Geekly articles weekly

كيفية السيطرة على البنية التحتية للشبكة الخاصة بك. الفصل الثالث أمن الشبكة. الجزء الأول

هذه المقالة هي الثالثة في سلسلة من المقالات بعنوان "كيفية اتخاذ البنية التحتية للشبكة تحت سيطرتك". يمكن العثور على محتويات جميع المقالات في السلسلة والروابط هنا .

الصورة

لا معنى للتحدث عن الإزالة الكاملة للمخاطر الأمنية. من حيث المبدأ ، لا يمكننا تقليلها إلى الصفر. تحتاج أيضًا إلى فهم أنه بينما نسعى جاهدين لجعل الشبكة أكثر أمانًا وأكثر ، تصبح حلولنا أكثر تكلفة. تحتاج إلى إيجاد حل وسط معقول لشبكتك بين السعر والتعقيد والأمان.

بطبيعة الحال ، تم دمج تصميم الأمان عضويا في الهيكل العام والحلول الأمنية المستخدمة تؤثر على قابلية التوسع والموثوقية وسهولة الإدارة ، ... البنية التحتية للشبكة ، والتي ينبغي أيضا أن تؤخذ في الاعتبار.

لكنني أذكرك الآن أننا لا نتحدث عن إنشاء شبكة. وفقًا لشروطنا الأولية ، اخترنا بالفعل تصميمًا ، ومعدات مختارة ، وأنشأنا بنية تحتية ، وفي هذه المرحلة ، ينبغي لنا ، إن أمكن ، "العيش" وإيجاد حلول في سياق النهج الذي تم اختياره مسبقًا.

مهمتنا الآن هي تحديد المخاطر المرتبطة بالأمان على مستوى الشبكة وتقليلها إلى قيمة معقولة.

تدقيق أمان الشبكة


إذا كانت مؤسستك قد نفذت عمليات ISO 27k ، فيجب دمج عمليات تدقيق الأمان وتغييرات الشبكة بشكل أساسي في العمليات الكلية كجزء من هذا النهج. ولكن لا تزال هذه المعايير لا تتعلق بالحلول المحددة ، وليس التكوين ، وليس التصميم ... لا توجد نصائح محددة ، ولا توجد معايير تملي بالتفصيل ما يجب أن تكون عليه شبكتك ، وهذا هو تعقيد وجمال هذه المهمة.

أود تسليط الضوء على العديد من عمليات تدقيق أمان الشبكة المحتملة:

  • تدقيق تكوين المعدات (تصلب)
  • تصميم التدقيق الأمني
  • مراجعة الحسابات
  • مراجعة الحسابات

تدقيق تكوين الأجهزة (تصلب)


في معظم الحالات ، يبدو أن هذا هو أفضل نقطة بداية لتدقيق وتحسين أمان شبكتك. IMHO ، هذا عرض جيد لقانون باريتو (20 ٪ من الجهد يعطي 80 ٪ من النتيجة ، والنسبة 80 ٪ المتبقية من الجهد هي 20 ٪ فقط من النتيجة).

خلاصة القول هي أن لدينا عادة توصيات من البائعين بشأن "أفضل الممارسات" بشأن السلامة عند تكوين المعدات. وهذا ما يسمى تصلب.

يمكنك أيضًا في كثير من الأحيان العثور على استبيان (أو تكوينه بنفسك) استنادًا إلى هذه التوصيات ، مما سيساعدك على تحديد كيفية تطابق تكوين جهازك مع "أفضل الممارسات" وإجراء تغييرات على شبكتك وفقًا للنتيجة. سيسمح لك ذلك بالحد من مخاطر الأمان بشكل كبير تقريبًا دون أي تكلفة تقريبًا.
بعض الأمثلة لبعض أنظمة تشغيل Cisco.

سيسكو تكوين IOS تصلب
Cisco IOS-XR تصلب التكوين
Cisco NX-OS تصلب التكوين
قائمة التحقق من أمان Cisco Baseline

بناءً على هذه المستندات ، يمكن إنشاء قائمة بمتطلبات التكوين لكل نوع من المعدات. على سبيل المثال ، بالنسبة إلى Cisco N7K VDC ، قد تبدو هذه المتطلبات هكذا.

وبالتالي ، يمكن إنشاء ملفات التكوين لأنواع مختلفة من المعدات النشطة للبنية التحتية للشبكة الخاصة بك. علاوة على ذلك ، يدويًا أو باستخدام التشغيل الآلي ، يمكنك "تحميل" ملفات التكوين هذه. ستتم مناقشة كيفية أتمتة هذه العملية بالتفصيل في سلسلة أخرى من المقالات حول التنسيق والأتمتة.

