هذه المقالة هي الخامسة في سلسلة من المقالات بعنوان "كيفية اتخاذ البنية التحتية للشبكة تحت سيطرتك". يمكن العثور على محتويات جميع المقالات في السلسلة والروابط هنا .
سيركز هذا الجزء على التدقيق في قطاعات تصميم أمان الحرم الجامعي (Office) والوصول عن بُعد إلى VPN.
قد يبدو أن تصميم شبكة المكاتب بسيط.
في الواقع ، نأخذ مفاتيح L2 / L3 ، ونربطها معًا. بعد ذلك ، نقوم بإجراء التكوين الأولي للجيليات ، والبوابات الافتراضية ، ورفع التوجيه البسيط ، وتوصيل وحدات التحكم في WiFi ، ونقاط الوصول ، وتثبيت ASA وتكوينه للوصول عن بُعد ، ويسرنا أن كل شيء نجح. من حيث المبدأ ، كما كتبت بالفعل في أحد
المقالات السابقة
من هذه السلسلة ، يمكن تقريبًا لكل طالب استمع إلى (وتعلم) فصلين دراسيين من دورة تدريبية على التلفزيون تصميم وتكوين شبكة مكتبية "للعمل بطريقة ما".
لكن كلما تعلمت أكثر ، كلما بدا أن هذه المهمة أقل أهمية. بالنسبة لي شخصياً ، لا يبدو هذا الموضوع ، وهو موضوع تصميم شبكة المكاتب ، بسيطًا على الإطلاق ، وسأحاول في هذا المقال شرح السبب.
باختصار ، هناك الكثير من العوامل التي يجب أخذها في الاعتبار. غالبًا ما تتعارض هذه العوامل مع بعضها البعض ويجب أن تسعى إلى حل وسط معقول.
عدم اليقين هو الصعوبة الرئيسية. لذلك ، عند الحديث عن الأمان ، لدينا مثلث بثلاثة رؤوس: الأمان والراحة للموظفين وسعر الحل.
وفي كل مرة يجب عليك إيجاد حل وسط بين الثلاثة.
هندسة معمارية
وكمثال على الهندسة المعمارية لهذين القطاعين ، أوصي ، كما في المقالات السابقة ، طراز
Cisco SAFE :
Enterprise Campus ،
Enterprise Internet Edge .
هذه مستندات قديمة إلى حد ما. أحضرهم إلى هنا ، لأنه من حيث المبدأ لم تتغير المخططات والأسلوب ، لكن في نفس الوقت أحب العرض أكثر من
الوثائق الجديدة .
بدون حثك على استخدام حلول Cisco ، ما زلت أجد أنه من المفيد دراسة هذا التصميم بعناية.
هذه المقالة ، كالعادة ، دون التظاهر بأي شكل من الأشكال ، هي إضافة إلى هذه المعلومات.
في نهاية المقال ، سنقوم بتحليل تصميم Cisco SAFE للمكتب من حيث المفاهيم الموضحة هنا.
المبادئ العامة
بطبيعة الحال ، يجب أن يستوفي تصميم شبكة المكاتب المتطلبات العامة التي تمت مناقشتها
هنا في الفصل "معايير تقييم جودة التصميم". بالإضافة إلى السعر والأمان الذي نعتزم مناقشته في هذه المقالة ، هناك ثلاثة معايير أخرى يجب مراعاتها عند التصميم (أو عند إجراء التغييرات):
- التدرجية (قابلية)
- الراحة في الإدارة (الإدارة)
- توافر الغرف (توفر)
الكثير مما تم مناقشته
لمراكز البيانات ينطبق أيضًا على المكتب.
ولكن ، مع ذلك ، يتميز قطاع المكاتب بخصوصية خاصة به ، وهو أمر بالغ الأهمية من وجهة نظر الأمن. يتمثل جوهر هذا التحديد في أن هذا الجزء تم إنشاؤه لتوفير خدمات الشبكة لموظفي الشركة (وكذلك الشركاء والضيوف) للشركة ، ونتيجة لذلك ، لدينا مهمتان على أعلى مستوى من الاعتبار للمشكلة:
- حماية موارد الشركة من الإجراءات الضارة التي قد تأتي من الموظفين (الضيوف والشركاء) ومن البرامج التي يستخدمونها. ويشمل ذلك أيضًا الحماية ضد اتصالات الشبكة غير المصرح بها.
