本文是“如何控制网络基础设施”系列的第五篇文章。 该系列所有文章内容及链接均可找到 .
这部分将专门讨论校园(办公室)和远程访问 VPN 部分。
办公室网络设计看似简单。
事实上,我们采用 L2/L3 交换机并将它们相互连接。 接下来,我们对 vilan 和默认网关进行基本设置,设置简单的路由,连接 WiFi 控制器、接入点,安装和配置 ASA 以进行远程访问,我们很高兴一切正常。 基本上,正如我在之前的一篇文章中已经写过的 在这个周期中,几乎每个参加(并学习)了两个学期电信课程的学生都可以设计和配置一个办公网络,使其“以某种方式工作”。
但你学得越多,这个任务就开始显得越不简单。 对于我个人来说,办公网络设计这个话题似乎一点也不简单,在这篇文章中我将尝试解释原因。
简而言之,有很多因素需要考虑。 这些因素常常相互冲突,必须寻求合理的折衷方案。
这种不确定性是主要的困难。 因此,谈到安全性,我们有一个具有三个顶点的三角形:安全性、员工便利性、解决方案的价格。
每次你都必须在这三者之间寻找折衷方案。
建筑
作为这两个部分的架构示例,如之前的文章所示,我推荐 型号: , .
这些文件有些过时了。 我在这里展示它们是因为基本方案和方法没有改变,但同时我比在 .
在不鼓励大家使用思科解决方案的情况下,我仍然认为仔细研究这个设计是有用的。
与往常一样,本文并不以任何方式假装完整,而是对此信息的补充。
在本文的最后,我们将根据此处概述的概念来分析思科 SAFE 办公室设计。
一般原则
当然,办公网络的设计必须满足已经讨论过的一般要求 在“评估设计质量的标准”一章中。 除了我们打算在本文中讨论的价格和安全性之外,我们在设计(或进行更改)时还必须考虑三个标准:
- 可扩展性
- 易用性(可管理性)
- 可用性
讨论的大部分内容 对于办公室来说也是如此。
但办公部分仍然有其自身的特点,从安全角度来看,这些特点至关重要。 这种特殊性的本质是,该细分市场的创建是为了向公司员工(以及合作伙伴和客人)提供网络服务,因此,从最高层面考虑问题,我们有两个任务:
- 保护公司资源免受可能来自员工(访客、合作伙伴)及其使用的软件的恶意行为。 这还包括防止未经授权的网络连接。
- 保护系统和用户数据
这只是问题的一方面(或者更确切地说,三角形的一个顶点)。 另一方面是用户便利性和所使用解决方案的价格。
让我们首先了解用户对现代办公网络的期望。
便利
在我看来,对于办公室用户来说,“网络设施”是这样的:
- 流动性
- 能够使用各种熟悉的设备和操作系统
- 轻松访问所有必要的公司资源
- 互联网资源的可用性,包括各种云服务
- 网络“快速运行”
所有这些都适用于员工和客人(或合作伙伴),公司工程师的任务是根据授权区分不同用户组的访问权限。
让我们更详细地看看每个方面。
流动性
我们谈论的是在世界任何地方(当然,在有互联网的地方)工作和使用所有必要的公司资源的机会。
这完全适用于办公室。 当您有机会在办公室的任何地方继续工作时,这很方便,例如,接收邮件、通过公司信使进行交流、进行视频通话……因此,一方面,这使您可以一方面要“实时”沟通解决一些问题(例如参加集会),另一方面要始终在线,掌握脉搏,快速解决一些紧急的高优先级任务。 这非常方便,确实提高了通信质量。
这是通过适当的 WiFi 网络设计来实现的。
备注
这里通常会出现一个问题:仅使用 WiFi 就足够了吗? 这是否意味着您可以停止在办公室使用以太网端口? 如果我们只讨论用户,而不讨论服务器,而服务器仍然可以合理地连接常规以太网端口,那么一般来说答案是:是的,您可以将自己限制为仅使用 WiFi。 但也存在细微差别。
