Este artículo es el quinto de una serie de artículos titulados "Cómo tomar la infraestructura de red bajo su control". El contenido de todos los artículos de la serie y los enlaces se puede encontrar aquí .
Esta parte se centrará en la auditoría del diseño de seguridad del campus (Office) y los segmentos VPN de acceso remoto.
Puede parecer que el diseño de una red de oficinas es simple.
De hecho, tomamos interruptores L2 / L3, los conectamos juntos. A continuación, realizamos una configuración elemental de vilans, puertas de enlace predeterminadas, aumentamos el enrutamiento simple, conectamos controladores WiFi, puntos de acceso, instalamos y configuramos ASA para acceso remoto, nos alegra que todo haya funcionado. En principio, como ya escribí en uno de los
artículos anteriores
de esta serie, casi todos los estudiantes que han escuchado (y aprendido) dos semestres de un curso en TV pueden diseñar y configurar una red de oficina para "trabajar de alguna manera".
Pero cuanto más aprendes, menos elemental comienza a parecer esta tarea. Para mí personalmente, este tema, el tema del diseño de redes de oficinas, no parece en absoluto simple, y en este artículo intentaré explicar por qué.
En resumen, se deben considerar muchos factores. A menudo, estos factores están en conflicto entre sí y tienen que buscar un compromiso razonable.
Esta incertidumbre es la principal dificultad. Entonces, hablando de seguridad, tenemos un triángulo con tres vértices: seguridad, conveniencia para los empleados y el precio de la solución.
Y cada vez que tienes que encontrar un compromiso entre los tres.
Arquitectura
Como ejemplo de arquitectura para estos dos segmentos, yo, como en artículos anteriores, recomiendo el modelo
Cisco SAFE :
Enterprise Campus ,
Enterprise Internet Edge .
Estos son documentos algo anticuados. Los traigo aquí, porque en principio los esquemas y el enfoque no han cambiado, pero al mismo tiempo me gusta más la presentación que en la
nueva documentación .
Sin pedirle que utilice las soluciones de Cisco, todavía me resulta útil estudiar cuidadosamente este diseño.
Este artículo, como de costumbre, sin pretender ser de ninguna manera, es más bien una adición a esta información.
Al final del artículo, analizaremos el diseño de Cisco SAFE para la oficina en términos de los conceptos descritos aquí.
Principios generales
El diseño de una red de oficinas, por supuesto, debe satisfacer los requisitos generales que se analizan
aquí en el capítulo "Criterios de evaluación de la calidad del diseño". Además del precio y la seguridad que pretendemos discutir en este artículo, hay tres criterios más que debemos tener en cuenta al diseñar (o al hacer cambios):
- escalabilidad
- conveniencia en la gestión (manejabilidad)
- disponibilidad
Gran parte de lo que se discutió para
los centros de datos también
es cierto para la oficina.
Pero, sin embargo, el segmento de oficinas tiene su propia especificidad, que es crítica desde el punto de vista de la seguridad. La esencia de esta especificidad es que este segmento se crea para proporcionar servicios de red a los empleados (así como a socios e invitados) de la empresa y, como resultado, tenemos dos tareas al más alto nivel de consideración del problema:
- proteja los recursos de la compañía de acciones maliciosas que puedan provenir de los empleados (invitados, socios) y del software que utilizan. Esto también incluye protección contra conexiones de red no autorizadas.
- proteger sistemas y datos de usuario
Y este es solo un lado del problema (o más bien, un vértice del triángulo). Por otro lado, la comodidad del usuario y el precio de las soluciones aplicadas.
Comencemos mirando lo que el usuario espera de una red de oficina moderna.
Servicios
Así es como se ven las "comodidades de red" para un usuario de oficina en mi opinión:
- Movilidad
- La capacidad de usar la gama completa de dispositivos y sistemas operativos conocidos
- Fácil acceso a todos los recursos necesarios de la empresa.
- Disponibilidad de recursos de Internet, incluidos varios servicios en la nube.
- Red de "trabajo rápido"
Todo esto se aplica tanto a los empleados como a los invitados (o socios), y esto ya es tarea de los ingenieros de la compañía sobre la base de la autorización para diferenciar el acceso para diferentes grupos de usuarios.
