pormalidad.

Para sa bawat isa sa mga segment na ito, ang mga kinakailangan sa seguridad, mga panganib at, nang naaayon, ang mga solusyon ay magkakaiba.

Tingnan natin ang bawat isa sa kanila nang hiwalay para sa mga problemang maaaring makaharap mo mula sa punto ng disenyo ng seguridad. Siyempre, uulitin ko muli na hindi sa anumang paraan ang artikulong ito ay nagpapanggap na kumpleto, na hindi madali (kung hindi imposible) na makamit sa tunay na malalim at maraming aspeto na paksa, ngunit ito ay sumasalamin sa aking personal na karanasan.

Walang perpektong solusyon (kahit hindi pa). Ito ay palaging isang kompromiso. Ngunit mahalaga na ang desisyon na gumamit ng isang diskarte o iba pa ay ginawa nang may kamalayan, na may pag-unawa sa parehong mga kalamangan at kahinaan nito.

data Center

Ang pinaka-kritikal na segment mula sa punto ng kaligtasan.
At, gaya ng dati, wala ring unibersal na solusyon dito. Ang lahat ay nakasalalay nang husto sa mga kinakailangan sa network.

Kailangan ba ng firewall o hindi?

Tila halata ang sagot, ngunit ang lahat ay hindi masyadong malinaw gaya ng tila. At ang iyong pagpili ay maaaring maimpluwensyahan hindi lamang presyo.

Halimbawa 1. Mga pagkaantala.

Kung ang mababang latency ay isang mahalagang kinakailangan sa pagitan ng ilang mga segment ng network, na, halimbawa, totoo sa kaso ng isang palitan, hindi namin magagamit ang mga firewall sa pagitan ng mga segment na ito. Mahirap maghanap ng mga pag-aaral tungkol sa latency sa mga firewall, ngunit kakaunting modelo ng switch ang maaaring magbigay ng latency na mas mababa sa o sa pagkakasunud-sunod ng 1 mksec, kaya sa tingin ko kung mahalaga sa iyo ang mga microsecond, hindi para sa iyo ang mga firewall.

Halimbawa 2. Pagganap

Ang throughput ng mga nangungunang L3 switch ay karaniwang isang order ng magnitude na mas mataas kaysa sa throughput ng pinakamakapangyarihang mga firewall. Samakatuwid, sa kaso ng high-intensity na trapiko, malamang na kailangan mo ring payagan ang trapikong ito na i-bypass ang mga firewall.

Halimbawa 3. Pagiging maaasahan.

Ang mga firewall, lalo na ang modernong NGFW (Next-Generation FW) ay mga kumplikadong device. Ang mga ito ay mas kumplikado kaysa sa L3/L2 switch. Nagbibigay sila ng isang malaking bilang ng mga serbisyo at mga pagpipilian sa pagsasaayos, kaya hindi nakakagulat na ang kanilang pagiging maaasahan ay mas mababa. Kung ang pagpapatuloy ng serbisyo ay kritikal sa network, maaaring kailanganin mong piliin kung ano ang hahantong sa mas mahusay na kakayahang magamit - seguridad na may firewall o ang pagiging simple ng isang network na binuo sa mga switch (o iba't ibang uri ng tela) gamit ang mga regular na ACL.

Sa kaso ng mga halimbawa sa itaas, malamang na (gaya ng dati) ay kailangan mong maghanap ng kompromiso. Tingnan ang mga sumusunod na solusyon:

  • kung magpasya kang huwag gumamit ng mga firewall sa loob ng data center, kailangan mong isipin kung paano limitahan ang pag-access sa paligid ng perimeter hangga't maaari. Halimbawa, maaari mo lamang buksan ang mga kinakailangang port mula sa Internet (para sa trapiko ng kliyente) at administratibong pag-access sa data center mula lamang sa mga jump host. Sa mga jump host, isagawa ang lahat ng kinakailangang pagsusuri (authentication/authorization, antivirus, logging, ...)
  • maaari kang gumamit ng lohikal na partition ng network ng data center sa mga segment, katulad ng scheme na inilarawan sa PSEFABRIC halimbawa p002. Sa kasong ito, dapat na i-configure ang pagruruta sa paraang ang delay-sensitive o high-intensity na trapiko ay napupunta "sa loob" ng isang segment (sa kaso ng p002, VRF) at hindi dumaan sa firewall. Ang trapiko sa pagitan ng iba't ibang mga segment ay patuloy na dadaan sa firewall. Maaari mo ring gamitin ang pagtagas ng ruta sa pagitan ng mga VRF upang maiwasan ang pag-redirect ng trapiko sa pamamagitan ng firewall
  • Maaari ka ring gumamit ng firewall sa transparent mode at para lang sa mga VLAN na iyon kung saan ang mga salik na ito (latency/performance) ay hindi makabuluhan. Ngunit kailangan mong maingat na pag-aralan ang mga paghihigpit na nauugnay sa paggamit ng mod na ito para sa bawat vendor
  • maaaring gusto mong isaalang-alang ang paggamit ng isang arkitektura ng chain ng serbisyo. Ito ay magbibigay-daan lamang sa kinakailangang trapiko na dumaan sa firewall. Mukhang maganda sa teorya, ngunit hindi ko pa nakita ang solusyon na ito sa produksyon. Sinubukan namin ang chain ng serbisyo para sa Cisco ACI/Juniper SRX/F5 LTM humigit-kumulang 3 taon na ang nakakaraan, ngunit sa oras na iyon ang solusyon na ito ay tila "magastos" sa amin.

Antas ng proteksyon

Ngayon ay kailangan mong sagutin ang tanong kung anong mga tool ang gusto mong gamitin upang i-filter ang trapiko. Narito ang ilan sa mga tampok na karaniwang naroroon sa NGFW (halimbawa, dito):

  • stateful firewalling (default)
  • firewall ng application
  • pag-iwas sa pagbabanta (antivirus, anti-spyware, at kahinaan)
  • Pag-filter ng URL
  • pag-filter ng data (pag-filter ng nilalaman)
  • pagharang ng file (pag-block ng mga uri ng file)
  • proteksyon ng dos

At hindi rin malinaw ang lahat. Mukhang mas mataas ang antas ng proteksyon, mas mabuti. Ngunit kailangan mo ring isaalang-alang iyon

  • Kung mas marami sa mga function ng firewall sa itaas ang iyong ginagamit, natural na magiging mas mahal ito (mga lisensya, karagdagang mga module)
  • ang paggamit ng ilang algorithm ay maaaring makabuluhang bawasan ang throughput ng firewall at mapataas din ang mga pagkaantala, tingnan ang halimbawa dito
  • tulad ng anumang kumplikadong solusyon, ang paggamit ng mga kumplikadong pamamaraan ng proteksyon ay maaaring mabawasan ang pagiging maaasahan ng iyong solusyon, halimbawa, kapag gumagamit ng firewall ng application, nakatagpo ako ng pagharang ng ilang medyo karaniwang gumaganang mga application (dns, smb)

Gaya ng dati, kailangan mong hanapin ang pinakamahusay na solusyon para sa iyong network.

Imposibleng tiyak na sagutin ang tanong kung anong mga function ng proteksyon ang maaaring kailanganin. Una, dahil siyempre depende ito sa data na iyong ipinapadala o iniimbak at sinusubukang protektahan. Pangalawa, sa katotohanan, kadalasan ang pagpili ng mga tool sa seguridad ay isang bagay ng pananampalataya at pagtitiwala sa vendor. Hindi mo alam ang mga algorithm, hindi mo alam kung gaano kabisa ang mga ito, at hindi mo masusubok nang lubusan ang mga ito.

Samakatuwid, sa mga kritikal na segment, ang isang magandang solusyon ay maaaring gumamit ng mga alok mula sa iba't ibang kumpanya. Halimbawa, maaari mong paganahin ang antivirus sa firewall, ngunit gumamit din ng proteksyon ng antivirus (mula sa ibang tagagawa) nang lokal sa mga host.

Segmentation

Pinag-uusapan natin ang lohikal na pag-segment ng network ng data center. Halimbawa, ang paghati sa mga VLAN at subnet ay lohikal na pagse-segment din, ngunit hindi namin ito isasaalang-alang dahil sa pagiging malinaw nito. Ang kawili-wiling pagse-segment na isinasaalang-alang ang mga entity gaya ng mga FW security zone, VRF (at ang kanilang mga analogue na may kaugnayan sa iba't ibang mga vendor), mga lohikal na device (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Ang isang halimbawa ng naturang lohikal na segmentation at ang kasalukuyang in demand na disenyo ng data center ay ibinigay sa p002 ng PSEFABRIC project.

