پرو ہوسٹر > بلاگ > انتظامیہ > اپنے نیٹ ورک کے بنیادی ڈھانچے کو کیسے کنٹرول کریں۔ باب تین۔ نیٹ ورک سیکیورٹی۔ تیسرا حصہ

اپنے نیٹ ورک کے بنیادی ڈھانچے کو کیسے کنٹرول کریں۔ باب تین۔ نیٹ ورک سیکیورٹی۔ تیسرا حصہ

یہ مضمون سیریز کا پانچواں مضمون ہے "اپنے نیٹ ورک انفراسٹرکچر کو کیسے کنٹرول کریں۔" سیریز کے تمام مضامین کے مواد اور لنکس مل سکتے ہیں۔ یہاں.

یہ حصہ کیمپس (آفس) اور ریموٹ رسائی وی پی این سیگمنٹس کے لیے وقف کیا جائے گا۔

اپنے نیٹ ورک کے بنیادی ڈھانچے کو کیسے کنٹرول کریں۔ باب تین۔ نیٹ ورک سیکیورٹی۔ تیسرا حصہ

آفس نیٹ ورک ڈیزائن آسان لگ سکتا ہے۔

درحقیقت، ہم L2/L3 سوئچ لیتے ہیں اور انہیں ایک دوسرے سے جوڑتے ہیں۔ اس کے بعد، ہم ویلان اور ڈیفالٹ گیٹ ویز کے بنیادی سیٹ اپ کو انجام دیتے ہیں، سادہ روٹنگ ترتیب دیتے ہیں، وائی فائی کنٹرولرز کو جوڑتے ہیں، رسائی پوائنٹس، ریموٹ رسائی کے لیے ASA کو انسٹال اور کنفیگر کرتے ہیں، ہمیں خوشی ہے کہ سب کچھ کام کر گیا۔ بنیادی طور پر، جیسا کہ میں نے پہلے ہی پچھلے میں سے ایک میں لکھا تھا۔ مضامین اس چکر میں، تقریباً ہر وہ طالب علم جس نے ٹیلی کام کورس کے دو سمسٹرز میں شرکت کی ہے (اور سیکھا ہے) ایک آفس نیٹ ورک کو ڈیزائن اور ترتیب دے سکتا ہے تاکہ یہ "کسی طرح کام کرے۔"

لیکن آپ جتنا زیادہ سیکھیں گے، یہ کام اتنا ہی آسان نظر آنے لگتا ہے۔ میرے لیے ذاتی طور پر، یہ موضوع، آفس نیٹ ورک ڈیزائن کا موضوع، بالکل آسان نہیں لگتا، اور اس مضمون میں میں اس کی وجہ بتانے کی کوشش کروں گا۔

مختصر میں، غور کرنے کے لئے بہت سے عوامل ہیں. اکثر یہ عوامل ایک دوسرے سے متصادم ہوتے ہیں اور ایک معقول سمجھوتہ کرنا پڑتا ہے۔
یہ غیر یقینی صورتحال بنیادی مشکل ہے۔ لہذا، سیکورٹی کے بارے میں بات کرتے ہوئے، ہمارے پاس تین چوٹیوں کے ساتھ ایک مثلث ہے: سیکورٹی، ملازمین کے لئے سہولت، حل کی قیمت۔
اور ہر بار آپ کو ان تینوں کے درمیان سمجھوتہ تلاش کرنا پڑتا ہے۔

فن تعمیر

ان دو حصوں کے لیے فن تعمیر کی مثال کے طور پر، جیسا کہ پچھلے مضامین میں، میں تجویز کرتا ہوں۔ سسکو سیف ماڈل: انٹرپرائز کیمپس, انٹرپرائز انٹرنیٹ ایج.

یہ کچھ پرانی دستاویزات ہیں۔ میں انہیں یہاں پیش کرتا ہوں کیونکہ بنیادی اسکیموں اور نقطہ نظر میں کوئی تبدیلی نہیں آئی ہے، لیکن اس کے ساتھ ساتھ مجھے اس پیشکش سے زیادہ پسند ہے نئی دستاویزات.

Cisco سلوشنز استعمال کرنے کے لیے آپ کی حوصلہ افزائی کیے بغیر، میں اب بھی سمجھتا ہوں کہ اس ڈیزائن کا بغور مطالعہ کرنا مفید ہے۔

یہ مضمون، ہمیشہ کی طرح، کسی بھی طرح مکمل ہونے کا بہانہ نہیں کرتا، بلکہ اس معلومات میں ایک اضافہ ہے۔

مضمون کے آخر میں، ہم یہاں بیان کردہ تصورات کے لحاظ سے Cisco SAFE آفس کے ڈیزائن کا تجزیہ کریں گے۔

عام اصولوں

دفتری نیٹ ورک کے ڈیزائن کو یقیناً ان عمومی ضروریات کو پورا کرنا چاہیے جن پر بات کی گئی ہے۔ یہاں باب میں "ڈیزائن کے معیار کو جانچنے کا معیار"۔ قیمت اور حفاظت کے علاوہ، جس پر ہم اس مضمون میں بات کرنے کا ارادہ رکھتے ہیں، اب بھی تین معیار ہیں جن پر ہمیں ڈیزائن (یا تبدیلیاں کرتے وقت) غور کرنا چاہیے:

  • توسیع پذیری
  • استعمال میں آسانی (قابل انتظام)
  • دستیابی

جس کے لیے زیادہ تر بحث کی گئی۔ ڈیٹا سینٹرز یہ دفتر کے لیے بھی درست ہے۔

لیکن پھر بھی، دفتری طبقہ کی اپنی خصوصیات ہیں، جو سیکورٹی کے نقطہ نظر سے اہم ہیں۔ اس خصوصیت کا نچوڑ یہ ہے کہ یہ طبقہ کمپنی کے ملازمین (ساتھ ہی ساتھ شراکت داروں اور مہمانوں) کو نیٹ ورک کی خدمات فراہم کرنے کے لیے بنایا گیا ہے، اور اس کے نتیجے میں، مسئلے کے اعلیٰ ترین سطح پر ہمارے پاس دو کام ہیں:

  • کمپنی کے وسائل کو بدنیتی پر مبنی کارروائیوں سے محفوظ رکھیں جو ملازمین (مہمانوں، شراکت داروں) اور ان کے استعمال کردہ سافٹ ویئر سے ہو سکتے ہیں۔ اس میں نیٹ ورک سے غیر مجاز کنکشن کے خلاف تحفظ بھی شامل ہے۔
  • سسٹمز اور صارف کے ڈیٹا کی حفاظت کریں۔

اور یہ مسئلہ کا صرف ایک رخ ہے (یا بلکہ، مثلث کا ایک چوٹی)۔ دوسری طرف صارف کی سہولت اور استعمال شدہ حل کی قیمت ہے۔

آئیے یہ دیکھ کر شروع کریں کہ ایک صارف جدید آفس نیٹ ورک سے کیا توقع رکھتا ہے۔

سہولیات

میری رائے میں دفتری صارف کے لیے "نیٹ ورک کی سہولیات" کیسی نظر آتی ہیں:

  • متحرک ہونا۔
  • واقف آلات اور آپریٹنگ سسٹمز کی مکمل رینج استعمال کرنے کی صلاحیت
  • کمپنی کے تمام ضروری وسائل تک آسان رسائی
  • انٹرنیٹ وسائل کی دستیابی، بشمول مختلف کلاؤڈ سروسز
  • نیٹ ورک کا "تیز آپریشن"