Echemos un vistazo más de cerca a cada uno de estos aspectos.
Movilidad
Se trata de la capacidad de trabajar y utilizar todos los recursos necesarios de la empresa desde cualquier parte del mundo (por supuesto, donde está disponible Internet).
Esto se aplica completamente a la oficina. Esto es conveniente cuando tiene la oportunidad de continuar trabajando desde cualquier lugar de la oficina, por ejemplo, recibir correo, comunicarse en un mensajero corporativo, estar disponible para una videollamada ... Por lo tanto, esto le permite, por un lado, resolver algunos problemas a través del "live" comunicación (por ejemplo, para participar en manifestaciones) y, por otro, estar siempre en línea, mantenerse al día y resolver rápidamente algunas tareas urgentes de alta prioridad. Es muy conveniente y, de hecho, mejora la calidad de las comunicaciones.
Esto se logra mediante el diseño correcto de la red WiFi.
Observación
Esto generalmente plantea la pregunta, ¿es suficiente usar solo WiFi? ¿Esto significa que puede negarse a usar puertos Ethernet en la oficina? Si hablamos solo de usuarios, y no de servidores que, sin embargo, son sabios para conectarse con un puerto Ethernet ordinario, entonces, en general, la respuesta es: sí, puede limitarse solo a WiFi. Pero hay matices.
Hay grupos de usuarios importantes que requieren un enfoque separado. Estos son, por supuesto, administradores. En principio, una conexión WiFi es menos confiable (en términos de pérdida de tráfico) y menos rápida que un puerto Ethernet normal. Esto puede ser significativo para los administradores. Además, los administradores de red, por ejemplo, básicamente pueden tener su propia red Ethernet dedicada para conexiones fuera de banda.
Puede haber otros grupos / departamentos en su empresa para quienes estos factores también son importantes.
Hay otro punto importante: la telefonía. Quizás por alguna razón no desea usar VoIP inalámbrico y desea usar teléfonos IP con una conexión Ethernet normal.
En general, en aquellas empresas en las que trabajaba, generalmente existía la posibilidad de una conexión WiFi y un puerto Ethernet.
Desearía que la movilidad no se limitara solo a la oficina.
Para garantizar la capacidad de trabajar desde casa (o cualquier otro lugar con acceso a Internet), se utiliza una conexión VPN. Al mismo tiempo, es deseable que los empleados no sientan la diferencia entre el trabajo desde el hogar y el trabajo remoto, lo que implica la presencia de los mismos accesos. Discutiremos cómo organizar esto un poco más adelante en el capítulo "Sistema de autenticación y autorización centralizado unificado".
Observación
Lo más probable es que no pueda proporcionar la misma calidad de servicios para el trabajo remoto que tiene en la oficina. Supongamos que está utilizando un Cisco ASA 5520 como puerta de enlace VPN. Según la hoja de datos, este dispositivo puede "digerir" solo el tráfico VPN de 225 Mbps. Eso es, por supuesto, en términos de ancho de banda, una conexión VPN es muy diferente de trabajar desde una oficina. Además, si, por alguna razón, la demora, la pérdida, la inquietud (por ejemplo, si desea utilizar la telefonía IP de la oficina) para sus servicios de red son importantes, tampoco obtendrá la misma calidad que si estuviera en la oficina. Por lo tanto, cuando hablamos de movilidad, debemos tener en cuenta las posibles limitaciones.
Fácil acceso a todos los recursos de la empresa.
Esta tarea debe abordarse junto con otros departamentos técnicos.
La situación ideal es cuando el usuario necesita autenticarse solo una vez, y luego obtiene acceso a todos los recursos necesarios.
Proporcionar un acceso fácil sin comprometer la seguridad puede aumentar significativamente la eficiencia del trabajo y reducir el nivel de estrés de sus colegas.
Observación 1
La facilidad de acceso no se trata solo de cuántas veces tiene que ingresar una contraseña. Si, por ejemplo, de acuerdo con su política de seguridad, para conectarse desde la oficina al centro de datos, primero debe conectarse a la puerta de enlace VPN y, al mismo tiempo, pierde el acceso a los recursos de la oficina, entonces esto también es muy, muy inconveniente.