有些重要的用户组需要单独的方法。 当然,他们是管理员。 原则上,WiFi 连接的可靠性较低(就流量丢失而言),并且速度比常规以太网端口慢。 这对于管理员来说意义重大。 此外,例如,网络管理员原则上可以拥有自己的专用以太网用于带外连接。
您公司中可能还有其他团体/部门,这些因素也很重要。
还有一个重要的点——电话。 也许由于某种原因,您不想使用无线 VoIP,而是希望使用具有常规以太网连接的 IP 电话。
一般来说,我工作的公司通常都有 WiFi 连接和以太网端口。
我希望流动性不仅仅局限于办公室。
为了确保能够在家(或任何其他可以访问互联网的地方)工作,使用了 VPN 连接。 同时,希望员工感觉不到在家工作和远程工作之间的差异,因为远程工作假设具有相同的访问权限。 我们将在稍后的“统一集中认证和授权系统”一章中讨论如何组织它。
备注
最有可能的是,您将无法完全为远程工作提供与在办公室相同质量的服务。 假设您使用 Cisco ASA 5520 作为 VPN 网关。根据 该设备只能“消化”225 Mbit 的 VPN 流量。 当然,就带宽而言,通过 VPN 连接与在办公室工作有很大不同。 此外,如果由于某种原因,网络服务的延迟、丢失、抖动(例如,您想使用办公室 IP 电话)很严重,您也将无法获得与在办公室相同的质量。 因此,在谈论移动性时,我们必须意识到可能的限制。
轻松访问公司所有资源
该任务应与其他技术部门共同解决。
理想的情况是用户只需要进行一次身份验证,之后就可以访问所有必要的资源。
在不牺牲安全性的情况下提供轻松访问可以显着提高工作效率并减轻同事的压力。
备注 1
访问的便捷性不仅仅在于您需要输入密码多少次。 比如说,如果按照你的安全策略,为了从办公室连接到数据中心,你必须先连接VPN网关,同时你就失去了对办公室资源的访问权限,那么这也是很严重的。 ,非常不方便。
备注 2
对于某些服务(例如,访问网络设备),我们通常拥有自己的专用 AAA 服务器,在这种情况下,我们必须多次进行身份验证,这是常态。
互联网资源的可用性
互联网不仅是娱乐,也是一套对工作非常有用的服务。 还有纯粹的心理因素。 现代人通过互联网通过许多虚拟线程与其他人联系,在我看来,如果他在工作时继续感受到这种联系并没有什么问题。
例如,从浪费时间的角度来看,如果一名员工运行 Skype,并在必要时花 5 分钟与亲人沟通,这并没有什么问题。
这是否意味着互联网应该始终可用,这是否意味着员工可以访问所有资源而不以任何方式控制它们?
当然,“不”并不意味着这个。 对于不同的公司来说,互联网的开放程度可能有所不同——从完全封闭到完全开放。 我们将在稍后的安全措施部分讨论控制流量的方法。
能够使用各种熟悉的设备
例如,当您有机会继续使用您在工作中习惯的所有沟通方式时,这会很方便。 这在技术上实现起来没有困难。 为此,您需要 WiFi 和访客 Wilan。
如果您有机会使用您习惯的操作系统,那也很好。 但是,根据我的观察,这通常只允许经理、管理员和开发人员使用。
例子
当然,你可以走禁止的道路,禁止远程访问,禁止从移动设备连接,限制一切静态以太网连接,限制对互联网的访问,在检查站强制没收手机和小玩意......而这条道路实际上,一些组织提出了更高的安全要求,也许在某些情况下这可能是合理的,但是......您必须同意,这看起来像是试图阻止单个组织的进步。 当然,我想将现代技术提供的机会与足够的安全级别结合起来。
网络“快速运行”
从技术上讲,数据传输速度由许多因素组成。 连接端口的速度通常不是最重要的。 应用程序运行缓慢并不总是与网络问题相关,但目前我们只对网络部分感兴趣。 本地网络“速度变慢”最常见的问题与数据包丢失有关。 当存在瓶颈或 L1 (OSI) 问题时通常会发生这种情况。 更罕见的是,在某些设计中(例如,当您的子网将防火墙作为默认网关,因此所有流量都经过它时),硬件性能可能会缺乏。