یہ سب ملازمین اور مہمانوں (یا شراکت داروں) دونوں پر لاگو ہوتا ہے، اور یہ کمپنی کے انجینئرز کا کام ہے کہ وہ اجازت کی بنیاد پر مختلف صارف گروپوں کے لیے رسائی میں فرق کریں۔

آئیے ان میں سے ہر ایک پہلو کو ذرا تفصیل سے دیکھتے ہیں۔

متحرک ہونا۔

ہم دنیا میں کہیں سے بھی کمپنی کے تمام ضروری وسائل کو کام کرنے اور استعمال کرنے کے مواقع کے بارے میں بات کر رہے ہیں (یقیناً، جہاں انٹرنیٹ دستیاب ہے)۔

یہ دفتر پر مکمل طور پر لاگو ہوتا ہے۔ یہ اس وقت آسان ہوتا ہے جب آپ کو دفتر میں کسی بھی جگہ سے کام جاری رکھنے کا موقع ملتا ہے، مثال کے طور پر، میل وصول کرنا، کارپوریٹ میسنجر میں بات چیت کرنا، ویڈیو کال کے لیے دستیاب ہونا،... اس طرح، یہ آپ کو ایک طرف، کچھ مسائل کو حل کرنے کے لیے "لائیو" کمیونیکیشن (مثال کے طور پر، ریلیوں میں شرکت کریں)، اور دوسری طرف، ہمیشہ آن لائن رہیں، اپنی انگلی کو نبض پر رکھیں اور فوری طور پر کچھ اعلی ترجیحی کاموں کو حل کریں۔ یہ بہت آسان ہے اور واقعی مواصلات کے معیار کو بہتر بناتا ہے۔

یہ مناسب وائی فائی نیٹ ورک ڈیزائن کے ذریعہ حاصل کیا جاتا ہے۔

نوٹ

یہاں عام طور پر یہ سوال پیدا ہوتا ہے کہ کیا صرف وائی فائی استعمال کرنا کافی ہے؟ کیا اس کا مطلب یہ ہے کہ آپ دفتر میں ایتھرنیٹ پورٹس کا استعمال بند کر سکتے ہیں؟ اگر ہم صرف صارفین کے بارے میں بات کر رہے ہیں، نہ کہ سرورز کے بارے میں، جو کہ اب بھی باقاعدہ ایتھرنیٹ پورٹ کے ساتھ جڑنا مناسب ہیں، تو عام طور پر جواب یہ ہے: ہاں، آپ اپنے آپ کو صرف وائی فائی تک محدود کر سکتے ہیں۔ لیکن باریکیاں ہیں۔

ایسے اہم صارف گروپ ہیں جن کے لیے علیحدہ نقطہ نظر کی ضرورت ہوتی ہے۔ یہ یقیناً منتظم ہیں۔ اصولی طور پر، ایک وائی فائی کنکشن کم قابل بھروسہ ہے (ٹریفک کے نقصان کے لحاظ سے) اور عام ایتھرنیٹ پورٹ سے سست ہے۔ یہ منتظمین کے لیے اہم ہو سکتا ہے۔ اس کے علاوہ، نیٹ ورک ایڈمنسٹریٹر، مثال کے طور پر، اصولی طور پر، آؤٹ آف بینڈ کنکشنز کے لیے اپنا مخصوص ایتھرنیٹ نیٹ ورک رکھ سکتے ہیں۔

آپ کی کمپنی میں دوسرے گروپس/شعبے ہوسکتے ہیں جن کے لیے یہ عوامل بھی اہم ہیں۔

ایک اور اہم نکتہ ہے - ٹیلی فونی. شاید کسی وجہ سے آپ وائرلیس VoIP استعمال نہیں کرنا چاہتے اور باقاعدہ ایتھرنیٹ کنکشن کے ساتھ IP فون استعمال کرنا چاہتے ہیں۔

عام طور پر، جن کمپنیوں کے لیے میں نے کام کیا ان میں عام طور پر وائی فائی کنیکٹیویٹی اور ایتھرنیٹ پورٹ دونوں ہوتے تھے۔

میں چاہوں گا کہ نقل و حرکت صرف دفتر تک محدود نہ رہے۔

گھر سے کام کرنے کی صلاحیت کو یقینی بنانے کے لیے (یا قابل رسائی انٹرنیٹ کے ساتھ کسی دوسری جگہ)، ایک VPN کنکشن استعمال کیا جاتا ہے۔ اس کے ساتھ ہی، یہ ضروری ہے کہ ملازمین گھر سے کام کرنے اور دور دراز کے کام کے درمیان فرق محسوس نہ کریں، جو یکساں رسائی کو فرض کرتا ہے۔ ہم تھوڑی دیر بعد "یونیفائیڈ سنٹرلائزڈ تصدیق اور اجازت کا نظام" کے باب میں اس کو منظم کرنے کے طریقہ پر بات کریں گے۔

نوٹ

زیادہ تر امکان ہے کہ، آپ دفتر میں دور دراز کے کام کے لیے وہی معیار کی خدمات پوری طرح فراہم نہیں کر پائیں گے۔ آئیے فرض کریں کہ آپ Cisco ASA 5520 کو اپنے VPN گیٹ وے کے طور پر استعمال کر رہے ہیں۔ ڈیٹا شیٹ یہ آلہ صرف 225 Mbit VPN ٹریفک کو "ہضم" کرنے کے قابل ہے۔ یقیناً، بینڈوڈتھ کے لحاظ سے، وی پی این کے ذریعے جڑنا دفتر سے کام کرنے سے بہت مختلف ہے۔ اس کے علاوہ، اگر، کسی وجہ سے، آپ کے نیٹ ورک کی خدمات کے لیے تاخیر، نقصان، گھبراہٹ (مثال کے طور پر، آپ آفس آئی پی ٹیلی فونی استعمال کرنا چاہتے ہیں) اہم ہیں، تو آپ کو بھی وہی معیار نہیں ملے گا جیسا کہ آپ دفتر میں تھے۔ لہذا، نقل و حرکت کے بارے میں بات کرتے وقت، ہمیں ممکنہ حدود سے آگاہ ہونا چاہیے۔

کمپنی کے تمام وسائل تک آسان رسائی

اس کام کو دوسرے تکنیکی محکموں کے ساتھ مل کر حل کیا جانا چاہیے۔
مثالی صورت حال وہ ہے جب صارف کو صرف ایک بار تصدیق کرنے کی ضرورت ہوتی ہے، اور اس کے بعد اسے تمام ضروری وسائل تک رسائی حاصل ہوتی ہے۔
سیکیورٹی کی قربانی کے بغیر آسان رسائی فراہم کرنا آپ کے ساتھیوں کے درمیان پیداوری کو نمایاں طور پر بہتر بنا سکتا ہے اور تناؤ کو کم کر سکتا ہے۔

ریمارک 1۔

رسائی کی آسانی صرف اس بات سے نہیں ہے کہ آپ کو کتنی بار پاس ورڈ داخل کرنا ہوگا۔ اگر، مثال کے طور پر، آپ کی سیکیورٹی پالیسی کے مطابق، دفتر سے ڈیٹا سینٹر سے رابطہ قائم کرنے کے لیے، آپ کو پہلے VPN گیٹ وے سے جڑنا ہوگا، اور اسی وقت آپ دفتری وسائل تک رسائی کھو دیتے ہیں، تو یہ بھی بہت زیادہ ہے۔ ، بہت تکلیف دہ۔

