Ang artikulong ito ay ang ikalima sa seryeng "Paano Kontrolin ang Iyong Imprastraktura sa Network." Ang mga nilalaman ng lahat ng mga artikulo sa serye at mga link ay matatagpuan .
Ang bahaging ito ay ilalaan sa mga segment ng Campus (Opisina) at Remote access VPN.
Maaaring mukhang madali ang disenyo ng network ng opisina.
Sa katunayan, kumukuha kami ng L2/L3 switch at ikinonekta ang mga ito sa isa't isa. Susunod, isinasagawa namin ang pangunahing pag-setup ng mga vilan at default na gateway, i-set up ang simpleng pagruruta, ikonekta ang mga WiFi controller, mga access point, i-install at i-configure ang ASA para sa malayuang pag-access, natutuwa kaming gumana ang lahat. Talaga, tulad ng naisulat ko na sa isa sa mga nauna ng siklong ito, halos lahat ng estudyanteng dumalo (at natuto) ng dalawang semestre ng kursong telecom ay maaaring magdisenyo at mag-configure ng network ng opisina upang ito ay “gumana kahit papaano.”
Ngunit kapag mas marami kang natututo, nagiging hindi gaanong simple ang gawaing ito. Para sa akin personal, ang paksang ito, ang paksa ng disenyo ng network ng opisina, ay hindi mukhang simple sa lahat, at sa artikulong ito ay susubukan kong ipaliwanag kung bakit.
Sa madaling salita, may ilang mga kadahilanan na dapat isaalang-alang. Kadalasan ang mga salik na ito ay sumasalungat sa isa't isa at kailangang maghanap ng makatwirang kompromiso.
Ang kawalan ng katiyakan na ito ang pangunahing kahirapan. Kaya, nagsasalita tungkol sa seguridad, mayroon kaming isang tatsulok na may tatlong vertices: seguridad, kaginhawahan para sa mga empleyado, presyo ng solusyon.
At sa bawat oras na kailangan mong maghanap ng kompromiso sa pagitan ng tatlong ito.
arkitektura
Bilang isang halimbawa ng isang arkitektura para sa dalawang segment na ito, tulad ng sa mga nakaraang artikulo, inirerekomenda ko modelo: , .
Ang mga ito ay medyo hindi napapanahong mga dokumento. Ipinakita ko ang mga ito dito dahil ang mga pangunahing pamamaraan at diskarte ay hindi nagbago, ngunit sa parehong oras gusto ko ang pagtatanghal kaysa sa .
Nang hindi ka hinihikayat na gumamit ng mga solusyon sa Cisco, sa tingin ko ay kapaki-pakinabang na maingat na pag-aralan ang disenyong ito.
Ang artikulong ito, gaya ng dati, ay hindi nagpapanggap na kumpleto sa anumang paraan, ngunit sa halip ay isang karagdagan sa impormasyong ito.
Sa dulo ng artikulo, susuriin namin ang disenyo ng opisina ng Cisco SAFE sa mga tuntunin ng mga konseptong nakabalangkas dito.
Pangkalahatang mga prinsipyo
Ang disenyo ng network ng opisina ay dapat, siyempre, matugunan ang pangkalahatang mga kinakailangan na napag-usapan sa kabanata na “Pamantayan para sa pagtatasa ng kalidad ng disenyo”. Bukod sa presyo at kaligtasan, na balak nating talakayin sa artikulong ito, mayroon pa ring tatlong pamantayan na dapat nating isaalang-alang kapag nagdidisenyo (o gumagawa ng mga pagbabago):
- scalability
- kadalian ng paggamit (pamamahala)
- pagkakaroon
Karamihan sa kung ano ang napag-usapan Totoo rin ito para sa opisina.
Ngunit gayon pa man, ang segment ng opisina ay may sariling mga detalye, na kritikal mula sa punto ng seguridad. Ang kakanyahan ng pagtitiyak na ito ay ang segment na ito ay nilikha upang magbigay ng mga serbisyo sa network sa mga empleyado (pati na rin ang mga kasosyo at panauhin) ng kumpanya, at, bilang resulta, sa pinakamataas na antas ng pagsasaalang-alang ng problema mayroon kaming dalawang gawain:
- protektahan ang mga mapagkukunan ng kumpanya mula sa mga malisyosong aksyon na maaaring magmula sa mga empleyado (bisita, kasosyo) at mula sa software na ginagamit nila. Kasama rin dito ang proteksyon laban sa hindi awtorisadong koneksyon sa network.
- protektahan ang mga system at data ng user
At ito ay isang bahagi lamang ng problema (o sa halip, isang vertex ng tatsulok). Sa kabilang panig ay ang kaginhawahan ng gumagamit at ang presyo ng mga solusyon na ginamit.
Magsimula tayo sa pamamagitan ng pagtingin sa kung ano ang inaasahan ng isang user mula sa isang modernong network ng opisina.
Mga pasilidad
Narito kung ano ang hitsura ng "mga kagamitan sa network" para sa isang gumagamit ng opisina sa aking opinyon:
- Mobility
- Kakayahang gamitin ang buong hanay ng mga pamilyar na device at operating system
- Madaling pag-access sa lahat ng kinakailangang mapagkukunan ng kumpanya
- Availability ng mga mapagkukunan ng Internet, kabilang ang iba't ibang mga serbisyo sa cloud
- "Mabilis na operasyon" ng network
Nalalapat ang lahat ng ito sa parehong mga empleyado at bisita (o mga kasosyo), at tungkulin ng mga inhinyero ng kumpanya na pag-iba-ibahin ang pag-access para sa iba't ibang grupo ng user batay sa awtorisasyon.
Tingnan natin ang bawat isa sa mga aspetong ito nang mas detalyado.
Mobility
Pinag-uusapan natin ang pagkakataong magtrabaho at gamitin ang lahat ng kinakailangang mapagkukunan ng kumpanya mula saanman sa mundo (siyempre, kung saan magagamit ang Internet).
Ito ay ganap na naaangkop sa opisina. Ito ay maginhawa kapag mayroon kang pagkakataon na magpatuloy sa pagtatrabaho mula sa kahit saan sa opisina, halimbawa, tumanggap ng mail, makipag-usap sa isang corporate messenger, maging available para sa isang video call, ... Kaya, pinapayagan ka nito, sa isang banda, upang malutas ang ilang mga isyu sa "live" na komunikasyon (halimbawa, lumahok sa mga rally), at sa kabilang banda, palaging online, panatilihin ang iyong daliri sa pulso at mabilis na lutasin ang ilang mga kagyat na mataas na priyoridad na gawain. Ito ay napaka-maginhawa at talagang nagpapabuti sa kalidad ng mga komunikasyon.
Ito ay nakakamit sa pamamagitan ng tamang disenyo ng WiFi network.
Tandaan:
Dito karaniwang lumalabas ang tanong: sapat ba na gumamit lamang ng WiFi? Nangangahulugan ba ito na maaari mong ihinto ang paggamit ng mga Ethernet port sa opisina? Kung pinag-uusapan lang natin ang tungkol sa mga user, at hindi tungkol sa mga server, na makatwiran pa rin na kumonekta sa isang regular na port ng Ethernet, kung gayon sa pangkalahatan ang sagot ay: oo, maaari mong limitahan ang iyong sarili sa WiFi lamang. Ngunit may mga nuances.
Mayroong mahahalagang pangkat ng user na nangangailangan ng hiwalay na diskarte. Ito ay, siyempre, mga tagapangasiwa. Sa prinsipyo, ang isang koneksyon sa WiFi ay hindi gaanong maaasahan (sa mga tuntunin ng pagkawala ng trapiko) at mas mabagal kaysa sa isang regular na port ng Ethernet. Ito ay maaaring maging makabuluhan para sa mga administrator. Bilang karagdagan, ang mga administrator ng network, halimbawa, ay maaaring, sa prinsipyo, ay magkaroon ng kanilang sariling dedikadong Ethernet network para sa mga out-of-band na koneksyon.
Maaaring may iba pang mga grupo/kagawaran sa iyong kumpanya kung saan mahalaga din ang mga salik na ito.
May isa pang mahalagang punto - telephony. Marahil sa ilang kadahilanan ay ayaw mong gumamit ng Wireless VoIP at gustong gumamit ng mga IP phone na may regular na koneksyon sa Ethernet.
Sa pangkalahatan, ang mga kumpanyang pinagtatrabahuhan ko ay karaniwang may koneksyon sa WiFi at isang Ethernet port.
Nais kong ang kadaliang kumilos ay hindi limitado sa opisina lamang.
Upang matiyak ang kakayahang magtrabaho mula sa bahay (o anumang iba pang lugar na may accessible na Internet), isang koneksyon sa VPN ang ginagamit. Kasabay nito, kanais-nais na hindi maramdaman ng mga empleyado ang pagkakaiba sa pagitan ng pagtatrabaho mula sa bahay at malayong trabaho, na ipinapalagay ang parehong pag-access. Tatalakayin natin kung paano ayusin ito sa ibang pagkakataon sa kabanata na "Pinag-isang sentralisadong pagpapatunay at sistema ng awtorisasyon."
Tandaan:
Malamang, hindi mo lubos na maibibigay ang parehong kalidad ng mga serbisyo para sa malayong trabaho na mayroon ka sa opisina. Ipagpalagay natin na gumagamit ka ng Cisco ASA 5520 bilang iyong VPN gateway. Ayon sa ang device na ito ay may kakayahang "digest" lamang ng 225 Mbit ng VPN traffic. Iyon ay, siyempre, sa mga tuntunin ng bandwidth, ang pagkonekta sa pamamagitan ng VPN ay ibang-iba sa pagtatrabaho mula sa opisina. Gayundin, kung, sa ilang kadahilanan, ang latency, pagkawala, jitter (halimbawa, gusto mong gumamit ng IP telephony ng opisina) para sa iyong mga serbisyo sa network ay makabuluhan, hindi ka rin makakatanggap ng parehong kalidad na parang nasa opisina ka. Samakatuwid, kapag pinag-uusapan ang tungkol sa kadaliang kumilos, dapat tayong magkaroon ng kamalayan sa mga posibleng limitasyon.
Madaling pag-access sa lahat ng mapagkukunan ng kumpanya
Ang gawaing ito ay dapat na malutas nang magkasama sa iba pang mga teknikal na departamento.
Ang perpektong sitwasyon ay kapag kailangan lang ng user na mag-authenticate nang isang beses, at pagkatapos nito ay may access na siya sa lahat ng kinakailangang mapagkukunan.
Ang pagbibigay ng madaling pag-access nang hindi isinasakripisyo ang seguridad ay maaaring makabuluhang mapabuti ang pagiging produktibo at mabawasan ang stress sa iyong mga kasamahan.
Pangungusap 1
Ang kadalian ng pag-access ay hindi lamang tungkol sa kung gaano karaming beses kailangan mong magpasok ng password. Kung, halimbawa, alinsunod sa iyong patakaran sa seguridad, upang kumonekta mula sa opisina patungo sa data center, kailangan mo munang kumonekta sa VPN gateway, at sa parehong oras ay nawalan ka ng access sa mga mapagkukunan ng opisina, kung gayon ito ay napaka , napaka-inconvenient.
Pangungusap 2
Mayroong mga serbisyo (halimbawa, pag-access sa mga kagamitan sa network) kung saan kadalasan ay mayroon kaming sariling mga dedikadong AAA server at ito ang pamantayan kapag sa kasong ito kailangan naming mag-authenticate nang maraming beses.
Availability ng mga mapagkukunan ng Internet
Ang Internet ay hindi lamang libangan, ngunit isang hanay din ng mga serbisyo na maaaring maging lubhang kapaki-pakinabang para sa trabaho. Mayroon ding puro psychological factors. Ang isang modernong tao ay konektado sa ibang mga tao sa pamamagitan ng Internet sa pamamagitan ng maraming virtual na mga thread, at, sa aking opinyon, walang mali kung patuloy niyang nararamdaman ang koneksyon na ito kahit na habang nagtatrabaho.
Mula sa punto ng view ng pag-aaksaya ng oras, walang mali kung ang isang empleyado, halimbawa, ay tumatakbo sa Skype at gumugugol ng 5 minuto sa pakikipag-usap sa isang mahal sa buhay kung kinakailangan.
Nangangahulugan ba ito na ang Internet ay dapat palaging magagamit, nangangahulugan ba ito na ang mga empleyado ay maaaring magkaroon ng access sa lahat ng mga mapagkukunan at hindi makokontrol ang mga ito sa anumang paraan?
Hindi ibig sabihin nito, siyempre. Ang antas ng pagiging bukas ng Internet ay maaaring mag-iba para sa iba't ibang kumpanya - mula sa kumpletong pagsasara hanggang sa kumpletong pagiging bukas. Tatalakayin natin ang mga paraan upang makontrol ang trapiko sa ibang pagkakataon sa mga seksyon sa mga hakbang sa seguridad.
Kakayahang gamitin ang buong hanay ng mga pamilyar na device
Maginhawa kapag, halimbawa, mayroon kang pagkakataon na magpatuloy sa paggamit ng lahat ng paraan ng komunikasyon na nakasanayan mo sa trabaho. Walang kahirapan sa teknikal na pagpapatupad nito. Para dito kailangan mo ng WiFi at guest wilan.
Mabuti rin kung may pagkakataon kang gamitin ang operating system na nakasanayan mo na. Ngunit, sa aking obserbasyon, ito ay karaniwang pinapayagan lamang sa mga tagapamahala, tagapangasiwa at mga developer.
Halimbawa
Siyempre, maaari mong sundin ang landas ng mga pagbabawal, ipagbawal ang malayuang pag-access, ipagbawal ang pagkonekta mula sa mga mobile device, limitahan ang lahat sa mga static na koneksyon sa Ethernet, limitahan ang pag-access sa Internet, sapilitang kumpiskahin ang mga cell phone at gadget sa checkpoint... at ang landas na ito ay aktwal na sinusundan ng ilang mga organisasyon na may mas mataas na mga kinakailangan sa seguridad, at marahil sa ilang mga kaso ito ay maaaring makatwiran, ngunit... dapat kang sumang-ayon na ito ay mukhang isang pagtatangka upang ihinto ang pag-unlad sa isang organisasyon. Siyempre, gusto kong pagsamahin ang mga pagkakataong ibinibigay ng mga modernong teknolohiya na may sapat na antas ng seguridad.
"Mabilis na operasyon" ng network
Ang bilis ng paglipat ng data ay teknikal na binubuo ng maraming mga kadahilanan. At ang bilis ng iyong port ng koneksyon ay karaniwang hindi ang pinakamahalaga. Ang mabagal na operasyon ng isang application ay hindi palaging nauugnay sa mga problema sa network, ngunit sa ngayon ay interesado lamang kami sa bahagi ng network. Ang pinakakaraniwang problema sa "slowdown" ng lokal na network ay nauugnay sa pagkawala ng packet. Karaniwan itong nangyayari kapag may bottleneck o L1 (OSI) na mga problema. Mas bihira, sa ilang mga disenyo (halimbawa, kapag ang iyong mga subnet ay may firewall bilang default na gateway at sa gayon ang lahat ng trapiko ay dumaan dito), ang pagganap ng hardware ay maaaring kulang.
Samakatuwid, kapag pumipili ng kagamitan at arkitektura, kailangan mong iugnay ang mga bilis ng mga end port, trunks at pagganap ng kagamitan.
Halimbawa
Ipagpalagay natin na gumagamit ka ng mga switch na may 1 gigabit port bilang mga switch ng access layer. Nakakonekta ang mga ito sa isa't isa sa pamamagitan ng Etherchannel na 2 x 10 gigabits. Bilang default na gateway, gumamit ka ng firewall na may mga gigabit port, para ikonekta kung alin sa L2 office network ang iyong ginagamit na 2 gigabit port na pinagsama sa isang Etherchannel.
Ang arkitektura na ito ay medyo maginhawa mula sa isang functionality point of view, dahil... Ang lahat ng trapiko ay dumadaan sa firewall, at maaari mong kumportable na pamahalaan ang mga patakaran sa pag-access, at maglapat ng mga kumplikadong algorithm upang makontrol ang trapiko at maiwasan ang mga posibleng pag-atake (tingnan sa ibaba), ngunit mula sa isang throughput at pananaw ng pagganap, ang disenyo na ito, siyempre, ay may mga potensyal na problema. Kaya, halimbawa, ang 2 host na nagda-download ng data (na may bilis ng port na 1 gigabit) ay maaaring ganap na mag-load ng 2 gigabit na koneksyon sa firewall, at sa gayon ay humantong sa pagkasira ng serbisyo para sa buong bahagi ng opisina.
Tiningnan namin ang isang vertex ng tatsulok, ngayon tingnan natin kung paano namin masisiguro ang seguridad.
Mga remedyo
Kaya, siyempre, kadalasan ang aming pagnanais (o sa halip, ang pagnanais ng aming pamamahala) ay upang makamit ang imposible, ibig sabihin, upang magbigay ng maximum na kaginhawahan na may pinakamataas na seguridad at pinakamababang gastos.
Tingnan natin kung anong mga paraan ang mayroon tayo upang magbigay ng proteksyon.
Para sa opisina, i-highlight ko ang sumusunod:
- zero trust approach sa disenyo
- mataas na antas ng proteksyon
- visibility ng network
- pinag-isang sentralisadong authentication at authorization system
- pagsuri ng host
Susunod, tatalakayin natin nang mas detalyado ang bawat isa sa mga aspetong ito.
ZeroTrust
Ang mundo ng IT ay mabilis na nagbabago. Sa nakalipas na 10 taon lamang, ang paglitaw ng mga bagong teknolohiya at produkto ay humantong sa isang malaking pagbabago ng mga konsepto ng seguridad. Sampung taon na ang nakalilipas, mula sa isang punto ng seguridad, hinati namin ang network sa mga trust, dmz at untrust zone, at ginamit ang tinatawag na "perimeter protection", kung saan mayroong 2 linya ng depensa: untrust -> dmz at dmz -> magtiwala. Gayundin, karaniwang limitado ang proteksyon sa mga listahan ng pag-access batay sa mga header ng L3/L4 (OSI) (IP, TCP/UDP port, TCP flag). Ang lahat ng nauugnay sa mas matataas na antas, kabilang ang L7, ay naiwan sa OS at mga produktong panseguridad na naka-install sa mga end host.
Ngayon ang sitwasyon ay kapansin-pansing nagbago. Modernong konsepto ay mula sa katotohanan na hindi na posible na isaalang-alang ang mga panloob na sistema, iyon ay, ang mga matatagpuan sa loob ng perimeter, bilang pinagkakatiwalaan, at ang konsepto ng perimeter mismo ay naging malabo.
Bukod sa internet connection meron din tayo
- malayuang pag-access sa mga gumagamit ng VPN
- iba't ibang personal na gadget, nagdala ng mga laptop, konektado sa pamamagitan ng WiFi ng opisina
- iba pang (sangay) na tanggapan
- pagsasama sa imprastraktura ng ulap
Ano ang hitsura ng diskarte sa Zero Trust sa pagsasanay?
Sa isip, tanging ang trapiko na kinakailangan ay dapat pahintulutan at, kung ang pag-uusapan natin ay tungkol sa isang ideyal, ang kontrol ay dapat hindi lamang sa antas ng L3/L4, ngunit sa antas ng aplikasyon.
Kung, halimbawa, mayroon kang kakayahang ipasa ang lahat ng trapiko sa pamamagitan ng isang firewall, maaari mong subukang lumapit sa ideal. Ngunit ang pamamaraang ito ay maaaring makabuluhang bawasan ang kabuuang bandwidth ng iyong network, at bukod pa, ang pag-filter ayon sa aplikasyon ay hindi palaging gumagana nang maayos.
Kapag kinokontrol ang trapiko sa isang router o L3 switch (gamit ang mga karaniwang ACL), makakaranas ka ng iba pang mga problema:
- Ito ay L3/L4 na pag-filter lamang. Walang pumipigil sa isang umaatake mula sa paggamit ng mga pinapayagang port (hal. TCP 80) para sa kanilang aplikasyon (hindi http)
- kumplikadong pamamahala ng ACL (mahirap i-parse ang mga ACL)
- Ito ay hindi isang statefull na firewall, ibig sabihin ay kailangan mong tahasang payagan ang reverse traffic
- gamit ang mga switch, karaniwan kang limitado sa laki ng TCAM, na maaaring mabilis na maging problema kung gagawin mo ang "payagan lamang ang kailangan mo" na diskarte
Tandaan:
Sa pagsasalita tungkol sa reverse traffic, dapat nating tandaan na mayroon tayong sumusunod na pagkakataon (Cisco)
payagan ang tcp anumang naitatag
Ngunit kailangan mong maunawaan na ang linyang ito ay katumbas ng dalawang linya:
payagan ang tcp anumang ack
payagan ang tcp anumang unaNangangahulugan ito na kahit na walang paunang segment ng TCP na may bandila ng SYN (iyon ay, ang session ng TCP ay hindi pa nagsimulang magtatag), papayagan ng ACL na ito ang isang packet na may bandila ng ACK, na magagamit ng isang umaatake upang maglipat ng data.
Ibig sabihin, ang linyang ito ay hindi gagawing statefull na firewall ang iyong router o L3 switch.
Mataas na antas ng proteksyon
В Sa seksyon sa mga data center, isinasaalang-alang namin ang mga sumusunod na paraan ng proteksyon.
- stateful firewalling (default)
- proteksyon ng ddos/dos
- firewall ng application
- pag-iwas sa pagbabanta (antivirus, anti-spyware, at kahinaan)
- Pag-filter ng URL
- pag-filter ng data (pag-filter ng nilalaman)
- pagharang ng file (pag-block ng mga uri ng file)
Sa kaso ng isang opisina, ang sitwasyon ay magkatulad, ngunit ang mga priyoridad ay bahagyang naiiba. Ang availability ng opisina (availability) ay karaniwang hindi kasing kritikal tulad ng sa kaso ng isang data center, habang ang posibilidad ng "internal" na nakakahamak na trapiko ay mas mataas.
Samakatuwid, ang mga sumusunod na paraan ng proteksyon para sa segment na ito ay nagiging kritikal:
- firewall ng application
- pag-iwas sa pagbabanta (anti-virus, anti-spyware, at kahinaan)
- Pag-filter ng URL
- pag-filter ng data (pag-filter ng nilalaman)
- pagharang ng file (pag-block ng mga uri ng file)
Bagama't ang lahat ng mga paraan ng proteksyong ito, maliban sa firewall ng application, ay tradisyonal na at patuloy na niresolba sa mga end host (halimbawa, sa pamamagitan ng pag-install ng mga antivirus program) at paggamit ng mga proxy, ang mga modernong NGFW ay nagbibigay din ng mga serbisyong ito.
Nagsusumikap ang mga vendor ng security equipment na lumikha ng komprehensibong proteksyon, kaya kasama ng lokal na proteksyon, nag-aalok sila ng iba't ibang teknolohiya sa cloud at software ng kliyente para sa mga host (end point protection/EPP). Kaya, halimbawa, mula sa Nakikita natin na ang Palo Alto at Cisco ay may sariling mga EPP (PA: Traps, Cisco: AMP), ngunit malayo sa mga pinuno.
Ang pagpapagana sa mga proteksyong ito (kadalasan sa pamamagitan ng pagbili ng mga lisensya) sa iyong firewall ay siyempre hindi sapilitan (maaari kang pumunta sa tradisyonal na ruta), ngunit nagbibigay ito ng ilang mga benepisyo:
- sa kasong ito, mayroong isang punto ng aplikasyon ng mga pamamaraan ng proteksyon, na nagpapabuti sa kakayahang makita (tingnan ang susunod na paksa).
- Kung mayroong hindi protektadong device sa iyong network, nasa ilalim pa rin ito ng "payong" ng proteksyon ng firewall
- Sa pamamagitan ng paggamit ng proteksyon ng firewall kasabay ng proteksyon ng end-host, pinapataas namin ang posibilidad na matukoy ang nakakahamak na trapiko. Halimbawa, ang paggamit ng pag-iwas sa pagbabanta sa mga lokal na host at sa isang firewall ay nagpapataas ng posibilidad ng pagtuklas (sa kondisyon, siyempre, na ang mga solusyong ito ay batay sa iba't ibang mga produkto ng software)
Tandaan:
Kung, halimbawa, ginagamit mo ang Kaspersky bilang isang antivirus pareho sa firewall at sa mga end host, kung gayon, siyempre, hindi ito lubos na magpapataas ng iyong mga pagkakataon na maiwasan ang pag-atake ng virus sa iyong network.
Pagpapakita ng network
ay simple - "tingnan" kung ano ang nangyayari sa iyong network, parehong sa real time at makasaysayang data.
Hahatiin ko ang "pangitain" na ito sa dalawang grupo:
Unang pangkat: kung ano ang karaniwang ibinibigay sa iyo ng iyong monitoring system.
- pagkarga ng kagamitan
- naglo-load ng mga channel
- paggamit ng memorya
- paggamit ng disk
- pagpapalit ng routing table
- katayuan ng link
- pagkakaroon ng kagamitan (o mga host)
- ...
Ikalawang pangkat: impormasyong nauugnay sa kaligtasan.
- iba't ibang uri ng mga istatistika (halimbawa, ayon sa aplikasyon, ayon sa trapiko ng URL, anong mga uri ng data ang na-download, data ng user)
- kung ano ang hinarang ng mga patakaran sa seguridad at sa anong dahilan, ibig sabihin
- ipinagbabawal na aplikasyon
- ipinagbabawal batay sa ip/protocol/port/flags/zones
- pag-iwas sa pagbabanta
- pag-filter ng url
- pagsasala ng data
- pagharang ng file
- ...
- mga istatistika sa pag-atake ng DOS/DDOS
- nabigong mga pagtatangka sa pagkakakilanlan at awtorisasyon
- mga istatistika para sa lahat ng kaganapan ng paglabag sa patakaran sa seguridad sa itaas
- ...
Sa kabanatang ito sa seguridad, interesado kami sa ikalawang bahagi.
Ang ilang modernong firewall (mula sa aking karanasan sa Palo Alto) ay nagbibigay ng magandang antas ng visibility. Ngunit, siyempre, ang trapiko na interesado ka ay dapat dumaan sa firewall na ito (kung saan mayroon kang kakayahang harangan ang trapiko) o i-mirror sa firewall (ginagamit lamang para sa pagsubaybay at pagsusuri), at dapat kang magkaroon ng mga lisensya upang paganahin ang lahat. mga serbisyong ito.
Mayroong, siyempre, isang alternatibong paraan, o sa halip ang tradisyonal na paraan, halimbawa,
- Maaaring kolektahin ang mga istatistika ng session sa pamamagitan ng netflow at pagkatapos ay gumamit ng mga espesyal na kagamitan para sa pagsusuri ng impormasyon at visualization ng data
- pag-iwas sa pagbabanta – mga espesyal na programa (anti-virus, anti-spyware, firewall) sa mga end host
- Pag-filter ng URL, pag-filter ng data, pag-block ng file – sa proxy
- posible ring pag-aralan ang tcpdump gamit ang hal.
Maaari mong pagsamahin ang dalawang approach na ito, pagdagdag sa mga nawawalang feature o pagdodoble sa mga ito para mapataas ang posibilidad na makakita ng pag-atake.
Aling diskarte ang dapat mong piliin?
Lubos na nakadepende sa mga kwalipikasyon at kagustuhan ng iyong koponan.
Pareho doon at may mga kalamangan at kahinaan.
Pinag-isang sentralisadong authentication at authorization system
Kapag mahusay ang disenyo, ipinapalagay ng mobility na tinalakay namin sa artikulong ito na mayroon kang parehong access kung nagtatrabaho ka mula sa opisina o mula sa bahay, mula sa airport, mula sa isang coffee shop o kahit saan pa (na may mga limitasyong tinalakay namin sa itaas). Mukhang, ano ang problema?
Upang mas maunawaan ang pagiging kumplikado ng gawaing ito, tingnan natin ang isang tipikal na disenyo.
Halimbawa
- Hinati mo ang lahat ng empleyado sa mga grupo. Nagpasya kang magbigay ng access ayon sa mga pangkat
- Sa loob ng opisina, kinokontrol mo ang pag-access sa firewall ng opisina
- Kinokontrol mo ang trapiko mula sa opisina hanggang sa data center sa firewall ng data center
- Gumagamit ka ng Cisco ASA bilang gateway ng VPN at para makontrol ang trapikong pumapasok sa iyong network mula sa mga malalayong kliyente, gumagamit ka ng mga lokal (sa ASA) na ACL
Ngayon, sabihin nating hihilingin sa iyo na magdagdag ng karagdagang access sa isang partikular na empleyado. Sa kasong ito, hihilingin sa iyo na magdagdag ng access sa kanya lamang at wala nang iba mula sa kanyang grupo.
Para dito kailangan nating lumikha ng isang hiwalay na grupo para sa empleyadong ito, iyon ay
- lumikha ng hiwalay na IP pool sa ASA para sa empleyadong ito
- magdagdag ng bagong ACL sa ASA at itali ito sa malayong kliyente
- lumikha ng mga bagong patakaran sa seguridad sa mga firewall ng opisina at data center
Buti nalang kung bihira ang event na ito. Ngunit sa aking pagsasanay mayroong isang sitwasyon kapag ang mga empleyado ay lumahok sa iba't ibang mga proyekto, at ang hanay ng mga proyekto para sa ilan sa kanila ay madalas na nagbago, at ito ay hindi 1-2 tao, ngunit dose-dosenang. Siyempre, may kailangang baguhin dito.
Nalutas ito sa sumusunod na paraan.
Napagpasyahan namin na ang LDAP ang tanging pagmumulan ng katotohanan na tumutukoy sa lahat ng posibleng pag-access ng empleyado. Gumawa kami ng lahat ng uri ng mga grupo na tumutukoy sa mga hanay ng mga access, at itinalaga namin ang bawat user sa isa o higit pang mga grupo.
Kaya, halimbawa, ipagpalagay na mayroong mga grupo
- bisita (Internet access)
- karaniwang pag-access (pag-access sa mga nakabahaging mapagkukunan: mail, base ng kaalaman, ...)
- accounting
- proyekto 1
- proyekto 2
- administrator ng data base
- administrator ng linux
- ...
At kung ang isa sa mga empleyado ay kasangkot sa parehong proyekto 1 at proyekto 2, at kailangan niya ng access na kinakailangan upang magtrabaho sa mga proyektong ito, kung gayon ang empleyadong ito ay itinalaga sa mga sumusunod na grupo:
- bisita
- karaniwang pag-access
- proyekto 1
- proyekto 2
Paano natin ngayon gagawing access ang impormasyong ito sa mga kagamitan sa network?
Cisco ASA Dynamic Access Policy (DAP) (tingnan ang ) ang solusyon ay tama lamang para sa gawaing ito.
Sa madaling sabi tungkol sa aming pagpapatupad, sa panahon ng proseso ng pagkakakilanlan/awtorisasyon, ang ASA ay tumatanggap mula sa LDAP ng isang hanay ng mga pangkat na tumutugma sa isang partikular na user at "nangongolekta" mula sa ilang lokal na ACL (bawat isa ay tumutugma sa isang grupo) ng isang dynamic na ACL kasama ang lahat ng kinakailangang pag-access , na ganap na tumutugma sa aming mga kagustuhan.
Ngunit ito ay para lamang sa mga koneksyon sa VPN. Upang gawing pareho ang sitwasyon para sa parehong mga empleyado na konektado sa pamamagitan ng VPN at sa mga nasa opisina, ang sumusunod na hakbang ay ginawa.
Kapag kumokonekta mula sa opisina, ang mga user na gumagamit ng 802.1x protocol ay napunta sa alinman sa guest LAN (para sa mga bisita) o isang shared LAN (para sa mga empleyado ng kumpanya). Dagdag pa, upang makakuha ng partikular na pag-access (halimbawa, sa mga proyekto sa isang data center), ang mga empleyado ay kailangang kumonekta sa pamamagitan ng VPN.
Upang kumonekta mula sa opisina at mula sa bahay, iba't ibang grupo ng lagusan ang ginamit sa ASA. Ito ay kinakailangan upang para sa mga kumokonekta mula sa opisina, ang trapiko sa mga nakabahaging mapagkukunan (ginagamit ng lahat ng empleyado, tulad ng mail, file server, ticket system, dns, ...) ay hindi dumaan sa ASA, ngunit sa pamamagitan ng lokal na network . Kaya, hindi namin na-load ang ASA ng hindi kinakailangang trapiko, kabilang ang mataas na intensidad ng trapiko.
Kaya, nalutas ang problema.
Nakakuha kami
- ang parehong hanay ng mga access para sa parehong mga koneksyon mula sa opisina at remote na koneksyon
- kawalan ng pagkasira ng serbisyo kapag nagtatrabaho mula sa opisina na nauugnay sa paghahatid ng high-intensity na trapiko sa pamamagitan ng ASA
Ano ang iba pang mga pakinabang ng diskarteng ito?
Sa access administration. Ang mga pag-access ay madaling mabago sa isang lugar.
Halimbawa, kung aalis ang isang empleyado sa kumpanya, aalisin mo lang siya sa LDAP, at awtomatiko siyang mawawalan ng access.
Pagsusuri ng host
Sa posibilidad ng malayuang koneksyon, pinatatakbo namin ang panganib na payagan hindi lamang ang isang empleyado ng kumpanya sa network, kundi pati na rin ang lahat ng nakakahamak na software na malamang na naroroon sa kanyang computer (halimbawa, tahanan), at higit pa rito, sa pamamagitan ng software na ito kami maaaring nagbibigay ng access sa aming network sa isang umaatake gamit ang host na ito bilang isang proxy.
Makatuwiran para sa isang malayuang konektadong host na ilapat ang parehong mga kinakailangan sa seguridad bilang isang in-office host.
Ipinapalagay din nito ang "tama" na bersyon ng OS, anti-virus, anti-spyware, at firewall software at mga update. Karaniwan, ang kakayahang ito ay umiiral sa gateway ng VPN (para sa ASA tingnan, halimbawa, ).
Marunong ding ilapat ang parehong pagsusuri sa trapiko at mga diskarte sa pagharang (tingnan ang "Mataas na antas ng proteksyon") na nalalapat ang iyong patakaran sa seguridad sa trapiko sa opisina.
Makatuwirang ipagpalagay na ang iyong network ng opisina ay hindi na limitado sa gusali ng opisina at ang mga host sa loob nito.
Halimbawa
Ang isang mahusay na pamamaraan ay upang bigyan ang bawat empleyado na nangangailangan ng malayuang pag-access ng isang mahusay, maginhawang laptop at hinihiling sa kanila na magtrabaho, kapwa sa opisina at mula sa bahay, mula lamang dito.
Hindi lamang nito pinapabuti ang seguridad ng iyong network, ngunit ito rin ay talagang maginhawa at kadalasang tinitingnan nang mabuti ng mga empleyado (kung ito ay talagang mahusay, user-friendly na laptop).
Tungkol sa isang pakiramdam ng proporsyon at balanse
Karaniwan, ito ay isang pag-uusap tungkol sa ikatlong tuktok ng aming tatsulok - tungkol sa presyo.
Tingnan natin ang isang hypothetical na halimbawa.
Halimbawa
Mayroon kang opisina para sa 200 katao. Nagpasya kang gawin itong maginhawa at ligtas hangga't maaari.
Samakatuwid, nagpasya kang ipasa ang lahat ng trapiko sa firewall at sa gayon para sa lahat ng mga subnet ng opisina ang firewall ay ang default na gateway. Bilang karagdagan sa software ng seguridad na naka-install sa bawat end host (anti-virus, anti-spyware, at firewall software), nagpasya ka ring ilapat ang lahat ng posibleng paraan ng proteksyon sa firewall.
Upang matiyak ang mataas na bilis ng koneksyon (lahat para sa kaginhawahan), pinili mo ang mga switch na may 10 Gigabit access port bilang access switch, at high-performance NGFW firewall bilang mga firewall, halimbawa, Palo Alto 7K series (na may 40 Gigabit port), natural kasama ang lahat ng lisensya kasama at, natural, isang High Availability na pares.
Gayundin, siyempre, upang gumana sa linyang ito ng kagamitan kailangan namin ng hindi bababa sa isang pares ng mga mataas na kwalipikadong inhinyero ng seguridad.
Susunod, nagpasya kang bigyan ang bawat empleyado ng magandang laptop.
Sa kabuuan, mga 10 milyong dolyar para sa pagpapatupad, daan-daang libong dolyar (sa tingin ko ay mas malapit sa isang milyon) para sa taunang suporta at suweldo para sa mga inhinyero.
Opisina, 200 katao...
Komportable? Oo naman yata.Sumama ka sa panukalang ito sa iyong pamamahala...
Marahil mayroong isang bilang ng mga kumpanya sa mundo kung saan ito ay isang katanggap-tanggap at tamang solusyon. Kung ikaw ay isang empleyado ng kumpanyang ito, binabati kita, ngunit sa karamihan ng mga kaso, sigurado ako na ang iyong kaalaman ay hindi pahalagahan ng pamamahala.
Exaggerated ba ang halimbawang ito? Sasagutin ng susunod na kabanata ang tanong na ito.
Kung sa iyong network ay hindi mo nakikita ang alinman sa itaas, ito ang pamantayan.
Para sa bawat partikular na kaso, kailangan mong maghanap ng sarili mong makatwirang kompromiso sa pagitan ng kaginhawahan, presyo at kaligtasan. Kadalasan hindi mo kailangan ng NGFW sa iyong opisina, at hindi kinakailangan ang proteksyon ng L7 sa firewall. Ito ay sapat na upang magbigay ng isang mahusay na antas ng visibility at mga alerto, at ito ay maaaring gawin gamit ang mga open source na produkto, halimbawa. Oo, ang iyong reaksyon sa isang pag-atake ay hindi agad-agad, ngunit ang pangunahing bagay ay makikita mo ito, at sa mga tamang proseso sa lugar sa iyong departamento, mabilis mong ma-neutralize ito.
At hayaan mong ipaalala ko sa iyo na, ayon sa konsepto ng seryeng ito ng mga artikulo, hindi ka nagdidisenyo ng isang network, sinusubukan mo lamang pagbutihin ang nakuha mo.
LIGTAS na pagsusuri ng arkitektura ng opisina
Bigyang-pansin ang pulang parisukat na ito kung saan naglaan ako ng lugar sa diagram na nais kong talakayin dito.
Ito ay isa sa mga pangunahing lugar ng arkitektura at isa sa mga pinakamahalagang kawalan ng katiyakan.
Tandaan:
Hindi pa ako nag-set up o nagtrabaho sa FirePower (mula sa linya ng firewall ng Cisco - ASA lamang), kaya ituturing ko ito tulad ng anumang iba pang firewall, tulad ng Juniper SRX o Palo Alto, sa pag-aakalang mayroon itong parehong mga kakayahan.
Sa mga karaniwang disenyo, nakikita ko lang ang 4 na posibleng opsyon para sa paggamit ng firewall na may ganitong koneksyon:
- ang default na gateway para sa bawat subnet ay isang switch, habang ang firewall ay nasa transparent na mode (iyon ay, lahat ng trapiko ay dumadaan dito, ngunit hindi ito bumubuo ng L3 hop)
- ang default na gateway para sa bawat subnet ay ang mga sub-interface ng firewall (o mga interface ng SVI), ang switch ay gumaganap ng papel na L2
- iba't ibang mga VRF ang ginagamit sa switch, at ang trapiko sa pagitan ng mga VRF ay dumadaan sa firewall, ang trapiko sa loob ng isang VRF ay kinokontrol ng ACL sa switch
- ang lahat ng trapiko ay naka-mirror sa firewall para sa pagsusuri at pagsubaybay; ang trapiko ay hindi dumaan dito
Pangungusap 1
Ang mga kumbinasyon ng mga pagpipiliang ito ay posible, ngunit para sa pagiging simple hindi namin isasaalang-alang ang mga ito.
Tandaan2
Mayroon ding posibilidad ng paggamit ng PBR (service chain architecture), ngunit sa ngayon ito, kahit na isang magandang solusyon sa aking opinyon, ay medyo kakaiba, kaya hindi ko ito isinasaalang-alang dito.
Mula sa paglalarawan ng mga daloy sa dokumento, nakikita natin na ang trapiko ay dumadaan pa rin sa firewall, iyon ay, alinsunod sa disenyo ng Cisco, ang ikaapat na opsyon ay tinanggal.
Tingnan muna natin ang unang dalawang opsyon.
Sa mga opsyong ito, dumaan ang lahat ng trapiko sa firewall.
Ngayon tingnan natin , tingnan mo at nakikita namin na kung gusto namin ang kabuuang bandwidth para sa aming opisina ay hindi bababa sa 10 - 20 gigabits, dapat naming bilhin ang 4K na bersyon.
Tandaan:
Kapag pinag-uusapan ko ang kabuuang bandwidth, ang ibig kong sabihin ay trapiko sa pagitan ng mga subnet (at hindi sa loob ng isang vilana).
Mula sa GPL nakita namin na para sa HA Bundle na may Threat Defense, ang presyo depende sa modelo (4110 - 4150) ay nag-iiba mula ~0,5 - 2,5 milyong dolyar.
Iyon ay, ang aming disenyo ay nagsisimula na maging katulad ng nakaraang halimbawa.
Nangangahulugan ba ito na mali ang disenyong ito?
Hindi, hindi ibig sabihin nito. Binibigyan ka ng Cisco ng pinakamahusay na posibleng proteksyon batay sa linya ng produkto na mayroon ito. Ngunit hindi iyon nangangahulugan na ito ay dapat gawin para sa iyo.
Sa prinsipyo, ito ay isang karaniwang tanong na lumalabas kapag nagdidisenyo ng isang opisina o data center, at nangangahulugan lamang ito na kailangang maghanap ng kompromiso.
Halimbawa, huwag hayaan ang lahat ng trapiko na dumaan sa isang firewall, kung saan ang opsyon 3 ay tila maganda para sa akin, o (tingnan ang nakaraang seksyon) marahil ay hindi mo kailangan ng Threat Defense o hindi mo na kailangan ng firewall para doon. network segment, at kailangan mo lang limitahan ang iyong sarili sa passive monitoring gamit ang bayad (hindi mahal) o open source na mga solusyon, o kailangan mo ng firewall, ngunit mula sa ibang vendor.
Kadalasan ay laging may ganitong kawalan ng katiyakan at walang malinaw na sagot kung aling desisyon ang pinakamainam para sa iyo.
Ito ang pagiging kumplikado at kagandahan ng gawaing ito.
Pinagmulan: www.habr.com