Kapag natukoy na ang mga lohikal na bahagi ng iyong network, maaari mo nang ilarawan kung paano gumagalaw ang trapiko sa pagitan ng iba't ibang mga segment, kung saan isasagawa ang pag-filter ng mga device at kung ano ang paraan.

Kung ang iyong network ay walang malinaw na lohikal na partition at ang mga patakaran para sa paglalapat ng mga patakaran sa seguridad para sa iba't ibang daloy ng data ay hindi pormal, nangangahulugan ito na kapag binuksan mo ito o ang access na iyon, mapipilitan kang lutasin ang problemang ito, at may mataas na posibilidad na ay malulutas ito sa bawat oras na naiiba.

Kadalasan ang pagse-segment ay nakabatay lamang sa mga FW security zone. Pagkatapos ay kailangan mong sagutin ang mga sumusunod na tanong:

  • anong mga security zone ang kailangan mo
  • anong antas ng proteksyon ang gusto mong ilapat sa bawat isa sa mga zone na ito
  • papayagan ba ang trapiko sa intra-zone bilang default?
  • kung hindi, anong mga patakaran sa pag-filter ng trapiko ang ilalapat sa loob ng bawat zone
  • anong mga patakaran sa pag-filter ng trapiko ang ilalapat para sa bawat pares ng mga zone (pinagmulan/destinasyon)

TCAM

Ang isang karaniwang problema ay hindi sapat na TCAM (Ternary Content Addressable Memory), kapwa para sa pagruruta at para sa mga pag-access. IMHO, isa ito sa pinakamahalagang isyu kapag pumipili ng kagamitan, kaya kailangan mong tratuhin ang isyung ito nang may naaangkop na antas ng pangangalaga.

Halimbawa 1. Forwarding Table TCAM.

Isaalang-alang natin Palo Alto 7k firewall
Nakita namin na ang laki ng talahanayan ng pagpapasa ng IPv4* = 32K
Bukod dito, ang bilang ng mga rutang ito ay karaniwan para sa lahat ng VSYS.

Ipagpalagay natin na ayon sa iyong disenyo ay nagpasya kang gumamit ng 4 VSYS.
Ang bawat isa sa mga VSYS na ito ay konektado sa pamamagitan ng BGP sa dalawang MPLS PE ng cloud na ginagamit mo bilang isang BB. Kaya, ipinagpapalit ng 4 VSYS ang lahat ng partikular na ruta sa isa't isa at mayroong isang talahanayan ng pagpapasa na may humigit-kumulang sa parehong hanay ng mga ruta (ngunit magkaibang mga NH). kasi bawat VSYS ay may 2 BGP session (na may parehong mga setting), pagkatapos ang bawat ruta na natanggap sa pamamagitan ng MPLS ay may 2 NH at, nang naaayon, 2 FIB entries sa Forwarding Table. Kung ipagpalagay namin na ito lang ang firewall sa data center at dapat itong malaman ang tungkol sa lahat ng ruta, nangangahulugan ito na ang kabuuang bilang ng mga ruta sa aming data center ay hindi maaaring higit sa 32K/(4 * 2) = 4K.

Ngayon, kung ipagpalagay namin na mayroon kaming 2 data center (na may parehong disenyo), at gusto naming gumamit ng mga VLAN na "naka-stretch" sa pagitan ng mga data center (halimbawa, para sa vMotion), pagkatapos ay upang malutas ang problema sa pagruruta, kailangan naming gumamit ng mga ruta ng host. . Ngunit nangangahulugan ito na para sa 2 data center ay magkakaroon tayo ng hindi hihigit sa 4096 posibleng host at, siyempre, maaaring hindi ito sapat.

Halimbawa 2. ACL TCAM.

Kung plano mong i-filter ang trapiko sa mga switch ng L3 (o iba pang mga solusyon na gumagamit ng mga switch ng L3, halimbawa, Cisco ACI), kung gayon kapag pumipili ng kagamitan dapat mong bigyang pansin ang TCAM ACL.

Ipagpalagay na gusto mong kontrolin ang pag-access sa mga interface ng SVI ng Cisco Catalyst 4500. Pagkatapos, tulad ng makikita mula sa ng artikulong ito, upang kontrolin ang papalabas (pati na rin ang papasok) na trapiko sa mga interface, maaari mo lamang gamitin ang 4096 TCAM na linya. Na kapag gumagamit ng TCAM3 ay magbibigay sa iyo ng humigit-kumulang 4000 thousand ACEs (ACL lines).

