Prohoster > Blog > quản lý > Cách kiểm soát cơ sở hạ tầng mạng của bạn. Chương ba. An ninh mạng. Một phần ba

Cách kiểm soát cơ sở hạ tầng mạng của bạn. Chương ba. An ninh mạng. Một phần ba

Bài viết này là bài thứ năm trong loạt bài “Cách kiểm soát cơ sở hạ tầng mạng của bạn”. Nội dung của tất cả các bài viết trong chuỗi và các liên kết có thể được tìm thấy đây.

Phần này sẽ được dành cho các phân đoạn VPN khuôn viên (Văn phòng) & Truy cập từ xa.

Cách kiểm soát cơ sở hạ tầng mạng của bạn. Chương ba. An ninh mạng. Một phần ba

Thiết kế mạng văn phòng có vẻ dễ dàng.

Thật vậy, chúng tôi lấy các công tắc L2/L3 và kết nối chúng với nhau. Tiếp theo, chúng tôi tiến hành thiết lập cơ bản các vilan và cổng mặc định, thiết lập định tuyến đơn giản, kết nối bộ điều khiển WiFi, điểm truy cập, cài đặt và định cấu hình ASA để truy cập từ xa, chúng tôi rất vui vì mọi thứ đều hoạt động. Về cơ bản, như tôi đã viết ở một trong những phần trước Điều của chu trình này, hầu hết mọi sinh viên đã tham dự (và học) hai học kỳ của khóa học viễn thông đều có thể thiết kế và định cấu hình mạng văn phòng để nó “hoạt động theo cách nào đó”.

Nhưng bạn càng học nhiều thì nhiệm vụ này càng trở nên ít đơn giản hơn. Đối với cá nhân tôi, chủ đề này, chủ đề thiết kế mạng văn phòng, có vẻ không hề đơn giản chút nào, và trong bài viết này tôi sẽ cố gắng giải thích lý do.

Tóm lại, có khá nhiều yếu tố cần xem xét. Thông thường những yếu tố này xung đột với nhau và cần phải tìm kiếm sự thỏa hiệp hợp lý.
Sự không chắc chắn này là khó khăn chính. Vì vậy, nói về bảo mật, chúng ta có một tam giác có ba đỉnh: bảo mật, tiện lợi cho nhân viên, giá thành của giải pháp.
Và mỗi khi bạn phải tìm kiếm sự thỏa hiệp giữa ba điều này.

kiến trúc

Để làm ví dụ về kiến ​​trúc cho hai phân đoạn này, như trong các bài viết trước, tôi khuyên bạn nên Cisco AN TOÀN người mẫu: Khuôn viên doanh nghiệp, Internet Edge doanh nghiệp.

Đây là những tài liệu hơi lỗi thời. Tôi trình bày chúng ở đây vì các sơ đồ và cách tiếp cận cơ bản không thay đổi, nhưng đồng thời tôi thích cách trình bày hơn ở đây. tài liệu mới.

Không khuyến khích bạn sử dụng các giải pháp của Cisco, tôi vẫn nghĩ rằng việc nghiên cứu kỹ thiết kế này sẽ rất hữu ích.

Bài viết này, như thường lệ, không hề giả vờ đầy đủ mà chỉ là một phần bổ sung cho thông tin này.

Ở cuối bài viết, chúng tôi sẽ phân tích thiết kế văn phòng Cisco SAFE theo các khái niệm được nêu ở đây.

Nguyên tắc chung

Tất nhiên, việc thiết kế mạng văn phòng phải đáp ứng được những yêu cầu chung đã được bàn luận. đây trong chương “Tiêu chí đánh giá chất lượng thiết kế”. Ngoài giá cả và độ an toàn mà chúng tôi dự định thảo luận trong bài viết này, vẫn còn ba tiêu chí mà chúng tôi phải xem xét khi thiết kế (hoặc thực hiện thay đổi):

  • khả năng mở rộng
  • dễ sử dụng (khả năng quản lý)
  • khả dụng

Phần lớn những gì đã được thảo luận các trung tâm dữ liệu Điều này cũng đúng với văn phòng.

Tuy nhiên, phân khúc văn phòng vẫn có những đặc điểm riêng, rất quan trọng từ quan điểm bảo mật. Bản chất của đặc thù này là phân khúc này được tạo ra để cung cấp các dịch vụ mạng cho nhân viên (cũng như đối tác và khách) của công ty, và do đó, ở mức độ xem xét vấn đề cao nhất, chúng tôi có hai nhiệm vụ:

  • bảo vệ tài nguyên của công ty khỏi các hành động độc hại có thể đến từ nhân viên (khách, đối tác) và từ phần mềm họ sử dụng. Điều này cũng bao gồm bảo vệ chống lại kết nối trái phép vào mạng.
  • bảo vệ hệ thống và dữ liệu người dùng

Và đây chỉ là một cạnh của bài toán (hay nói đúng hơn là một đỉnh của tam giác). Mặt khác là sự thuận tiện cho người dùng và giá cả của các giải pháp được sử dụng.

Hãy bắt đầu bằng cách xem xét những gì người dùng mong đợi từ mạng văn phòng hiện đại.

Tiện nghi

Theo quan điểm của tôi, đây là “tiện ích mạng” trông như thế nào đối với người dùng văn phòng:

  • Vận động
  • Khả năng sử dụng đầy đủ các thiết bị và hệ điều hành quen thuộc
  • Dễ dàng truy cập vào tất cả các tài nguyên cần thiết của công ty
  • Sự sẵn có của tài nguyên Internet, bao gồm các dịch vụ đám mây khác nhau
  • “Vận hành nhanh” của mạng

Tất cả điều này áp dụng cho cả nhân viên và khách (hoặc đối tác) và nhiệm vụ của các kỹ sư của công ty là phân biệt quyền truy cập cho các nhóm người dùng khác nhau dựa trên ủy quyền.