ریمارک 2۔

ایسی خدمات ہیں (مثال کے طور پر، نیٹ ورک کے آلات تک رسائی) جہاں ہمارے پاس عام طور پر ہمارے اپنے مخصوص AAA سرور ہوتے ہیں اور یہ معمول ہے جب اس معاملے میں ہمیں کئی بار تصدیق کرنی پڑتی ہے۔

انٹرنیٹ وسائل کی دستیابی

انٹرنیٹ نہ صرف تفریح ​​ہے بلکہ خدمات کا ایک مجموعہ بھی ہے جو کام کے لیے بہت مفید ہو سکتا ہے۔ خالصتاً نفسیاتی عوامل بھی ہیں۔ ایک جدید انسان انٹرنیٹ کے ذریعے بہت سے ورچوئل تھریڈز کے ذریعے دوسرے لوگوں سے جڑا رہتا ہے، اور میری رائے میں، اگر وہ کام کرتے ہوئے بھی اس تعلق کو محسوس کرتا رہے تو کوئی حرج نہیں۔

وقت ضائع کرنے کے نقطہ نظر سے، اگر کوئی ملازم، مثال کے طور پر، Skype چلا رہا ہو اور اگر ضروری ہو تو اپنے پیارے کے ساتھ بات چیت کرنے میں 5 منٹ صرف کرتا ہے۔

کیا اس کا مطلب یہ ہے کہ انٹرنیٹ ہمیشہ دستیاب ہونا چاہیے، کیا اس کا مطلب یہ ہے کہ ملازمین کو تمام وسائل تک رسائی حاصل ہو سکتی ہے اور وہ کسی بھی طرح سے کنٹرول نہیں کر سکتے؟

نہیں، یقیناً اس کا مطلب یہ نہیں ہے۔ انٹرنیٹ کے کھلے پن کی سطح مختلف کمپنیوں کے لیے مختلف ہو سکتی ہے - مکمل بندش سے لے کر مکمل کھلے پن تک۔ ہم بعد میں حفاظتی اقدامات کے سیکشنز میں ٹریفک کو کنٹرول کرنے کے طریقوں پر بات کریں گے۔

واقف آلات کی پوری رینج استعمال کرنے کی صلاحیت

یہ اس وقت آسان ہوتا ہے جب، مثال کے طور پر، آپ کو مواصلات کے ان تمام ذرائع کا استعمال جاری رکھنے کا موقع ملے جن کے آپ کام پر عادی ہیں۔ تکنیکی طور پر اس پر عمل درآمد میں کوئی مشکل نہیں ہے۔ اس کے لیے آپ کو وائی فائی اور ایک گیسٹ ولان کی ضرورت ہے۔

یہ بھی اچھا ہے اگر آپ کو وہ آپریٹنگ سسٹم استعمال کرنے کا موقع ملے جس کے آپ عادی ہیں۔ لیکن، میرے مشاہدے میں، اس کی اجازت عام طور پر صرف مینیجرز، منتظمین اور ڈویلپرز کو ہوتی ہے۔

مثال کے طور پر

آپ یقیناً ممنوعات کے راستے پر چل سکتے ہیں، دور دراز تک رسائی پر پابندی لگا سکتے ہیں، موبائل آلات سے جڑنے پر پابندی لگا سکتے ہیں، ہر چیز کو جامد ایتھرنیٹ کنکشن تک محدود کر سکتے ہیں، انٹرنیٹ تک رسائی کو محدود کر سکتے ہیں، چیک پوائنٹ پر سیل فونز اور گیجٹس کو لازمی طور پر ضبط کر سکتے ہیں... اور یہ راستہ درحقیقت اس کی پیروی کچھ تنظیموں کے ذریعے کی جاتی ہے جس میں حفاظتی تقاضوں میں اضافہ ہوتا ہے، اور شاید بعض صورتوں میں یہ جائز ہو سکتا ہے، لیکن... آپ کو اس بات سے اتفاق کرنا چاہیے کہ یہ کسی ایک تنظیم میں پیش رفت کو روکنے کی کوشش کی طرح لگتا ہے۔ بلاشبہ، میں ان مواقع کو یکجا کرنا چاہوں گا جو جدید ٹیکنالوجیز کافی حد تک سیکورٹی کے ساتھ فراہم کرتی ہیں۔

نیٹ ورک کا "تیز آپریشن"

ڈیٹا کی منتقلی کی رفتار تکنیکی طور پر بہت سے عوامل پر مشتمل ہے۔ اور آپ کے کنکشن پورٹ کی رفتار عام طور پر سب سے اہم نہیں ہوتی ہے۔ ایپلیکیشن کا سست عمل ہمیشہ نیٹ ورک کے مسائل سے منسلک نہیں ہوتا ہے، لیکن فی الحال ہم صرف نیٹ ورک کے حصے میں دلچسپی رکھتے ہیں۔ مقامی نیٹ ورک "سلو ڈاؤن" کا سب سے عام مسئلہ پیکٹ کے نقصان سے متعلق ہے۔ یہ عام طور پر اس وقت ہوتا ہے جب کوئی رکاوٹ یا L1 (OSI) کا مسئلہ ہو۔ زیادہ شاذ و نادر ہی، کچھ ڈیزائنز کے ساتھ (مثال کے طور پر، جب آپ کے سب نیٹس میں ڈیفالٹ گیٹ وے کے طور پر فائر وال ہوتا ہے اور اس طرح تمام ٹریفک اس سے گزرتی ہے)، ہارڈ ویئر کی کارکردگی میں کمی ہو سکتی ہے۔

لہذا، سامان اور فن تعمیر کا انتخاب کرتے وقت، آپ کو اختتامی بندرگاہوں، تنوں اور آلات کی کارکردگی کی رفتار کو آپس میں جوڑنے کی ضرورت ہے۔

مثال کے طور پر

آئیے فرض کریں کہ آپ 1 گیگابٹ بندرگاہوں کے ساتھ ایکسیس لیئر سوئچ کے طور پر سوئچ استعمال کر رہے ہیں۔ وہ Etherchannel 2 x 10 گیگا بٹس کے ذریعے ایک دوسرے سے جڑے ہوئے ہیں۔ پہلے سے طے شدہ گیٹ وے کے طور پر، آپ گیگابٹ پورٹس کے ساتھ فائر وال استعمال کرتے ہیں، جس کو L2 آفس نیٹ ورک سے جوڑنے کے لیے آپ 2 گیگابٹ پورٹس کو ایتھر چینل میں ملا کر استعمال کرتے ہیں۔

