ProHoster > Blog > Ma'muriyat > Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Uchinchi qism

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Uchinchi qism

Ushbu maqola "Tarmoq infratuzilmangizni qanday nazorat qilish kerak" turkumidagi beshinchi maqoladir. Seriyadagi barcha maqolalarning mazmuni va havolalarni topishingiz mumkin shu yerda.

Ushbu qism Kampus (Ofis) va masofaviy kirish VPN segmentlariga bag'ishlangan bo'ladi.

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Uchinchi qism

Ofis tarmog'ini loyihalash oson ko'rinishi mumkin.

Haqiqatan ham, biz L2 / L3 kalitlarini olamiz va ularni bir-biriga ulaymiz. Keyinchalik, biz vilanlar va standart shlyuzlarni asosiy sozlashni amalga oshiramiz, oddiy marshrutlashni o'rnatamiz, WiFi kontrollerlarini, kirish nuqtalarini ulaymiz, masofadan kirish uchun ASA ni o'rnatamiz va sozlaymiz, hamma narsa ishlaganidan xursandmiz. Asosan, men avvalgilaridan birida yozganimdek maqolalar Ushbu tsiklda telekommunikatsiya kursining ikki semestrida qatnashgan (va o'rgangan) deyarli har bir talaba ofis tarmog'ini "qandaydir ishlaydi" deb loyihalashi va sozlashi mumkin.

Ammo qanchalik ko'p o'rgansangiz, bu vazifa shunchalik sodda bo'lib ko'rinadi. Shaxsan men uchun bu mavzu, ofis tarmog'ini loyihalash mavzusi umuman oddiy ko'rinmaydi va bu maqolada nima uchun ekanligini tushuntirishga harakat qilaman.

Muxtasar qilib aytganda, e'tiborga olish kerak bo'lgan bir nechta omillar mavjud. Ko'pincha bu omillar bir-biriga zid keladi va oqilona murosaga erishish kerak.
Bu noaniqlik asosiy qiyinchilikdir. Shunday qilib, xavfsizlik haqida gapiradigan bo'lsak, bizda uchta uchli uchburchak bor: xavfsizlik, xodimlar uchun qulaylik, yechimning narxi.
Va har safar bu uch o'rtasida murosa izlashga to'g'ri keladi.

arxitektura

Ushbu ikki segment uchun arxitekturaning namunasi sifatida, avvalgi maqolalarda bo'lgani kabi, men tavsiya qilaman Cisco SAFE model: Korxona kampusi, Enterprise Internet Edge.

Bu biroz eskirgan hujjatlar. Men ularni bu erda taqdim etaman, chunki asosiy sxemalar va yondashuvlar o'zgarmagan, lekin shu bilan birga menga taqdimot avvalgisidan ko'ra ko'proq yoqadi. yangi hujjatlar.

Sizni Cisco echimlaridan foydalanishga undamasdan, men hali ham ushbu dizaynni diqqat bilan o'rganish foydali deb o'ylayman.

Ushbu maqola, odatdagidek, hech qanday tarzda o'zini to'liq deb ko'rsatmaydi, aksincha, ushbu ma'lumotga qo'shimchadir.

Maqolaning oxirida biz Cisco SAFE ofis dizaynini bu yerda bayon etilgan tushunchalar nuqtai nazaridan tahlil qilamiz.

Umumiy tamoyillar

Ofis tarmog'ining dizayni, albatta, muhokama qilingan umumiy talablarga javob berishi kerak shu yerda "Dizayn sifatini baholash mezonlari" bo'limida. Biz ushbu maqolada muhokama qilmoqchi bo'lgan narx va xavfsizlikdan tashqari, loyihalashda (yoki o'zgartirishlar kiritishda) e'tiborga olishimiz kerak bo'lgan uchta mezon mavjud:

  • masshtablilik
  • foydalanish qulayligi (boshqarilishi)
  • mavjudligi

Ko'p narsa muhokama qilindi ma'lumotlar markazlari Bu ofis uchun ham amal qiladi.

Shunga qaramay, ofis segmenti xavfsizlik nuqtai nazaridan juda muhim bo'lgan o'ziga xos xususiyatlarga ega. Ushbu o'ziga xoslikning mohiyati shundaki, ushbu segment kompaniya xodimlariga (shuningdek, sheriklar va mehmonlarga) tarmoq xizmatlarini ko'rsatish uchun yaratilgan va natijada muammoni eng yuqori darajada ko'rib chiqishda oldimizda ikkita vazifa turibdi:

  • kompaniya resurslarini xodimlar (mehmonlar, hamkorlar) va ular foydalanadigan dasturiy ta'minotdan kelib chiqishi mumkin bo'lgan zararli harakatlardan himoya qilish. Bunga tarmoqqa ruxsatsiz ulanishdan himoya ham kiradi.
  • tizimlar va foydalanuvchi ma'lumotlarini himoya qilish

Va bu muammoning faqat bir tomoni (aniqrog'i, uchburchakning bir cho'qqisi). Boshqa tomondan, foydalanuvchi qulayligi va ishlatiladigan echimlarning narxi.

Keling, foydalanuvchi zamonaviy ofis tarmog'idan nimani kutishini ko'rib chiqaylik.

Imkoniyatlar

Mening fikrimcha, ofis foydalanuvchisi uchun "tarmoq qulayliklari" qanday ko'rinishga ega:

  • Mobility
  • Tanish qurilmalar va operatsion tizimlarning to'liq spektridan foydalanish qobiliyati
  • Barcha kerakli kompaniya resurslariga oson kirish
  • Internet-resurslarning, jumladan, turli xil bulutli xizmatlarning mavjudligi
  • Tarmoqning "tezkor ishlashi"

Bularning barchasi xodimlarga ham, mehmonlarga (yoki sheriklarga) ham tegishli va kompaniya muhandislarining vazifasi avtorizatsiya asosida turli foydalanuvchilar guruhlari uchun kirishni farqlashdir.