تصميم التدقيق الأمني


عادةً ما تحتوي شبكة المؤسسة بشكل أو بآخر على الأجزاء التالية:

  • DC (الخدمات العامة DMZ ومركز بيانات إنترانت)
  • الوصول إلى الإنترنت
  • VPN الوصول عن بعد
  • وان حافة
  • فرع
  • الحرم الجامعي (مكتب)
  • الأساسية

الأسماء مأخوذة من نموذج Cisco SAFE ، لكن ليس من الضروري ، بالطبع ، ربط هذه الأسماء بهذا النموذج. لا يزال ، أريد أن أتحدث عن الجوهر وليس عندي في الإجراءات.

لكل جزء من هذه القطاعات ، سوف تختلف متطلبات مستوى الأمان والمخاطر ، وبالتالي ، القرارات.

سننظر في كل منها على حدة للمشاكل التي قد تواجهها من حيث تصميم الأمان. بالطبع ، أكرر مرة أخرى أن هذه المقالة لا تدعي أنها كاملة بأي حال من الأحوال ، وهذا ليس من السهل تحقيقه في هذا الموضوع العميق والمتعدد الأوجه (إن أمكن) ، ولكنه يعكس تجربتي الشخصية.

لا يوجد حل مثالي (على الأقل حتى الآن). هو دائما حل وسط. ولكن من المهم أن يتم اتخاذ قرار تطبيق هذا أو ذاك بوعي ، مع فهم كل من إيجابيات وسلبيات.

مركز البيانات


الجزء الأمني ​​الأكثر أهمية.
وكالعادة ، لا يوجد أيضًا حل عالمي. كل هذا يتوقف على متطلبات الشبكة.

هل جدار الحماية ضروري أم لا؟


يبدو أن الجواب واضح ، لكن كل شيء ليس واضحًا تمامًا كما قد يبدو. وقد تتأثر اختيارك ليس فقط من خلال السعر .
مثال 1. التأخير.

إذا كان الكمون المنخفض بين بعض أجزاء الشبكة شرطًا أساسيًا ، وهذا صحيح ، على سبيل المثال ، في حالة التبادل ، فلن نتمكن من استخدام جدران الحماية بين هذه القطاعات. من الصعب العثور على دراسات حول التأخيرات في جدران الحماية ، لكن فقط عدد قليل من نماذج المحولات يمكنها توفير تأخير أقل من أو حوالي mksec ، لذلك أعتقد أنه إذا كانت ميكروثانية مهمة بالنسبة لك ، فإن جدران الحماية ليست لك.
مثال 2. الأداء.

عادةً ما يكون عرض النطاق الترددي لمفاتيح التبديل L3 العليا أعلى من عرض النطاق الترددي لجدران الحماية الأكثر إنتاجية. لذلك ، في حالة حركة المرور عالية الكثافة ، من المحتمل أيضًا أن تسمح لحركة المرور هذه بتجاوز جدران الحماية.

مثال 3. الموثوقية.

تعتبر جدران الحماية ، وخاصة NGFW الحديثة (الجيل التالي من FW) من الأجهزة المعقدة. فهي أكثر تعقيدًا بكثير من مفاتيح L3 / L2. إنها توفر عددًا كبيرًا من الخدمات وخيارات التكوين ، لذلك ليس من المستغرب أن تكون موثوقيتها أقل كثيرًا. إذا كانت استمرارية الخدمة ضرورية للشبكة ، فقد تضطر إلى اختيار ما سيؤدي إلى توفر أفضل - أمان جدار الحماية أو بساطة شبكة مبنية على مفاتيح (أو أنواع مختلفة من المصانع) باستخدام قوائم ACL عادية.
في حالة الأمثلة المذكورة أعلاه ، من المرجح أنك (كالعادة) يجب عليك إيجاد حل وسط. نتطلع نحو الحلول التالية:

  • إذا قررت عدم استخدام جدران الحماية داخل مركز البيانات ، فعليك التفكير في كيفية تقييد الوصول إلى المحيط قدر الإمكان. على سبيل المثال ، يمكنك فتح المنافذ الضرورية فقط من الإنترنت (لحركة مرور العميل) والوصول الإداري إلى مركز البيانات فقط من مضيفي الانتقال. على مضيفي القفز ، قم بإجراء جميع الاختبارات اللازمة (المصادقة / التخويل ، ومكافحة الفيروسات ، وقطع الأشجار ، ...)
  • يمكنك استخدام التقسيم المنطقي لشبكة مركز البيانات إلى شرائح ، على غرار المخطط الموضح في مثال PSEFABRIC p002 . في الوقت نفسه ، يجب تكوين التوجيه بحيث تنتقل حركة المرور الحساسة للتأخيرات أو حركة المرور عالية الكثافة "داخل" قطعة واحدة (في حالة p002 ، VRF-a) ولا تمر عبر جدار الحماية. ستظل حركة المرور بين القطاعات المختلفة تمر عبر جدار الحماية. يمكنك أيضًا استخدام المسار المتسرب بين VRFs لتجنب إعادة توجيه حركة المرور عبر جدار الحماية.
  • يمكنك أيضًا استخدام جدار الحماية في الوضع الشفاف وفقط لشبكات VLAN حيث تكون هذه العوامل (التأخير / الأداء) غير مهمة. ولكن عليك أن تدرس بعناية القيود المرتبطة باستخدام هذا التعديل لكل بائع
  • قد تفكر في تطبيق بنية سلسلة الخدمة. سيتيح لك ذلك توجيه حركة المرور الضرورية فقط من خلال جدار الحماية. من الناحية النظرية تبدو جميلة ، لكنني لم أر هذا الحل مطلقًا في الإنتاج. لقد اختبرنا سلسلة الخدمة الخاصة بـ Cisco ACI / Juniper SRX / F5 LTM منذ حوالي 3 سنوات ، ولكن في هذا الوقت بدا لنا هذا الحل "خام"

مستوى الحماية


أنت الآن بحاجة إلى الإجابة على سؤال حول الأدوات التي تريد استخدامها لتصفية حركة المرور. فيما يلي بعض الميزات التي عادة ما تكون موجودة في NGFW (على سبيل المثال ، هنا ):

  • جدار الحماية الدولة (الافتراضي)
  • جدار الحماية التطبيق
  • منع التهديد (مكافحة الفيروسات ، ومكافحة التجسس ، والضعف)
  • تصفية URL
  • تصفية البيانات (تصفية المحتوى)
  • حظر الملفات (حظر أنواع الملفات)
  • دوس الحماية

وأيضا ليس كل شيء واضح. يبدو أنه كلما ارتفع مستوى الحماية ، كان ذلك أفضل. ولكن عليك أيضا أن تنظر في ذلك

  • كلما زادت وظائف جدار الحماية أعلاه التي تستخدمها ، فسيكون الأمر أكثر تكلفة (التراخيص ، وحدات إضافية)
  • استخدام خوارزميات معينة يمكن أن يقلل بشكل كبير من إنتاجية جدار الحماية ، وكذلك زيادة التأخير ، انظر على سبيل المثال هنا
  • مثل أي حل معقد ، يمكن أن يؤدي استخدام أساليب الحماية المعقدة إلى تقليل موثوقية الحل الخاص بك ، على سبيل المثال ، عند استخدام جدار الحماية للتطبيق ، صادفت حظر بعض تطبيقات العمل القياسية تمامًا (dns ، smb)

أنت ، كالعادة ، تحتاج إلى إيجاد أفضل حل لشبكتك.

من المستحيل الإجابة بشكل لا لبس فيه على سؤال ما هي وظائف الحماية التي قد تكون مطلوبة. أولاً ، لأنه يعتمد بالطبع على البيانات التي تقوم بنقلها أو تخزينها وتحاول حمايتها. ثانياً ، في الواقع ، غالبًا ما يكون اختيار العلاجات مسألة الإيمان والثقة في البائع. أنت لا تعرف الخوارزميات ، ولا تعرف مدى فعاليتها ، ولا يمكنك اختبارها بالكامل.

لذلك ، في القطاعات المهمة ، قد يكون الحل الجيد هو استخدام العروض من شركات مختلفة. على سبيل المثال ، يمكنك تمكين مكافحة الفيروسات على جدار الحماية ، ولكن أيضًا استخدام الحماية من الفيروسات (من جهة تصنيع أخرى) محليًا على المضيفين.

تجزئة


هذا هو تجزئة منطقية لشبكة مركز البيانات. على سبيل المثال ، يعد التقسيم إلى شبكات محلية ظاهرية وشبكات فرعية تجزيئًا منطقيًا أيضًا ، لكننا لن نفكر فيه نظرًا لضوحه. يعتبر Segmentation ممتعًا مع مراعاة كيانات مثل مناطق أمان FW و VRF (ونظائرها فيما يتعلق بمختلف البائعين) ، والأجهزة المنطقية (PA VSYS ، Cisco N7K VDC ، Cisco ACI Tenant ، ...) ، ...
ويرد مثال على هذا التجزئة المنطقية وتصميم مركز البيانات المطلوب حاليا في p002 من مشروع PSEFABRIC .
بعد تحديد الأجزاء المنطقية لشبكتك ، يمكنك وصف كيفية تدفق حركة المرور بين القطاعات المختلفة ، والتي سيتم إجراء تصفية الأجهزة عليها ، وبأي وسيلة.

إذا لم يكن لدى شبكتك تقسيم منطقي واضح ولم يتم إضفاء الطابع الرسمي على قواعد تطبيق سياسات الأمان لتدفقات البيانات المختلفة ، فهذا يعني أنه عندما تفتح هذا الوصول أو ذاك ، فإنك تضطر إلى حل هذه المشكلة ، ومع وجود احتمالية عالية سوف تحلها في كل مرة بطرق مختلفة.

غالبًا ما يعتمد التجزئة فقط على مناطق أمان FW. ثم تحتاج إلى الإجابة على الأسئلة التالية:

  • ما مناطق الأمان التي تحتاجها
  • ما هو مستوى الحماية الذي تريد تطبيقه على كل من هذه المناطق
  • ما إذا كان سيتم السماح بحركة المرور داخل المنطقة افتراضيًا
  • إذا لم يكن الأمر كذلك ، فما هي سياسات تصفية حركة المرور التي سيتم تطبيقها داخل كل منطقة
  • ما هي سياسات تصفية حركة المرور التي سيتم تطبيقها على كل زوج من المناطق (المصدر / الوجهة)

TCAM


غالبًا ما تكون هناك مشكلة في عدم كفاية TCAM (الذاكرة التي يمكن معالجتها بالمحتوى الثلاثي) ، لكل من التوجيه والوصول. IMHO ، هذه واحدة من أهم المشكلات عند اختيار المعدات ، لذلك تحتاج إلى معالجة هذه المشكلة بدرجة الدقة المناسبة.

مثال 1. جدول إعادة التوجيه TCAM.

لنلقِ نظرة على جدار الحماية Palo Alto 7k .
نرى أن حجم جدول توجيه IPv4 * = 32K
في نفس الوقت ، هذا العدد من الطرق شائع لجميع VSYS.

لنفترض أنك قررت استخدام 4 VSYS وفقًا للتصميم الخاص بك.
يرتبط كل من BGPS VSYSs باثنين من PEs السحابية MPLS التي تستخدمها كـ BB. وبالتالي ، يتبادل 4 VSYSs جميع المسارات المحددة مع بعضهم البعض ويحتوي على جدول إعادة توجيه مع نفس مجموعات المسارات تقريبًا (ولكن مع NHS مختلفة). بسبب يحتوي كل VSYS على جلستين لـ BGP (مع نفس الإعدادات) ، ثم يحتوي كل مسار تم استلامه عبر MPLS على 2 NH ، وبالتالي ، يوجد إدخالات FIB في جدول إعادة التوجيه. إذا افترضنا أن هذا هو جدار الحماية الوحيد في مركز البيانات ويجب أن يعرف كل الطرق ، فهذا يعني أن إجمالي عدد المسارات في مركز البيانات الخاص بنا لا يمكن أن يكون أكثر من 32K / (4 * 2) = 4K.

الآن ، إذا افترضنا أن لدينا مركزين للبيانات (مع نفس التصميم) ، ونريد استخدام شبكات محلية ظاهرية "ممتدة" بين مراكز البيانات (على سبيل المثال ، vMotion) ، ثم لحل مشكلة التوجيه ، يجب أن نستخدم طرق المضيف ، ولكن هذا يعني أنه بالنسبة لمركزين للبيانات ، لن يكون لدينا أكثر من 4096 مضيفًا ممكنًا ، وبالطبع ، قد لا يكون هذا كافياً.
مثال 2. ACL TCAM.

إذا كنت تخطط لتصفية حركة المرور على مفاتيح L3 (أو حلول أخرى تستخدم رموز التبديل L3 ، على سبيل المثال ، Cisco ACI) ، فعليك الانتباه إلى ACLs TCAM عند اختيار المعدات.

لنفترض أنك تريد التحكم في الوصول إلى واجهات SVI الخاصة بـ Cisco Catalyst 4500. ثم ، كما ترون من هذه المقالة ، يمكنك استخدام 4096 سطرًا فقط من TCAM للتحكم في حركة المرور الصادرة (وكذلك الواردة) على الواجهات. ماذا عند استخدام TCAM3 سيمنحك حوالي 4000 ألف ACEs (خطوط ACL).
إذا كنت تواجه مشكلة عدم كفاية TCAM ، إذن ، أولاً وقبل كل شيء ، بالطبع ، عليك التفكير في إمكانية التحسين. لذلك ، في حالة وجود مشكلة في حجم جدول إعادة التوجيه ، تحتاج إلى النظر في إمكانية تجميع المسارات. في حالة وجود مشكلة في حجم TCAM لعمليات الوصول - مراجعة عمليات الوصول وحذف السجلات القديمة والمتداخلة ، وكذلك ، ربما ، مراجعة إجراءات فتح عمليات الوصول (سيتم مناقشته بالتفصيل في الفصل الخاص بمراجعة الوصول إلى الحسابات).

توافر عالية


والسؤال هو ما إذا كان يجب استخدام HA لجدران الحماية أو لوضع صندوقين مستقلين "بالتوازي" وفي حالة تعطل أحدهما ، تمر حركة المرور عبر الثانية؟

يبدو أن الإجابة واضحة - استخدم HA. ومع ذلك ، فإن السبب في إثارة هذا السؤال هو أنه ، لسوء الحظ ، فإن النظرية والإعلان 99 وعدد قليل من النقاط بعد العلامة العشرية لنسبة إمكانية الوصول في الممارسة العملية ، كانت أقل بكثير من الورود. HA أمر منطقي إلى حد ما ، وعلى أجهزة مختلفة ، ومع موردين مختلفين (لم تكن هناك استثناءات) ، وقعنا في مشاكل وأخطاء وإغلاق الخدمة.

في حالة استخدام HA ، ستكون قادرًا على إيقاف تشغيل العقد الفردية ، والتبديل بينها دون إيقاف الخدمة ، وهذا أمر مهم ، على سبيل المثال ، عند الترقية ، لكن لديك احتمال بعيد عن الصفر بأن تنهار كلا العقدتين في نفس الوقت ، وكذلك في العقد التالي لن تتم الترقية بسلاسة كما وعد البائع (يمكن تجنب هذه المشكلة إذا كان لديك الفرصة لاختبار الترقية على معدات المختبرات).

إذا كنت لا تستخدم HA ، فمن وجهة نظر حدوث ضرر مزدوج تكون مخاطرك أقل بكثير (نظرًا لأن لديك جدرتين ناريتين مستقلتين) ، ولكن بسبب نظرًا لأن الجلسات غير متزامنة ، ففي كل مرة يحدث فيها التبديل بين جدران الحماية هذه ، ستفقد حركة المرور. يمكنك بالطبع استخدام جدار الحماية عديم الحالة ، ولكن بعد ذلك يضيع معنى استخدام جدار الحماية.

لذلك ، إذا كنتيجة للتدقيق تجد جدران حماية وحيدة ، وكنت تفكر في زيادة موثوقية شبكتك ، فإن HA ، بالطبع ، هو أحد الحلول الموصى بها ، ولكن يجب عليك أيضًا مراعاة العيوب المرتبطة بهذا النهج ، وربما فقط من أجل حل آخر سيكون أكثر ملاءمة.

الراحة في الإدارة (الإدارة)


من حيث المبدأ ، HA هو أيضا عن الإدارة. بدلاً من تكوين صندوقين بشكل فردي وحل مشكلة مزامنة التكوينات ، يمكنك إدارتها بعدة طرق كما لو كان لديك جهاز واحد.

لكن ربما لديك العديد من مراكز البيانات والعديد من جدران الحماية ، ثم يرتفع هذا السؤال إلى مستوى جديد. والسؤال ليس فقط حول التكوين ، ولكن أيضا حول

  • تكوينات النسخ الاحتياطي
  • التحديثات
  • ترقيات
  • الرصد
  • قطع الأشجار

ويمكن حل كل هذا من خلال أنظمة الإدارة المركزية.
لذلك ، على سبيل المثال ، إذا كنت تستخدم جدران الحماية Palo Alto ، فإن Panorama هو مثل هذا الحل.

أن تستمر.

Source: https://habr.com/ru/post/ar435138/

More articles:


All Articles