Chúng ta hãy xem xét từng khía cạnh này chi tiết hơn một chút.

Vận động

Chúng ta đang nói về cơ hội làm việc và sử dụng tất cả các nguồn lực cần thiết của công ty từ mọi nơi trên thế giới (tất nhiên là ở nơi có Internet).

Điều này hoàn toàn áp dụng cho văn phòng. Điều này thuận tiện khi bạn có cơ hội tiếp tục làm việc từ bất kỳ đâu trong văn phòng, chẳng hạn như nhận thư, liên lạc qua tin nhắn của công ty, sẵn sàng thực hiện cuộc gọi điện video, ... Do đó, một mặt, điều này cho phép bạn, để giải quyết một số vấn đề liên lạc “trực tiếp” (ví dụ: tham gia các cuộc biểu tình), mặt khác, luôn trực tuyến, luôn theo dõi nhịp đập và nhanh chóng giải quyết một số nhiệm vụ khẩn cấp có mức độ ưu tiên cao. Điều này rất thuận tiện và thực sự cải thiện chất lượng liên lạc.

Điều này đạt được bằng cách thiết kế mạng WiFi thích hợp.

Ghi chú:

Ở đây câu hỏi thường được đặt ra: chỉ sử dụng WiFi có đủ không? Điều này có nghĩa là bạn có thể ngừng sử dụng cổng Ethernet trong văn phòng phải không? Nếu chúng ta chỉ nói về người dùng chứ không phải về máy chủ vẫn hợp lý để kết nối với cổng Ethernet thông thường, thì nói chung câu trả lời là: có, bạn chỉ có thể giới hạn bản thân ở WiFi. Nhưng có những sắc thái.

Có những nhóm người dùng quan trọng cần có cách tiếp cận riêng. Tất nhiên, đây là những quản trị viên. Về nguyên tắc, kết nối WiFi kém tin cậy hơn (về mặt mất lưu lượng) và chậm hơn cổng Ethernet thông thường. Điều này có thể có ý nghĩa quan trọng đối với các quản trị viên. Ngoài ra, về nguyên tắc, quản trị viên mạng có thể có mạng Ethernet chuyên dụng của riêng họ cho các kết nối ngoài băng tần.

Có thể có các nhóm/phòng ban khác trong công ty của bạn mà những yếu tố này cũng rất quan trọng.

Có một điểm quan trọng khác - điện thoại. Có lẽ vì lý do nào đó mà bạn không muốn sử dụng VoIP không dây và muốn sử dụng điện thoại IP có kết nối Ethernet thông thường.

Nhìn chung, các công ty tôi làm việc thường có cả kết nối WiFi và cổng Ethernet.

Tôi muốn khả năng di chuyển không chỉ giới hạn ở văn phòng.

Để đảm bảo khả năng làm việc tại nhà (hoặc bất kỳ nơi nào khác có Internet có thể truy cập), kết nối VPN sẽ được sử dụng. Đồng thời, điều mong muốn là nhân viên không cảm thấy sự khác biệt giữa làm việc tại nhà và làm việc từ xa, vốn có cùng quyền truy cập. Chúng ta sẽ thảo luận về cách tổ chức việc này sau trong chương “Hệ thống ủy quyền và xác thực tập trung thống nhất”.

Ghi chú:

Rất có thể, bạn sẽ không thể cung cấp đầy đủ chất lượng dịch vụ làm việc từ xa như bạn có tại văn phòng. Giả sử rằng bạn đang sử dụng Cisco ASA 5520 làm cổng VPN. bảng dữliệu thiết bị này chỉ có khả năng “tiêu hóa” 225 Mbit lưu lượng VPN. Tất nhiên, đó là về mặt băng thông, kết nối qua VPN rất khác so với làm việc tại văn phòng. Ngoài ra, nếu vì lý do nào đó, độ trễ, mất dữ liệu, jitter (ví dụ: bạn muốn sử dụng điện thoại IP văn phòng) cho các dịch vụ mạng của mình là đáng kể, bạn cũng sẽ không nhận được chất lượng như khi bạn đang ở văn phòng. Vì vậy, khi nói về tính di động, chúng ta phải nhận thức được những hạn chế có thể xảy ra.

Dễ dàng truy cập vào tất cả các tài nguyên của công ty

Nhiệm vụ này cần được giải quyết chung với các bộ phận kỹ thuật khác.
Tình huống lý tưởng là khi người dùng chỉ cần xác thực một lần và sau đó anh ta có quyền truy cập vào tất cả các tài nguyên cần thiết.
Cung cấp khả năng truy cập dễ dàng mà không ảnh hưởng đến tính bảo mật có thể cải thiện đáng kể năng suất và giảm căng thẳng giữa các đồng nghiệp của bạn.

Nhận xét 1

Khả năng truy cập dễ dàng không chỉ ở việc bạn phải nhập mật khẩu bao nhiêu lần. Ví dụ: nếu theo chính sách bảo mật của bạn, để kết nối từ văn phòng đến trung tâm dữ liệu, trước tiên bạn phải kết nối với cổng VPN, đồng thời bạn mất quyền truy cập vào tài nguyên văn phòng, thì điều này cũng rất nghiêm trọng. , rất bất tiện.