Kung nahaharap ka sa problema ng hindi sapat na TCAM, kung gayon, una sa lahat, siyempre, kailangan mong isaalang-alang ang posibilidad ng pag-optimize. Kaya, sa kaso ng problema sa laki ng Forwarding Table, kailangan mong isaalang-alang ang posibilidad ng pagsasama-sama ng mga ruta. Sa kaso ng problema sa laki ng TCAM para sa mga pag-access, mga pag-access sa pag-audit, pag-alis ng mga luma at magkakapatong na mga tala, at posibleng baguhin ang pamamaraan para sa pagbubukas ng mga pag-access (tatalakayin nang detalyado sa kabanata sa mga pag-access sa pag-audit).

Mataas na availability

Ang tanong ay: dapat ko bang gamitin ang HA para sa mga firewall o mag-install ng dalawang independiyenteng mga kahon na "magkakatulad" at, kung nabigo ang isa sa mga ito, iruta ang trapiko sa pangalawa?

Mukhang malinaw ang sagot - gumamit ng HA. Ang dahilan kung bakit lumitaw pa rin ang tanong na ito ay, sa kasamaang-palad, ang teoretikal at advertising 99 at ilang decimal na porsyento ng pagiging naa-access sa pagsasanay ay lumalabas na malayo sa napakarosas. Ang HA ay lohikal na medyo kumplikadong bagay, at sa iba't ibang kagamitan, at sa iba't ibang mga vendor (walang mga pagbubukod), nahuli kami ng mga problema at mga bug at paghinto ng serbisyo.

Kung gumagamit ka ng HA, magkakaroon ka ng pagkakataon na i-off ang mga indibidwal na node, lumipat sa pagitan ng mga ito nang hindi humihinto sa serbisyo, na mahalaga, halimbawa, kapag gumagawa ng mga pag-upgrade, ngunit sa parehong oras mayroon kang isang malayo mula sa zero na posibilidad na ang parehong mga node ay masisira sa parehong oras, at gayundin na sa susunod na pag-upgrade ay hindi magiging maayos tulad ng ipinangako ng vendor (maiiwasan ang problemang ito kung mayroon kang pagkakataon na subukan ang pag-upgrade sa mga kagamitan sa laboratoryo).

Kung hindi ka gumagamit ng HA, kung gayon mula sa punto ng view ng double failure ang iyong mga panganib ay mas mababa (dahil mayroon kang 2 independiyenteng firewall), ngunit dahil... Ang mga session ay hindi naka-synchronize, pagkatapos ay sa bawat oras na lumipat ka sa pagitan ng mga firewall na ito ay mawawalan ka ng trapiko. Maaari mong, siyempre, gumamit ng stateless firewall, ngunit pagkatapos ay ang punto ng paggamit ng isang firewall ay higit na nawala.

Samakatuwid, kung bilang isang resulta ng pag-audit ay natuklasan mo ang mga malungkot na firewall, at iniisip mo ang tungkol sa pagtaas ng pagiging maaasahan ng iyong network, kung gayon ang HA, siyempre, ay isa sa mga inirerekomendang solusyon, ngunit dapat mo ring isaalang-alang ang mga kawalan na nauugnay. sa diskarteng ito at, marahil, partikular para sa iyong network, isa pang solusyon ang magiging mas angkop.

Kakayahang pamahalaan

Sa prinsipyo, ang HA ay tungkol din sa pagkontrol. Sa halip na i-configure ang 2 kahon nang hiwalay at harapin ang problema sa pagpapanatiling naka-sync ang mga configuration, pinamamahalaan mo ang mga ito na parang mayroon kang isang device.

Ngunit marahil mayroon kang maraming mga sentro ng data at maraming mga firewall, pagkatapos ay lumitaw ang tanong na ito sa isang bagong antas. At ang tanong ay hindi lamang tungkol sa pagsasaayos, kundi tungkol din

  • mga backup na configuration
  • mga update
  • mga upgrade
  • pagsubaybay
  • pagtotroso

At ang lahat ng ito ay malulutas ng mga sentralisadong sistema ng pamamahala.

Kaya, halimbawa, kung gumagamit ka ng mga firewall ng Palo Alto, kung gayon Tanawin ay ganoong solusyon.

Upang magpatuloy.

Pinagmulan: www.habr.com

Magdagdag ng komento