Keling, ushbu jihatlarning har birini biroz batafsilroq ko'rib chiqaylik.

Mobility

Gap dunyoning istalgan nuqtasidan (albatta, Internet mavjud bo'lgan joyda) ishlash va kompaniyaning barcha zarur resurslaridan foydalanish imkoniyati haqida bormoqda.

Bu to'liq ofisga tegishli. Bu ofisning istalgan joyidan ishlashni davom ettirish imkoniyatiga ega bo'lganingizda qulaydir, masalan, pochta qabul qilish, korporativ messenjerda muloqot qilish, video qo'ng'iroq qilish uchun mavjud bo'lish, ... Shunday qilib, bu sizga bir tomondan, ba'zi muammolarni hal qilish uchun "jonli" muloqot (masalan, mitinglarda ishtirok etish) va boshqa tomondan, har doim onlayn bo'ling, barmog'ingizni pulsda ushlab turing va ba'zi favqulodda muhim vazifalarni tezda hal qiling. Bu juda qulay va haqiqatan ham aloqa sifatini yaxshilaydi.

Bunga Wi-Fi tarmog'ining to'g'ri dizayni orqali erishiladi.

Eslatma:

Bu erda odatda savol tug'iladi: faqat WiFi-dan foydalanish kifoya qiladimi? Bu ofisda Ethernet portlaridan foydalanishni to'xtatishingiz mumkinligini anglatadimi? Agar biz oddiy Ethernet portiga ulanishi mumkin bo'lgan serverlar haqida emas, balki faqat foydalanuvchilar haqida gapiradigan bo'lsak, unda umuman javob: ha, siz o'zingizni faqat WiFi bilan cheklashingiz mumkin. Ammo nuanslar mavjud.

Alohida yondashuvni talab qiladigan muhim foydalanuvchi guruhlari mavjud. Bular, albatta, ma'murlar. Asosan, WiFi ulanishi oddiy Ethernet portiga qaraganda kamroq ishonchli (trafikni yo'qotish nuqtai nazaridan) va sekinroq. Bu ma'murlar uchun muhim bo'lishi mumkin. Bundan tashqari, tarmoq ma'murlari, masalan, tarmoqdan tashqari ulanishlar uchun o'zlarining maxsus Ethernet tarmog'iga ega bo'lishlari mumkin.

Sizning kompaniyangizda bu omillar ham muhim bo'lgan boshqa guruhlar/bo'limlar bo'lishi mumkin.

Yana bir muhim nuqta bor - telefoniya. Ehtimol, ba'zi sabablarga ko'ra siz Simsiz VoIP-dan foydalanishni xohlamaysiz va oddiy Ethernet ulanishi bilan IP telefonlardan foydalanmoqchisiz.

Umuman olganda, men ishlagan kompaniyalarda odatda Wi-Fi ulanishi va Ethernet porti mavjud edi.

Men mobillik faqat ofis bilan chegaralanib qolmasligini istardim.

Uydan (yoki Internetga kirish mumkin bo'lgan boshqa joyda) ishlash imkoniyatini ta'minlash uchun VPN ulanishidan foydalaniladi. Shu bilan birga, xodimlar uydan ishlash va masofaviy ish o'rtasidagi farqni his qilmasliklari ma'qul, bu esa bir xil kirishni nazarda tutadi. Buni qanday tashkil etishni biroz keyinroq "Yagona markazlashtirilgan autentifikatsiya va avtorizatsiya tizimi" bo'limida muhokama qilamiz.

Eslatma:

Ehtimol, siz ofisda bo'lgan masofadan ishlash uchun bir xil sifatli xizmatlarni to'liq taqdim eta olmaysiz. Faraz qilaylik, siz VPN shlyuz sifatida Cisco ASA 5520 dan foydalanmoqdasiz. tafsilotli ro'yxat ushbu qurilma atigi 225 Mbit VPN trafigini “hazm qilish”ga qodir. Ya'ni, albatta, tarmoqli kengligi bo'yicha VPN orqali ulanish ofisdan ishlashdan juda farq qiladi. Bundan tashqari, agar biron sababga ko'ra tarmoq xizmatlari uchun kechikish, yo'qotish, jitter (masalan, siz ofis IP telefoniyasidan foydalanmoqchi bo'lsangiz) muhim bo'lsa, siz ofisda bo'lganingiz kabi sifatni ham olmaysiz. Shuning uchun, harakatchanlik haqida gapirganda, biz mumkin bo'lgan cheklovlarni bilishimiz kerak.

Kompaniyaning barcha resurslariga oson kirish

Ushbu vazifani boshqa texnik bo'limlar bilan birgalikda hal qilish kerak.
Ideal holat - foydalanuvchi faqat bir marta autentifikatsiya qilish kerak bo'lganda va shundan so'ng u barcha kerakli resurslarga kirish huquqiga ega.
Xavfsizlikdan voz kechmasdan oson kirishni ta'minlash mahsuldorlikni sezilarli darajada oshirishi va hamkasblaringiz orasida stressni kamaytirishi mumkin.

Izoh 1

Kirish qulayligi faqat parolni necha marta kiritishingiz kerakligi haqida emas. Agar, masalan, sizning xavfsizlik siyosatingizga muvofiq, ofisdan ma'lumotlar markaziga ulanish uchun siz avval VPN shlyuziga ulanishingiz kerak bo'lsa va shu bilan birga siz ofis resurslariga kirish huquqini yo'qotib qo'ysangiz, bu ham juda ko'p. , juda noqulay.