یہ فن تعمیر فعالیت کے نقطہ نظر سے کافی آسان ہے، کیونکہ... تمام ٹریفک فائر وال سے گزرتی ہے، اور آپ آسانی سے رسائی کی پالیسیوں کا نظم کر سکتے ہیں، اور ٹریفک کو کنٹرول کرنے اور ممکنہ حملوں کو روکنے کے لیے پیچیدہ الگورتھم لاگو کر سکتے ہیں (نیچے دیکھیں)، لیکن تھرو پٹ اور کارکردگی کے نقطہ نظر سے، یقیناً اس ڈیزائن میں ممکنہ مسائل ہیں۔ لہذا، مثال کے طور پر، ڈیٹا ڈاؤن لوڈ کرنے والے 2 میزبان (1 گیگا بٹ کی پورٹ اسپیڈ کے ساتھ) فائر وال سے 2 گیگا بٹ کنکشن کو مکمل طور پر لوڈ کر سکتے ہیں، اور اس طرح پورے آفس سیگمنٹ کے لیے سروس کی تنزلی کا باعث بنتے ہیں۔

ہم نے مثلث کے ایک سرے کو دیکھا ہے، اب دیکھتے ہیں کہ ہم حفاظت کو کیسے یقینی بنا سکتے ہیں۔

علاج

لہٰذا، یقیناً، عام طور پر ہماری خواہش (یا اس کے بجائے، ہماری انتظامیہ کی خواہش) ناممکن کو حاصل کرنا ہے، یعنی زیادہ سے زیادہ حفاظت اور کم سے کم لاگت کے ساتھ زیادہ سے زیادہ سہولت فراہم کرنا۔

آئیے دیکھتے ہیں کہ تحفظ فراہم کرنے کے لیے ہمارے پاس کون سے طریقے ہیں۔

دفتر کے لیے، میں درج ذیل کو اجاگر کروں گا:

  • ڈیزائن کے لیے صفر اعتماد کا نقطہ نظر
  • تحفظ کی اعلی سطح
  • نیٹ ورک کی نمائش
  • متحد مرکزی تصدیق اور اجازت کا نظام
  • میزبان کی جانچ پڑتال

اگلا، ہم ان پہلوؤں میں سے ہر ایک پر تھوڑی زیادہ تفصیل سے غور کریں گے۔

زیرو ٹرسٹ

آئی ٹی کی دنیا بہت تیزی سے بدل رہی ہے۔ صرف پچھلے 10 سالوں میں، نئی ٹیکنالوجیز اور مصنوعات کے ظہور نے حفاظتی تصورات کی ایک بڑی نظر ثانی کی ہے۔ دس سال پہلے، سیکورٹی کے نقطہ نظر سے، ہم نے نیٹ ورک کو ٹرسٹ، dmz اور untrust زونز میں تقسیم کیا، اور نام نہاد "perimeter protect" کا استعمال کیا، جہاں دفاع کی 2 لائنیں تھیں: عدم اعتماد -> dmz اور dmz -> اعتماد نیز، تحفظ عام طور پر L3/L4 (OSI) ہیڈر (IP، TCP/UDP پورٹس، TCP جھنڈوں) پر مبنی فہرستوں تک رسائی تک محدود تھا۔ اعلیٰ سطحوں سے متعلق ہر چیز، بشمول L7، کو آخری میزبانوں پر نصب OS اور سیکیورٹی پروڈکٹس پر چھوڑ دیا گیا تھا۔

اب صورتحال ڈرامائی طور پر بدل چکی ہے۔ جدید تصور صفر اعتماد اس حقیقت سے سامنے آتا ہے کہ اب اندرونی نظاموں پر غور کرنا ممکن نہیں رہا، یعنی وہ جو کہ دائرہ کے اندر واقع ہیں، کو قابل اعتبار سمجھا جاتا ہے، اور دائرہ کا تصور ہی دھندلا ہوا ہے۔
انٹرنیٹ کنیکشن کے علاوہ ہمارے پاس بھی ہے۔

  • ریموٹ رسائی VPN صارفین
  • مختلف ذاتی گیجٹس، لیپ ٹاپ لائے، آفس وائی فائی کے ذریعے منسلک
  • دیگر (برانچ) دفاتر
  • کلاؤڈ انفراسٹرکچر کے ساتھ انضمام

زیرو ٹرسٹ نقطہ نظر عملی طور پر کیسا لگتا ہے؟

مثالی طور پر، صرف مطلوبہ ٹریفک کی اجازت دی جانی چاہیے اور، اگر ہم ایک مثالی کے بارے میں بات کر رہے ہیں، تو کنٹرول نہ صرف L3/L4 کی سطح پر، بلکہ درخواست کی سطح پر ہونا چاہیے۔

اگر، مثال کے طور پر، آپ کے پاس تمام ٹریفک کو فائر وال سے گزرنے کی صلاحیت ہے، تو آپ مثالی کے قریب جانے کی کوشش کر سکتے ہیں۔ لیکن یہ نقطہ نظر آپ کے نیٹ ورک کی کل بینڈوتھ کو نمایاں طور پر کم کر سکتا ہے، اور اس کے علاوہ، ایپلیکیشن کے ذریعے فلٹر کرنا ہمیشہ اچھا کام نہیں کرتا ہے۔

روٹر یا L3 سوئچ (معیاری ACLs کا استعمال کرتے ہوئے) پر ٹریفک کو کنٹرول کرتے وقت، آپ کو دیگر مسائل کا سامنا کرنا پڑتا ہے:

  • یہ صرف L3/L4 فلٹرنگ ہے۔ حملہ آور کو ان کی ایپلی کیشن کے لیے اجازت شدہ بندرگاہوں (مثال کے طور پر TCP 80) استعمال کرنے سے کوئی چیز نہیں روکتی ہے (http نہیں)
  • پیچیدہ ACL مینجمنٹ (ACLs کو پارس کرنا مشکل)
  • یہ سٹیٹ فل فائر وال نہیں ہے، یعنی آپ کو واضح طور پر ریورس ٹریفک کی اجازت دینے کی ضرورت ہے۔
  • سوئچز کے ساتھ آپ عام طور پر TCAM کے سائز کے لحاظ سے کافی حد تک محدود ہوتے ہیں، اگر آپ "صرف اپنی ضرورت کی اجازت دیں" کے نقطہ نظر کو اپناتے ہیں تو یہ فوری طور پر ایک مسئلہ بن سکتا ہے۔

نوٹ

ریورس ٹریفک کے بارے میں بات کرتے ہوئے، ہمیں یاد رکھنا چاہیے کہ ہمارے پاس درج ذیل موقع ہے (سسکو)

اجازت دیں tcp کسی بھی قائم

لیکن آپ کو یہ سمجھنے کی ضرورت ہے کہ یہ لائن دو لائنوں کے برابر ہے:
ٹی سی پی کو کسی بھی قسم کی اجازت دیں۔
کسی بھی پہلے ٹی سی پی کو اجازت دیں۔

جس کا مطلب ہے کہ یہاں تک کہ اگر SYN پرچم کے ساتھ کوئی ابتدائی TCP سیگمنٹ نہیں تھا (یعنی TCP سیشن قائم ہونا بھی شروع نہیں ہوا تھا) تو یہ ACL ACK پرچم والے پیکٹ کی اجازت دے گا، جسے حملہ آور ڈیٹا منتقل کرنے کے لیے استعمال کر سکتا ہے۔

یعنی یہ لائن کسی بھی طرح سے آپ کے روٹر یا L3 سوئچ کو سٹیٹ فل فائر وال میں تبدیل نہیں کرتی ہے۔