Nhận xét 2

Có những dịch vụ (ví dụ: truy cập vào thiết bị mạng) mà chúng tôi thường có máy chủ AAA chuyên dụng của riêng mình và đây là tiêu chuẩn khi trong trường hợp này chúng tôi phải xác thực nhiều lần.

Sự sẵn có của tài nguyên Internet

Internet không chỉ mang tính giải trí mà còn là tập hợp các dịch vụ có thể rất hữu ích cho công việc. Ngoài ra còn có yếu tố tâm lý thuần túy. Một người hiện đại được kết nối với những người khác qua Internet thông qua nhiều luồng ảo, và theo tôi, không có gì sai nếu anh ta tiếp tục cảm nhận được sự kết nối này ngay cả khi đang làm việc.

Từ quan điểm lãng phí thời gian, chẳng hạn, không có gì sai nếu một nhân viên chạy Skype và dành 5 phút để liên lạc với người thân nếu cần thiết.

Điều này có nghĩa là Internet phải luôn sẵn có, điều này có nghĩa là nhân viên có thể truy cập vào tất cả các tài nguyên và không thể kiểm soát chúng bằng bất kỳ cách nào?

Không, tất nhiên không có nghĩa như vậy. Mức độ mở của Internet có thể khác nhau đối với các công ty khác nhau - từ đóng cửa hoàn toàn đến mở hoàn toàn. Chúng ta sẽ thảo luận về các cách kiểm soát giao thông sau trong phần về các biện pháp an ninh.

Khả năng sử dụng đầy đủ các thiết bị quen thuộc

Chẳng hạn, thật thuận tiện khi bạn có cơ hội tiếp tục sử dụng tất cả các phương tiện giao tiếp mà bạn quen thuộc tại nơi làm việc. Không có khó khăn trong việc thực hiện điều này về mặt kỹ thuật. Đối với điều này, bạn cần WiFi và một wilan khách.

Cũng tốt nếu bạn có cơ hội sử dụng hệ điều hành quen thuộc. Tuy nhiên, theo quan sát của tôi, điều này thường chỉ được phép đối với người quản lý, quản trị viên và nhà phát triển.

Ví dụ

Tất nhiên, bạn có thể đi theo con đường cấm, cấm truy cập từ xa, cấm kết nối từ thiết bị di động, giới hạn mọi thứ ở kết nối Ethernet tĩnh, hạn chế truy cập Internet, bắt buộc tịch thu điện thoại di động và các thiết bị tại trạm kiểm soát... và con đường này thực tế được một số tổ chức làm theo với yêu cầu bảo mật cao hơn và có lẽ trong một số trường hợp, điều này có thể hợp lý, nhưng... bạn phải đồng ý rằng điều này trông giống như một nỗ lực nhằm ngăn chặn tiến trình trong một tổ chức. Tất nhiên, tôi muốn kết hợp những cơ hội mà công nghệ hiện đại mang lại với mức độ bảo mật vừa đủ.

“Vận hành nhanh” của mạng

Tốc độ truyền dữ liệu về mặt kỹ thuật bao gồm nhiều yếu tố. Và tốc độ cổng kết nối của bạn thường không phải là điều quan trọng nhất. Việc một ứng dụng hoạt động chậm không phải lúc nào cũng liên quan đến sự cố mạng mà hiện tại chúng ta chỉ quan tâm đến phần mạng. Vấn đề phổ biến nhất khiến mạng cục bộ "chậm" có liên quan đến mất gói. Điều này thường xảy ra khi có tắc nghẽn hoặc sự cố L1 (OSI). Hiếm hơn, với một số thiết kế (ví dụ: khi mạng con của bạn có tường lửa làm cổng mặc định và do đó tất cả lưu lượng truy cập đều đi qua nó), hiệu suất phần cứng có thể bị thiếu.

Vì vậy, khi lựa chọn thiết bị và kiến ​​trúc, bạn cần phải tương quan giữa tốc độ của các cổng cuối, đường trục và hiệu suất của thiết bị.

Ví dụ

Giả sử bạn đang sử dụng các bộ chuyển mạch có cổng 1 gigabit làm bộ chuyển mạch lớp truy cập. Chúng được kết nối với nhau thông qua Etherchannel 2 x 10 gigabit. Là cổng mặc định, bạn sử dụng tường lửa có cổng gigabit, để kết nối mạng này với mạng văn phòng L2 bạn sử dụng 2 cổng gigabit kết hợp thành một Etherchannel.

Kiến trúc này khá thuận tiện từ quan điểm chức năng, bởi vì... Tất cả lưu lượng truy cập đều đi qua tường lửa và bạn có thể thoải mái quản lý các chính sách truy cập cũng như áp dụng các thuật toán phức tạp để kiểm soát lưu lượng và ngăn chặn các cuộc tấn công có thể xảy ra (xem bên dưới), nhưng tất nhiên, từ quan điểm thông lượng và hiệu suất, thiết kế này có những vấn đề tiềm ẩn. Vì vậy, ví dụ, 2 máy chủ tải xuống dữ liệu (với tốc độ cổng 1 gigabit) có thể tải hoàn toàn kết nối 2 gigabit vào tường lửa và do đó dẫn đến suy thoái dịch vụ cho toàn bộ phân khúc văn phòng.

Chúng ta đã xem xét một đỉnh của tam giác, bây giờ hãy xem cách chúng ta có thể đảm bảo an ninh.