Izoh 2

Xizmatlar mavjud (masalan, tarmoq uskunasiga kirish) bizda odatda o'zimizning maxsus AAA serverlarimiz mavjud va bu holatda biz bir necha marta autentifikatsiya qilishimiz kerak bo'lgan norma hisoblanadi.

Internet resurslarining mavjudligi

Internet nafaqat o'yin-kulgi, balki ish uchun juda foydali bo'lishi mumkin bo'lgan xizmatlar to'plamidir. Bundan tashqari, faqat psixologik omillar mavjud. Zamonaviy odam Internet orqali boshqa odamlar bilan ko'plab virtual iplar orqali bog'lanadi va mening fikrimcha, agar u ishlayotganda ham bu aloqani his qilishda davom etsa, hech qanday yomon narsa yo'q.

Vaqtni behuda sarflash nuqtai nazaridan, agar xodim, masalan, Skype ishlayotgan bo'lsa va agar kerak bo'lsa, yaqin odam bilan 5 daqiqa muloqot qilsa, hech qanday yomon narsa yo'q.

Bu Internet har doim mavjud bo'lishi kerakligini anglatadimi, bu xodimlar barcha resurslarga kirishlari va ularni hech qanday tarzda nazorat qilmasliklarini anglatadimi?

Yo‘q, bu degani emas, albatta. Internetning ochiqlik darajasi turli kompaniyalar uchun farq qilishi mumkin - to'liq yopilishdan to'liq ochiqlikgacha. Trafikni nazorat qilish yo'llarini keyinroq xavfsizlik choralari bo'limlarida muhokama qilamiz.

Tanish qurilmalarning to'liq spektridan foydalanish qobiliyati

Bu, masalan, ishda o'rganib qolgan barcha aloqa vositalaridan foydalanishni davom ettirish imkoniyati mavjud bo'lganda qulay. Buni texnik jihatdan amalga oshirishda hech qanday qiyinchilik yo'q. Buning uchun sizga WiFi va mehmon wilan kerak.

Agar siz o'zingiz ko'nikkan operatsion tizimdan foydalanish imkoniga ega bo'lsangiz ham yaxshi. Ammo, mening kuzatishlarimga ko'ra, bu odatda faqat menejerlar, ma'murlar va ishlab chiquvchilar uchun ruxsat etiladi.

misol

Siz, albatta, taqiqlar yo'lidan borishingiz, masofaviy kirishni taqiqlashingiz, mobil qurilmalardan ulanishni taqiqlashingiz, hamma narsani statik Ethernet ulanishlari bilan cheklashingiz, Internetga kirishni cheklashingiz, nazorat punktida uyali telefonlar va gadjetlarni majburiy ravishda musodara qilishingiz mumkin ... va bu yo'l aslida xavfsizlik talablari ortgan ba'zi tashkilotlar tomonidan ta'qib qilinadi va, ehtimol, ba'zi hollarda bu oqlanishi mumkin, lekin ... siz bu bitta tashkilotdagi taraqqiyotni to'xtatishga urinish kabi ko'rinishiga rozi bo'lishingiz kerak. Albatta, men zamonaviy texnologiyalar taqdim etayotgan imkoniyatlarni yetarli darajadagi xavfsizlik bilan birlashtirmoqchiman.

Tarmoqning "tezkor ishlashi"

Ma'lumotlarni uzatish tezligi texnik jihatdan ko'plab omillardan iborat. Va ulanish portining tezligi odatda eng muhimi emas. Ilovaning sekin ishlashi har doim ham tarmoq muammolari bilan bog'liq emas, ammo hozircha biz faqat tarmoq qismiga qiziqamiz. Mahalliy tarmoqning "sekinlashishi" bilan bog'liq eng keng tarqalgan muammo paketlarni yo'qotish bilan bog'liq. Bu odatda darboğaz yoki L1 (OSI) muammolari mavjud bo'lganda sodir bo'ladi. Kamdan-kam hollarda, ba'zi dizaynlarda (masalan, sizning pastki tarmoqlaringiz standart shlyuz sifatida xavfsizlik devoriga ega bo'lsa va shuning uchun barcha trafik u orqali o'tsa), uskunaning ishlashi etishmayotgan bo'lishi mumkin.

Shuning uchun, uskuna va arxitekturani tanlashda siz so'nggi portlar, magistrallar va uskunaning ishlashi tezligini o'zaro bog'lashingiz kerak.

misol

Faraz qilaylik, siz 1 gigabitli portli kalitlardan kirish sathi kalitlari sifatida foydalanmoqdasiz. Ular bir-biriga Etherchannel 2 x 10 gigabit orqali ulangan. Standart shlyuz sifatida siz gigabit portlari bo'lgan xavfsizlik devoridan foydalanasiz, uni L2 ofis tarmog'iga ulash uchun Etherchannelga birlashtirilgan 2 gigabit portdan foydalanasiz.

Ushbu arxitektura funksionallik nuqtai nazaridan juda qulay, chunki... Barcha trafik xavfsizlik devori orqali o'tadi va siz kirish siyosatini qulay boshqarishingiz va trafikni boshqarish va mumkin bo'lgan hujumlarning oldini olish uchun murakkab algoritmlarni qo'llashingiz mumkin (pastga qarang), lekin o'tkazish qobiliyati va ishlash nuqtai nazaridan bu dizayn, albatta, mumkin bo'lgan muammolarga ega. Shunday qilib, masalan, ma'lumotlarni yuklab oluvchi 2 ta xost (port tezligi 1 gigabit bo'lgan) xavfsizlik devoriga 2 gigabit ulanishni to'liq yuklashi mumkin va bu butun ofis segmenti uchun xizmatning yomonlashishiga olib keladi.