تحفظ کی اعلی سطح

В آرٹیکل ڈیٹا سینٹرز کے سیکشن میں، ہم نے تحفظ کے درج ذیل طریقوں پر غور کیا۔

  • اسٹیٹفول فائر والنگ (پہلے سے طے شدہ)
  • ddos/dos تحفظ
  • ایپلی کیشن فائر والنگ
  • خطرے کی روک تھام (اینٹی وائرس، اینٹی اسپائی ویئر، اور کمزوری)
  • یو آر ایل فلٹرنگ
  • ڈیٹا فلٹرنگ (مواد فلٹرنگ)
  • فائل بلاکنگ (فائل کی قسمیں مسدود کرنا)

دفتر کے معاملے میں بھی صورتحال کچھ ایسی ہی ہے لیکن ترجیحات قدرے مختلف ہیں۔ دفتر کی دستیابی (دستیابیت) عام طور پر اتنی اہم نہیں ہوتی جتنی کہ ڈیٹا سینٹر کے معاملے میں ہوتی ہے، جب کہ "اندرونی" بدنیتی پر مبنی ٹریفک کا امکان بہت زیادہ ہوتا ہے۔
لہذا، اس طبقہ کے لیے مندرجہ ذیل تحفظ کے طریقے اہم ہو جاتے ہیں:

  • ایپلی کیشن فائر والنگ
  • خطرے کی روک تھام (اینٹی وائرس، اینٹی اسپائی ویئر، اور کمزوری)
  • یو آر ایل فلٹرنگ
  • ڈیٹا فلٹرنگ (مواد فلٹرنگ)
  • فائل بلاکنگ (فائل کی قسمیں مسدود کرنا)

اگرچہ تحفظ کے یہ تمام طریقے، ایپلی کیشن فائر والنگ کے استثناء کے ساتھ، روایتی طور پر آخری میزبانوں (مثال کے طور پر، اینٹی وائرس پروگراموں کو انسٹال کرکے) اور پراکسیز کا استعمال کرتے ہوئے حل کیے جاتے رہے ہیں، جدید NGFWs بھی یہ خدمات فراہم کرتے ہیں۔

حفاظتی سازوسامان فروش جامع تحفظ پیدا کرنے کی کوشش کرتے ہیں، اس لیے مقامی تحفظ کے ساتھ ساتھ، وہ میزبانوں کے لیے مختلف کلاؤڈ ٹیکنالوجیز اور کلائنٹ سافٹ ویئر پیش کرتے ہیں (اینڈ پوائنٹ پروٹیکشن/ای پی پی)۔ تو، مثال کے طور پر، سے 2018 گارٹنر میجک کواڈرینٹ ہم دیکھتے ہیں کہ پالو آلٹو اور سسکو کے پاس اپنے EPPs (PA: Traps، Cisco: AMP) ہیں، لیکن وہ لیڈروں سے بہت دور ہیں۔

اپنے فائر وال پر ان تحفظات کو فعال کرنا (عام طور پر لائسنس خرید کر) یقیناً لازمی نہیں ہے (آپ روایتی راستے پر جا سکتے ہیں)، لیکن یہ کچھ فوائد فراہم کرتا ہے:

  • اس صورت میں، تحفظ کے طریقوں کے اطلاق کا ایک نقطہ ہے، جو مرئیت کو بہتر بناتا ہے (اگلا موضوع دیکھیں)۔
  • اگر آپ کے نیٹ ورک پر کوئی غیر محفوظ آلہ ہے، تو پھر بھی یہ فائر وال پروٹیکشن کی "چھتری" کے نیچے آتا ہے۔
  • آخری میزبان تحفظ کے ساتھ مل کر فائر وال پروٹیکشن کا استعمال کرکے، ہم نقصان دہ ٹریفک کا پتہ لگانے کے امکانات کو بڑھاتے ہیں۔ مثال کے طور پر، مقامی میزبانوں اور فائر وال پر خطرے کی روک تھام کے استعمال سے پتہ لگانے کے امکانات بڑھ جاتے ہیں (بشرطیکہ یہ حل مختلف سافٹ ویئر پروڈکٹس پر مبنی ہوں)

نوٹ

اگر، مثال کے طور پر، آپ کاسپرسکی کو ایک اینٹی وائرس کے طور پر فائر وال اور آخری میزبان دونوں پر استعمال کرتے ہیں، تو یقیناً یہ آپ کے نیٹ ورک پر وائرس کے حملے کو روکنے کے امکانات میں بہت زیادہ اضافہ نہیں کرے گا۔

نیٹ ورک کی مرئیت

اہم خیال آسان ہے - "دیکھیں" کہ آپ کے نیٹ ورک پر کیا ہو رہا ہے، حقیقی وقت اور تاریخی ڈیٹا دونوں میں۔

میں اس "وژن" کو دو گروہوں میں تقسیم کروں گا:

گروپ ایک: آپ کا نگرانی کا نظام عام طور پر آپ کو کیا فراہم کرتا ہے۔

  • سامان کی لوڈنگ
  • لوڈنگ چینلز
  • استعمال یاد داشت
  • ڈسک کا استعمال
  • روٹنگ ٹیبل کو تبدیل کرنا
  • لنک کی حیثیت
  • سامان کی دستیابی (یا میزبان)
  • ...

گروپ دو: حفاظت سے متعلق معلومات۔

  • مختلف قسم کے اعدادوشمار (مثال کے طور پر، ایپلیکیشن کے ذریعے، URL ٹریفک کے ذریعے، کس قسم کا ڈیٹا ڈاؤن لوڈ کیا گیا، صارف کا ڈیٹا)
  • سیکورٹی پالیسیوں کے ذریعے کیا بلاک کیا گیا تھا اور کس وجہ سے، یعنی
    • ممنوعہ درخواست
    • ip/protocol/port/flags/zones کی بنیاد پر ممنوع ہے۔
    • خطرے کی روک تھام
    • یو آر ایل فلٹرنگ
    • ڈیٹا فلٹرنگ
    • فائل بلاک کرنا
    • ...
  • DOS/DDOS حملوں کے اعدادوشمار
  • شناخت اور اجازت دینے کی ناکام کوششیں۔
  • مذکورہ بالا تمام سیکورٹی پالیسی کی خلاف ورزی کے واقعات کے اعدادوشمار
  • ...

سلامتی کے اس باب میں، ہم دوسرے حصے میں دلچسپی رکھتے ہیں۔

کچھ جدید فائر والز (میرے پالو آلٹو کے تجربے سے) اچھی سطح کی مرئیت فراہم کرتے ہیں۔ لیکن، یقیناً، آپ جس ٹریفک میں دلچسپی رکھتے ہیں اسے اس فائر وال سے گزرنا چاہیے (جس صورت میں آپ ٹریفک کو بلاک کرنے کی صلاحیت رکھتے ہیں) یا فائر وال پر آئینہ دار ہونا چاہیے (صرف نگرانی اور تجزیہ کے لیے استعمال کیا جاتا ہے)، اور آپ کے پاس تمام کو فعال کرنے کے لیے لائسنس ہونا چاہیے۔ یہ خدمات

بلاشبہ، ایک متبادل طریقہ ہے، یا روایتی طریقہ، مثال کے طور پر،

  • سیشن کے اعداد و شمار نیٹ فلو کے ذریعے اکٹھے کیے جا سکتے ہیں اور پھر معلومات کے تجزیہ اور ڈیٹا ویژولائزیشن کے لیے خصوصی افادیت کا استعمال کیا جا سکتا ہے۔
  • خطرے کی روک تھام - آخری میزبانوں پر خصوصی پروگرام (اینٹی وائرس، اینٹی اسپائی ویئر، فائر وال)
  • یو آر ایل فلٹرنگ، ڈیٹا فلٹرنگ، فائل بلاکنگ - پراکسی پر
  • مثال کے طور پر استعمال کرتے ہوئے tcpdump کا تجزیہ کرنا بھی ممکن ہے۔ خراشیں