因此,在选择设备和架构时,需要将终端端口、中继的速度和设备性能联系起来。
例子
假设您使用具有 1 个千兆端口的交换机作为接入层交换机。 它们通过 Etherchannel 2 x 10 GB 相互连接。 作为默认网关,您使用具有千兆端口的防火墙,将其连接到 L2 办公网络,您使用 2 个千兆端口组合成 Etherchannel。
从功能的角度来看,这种架构非常方便,因为…… 所有流量都经过防火墙,您可以轻松地管理访问策略,并应用复杂的算法来控制流量并防止可能的攻击(见下文),但从吞吐量和性能的角度来看,这种设计当然存在潜在的问题。 因此,例如,2台下载数据的主机(端口速度为1G)可以完全加载到防火墙的2G连接,从而导致整个办公网段的服务降级。
我们已经研究了三角形的一个顶点,现在让我们看看如何确保安全。
保护手段
因此,当然,通常我们的愿望(或者更确切地说,我们管理层的愿望)是实现不可能的目标,即以最大的安全性和最小的成本提供最大的便利。
让我们看看我们有哪些方法可以提供保护。
对于办公室,我想强调以下几点:
- 零信任设计方法
- 高防护等级
- 网络可见性
- 统一集中认证授权系统
- 主机检查
接下来,我们将更详细地讨论每个方面。
零信任
IT 世界瞬息万变。 仅仅过去10年,新技术、新产品的不断涌现,引发了安全理念的重大修正。 十年前,从安全角度来看,我们将网络划分为trust、dmz和untrust区域,并使用所谓的“边界保护”,其中有两道防线:untrust -> dmz和dmz ->相信。 此外,保护通常仅限于基于 L2/L3 (OSI) 标头(IP、TCP/UDP 端口、TCP 标志)的访问列表。 与更高级别(包括 L4)相关的所有内容都留给了终端主机上安装的操作系统和安全产品。
现在情况发生了巨大的变化。 现代理念 源于这样一个事实:不再可能将内部系统(即位于边界内部的系统)视为可信的,并且边界本身的概念已变得模糊。
除了互联网连接之外,我们还拥有
- 远程访问 VPN 用户
- 各种个人小工具、自带笔记本电脑、通过办公室 WiFi 连接
- 其他(分)办事处
- 与云基础设施集成
零信任方法在实践中是什么样的?
理想情况下,只允许所需的流量,如果我们谈论的是理想情况,那么控制不仅应该在 L3/L4 级别,而且应该在应用程序级别。
例如,如果您有能力让所有流量通过防火墙,那么您可以尝试更接近理想状态。 但这种方法会显着减少网络的总带宽,而且按应用程序过滤并不总是有效。
当控制路由器或 L3 交换机上的流量(使用标准 ACL)时,您会遇到其他问题:
- 这仅是 L3/L4 过滤。 没有什么可以阻止攻击者将允许的端口(例如 TCP 80)用于其应用程序(不是 http)
- ACL管理复杂(ACL解析困难)
- 这不是全状态防火墙,这意味着您需要明确允许反向流量
- 使用交换机时,您通常会受到 TCAM 大小的严格限制,如果您采取“只允许您需要的内容”的方法,这很快就会成为一个问题
备注
说到反向流量,我们必须记住我们有以下机会(思科)
允许 TCP 任何任何已建立的
但你需要明白,这一行相当于两行:
允许 TCP 任何任何 ack
允许 TCP 任何 任何 rst这意味着即使没有带有 SYN 标志的初始 TCP 段(即 TCP 会话甚至没有开始建立),该 ACL 也会允许带有 ACK 标志的数据包,攻击者可以利用该数据包来传输数据。
也就是说,这条线决不会将您的路由器或 L3 交换机变成全状态防火墙。
高水平的保护