Biz uchburchakning bir cho'qqisini ko'rib chiqdik, endi xavfsizlikni qanday ta'minlash mumkinligini ko'rib chiqamiz.

Himoya vositalari

Shunday qilib, albatta, odatda bizning xohishimiz (aniqrog'i, bizning rahbariyatimizning xohishi) imkonsiz narsaga erishish, ya'ni maksimal xavfsizlik va minimal xarajatlar bilan maksimal qulaylikni ta'minlashdir.

Keling, himoya qilishning qanday usullarini ko'rib chiqaylik.

Ofis uchun men quyidagilarni ta'kidlayman:

  • dizaynga nol ishonch yondashuvi
  • yuqori darajadagi himoya
  • tarmoq ko'rinishi
  • yagona markazlashtirilgan autentifikatsiya va avtorizatsiya tizimi
  • xostni tekshirish

Keyinchalik, biz ushbu jihatlarning har biri haqida biroz batafsilroq to'xtalamiz.

Nolinchi ishonch

IT dunyosi juda tez o'zgarmoqda. So'nggi 10 yil ichida yangi texnologiyalar va mahsulotlarning paydo bo'lishi xavfsizlik tushunchalarini katta qayta ko'rib chiqishga olib keldi. O'n yil oldin, xavfsizlik nuqtai nazaridan biz tarmoqni ishonchli, dmz va ishonchsiz zonalarga ajratdik va "perimetr himoyasi" deb ataladigan narsadan foydalandik, bu erda ikkita himoya chizig'i mavjud edi: ishonchsizlik -> dmz va dmz -> ishonch. Bundan tashqari, himoya odatda L2/L3 (OSI) sarlavhalariga (IP, TCP/UDP portlari, TCP bayroqlari) asoslangan kirish ro'yxatlari bilan cheklangan. Yuqori darajalar bilan bog'liq bo'lgan barcha narsalar, shu jumladan L4, OS va oxirgi xostlarda o'rnatilgan xavfsizlik mahsulotlariga qoldirildi.

Endi vaziyat keskin o'zgardi. Zamonaviy tushuncha nol ishonch ichki tizimlarni, ya'ni perimetr ichida joylashganlarni ishonchli deb hisoblashning iloji yo'qligi va perimetr tushunchasining o'zi xiralashganligidan kelib chiqadi.
Internetga qo'shimcha ravishda bizda ham mavjud

  • masofaviy kirish VPN foydalanuvchilari
  • ofis WiFi orqali ulangan turli xil shaxsiy gadjetlar, noutbuklar olib keldi
  • boshqa (filial) idoralari
  • bulutli infratuzilma bilan integratsiya

Zero Trust yondashuvi amalda qanday ko'rinishga ega?

Ideal holda, faqat talab qilinadigan trafikga ruxsat berilishi kerak va agar biz ideal haqida gapiradigan bo'lsak, unda boshqaruv nafaqat L3 / L4 darajasida, balki dastur darajasida bo'lishi kerak.

Agar, masalan, barcha trafikni xavfsizlik devori orqali o'tkazish imkoniyati mavjud bo'lsa, unda siz idealga yaqinlashishga harakat qilishingiz mumkin. Ammo bu yondashuv sizning tarmog'ingizning umumiy o'tkazish qobiliyatini sezilarli darajada kamaytirishi mumkin va bundan tashqari, dastur bo'yicha filtrlash har doim ham yaxshi ishlamaydi.

Router yoki L3 kalitida (standart ACL-lar yordamida) trafikni boshqarishda siz boshqa muammolarga duch kelasiz:

  • Bu faqat L3/L4 filtrlash. Buzg'unchiga ruxsat etilgan portlardan (masalan, TCP 80) o'z ilovalari uchun (http emas) foydalanishiga hech narsa to'sqinlik qilmaydi.
  • murakkab ACL boshqaruvi (ACLlarni tahlil qilish qiyin)
  • Bu to'liq xavfsizlik devori emas, ya'ni siz teskari trafikga aniq ruxsat berishingiz kerak
  • Kalitlar yordamida siz odatda TCAM o'lchami bilan juda qattiq cheklangansiz, agar siz "faqat kerak bo'lgan narsaga ruxsat bering" yondashuvini qo'llasangiz, tezda muammoga aylanishi mumkin.

Eslatma:

Teskari trafik haqida gapirganda, bizda quyidagi imkoniyat borligini unutmasligimiz kerak (Cisco)

tcp har qanday o'rnatilgan ruxsat

Ammo bu chiziq ikki qatorga teng ekanligini tushunishingiz kerak:
tcp ga har qanday akka ruxsat bering
tcp har qanday birinchi ruxsat

Bu shuni anglatadiki, SYN bayrog'i bo'lgan dastlabki TCP segmenti bo'lmasa ham (ya'ni, TCP sessiyasi o'rnatilmagan bo'lsa ham), bu ACL ACK bayrog'i bilan paketga ruxsat beradi, bu tajovuzkor ma'lumotlarni uzatish uchun foydalanishi mumkin.

Ya'ni, bu chiziq hech qanday tarzda yo'riqnoma yoki L3 kalitini to'liq xavfsizlik devoriga aylantirmaydi.

Yuqori darajadagi himoya

В maqola Ma'lumotlar markazlari bo'limida biz quyidagi himoya usullarini ko'rib chiqdik.

