Geekly articles weekly

So übernehmen Sie die Kontrolle über Ihre Netzwerkinfrastruktur. Kapitel Drei Netzwerksicherheit. Teil eins

Dieser Artikel ist der dritte in einer Reihe von Artikeln mit dem Titel „So nehmen Sie die Netzwerkinfrastruktur unter Ihre Kontrolle“. Den Inhalt aller Artikel der Reihe und Links finden Sie hier .

Bild

Es macht keinen Sinn, über die vollständige Beseitigung von Sicherheitsrisiken zu sprechen. Im Prinzip können wir sie nicht auf Null reduzieren. Sie müssen auch verstehen, dass unsere Lösungen immer teurer werden, wenn wir uns bemühen, das Netzwerk immer sicherer zu machen. Sie müssen einen vernünftigen Kompromiss für Ihr Netzwerk zwischen Preis, Komplexität und Sicherheit finden.

Natürlich ist das Sicherheitsdesign organisch in die Gesamtarchitektur integriert und die verwendeten Sicherheitslösungen wirken sich auf Skalierbarkeit, Zuverlässigkeit, Verwaltbarkeit, ... Netzwerkinfrastruktur aus, was ebenfalls berücksichtigt werden sollte.

Aber ich erinnere Sie daran, dass wir jetzt nicht über die Schaffung eines Netzwerks sprechen. In Übereinstimmung mit unseren Ausgangsbedingungen haben wir bereits ein Design ausgewählt, Geräte ausgewählt und eine Infrastruktur geschaffen. In diesem Stadium sollten wir, wenn möglich, im Kontext des zuvor gewählten Ansatzes „leben“ und Lösungen finden.

Unsere Aufgabe ist es nun, die mit der Sicherheit verbundenen Risiken auf Netzwerkebene zu identifizieren und auf einen angemessenen Wert zu reduzieren.

Netzwerksicherheitsprüfung


Wenn Ihre Organisation ISO 27k-Prozesse implementiert hat, sollten Sicherheitsüberprüfungen und Netzwerkänderungen im Rahmen dieses Ansatzes organisch in die Gesamtprozesse integriert werden. Bei diesen Standards geht es jedoch immer noch nicht um spezifische Lösungen, nicht um Konfiguration, nicht um Design ... Es gibt keine eindeutigen Tipps, es gibt keine Standards, die detailliert festlegen, wie Ihr Netzwerk aussehen soll. Dies ist die Komplexität und Schönheit dieser Aufgabe.

Ich möchte einige mögliche Netzwerksicherheitsprüfungen hervorheben:

  • Gerätekonfigurationsaudit (Härten)
  • Sicherheitsaudit-Design
  • Zugriffsprüfung
  • Prozessaudit

Hardwarekonfigurationsaudit (Härten)


In den meisten Fällen scheint dies der beste Ausgangspunkt für die Prüfung und Verbesserung der Sicherheit Ihres Netzwerks zu sein. IMHO ist dies eine gute Demonstration des Pareto-Gesetzes (20% des Aufwands ergeben 80% des Ergebnisses, und die restlichen 80% des Aufwands machen nur 20% des Ergebnisses aus).

Das Fazit ist, dass wir normalerweise Empfehlungen von Anbietern zu „Best Practices“ für die Sicherheit bei der Konfiguration von Geräten haben. Dies wird als Härten bezeichnet.

Auf der Grundlage dieser Empfehlungen können Sie auch häufig einen Fragebogen finden (oder selbst erstellen), anhand dessen Sie feststellen können, wie Ihre Hardwarekonfiguration mit diesen „Best Practices“ übereinstimmt, und entsprechend dem Ergebnis Änderungen an Ihrem Netzwerk vornehmen. Auf diese Weise können Sie ganz einfach und praktisch kostenlos Sicherheitsrisiken erheblich reduzieren.
Einige Beispiele für einige Cisco-Betriebssysteme.

Cisco IOS Configuration Hardening
Cisco IOS-XR-Konfigurationshärtung
Cisco NX-OS-Konfigurationshärtung
Cisco Baseline Security Checkliste

Basierend auf diesen Dokumenten kann eine Liste der Konfigurationsanforderungen für jeden Gerätetyp erstellt werden. Bei einem Cisco N7K VDC könnten diese Anforderungen beispielsweise so aussehen.

Auf diese Weise können Konfigurationsdateien für verschiedene Arten von aktiven Geräten Ihrer Netzwerkinfrastruktur erstellt werden. Darüber hinaus können Sie diese Konfigurationsdateien manuell oder mithilfe der Automatisierung „hochladen“. Wie dieser Prozess automatisiert werden kann, wird in einer weiteren Artikelserie zu Orchestrierung und Automatisierung ausführlich erläutert.