آپ ان دو طریقوں کو یکجا کر سکتے ہیں، گمشدہ خصوصیات کو پورا کر کے یا ان کی نقل بنا کر حملے کا پتہ لگانے کے امکانات کو بڑھا سکتے ہیں۔

آپ کو کون سا نقطہ نظر منتخب کرنا چاہئے؟
آپ کی ٹیم کی قابلیت اور ترجیحات پر بہت زیادہ انحصار کرتا ہے۔
وہاں اور وہاں کے فوائد اور نقصانات دونوں ہیں۔

متحد مرکزی تصدیق اور اجازت کا نظام

جب اچھی طرح سے ڈیزائن کیا گیا ہو، تو ہم نے اس مضمون میں جس نقل و حرکت پر بات کی ہے، یہ فرض کرتا ہے کہ آپ کو ایک جیسی رسائی حاصل ہے چاہے آپ دفتر سے کام کرتے ہوں یا گھر سے، ہوائی اڈے سے، کافی شاپ سے یا کسی اور جگہ سے (حدود کے ساتھ جن پر ہم نے اوپر بات کی ہے)۔ لگتا ہے، مسئلہ کیا ہے؟
اس کام کی پیچیدگی کو بہتر طور پر سمجھنے کے لیے، آئیے ایک عام ڈیزائن کو دیکھتے ہیں۔

مثال کے طور پر

  • آپ نے تمام ملازمین کو گروپس میں تقسیم کیا ہے۔ آپ نے گروپس کے ذریعے رسائی فراہم کرنے کا فیصلہ کیا ہے۔
  • دفتر کے اندر، آپ آفس فائر وال پر رسائی کو کنٹرول کرتے ہیں۔
  • آپ ڈیٹا سینٹر فائر وال پر آفس سے ڈیٹا سینٹر تک ٹریفک کو کنٹرول کرتے ہیں۔
  • آپ Cisco ASA کو VPN گیٹ وے کے طور پر استعمال کرتے ہیں اور ریموٹ کلائنٹس سے اپنے نیٹ ورک میں داخل ہونے والی ٹریفک کو کنٹرول کرنے کے لیے، آپ مقامی (ASA پر) ACLs استعمال کرتے ہیں۔

اب، ہم کہتے ہیں کہ آپ کو کسی خاص ملازم تک اضافی رسائی شامل کرنے کے لیے کہا جاتا ہے۔ اس صورت میں، آپ سے صرف اس تک رسائی شامل کرنے کو کہا جاتا ہے اور اس کے گروپ میں سے کسی کو نہیں۔

اس کے لیے ہمیں اس ملازم کے لیے ایک الگ گروپ بنانا ہوگا، یعنی

  • اس ملازم کے لیے ASA پر الگ IP پول بنائیں
  • ASA پر ایک نیا ACL شامل کریں اور اسے اس ریموٹ کلائنٹ سے منسلک کریں۔
  • آفس اور ڈیٹا سینٹر فائر والز پر نئی سیکیورٹی پالیسیاں بنائیں

اگر یہ واقعہ نایاب ہو تو اچھا ہے۔ لیکن میری مشق میں ایک ایسی صورت حال تھی جب ملازمین نے مختلف منصوبوں میں حصہ لیا، اور ان میں سے کچھ کے لیے پروجیکٹس کا یہ سیٹ اکثر بدلا، اور یہ 1-2 افراد نہیں بلکہ درجنوں تھے۔ یقیناً، یہاں کچھ تبدیل کرنے کی ضرورت ہے۔

یہ مندرجہ ذیل طریقے سے حل کیا گیا تھا.

ہم نے فیصلہ کیا کہ LDAP ہی سچائی کا واحد ذریعہ ہوگا جو ملازمین کی تمام ممکنہ رسائیوں کا تعین کرتا ہے۔ ہم نے ہر قسم کے گروپ بنائے ہیں جو رسائی کے سیٹ کی وضاحت کرتے ہیں، اور ہم نے ہر صارف کو ایک یا زیادہ گروپس کو تفویض کیا ہے۔

تو، مثال کے طور پر، فرض کریں کہ وہاں گروپس تھے۔

  • مہمان (انٹرنیٹ تک رسائی)
  • مشترکہ رسائی (مشترکہ وسائل تک رسائی: میل، علم کی بنیاد، ...)
  • اکاؤنٹنگ
  • پروجیکٹ 1
  • پروجیکٹ 2
  • ڈیٹا بیس ایڈمنسٹریٹر
  • لینکس ایڈمنسٹریٹر
  • ...

اور اگر ملازمین میں سے کوئی ایک پروجیکٹ 1 اور پروجیکٹ 2 دونوں میں شامل تھا، اور اسے ان پروجیکٹس میں کام کرنے کے لیے ضروری رسائی کی ضرورت تھی، تو اس ملازم کو درج ذیل گروپس میں تفویض کیا گیا تھا:

  • مہمان
  • عام رسائی
  • پروجیکٹ 1
  • پروجیکٹ 2

اب ہم اس معلومات کو نیٹ ورک کے آلات تک رسائی میں کیسے تبدیل کر سکتے ہیں؟

سسکو اے ایس اے ڈائنامک ایکسیس پالیسی (ڈی اے پی) (دیکھیں۔ www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) حل اس کام کے لیے بالکل صحیح ہے۔

ہمارے نفاذ کے بارے میں مختصراً، شناخت/ اجازت دینے کے عمل کے دوران، ASA کو LDAP سے ایک مخصوص صارف کے مطابق گروپس کا ایک سیٹ ملتا ہے اور متعدد مقامی ACLs سے "جمع" کرتا ہے (جن میں سے ہر ایک گروپ سے مطابقت رکھتا ہے) تمام ضروری رسائی کے ساتھ ایک متحرک ACL۔ ، جو ہماری خواہشات سے پوری طرح مطابقت رکھتا ہے۔

لیکن یہ صرف VPN کنکشنز کے لیے ہے۔ VPN کے ذریعے منسلک ملازمین اور دفتر میں موجود دونوں کے لیے صورتحال کو یکساں بنانے کے لیے، درج ذیل قدم اٹھایا گیا تھا۔

دفتر سے رابطہ کرتے وقت، 802.1x پروٹوکول استعمال کرنے والے صارفین یا تو مہمان LAN (مہمانوں کے لیے) یا مشترکہ LAN (کمپنی کے ملازمین کے لیے) میں ختم ہوتے ہیں۔ مزید، مخصوص رسائی حاصل کرنے کے لیے (مثال کے طور پر، ڈیٹا سینٹر میں پروجیکٹس تک)، ملازمین کو VPN کے ذریعے جڑنا پڑتا تھا۔