  • davlat xavfsizlik devori (standart)
  • ddos/dos himoyasi
  • dastur xavfsizlik devori
  • tahdidlarning oldini olish (antivirus, josuslarga qarshi dastur va zaiflik)
  • URLni filtrlash
  • ma'lumotlarni filtrlash (kontentni filtrlash)
  • fayllarni bloklash (fayl turlarini bloklash)

Ofisda vaziyat o'xshash, ammo ustuvorliklar biroz boshqacha. Ofisning mavjudligi (mavjudligi) odatda ma'lumotlar markazidagi kabi muhim emas, "ichki" zararli trafik ehtimoli esa kattaroqdir.
Shunday qilib, ushbu segment uchun quyidagi himoya usullari muhim ahamiyatga ega:

  • dastur xavfsizlik devori
  • tahdidlarning oldini olish (antivirus, josuslarga qarshi dastur va zaiflik)
  • URLni filtrlash
  • ma'lumotlarni filtrlash (kontentni filtrlash)
  • fayllarni bloklash (fayl turlarini bloklash)

Garchi ushbu himoya usullarining barchasi, ilovalarni himoya qilishdan tashqari, an'anaviy ravishda oxirgi xostlarda (masalan, antivirus dasturlarini o'rnatish orqali) va proksi-serverlardan foydalangan holda hal qilingan va hal qilinmoqda, zamonaviy NGFWlar ham ushbu xizmatlarni taqdim etadi.

Xavfsizlik uskunalari sotuvchilari keng qamrovli himoya yaratishga intilishadi, shuning uchun ular mahalliy himoya bilan bir qatorda xostlar uchun turli xil bulutli texnologiyalar va mijoz dasturlarini taklif qilishadi (oxirgi nuqtani himoya qilish/EPP). Shunday qilib, masalan, dan 2018 Gartner Magic Quadrant Biz Palo Alto va Cisco o'zlarining EPPlariga ega ekanligini ko'ramiz (PA: Traps, Cisco: AMP), lekin etakchilardan uzoqdir.

Xavfsizlik devorida ushbu himoyalarni (odatda litsenziyalarni sotib olish orqali) yoqish, albatta, majburiy emas (an'anaviy yo'ldan borishingiz mumkin), lekin u ba'zi afzalliklarni beradi:

  • bu holda himoya usullarini qo'llashning yagona nuqtasi mavjud bo'lib, u ko'rinishni yaxshilaydi (keyingi mavzuga qarang).
  • Agar sizning tarmog'ingizda himoyalanmagan qurilma bo'lsa, u hali ham xavfsizlik devori himoyasi "soyaboni" ostida qoladi.
  • Xavfsizlik devori himoyasini oxirgi xost himoyasi bilan birgalikda ishlatish orqali biz zararli trafikni aniqlash ehtimolini oshiramiz. Misol uchun, mahalliy xostlar va xavfsizlik devorida tahdidlarning oldini olishdan foydalanish aniqlash ehtimolini oshiradi (albatta, bu echimlar turli xil dasturiy mahsulotlarga asoslangan bo'lsa)

Eslatma:

Agar siz, masalan, Kasperskiy-dan xavfsizlik devorida ham, oxirgi xostlarda ham antivirus sifatida foydalansangiz, bu, albatta, sizning tarmog'ingizga virus hujumining oldini olish imkoniyatingizni sezilarli darajada oshirmaydi.

Tarmoq ko'rinishi

Asosiy g'oya oddiy - tarmog'ingizda nima sodir bo'layotganini real vaqtda ham, tarixiy ma'lumotlarda ham "ko'ring".

Men ushbu "vizion" ni ikki guruhga ajratgan bo'lardim:

Birinchi guruh: monitoring tizimi odatda sizga nima beradi.

  • uskunani yuklash
  • kanallarni yuklash
  • xotiradan foydalanish
  • diskdan foydalanish
  • marshrutlash jadvalini o'zgartirish
  • havola holati
  • uskunalar (yoki xostlar) mavjudligi
  • ...

Ikkinchi guruh: xavfsizlik bilan bog'liq ma'lumotlar.

  • har xil turdagi statistika (masalan, ilova bo'yicha, URL trafigiga ko'ra, qanday turdagi ma'lumotlar yuklab olinganligi, foydalanuvchi ma'lumotlari)
  • xavfsizlik siyosati bilan nima bloklangan va nima sababdan, ya'ni
    • taqiqlangan dastur
    • IP/protokol/port/bayroqlar/zonalar asosida taqiqlangan
    • tahdidlarning oldini olish
    • url filtrlash
    • ma'lumotlarni filtrlash
    • faylni blokirovka qilish
    • ...
  • DOS/DDOS hujumlari statistikasi
  • identifikatsiya va avtorizatsiya urinishlari muvaffaqiyatsiz tugadi
  • yuqoridagi barcha xavfsizlik siyosati buzilishi holatlari statistikasi
  • ...

Xavfsizlik bo'yicha ushbu bobda biz ikkinchi qismga qiziqamiz.

Ba'zi zamonaviy xavfsizlik devorlari (mening Palo Alto tajribamdan) yaxshi ko'rinish darajasini ta'minlaydi. Lekin, albatta, sizni qiziqtirgan trafik ushbu xavfsizlik devori orqali o'tishi kerak (bu holda siz trafikni blokirovka qilish imkoniyatiga egasiz) yoki xavfsizlik devoriga aks ettirilgan (faqat monitoring va tahlil qilish uchun foydalaniladi) va sizda hamma narsani yoqish uchun litsenziyalar bo'lishi kerak. bu xizmatlar.