- حماية النظم وبيانات المستخدم
وهذا ليس سوى جانب واحد من المشكلة (أو بالأحرى ، قمة رأس المثلث). على الجانب الآخر ، راحة المستخدم وسعر الحلول المطبقة.
لنبدأ بالنظر إلى ما يتوقعه المستخدم من شبكة المكاتب الحديثة.
وسائل الراحة
إليك شكل "وسائل الراحة الشبكية" بالنسبة لمستخدم المكتب في رأيي:
- تنقلية
- القدرة على استخدام مجموعة كاملة من الأجهزة وأنظمة التشغيل المألوفة
- سهولة الوصول إلى جميع موارد الشركة اللازمة
- توفر موارد الإنترنت ، بما في ذلك الخدمات السحابية المختلفة
- شبكة "العمل السريع"
كل هذا ينطبق على كل من الموظفين والضيوف (أو الشركاء) ، وهذه هي بالفعل مهمة مهندسي الشركة على أساس التفويض لتمييز الوصول لمجموعات المستخدمين المختلفة.
دعونا نلقي نظرة فاحصة على كل جانب من هذه الجوانب.
تنقلية
يتعلق الأمر بالقدرة على العمل واستخدام جميع الموارد اللازمة للشركة من أي مكان في العالم (بالطبع ، حيث يتوفر الإنترنت).
هذا ينطبق تماما على المكتب. يكون هذا مناسبًا عندما تتاح لك الفرصة لمواصلة العمل من أي مكان في المكتب ، على سبيل المثال ، تلقي البريد ، والتواصل في مراسلة الشركة ، وتكون متاحة لمكالمة فيديو ... وبالتالي ، يتيح لك هذا ، من ناحية ، حل بعض المشكلات من خلال "البث المباشر" التواصل (على سبيل المثال ، للمشاركة في التجمعات) ، ومن جهة أخرى - كن دائمًا على الإنترنت ، واصل مواكبة بعض المهام العاجلة ذات الأولوية القصوى وحلها بسرعة. إنها مريحة للغاية ، بل إنها تعمل على تحسين جودة الاتصالات.
يتحقق ذلك من خلال التصميم الصحيح لشبكة WiFi.
تعليق
هذا عادة ما يثير السؤال ، هل يكفي استخدام WiFi فقط؟ هل هذا يعني أنه يمكنك رفض استخدام منافذ إيثرنت في المكتب؟ إذا كنا نتحدث فقط عن المستخدمين ، وليس عن الخوادم التي من الحكمة مع ذلك الاتصال بمنفذ Ethernet عادي ، فالجواب بشكل عام هو: نعم ، يمكنك قصر نفسك على WiFi فقط. ولكن هناك فروق دقيقة.
هناك مجموعات المستخدمين الهامة التي تتطلب نهج منفصل. هؤلاء هم بالطبع المسؤولون. من حيث المبدأ ، يكون اتصال WiFi أقل موثوقية (من حيث فقد حركة المرور) وأسرع من منفذ Ethernet العادي. قد يكون هذا مهمًا للمسؤولين. بالإضافة إلى ذلك ، يمكن لمسؤولي الشبكة ، على سبيل المثال ، امتلاك شبكة Ethernet المخصصة الخاصة بهم للاتصالات خارج النطاق.
قد تكون هناك مجموعات / أقسام أخرى في شركتك تعتبر هذه العوامل مهمة لها.
هناك نقطة مهمة أخرى - الاتصال الهاتفي. ربما لسبب ما لا تريد استخدام Wireless VoIP وتريد استخدام هواتف IP مع اتصال Ethernet عادي.
بشكل عام ، في تلك الشركات التي عملت فيها ، كانت هناك عادة إمكانية اتصال WiFi ومنفذ Ethernet.
أتمنى أن التنقل لم يقتصر على المكتب فقط.
لضمان القدرة على العمل من المنزل (أو أي مكان آخر مع الوصول إلى الإنترنت) ، يتم استخدام اتصال VPN. في الوقت نفسه ، من المستحسن ألا يشعر الموظفون بالفرق بين العمل من المنزل والعمل عن بعد ، مما يعني وجود نفس الوصول. سنناقش كيفية تنظيم ذلك لاحقًا في فصل "نظام المصادقة والترخيص المركزي الموحد".