В 在数据中心部分,我们考虑了以下保护方法。
- 状态防火墙(默认)
- DDoS/DoS 防护
- 应用程序防火墙
- 威胁预防(防病毒、反间谍软件和漏洞)
- URL过滤
- 数据过滤(内容过滤)
- 文件阻止(文件类型阻止)
对于办公室来说,情况类似,但优先级略有不同。 办公室可用性(可用性)通常不像数据中心那样重要,而“内部”恶意流量的可能性要高出几个数量级。
因此,该细分市场的以下保护方法变得至关重要:
- 应用程序防火墙
- 威胁预防(防病毒、反间谍软件和漏洞)
- URL过滤
- 数据过滤(内容过滤)
- 文件阻止(文件类型阻止)
尽管所有这些保护方法(应用程序防火墙除外)传统上已经并将继续在终端主机上解决(例如,通过安装防病毒程序)并使用代理,但现代 NGFW 也提供这些服务。
安全设备供应商致力于创建全面的保护,因此除了本地保护之外,他们还为主机提供各种云技术和客户端软件(端点保护/EPP)。 因此,例如,从 我们看到帕洛阿尔托和思科都有自己的 EPP(PA:Traps,思科:AMP),但距离领先者还很远。
在防火墙上启用这些保护(通常通过购买许可证)当然不是强制性的(您可以采用传统途径),但它确实提供了一些好处:
- 在这种情况下,存在保护方法的单点应用,这提高了可见性(请参阅下一个主题)。
- 如果您的网络上有未受保护的设备,那么它仍然处于防火墙保护的“保护伞”之下
- 通过将防火墙保护与终端主机保护结合使用,我们增加了检测恶意流量的可能性。 例如,在本地主机和防火墙上使用威胁防御会增加检测的可能性(当然,前提是这些解决方案基于不同的软件产品)
备注
例如,如果您在防火墙和终端主机上使用卡巴斯基作为防病毒软件,那么这当然不会大大增加您防止网络病毒攻击的机会。
网络可视性
很简单 - “查看”网络上正在发生的情况,包括实时数据和历史数据。
我将这个“愿景”分为两组:
第一组: 您的监控系统通常为您提供什么。
- 设备装载
- 加载通道
- 内存使用情况
- 磁盘使用情况
- 更改路由表
- 链接状态
- 设备(或主机)的可用性
- ...
第二组: 安全相关信息。
- 各种类型的统计数据(例如,按应用程序、按 URL 流量、下载了哪些类型的数据、用户数据)
- 安全策略阻止了什么以及出于什么原因,即
- 禁止应用
- 基于 ip/协议/端口/标志/区域禁止
- 威胁预防
- 网址过滤
- 数据过滤
- 文件阻塞
- ...
- DOS/DDOS攻击统计
- 失败的识别和授权尝试
- 上述所有安全策略违规事件的统计
- ...
在关于安全的这一章中,我们对第二部分感兴趣。
一些现代防火墙(根据我在帕洛阿尔托的经验)提供了良好的可见性。 但是,当然,您感兴趣的流量必须经过此防火墙(在这种情况下您有能力阻止流量)或镜像到防火墙(仅用于监控和分析),并且您必须拥有许可证才能启用所有这些服务。
当然,还有一种替代方法,或者更确切地说是传统方法,例如,
- 可以通过 netflow 收集会话统计信息,然后使用特殊实用程序进行信息分析和数据可视化
- 威胁预防 – 终端主机上的特殊程序(防病毒、反间谍软件、防火墙)
- URL 过滤、数据过滤、文件阻止 – 在代理上
- 还可以使用例如来分析 tcpdump
您可以结合这两种方法,补充缺失的功能或复制它们,以增加检测到攻击的可能性。
您应该选择哪种方法?
很大程度上取决于您团队的资格和偏好。
两者都有优点和缺点。
统一集中认证授权系统
如果设计得当,我们在本文中讨论的移动性假设您无论在办公室还是在家、在机场、在咖啡店还是在其他任何地方工作(具有我们上面讨论的限制)都具有相同的访问权限。 如此看来,问题出在哪里呢?