Albatta, muqobil yo'l, aniqrog'i an'anaviy yo'l bor, masalan,

  • Seans statistikasi netflow orqali to'planishi mumkin, so'ngra ma'lumotlarni tahlil qilish va ma'lumotlarni vizualizatsiya qilish uchun maxsus yordamchi dasturlardan foydalanish mumkin
  • tahdidlarning oldini olish - oxirgi xostlarda maxsus dasturlar (antivirus, josuslarga qarshi dastur, xavfsizlik devori).
  • URLni filtrlash, ma'lumotlarni filtrlash, fayllarni bloklash - proksi-serverda
  • tcpdump ni, masalan, yordamida tahlil qilish ham mumkin. qichqiriq

Siz ushbu ikki yondashuvni birlashtirib, etishmayotgan xususiyatlarni to'ldirishingiz yoki hujumni aniqlash ehtimolini oshirish uchun ularni takrorlashingiz mumkin.

Qaysi yondashuvni tanlash kerak?
Ko'p narsa sizning jamoangizning malakasi va afzalliklariga bog'liq.
Ham bor, ham ijobiy va salbiy tomonlari bor.

Yagona markazlashtirilgan autentifikatsiya va avtorizatsiya tizimi

Yaxshi ishlab chiqilgan bo'lsa, biz ushbu maqolada muhokama qilgan harakatchanlik siz ofisdan yoki uydan, aeroportdan, qahvaxonadan yoki boshqa joydan ishlayapsizmi (biz yuqorida muhokama qilgan cheklovlar bilan) bir xil foydalanish imkoniyatiga ega bo'lishingizni nazarda tutadi. Ko'rinib turibdiki, muammo nimada?
Ushbu vazifaning murakkabligini yaxshiroq tushunish uchun odatiy dizaynni ko'rib chiqaylik.

misol

  • Siz barcha xodimlarni guruhlarga ajratdingiz. Guruhlar boʻyicha ruxsat berishga qaror qildingiz
  • Ofis ichida siz ofis xavfsizlik devorida kirishni boshqarasiz
  • Siz ofisdan ma'lumotlar markaziga trafikni ma'lumotlar markazining xavfsizlik devorida boshqarasiz
  • Siz Cisco ASA dan VPN shlyuzi sifatida foydalanasiz va tarmoqqa masofaviy mijozlardan kiruvchi trafikni boshqarish uchun mahalliy (ASA da) ACL lardan foydalanasiz.

Aytaylik, sizdan ma'lum bir xodimga qo'shimcha kirish huquqini qo'shish so'raladi. Bunday holda, sizdan faqat unga va uning guruhidan boshqa hech kimga kirish huquqini qo'shishingiz so'raladi.

Buning uchun biz ushbu xodim uchun alohida guruh yaratishimiz kerak, ya'ni

  • ushbu xodim uchun ASA-da alohida IP-pul yarating
  • ASA-ga yangi ACL qo'shing va uni uzoq mijozga bog'lang
  • ofis va ma'lumotlar markazining xavfsizlik devorlarida yangi xavfsizlik siyosatlarini yaratish

Agar bu hodisa kamdan-kam bo'lsa yaxshi. Lekin mening amaliyotimda shunday holat bor ediki, xodimlar turli loyihalarda ishtirok etishdi va ularning ba'zilari uchun bu loyihalar to'plami tez-tez o'zgarib turdi va bu 1-2 kishi emas, balki o'nlab kishilar edi. Albatta, bu erda nimanidir o'zgartirish kerak edi.

Bu quyidagi tarzda hal qilindi.

Biz LDAP barcha mumkin bo'lgan xodimlarga kirishni aniqlaydigan yagona haqiqat manbai bo'lishiga qaror qildik. Biz kirishlar to'plamini belgilaydigan barcha turdagi guruhlarni yaratdik va har bir foydalanuvchini bir yoki bir nechta guruhlarga tayinladik.

Masalan, guruhlar bor edi deylik

  • mehmon (Internetga kirish)
  • umumiy foydalanish (umumiy resurslarga kirish: pochta, ma'lumotlar bazasi, ...)
  • Buxgalteriya
  • loyiha 1
  • loyiha 2
  • ma'lumotlar bazasi administratori
  • linux administratori
  • ...

Va agar xodimlardan biri 1-loyihada ham, 2-loyihada ham ishtirok etgan bo'lsa va unga ushbu loyihalarda ishlash uchun zarur bo'lgan kirish huquqi kerak bo'lsa, unda bu xodim quyidagi guruhlarga tayinlangan:

  • mehmon
  • umumiy kirish
  • loyiha 1
  • loyiha 2

Endi qanday qilib biz ushbu ma'lumotni tarmoq uskunasiga kirishga aylantira olamiz?

Cisco ASA Dynamic Access Policy (DAP) (qarang www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) yechim bu vazifa uchun to'g'ri.

Amalga oshirishimiz haqida qisqacha, identifikatsiya/avtorizatsiya jarayonida ASA LDAP-dan ma'lum bir foydalanuvchiga mos keladigan guruhlar to'plamini oladi va bir nechta mahalliy ACLlardan (ularning har biri guruhga to'g'ri keladi) barcha kerakli ruxsatlarga ega dinamik ACLni "yig'adi". , bu bizning istaklarimizga to'liq mos keladi.

Lekin bu faqat VPN ulanishlari uchun. Vaziyatni VPN orqali ulangan xodimlar va ofisdagilar uchun bir xil qilish uchun quyidagi qadam qo'yildi.

Ofisdan ulanishda 802.1x protokolidan foydalanuvchi foydalanuvchilar mehmon LAN (mehmonlar uchun) yoki umumiy foydalanishga ega LAN (kompaniya xodimlari uchun) bilan yakunlanadi. Bundan tashqari, maxsus ruxsat olish uchun (masalan, ma'lumotlar markazidagi loyihalarga) xodimlar VPN orqali ulanishlari kerak edi.