Biện pháp khắc phục

Vì vậy, tất nhiên, thông thường mong muốn của chúng tôi (hay đúng hơn là mong muốn của ban quản lý) là đạt được điều không thể, cụ thể là mang lại sự thuận tiện tối đa với mức độ bảo mật tối đa và chi phí tối thiểu.

Hãy xem chúng tôi có những phương pháp nào để cung cấp sự bảo vệ.

Đối với văn phòng, tôi sẽ nhấn mạnh những điều sau:

  • phương pháp tiếp cận không tin cậy trong thiết kế
  • mức độ bảo vệ cao
  • khả năng hiển thị mạng
  • thống nhất hệ thống xác thực và ủy quyền tập trung
  • kiểm tra máy chủ

Tiếp theo, chúng ta sẽ đi sâu hơn một chút về từng khía cạnh này.

Không tin tưởng

Thế giới CNTT đang thay đổi rất nhanh chóng. Chỉ hơn 10 năm qua, sự xuất hiện của các công nghệ và sản phẩm mới đã dẫn đến sự thay đổi lớn về các khái niệm bảo mật. Mười năm trước, từ quan điểm bảo mật, chúng tôi đã phân chia mạng thành các vùng tin cậy, dmz và không tin cậy, đồng thời sử dụng cái gọi là “bảo vệ chu vi”, trong đó có 2 tuyến phòng thủ: không tin cậy -> dmz và dmz -> lòng tin. Ngoài ra, việc bảo vệ thường bị giới hạn ở danh sách truy cập dựa trên các tiêu đề L3/L4 (OSI) (cổng IP, TCP/UDP, cờ TCP). Mọi thứ liên quan đến cấp độ cao hơn, bao gồm cả L7, đều được giao cho hệ điều hành và các sản phẩm bảo mật được cài đặt trên máy chủ cuối.

Bây giờ tình hình đã thay đổi đáng kể. Khái niệm hiện đại không tin tưởng xuất phát từ thực tế là không còn có thể coi các hệ thống bên trong, tức là những hệ thống nằm bên trong chu vi, là đáng tin cậy, và bản thân khái niệm về chu vi đã trở nên mờ nhạt.
Ngoài kết nối internet chúng tôi còn có

  • người dùng VPN truy cập từ xa
  • đồ dùng cá nhân đa dạng, mang theo laptop, kết nối qua WiFi văn phòng
  • văn phòng (chi nhánh) khác
  • tích hợp với cơ sở hạ tầng đám mây

Cách tiếp cận Zero Trust trông như thế nào trong thực tế?

Lý tưởng nhất là chỉ cho phép lưu lượng truy cập được yêu cầu và nếu chúng ta đang nói về lý tưởng thì việc kiểm soát không chỉ ở cấp độ L3/L4 mà còn ở cấp độ ứng dụng.

Ví dụ: nếu bạn có khả năng chuyển tất cả lưu lượng truy cập qua tường lửa, thì bạn có thể cố gắng tiến gần hơn đến lý tưởng. Nhưng cách tiếp cận này có thể làm giảm đáng kể tổng băng thông mạng của bạn và bên cạnh đó, việc lọc theo ứng dụng không phải lúc nào cũng hoạt động tốt.

Khi kiểm soát lưu lượng trên bộ định tuyến hoặc bộ chuyển mạch L3 (sử dụng ACL tiêu chuẩn), bạn gặp phải các vấn đề khác:

  • Đây chỉ là bộ lọc L3/L4. Không có gì ngăn cản kẻ tấn công sử dụng các cổng được phép (ví dụ: TCP 80) cho ứng dụng của chúng (không phải http)
  • quản lý ACL phức tạp (khó phân tích ACL)
  • Đây không phải là tường lửa đầy đủ trạng thái, nghĩa là bạn cần cho phép lưu lượng truy cập ngược một cách rõ ràng
  • với các thiết bị chuyển mạch, bạn thường bị giới hạn khá chặt chẽ bởi kích thước của TCAM, điều này có thể nhanh chóng trở thành vấn đề nếu bạn thực hiện phương pháp "chỉ cho phép những gì bạn cần"

Ghi chú:

Nói về lưu lượng truy cập ngược, chúng ta phải nhớ rằng chúng ta có cơ hội sau (Cisco)

cho phép tcp bất kỳ thiết lập nào

Nhưng bạn cần hiểu rằng dòng này tương đương với hai dòng:
cho phép tcp bất kỳ ack nào
cho phép tcp bất kỳ lần đầu tiên

Điều đó có nghĩa là ngay cả khi không có phân đoạn TCP ban đầu có cờ SYN (nghĩa là phiên TCP thậm chí chưa bắt đầu thiết lập), ACL này sẽ cho phép một gói có cờ ACK mà kẻ tấn công có thể sử dụng để truyền dữ liệu.

Nghĩa là, dòng này không hề biến bộ định tuyến hoặc bộ chuyển mạch L3 của bạn thành một tường lửa có trạng thái đầy đủ.

Mức độ bảo vệ cao

В Bài viết Trong phần về trung tâm dữ liệu, chúng tôi đã xem xét các phương pháp bảo vệ sau.

  • tường lửa trạng thái (mặc định)
  • bảo vệ ddos/dos
  • tường lửa ứng dụng
  • ngăn chặn mối đe dọa (chống vi-rút, chống phần mềm gián điệp và lỗ hổng)
  • Lọc URL
  • lọc dữ liệu (lọc nội dung)
  • chặn tập tin (chặn loại tập tin)

Trong trường hợp của một văn phòng, tình hình cũng tương tự, nhưng mức độ ưu tiên hơi khác một chút. Tính khả dụng của văn phòng (tính khả dụng) thường không quan trọng như trong trường hợp của một trung tâm dữ liệu, trong khi khả năng lưu lượng truy cập độc hại “nội bộ” cao hơn nhiều.
Do đó, các phương pháp bảo vệ sau đây cho phân khúc này trở nên quan trọng:

  • tường lửa ứng dụng
  • phòng chống mối đe dọa (chống vi-rút, chống phần mềm gián điệp và lỗ hổng)
  • Lọc URL
  • lọc dữ liệu (lọc nội dung)
  • chặn tập tin (chặn loại tập tin)

Mặc dù tất cả các phương pháp bảo vệ này, ngoại trừ tường lửa ứng dụng, theo truyền thống đã và đang tiếp tục được giải quyết trên máy chủ cuối (ví dụ: bằng cách cài đặt chương trình chống vi-rút) và sử dụng proxy, NGFW hiện đại cũng cung cấp các dịch vụ này.

Các nhà cung cấp thiết bị bảo mật cố gắng tạo ra sự bảo vệ toàn diện, do đó, cùng với bảo vệ cục bộ, họ cung cấp nhiều công nghệ đám mây và phần mềm máy khách khác nhau cho máy chủ (bảo vệ điểm cuối/EPP). Vì vậy, ví dụ, từ Báo cáo Gartner Magic Quadrant 2018 Chúng tôi thấy rằng Palo Alto và Cisco có EPP riêng (PA: Traps, Cisco: AMP), nhưng vẫn chưa dẫn đầu.

Tất nhiên, việc kích hoạt các biện pháp bảo vệ này (thường bằng cách mua giấy phép) trên tường lửa của bạn là không bắt buộc (bạn có thể đi theo con đường truyền thống), nhưng nó mang lại một số lợi ích:

  • trong trường hợp này, chỉ có một điểm áp dụng các phương pháp bảo vệ giúp cải thiện khả năng hiển thị (xem chủ đề tiếp theo).
  • Nếu có một thiết bị không được bảo vệ trên mạng của bạn thì thiết bị đó vẫn nằm trong “chiếc ô” bảo vệ tường lửa
  • Bằng cách sử dụng tính năng bảo vệ bằng tường lửa kết hợp với tính năng bảo vệ máy chủ cuối, chúng tôi tăng khả năng phát hiện lưu lượng truy cập độc hại. Ví dụ: sử dụng tính năng ngăn chặn mối đe dọa trên máy chủ cục bộ và trên tường lửa sẽ tăng khả năng bị phát hiện (tất nhiên với điều kiện là các giải pháp này dựa trên các sản phẩm phần mềm khác nhau)

Ghi chú:

Ví dụ: nếu bạn sử dụng Kaspersky làm phần mềm chống vi-rút cả trên tường lửa và máy chủ cuối, thì điều này tất nhiên sẽ không làm tăng đáng kể cơ hội ngăn chặn vi-rút tấn công vào mạng của bạn.

Khả năng hiển thị mạng

ý tưởng trung tâm rất đơn giản - “xem” những gì đang xảy ra trên mạng của bạn, cả theo thời gian thực và dữ liệu lịch sử.

Tôi sẽ chia “tầm nhìn” này thành hai nhóm:

Nhóm một: những gì hệ thống giám sát của bạn thường cung cấp cho bạn.

  • tải thiết bị
  • tải kênh
  • sử dụng bộ nhớ
  • sử dụng đĩa
  • thay đổi bảng định tuyến
  • trạng thái liên kết
  • sự sẵn có của thiết bị (hoặc máy chủ)
  • ...

Nhóm hai: thông tin liên quan đến an toàn.

  • nhiều loại thống kê khác nhau (ví dụ: theo ứng dụng, theo lưu lượng truy cập URL, loại dữ liệu nào đã được tải xuống, dữ liệu người dùng)
  • những gì đã bị chặn bởi các chính sách bảo mật và vì lý do gì, cụ thể là
    • ứng dụng bị cấm
    • bị cấm dựa trên ip/giao thức/cổng/cờ/vùng
    • phòng chống mối đe dọa
    • lọc url
    • lọc dữ liệu
    • chặn tập tin
    • ...
  • thống kê về các cuộc tấn công DOS/DDOS
  • nỗ lực nhận dạng và ủy quyền không thành công
  • thống kê cho tất cả các sự kiện vi phạm chính sách bảo mật ở trên
  • ...

Trong chương về bảo mật này, chúng ta quan tâm đến phần thứ hai.

Một số tường lửa hiện đại (theo kinh nghiệm ở Palo Alto của tôi) cung cấp mức độ hiển thị tốt. Tuy nhiên, tất nhiên, lưu lượng truy cập mà bạn quan tâm phải đi qua tường lửa này (trong trường hợp đó bạn có khả năng chặn lưu lượng truy cập) hoặc được phản chiếu tới tường lửa (chỉ được sử dụng để theo dõi và phân tích) và bạn phải có giấy phép để kích hoạt tất cả những dịch vụ này.

Tất nhiên, có một cách khác, hay đúng hơn là cách truyền thống, chẳng hạn như

  • Số liệu thống kê phiên có thể được thu thập thông qua netflow và sau đó sử dụng các tiện ích đặc biệt để phân tích thông tin và trực quan hóa dữ liệu
  • phòng chống mối đe dọa – các chương trình đặc biệt (chống vi-rút, chống phần mềm gián điệp, tường lửa) trên máy chủ cuối
  • Lọc URL, lọc dữ liệu, chặn tệp – trên proxy
  • cũng có thể phân tích tcpdump bằng cách sử dụng ví dụ: thở mạnh ra

Bạn có thể kết hợp hai cách tiếp cận này, bổ sung các tính năng còn thiếu hoặc sao chép chúng để tăng khả năng phát hiện một cuộc tấn công.

Bạn nên chọn cách tiếp cận nào?
Phụ thuộc nhiều vào trình độ và sở thích của nhóm bạn.
Cả có và có đều có ưu và nhược điểm.

Hệ thống xác thực và ủy quyền tập trung thống nhất

Khi được thiết kế tốt, tính di động mà chúng ta đã thảo luận trong bài viết này giả định rằng bạn có cùng quyền truy cập cho dù bạn đang làm việc ở văn phòng hay ở nhà, từ sân bay, quán cà phê hay bất kỳ nơi nào khác (với những hạn chế mà chúng tôi đã thảo luận ở trên). Có vẻ như, vấn đề là gì?
Để hiểu rõ hơn về độ phức tạp của nhiệm vụ này, chúng ta hãy xem xét một thiết kế điển hình.

Ví dụ

  • Bạn đã chia tất cả nhân viên thành các nhóm. Bạn đã quyết định cấp quyền truy cập theo nhóm
  • Trong văn phòng, bạn kiểm soát truy cập trên tường lửa văn phòng
  • Bạn kiểm soát lưu lượng từ văn phòng đến trung tâm dữ liệu trên tường lửa của trung tâm dữ liệu
  • Bạn sử dụng Cisco ASA làm cổng VPN và để kiểm soát lưu lượng truy cập vào mạng của bạn từ các máy khách từ xa, bạn sử dụng ACL cục bộ (trên ASA)

Bây giờ, giả sử bạn được yêu cầu thêm quyền truy cập bổ sung cho một nhân viên nhất định. Trong trường hợp này, bạn được yêu cầu chỉ thêm quyền truy cập cho anh ấy chứ không ai khác trong nhóm của anh ấy.

Để làm được điều này, chúng ta phải tạo một nhóm riêng cho nhân viên này, đó là

  • tạo một nhóm IP riêng trên ASA cho nhân viên này
  • thêm ACL mới trên ASA và liên kết nó với máy khách từ xa đó
  • tạo chính sách bảo mật mới trên tường lửa văn phòng và trung tâm dữ liệu

Thật tốt nếu sự kiện này hiếm. Nhưng trong thực tế của tôi, có một tình huống khi nhân viên tham gia vào các dự án khác nhau và nhóm dự án này đối với một số người trong số họ thay đổi khá thường xuyên, không phải 1-2 người mà là hàng chục người. Tất nhiên, cần phải thay đổi điều gì đó ở đây.

Điều này đã được giải quyết theo cách sau.

Chúng tôi đã quyết định rằng LDAP sẽ là nguồn thông tin xác thực duy nhất xác định tất cả các quyền truy cập có thể có của nhân viên. Chúng tôi đã tạo tất cả các loại nhóm xác định các nhóm quyền truy cập và chúng tôi đã chỉ định mỗi người dùng vào một hoặc nhiều nhóm.

Vì vậy, ví dụ, giả sử có những nhóm

  • khách (truy cập Internet)
  • truy cập chung (truy cập vào các tài nguyên được chia sẻ: thư, cơ sở tri thức, ...)
  • kế toán
  • dự án 1
  • dự án 2
  • quản trị cơ sở dữ liệu
  • quản trị viên linux
  • ...

Và nếu một trong các nhân viên tham gia vào cả dự án 1 và dự án 2, và anh ta cần quyền truy cập cần thiết để làm việc trong các dự án này, thì nhân viên này sẽ được phân vào các nhóm sau:

  • khách sạn
  • truy cập chung
  • dự án 1
  • dự án 2

Làm thế nào bây giờ chúng ta có thể biến thông tin này thành quyền truy cập trên thiết bị mạng?

Chính sách truy cập động (DAP) của Cisco ASA (xem www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-thế hệ-firewalls/108000-dap-deploy-guide.html) giải pháp phù hợp cho nhiệm vụ này.

Tóm tắt về cách triển khai của chúng tôi, trong quá trình nhận dạng/ủy quyền, ASA nhận từ LDAP một tập hợp các nhóm tương ứng với một người dùng nhất định và “thu thập” từ một số ACL cục bộ (mỗi ACL tương ứng với một nhóm) một ACL động với tất cả các quyền truy cập cần thiết , hoàn toàn đáp ứng mong muốn của chúng tôi.

Nhưng điều này chỉ dành cho kết nối VPN. Để tạo tình huống giống nhau cho cả nhân viên được kết nối qua VPN và những người trong văn phòng, bước sau đã được thực hiện.

Khi kết nối từ văn phòng, người dùng sử dụng giao thức 802.1x sẽ kết thúc ở mạng LAN khách (dành cho khách) hoặc mạng LAN dùng chung (dành cho nhân viên công ty). Hơn nữa, để có được quyền truy cập cụ thể (ví dụ: vào các dự án trong trung tâm dữ liệu), nhân viên phải kết nối qua VPN.

Để kết nối từ văn phòng và từ nhà, các nhóm đường hầm khác nhau đã được sử dụng trên ASA. Điều này là cần thiết để đối với những người kết nối từ văn phòng, lưu lượng truy cập đến các tài nguyên dùng chung (được sử dụng bởi tất cả nhân viên, chẳng hạn như thư, máy chủ tệp, hệ thống vé, dns, ...) không đi qua ASA mà qua mạng cục bộ . Do đó, chúng tôi đã không tải ASA với lưu lượng truy cập không cần thiết, bao gồm cả lưu lượng truy cập cường độ cao.