为了更好地理解此任务的复杂性,让我们看一下典型的设计。
例子
- 您已将所有员工分为几组。 您已决定按组提供访问权限
- 在办公室内,您可以控制办公室防火墙上的访问
- 您可以在数据中心防火墙上控制从办公室到数据中心的流量
- 您使用 Cisco ASA 作为 VPN 网关并控制从远程客户端进入网络的流量,您使用本地(在 ASA 上)ACL
现在,假设您被要求为某个员工添加额外的访问权限。 在这种情况下,系统会要求您仅向他添加访问权限,而不向其组中的其他人添加访问权限。
为此我们必须为该员工创建一个单独的组,即
- 在 ASA 上为此员工创建单独的 IP 池
- 在 ASA 上添加新的 ACL 并将其绑定到该远程客户端
- 在办公室和数据中心防火墙上创建新的安全策略
如果这种情况很少见就好了。 但在我的实践中,有一种情况,员工参与不同的项目,其中有的人的这套项目变化比较频繁,而且不是1-2人,而是几十个人。 当然,这里需要改变一些东西。
这是通过以下方式解决的。
我们决定 LDAP 将成为确定所有可能的员工访问的唯一事实来源。 我们创建了定义访问权限集的各种组,并将每个用户分配到一个或多个组。
例如,假设有组
- 访客(上网)
- 公共访问(访问共享资源:邮件、知识库……)
- 会计
- 1项目
- 2项目
- 数据库管理员
- linux管理员
- ...
如果其中一名员工同时参与项目 1 和项目 2,并且他需要在这些项目中工作所需的访问权限,则该员工会被分配到以下组:
- 客人
- 共同访问
- 1项目
- 2项目
现在我们如何将这些信息转化为对网络设备的访问?
Cisco ASA 动态访问策略 (DAP)(请参阅 )解决方案非常适合此任务。
简单介绍一下我们的实施,在识别/授权过程中,ASA 从 LDAP 接收一组与给定用户对应的组,并从多个本地 ACL(每个 ACL 对应一个组)“收集”具有所有必要访问权限的动态 ACL ,完全符合我们的愿望。
但这仅适用于 VPN 连接。 为了使通过 VPN 连接的员工和办公室内的员工的情况相同,采取了以下步骤。
从办公室连接时,使用 802.1x 协议的用户最终会进入访客 LAN(针对访客)或共享 LAN(针对公司员工)。 此外,为了获得特定访问权限(例如,访问数据中心的项目),员工必须通过 VPN 进行连接。
为了从办公室和家里进行连接,ASA 上使用了不同的隧道组。 这是必要的,这样对于从办公室连接的人员来说,到共享资源(由所有员工使用,例如邮件、文件服务器、票证系统、DNS 等)的流量不会通过 ASA,而是通过本地网络。 因此,我们没有向 ASA 加载不必要的流量,包括高强度流量。
这样,问题就解决了。
我们得到了
- 来自办公室的连接和远程连接的访问权限相同
- 在办公室工作时不会出现与通过 ASA 传输高强度流量相关的服务降级
这种方法还有哪些其他优点?
在访问管理中。 可以在一处轻松更改访问权限。
例如,如果一名员工离开公司,那么您只需将他从 LDAP 中删除,他就会自动失去所有访问权限。
主机检查
由于远程连接的可能性,我们不仅面临着允许公司员工进入网络的风险,而且还面临着他的计算机(例如家庭)上很可能存在的所有恶意软件的风险,而且,通过该软件,我们可能会使用该主机作为代理向攻击者提供对我们网络的访问。
对于远程连接的主机来说,应用与办公室主机相同的安全要求是有意义的。
这还假设操作系统、防病毒、反间谍软件、防火墙软件和更新具有“正确”版本。 通常,此功能存在于 VPN 网关上(例如,对于 ASA,请参见: ).
应用与办公室流量相同的流量分析和阻止技术(请参阅“高级别保护”)也是明智的做法。
可以合理地假设您的办公网络不再局限于办公楼及其内的主机。
例子
一个好的技术是为每个需要远程访问的员工提供一台优质、方便的笔记本电脑,并要求他们无论在办公室还是在家都只能使用它来工作。
它不仅可以提高网络的安全性,而且非常方便,通常会受到员工的青睐(如果它是一台非常好的、用户友好的笔记本电脑)。
关于比例感和平衡感
基本上,这是关于三角形第三个顶点的对话——关于价格。
让我们看一个假设的例子。
例子
您有一间可容纳 200 人的办公室。 您决定让它尽可能方便和安全。
因此,您决定让所有流量通过防火墙,因此对于所有办公室子网,防火墙是默认网关。 除了在每个终端主机上安装的安全软件(防病毒、反间谍软件和防火墙软件)之外,您还决定在防火墙上应用所有可能的保护方法。
为了保证高连接速度(都是为了方便),您选择了10个千兆接入端口的交换机作为接入交换机,并选择了高性能的NGFW防火墙作为防火墙,例如Palo Alto 7K系列(40个千兆端口),自然带有所有许可证包括在内,当然还有高可用性对。
当然,为了使用这一系列设备,我们至少需要几个高素质的安全工程师。
接下来,您决定为每位员工提供一台好的笔记本电脑。
总计约 10 万美元用于实施,数十万美元(我认为接近一百万美元)用于年度支持和工程师工资。
办公室,200人...