Design des Sicherheitsaudits


In der Regel enthält ein Unternehmensnetzwerk in der einen oder anderen Form die folgenden Segmente:

  • DC (DMZ und Intranet-Rechenzentrum für öffentliche Dienste)
  • Internetzugang
  • RAS-VPN
  • Wan Rand
  • Zweig
  • Campus (Büro)
  • Kern

Die Namen stammen aus dem Cisco SAFE- Modell, es ist jedoch natürlich nicht erforderlich, sich an diese Namen und an dieses Modell zu binden. Trotzdem möchte ich über das Wesentliche sprechen und mich nicht in Formalitäten festsetzen.

Für jedes dieser Segmente unterscheiden sich die Anforderungen an das Sicherheitsniveau, die Risiken und dementsprechend die Entscheidungen.

Wir werden jeden von ihnen einzeln auf Probleme prüfen, die beim Sicherheitsdesign auftreten können. Natürlich wiederhole ich noch einmal, dass dieser Artikel in keiner Weise behauptet, vollständig zu sein, was in diesem wirklich tiefen und facettenreichen Thema nicht leicht zu erreichen ist (wenn überhaupt möglich), sondern meine persönliche Erfahrung widerspiegelt.

Es gibt keine perfekte Lösung (zumindest für den Moment). Es ist immer ein Kompromiss. Es ist jedoch wichtig, dass die Entscheidung, diesen oder jenen Ansatz anzuwenden, bewusst getroffen wird, wobei sowohl die Vor- als auch die Nachteile zu verstehen sind.

Rechenzentrum


Das kritischste Sicherheitssegment.
Und wie immer gibt es auch keine universelle Lösung. Es hängt alles von den Netzwerkanforderungen ab.

Ist eine Firewall notwendig oder nicht?


Es scheint, dass die Antwort offensichtlich ist, aber alles ist nicht ganz so klar, wie es scheinen mag. Und Ihre Wahl kann nicht nur vom Preis beeinflusst werden .
Beispiel 1. Verzögerungen.

Wenn zwischen einigen Segmenten des Netzwerks eine geringe Latenz eine wesentliche Voraussetzung ist, was beispielsweise bei einem Austausch der Fall ist, können wir zwischen diesen Segmenten keine Firewalls verwenden. Es ist schwierig, Studien zu Verzögerungen in Firewalls zu finden, aber nur wenige Switch-Modelle können Verzögerungen von weniger als oder etwa 1 mksec liefern. Ich denke, wenn Mikrosekunden für Sie wichtig sind, sind Firewalls nichts für Sie.
Beispiel 2. Leistung.

Die Bandbreite der oberen L3-Switches ist normalerweise um eine Größenordnung höher als die Bandbreite der produktivsten Firewalls. Daher müssen Sie bei starkem Datenverkehr höchstwahrscheinlich auch zulassen, dass dieser Datenverkehr Firewalls umgeht.

Beispiel 3. Zuverlässigkeit.

Firewalls, insbesondere moderne NGFW (Next-Generation FW), sind komplexe Geräte. Sie sind wesentlich komplexer als L3 / L2-Schalter. Sie bieten eine große Anzahl von Diensten und Konfigurationsoptionen, so dass es nicht verwunderlich ist, dass ihre Zuverlässigkeit viel geringer ist. Wenn die Kontinuität des Dienstes für das Netzwerk von entscheidender Bedeutung ist, müssen Sie möglicherweise auswählen, was zu einer besseren Verfügbarkeit führt - Firewall-Sicherheit oder die Einfachheit eines Netzwerks, das auf Switches (oder verschiedenen Arten von Fabriken) mit normalen ACLs basiert.
Bei den obigen Beispielen müssen Sie höchstwahrscheinlich (wie üblich) einen Kompromiss finden. Suchen Sie nach folgenden Lösungen:

  • Wenn Sie keine Firewalls im Rechenzentrum verwenden möchten, müssen Sie überlegen, wie Sie den Zugriff auf den Perimeter so weit wie möglich einschränken können. Beispielsweise können Sie nur die erforderlichen Ports aus dem Internet (für den Clientverkehr) und den Administratorzugriff auf das Rechenzentrum nur von Sprunghosts aus öffnen. Führen Sie auf Sprunghosts alle erforderlichen Überprüfungen durch (Authentifizierung / Autorisierung, Antivirus, Protokollierung, ...).
  • Sie können die logische Partitionierung des Rechenzentrumsnetzwerks in Segmente verwenden, ähnlich dem im PSEFABRIC- Beispiel p002 beschriebenen Schema. In diesem Fall muss das Routing so konfiguriert werden, dass Datenverkehr, der für Verzögerungen oder Datenverkehr mit hoher Intensität empfindlich ist, "innerhalb" eines Segments (im Fall von p002, VRF-a) und nicht durch die Firewall geleitet wird. Der Datenverkehr zwischen verschiedenen Segmenten wird weiterhin durch die Firewall geleitet. Sie können auch Routenlecks zwischen VRFs verwenden, um zu vermeiden, dass der Datenverkehr durch die Firewall umgeleitet wird.
  • Sie können die Firewall auch im transparenten Modus verwenden und nur für VLANs, in denen diese Faktoren (Verzögerung / Leistung) nicht signifikant sind. Sie müssen jedoch die Einschränkungen, die mit der Verwendung dieses Mods verbunden sind, für jeden Anbieter sorgfältig untersuchen
  • Sie können eine Service-Chain-Architektur anwenden. Auf diese Weise können Sie nur den erforderlichen Datenverkehr durch die Firewall leiten. Es sieht theoretisch wunderschön aus, aber ich habe diese Lösung noch nie in der Produktion gesehen. Wir haben die Servicekette für Cisco ACI / Juniper SRX / F5 LTM vor ungefähr 3 Jahren getestet, aber zu diesem Zeitpunkt schien uns diese Lösung „roh“ zu sein.