Như vậy, vấn đề đã được giải quyết.
Chúng tôi có

  • cùng một bộ quyền truy cập cho cả kết nối từ văn phòng và kết nối từ xa
  • không có tình trạng suy giảm dịch vụ khi làm việc tại văn phòng liên quan đến việc truyền lưu lượng truy cập cường độ cao qua ASA

Ưu điểm nào khác của phương pháp này?
Trong quản trị truy cập. Quyền truy cập có thể dễ dàng thay đổi ở một nơi.
Ví dụ: nếu một nhân viên rời khỏi công ty, bạn chỉ cần xóa anh ta khỏi LDAP và anh ta sẽ tự động mất tất cả quyền truy cập.

Kiểm tra máy chủ

Với khả năng kết nối từ xa, chúng tôi có nguy cơ cho phép không chỉ nhân viên công ty truy cập mạng mà còn tất cả phần mềm độc hại rất có thể có trên máy tính của anh ta (ví dụ: ở nhà) và hơn thế nữa, thông qua phần mềm này, chúng tôi có thể đang cung cấp quyền truy cập vào mạng của chúng tôi cho kẻ tấn công sử dụng máy chủ này làm proxy.

Việc máy chủ được kết nối từ xa áp dụng các yêu cầu bảo mật giống như máy chủ tại văn phòng là điều hợp lý.

Điều này cũng giả định phiên bản “chính xác” của hệ điều hành, phần mềm chống vi-rút, chống phần mềm gián điệp, tường lửa và các bản cập nhật. Thông thường, khả năng này tồn tại trên cổng VPN (ví dụ: đối với ASA, hãy xem đây).

Bạn cũng nên áp dụng các kỹ thuật chặn và phân tích lưu lượng truy cập tương tự (xem “Mức độ bảo vệ cao”) mà chính sách bảo mật của bạn áp dụng cho lưu lượng truy cập văn phòng.

Thật hợp lý khi cho rằng mạng văn phòng của bạn không còn bị giới hạn ở tòa nhà văn phòng và các máy chủ bên trong nó.

Ví dụ

Một kỹ thuật tốt là cung cấp cho mỗi nhân viên cần truy cập từ xa một chiếc máy tính xách tay tốt, tiện lợi và yêu cầu họ làm việc, cả ở văn phòng và ở nhà, chỉ từ nó.

Nó không chỉ cải thiện tính bảo mật cho mạng của bạn mà còn thực sự tiện lợi và thường được nhân viên đánh giá cao (nếu đó là một chiếc máy tính xách tay thực sự tốt, thân thiện với người dùng).

Về cảm giác cân đối và cân bằng

Về cơ bản, đây là cuộc trò chuyện về đỉnh thứ ba trong tam giác của chúng ta - về giá cả.
Hãy xem xét một ví dụ giả định.

Ví dụ

Bạn có một văn phòng cho 200 người. Bạn quyết định làm cho nó thuận tiện và an toàn nhất có thể.

Do đó, bạn đã quyết định chuyển tất cả lưu lượng truy cập qua tường lửa và do đó đối với tất cả các mạng con văn phòng, tường lửa là cổng mặc định. Ngoài phần mềm bảo mật được cài đặt trên mỗi máy chủ cuối (phần mềm chống vi-rút, chống phần mềm gián điệp và tường lửa), bạn cũng quyết định áp dụng tất cả các phương pháp bảo vệ có thể có trên tường lửa.

Để đảm bảo tốc độ kết nối cao (tất cả chỉ để thuận tiện), bạn đã chọn các bộ chuyển mạch có cổng truy cập 10 Gigabit làm bộ chuyển mạch truy cập và tường lửa NGFW hiệu suất cao làm tường lửa, chẳng hạn như dòng Palo Alto 7K (với 40 cổng Gigabit), tất nhiên với tất cả các giấy phép bao gồm và tất nhiên là một cặp Tính sẵn sàng cao.

Ngoài ra, tất nhiên, để làm việc với dòng thiết bị này, chúng tôi cần ít nhất một vài kỹ sư bảo mật có trình độ cao.

Tiếp theo, bạn quyết định tặng mỗi nhân viên một chiếc laptop tốt.

Tổng cộng, khoảng 10 triệu đô la để thực hiện, hàng trăm nghìn đô la (tôi nghĩ là gần một triệu đô la) để hỗ trợ hàng năm và trả lương cho các kỹ sư.

Văn phòng, 200 người...
Thoải mái? Tôi đoán là có.

Bạn đưa đề xuất này tới ban quản lý của mình...
Có lẽ trên thế giới có một số công ty cho rằng đây là giải pháp đúng đắn và có thể chấp nhận được. Nếu bạn là nhân viên của công ty này thì xin chúc mừng tôi, nhưng trong đại đa số trường hợp, tôi chắc chắn rằng kiến ​​thức của bạn sẽ không được ban lãnh đạo đánh giá cao.

Ví dụ này có phóng đại không? Chương tiếp theo sẽ trả lời câu hỏi này.