舒服的? 我想是的。您将此提案提交给您的管理层......
也许世界上有许多公司认为这是可以接受的正确解决方案。 如果你是这家公司的员工,我恭喜你,但在绝大多数情况下,我确信你的知识不会得到管理层的赏识。
这个例子夸张了吗? 下一章将会回答这个问题。
如果在您的网络上没有看到上述任何内容,那么这是正常情况。
对于每种具体情况,您需要在便利性、价格和安全性之间找到自己合理的折衷方案。 通常,您的办公室甚至不需要 NGFW,并且不需要防火墙上的 L7 保护。 提供良好的可见性和警报就足够了,例如,这可以使用开源产品来完成。 是的,您对攻击的反应不会立即发生,但最重要的是您会看到它,并且通过您的部门制定正确的流程,您将能够快速消除它。
让我提醒您,根据本系列文章的概念,您不是在设计网络,您只是在尝试改进您所获得的网络。
办公建筑SAFE分析
注意这个红色方块,我用它在图表上分配了一个位置 我想在这里讨论一下。
这是建筑学的关键地方之一,也是最重要的不确定性之一。
备注
我从未设置或使用过 FirePower(来自 Cisco 的防火墙系列 - 仅 ASA),因此我会将其视为任何其他防火墙(如 Juniper SRX 或 Palo Alto),假设它具有相同的功能。
在通常的设计中,我只看到 4 种使用防火墙与此连接的可能选项:
- 每个子网的默认网关是交换机,而防火墙处于透明模式(即所有流量都经过它,但不形成 L3 跳)
- 每个子网的默认网关是防火墙子接口(或SVI接口),交换机扮演L2的角色
- 交换机上使用不同的VRF,VRF之间的流量经过防火墙,一个VRF内的流量由交换机上的ACL控制
- 所有流量都镜像到防火墙进行分析和监控;流量不经过防火墙
备注 1
这些选项的组合是可能的,但为了简单起见,我们不会考虑它们。
笔记2
还有使用 PBR(服务链架构)的可能性,但就目前而言,虽然在我看来这是一个漂亮的解决方案,但相当奇特,所以我在这里不考虑它。
从文档中对流量的描述可以看出,流量仍然经过防火墙,即按照Cisco的设计,第四种方案被取消。
我们先看看前两个选项。
使用这些选项,所有流量都会通过防火墙。
现在看 看 我们发现,如果我们希望办公室的总带宽至少在 10 - 20 GB 左右,那么我们必须购买 4K 版本。
备注
当我谈论总带宽时,我指的是子网之间的流量(而不是一个别墅内的流量)。
从 GPL 中我们可以看到,对于具有威胁防御功能的 HA 捆绑包,根据型号(4110 - 4150),价格从约 0,5 - 2,5 万美元不等。
也就是说,我们的设计开始类似于前面的例子。
这是否意味着这个设计是错误的?
不,那不是这个意思。 思科根据其拥有的产品线为您提供最佳的保护。 但这并不意味着这对您来说是必须做的。
原则上,这是设计办公室或数据中心时出现的常见问题,这只意味着需要寻求妥协。
例如,不要让所有流量都通过防火墙,在这种情况下,选项 3 对我来说似乎相当不错,或者(请参阅上一节)也许您不需要威胁防御或根本不需要防火墙网段,您只需要使用付费(不昂贵)或开源解决方案限制自己进行被动监控,或者您需要来自不同供应商的防火墙。
通常总是存在这种不确定性,并且对于哪个决定最适合您没有明确的答案。
这就是这项任务的复杂性和美妙之处。
来源: habr.com