تعليق
على الأرجح ، لن تكون قادرًا على توفير نفس جودة الخدمات للعمل عن بعد تمامًا في المكتب. لنفترض أنك تستخدم Cisco ASA 5520 كبوابة VPN ، ووفقًا لصفحة البيانات ، فإن هذا الجهاز قادر على "هضم" حركة مرور VPN التي تبلغ 225 ميجابت في الثانية فقط. هذا ، بالطبع ، من حيث النطاق الترددي ، يختلف اتصال VPN عن العمل من المكتب. أيضًا ، إذا كان التأخير ، الفقدان ، الارتعاش (لسبب ما ، على سبيل المثال ، إذا كنت تريد استخدام مهاتفة IP للمكاتب) لخدمات الشبكة لديك ، فلن تحصل أيضًا على نفس الجودة كما لو كنت في المكتب. لذلك ، عند الحديث عن التنقل ، يجب أن نضع في الاعتبار القيود المحتملة.
سهولة الوصول إلى جميع موارد الشركة
يجب معالجة هذه المهمة بالتعاون مع الإدارات الفنية الأخرى.
الموقف المثالي هو عندما يحتاج المستخدم إلى المصادقة مرة واحدة فقط ، وبعد ذلك يمكنه الوصول إلى جميع الموارد اللازمة.
يمكن أن يوفر الوصول السهل دون المساس بالأمن زيادة كبيرة في كفاءة العمل وتقليل مستوى الإجهاد لدى زملائك.
ملاحظة 1
لا تتعلق سهولة الوصول فقط بعدد المرات التي يجب فيها إدخال كلمة مرور. على سبيل المثال ، إذا تم الاتصال من المكتب بمركز البيانات ، وفقًا لسياسة الأمان الخاصة بك ، فيجب عليك أولاً الاتصال ببوابة VPN ، وفي الوقت نفسه تفقد الوصول إلى موارد المكتب ، فهذا غير مريح للغاية أيضًا.
ملاحظة 2
هناك خدمات (على سبيل المثال ، الوصول إلى معدات الشبكة) حيث عادة ما يكون لدينا خوادم AAA مخصصة خاصة بنا ، وهذا هو المعيار عندما يكون في هذه الحالة عليك المصادقة عدة مرات.
توافر موارد الإنترنت
ليس الإنترنت الترفيه فقط ، ولكن أيضًا مجموعة من الخدمات التي يمكن أن تكون مفيدة جدًا للعمل. هناك أيضا عوامل نفسية بحتة. شخص عصري عبر الإنترنت من خلال العديد من الخيوط الافتراضية المتصلة بأشخاص آخرين ، وفي رأيي ، لا حرج إذا استمر في الشعور بهذا الاتصال ، حتى أثناء العمل.
من وجهة نظر ضياع الوقت ، لا يوجد ما يدعو للقلق بشأن ما إذا كان الموظف ، على سبيل المثال ، يعمل على سكايب ، وسيقضي 5 دقائق في التحدث مع أحد أفراد أسرته إذا لزم الأمر.
هل هذا يعني أن الإنترنت يجب أن يكون متاحًا دائمًا ، هل يعني ذلك أنه يمكن للموظفين فتح الوصول إلى جميع الموارد وليس لديهم سيطرة عليها؟
لا ، بالطبع لا. يمكن أن يكون مستوى انفتاح الإنترنت مختلفًا عن الشركات المختلفة - من الإغلاق الكامل إلى الانفتاح الكامل. سنناقش طرق التحكم في حركة المرور لاحقًا في الأقسام التي تتضمن ميزات الأمان.
القدرة على استخدام مجموعة كاملة من الأجهزة المألوفة
إنه مناسب عندما تتاح لك ، على سبيل المثال ، الفرصة لمواصلة استخدام جميع وسائل الاتصال المعتادة في العمل. لا توجد صعوبة فنية في تنفيذ هذا. للقيام بذلك ، تحتاج إلى واي فاي وفيلان ضيف.
من الجيد أيضًا أن تتمكن من استخدام نظام التشغيل الذي تستخدمه. ولكن ، في ملاحظتي ، عادة ، لا يُسمح بهذا إلا للمديرين والمسؤولين والمطورين.
مثال
يمكنك ، بطبيعة الحال ، اتباع مسار الحظر ، وحظر الوصول عن بُعد ، وحظر الاتصال من الأجهزة المحمولة ، وتقييد جميع اتصالات Ethernet الثابتة ، وتقييد الوصول إلى الإنترنت ، دون أن تفشل في إزالة الهواتف المحمولة والأدوات الذكية عند نقطة التفتيش ... وبهذه الطريقة بعض المؤسسات مع زيادة متطلبات الأمان ، وربما ، في بعض الحالات ، قد يكون هذا مبررًا ، لكن ... توافق على أنه يبدو وكأنه محاولة لإيقاف التقدم في مؤسسة واحدة. بالطبع ، أود الجمع بين الفرص التي توفرها التقنيات الحديثة مع مستوى مناسب من الأمن.
شبكة "العمل السريع"
يتكون معدل نقل البيانات تقنيًا من عدة عوامل. وعادة ما لا تكون سرعة منفذ الاتصال هي الأهم منها. لا يتم دائمًا ربط التشغيل البطيء للتطبيق بمشاكل الشبكة ، ولكننا مهتمون الآن فقط بجزء الشبكة. ترتبط المشكلة الأكثر شيوعًا في "إبطاء" الشبكة المحلية بفقدان الحزمة. يحدث هذا عادة مع تأثير عنق الزجاجة أو مع مشاكل L1 (OSI). أقل شيوعًا ، مع بعض التصميمات (على سبيل المثال ، عندما يكون جدار الحماية بمثابة البوابة الافتراضية في الشبكات الفرعية الخاصة بك ، وبالتالي ، تمر كل حركة المرور به) ، قد يكون أداء الأجهزة غير موجود.
لذلك ، عند اختيار المعدات والهندسة المعمارية ، فإنك تحتاج إلى ربط سرعات المنافذ الطرفية وجذوعها وأداء الجهاز.
مثال
افترض أنك تستخدم رموز التبديل مع 1 غيغا بايت كمفاتيح مستوى الوصول. وهي مترابطة عبر Etherchannel 2 × 10 غيغا بايت. كبوابة افتراضية ، يمكنك استخدام جدار حماية به منافذ جيجابت ، لتوصيل أي منها بشبكة L2 في المكتب الذي تستخدمه منفذين جيجابت مدمجين في Etherchannel.
هذه البنية مريحة للغاية من حيث الوظيفة ، لأن تمر كل حركة المرور عبر جدار الحماية ، ويمكنك إدارة سياسات الوصول بشكل مريح وتطبيق خوارزميات معقدة للسيطرة على حركة المرور ومنع الهجمات المحتملة (انظر أدناه) ، ولكن من وجهة نظر النطاق الترددي والأداء ، هذا التصميم ، بالطبع ، لديه مشاكل محتملة. لذلك ، على سبيل المثال ، يمكن لمضيفين يقومان بتنزيل البيانات (بسرعة منفذ تبلغ 1 جيجابت) تحميل اتصال 2 جيجابت بالكامل بجدار الحماية ، وبالتالي يؤدي إلى تدهور الخدمة لشريحة المكتب بأكملها.
نظرنا إلى قمة واحدة من المثلث ، والآن دعونا نلقي نظرة على كيف يمكننا توفير الأمن.
وسائل الحماية
لذلك ، بطبيعة الحال ، عادةً ما تكون رغبتنا (أو بالأحرى رغبة قيادتنا) في تحقيق المستحيل ، أي توفير الراحة القصوى مع أقصى قدر من الأمن والحد الأدنى للسعر.
دعونا نلقي نظرة على الأساليب التي لدينا لتوفير الحماية.
بالنسبة للمكتب ، أود أن أفرد ما يلي:
- نهج تصميم الثقة صفر
- مستوى عال من الحماية
- وضوح الشبكة
- مصادقة مركزية ونظام ترخيص واحد
- فحص المضيف
بعد ذلك ، سنتناول بمزيد من التفصيل كل جانب من هذه الجوانب.
الثقة صفر
عالم تكنولوجيا المعلومات يتغير بسرعة كبيرة. حرفيًا على مدار السنوات العشر الماضية ، أدى ظهور التقنيات والمنتجات الجديدة إلى مراجعة كبيرة لمفاهيم الأمان. منذ عشر سنوات ، من وجهة نظر أمنية ، قمنا بتقسيم الشبكة إلى مناطق ثقة و dmz و مناطق عدم ثقة ، وتم تطبيق ما يسمى "الدفاع المحيطي" ، حيث كان هناك خطان للدفاع: الثقة -> dmz و dmz -> الثقة. أيضًا ، كانت الحماية تقتصر عادةً على قوائم الوصول بناءً على رؤوس L3 / L4 (OSI) (IP ، منافذ TCP / UDP ، إشارات TCP). تم ترك كل ما يتعلق بالمستويات الأعلى ، بما في ذلك L7 ، لنظام التشغيل ومنتجات الحماية المثبتة على الأجهزة المضيفة النهائية.
الآن تغير الوضع بشكل كبير. ينبع المفهوم الحديث
للثقة الصفرية من حقيقة أنه لم يعد من الممكن النظر في الأنظمة الداخلية ، أي الأنظمة الموجودة في المحيط الموثوق به ، وأصبح مفهوم المحيط غير واضح.
بالإضافة إلى اتصال الإنترنت ، لدينا أيضا
- وصول VPN المستخدمين عن بعد
- الأدوات الشخصية المختلفة التي جلبتها أجهزة الكمبيوتر المحمولة المتصلة عبر مكتب واي فاي
- مكاتب (فرع) أخرى
- التكامل مع البنية التحتية السحابية
كيف يبدو نهج Zero Trust عمليًا؟
من الناحية المثالية ، يجب السماح فقط بحركة المرور المطلوبة ، وإذا كنا نتحدث عن المثل الأعلى ، فيجب ألا يكون التحكم على مستوى L3 / L4 فقط ، ولكن على مستوى التطبيق.
على سبيل المثال ، إذا كانت لديك فرصة لتمرير كل حركة المرور من خلال جدار الحماية ، فيمكنك محاولة الاقتراب من المثالية. ولكن هذا النهج يمكن أن يقلل بشكل كبير من إجمالي عرض النطاق الترددي لشبكتك ، إلى جانب أن التصفية حسب التطبيق لا تعمل دائمًا بشكل جيد.
عند مراقبة حركة المرور على جهاز التوجيه أو محول L3 (باستخدام قوائم ACL القياسية) ، فإنك تواجه مشكلات أخرى:
- هذا هو تصفية L3 / L4 فقط. لا شيء يمنع المهاجم من استخدام المنافذ المسموح بها (مثل TCP 80) لتطبيقه (وليس http)
- إدارة ACL معقدة (يصعب تحليل قوائم ACL)
- هذا ليس جدار حماية Statefull ، وهذا هو ، تحتاج إلى السماح صراحة المرور العكسي
- في حالة المفاتيح ، عادة ما تكون محدودًا تمامًا بحجم TCAM ، والتي إذا استخدمت نهج "السماح فقط بما تحتاج إليه" يمكن أن يصبح مشكلة بسرعة
تعليق
الحديث عن حركة المرور العكسية ، يجب أن نتذكر أن لدينا الفرصة التالية (سيسكو)
السماح برنامج التعاون الفني أي أي المعمول بها
لكن يجب أن تفهم أن هذا الخط يعادل سطرين:
تسمح برنامج التعاون الفني أي أيه
السماح لبرنامج التعاون الفني أي أي RST
مما يعني أنه حتى في حالة عدم وجود قطعة TCP أولية تحمل علامة SYN (أي ، لم تبدأ جلسة TCP حتى التأسيس) ، فإن ACL هذه ستتخطى الحزمة مع علامة ACK ، والتي يمكن للمهاجم استخدامها لنقل البيانات.
وهذا يعني أن هذا الخط لا يؤدي بأي حال من الأحوال إلى تحويل جهاز التوجيه الخاص بك أو تبديل L3 إلى جدار حماية مجهز بالكامل.
مستوى عال من الحماية
في
المقالة الموجودة في القسم المخصص لمراكز البيانات ، نظرنا في طرق الحماية التالية.
- جدار الحماية الدولة (الافتراضي)
- حماية دوس / دوس
- جدار الحماية التطبيق
- منع التهديد (مكافحة الفيروسات ، ومكافحة التجسس ، والضعف)
- تصفية URL
- تصفية البيانات (تصفية المحتوى)
- حظر الملفات (حظر أنواع الملفات)
في حالة المكتب ، فإن الوضع مشابه ، لكن الأولويات مختلفة قليلاً. عادةً ما لا تكون إمكانية الوصول إلى المكاتب (التوافر) حرجة كما هي الحال في مركز البيانات ، في حين أن احتمالية حركة المرور الخبيثة "الداخلية" تكون أعلى من حيث الحجم.
لذلك ، تصبح طرق الحماية التالية لهذا الجزء مهمة:
- جدار الحماية التطبيق
- منع التهديدات (مكافحة الفيروسات ، ومكافحة التجسس ، والضعف)
- تصفية URL
- تصفية البيانات (تصفية المحتوى)
- حظر الملفات (حظر أنواع الملفات)
على الرغم من أن جميع أساليب الحماية هذه ، باستثناء جدار الحماية للتطبيق ، قد تم حلها بشكل تقليدي واستمرت في حلها على المضيفين النهائيين (على سبيل المثال ، عن طريق تثبيت برامج مكافحة الفيروسات) واستخدام البروكسيات ، فإن NGFWs الحديثة توفر أيضًا هذه الخدمات.
يسعى موردو معدات الأمن إلى إنشاء حماية شاملة ، وبالتالي ، يتم توفير العديد من التقنيات السحابية وبرامج العميل للمضيفين (حماية نقطة النهاية / EPP) جنبًا إلى جنب مع الحماية على الصندوق المحلي.
على سبيل المثال ، من Gartner Magic Quadrant لعام 2018 ، نرى أن Palo Alto و Cisco لديهما EPPs (PA: Traps ، Cisco: AMP) ، لكنهما بعيدان عن القادة.إن إدراج هذه الحماية (عادةً من خلال شراء التراخيص) على جدار الحماية ، بالطبع ، ليس إلزاميًا (يمكنك استخدام الطريقة التقليدية) ، لكنه يوفر بعض المزايا:- في هذه الحالة ، تظهر نقطة تطبيق واحدة لطرق الحماية ، مما يحسن الرؤية (انظر الموضوع التالي).
- إذا كانت شبكتك تحتوي على جهاز غير محمي ، فستظل تندرج تحت "مظلة" حماية جدار الحماية
- , . , threat prevention ( , , )
, , , , , , .
Network visibility
الفكرة الأساسية بسيطة - "رؤية" ما يحدث على شبكتك ، سواء في الوقت الفعلي أو البيانات التاريخية.سأقسم هذه "الرؤية" إلى مجموعتين:المجموعة الأولى: ما يوفره نظام المراقبة الخاص بك عادة.- تحميل المعدات
- قنوات التحميل
- استخدام الذاكرة
- استخدام القرص
- تغيير جدول التوجيه
- حالة الارتباط
- توفر المعدات (أو الأجهزة المضيفة)
- ...
المجموعة الثانية: معلومات متعلقة بالأمان.- أنواع مختلفة من الإحصاءات (على سبيل المثال ، حسب التطبيق أو عن طريق عنوان URL لحركة المرور ، أو أنواع البيانات التي تم تنزيلها ، وبيانات المستخدمين)
- ما تم حظره بواسطة السياسات الأمنية ولأي سبب ، وهو
- تطبيق محظور
- محظورة على أساس الملكية الفكرية / بروتوكول / ميناء / أعلام / المناطق
- منع التهديد
- تصفية url
- data filtering
- file blocking
- ...
- DOS/DDOS
- ...
, , .
( Palo Alto) visibility. , , , ( ) ( ), , .
, , , , ,
- يمكن جمع إحصائيات الدورات من خلال netflow ثم استخدام أدوات مساعدة خاصة لتحليل المعلومات وتصور البيانات
- منع التهديدات - برامج خاصة (مكافحة الفيروسات ومكافحة برامج التجسس وجدار الحماية) على المضيفين النهائيين
- تصفية URL ، تصفية البيانات ، حظر الملفات - على الوكيل
- يمكنك أيضًا تحليل tcpdump باستخدام snort
يمكنك دمج هذين الأسلوبين ، مع استكمال الميزات المفقودة أو تكرارها لزيادة احتمال اكتشاف الهجوم.أي نهج للاختيار؟ذلك يعتمد على مؤهلات وتفضيلات فريقك.سواء هناك وهناك إيجابيات وسلبيات.نظام التوثيق والترخيص المركزي الموحد
مع التصميم الجيد ، يفترض التنقل الذي ناقشناه في هذه المقالة أن لديك نفس الوصول عند العمل من المكتب أو من المنزل أو من المطار أو من مقهى أو أي نقطة أخرى (مع القيود التي ناقشناها أعلاه). يبدو ، ما هي المشكلة؟من أجل فهم تعقيد هذه المهمة بشكل أفضل ، دعنا ننظر إلى تصميم نموذجي.مثال
- لقد قسمت جميع الموظفين إلى مجموعات. لقد قررت توفير وصول المجموعة
- داخل المكتب ، يمكنك التحكم في الوصول إلى جدار حماية المكتب
- يمكنك التحكم في حركة المرور من المكتب إلى مركز البيانات على جدار الحماية بمركز البيانات
- كبوابة VPN ، تستخدم Cisco ASA وللتحكم في حركة المرور التي تدخل شبكتك من العملاء المخصصين ، تستخدم ACLs المحلي (على ASA)
, , . .
,
- ASA IP
- ACL ASA
- security policy -
, . , , , 1 -2 , . , - .
.
, , LDAP. , .
, , ,
- guest ( )
- common access ( : , , …)
- accounting
- project 1
- project 2
- data base administrator
- linux administrator
- ...
- , 1, 2, , :
- guest
- common access
- project 1
- project 2
?
Cisco ASA Dynamic Access Policy (DAP) (. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html ) .
, / ASA LDAP , «» ACL ( ) ACL , .
VPN . , VPN, .
, 802.1x ( ), ( ). , (, -) VPN.
ASA. , ( , , , , dns, ...) ASA, . , ASA , .
, .
?
. , .
, , LDAP, .
(host checking)
إذا كان الاتصال عن بُعد ممكنًا ، فنحن معرضون لخطر السماح ليس فقط لموظف الشركة ، ولكن أيضًا لجميع البرامج الضارة التي من المحتمل أن تكون موجودة على جهاز الكمبيوتر الخاص به (على سبيل المثال ، المنزل) على الشبكة ، وعلاوة على ذلك ، قد نفتح الوصول إلى شبكتنا للمهاجم الذي يستخدم هذا المضيف كوكيل.من المنطقي بالنسبة للمضيف البعيد أن يطبق نفس متطلبات الأمان المطبقة على مضيف المكتب.يتضمن ذلك أيضًا الإصدار "الصحيح" من نظام التشغيل وتحديثات برامج مكافحة الفيروسات وبرامج مكافحة التجسس وجدار الحماية. عادةً ما توجد هذه الميزة على بوابة VPN (في ASA ، انظر ، على سبيل المثال ، هنا ).من المنطقي أيضًا تطبيق نفس أساليب تحليل حركة المرور وحظرها (انظر "مستوى عالٍ من الحماية") ، والذي ينطبق وفقًا لسياسة الأمان الخاصة بك على حركة المكتب.من المنطقي افتراض أن شبكة مكتبك لا تقتصر الآن على مبنى المكاتب والمضيفين الموجودين فيه.مثال
حفل استقبال جيد هو تزويد كل موظف يحتاج إلى الوصول عن بعد بجهاز كمبيوتر محمول جيد ومناسب ويطلب العمل في المكتب والمنزل منه فقط.
لا يؤدي هذا إلى زيادة مستوى الأمان لشبكتك فحسب ، بل إنه أيضًا مريح للغاية وعادة ما ينظر إليه الموظفون بشكل إيجابي (إذا كان جهاز كمبيوتر محمول جيدًا وملائمًا بالفعل).
عن شعور نسبة والتوازن
من حيث المبدأ ، هذه محادثة حول الذروة الثالثة لمثلثنا - حول السعر.دعونا نلقي نظرة على مثال افتراضي.
200 . .
. security , (anti-virus, anti-spyware, and firewall software), .
( ) 10- , — NGFW , , Palo Alto 7K (c 40 ), , , High Availability .
, , security .
, .
, 10 , ( ) .
, 200 …
? , .
…
, - , . — , , , .
هل هذا المثال مبالغ فيه؟ الفصل التالي سوف يجيب على هذا السؤال.إذا كنت لا ترى شيئًا معينًا في هذه المقالة على شبكتك ، فهذا هو المعيار.لكل حالة محددة ، تحتاج إلى إيجاد حل وسط معقول بين الراحة والسعر والأمان. في كثير من الأحيان لا تحتاج حتى إلى NGFW في مكتبك ، حماية L7 على جدار الحماية غير مطلوبة. يكفي توفير مستوى جيد من الرؤية والتنبيهات ، ويمكن القيام بذلك باستخدام منتجات مفتوحة المصدر ، على سبيل المثال. نعم ، لن يكون رد فعلك على الهجوم فوريًا ، لكن الشيء الرئيسي هو أنك سترى ذلك ، وإذا كان لديك العمليات الصحيحة في إدارتك ، فستتمكن من تحييده بسرعة.وأذكرك أنه وفقًا لخطة سلسلة هذه المقالات ، فأنت لا تشارك في تصميم الشبكات ، بل تحاول فقط تحسين ما حصلت عليه.SAFE
,
SAFE Secure Campus Architecture Guide , .
.
FirePower ( Cisco — ASA), , , , Juniper SRX Palo Alto, , .
4 :
- , transparent ( , L3 )
- - ( SVI ), L2
- VRF, VRF , VRF ACL
- ,
1
, .
2
PBR ( service chain), , , , .
من وصف التدفقات في المستند ، نرى أن كل حركة المرور نفسها تمر عبر جدار الحماية ، أي أنه وفقًا لتصميم Cisco ، يختفي الخيار الرابع.لنلقِ نظرة على الخيارين الأولين أولاً.باستخدام هذه الخيارات ، تمر كل حركة المرور بجدار الحماية.الآن ننظر إلى ورقة البيانات ، وننظر إلى Cisco GPL ونرى أنه إذا كنا نريد أن يكون عرض النطاق الترددي الإجمالي لمكتبنا على الأقل في حدود 10 إلى 20 غيغابايت ، فعلينا شراء نسخة 4K.ملاحظة
عندما أتحدث عن النطاق الترددي الكلي ، أعني حركة المرور بين الشبكات الفرعية (وليس داخل نفس الشبكة الظاهرية).
من GPL نرى أنه بالنسبة لحزمة HA مع Threat Defense ، يتراوح السعر اعتمادًا على الطراز (4110 - 4150) من 0.5 إلى 2.5 مليون دولار.
وهذا هو ، تصميمنا يبدأ في تشبه المثال السابق.
هل هذا يعني أن هذا التصميم خاطئ؟
لا ، ليس كذلك. توفر لك Cisco أفضل حماية ممكنة استنادًا إلى خط الإنتاج الذي لديها. ولكن هذا لا يعني أنه "صاري" بالنسبة لك.
من حيث المبدأ ، هذا سؤال شائع يطرح في تصميم مكتب أو مركز بيانات ، وهذا يعني فقط أنه يجب البحث عن حل وسط.
على سبيل المثال ، لا أسمح لكل حركة المرور بالمرور عبر جدار الحماية ، وفي هذه الحالة يبدو الخيار الثالث لطيفًا بالنسبة لي ، أو (انظر القسم السابق) ، ربما لا تحتاج إلى Threat Defense أو لا تحتاج إلى جدار حماية في جزء الشبكة هذا على الإطلاق ، و كل ما عليك القيام به هو المراقبة السلبية باستخدام حلول مدفوعة الثمن (غير مكلفة) أو مفتوحة المصدر ، أو تحتاج إلى جدار حماية ، ولكن بائعًا آخر.
عادة ما يكون هناك دائمًا عدم اليقين هذا ولا توجد إجابة واحدة حول الحل الأفضل لك.
هذا هو تعقيد وجمال هذه المهمة.