دفتر اور گھر سے رابطہ قائم کرنے کے لیے، ASA پر مختلف ٹنل گروپ استعمال کیے گئے۔ یہ اس لیے ضروری ہے تاکہ دفتر سے جڑنے والوں کے لیے مشترکہ وسائل تک ٹریفک (تمام ملازمین کے ذریعے استعمال کیا جاتا ہے، جیسے کہ میل، فائل سرور، ٹکٹ سسٹم، ڈی این ایس، ...) ASA سے نہیں بلکہ مقامی نیٹ ورک کے ذریعے جاتا ہے۔ . اس طرح، ہم نے ASA کو غیر ضروری ٹریفک کے ساتھ لوڈ نہیں کیا، بشمول زیادہ شدت والی ٹریفک۔

اس طرح مسئلہ حل ہوگیا۔
ھمیں مل گیا

  • آفس اور ریموٹ کنکشن دونوں کے لیے رسائی کا ایک ہی سیٹ
  • ASA کے ذریعے تیز رفتار ٹریفک کی ترسیل سے وابستہ دفتر سے کام کرتے وقت سروس میں کمی کی عدم موجودگی

اس نقطہ نظر کے اور کیا فوائد ہیں؟
رسائی انتظامیہ میں۔ رسائی ایک جگہ پر آسانی سے تبدیل کی جا سکتی ہے۔
مثال کے طور پر، اگر کوئی ملازم کمپنی چھوڑ دیتا ہے، تو آپ اسے LDAP سے نکال دیتے ہیں، اور وہ خود بخود تمام رسائی کھو دیتا ہے۔

میزبان چیکنگ

ریموٹ کنکشن کے امکان کے ساتھ، ہم نہ صرف کسی کمپنی کے ملازم کو نیٹ ورک میں جانے کی اجازت دینے کا خطرہ مول لیتے ہیں، بلکہ وہ تمام نقصاندہ سافٹ ویئر بھی جو اس کے کمپیوٹر پر موجود ہوتے ہیں (مثال کے طور پر، گھر)، اور مزید یہ کہ اس سافٹ ویئر کے ذریعے ہم ہو سکتا ہے کہ اس میزبان کو پراکسی کے طور پر استعمال کرنے والے حملہ آور کو ہمارے نیٹ ورک تک رسائی فراہم کر رہا ہو۔

دور دراز سے جڑے ہوئے میزبان کے لیے دفتر میں موجود میزبان کی طرح حفاظتی تقاضوں کو لاگو کرنا سمجھ میں آتا ہے۔

یہ OS، اینٹی وائرس، اینٹی اسپائی ویئر، اور فائر وال سافٹ ویئر اور اپ ڈیٹس کے "درست" ورژن کو بھی فرض کرتا ہے۔ عام طور پر، یہ صلاحیت VPN گیٹ وے پر موجود ہے (ASA کے لیے، مثال کے طور پر، یہاں).

ٹریفک کے تجزیہ اور بلاک کرنے کی وہی تکنیک ("اعلی سطح کے تحفظ" دیکھیں) کو لاگو کرنا بھی عقلمندی ہے جو آپ کی سیکیورٹی پالیسی دفتری ٹریفک پر لاگو ہوتی ہے۔

یہ سمجھنا مناسب ہے کہ آپ کا آفس نیٹ ورک اب دفتر کی عمارت اور اس کے اندر موجود میزبانوں تک محدود نہیں ہے۔

مثال کے طور پر

ایک اچھی تکنیک یہ ہے کہ ہر اس ملازم کو فراہم کیا جائے جس کو ایک اچھا، آسان لیپ ٹاپ کے ساتھ ریموٹ رسائی کی ضرورت ہوتی ہے اور اس سے دفتر اور گھر دونوں جگہوں پر کام کرنے کی ضرورت ہوتی ہے۔

یہ نہ صرف آپ کے نیٹ ورک کی سیکیورٹی کو بہتر بناتا ہے، بلکہ یہ واقعی آسان بھی ہے اور عام طور پر ملازمین (اگر یہ واقعی اچھا، صارف کے لیے دوستانہ لیپ ٹاپ ہے) کی طرف سے پسندیدگی سے دیکھا جاتا ہے۔

تناسب اور توازن کے احساس کے بارے میں

بنیادی طور پر، یہ ہمارے مثلث کے تیسرے چوٹی کے بارے میں بات چیت ہے - قیمت کے بارے میں۔
آئیے ایک فرضی مثال کو دیکھتے ہیں۔

مثال کے طور پر

آپ کے پاس 200 لوگوں کا دفتر ہے۔ آپ نے اسے ہر ممکن حد تک آسان اور محفوظ بنانے کا فیصلہ کیا۔

لہذا، آپ نے تمام ٹریفک کو فائر وال سے گزرنے کا فیصلہ کیا اور اس طرح تمام آفس سب نیٹس کے لیے فائر وال ڈیفالٹ گیٹ وے ہے۔ ہر آخری میزبان (اینٹی وائرس، اینٹی اسپائی ویئر، اور فائر وال سافٹ ویئر) پر نصب سیکیورٹی سافٹ ویئر کے علاوہ، آپ نے فائر وال پر تحفظ کے تمام ممکنہ طریقوں کو لاگو کرنے کا فیصلہ بھی کیا۔

تیز رفتار کنکشن کی رفتار کو یقینی بنانے کے لیے (سب کچھ سہولت کے لیے)، آپ نے 10 گیگابٹ ایکسیس پورٹ والے سوئچ کو ایکسیس سوئچ کے طور پر اور اعلی کارکردگی والے NGFW فائر والز کو فائر وال کے طور پر منتخب کیا، مثال کے طور پر، Palo Alto 7K سیریز (40 گیگابٹ پورٹس کے ساتھ)، قدرتی طور پر تمام لائسنس کے ساتھ۔ شامل اور، قدرتی طور پر، ایک اعلی دستیابی کا جوڑا۔

اس کے علاوہ، یقیناً، آلات کی اس لائن کے ساتھ کام کرنے کے لیے ہمیں کم از کم چند اعلیٰ تعلیم یافتہ سیکیورٹی انجینئرز کی ضرورت ہے۔

اگلا، آپ نے ہر ملازم کو ایک اچھا لیپ ٹاپ دینے کا فیصلہ کیا۔

کل، عمل درآمد کے لیے تقریباً 10 ملین ڈالر، انجینئرز کی سالانہ مدد اور تنخواہوں کے لیے لاکھوں ڈالر (میرے خیال میں ایک ملین کے قریب)۔

دفتر، 200 افراد...
آرام دہ۔ مجھے لگتا ہے کہ یہ ہاں ہے۔

آپ اپنی انتظامیہ کے پاس یہ تجویز لے کر آئیں...
شاید دنیا میں بہت سی کمپنیاں ہیں جن کے لیے یہ قابل قبول اور درست حل ہے۔ اگر آپ اس کمپنی کے ملازم ہیں تو میری مبارکباد، لیکن زیادہ تر معاملات میں، مجھے یقین ہے کہ انتظامیہ آپ کے علم کی تعریف نہیں کرے گی۔

