ProHoster > Блог > адміністрування > Як взяти мережеву інфраструктуру під контроль. Розділ третій. Безпека мережі. Частина третя

Як взяти мережеву інфраструктуру під контроль. Розділ третій. Безпека мережі. Частина третя

Ця стаття є п'ятою у циклі статей «Як взяти мережеву інфраструктуру під свій контроль». Зміст усіх статей циклу та посилання можна знайти тут.

Ця частина буде присвячена Campus (Office) & Remote access VPN сегментам.

Як взяти мережеву інфраструктуру під контроль. Розділ третій. Безпека мережі. Частина третя

Може здатися, що дизайн офісної мережі це просто.

Справді, беремо L2/L3 комутатори, що з'єднуємо їх між собою. Далі, робимо елементарне налаштування віланів, шлюзів за замовчуванням, піднімаємо простий роутинг, підключаємо WiFi контролери, точки доступу, встановлюємо та налаштовуємо ASA для віддаленого доступу, радіємо, що все запрацювало. В принципі, як я вже писав в одній із попередніх статей цього циклу, спроектувати та налаштувати офісну мережу, щоб «якось працювало», може майже кожен студент, який прослухав (і засвоїв) два семестри курсу по телекому.

Але чим більше ви дізнаєтеся, тим менш простий починає здаватися це завдання. Особисто для мене ця тема, тема дизайну офісної мережі зовсім не здається простою, і в цій статті я постараюся пояснити чому.

Якщо коротко, потрібно враховувати досить багато чинників. Часто ці фактори перебувають у протиріччі один з одним і доводиться шукати розумного компромісу.
Ось ця невизначеність і є основною складністю. Так, говорячи про безпеку, ми маємо трикутник із трьома вершинами: безпека, зручність для співробітників, ціна рішення.
І щоразу доводиться шукати компроміс між цими трьома.

Архітектура

Як приклад архітектури для цих двох сегментів я, як і в попередніх статтях, рекомендую Cisco SAFE Модель: Enterprise Campus, Enterprise Internet Edge.

Це дещо застарілі документи. Наводжу їх тут, тому що принципово схеми та підхід не змінилися, але при цьому виклад мені подобається більше, ніж у нової документації.

Не закликаючи вас використовувати саме Cisco рішення, я все ж таки вважаю корисно уважно вивчити цей дизайн.

Ця стаття, як завжди, жодною мірою не претендуючи на повноту, є скоріше доповненням до цієї інформації.

Наприкінці статті ми проаналізуємо дизайн Cisco SAFE для офісу з погляду концепцій, викладених тут.

Загальні принципи

Дизайн офісної мережі, звичайно, повинен задовольняти загальні вимоги, які розглядалися тут у розділі «Критерії оцінки якості дизайну». Крім ціни та безпеки, які ми маємо намір обговорити у цій статті, залишаються ще три критерії, які ми повинні враховувати під час проектування (або при внесенні змін):

  • масштабованість (scalability)
  • зручність в управлінні (managability)
  • доступність (availability)

Багато з того, що обговорювалося для дата-центрів також справедливим і для офісу.

Але, все ж таки офісний сегмент має свою специфіку, яка з точки зору безпеки є критичною. Суть цієї специфіки в тому, що цей сегмент створюється для надання мережевих сервісів співробітникам (а також партнерам та гостям) компанії, і, як наслідок, на верхньому рівні розгляду проблеми ми маємо два завдання:

  • захистити ресурси компанії від шкідливих дій, які можуть виходити від співробітників (гостей, партнерів) та від програмного забезпечення, яким вони користуються. Сюди також входить захист від несанкціонованого підключення до мережі.
  • захистити системи та дані самих користувачів

І це лише одна сторона проблеми (а точніше одна вершина трикутника). З іншого боку — зручність користувача та ціна застосовуваних рішень.

Почнемо з розгляду того, що користувач очікує від сучасної офісної мережі.

Зручності

Ось як на мій погляд виглядають «мережеві зручності» для користувача офісу:

  • мобільність
  • Можливість користуватися всім спектром звичних пристроїв та операційних систем
  • Легкий доступ до всіх необхідних ресурсів компанії
  • Доступність інтернет ресурсів, у тому числі різних хмарних сервісів
  • «Швидка робота» мережі

Все це стосується як співробітників, так і гостей (або партнерів), і це вже завдання інженерів компанії на основі авторизації розмежувати доступи для різних груп користувачів.

Давайте розглянемо трохи докладніше кожен із цих аспектів.

мобільність

Йдеться про можливість працювати та користуватися всіма необхідними ресурсами компанії з будь-якої точки світу (звісно, ​​де доступний інтернет).

Повною мірою це стосується і офісу. Це зручно, коли з будь-якої точки офісу ви маєте можливість продовжувати працювати, наприклад, отримувати пошту, спілкуватися в корпоративному месенджері, бути доступним для відеодзвінка, … Таким чином, це дозволяє вам, з одного боку, вирішувати деякі питання через «живе» спілкування (наприклад, брати участь у мітингах), а з іншого — завжди бути онлайн, тримати руку на пульсі і швидко вирішувати деякі термінові високопріоритетні завдання. Це дуже зручно і дійсно покращує якість комунікацій.

Це досягається правильним дизайном мережі WiFi.

зауваження

Тут зазвичай виникає питання, а чи достатньо використовувати лише WiFi? Чи це означає, що можна відмовитися від використання Ethernet портів в офісі? Якщо йдеться тільки про користувачів, а не про сервери, які все ж таки розумно підключати звичайним Ethernet портом, то в загальному вигляді відповідь: так, можна обмежитися тільки WiFi. Але є нюанси.

Існують важливі групи користувачів, до яких потрібен окремий підхід. Це, звісно ж, адміністратори. В принципі, WiFi підключення є менш надійним (з точки зору втрати трафіку) та менш швидкісним, ніж звичайний Ethernet порт. Це може бути суттєво для адміністраторів. До того ж у мережевих адміністраторів, наприклад, у принципі може бути своя виділена мережа Ethernet для out-of-band підключення.

Можливо, у вашій компанії знайдуться інші групи/відділи, для яких ці фактори також важливі.

Є ще один важливий момент – телефонія. Можливо, з яких-небудь причин ви не хочете користуватися бездротовим VoIP і хочете використовувати IP телефони зі звичайним Ethernet підключенням.

Загалом, у тих компаніях, у яких працював я, зазвичай була можливість як WiFi підключення, так і Ethernet портом.

Хотілося б, щоб мобільність не обмежувалася лише офісом.

Для забезпечення можливості роботи з дому (або іншого місця з доступним інтернетом) використовується VPN підключення. При цьому, бажано, щоб співробітники не відчували різницю між роботою з дому та віддаленою роботою, що передбачає наявність тих самих доступів. Як це організувати ми обговорюватимемо трохи пізніше у розділі «Єдина централізована система аутентифікації та авторизації».

зауваження

Швидше за все, вам не вдасться повністю надати ту саму якість сервісів для віддаленої роботи, які ви маєте в офісі. Давайте припустимо, що як VPN шлюз ви використовуєте Cisco ASA 5520. Відповідно до технічний паспорт цей пристрій здатний "перетравити" лише 225 Мбіт VPN трафіку. Тобто, звичайно, з точки зору пропускної здатності підключення по VPN дуже відрізняється від роботи з офісу. Також якщо, з якихось причин, затримка, втрати, джиттер (наприклад, ви хочете користуватися офісною IP телефонією) для ваших мережевих сервісів є суттєвими, ви також не отримаєте тієї ж якості, якби ви знаходилися в офісі. Тому, говорячи про мобільність, ми маємо пам'ятати про можливі обмеження.

Легкий доступ до всіх ресурсів компанії

Це завдання має вирішуватися спільно з іншими технічними відділами.
Ідеальна ситуація — коли користувачеві потрібно автентифікуватися лише один раз, і після цього він отримує доступ до всіх необхідних ресурсів.
Надання легкого доступу без шкоди безпеці може відчутно підвищити ефективність роботи та знизити рівень стресу у ваших колег.

зауваження 1

Зручність доступу - це не тільки про те, скільки разів вам доводиться вводити пароль. Якщо, наприклад, відповідно до вашої політики безпеки, для підключення з офісу до дата-центру ви повинні спочатку підключитися до VPN шлюзу, і при цьому ви втрачаєте доступи до офісних ресурсів, це теж дуже незручно.

зауваження 2

Існують сервіси (наприклад, доступ до мережного обладнання), де ми зазвичай маємо свої виділені сервери AAA і це норма, коли в цьому випадку доводиться аутентифікуватися кілька разів.

Доступність інтернет ресурсів

Інтернет - це не тільки розвага, але також і набір сервісів, який може бути корисним для роботи. Є ще й суто психологічні чинники. Сучасна людина через інтернет багатьма віртуальними ниточками пов'язана з іншими людьми, і, на мій погляд, немає нічого поганого, якщо вона продовжує відчувати цей зв'язок навіть під час роботи.

З точки зору втрати часу немає нічого страшного, якщо у співробітника, наприклад, запущений скайп, і він витратить 5 хвилин на спілкування з близькою людиною при необхідності.

Чи означає це, що інтернет завжди має бути доступним, чи це означає, що співробітникам можна відкривати доступ до всіх ресурсів і ніяк не контролювати їх?

Ні не означає, звісно. Рівень відкритості Інтернету може бути різним для різних компаній – від повної закритості до повної відкритості. Способи контролю за трафіком ми обговоримо пізніше у розділах, присвячених засобам захисту.

Можливість користуватись усім спектром звичних пристроїв

Зручно, коли ви, наприклад, маєте можливість продовжувати користуватися всіма звичними для вас засобами комунікації та на роботі. Нема складності технічно реалізувати це. Для цього потрібен WiFi та гостьовий вілан.

Також добре, якщо є можливість користуватися операційною системою, до якої звикли. Але, на моє спостереження, зазвичай, це дозволено лише менеджерам, адміністраторам і девелоперам.

Приклад

Можна, звичайно, піти шляхом заборон, заборонити віддалений доступ, заборонити підключатися з мобільних пристроїв, обмежити всі статичними Ethernet підключеннями, обмежити доступ в інтернет, в обов'язковому порядку вилучати стільникові телефони і гаджети на прохідній ... і цим шляхом дійсно йдуть деякі організації з підвищеними вимогами до безпеки, і, можливо, у якихось випадках це може бути й виправдано, але… погодьтеся, що це виглядає як спроба зупинити прогрес в окремо взятій організації. Звичайно, хотілося б поєднати можливості, які надають сучасні технології з достатнім рівнем безпеки.

«Швидка робота» мережі

Швидкість передачі технічно складається з багатьох чинників. І швидкість вашого порту підключення зазвичай не найважливіший з них. Не завжди повільна робота програми пов'язана з мережевими проблемами, але нас зараз цікавить лише мережна частина. Найчастіша проблема «уповільнення» роботи локальної мережі пов'язана із втратою пакетів. Це зазвичай відбувається за наявності ефекту "пляшкового шийки" або при L1 (OSI) проблемах. Рідше, при деяких дизайнах (наприклад, коли в якості шлюзів за умовчанням у ваших підмережах виступає фаєрвол і, таким чином, весь трафік йде через нього), може не вистачати продуктивність обладнання.

Тому при виборі обладнання та архітектури вам потрібно співвіднести швидкості кінцевих портів, транків та продуктивності обладнання.

Приклад

Припустимо, ви використовуєте як комутатори рівня доступу комутатори з 1 гігабітними портами. Між собою вони з'єднані через Etherchannel 2 x 10 гігабіт. Як шлюз за замовчуванням ви використовуєте фаєрвол з гігабітними портами, для підключення якого до мережі L2 офісу ви використовуєте 2 гігабітні порти, об'єднаними в Etherchannel.

Ця архітектура досить зручна з погляду функціональності, т.к. весь трафік проходить через фаєрвол, і ви можете комфортно керувати політиками доступу, і застосовувати складні алгоритми контролю трафіку та запобігання можливим атакам (див. далі), але з точки зору пропускної спроможності та продуктивності цей дизайн, звичайно, має потенційні проблеми. Так, наприклад, 2 хоста, дані, що качають (зі швидкістю порту в 1 гігабіт) можуть повністю завантажити 2 гігабітне підключення до фаєрволу, і таким чином призвести до деградації сервісу для всього офісного сегмента.

Ми розглянули одну вершину трикутника, тепер розглянемо, якими засобами ми можемо забезпечити безпеку.

Засоби захисту

Отже, звичайно, наше бажання (а точніше, бажання нашого керівництва) — це досягти неможливого, а саме, надати максимальну зручність за максимальної захищеності та мінімальної ціни.

Давайте розглянемо, які ми маємо методи для надання захисту.

Для офісу я виділив би такі:

  • zero trust підхід у дизайні
  • високий рівень захисту
  • видимість мережі
  • єдина централізована система аутентифікації та авторизації
  • перевірка хоста (host checking)

Далі зупинимося трохи докладніше кожному з цих аспектів.

Нульова довіра

IT світ змінюється дуже швидко. Буквально за останні 10 років поява нових технологій та продуктів призвела до серйозного перегляду концепцій безпеки. Ще десять років тому з точки зору безпеки ми сегментували мережу на trust, dmz та untrust зони, і застосовувався так званий «захист по периметру», де було 2 лінії оборони: untrust -> dmz і dmz -> trust. Також захист зазвичай обмежувалася списками доступу на основі L3/L4 (OSI) заголовків (IP, TCP/UDP порти, прапори TCP). Все, що стосувалося вищих рівнів, у тому числі і L7, віддавалося на відкуп ОС та продуктам захисту, які встановлюються на кінцевих хостах.

Нині ситуація кардинально змінилася. Сучасна концепція нульова довіра виходить із того, що вже неможливо вважати внутрішні, тобто перебувають усередині периметра, системи довіреними, та й сама концепція периметра стала розмитою.
Крім підключення до Інтернету ми також маємо

  • remote access VPN користувачів
  • різні особисті гаджети, принесені ноутбуки, що підключаються через офісний WiFi
  • інші (branch) офіси
  • інтеграцію з хмарною інфраструктурою

Як виглядає Zero Trust підхід на практиці?

В ідеалі, дозволений повинен бути тільки той трафік, який потрібен і, якщо ми вже говоримо про ідеал, то контроль повинен бути не тільки на рівні L3/L4, але на рівні програми.

Якщо, наприклад, у вас є можливість пропустити весь трафік через фаєрвол, ви можете спробувати наблизитися до ідеалу. Але такий підхід може суттєво знизити сумарну смугу пропускання вашої мережі, і до того ж фільтрація за програмою не завжди працює добре.

При контролі трафіку на маршрутизаторі або L3 комутаторі (використання стандартних ACL) ви стикаєтеся з іншими проблемами:

  • це лише L3/L4 фільтрація. Ніщо не заважає зловмиснику використовувати дозволені порти (наприклад, TCP 80) для своєї програми (не http)
  • складний менеджмент ACL (важко аналізувати ACL)
  • це не statefull фаєрвол, тобто вам потрібно явно дозволяти реверсний трафік
  • у випадку комутаторів ви зазвичай досить жорстко обмежені розміром TCAM, що у разі застосування підходу «дозволяти тільки те, що потрібно», може швидко стати проблемою

зауваження

Говорячи про реверсний трафік, ми повинні пам'ятати, що ми маємо наступну можливість (Cisco)

permit tcp any any established

Але треба розуміти, що цей рядок рівносильний двом рядкам:
permit tcp any any ack
permit tcp any any rst

Що означає, що навіть якщо не було початкового TCP сегмента з прапором SYN (тобто TCP сесія навіть не починала встановлюватися) цей ACL пропустить пакет з прапором ACK, чим зловмисник може скористатися для передачі даних.

Тобто цей рядок жодною мірою не перетворює ваш роутер або L3 комутатор на statefull фаєрвол.

Високий рівень захисту

В статті у розділі, присвяченому дата-центрам, ми розглядали такі способи захисту.

  • stateful firewalling (за замовчуванням)
  • ddos/dos protection
  • application firewalling
  • threat prevention (antivirus, anti-spyware, and vulnerability)
  • Фільтрація URL-адрес
  • data filtering (content filtering)
  • file blocking (file types blocking)

У разі офісу ситуація схожа, але пріоритети дещо інші. Доступність офісу (availabilty) зазвичай не така критична, як у разі дата-центру, тоді як ймовірність «внутрішнього» шкідливого трафіку на порядки вища.
Тому такі методи захисту даного сегмента стають критичними:

  • application firewalling
  • threat prevention (anti-virus, anti-spyware, and vulnerability)
  • Фільтрація URL-адрес
  • data filtering (content filtering)
  • file blocking (file types blocking)

Хоча всі ці методи захисту, за винятком application firewalling, традиційно вирішувалися і продовжують вирішуватися на кінцевих хостах (наприклад, встановлення антивірусних програм) і за допомогою proxy, сучасні NGFW також надають ці сервіси.

Вендори security обладнання прагнуть створення комплексного захисту, тому поруч із захистом на локальній коробці, пропонуються різні хмарні технології та клієнтський софт для хостів (end point protection/ EPP). Так, наприклад, з Магічного Квадранта Гартнера (Gartner Magic Quadrant) за 2018 рік ми бачимо, що Palo Alto і Cisco мають свої EPP (PA: Traps, Cisco: AMP), але далеко не в лідерах.

Включення цих захистів (зазвичай за допомогою покупки ліцензій) на фаєрволі, звичайно ж, не є обов'язковим (ви можете йти традиційним шляхом), але дає деякі переваги:

  • в даному випадку з'являється єдина точка застосування методів захисту, що покращує visibility (див. наступну тему).
  • якщо у вашій мережі виявився незахищений пристрій, то він все одно потрапляє під «парасольку» захисту фаєрволу
  • Використовуючи захист на фаєрволі разом із захистом на кінцевих хостах, ми збільшуємо ймовірність виявлення шкідливого трафіку. Наприклад, використання threat prevention на локальних хостах і фаєрволі збільшує ймовірність виявлення (за умови, звісно, ​​що у основі цих рішень лежать різні програмні продукти)

зауваження

Якщо, наприклад, як антивірус як на фаєрволі, так і на кінцевих хостах ви використовуєте Касперський, то це, зрозуміло, не сильно збільшить ваші шанси запобігти вірусній атакі у вашій мережі.

Network visibility

Основна ідея проста – «бачити», що відбувається у вашій мережі, як у реальному часі, так і історичні дані.

Я розділив би це «бачення» на дві групи:

Група перша: те, що зазвичай надає вам ваша система моніторингу.

  • завантаження обладнання
  • завантаження каналів
  • використання пам'яті
  • використання дисків
  • зміна таблиці маршрутизації
  • стан лінків
  • доступність обладнання (або хостів)
  • ...

Група друга: інформація, пов'язана із безпекою.

  • різного роду статистика (наприклад, за додатками, відвідуваності URL, які види даних скачувалися, дані по користувачам)
  • що було заблоковано політиками безпеки та з якої причини, а саме
    • заборонений додаток
    • заборонено на основі ip/protocol/port/flags/zones
    • запобігання загрозам
    • фільтрація URL-адрес
    • фільтрація даних
    • file blocking
    • ...
  • статистика по DOS/DDOS атакам
  • невдалі спроби ідентифікації та авторизації
  • статистика з усіх перерахованих вище подій порушення політик безпеки
  • ...

У цьому розділі, присвяченій безпеці, нас цікавить саме друга частина.

Деякі сучасні фаєрволи (з моєї практики Palo Alto) надають добрий рівень visibility. Але, звичайно, трафік, який вас цікавить, повинен йти через цей фаєрвол (у цьому випадку у вас є можливість блокування трафіку) або дзеркатися на фаєрвол (використовується тільки для моніторингу та аналізу), і у вас повинні бути ліцензії, що дозволяють включити всі ці сервіси .

Є, звичайно, і альтернативний шлях, а точніше традиційний шлях, наприклад,

  • статистику по сесіях можна збирати через netflow і потім використовувати спеціальні утиліти для аналізу інформації та візуалізації даних
  • threat prevention – спеціальні програми (anti-virus, anti-spyware, firewall) на кінцевих хостах
  • URL filtering, data filtering, file blocking – на proxy
  • також можна аналізувати tcpdump за допомогою, наприклад, фиркати

Можна поєднати ці два підходи, доповнюючи відсутні функції або дублюючи їх підвищення ймовірності виявлення атаки.

Який підхід вибрати?
Сильно залежить від кваліфікації та переваг вашої команди.
І там, і там є плюси та мінуси.

Єдина централізована система аутентифікації та авторизації

При хорошому дизайні мобільність, яку ми обговорювали в цій статті, передбачає, що ви маєте однакові доступи, працюючи з офісу або з дому, з аеропорту, з кафе або будь-якої іншої точки (з обмеженнями, які ми обговорили вище). Здавалося б, у чому проблема?
Для того, щоб краще зрозуміти складність цієї задачі, розглянемо типовий дизайн.

Приклад

  • Ви розбили всіх працівників на групи. Ви вирішили надавати доступи до груп
  • Всередині офісу ви контролюєте доступи на офісному фаєрволі
  • Трафік з офісу до дата-центру ви контролюєте на фаєрволі дата-центру
  • Як VPN шлюз ви використовуєте Cisco ASA і для контролю трафіку, що входить у вашу мережу від приділених клієнтів, ви застосовуєте локальні (на ASA) ACL

Тепер, припустимо, вас просять додати додатковий доступ до певного співробітника. При цьому вас просять додати доступ тільки йому та більше нікому з його групи.

Для цього ми маємо створити окрему групу для цього співробітника, тобто

  • на ASA створити окремий IP пул для цього співробітника
  • додати новий ACL на ASA і прив'язати його до цього віддаленого клієнта
  • створити нові security policy на офісному та дата-центр фаєрволах

Добре, якщо ця подія є рідкісною. Але в моїй практиці була ситуація, коли співробітники брали участь у різних проектах, і цей набір проектів для деяких із них змінювався досить часто, і це було не 1-2 особи, а десятки. Звісно, ​​тут треба було щось міняти.

Це було вирішено в такий спосіб.

Ми вирішили, що єдиним джерелом істини, що визначає всі можливі доступи співробітника, буде LDAP. Ми створили різні групи, які визначають набори доступів і кожного користувача ми прив'язували до однієї або кількох груп.

Так, наприклад, припустимо, що були групи

  • guest (доступ до Інтернету)
  • common access (доступи до загальних ресурсів: пошта, база знань, …)
  • бухгалтерський облік
  • проект 1
  • проект 2
  • data base administrator
  • linux administrator
  • ...

І якщо хтось із співробітників був задіяний, як у проекті 1, так і в проекті 2, і йому були потрібні доступи необхідні для роботи в цих проектах, то цей співробітник прив'язувався до груп відповідно:

  • гість
  • common access
  • проект 1
  • проект 2

Як же тепер цю інформацію перетворити на доступи на мережному обладнанні?

Cisco ASA Dynamic Access Policy (DAP) (див. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) рішення якраз підходить для цього завдання.

Якщо коротко про нашу реалізацію, то в процесі ідентифікації/авторизації ASA отримує від LDAP набір груп, відповідних даному користувачеві та «збирає» з декількох локальних ACL (кожен з яких відповідає групі) динамічний ACL з усіма необхідними доступами, що повністю відповідає нашим побажанням.

Але це тільки для VPN підключень. Щоб зробити ситуацію однаковою як для співробітників, підключених через VPN, так і для тих, хто перебуває в офісі, було зроблено наступний крок.

При підключенні з офісу користувачі за допомогою протоколу 802.1x потрапляли або в гостьовий вілан (для гостей), або в вілан із загальними доступами (для співробітників компанії). Далі, для отримання специфічних доступів (наприклад, до проектів у дата-центрі) співробітники повинні були підключатися через VPN.

Для підключення з офісу та з дому застосовувалися різні тунельні групи на ASA. Це необхідно для того, щоб для трафік, що підключилися з офісу, до загальних ресурсів (використовується всіма співробітниками, таким як пошта, файлові сервери, тикетна система, dns, …) ходив не через ASA, а через локальну мережу. Таким чином, ми не завантажували ASA зайвим трафіком, у тому числі високоінтенсивним.

Таким чином, завдання було вирішено.
Ми отримали

  • однаковий набір доступів як для підключень з офісу, так і для віддаленого підключення
  • відсутність деградації сервісу під час роботи з офісу, пов'язаного з передачею високоінтенсивного трафіку через ASA

У чому перевага цього підходу?
В адмініструванні доступів. Доступи легко змінюються в одному місці.
Наприклад, якщо співробітник покинув компанію, ви просто видаляєте його з LDAP, і він автоматично втрачає всі доступи.

Перевірка хоста (host checking)

При можливості віддаленого підключення ми отримуємо ризик допустити в мережу не тільки співробітника компанії, але також і весь шкідливий софт, який з ймовірністю присутній на його комп'ютері (наприклад, домашньому), і більше того, через цей софт ми, можливо, відкриваємо доступ в нашу мережу зловмиснику, який використовує цей хост як проксі.

Розумно для хоста, що підключається віддалено, застосовувати ті ж вимоги до безпеки, що й до хоста, що знаходиться в офісі.

Це зокрема передбачає і «правильну» версію ОС, anti-virus, anti-spyware, і firewall software та оновлень. Зазвичай ця можливість існує на VPN шлюзі (для ASA дивись, наприклад, тут).

Також розумно застосувати ті ж самі методи аналізу та блокування трафіку (див. «Високий рівень захисту»), що відповідно до вашої політики безпеки застосовується до офісного трафіку.

Розумно виходити з припущення, що тепер ваша офісна мережа не обмежується офісною будівлею та хостами, що знаходяться в ній.

Приклад

Хороший прийом – забезпечити кожного співробітника, якому потрібен віддалений доступ, хорошим, зручним ноутбуком і вимагати працювати як в офісі, так і з дому тільки з нього.

Це не тільки підвищує рівень безпеки вашої мережі, але також дійсно зручно і зазвичай сприймається співробітниками позитивно (якщо це справді гарний та зручний ноутбук).

Про відчуття міри та баланс

В принципі, це розмова про третю вершину нашого трикутника — про ціну.
Розгляньмо гіпотетичний приклад.

Приклад

У вас є офіс на 200 осіб. Ви вирішили зробити його максимально зручним та максимально безпечним.

Тому весь трафік ви вирішили пропускати через фаєрвол і таким чином для всіх підмереж офісу фаєрвол є шлюзом за замовчуванням. Крім захисту софту, встановленого на кожен кінцевий хост (anti-virus, anti-spyware, and firewall software), ви також вирішили застосувати всі можливі методи захисту на фаєрволі.

Для забезпечення високої швидкості підключення (все для зручності) як комутатори доступу ви вибрали комутатори з 10-гігабітними портами доступу, як фаєрволи — високопродуктивні NGFW фаєрволи, наприклад, Palo Alto серії 7K (з 40 гігабітними портами), природно з усіма включеними ліцензіями і, звичайно, High Availability пару.

Також, звичайно, для роботи з цією лінійкою обладнання нам потрібні хоча б кілька висококваліфікованих security інженерів.

Далі, кожному співробітнику ви вирішили видати по гарному ноутбуку.

Усього, близько 10 мільйонів доларів на впровадження, сотні тисяч доларів (думаю ближче до мільйона) на щорічну підтримку та зарплати інженерам.

Офіс, 200 чоловік.
Зручно? Напевно так.

Ви приходите з цією пропозицією до вашого керівництва…
Можливо, у світі і є якась кількість компаній, для яких це прийнятне та правильне рішення. Якщо ви співробітник цієї компанії - мої вітання, але в переважній більшості випадків, впевнений, ваші знання не будуть оцінені керівництвом.

Чи перебільшений цей приклад? Наступний розділ дасть відповідь на це питання.

Якщо у вашій мережі, ви не бачите чогось із вище перерахованого, то це норма.
Для кожного конкретного випадку вам потрібно знайти свій розумний компроміс між зручністю, ціною та безпекою. Часто навіть не потрібно NGFW у вашому офісі, не потрібний L7 захист на фаєрволі. Достатньо забезпечити хороший рівень visibility та оповіщень, і це може бути зроблено з використанням open source продуктів, наприклад. Так, ваша реакція на атаку не буде миттєвою, але головне, що ви її побачите, і за наявності правильних процесів у вашому відділі зумієте швидко її нейтралізувати.

І, нагадаю, що за задумом циклу цих статей, ви не займаєтеся проектуванням мережі, ви намагаєтеся поліпшити те, що вам дісталося.

Аналіз SAFE архітектури офісу

Зверніть увагу на цей червоний квадрат, яким я виділив місце на схемі з SAFE Secure Campus Architecture Guideя хотів би тут обговорити.

Як взяти мережеву інфраструктуру під контроль. Розділ третій. Безпека мережі. Частина третя

Це одне з ключових місць архітектури та одна з найважливіших невизначеностей.

зауваження

Я ніколи не налаштовував і не працював з FirePower (з лінійки фаєрволів Cisco — тільки з ASA), тому я розглядатиму його, як будь-який інший фаєрвол, наприклад, як Juniper SRX або Palo Alto, припускаючи, що він має ті ж можливості.

Зі звичайних конструкцій я бачу тільки 4 можливі варіанти використання фаєрволу при такому підключенні:

  • шлюзом за умовчанням для кожної підмережі є комутатор, при цьому фаєрвол знаходиться у transparent моді (тобто весь трафік йде через нього, але він не утворює L3 хоп)
  • шлюзом за промовчанням для кожної підмережі є саб-інтерфейси фаєрвола (або SVI інтерфейси), комутатор відіграє роль L2
  • на комутаторі використовуються різні VRF, і трафік між VRF йде через фаєрвол, трафік всередині одного VRF контролюється ACL на комутаторі
  • весь трафік дзеркається на фаєрвол для аналізу та моніторингу, трафік через нього не йде

зауваження 1

Можливі комбінації цих варіантів, але для простоти ми їх не розглядатимемо.

Зауваження2

Ще є можливість використання PBR (архітектура service chain), але поки це, хоч і гарне на мій погляд рішення, є скоріше екзотикою, тому я не розглядаю його тут.

З опису потоків у документі ми бачимо, що все ж таки трафік йде через фаєрвол, тобто, відповідно до дизайну Cisco четвертий варіант відпадає.

Давайте розглянемо спочатку перші два варіанти.
За цих варіантів весь трафік йде через фаєрвол.

Тепер дивимося технічний паспорт, дивимося Cisco GPL і бачимо, що якщо ми хочемо сумарну смугу пропускання для нашого офісу мати хоча б у районі 10-20 гігабіт, то ми повинні купувати 4K версію.

зауваження

Коли я говорю про сумарну смугу я маю на увазі трафік між підмережами (а не всередині одного вілана).

З GPL ми бачимо, що для HA Bundle з Threat Defense ціна в залежності від моделі (4110 - 4150) варіюється від ~0,5 - 2,5 млн доларів.

Тобто наш дизайн починає нагадувати попередній приклад.

Чи це означає, що цей дизайн неправильний?
Ні, не означає. Cisco надає максимально можливий захист на основі лінійки продуктів, яку вона має. Але це не означає, що це "маст-ду" для вас.

В принципі, це звичайне питання, яке виникає під час дизайну офісу або дата-центру, і це означає лише те, що потрібно шукати компроміс.

Наприклад, не весь трафік пускати через фаєрвол, і в цьому випадку третій варіант мені здається досить симпатичним, або (див. попередній розділ), можливо, вам не потрібна Threat Defense або взагалі не потрібен фаєрвол в цьому сегменті мережі, і вам достатньо обмежитися пасивним моніторингом з використанням платних (не дорогих) чи open source рішень, чи фаєрвол потрібен, але іншого вендора.

Зазвичай завжди є ця невизначеність і немає однозначної відповіді, яке рішення є для вас найкращим.
У цьому складність та краса цього завдання.

Джерело: habr.com

Додати коментар або відгук