Ofisdan va uydan ulanish uchun ASAda turli tunnel guruhlari ishlatilgan. Bu ofisdan ulanayotganlar uchun umumiy resurslarga trafik (pochta, fayl serverlari, chiptalar tizimi, dns, ... kabi barcha xodimlar tomonidan foydalaniladi) ASA orqali emas, balki mahalliy tarmoq orqali o'tishi uchun kerak. . Shunday qilib, biz ASA ni keraksiz trafik, jumladan, yuqori intensiv trafik bilan yuklamadik.

Shunday qilib, muammo hal qilindi.
Bizda bor

  • ofis va masofaviy ulanishlar uchun bir xil kirish to'plami
  • ASA orqali yuqori intensiv trafikni uzatish bilan bog'liq ofisdan ishlashda xizmat ko'rsatishning yomonlashuvining yo'qligi

Ushbu yondashuvning yana qanday afzalliklari bor?
Kirish ma'muriyatida. Kirishlarni bir joyda osongina o'zgartirish mumkin.
Misol uchun, agar xodim kompaniyani tark etsa, siz uni LDAP-dan olib tashlaysiz va u avtomatik ravishda barcha kirish huquqini yo'qotadi.

Xost tekshiruvi

Masofaviy ulanish imkoniyati bilan biz nafaqat kompaniya xodimini, balki uning kompyuterida (masalan, uyda) mavjud bo'lgan barcha zararli dasturlarni tarmoqqa kirishga ruxsat berish xavfini tug'diramiz va bundan tashqari, ushbu dastur orqali biz proksi-server sifatida ushbu xostdan foydalanadigan tajovuzkorga bizning tarmog'imizga kirishni ta'minlayotgan bo'lishi mumkin.

Masofadan ulangan xost uchun ofis ichidagi xost bilan bir xil xavfsizlik talablarini qo'llash mantiqan.

Bu shuningdek, operatsion tizimning "to'g'ri" versiyasini, antivirus, josuslarga qarshi dastur va xavfsizlik devori dasturlari va yangilanishlarini nazarda tutadi. Odatda, bu imkoniyat VPN shlyuzida mavjud (ASA uchun, masalan, qarang: shu yerda).

Xavfsizlik siyosati ofis trafigiga nisbatan qo'llaniladigan trafik tahlili va blokirovka qilish usullarini (“Yuqori himoya darajasi”ga qarang) qo'llash ham oqilona.

Sizning ofis tarmog'ingiz endi ofis binosi va undagi xostlar bilan chegaralanib qolmaydi, deb taxmin qilish oqilona.

misol

Yaxshi texnik - masofaviy kirishni talab qiladigan har bir xodimni yaxshi, qulay noutbuk bilan ta'minlash va ulardan ofisda ham, uyda ham ishlashni talab qilishdir.

Bu nafaqat tarmog'ingiz xavfsizligini yaxshilaydi, balki u haqiqatan ham qulay va odatda xodimlar tomonidan yaxshi ko'riladi (agar u haqiqatan ham yaxshi, foydalanuvchi uchun qulay noutbuk bo'lsa).

Proportsionallik va muvozanat hissi haqida

Asosan, bu bizning uchburchakning uchinchi cho'qqisi - narx haqida suhbat.
Keling, faraziy misolni ko'rib chiqaylik.

misol

200 kishilik ofisingiz bor. Siz uni iloji boricha qulay va xavfsiz qilishga qaror qildingiz.

Shuning uchun siz barcha trafikni xavfsizlik devori orqali o'tkazishga qaror qildingiz va shuning uchun barcha ofis pastki tarmoqlari uchun xavfsizlik devori standart shlyuz hisoblanadi. Har bir so'nggi xostda o'rnatilgan xavfsizlik dasturiga qo'shimcha ravishda (antivirus, josuslarga qarshi dastur va xavfsizlik devori dasturlari), siz xavfsizlik devorida barcha mumkin bo'lgan himoya usullarini qo'llashga qaror qildingiz.

Yuqori ulanish tezligini ta'minlash uchun (barchasi qulaylik uchun) siz kirish kalitlari sifatida 10 Gigabit kirish portiga ega kalitlarni va xavfsizlik devori sifatida yuqori samarali NGFW xavfsizlik devorlarini tanladingiz, masalan, Palo Alto 7K seriyali (40 Gigabit port bilan), tabiiyki, barcha litsenziyalar bilan. kiritilgan va, tabiiyki, yuqori mavjudlik juftligi.

Bundan tashqari, albatta, ushbu turdagi uskunalar bilan ishlash uchun bizga kamida bir nechta yuqori malakali xavfsizlik muhandislari kerak.

Keyinchalik, siz har bir xodimga yaxshi noutbuk berishga qaror qildingiz.

Jami, amalga oshirish uchun taxminan 10 million dollar, muhandislar uchun yillik yordam va ish haqi uchun yuz minglab dollar (menimcha, millionga yaqin).

Ofis, 200 kishi...
Qulaymi? Balki Ha.

Rahbariyatingizga shu taklif bilan keldingiz...
Ehtimol, dunyoda bu maqbul va to'g'ri echim bo'lgan bir qator kompaniyalar mavjud. Agar siz ushbu kompaniyaning xodimi bo'lsangiz, tabriklayman, lekin ko'p hollarda sizning bilimingiz rahbariyat tomonidan qadrlanmasligiga aminman.

Bu misol bo'rttirilganmi? Keyingi bob bu savolga javob beradi.