کیا یہ مثال مبالغہ آمیز ہے؟ اگلا باب اس سوال کا جواب دے گا۔

اگر آپ کے نیٹ ورک پر آپ کو مندرجہ بالا میں سے کوئی نظر نہیں آتا ہے، تو یہ معمول ہے۔
ہر مخصوص معاملے کے لیے، آپ کو سہولت، قیمت اور حفاظت کے درمیان اپنا مناسب سمجھوتہ تلاش کرنے کی ضرورت ہے۔ اکثر آپ کو اپنے دفتر میں NGFW کی بھی ضرورت نہیں ہوتی ہے، اور فائر وال پر L7 تحفظ کی ضرورت نہیں ہوتی ہے۔ یہ ایک اچھی سطح کی مرئیت اور انتباہات فراہم کرنے کے لیے کافی ہے، اور یہ اوپن سورس پروڈکٹس کا استعمال کرتے ہوئے کیا جا سکتا ہے، مثال کے طور پر۔ ہاں، حملے پر آپ کا ردعمل فوری نہیں ہوگا، لیکن اہم بات یہ ہے کہ آپ اسے دیکھیں گے، اور آپ کے محکمے میں صحیح عمل کے ساتھ، آپ اسے فوری طور پر بے اثر کرنے کے قابل ہو جائیں گے۔

اور میں آپ کو یاد دلاتا ہوں کہ مضامین کی اس سیریز کے تصور کے مطابق، آپ نیٹ ورک ڈیزائن نہیں کر رہے ہیں، آپ صرف اس کو بہتر بنانے کی کوشش کر رہے ہیں جو آپ کو ملا ہے۔

دفتری فن تعمیر کا محفوظ تجزیہ

اس سرخ مربع پر توجہ دیں جس کے ساتھ میں نے خاکہ پر ایک جگہ مختص کی ہے۔ سیف سیکیور کیمپس آرکیٹیکچر گائیڈجس پر میں یہاں بات کرنا چاہوں گا۔

اپنے نیٹ ورک کے بنیادی ڈھانچے کو کیسے کنٹرول کریں۔ باب تین۔ نیٹ ورک سیکیورٹی۔ تیسرا حصہ

یہ فن تعمیر کے اہم مقامات میں سے ایک ہے اور سب سے اہم غیر یقینی صورتحال میں سے ایک ہے۔

نوٹ

میں نے کبھی بھی فائر پاور کے ساتھ سیٹ اپ یا کام نہیں کیا (سسکو کی فائر وال لائن سے - صرف ASA)، اس لیے میں اسے کسی بھی دوسرے فائر وال کی طرح برتاؤ کروں گا، جیسے Juniper SRX یا Palo Alto، یہ فرض کرتے ہوئے کہ اس میں وہی صلاحیتیں ہیں۔

معمول کے ڈیزائنوں میں سے، میں اس کنکشن کے ساتھ فائر وال استعمال کرنے کے لیے صرف 4 ممکنہ اختیارات دیکھتا ہوں:

  • ہر سب نیٹ کے لیے پہلے سے طے شدہ گیٹ وے ایک سوئچ ہے، جبکہ فائر وال شفاف موڈ میں ہے (یعنی تمام ٹریفک اس سے گزرتی ہے، لیکن یہ L3 ہاپ نہیں بناتی)
  • ہر سب نیٹ کے لیے ڈیفالٹ گیٹ وے فائر وال ذیلی انٹرفیس (یا SVI ​​انٹرفیس) ہے، سوئچ L2 کا کردار ادا کرتا ہے۔
  • سوئچ پر مختلف VRFs کا استعمال کیا جاتا ہے، اور VRFs کے درمیان ٹریفک فائر وال سے گزرتا ہے، ایک VRF کے اندر ٹریفک کو سوئچ پر ACL کے ذریعے کنٹرول کیا جاتا ہے۔
  • تمام ٹریفک کو تجزیہ اور نگرانی کے لیے فائر وال پر عکس بند کیا جاتا ہے؛ ٹریفک اس سے نہیں گزرتی

ریمارک 1۔

ان اختیارات کے مجموعے ممکن ہیں، لیکن سادگی کے لیے ہم ان پر غور نہیں کریں گے۔

نوٹ 2

پی بی آر (سروس چین آرکیٹیکچر) استعمال کرنے کا بھی امکان ہے، لیکن فی الحال یہ، اگرچہ میری رائے میں ایک خوبصورت حل ہے، بلکہ غیر ملکی ہے، اس لیے میں یہاں اس پر غور نہیں کر رہا ہوں۔

دستاویز میں بہاؤ کی تفصیل سے، ہم دیکھتے ہیں کہ ٹریفک اب بھی فائر وال سے گزرتی ہے، یعنی Cisco ڈیزائن کے مطابق، چوتھا آپشن ختم کر دیا گیا ہے۔

آئیے پہلے دو آپشنز کو دیکھتے ہیں۔
ان اختیارات کے ساتھ، تمام ٹریفک فائر وال سے گزرتی ہے۔

اب دیکھتے ہیں۔ ڈیٹا شیٹدیکھو سسکو جی پی ایل اور ہم دیکھتے ہیں کہ اگر ہم چاہتے ہیں کہ ہمارے دفتر کے لیے کل بینڈوتھ کم از کم 10 - 20 گیگا بٹس ہو، تو ہمیں 4K ورژن خریدنا چاہیے۔

نوٹ

جب میں کل بینڈوڈتھ کے بارے میں بات کرتا ہوں تو میرا مطلب سب نیٹس کے درمیان ٹریفک ہے (اور ایک ولانا کے اندر نہیں)۔

GPL سے ہم دیکھتے ہیں کہ تھریٹ ڈیفنس کے ساتھ HA بنڈل کے لیے، ماڈل (4110 - 4150) کے لحاظ سے قیمت ~ 0,5 - 2,5 ملین ڈالر سے مختلف ہوتی ہے۔

یعنی ہمارا ڈیزائن پچھلی مثال سے مشابہ ہونا شروع ہو جاتا ہے۔

کیا اس کا مطلب یہ ہے کہ یہ ڈیزائن غلط ہے؟
نہیں، اس کا مطلب یہ نہیں ہے۔ Cisco اپنے پاس موجود پروڈکٹ لائن کی بنیاد پر آپ کو بہترین ممکنہ تحفظ فراہم کرتا ہے۔ لیکن اس کا مطلب یہ نہیں ہے کہ یہ آپ کے لیے ضروری ہے۔

اصولی طور پر، یہ ایک عام سوال ہے جو کسی دفتر یا ڈیٹا سینٹر کو ڈیزائن کرتے وقت پیدا ہوتا ہے، اور اس کا مطلب صرف یہ ہے کہ سمجھوتہ کرنے کی ضرورت ہے۔

مثال کے طور پر، تمام ٹریفک کو فائر وال سے گزرنے نہ دیں، ایسی صورت میں آپشن 3 مجھے بہت اچھا لگتا ہے، یا (پچھلا حصہ دیکھیں) ہو سکتا ہے کہ آپ کو تھریٹ ڈیفنس کی ضرورت نہ ہو یا اس پر فائر وال کی بالکل بھی ضرورت نہ ہو۔ نیٹ ورک سیگمنٹ، اور آپ کو ادائیگی شدہ (مہنگا نہیں) یا اوپن سورس سلوشنز کا استعمال کرتے ہوئے اپنے آپ کو غیر فعال نگرانی تک محدود رکھنے کی ضرورت ہے، یا آپ کو فائر وال کی ضرورت ہے، لیکن ایک مختلف وینڈر سے۔

عام طور پر ہمیشہ یہ غیر یقینی صورتحال رہتی ہے اور اس بات کا کوئی واضح جواب نہیں ہے کہ آپ کے لیے کون سا فیصلہ بہترین ہے۔
یہ اس کام کی پیچیدگی اور خوبصورتی ہے۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں