ProHoster > Blog > yönetim > Ağ altyapınızın kontrolünü nasıl ele alırsınız? Üçüncü bölüm. Ağ güvenliği. Üçüncü bölüm

Ağ altyapınızın kontrolünü nasıl ele alırsınız? Üçüncü bölüm. Ağ güvenliği. Üçüncü bölüm

Bu makale “Ağ Altyapınızın Kontrolünü Nasıl Ele Alırsınız?” serisinin beşincisidir. Serideki tüm yazıların içeriğine ve bağlantılara ulaşabilirsiniz burada.

Bu bölüm Kampüs (Ofis) ve Uzaktan erişim VPN segmentlerine ayrılacaktır.

Ağ altyapınızın kontrolünü nasıl ele alırsınız? Üçüncü bölüm. Ağ güvenliği. Üçüncü bölüm

Ofis ağı tasarımı kolay görünebilir.

Nitekim L2/L3 anahtarlarını alıp birbirine bağlıyoruz. Daha sonra, vilanların ve varsayılan ağ geçitlerinin temel kurulumunu gerçekleştiriyoruz, basit yönlendirme ayarlıyoruz, WiFi denetleyicilerini, erişim noktalarını bağlıyoruz, uzaktan erişim için ASA'yı kurup yapılandırıyoruz, her şeyin çalıştığından memnunuz. Temel olarak, öncekilerden birinde zaten yazdığım gibi makaleler Bu döngüde, iki dönemlik bir telekom kursuna katılan (ve öğrenen) hemen hemen her öğrenci, bir ofis ağını "bir şekilde çalışacak" şekilde tasarlayabilir ve yapılandırabilir.

Ancak ne kadar çok öğrenirseniz, bu görev o kadar az basit görünmeye başlar. Şahsen benim için bu konu, ofis ağı tasarımı konusu hiç de basit görünmüyor ve bu yazıda nedenini açıklamaya çalışacağım.

Kısacası dikkate alınması gereken pek çok faktör var. Çoğu zaman bu faktörler birbiriyle çatışır ve makul bir uzlaşmanın aranması gerekir.
Bu belirsizlik asıl zorluktur. Güvenlikten bahsederken, üç köşeli bir üçgenimiz var: güvenlik, çalışanlar için kolaylık ve çözümün fiyatı.
Ve her seferinde bu üçü arasında bir uzlaşma aramanız gerekir.

Mimari

Bu iki segment için bir mimari örneği olarak önceki makalelerde olduğu gibi şunu öneriyorum: Cisco GÜVENLİ modeli: Kurumsal Kampüs, Kurumsal İnternet Sınırı.

Bunlar biraz eski belgeler. Bunları burada sunuyorum çünkü temel şemalar ve yaklaşım değişmedi ama aynı zamanda sunumu öncekinden daha çok beğendim. yeni belgeler.

Sizi Cisco çözümlerini kullanmaya teşvik etmeden, yine de bu tasarımı dikkatle incelemenin faydalı olduğunu düşünüyorum.

Bu makale, her zamanki gibi, hiçbir şekilde tamamlanmış gibi görünmüyor, daha ziyade bu bilgilere bir ekleme niteliğindedir.

Yazının sonunda Cisco SAFE ofis tasarımını burada özetlenen kavramlar açısından inceleyeceğiz.

Genel ilkeler

Ofis ağının tasarımı elbette tartışılan genel gereklilikleri karşılamalıdır. burada “Tasarım kalitesini değerlendirme kriterleri” bölümünde. Bu makalede ele almayı planladığımız fiyat ve güvenliğin yanı sıra, tasarım yaparken (veya değişiklik yaparken) dikkate almamız gereken üç kriter daha vardır:

  • ölçeklenebilirlik
  • kullanım kolaylığı (yönetilebilirlik)
  • kullanılabilirlik

Tartışılanların çoğu veri merkezleri Bu aynı zamanda ofis için de geçerlidir.

Ancak yine de ofis segmentinin güvenlik açısından kritik olan kendine has özellikleri var. Bu özgüllüğün özü, bu segmentin şirketin çalışanlarına (aynı zamanda ortaklara ve misafirlere) ağ hizmetleri sağlamak için oluşturulmuş olmasıdır ve sonuç olarak, sorunun en üst düzeyde dikkate alınmasıyla iki görevimiz vardır:

  • şirket kaynaklarını çalışanlardan (misafirler, ortaklar) ve kullandıkları yazılımlardan gelebilecek kötü niyetli eylemlerden korur. Bu aynı zamanda ağa yetkisiz bağlantıya karşı korumayı da içerir.
  • sistemleri ve kullanıcı verilerini koruyun

Ve bu sorunun yalnızca bir tarafıdır (veya daha doğrusu üçgenin bir köşesidir). Diğer tarafta ise kullanıcı rahatlığı ve kullanılan çözümlerin fiyatı yer alıyor.

Bir kullanıcının modern bir ofis ağından neler beklediğine bakarak başlayalım.

kolaylık

Bana göre bir ofis kullanıcısı için "ağ olanakları" şu şekilde görünüyor:

  • hareketlilik
  • Tüm tanıdık cihaz ve işletim sistemlerini kullanma becerisi
  • Gerekli tüm şirket kaynaklarına kolay erişim
  • Çeşitli bulut hizmetleri de dahil olmak üzere İnternet kaynaklarının kullanılabilirliği
  • Ağın "hızlı çalışması"

Tüm bunlar hem çalışanlar hem de misafirler (veya ortaklar) için geçerlidir ve yetkiye dayalı olarak farklı kullanıcı grupları için erişimi farklılaştırmak şirket mühendislerinin görevidir.

Bu yönlerin her birine biraz daha ayrıntılı olarak bakalım.

hareketlilik

Dünyanın her yerinden (elbette internetin olduğu yerden) çalışma ve gerekli tüm şirket kaynaklarını kullanma fırsatından bahsediyoruz.

Bu tamamen ofis için geçerlidir. Bu, ofisin herhangi bir yerinden çalışmaya devam etme, örneğin posta alma, kurumsal mesajlaşma, görüntülü görüşme yapma fırsatına sahip olduğunuzda kullanışlıdır. bazı sorunları "canlı" iletişimle çözmek (örneğin, mitinglere katılmak) ve diğer yandan her zaman çevrimiçi olmak, parmağınızı nabzını tutmak ve bazı acil, yüksek öncelikli görevleri hızlı bir şekilde çözmek. Bu çok kullanışlıdır ve iletişimin kalitesini gerçekten artırır.

Bu, uygun WiFi ağ tasarımı ile elde edilir.

Dikkat

Burada genellikle şu soru ortaya çıkıyor: Yalnızca WiFi kullanmak yeterli mi? Bu, ofisteki Ethernet bağlantı noktalarını kullanmayı bırakabileceğiniz anlamına mı geliyor? Normal bir Ethernet bağlantı noktasına bağlanması hala makul olan sunuculardan değil, yalnızca kullanıcılardan bahsediyorsak, genel olarak cevap şudur: evet, kendinizi yalnızca WiFi ile sınırlayabilirsiniz. Ama nüanslar var.

Ayrı bir yaklaşım gerektiren önemli kullanıcı grupları vardır. Bunlar elbette yöneticilerdir. Prensip olarak WiFi bağlantısı, normal bir Ethernet bağlantı noktasından daha az güvenilirdir (trafik kaybı açısından) ve daha yavaştır. Bu yöneticiler için önemli olabilir. Ayrıca, örneğin ağ yöneticileri prensipte bant dışı bağlantılar için kendi özel Ethernet ağlarına sahip olabilirler.

Şirketinizde bu faktörlerin önemli olduğu başka gruplar/bölümler de olabilir.

Başka bir önemli nokta daha var - telefon. Belki bazı nedenlerden dolayı Kablosuz VoIP kullanmak istemiyorsunuz ve IP telefonlarını normal Ethernet bağlantısıyla kullanmak istiyorsunuz.

Genel olarak çalıştığım şirketlerde genellikle hem WiFi bağlantısı hem de Ethernet bağlantı noktası vardı.

Hareketliliğin sadece ofisle sınırlı kalmamasını isterim.

Evden (veya erişilebilir İnternet olan herhangi bir yerden) çalışabilmeyi sağlamak için bir VPN bağlantısı kullanılır. Aynı zamanda çalışanların evden çalışma ile aynı erişimi öngören uzaktan çalışma arasındaki farkı hissetmemeleri de arzu edilir. Bunun nasıl organize edileceğini biraz sonra “Birleşik merkezi kimlik doğrulama ve yetkilendirme sistemi” bölümünde tartışacağız.

Dikkat

Büyük olasılıkla, uzaktan çalışma için ofiste sahip olduğunuz hizmetlerin aynı kalitesini tam olarak sağlayamayacaksınız. VPN ağ geçidiniz olarak Cisco ASA 5520 kullandığınızı varsayalım. veri Sayfası bu cihaz yalnızca 225 Mbit VPN trafiğini "sindirme" kapasitesine sahiptir. Yani elbette bant genişliği açısından VPN üzerinden bağlanmak ofisten çalışmaktan çok farklı. Ayrıca, herhangi bir nedenle ağ hizmetleriniz için gecikme, kayıp, titreşim (örneğin, ofis IP telefonunu kullanmak istiyorsanız) önemliyse, ofisteymişsiniz gibi aynı kaliteyi de alamazsınız. Bu nedenle hareketlilik hakkında konuşurken olası sınırlamaların farkında olmalıyız.

Tüm şirket kaynaklarına kolay erişim

Bu görev diğer teknik departmanlarla ortaklaşa çözülmelidir.
İdeal durum, kullanıcının yalnızca bir kez kimlik doğrulaması yapmasının gerektiği ve bundan sonra gerekli tüm kaynaklara erişebildiği durumdur.
Güvenlikten ödün vermeden kolay erişim sağlamak üretkenliği önemli ölçüde artırabilir ve iş arkadaşlarınız arasındaki stresi azaltabilir.

Açıklama 1

Erişim kolaylığı yalnızca bir şifreyi kaç kez girmeniz gerektiği ile ilgili değildir. Örneğin, güvenlik politikanıza uygun olarak ofisten veri merkezine bağlanmak için önce VPN ağ geçidine bağlanmanız gerekiyorsa ve aynı zamanda ofis kaynaklarına erişiminizi kaybederseniz, bu da çok önemlidir. , çok sakıncalı.

Açıklama 2

Genellikle kendi özel AAA sunucularımıza sahip olduğumuz hizmetler (örneğin ağ ekipmanına erişim) vardır ve bu durumda birkaç kez kimlik doğrulaması yapmamız gereken durumlarda bu normaldir.

İnternet kaynaklarının kullanılabilirliği

İnternet sadece eğlence değil aynı zamanda iş için çok faydalı olabilecek bir dizi hizmettir. Tamamen psikolojik faktörler de var. Modern bir insan, İnternet aracılığıyla diğer insanlarla birçok sanal bağlantı yoluyla bağlantı kurar ve bana göre çalışırken bile bu bağlantıyı hissetmeye devam ederse yanlış bir şey yoktur.

Zaman kaybı açısından bakıldığında, örneğin bir çalışanın Skype'ı çalıştırıp gerekirse sevdiği kişiyle 5 dakika iletişim kurmasında bir sakınca yoktur.

Bu, İnternet'in her zaman mevcut olması gerektiği anlamına mı geliyor, bu, çalışanların tüm kaynaklara erişebileceği ve bunları hiçbir şekilde kontrol edemeyeceği anlamına mı geliyor?

Hayır elbette bu anlama gelmiyor. İnternetin açıklık düzeyi, farklı şirketler için tamamen kapanmadan tamamen açıklığa kadar değişebilir. Trafiği kontrol etmenin yollarını daha sonra güvenlik önlemleriyle ilgili bölümlerde tartışacağız.

Tanıdık cihazların tüm yelpazesini kullanma yeteneği

Örneğin, işte alışık olduğunuz tüm iletişim araçlarını kullanmaya devam etme fırsatına sahip olduğunuzda kullanışlıdır. Bunun teknik olarak uygulanmasında herhangi bir zorluk yoktur. Bunun için WiFi'ye ve misafir wilan'a ihtiyacınız var.

Alıştığınız işletim sistemini kullanma fırsatınız varsa da iyi olur. Ancak benim gözlemlerime göre buna genellikle yalnızca yöneticilere, idarecilere ve geliştiricilere izin veriliyor.

Örnek

Elbette yasaklar yolunu takip edebilir, uzaktan erişimi yasaklayabilir, mobil cihazlardan bağlanmayı yasaklayabilir, her şeyi statik Ethernet bağlantılarıyla sınırlandırabilir, İnternet erişimini sınırlandırabilir, kontrol noktasında cep telefonlarına ve cihazlara zorunlu olarak el koyabilirsiniz... ve bu yol. aslında güvenlik gereksinimleri artan bazı kuruluşlar tarafından takip ediliyor ve belki bazı durumlarda bu haklı görülebilir, ancak... bunun tek bir kuruluştaki ilerlemeyi durdurma girişimi gibi göründüğünü kabul etmelisiniz. Elbette modern teknolojilerin sağladığı fırsatları yeterli düzeyde güvenlikle birleştirmek isterim.

Ağın "hızlı çalışması"

Veri aktarım hızı teknik olarak birçok faktörden oluşur. Ve bağlantı portunuzun hızı genellikle en önemli olanı değildir. Bir uygulamanın yavaş çalışması her zaman ağ sorunlarıyla ilişkilendirilmez ancak şimdilik sadece ağ kısmıyla ilgileniyoruz. Yerel ağ "yavaşlaması" ile ilgili en yaygın sorun paket kaybıyla ilgilidir. Bu genellikle bir darboğaz veya L1 (OSI) sorunları olduğunda ortaya çıkar. Daha nadiren, bazı tasarımlarda (örneğin, alt ağlarınızın varsayılan ağ geçidi olarak bir güvenlik duvarı olması ve dolayısıyla tüm trafiğin bu güvenlik duvarından geçmesi durumunda), donanım performansı eksik olabilir.

Bu nedenle, ekipman ve mimariyi seçerken uç bağlantı noktalarının, ana hatların ve ekipman performansının hızlarını ilişkilendirmeniz gerekir.

Örnek

Erişim katmanı anahtarları olarak 1 gigabit bağlantı noktasına sahip anahtarlar kullandığınızı varsayalım. Birbirlerine Etherchannel 2 x 10 gigabit aracılığıyla bağlanırlar. Varsayılan ağ geçidi olarak, gigabit bağlantı noktalarına sahip bir güvenlik duvarı kullanırsınız ve bunu L2 ofis ağına bağlamak için bir Etherchannel'de birleştirilmiş 2 gigabit bağlantı noktasını kullanırsınız.

Bu mimari işlevsellik açısından oldukça uygundur çünkü... Tüm trafik güvenlik duvarından geçer ve erişim politikalarını rahatça yönetebilir ve trafiği kontrol etmek ve olası saldırıları önlemek için karmaşık algoritmalar uygulayabilirsiniz (aşağıya bakınız), ancak verim ve performans açısından bakıldığında bu tasarımın elbette potansiyel sorunları vardır. Örneğin, veri indiren 2 ana bilgisayar (1 gigabit bağlantı noktası hızıyla) güvenlik duvarına 2 gigabitlik bir bağlantıyı tamamen yükleyebilir ve bu nedenle tüm ofis segmenti için hizmetin bozulmasına yol açabilir.

Üçgenin bir köşesine baktık, şimdi güvenliği nasıl sağlayabileceğimize bakalım.

Koruma araçları

Dolayısıyla elbette genellikle arzumuz (daha doğrusu yönetimimizin arzusu) imkansızı başarmak, yani maksimum güvenlik ve minimum maliyetle maksimum kolaylık sağlamaktır.

Korumayı sağlamak için hangi yöntemlere başvurmamız gerektiğine bakalım.

Ofis için aşağıdakileri vurgularım:

  • Tasarıma sıfır güven yaklaşımı
  • yüksek düzeyde koruma
  • ağ görünürlüğü
  • birleşik merkezi kimlik doğrulama ve yetkilendirme sistemi
  • ana bilgisayar kontrolü

Daha sonra, bu yönlerin her biri üzerinde biraz daha ayrıntılı olarak duracağız.

Sıfır Güven

Bilişim dünyası çok hızlı değişiyor. Son 10 yılda yeni teknolojilerin ve ürünlerin ortaya çıkışı, güvenlik konseptlerinde büyük bir revizyona yol açtı. On yıl önce, güvenlik açısından ağı güven, dmz ve güvensizlik bölgelerine ayırdık ve 2 savunma hattının bulunduğu "çevre koruması" olarak adlandırılan yöntemi kullandık: güvensizlik -> dmz ve dmz -> güven. Ayrıca koruma genellikle L3/L4 (OSI) başlıklarına (IP, TCP/UDP bağlantı noktaları, TCP bayrakları) dayalı erişim listeleriyle sınırlıydı. L7 de dahil olmak üzere daha yüksek seviyelere ilişkin her şey, işletim sistemine ve son ana bilgisayarlara yüklenen güvenlik ürünlerine bırakıldı.

Şimdi durum çarpıcı biçimde değişti. Modern konsept sıfır güven iç sistemleri, yani çevre içinde bulunanları güvenilir olarak değerlendirmenin artık mümkün olmaması ve çevre kavramının bulanıklaşmasından kaynaklanmaktadır.
İnternet bağlantımızın yanı sıra ayrıca

  • uzaktan erişim VPN kullanıcıları
  • çeşitli kişisel araçlar, getirilen dizüstü bilgisayarlar, ofis Wi-Fi aracılığıyla bağlanıyor
  • diğer (şube) ofisler
  • bulut altyapısıyla entegrasyon

Sıfır Güven yaklaşımı pratikte nasıl görünüyor?

İdeal durumda sadece ihtiyaç duyulan trafiğe izin verilmeli ve eğer bir idealden bahsediyorsak o zaman kontrol sadece L3/L4 düzeyinde değil, uygulama düzeyinde de olmalıdır.

Örneğin, tüm trafiği bir güvenlik duvarından geçirme yeteneğiniz varsa, o zaman ideale yaklaşmayı deneyebilirsiniz. Ancak bu yaklaşım ağınızın toplam bant genişliğini önemli ölçüde azaltabilir ve ayrıca uygulamaya göre filtreleme her zaman iyi sonuç vermez.

Bir yönlendirici veya L3 anahtarı üzerindeki trafiği kontrol ederken (standart ACL'leri kullanarak), başka sorunlarla karşılaşırsınız:

  • Bu yalnızca L3/L4 filtrelemesidir. Bir saldırganın uygulamaları için (http değil) izin verilen bağlantı noktalarını (örn. TCP 80) kullanmasını engelleyen hiçbir şey yoktur.
  • karmaşık ACL yönetimi (ACL'leri ayrıştırmak zor)
  • Bu durum bilgisi olan bir güvenlik duvarı değildir, yani ters trafiğe açıkça izin vermeniz gerekir
  • anahtarlarla genellikle TCAM'ın boyutuyla oldukça sıkı bir şekilde sınırlandırılırsınız; bu, "yalnızca ihtiyacınız olana izin verin" yaklaşımını benimserseniz hızla sorun haline gelebilir

Dikkat

Ters trafikten bahsetmişken, elimizde şu fırsatın olduğunu unutmamalıyız (Cisco)

kurulu herhangi bir tcp'ye izin ver

Ancak bu satırın iki satıra eşdeğer olduğunu anlamalısınız:
tcp'ye herhangi bir onaya izin ver
ilk önce tcp'ye izin ver

Bu, SYN bayrağına sahip ilk TCP segmenti olmasa bile (yani TCP oturumu kurulmaya başlamamış olsa bile), bu ACL'nin, saldırganın veri aktarmak için kullanabileceği ACK bayrağına sahip bir pakete izin vereceği anlamına gelir.

Yani bu hat hiçbir şekilde yönlendiricinizi veya L3 anahtarınızı durum bilgisi olan bir güvenlik duvarına dönüştürmez.

Yüksek koruma seviyesi

В Makale Veri merkezleri bölümünde aşağıdaki koruma yöntemlerini ele aldık.

  • Durum bilgisi olan güvenlik duvarı (varsayılan)
  • ddos/dos koruması
  • uygulama güvenlik duvarı
  • Tehdit önleme (antivirüs, casus yazılım önleme ve güvenlik açığı)
  • URL filtreleme
  • veri filtreleme (içerik filtreleme)
  • dosya engelleme (dosya türleri engelleme)

Ofis örneğinde de durum benzerdir ancak öncelikler biraz farklıdır. Ofisin kullanılabilirliği (kullanılabilirliği) genellikle bir veri merkezi durumunda olduğu kadar kritik değildir; "dahili" kötü amaçlı trafiğin olasılığı ise çok daha yüksektir.
Bu nedenle bu segment için aşağıdaki koruma yöntemleri kritik hale geliyor:

  • uygulama güvenlik duvarı
  • Tehdit önleme (antivirüs, casus yazılım önleme ve güvenlik açığı)
  • URL filtreleme
  • veri filtreleme (içerik filtreleme)
  • dosya engelleme (dosya türleri engelleme)

Uygulama güvenlik duvarı hariç tüm bu koruma yöntemleri geleneksel olarak son ana bilgisayarlarda (örneğin, antivirüs programları yükleyerek) ve proxy'ler kullanılarak çözülmeye devam etse de, modern NGFW'ler de bu hizmetleri sağlar.

Güvenlik ekipmanı satıcıları kapsamlı bir koruma oluşturmaya çalışıyor; bu nedenle, yerel korumanın yanı sıra ana bilgisayarlar için çeşitli bulut teknolojileri ve istemci yazılımı (uç nokta koruması/EPP) sunuyorlar. Yani, örneğin, 2018 Gartner Magic Quadrant Palo Alto ve Cisco'nun kendi EPP'lerinin (PA: Traps, Cisco: AMP) olduğunu ancak liderlerden uzak olduklarını görüyoruz.

Güvenlik duvarınızda bu korumaları etkinleştirmek (genellikle lisans satın alarak) elbette zorunlu değildir (geleneksel rotayı kullanabilirsiniz), ancak bazı faydalar sağlar:

  • bu durumda, görünürlüğü artıran koruma yöntemlerinin tek bir uygulama noktası vardır (sonraki konuya bakın).
  • Ağınızda korumasız bir cihaz varsa, o zaman yine de güvenlik duvarı korumasının "şemsiyesi" kapsamına girer
  • Güvenlik duvarı korumasını uç ana bilgisayar korumasıyla birlikte kullanarak, kötü amaçlı trafiğin tespit edilme olasılığını artırıyoruz. Örneğin, yerel ana bilgisayarlarda ve bir güvenlik duvarında tehdit önleme kullanmak, tespit olasılığını artırır (tabii ki bu çözümlerin farklı yazılım ürünlerini temel alması şartıyla)

Dikkat

Örneğin, Kaspersky'yi hem güvenlik duvarında hem de uç ana bilgisayarlarda antivirüs olarak kullanıyorsanız, bu elbette ağınıza virüs saldırısını önleme şansınızı büyük ölçüde artırmayacaktır.

Ağ görünürlüğü

ana fikri çok basit: ağınızda neler olup bittiğini hem gerçek zamanlı hem de geçmiş verilerle "görün".

Bu “vizyonu” iki gruba ayıracağım:

Birinci grup: izleme sisteminizin genellikle size sağladığı şey.

  • ekipman yükleme
  • kanallar yükleniyor
  • hafıza kullanımı
  • disk kullanımı
  • yönlendirme tablosunu değiştirme
  • bağlantı durumu
  • ekipmanın (veya ana bilgisayarların) kullanılabilirliği
  • ...

İkinci grup: güvenlikle ilgili bilgiler.

  • çeşitli istatistik türleri (örneğin, uygulamaya göre, URL trafiğine göre, indirilen veri türleri, kullanıcı verileri)
  • güvenlik politikaları tarafından neyin engellendiği ve hangi nedenle engellendiği, yani
    • yasaklı uygulama
    • ip/protokol/bağlantı noktası/bayraklar/bölgelere göre yasaklanmıştır
    • tehdit önleme
    • URL filtreleme
    • veri filtreleme
    • dosya engelleme
    • ...
  • DOS/DDOS saldırılarına ilişkin istatistikler
  • başarısız tanımlama ve yetkilendirme girişimleri
  • yukarıdaki güvenlik politikası ihlali olaylarının tümüne ilişkin istatistikler
  • ...

Güvenlikle ilgili bu bölümde ikinci kısımla ilgileniyoruz.

Bazı modern güvenlik duvarları (Palo Alto deneyimime göre) iyi düzeyde görünürlük sağlar. Ancak elbette ilgilendiğiniz trafiğin bu güvenlik duvarından geçmesi (bu durumda trafiği engelleme olanağınız vardır) veya güvenlik duvarına yansıtılması (yalnızca izleme ve analiz için kullanılır) ve tümünü etkinleştirecek lisanslara sahip olmanız gerekir. bu hizmetler.

Elbette alternatif bir yol var, daha doğrusu geleneksel yol, örneğin:

  • Oturum istatistikleri netflow aracılığıyla toplanabilir ve daha sonra bilgi analizi ve veri görselleştirme için özel araçlar kullanılabilir
  • tehdit önleme – uç ana bilgisayarlarda özel programlar (anti-virüs, anti-spyware, güvenlik duvarı)
  • URL filtreleme, veri filtreleme, dosya engelleme – proxy üzerinde
  • tcpdump'ı örneğin kullanarak analiz etmek de mümkündür. homurdanma

Bu iki yaklaşımı birleştirip eksik özellikleri tamamlayabilir veya bir saldırının tespit edilme olasılığını artırmak için bunları çoğaltabilirsiniz.

Hangi yaklaşımı seçmelisiniz?
Büyük ölçüde ekibinizin niteliklerine ve tercihlerine bağlıdır.
Hem orada hem de artıları ve eksileri var.

Birleşik merkezi kimlik doğrulama ve yetkilendirme sistemi

Bu makalede tartıştığımız mobilite, iyi tasarlandığında, ister ofisten ister evden, ister havaalanından, ister kafeden veya başka herhangi bir yerden çalışıyor olun (yukarıda tartıştığımız sınırlamalarla) aynı erişime sahip olduğunuzu varsayar. Görünüşe göre sorun ne?
Bu görevin karmaşıklığını daha iyi anlamak için tipik bir tasarıma bakalım.

Örnek

  • Tüm çalışanları gruplara ayırdınız. Gruplara göre erişim sağlamaya karar verdiniz
  • Ofisin içinde, ofis güvenlik duvarından erişimi siz kontrol edersiniz
  • Veri merkezi güvenlik duvarında ofisten veri merkezine giden trafiği kontrol edersiniz
  • Cisco ASA'yı VPN ağ geçidi olarak kullanırsınız ve uzak istemcilerden ağınıza giren trafiği kontrol etmek için yerel (ASA'da) ACL'leri kullanırsınız

Şimdi, belirli bir çalışana ek erişim eklemenizin istendiğini varsayalım. Bu durumda, yalnızca kendisine erişim eklemeniz istenir, grubundan başka hiç kimseye erişim eklememeniz istenir.

Bunun için bu çalışan için ayrı bir grup oluşturmalıyız.

  • bu çalışan için ASA'da ayrı bir IP havuzu oluşturun
  • ASA'ya yeni bir ACL ekleyin ve bunu o uzak istemciye bağlayın
  • ofis ve veri merkezi güvenlik duvarlarında yeni güvenlik politikaları oluşturun

Bu olayın nadir olması iyidir. Ancak benim uygulamamda çalışanların farklı projelere katıldığı bir durum vardı ve bazıları için bu proje seti oldukça sık değişiyordu ve 1-2 kişi değil onlarca kişiydi. Elbette burada bir şeylerin değişmesi gerekiyordu.

Bu aşağıdaki şekilde çözüldü.

LDAP'nin tüm olası çalışan erişimlerini belirleyen tek gerçek kaynak olacağına karar verdik. Erişim kümelerini tanımlayan her türlü grubu oluşturduk ve her kullanıcıyı bir veya daha fazla gruba atadık.

Örneğin, grupların olduğunu varsayalım.

  • misafir (İnternet erişimi)
  • ortak erişim (paylaşılan kaynaklara erişim: posta, bilgi tabanı, ...)
  • muhasebe
  • Proje 1
  • Proje 2
  • veritabanı yöneticisi
  • Linux yöneticisi
  • ...

Çalışanlardan biri hem proje 1 hem de proje 2'de yer aldıysa ve bu projelerde çalışmak için gerekli erişime ihtiyacı varsa, bu çalışan aşağıdaki gruplara atandı:

  • konuk
  • ortak erişim
  • Proje 1
  • Proje 2

Şimdi bu bilgiyi ağ ekipmanında erişime nasıl dönüştürebiliriz?

Cisco ASA Dinamik Erişim Politikası (DAP) (bkz. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-jenerasyon-firewalls/108000-dap-deploy-guide.html) çözümü bu görev için tam olarak uygundur.

Uygulamamız hakkında kısaca, tanımlama/yetkilendirme süreci sırasında ASA, LDAP'den belirli bir kullanıcıya karşılık gelen bir dizi grup alır ve çeşitli yerel ACL'lerden (her biri bir gruba karşılık gelir) gerekli tüm erişimleri içeren dinamik bir ACL'yi "toplar" , bu tamamen bizim isteklerimize karşılık geliyor.

Ancak bu yalnızca VPN bağlantıları içindir. Durumu hem VPN ile bağlanan çalışanlar hem de ofistekiler için aynı hale getirmek için aşağıdaki adım atıldı.

802.1x protokolünü kullanan kullanıcılar ofisten bağlanırken ya konuk LAN'ına (misafirler için) ya da paylaşılan LAN'a (şirket çalışanları için) bağlandılar. Ayrıca, belirli bir erişim elde etmek için (örneğin, bir veri merkezindeki projelere) çalışanların VPN aracılığıyla bağlanmaları gerekiyordu.

ASA'da ofisten ve evden bağlanmak için farklı tünel grupları kullanıldı. Bu, ofisten bağlananlar için paylaşılan kaynaklara (posta, dosya sunucuları, bilet sistemi, dns gibi tüm çalışanlar tarafından kullanılan) trafiğin ASA üzerinden değil yerel ağ üzerinden geçmesi için gereklidir. . Böylece ASA'ya yüksek yoğunluklu trafik dahil gereksiz trafik yüklemedik.

Böylece sorun çözüldü.
Biz aldık

  • hem ofisten gelen bağlantılar hem de uzak bağlantılar için aynı erişim seti
  • ASA aracılığıyla yüksek yoğunluklu trafiğin iletilmesiyle ilişkili ofisten çalışırken hizmet bozulmasının olmaması

Bu yaklaşımın başka avantajları nelerdir?
Erişim yönetiminde. Erişimler tek bir yerden kolaylıkla değiştirilebilir.
Örneğin, bir çalışan şirketten ayrılırsa onu LDAP'tan çıkarırsınız ve otomatik olarak tüm erişimini kaybeder.

Ana bilgisayar kontrolü

Uzaktan bağlantı olanağıyla, yalnızca bir şirket çalışanının değil, aynı zamanda bilgisayarında (örneğin evinde) bulunması muhtemel tüm kötü amaçlı yazılımların da ağa girmesine izin verme riskiyle karşı karşıyayız ve dahası, bu yazılım aracılığıyla Bu ana bilgisayarı proxy olarak kullanan bir saldırganın ağımıza erişimini sağlıyor olabilir.

Uzaktan bağlanan bir ana bilgisayarın, ofis içi bir ana bilgisayarla aynı güvenlik gereksinimlerini uygulaması mantıklıdır.

Bu aynı zamanda işletim sisteminin, anti-virüs, anti-spyware ve güvenlik duvarı yazılımının ve güncellemelerinin “doğru” sürümünü de varsayar. Genellikle bu yetenek VPN ağ geçidinde mevcuttur (ASA için örneğin bkz. burada).

Güvenlik politikanızın ofis trafiğine uyguladığı aynı trafik analizi ve engelleme tekniklerini (bkz. “Yüksek düzeyde koruma”) uygulamak da akıllıca olacaktır.

Ofis ağınızın artık ofis binası ve içindeki ana bilgisayarlarla sınırlı olmadığını varsaymak mantıklıdır.

Örnek

İyi bir teknik, uzaktan erişime ihtiyaç duyan her çalışana iyi, kullanışlı bir dizüstü bilgisayar sağlamak ve onların hem ofiste hem de evden yalnızca ondan çalışmasını talep etmektir.

Yalnızca ağınızın güvenliğini artırmakla kalmaz, aynı zamanda gerçekten kullanışlıdır ve genellikle çalışanlar tarafından olumlu karşılanır (eğer gerçekten iyi, kullanıcı dostu bir dizüstü bilgisayarsa).

Orantı ve denge duygusu hakkında

Temel olarak bu, üçgenimizin üçüncü köşesi olan fiyatla ilgili bir konuşmadır.
Varsayımsal bir örneğe bakalım.

Örnek

200 kişilik bir ofisiniz var. Bunu olabildiğince rahat ve güvenli hale getirmeye karar verdiniz.

Bu nedenle, tüm trafiği güvenlik duvarından geçirmeye karar verdiniz ve dolayısıyla tüm ofis alt ağları için güvenlik duvarı varsayılan ağ geçididir. Her uç ana makinede yüklü olan güvenlik yazılımına (anti-virüs, anti-spyware ve güvenlik duvarı yazılımı) ek olarak, güvenlik duvarında olası tüm koruma yöntemlerini de uygulamaya karar verdiniz.

Yüksek bağlantı hızı sağlamak için (tümü kolaylık sağlamak amacıyla), erişim anahtarları olarak 10 Gigabit erişim bağlantı noktasına sahip anahtarları ve güvenlik duvarı olarak yüksek performanslı NGFW güvenlik duvarlarını seçtiniz; örneğin Palo Alto 7K serisi (40 Gigabit bağlantı noktalı), doğal olarak tüm lisanslarla birlikte dahil ve doğal olarak Yüksek Kullanılabilirlik çifti.

Ayrıca elbette bu ekipman serisiyle çalışmak için en az birkaç yüksek vasıflı güvenlik mühendisine ihtiyacımız var.

Daha sonra her çalışanınıza iyi bir dizüstü bilgisayar vermeye karar verdiniz.

Toplamda, uygulama için yaklaşık 10 milyon dolar, yıllık destek ve mühendis maaşları için yüzbinlerce dolar (sanırım bir milyona yakın).

Ofis, 200 kişi...
Rahat? Sanırım evet.

Bu teklifle yönetiminize geliyorsunuz...
Belki dünyada bunun kabul edilebilir ve doğru bir çözüm olduğu birçok şirket vardır. Bu şirketin bir çalışanıysanız tebrik ederim, ancak çoğu durumda bilginizin yönetim tarafından takdir edilmeyeceğinden eminim.

Bu örnek abartılı mı? Bir sonraki bölüm bu soruyu cevaplayacak.

Ağınızda yukarıdakilerin hiçbirini göremiyorsanız, bu normaldir.
Her özel durum için kolaylık, fiyat ve güvenlik arasında kendi makul uzlaşmanızı bulmanız gerekir. Çoğu zaman ofisinizde NGFW'ye bile ihtiyacınız olmaz ve güvenlik duvarında L7 korumasına gerek yoktur. İyi düzeyde görünürlük ve uyarılar sağlamak yeterlidir ve bu, örneğin açık kaynaklı ürünler kullanılarak yapılabilir. Evet, bir saldırıya tepkiniz hemen olmayacaktır, ancak asıl önemli olan onu görmeniz ve departmanınızda doğru süreçlerin uygulanmasıyla, onu hızlı bir şekilde etkisiz hale getirebilecek olmanızdır.

Ve şunu da hatırlatmak isterim ki, bu yazı serisinin konseptine göre bir ağ tasarlamıyorsunuz, sadece elinizde olanı geliştirmeye çalışıyorsunuz.

Ofis mimarisinin SAFE analizi

Diyagramda yer ayırdığım bu kırmızı kareye dikkat edin SAFE Güvenli Kampüs Mimarisi Kılavuzubunu burada tartışmak istiyorum.

Ağ altyapınızın kontrolünü nasıl ele alırsınız? Üçüncü bölüm. Ağ güvenliği. Üçüncü bölüm

Burası mimarinin kilit mekanlarından biri ve en önemli belirsizliklerden biri.

Dikkat

FirePower'ı hiç kurmadım veya onunla çalışmadım (Cisco'nun güvenlik duvarı hattından - yalnızca ASA), bu yüzden aynı yeteneklere sahip olduğunu varsayarak onu Juniper SRX veya Palo Alto gibi diğer güvenlik duvarları gibi ele alacağım.

Bu bağlantıyla güvenlik duvarını kullanmak için olağan tasarımlardan yalnızca 4 olası seçenek görüyorum:

  • her alt ağ için varsayılan ağ geçidi bir anahtardır ve güvenlik duvarı şeffaf moddadır (yani, tüm trafik onun üzerinden geçer, ancak bir L3 atlama noktası oluşturmaz)
  • her alt ağ için varsayılan ağ geçidi, güvenlik duvarı alt arayüzleridir (veya SVI arayüzleridir), anahtar L2 rolünü oynar
  • anahtar üzerinde farklı VRF'ler kullanılır ve VRF'ler arasındaki trafik güvenlik duvarından geçer, bir VRF içindeki trafik anahtar üzerindeki ACL tarafından kontrol edilir
  • analiz ve izleme amacıyla tüm trafik güvenlik duvarına yansıtılır; trafik güvenlik duvarından geçmez

Açıklama 1

Bu seçeneklerin kombinasyonları mümkündür, ancak basitlik açısından bunları dikkate almayacağız.

Not2

Ayrıca PBR'yi (hizmet zinciri mimarisi) kullanma olasılığı da var, ancak şimdilik bu, bence güzel bir çözüm olmasına rağmen oldukça egzotik, bu yüzden burada bunu düşünmüyorum.

Belgedeki akışların açıklamasından trafiğin hala güvenlik duvarından geçtiğini yani Cisco tasarımına uygun olarak dördüncü seçeneğin elendiğini görüyoruz.

Önce ilk iki seçeneğe bakalım.
Bu seçeneklerle tüm trafik güvenlik duvarından geçer.

Şimdi baktık veri Sayfası, görünüm Cisco GPL ve ofisimizin toplam bant genişliğinin en az 10 - 20 gigabit civarında olmasını istiyorsak 4K versiyonunu satın almamız gerektiğini görüyoruz.

Dikkat

Toplam bant genişliği hakkında konuştuğumda, alt ağlar arasındaki trafiği kastediyorum (ve bir vilan içinde değil).

GPL'den Tehdit Savunması içeren HA Paketi için modele (4110 - 4150) bağlı olarak fiyatın ~0,5 - 2,5 milyon dolar arasında değiştiğini görüyoruz.

Yani tasarımımız bir önceki örneğe benzemeye başlıyor.

Bu, bu tasarımın yanlış olduğu anlamına mı geliyor?
Hayır, bu o anlama gelmiyor. Cisco, sahip olduğu ürün yelpazesine bağlı olarak size mümkün olan en iyi korumayı sağlar. Ancak bu sizin için mutlaka yapmanız gereken bir şey olduğu anlamına gelmez.

Prensipte bu, bir ofis veya veri merkezi tasarlanırken ortaya çıkan yaygın bir sorudur ve yalnızca bir uzlaşma aranması gerektiği anlamına gelir.

Örneğin, tüm trafiğin bir güvenlik duvarından geçmesine izin vermeyin, bu durumda seçenek 3 bana oldukça iyi görünüyor veya (önceki bölüme bakın) belki de Tehdit Savunmasına ihtiyacınız yoktur veya bu konuda bir güvenlik duvarına hiç ihtiyacınız yoktur. ağ segmenti ve yalnızca ücretli (pahalı olmayan) veya açık kaynaklı çözümler kullanarak kendinizi pasif izlemeyle sınırlamanız gerekir veya farklı bir satıcıdan bir güvenlik duvarına ihtiyacınız vardır.

Genellikle bu belirsizlik her zaman vardır ve hangi kararın sizin için en iyi olduğuna dair net bir cevap yoktur.
Bu, bu görevin karmaşıklığı ve güzelliğidir.

Kaynak: habr.com

Yorum ekle