Agar sizning tarmog'ingizda yuqoridagilardan birortasini ko'rmasangiz, unda bu norma.
Har bir aniq holat uchun siz qulaylik, narx va xavfsizlik o'rtasida o'zingizning oqilona murosani topishingiz kerak. Ko'pincha ofisingizda NGFW ham kerak emas va xavfsizlik devorida L7 himoyasi talab qilinmaydi. Yaxshi ko'rinish va ogohlantirish darajasini ta'minlash kifoya va buni, masalan, ochiq kodli mahsulotlar yordamida amalga oshirish mumkin. Ha, sizning hujumga bo'lgan munosabatingiz darhol bo'lmaydi, lekin asosiysi, siz buni ko'rasiz va sizning bo'limingizdagi to'g'ri jarayonlar bilan siz tezda uni zararsizlantirishingiz mumkin.

Va shuni eslatib o'tamanki, ushbu maqolalar seriyasining kontseptsiyasiga ko'ra, siz tarmoqni loyihalashtirmayapsiz, faqat o'zingiz ega bo'lgan narsalarni yaxshilashga harakat qilyapsiz.

Ofis arxitekturasining SAFE tahlili

Men diagrammada joy ajratgan ushbu qizil kvadratga e'tibor bering SAFE Secure Campus arxitektura qoʻllanmasiMen bu erda muhokama qilmoqchiman.

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Uchinchi qism

Bu arxitekturaning asosiy joylaridan biri va eng muhim noaniqliklardan biridir.

Eslatma:

Men hech qachon FirePower (Cisco'ning xavfsizlik devori liniyasidan - faqat ASA) o'rnatmaganman yoki u bilan ishlamaganman, shuning uchun men uni Juniper SRX yoki Palo Alto kabi boshqa xavfsizlik devori kabi ko'rib chiqaman, agar u bir xil imkoniyatlarga ega.

Oddiy dizaynlardan men ushbu ulanish bilan xavfsizlik devoridan foydalanishning faqat 4 ta mumkin bo'lgan variantini ko'raman:

  • Har bir quyi tarmoq uchun standart shlyuz kalit bo'lib, xavfsizlik devori shaffof rejimda bo'ladi (ya'ni, barcha trafik u orqali o'tadi, lekin u L3 hop hosil qilmaydi)
  • Har bir quyi tarmoq uchun standart shlyuz xavfsizlik devori sub-interfeyslari (yoki SVI interfeyslari) bo'lib, kalit L2 rolini o'ynaydi.
  • Kommutatorda turli xil VRFlar qo'llaniladi va VRFlar orasidagi trafik xavfsizlik devori orqali o'tadi, bitta VRF ichidagi trafik kalitdagi ACL tomonidan boshqariladi.
  • barcha trafik tahlil va monitoring uchun xavfsizlik devoriga aks ettiriladi; trafik u orqali o'tmaydi

Izoh 1

Ushbu variantlarning kombinatsiyasi mumkin, ammo soddaligi uchun biz ularni ko'rib chiqmaymiz.

Eslatma 2

PBR (xizmat zanjiri arxitekturasi) dan foydalanish imkoniyati ham mavjud, ammo hozircha bu, mening fikrimcha, go'zal yechim bo'lsa ham, juda ekzotik, shuning uchun men buni bu erda ko'rib chiqmayapman.

Hujjatdagi oqimlarning tavsifidan biz trafik hali ham xavfsizlik devori orqali o'tishini ko'ramiz, ya'ni Cisco dizayniga muvofiq, to'rtinchi variant yo'q qilinadi.

Keling, birinchi ikkita variantni ko'rib chiqaylik.
Ushbu parametrlar bilan barcha trafik xavfsizlik devori orqali o'tadi.

Endi qaraylik tafsilotli ro'yxat, qarang Cisco GPL va agar biz ofisimiz uchun umumiy tarmoqli kengligi kamida 10 - 20 gigabit bo'lishini istasak, 4K versiyasini sotib olishimiz kerakligini ko'ramiz.

Eslatma:

Men umumiy tarmoqli kengligi haqida gapirganda, men pastki tarmoqlar o'rtasidagi trafikni nazarda tutaman (bir vilana ichida emas).

GPL-dan biz tahdidlarga qarshi himoyaga ega HA to'plamining narxi modelga qarab (4110 - 4150) ~0,5 dan 2,5 million dollargacha o'zgarishini ko'ramiz.

Ya'ni, bizning dizaynimiz avvalgi misolga o'xshay boshlaydi.

Bu dizayn noto'g'ri ekanligini anglatadimi?
Yo'q, bu degani emas. Cisco o'zida mavjud bo'lgan mahsulot qatori asosida sizga eng yaxshi himoyani taqdim etadi. Lekin bu siz uchun albatta qilish kerak degani emas.

Aslida, bu ofis yoki ma'lumotlar markazini loyihalashda paydo bo'ladigan keng tarqalgan savol va bu faqat murosaga erishish kerakligini anglatadi.

Masalan, barcha trafikni xavfsizlik devori orqali o'tishiga yo'l qo'ymang, bu holda men uchun 3-variant juda yaxshi ko'rinadi yoki (oldingi bo'limga qarang) ehtimol sizga Threat Defense kerak emas yoki bunda xavfsizlik devori umuman kerak emas. tarmoq segmenti va siz faqat pullik (qimmat emas) yoki ochiq manba echimlaridan foydalangan holda o'zingizni passiv monitoring bilan cheklashingiz kerak, yoki sizga xavfsizlik devori kerak, lekin boshqa sotuvchidan.

Odatda bu noaniqlik har doim mavjud va qaysi qaror siz uchun eng yaxshi ekanligi haqida aniq javob yo'q.
Bu vazifaning murakkabligi va go'zalligi.

Manba: www.habr.com

a Izoh qo'shish