Observación 2
Existen servicios (por ejemplo, acceso a equipos de red) donde generalmente tenemos nuestros propios servidores AAA dedicados y esta es la norma cuando en este caso tiene que autenticarse varias veces.
Disponibilidad de recursos de Internet.
Internet no es solo entretenimiento, sino también un conjunto de servicios que pueden ser muy útiles para el trabajo. También hay factores puramente psicológicos. Una persona moderna a través de Internet a través de muchos hilos virtuales conectados con otras personas, y, en mi opinión, no hay nada de malo si continúa sintiendo esta conexión, incluso mientras trabaja.
Desde el punto de vista de perder tiempo, no hay nada de qué preocuparse si un empleado, por ejemplo, tiene Skype en ejecución, y pasará 5 minutos hablando con un ser querido si es necesario.
¿Significa esto que Internet siempre debe estar disponible, significa que los empleados pueden abrir el acceso a todos los recursos y no tener control sobre ellos?
No, claro que no. El nivel de apertura de Internet puede ser diferente para diferentes empresas, desde el cierre completo hasta la apertura total. Discutiremos formas de controlar el tráfico más adelante en las secciones sobre características de seguridad.
La capacidad de usar la gama completa de dispositivos familiares
Es conveniente cuando, por ejemplo, tiene la oportunidad de continuar utilizando todos sus medios habituales de comunicación en el trabajo. No hay ninguna dificultad técnica para implementar esto. Para hacer esto, necesita WiFi y un invitado vilan.
También es bueno si puede usar el sistema operativo al que está acostumbrado. Pero, en mi observación, por lo general, esto solo está permitido para gerentes, administradores y desarrolladores.
Ejemplo
Por supuesto, puede seguir el camino de las prohibiciones, prohibir el acceso remoto, prohibir la conexión desde dispositivos móviles, restringir todas las conexiones Ethernet estáticas, restringir el acceso a Internet, sin dejar de quitar teléfonos celulares y dispositivos en el punto de control ... y de esta manera algunas organizaciones con mayor requisitos de seguridad y, tal vez, en algunos casos, esto puede estar justificado, pero ... de acuerdo en que parece un intento de detener el progreso en una sola organización. Por supuesto, me gustaría combinar las oportunidades que ofrecen las tecnologías modernas con un nivel adecuado de seguridad.
Red de "trabajo rápido"
La tasa de transferencia de datos técnicamente consta de muchos factores. Y la velocidad de su puerto de conexión generalmente no es la más importante. No siempre el funcionamiento lento de la aplicación está relacionado con problemas de red, pero ahora solo nos interesa la parte de la red. El problema más común de "ralentizar" una red local está relacionado con la pérdida de paquetes. Esto generalmente ocurre con un efecto de cuello de botella o con problemas de L1 (OSI). Con menos frecuencia, con algunos diseños (por ejemplo, cuando un firewall actúa como la puerta de enlace predeterminada en sus subredes y, por lo tanto, todo el tráfico lo atraviesa), puede faltar el rendimiento del hardware.
Por lo tanto, al elegir equipos y arquitectura, debe correlacionar las velocidades de los puertos finales, los troncales y el rendimiento del equipo.
Ejemplo
Suponga que usa conmutadores con puertos de 1 gigabit como conmutadores de nivel de acceso. Están interconectados a través de un Etherchannel de 2 x 10 gigabits. Como puerta de enlace predeterminada, utiliza un firewall con puertos gigabit, para conectar cuál a la red L2 de la oficina utiliza 2 puertos gigabit combinados en un Etherchannel.
Esta arquitectura es bastante conveniente en términos de funcionalidad, porque todo el tráfico pasa a través del firewall, y puede administrar cómodamente las políticas de acceso y aplicar algoritmos complejos para controlar el tráfico y prevenir posibles ataques (ver más abajo), pero desde el punto de vista del ancho de banda y el rendimiento, este diseño, por supuesto, tiene problemas potenciales. Entonces, por ejemplo, 2 hosts que descargan datos (con una velocidad de puerto de 1 gigabit) pueden cargar completamente una conexión de 2 gigabit al firewall y, por lo tanto, provocar una degradación del servicio para todo el segmento de la oficina.
Observamos un vértice del triángulo, ahora veamos cómo podemos proporcionar seguridad.
Medios de protección
Entonces, por supuesto, generalmente, nuestro deseo (o más bien, el deseo de nuestro liderazgo) es lograr lo imposible, es decir, proporcionar la máxima comodidad con la máxima seguridad y el precio mínimo.
Veamos qué métodos tenemos para proporcionar protección.
Para la oficina, destacaría lo siguiente:
- enfoque de diseño de confianza cero
- alto nivel de protección
- visibilidad de red
- Sistema único de autenticación y autorización centralizada
- comprobación de host
A continuación, nos detenemos en más detalles sobre cada uno de estos aspectos.
Cero confianza
El mundo de TI está cambiando muy rápido. Literalmente, en los últimos 10 años, la llegada de nuevas tecnologías y productos ha llevado a una revisión importante de los conceptos de seguridad. Hace diez años, desde un punto de vista de seguridad, segmentamos la red en zonas de confianza, dmz y desconfianza, y se aplicó la llamada "defensa perimetral", donde había 2 líneas de defensa: desconfianza -> dmz y dmz -> confianza. Además, la protección generalmente se limitaba a las listas de acceso basadas en encabezados L3 / L4 (OSI) (IP, puertos TCP / UDP, banderas TCP). Todo lo relacionado con los niveles superiores, incluido L7, se dejó al sistema operativo y a los productos de protección instalados en los hosts finales.
Ahora la situación ha cambiado dramáticamente. El concepto moderno de
confianza cero procede del hecho de que ya no es posible considerar los sistemas internos, es decir, los sistemas dentro del perímetro de confianza, y el concepto mismo del perímetro se ha vuelto borroso.
Además de la conexión a internet, también tenemos
- usuarios de VPN de acceso remoto
- varios dispositivos personales traídos por computadoras portátiles conectadas a través de WiFi de la oficina
- otras oficinas (sucursales)
- integración con infraestructura en la nube
¿Cómo se ve el enfoque de confianza cero en la práctica?
Idealmente, solo se debe permitir el tráfico requerido, y si estamos hablando del ideal, entonces el control no debe ser solo en el nivel L3 / L4, sino en el nivel de aplicación.
Si, por ejemplo, tiene la oportunidad de pasar todo el tráfico a través del firewall, puede intentar acercarse al ideal. Pero este enfoque puede reducir significativamente el ancho de banda total de su red y, además, el filtrado por aplicación no siempre funciona bien.
Al monitorear el tráfico en un enrutador o conmutador L3 (usando ACL estándar), se encuentran con otros problemas:
- esto es solo filtrado L3 / L4. Nada impide que un atacante use puertos permitidos (por ejemplo, TCP 80) para su aplicación (no http)
- gestión compleja de ACL (difícil de analizar ACL)
- este no es un firewall con estado, es decir, debe permitir explícitamente el tráfico inverso
- en el caso de los interruptores, generalmente está bastante limitado por el tamaño de TCAM, que si usa el enfoque "permitir solo lo que necesita" puede convertirse rápidamente en un problema
Observación
Hablando de tráfico inverso, debemos recordar que tenemos la próxima oportunidad (Cisco)
permitir tcp cualquier establecido
Pero debes entender que esta línea es equivalente a dos líneas:
permitir tcp cualquier ack
permitir tcp cualquier primer
Lo que significa que incluso si no hubiera un segmento TCP original con un indicador SYN (es decir, la sesión TCP ni siquiera comenzó a establecerse), esta ACL omitirá el paquete con el indicador ACK, que el atacante podría usar para transmitir datos.
Es decir, esta línea de ninguna manera convierte su enrutador o conmutador L3 en un firewall con estado.
Alto nivel de protección
En el
artículo en la sección dedicada a los centros de datos, consideramos los siguientes métodos de protección.
- firewall con estado (predeterminado)
- protección ddos / dos
- cortafuegos de aplicaciones
- prevención de amenazas (antivirus, anti-spyware y vulnerabilidad)
- Filtrado de URL
- filtrado de datos (filtrado de contenido)
- bloqueo de archivos (bloqueo de tipos de archivos)
En el caso de la oficina, la situación es similar, pero las prioridades son ligeramente diferentes. La accesibilidad a la oficina (disponibilidad) generalmente no es tan crítica como en el caso de un centro de datos, mientras que la probabilidad de tráfico malicioso "interno" es de mayor magnitud.
Por lo tanto, los siguientes métodos de protección para este segmento se vuelven críticos:
- cortafuegos de aplicaciones
- prevención de amenazas (antivirus, antispyware y vulnerabilidad)
- Filtrado de URL
- filtrado de datos (filtrado de contenido)
- bloqueo de archivos (bloqueo de tipos de archivos)
Aunque todos estos métodos de protección, con la excepción del firewall de aplicaciones, se han resuelto tradicionalmente y continúan resolviéndose en los hosts finales (por ejemplo, mediante la instalación de programas antivirus) y el uso de servidores proxy, los NGFW modernos también proporcionan estos servicios.
Los proveedores de equipos de seguridad se esfuerzan por crear una protección integral, por lo tanto, junto con la protección en la caja local, se ofrecen varias tecnologías de nube y software de cliente para hosts (protección de punto final / EPP). Por ejemplo, desde el
Cuadrante Mágico de Gartner para 2018, vemos que Palo Alto y Cisco tienen sus propios EPP (PA: Traps, Cisco: AMP), pero están lejos de ser líderes.
La inclusión de estas protecciones (generalmente mediante la compra de licencias) en el firewall, por supuesto, no es obligatoria (puede seguir el camino tradicional), pero ofrece algunas ventajas:
- en este caso, aparece un único punto de aplicación de métodos de protección, que mejora la visibilidad (vea el siguiente tema).
- Si su red tiene un dispositivo desprotegido, entonces todavía queda bajo el "paraguas" de la protección de firewall
- Al utilizar la protección en el firewall junto con la protección en los hosts finales, aumentamos la probabilidad de detectar tráfico malicioso. Por ejemplo, el uso de la prevención de amenazas en hosts locales y en un firewall aumenta la probabilidad de detección (siempre y cuando, por supuesto, estas soluciones se basen en diferentes productos de software)
Información
Si, por ejemplo, usa Kaspersky como antivirus tanto en el firewall como en los hosts finales, esto, por supuesto, no aumentará en gran medida sus posibilidades de prevenir un ataque de virus en su red.
Visibilidad de la red
La idea básica es simple: "ver" lo que está sucediendo en su red, tanto en tiempo real como en datos históricos.Dividiría esta "visión" en dos grupos:Grupo uno: lo que generalmente le proporciona su sistema de monitoreo.- carga de equipos
- canales de carga
- uso de memoria
- uso de disco
- cambiar la tabla de enrutamiento
- estado de enlace
- disponibilidad de equipos (o hosts)
- ...
Grupo dos: Información relacionada con la seguridad.- varios tipos de estadísticas (por ejemplo, por aplicación, por URL de tráfico, qué tipos de datos se descargaron, datos de los usuarios)
- qué fue bloqueado por las políticas de seguridad y por qué motivo, a saber
- aplicación prohibida
- prohibido basado en ip / protocolo / puerto / banderas / zonas
- prevención de amenazas
- filtrado de url
- filtrado de datos
- bloqueo de archivos
- ...
- estadísticas sobre ataques DOS / DDOS
- intentos fallidos de autenticación y autorización
- estadísticas sobre todas las violaciones de la política de seguridad anteriores
- ...
, , .
( Palo Alto) visibility. , , , ( ) ( ), , .
, , , , ,
- netflow
- threat prevention – (anti-virus, anti-spyware, firewall)
- Filtrado de URL, filtrado de datos, bloqueo de archivos - en proxy
- También puede analizar tcpdump con, por ejemplo, snort
Puede combinar estos dos enfoques, complementando las características faltantes o duplicándolas para aumentar la probabilidad de detección de ataques.¿Qué enfoque elegir?Depende de las calificaciones y preferencias de su equipo.Tanto allí como hay pros y contras.Sistema centralizado de autenticación y autorización unificado
, , , , , , , ( , ). , ?
, .
- .
- - -
- VPN Cisco ASA , , ( ASA) ACL
, , . .
,
- ASA IP
- ACL ASA
- security policy -
, . , , , 1 -2 , . , - .
.
, , LDAP. , .
, , ,
- guest ( )
- common access ( : , , …)
- accounting
- project 1
- project 2
- data base administrator
- linux administrator
- ...
- , 1, 2, , :
- guest
- common access
- project 1
- project 2
?
Cisco ASA Dynamic Access Policy (DAP) (. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html ) .
, / ASA LDAP , «» ACL ( ) ACL , .
VPN . , VPN, .
, 802.1x ( ), ( ). , (, -) VPN.
ASA. , ( , , , , dns, ...) ASA, . , ASA , .
, .
?
. , .
, , LDAP, .
(host checking)
, , (, ), , , , , .
, , , , .
«» , anti-virus, anti-spyware, firewall software . , VPN ( ASA , ,
).
También es razonable aplicar los mismos métodos de análisis y bloqueo de tráfico (consulte "Alto nivel de protección"), que, de acuerdo con su política de seguridad, se aplica al tráfico de oficina.Es razonable suponer que la red de su oficina ahora no está limitada al edificio de oficinas y los hosts ubicados en él.Ejemplo
Una buena recepción es equipar a cada empleado que necesita acceso remoto con una computadora portátil buena y conveniente y exigirles que trabajen en la oficina y en el hogar solo de él.
Esto no solo aumenta el nivel de seguridad de su red, sino que también es realmente conveniente y generalmente percibido positivamente por los empleados (si es una computadora portátil realmente buena y conveniente).
Sobre un sentido de proporción y equilibrio
En principio, esta es una conversación sobre el tercer pico de nuestro triángulo, sobre el precio.Veamos un ejemplo hipotético.
200 . .
. security , (anti-virus, anti-spyware, and firewall software), .
( ) 10- , — NGFW , , Palo Alto 7K (c 40 ), , , High Availability .
, , security .
, .
, 10 , ( ) .
, 200 …
? , .
…
, - , . — , , , .
? .
, - , .
, . NGFW , L7 . visibility , open source , . , , , , .
, , , , , .
SAFE
,
SAFE Secure Campus Architecture Guide , .
.
FirePower ( Cisco — ASA), , , , Juniper SRX Palo Alto, , .
4 :
- , transparent ( , L3 )
- - ( SVI ), L2
- VRF, VRF , VRF ACL
- ,
1
, .
2
PBR ( service chain), , , , .
, , , Cisco .
.
.
data sheet ,
Cisco GPL , 10 — 20 , 4K .
( ).
De la GPL vemos que para el paquete HA con defensa contra amenazas, el precio según el modelo (4110 - 4150) varía de ~ 0.5 - 2.5 millones de dólares.
Es decir, nuestro diseño comienza a parecerse al ejemplo anterior.
¿Esto significa que este diseño está mal?
No, no lo hace. Cisco le brinda la mejor protección posible según la línea de productos que tiene. Pero esto no significa que sea un "mast-do" para usted.
En principio, esta es una pregunta común que surge en el diseño de una oficina o centro de datos, y esto solo significa que se debe buscar un compromiso.
Por ejemplo, no dejo que todo el tráfico pase a través del firewall, y en este caso la tercera opción me parece bastante agradable, o (vea la sección anterior), probablemente no necesite Threat Defense o no necesite un firewall en este segmento de red, y todo lo que tiene que hacer es el monitoreo pasivo utilizando soluciones pagas (no caras) o de código abierto, o necesita un firewall, pero otro proveedor.
Por lo general, siempre existe esta incertidumbre y no hay una respuesta única sobre cuál es la mejor solución para usted.
Esta es la complejidad y belleza de esta tarea.