Nếu trên mạng của bạn, bạn không thấy bất kỳ điều nào ở trên thì đây là tiêu chuẩn.
Với từng trường hợp cụ thể, bạn cần tìm cho mình sự dung hòa hợp lý giữa sự thuận tiện, giá cả và sự an toàn. Thường thì bạn thậm chí không cần NGFW trong văn phòng của mình và không cần phải có bảo vệ L7 trên tường lửa. Chỉ cần cung cấp mức độ hiển thị và cảnh báo tốt là đủ và điều này có thể được thực hiện bằng cách sử dụng các sản phẩm nguồn mở chẳng hạn. Đúng, phản ứng của bạn trước một cuộc tấn công sẽ không ngay lập tức, nhưng điều quan trọng là bạn sẽ nhìn thấy nó và với các quy trình phù hợp được áp dụng trong bộ phận của mình, bạn sẽ có thể nhanh chóng vô hiệu hóa nó.

Và hãy để tôi nhắc bạn rằng, theo khái niệm của loạt bài viết này, bạn không thiết kế một mạng lưới, bạn chỉ đang cố gắng cải thiện những gì bạn có.

Phân tích AN TOÀN kiến ​​trúc văn phòng

Hãy chú ý đến hình vuông màu đỏ này mà tôi đã chỉ định một vị trí trên sơ đồ từ Hướng dẫn Kiến trúc Khuôn viên An toàn AN TOÀNmà tôi muốn thảo luận ở đây.

Cách kiểm soát cơ sở hạ tầng mạng của bạn. Chương ba. An ninh mạng. Một phần ba

Đây là một trong những vị trí quan trọng của kiến ​​trúc và là một trong những điều không chắc chắn quan trọng nhất.

Ghi chú:

Tôi chưa bao giờ thiết lập hoặc làm việc với FirePower (từ dòng tường lửa của Cisco - chỉ ASA), vì vậy tôi sẽ coi nó giống như bất kỳ tường lửa nào khác, như Juniper SRX hoặc Palo Alto, giả sử nó có các khả năng tương tự.

Trong số các thiết kế thông thường, tôi chỉ thấy 4 tùy chọn khả thi để sử dụng tường lửa với kết nối này:

  • cổng mặc định cho mỗi mạng con là một công tắc, trong khi tường lửa ở chế độ trong suốt (nghĩa là tất cả lưu lượng truy cập đều đi qua nó, nhưng nó không tạo thành bước nhảy L3)
  • cổng mặc định cho mỗi mạng con là các giao diện phụ tường lửa (hoặc giao diện SVI), switch đóng vai trò L2
  • các VRF khác nhau được sử dụng trên bộ chuyển mạch và lưu lượng giữa các VRF đi qua tường lửa, lưu lượng trong một VRF được điều khiển bởi ACL trên bộ chuyển mạch
  • tất cả lưu lượng truy cập được phản chiếu tới tường lửa để phân tích và giám sát lưu lượng truy cập không đi qua nó;

Nhận xét 1

Có thể kết hợp các tùy chọn này, nhưng để đơn giản, chúng tôi sẽ không xem xét chúng.

Lưu ý 2

Ngoài ra còn có khả năng sử dụng PBR (kiến trúc chuỗi dịch vụ), nhưng hiện tại, giải pháp này, mặc dù theo quan điểm của tôi là một giải pháp hay, nhưng lại khá kỳ lạ, vì vậy tôi không xem xét nó ở đây.

Từ mô tả các luồng trong tài liệu, chúng ta thấy rằng lưu lượng vẫn đi qua tường lửa, tức là theo thiết kế của Cisco, tùy chọn thứ tư đã bị loại bỏ.

Trước tiên hãy xem xét hai lựa chọn đầu tiên.
Với các tùy chọn này, tất cả lưu lượng truy cập đều đi qua tường lửa.

Bây giờ chúng ta nhìn bảng dữliệu, nhìn Cisco GPL và chúng tôi thấy rằng nếu muốn tổng băng thông cho văn phòng của mình ít nhất khoảng 10 - 20 gigabit thì chúng tôi phải mua phiên bản 4K.

Ghi chú:

Khi tôi nói về tổng băng thông, ý tôi là lưu lượng truy cập giữa các mạng con (và không phải trong một vilana).

Từ GPL, chúng tôi thấy rằng đối với Gói HA có Phòng chống mối đe dọa, giá tùy thuộc vào kiểu máy (4110 - 4150) dao động từ ~ 0,5 - 2,5 triệu đô la.

Nghĩa là, thiết kế của chúng tôi bắt đầu giống với ví dụ trước.

Điều này có nghĩa là thiết kế này sai?
Không, điều đó không có nghĩa là vậy. Cisco cung cấp cho bạn sự bảo vệ tốt nhất có thể dựa trên dòng sản phẩm mà Cisco có. Nhưng điều đó không có nghĩa đó là việc phải làm đối với bạn.

Về nguyên tắc, đây là một câu hỏi thường gặp khi thiết kế một văn phòng hoặc trung tâm dữ liệu và nó chỉ có nghĩa là cần phải tìm kiếm sự thỏa hiệp.

Ví dụ: không để tất cả lưu lượng truy cập đi qua tường lửa, trong trường hợp đó, tùy chọn 3 có vẻ khá tốt đối với tôi hoặc (xem phần trước) có thể bạn không cần Phòng chống mối đe dọa hoặc hoàn toàn không cần tường lửa trên đó phân khúc mạng và bạn chỉ cần giới hạn bản thân ở việc giám sát thụ động bằng cách sử dụng các giải pháp trả phí (không đắt tiền) hoặc nguồn mở hoặc bạn cần tường lửa nhưng từ một nhà cung cấp khác.

Thông thường luôn có sự không chắc chắn này và không có câu trả lời rõ ràng về việc quyết định nào là tốt nhất cho bạn.
Đây là sự phức tạp và vẻ đẹp của nhiệm vụ này.

Nguồn: www.habr.com

Thêm một lời nhận xét