Schutzstufe


Jetzt müssen Sie die Frage beantworten, mit welchen Tools Sie den Datenverkehr filtern möchten. Hier sind einige der Funktionen, die normalerweise in NGFW vorhanden sind (zum Beispiel hier ):

  • Stateful Firewalling (Standard)
  • Anwendungs-Firewall
  • Bedrohungsprävention (Antivirus, Anti-Spyware und Sicherheitslücke)
  • URL-Filterung
  • Datenfilterung (Inhaltsfilterung)
  • Dateiblockierung (Blockierung von Dateitypen)
  • Dos Schutz

Und auch nicht alles ist klar. Je höher das Schutzniveau, desto besser. Aber das müssen Sie auch berücksichtigen

  • Je mehr der oben genannten Firewall-Funktionen Sie verwenden, desto teurer wird es natürlich (Lizenzen, zusätzliche Module).
  • Die Verwendung bestimmter Algorithmen kann den Durchsatz der Firewall erheblich reduzieren und Verzögerungen erhöhen, siehe hier
  • Wie bei jeder komplexen Lösung kann die Verwendung komplexer Schutzmethoden die Zuverlässigkeit Ihrer Lösung verringern. Bei der Verwendung von Anwendungsfirewalling stieß ich beispielsweise auf die Blockierung einiger Standardanwendungen (DNS, SMB).

Sie müssen wie gewohnt die beste Lösung für Ihr Netzwerk finden.

Es ist unmöglich, die Frage, welche Schutzfunktionen erforderlich sein könnten, eindeutig zu beantworten. Erstens, weil es natürlich von den Daten abhängt, die Sie übertragen oder speichern und die Sie schützen möchten. Zweitens ist die Wahl der Mittel in der Realität oft eine Frage des Vertrauens in den Verkäufer. Sie kennen die Algorithmen nicht, Sie wissen nicht, wie effektiv sie sind, und Sie können sie nicht vollständig testen.

In kritischen Segmenten kann es daher eine gute Lösung sein, Angebote von verschiedenen Unternehmen zu verwenden. Sie können beispielsweise Antivirus auf einer Firewall aktivieren, aber auch lokal auf Hosts den Virenschutz (eines anderen Herstellers) verwenden.

Segmentierung


Dies ist eine logische Segmentierung des Rechenzentrumsnetzwerks. Zum Beispiel ist die Aufteilung in VLANs und Subnetze ebenfalls eine logische Segmentierung, die wir jedoch aufgrund ihrer Offensichtlichkeit nicht berücksichtigen werden. Die Segmentierung ist unter Berücksichtigung von Entitäten wie FW-Sicherheitszonen, VRF (und deren Analoga in Bezug auf verschiedene Anbieter), logischen Geräten (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ... interessant.
Ein Beispiel für eine solche logische Segmentierung und das derzeit erforderliche Rechenzentrumsdesign finden Sie in p002 des PSEFABRIC-Projekts .
Nachdem Sie die logischen Teile Ihres Netzwerks definiert haben, können Sie weiter beschreiben, wie der Datenverkehr zwischen verschiedenen Segmenten fließt, auf welchen Geräten gefiltert wird und auf welche Weise.

Wenn Ihr Netzwerk keine klare logische Partitionierung hat und die Regeln für die Anwendung von Sicherheitsrichtlinien für verschiedene Datenflüsse nicht formalisiert sind, bedeutet dies, dass Sie beim Öffnen des einen oder anderen Zugriffs gezwungen sind, dieses Problem zu lösen, und dass Sie es mit hoher Wahrscheinlichkeit jedes Mal lösen werden unterschiedlich.

Oft basiert die Segmentierung nur auf FW-Sicherheitszonen. Dann müssen Sie folgende Fragen beantworten:

  • Welche Sicherheitszonen benötigen Sie?
  • Welche Schutzstufe möchten Sie für jede dieser Zonen anwenden?
  • Gibt an, ob der zoneninterne Verkehr standardmäßig zulässig ist
  • Wenn nicht, welche Verkehrsfilterrichtlinien werden in jeder Zone angewendet
  • Welche Verkehrsfilterungsrichtlinien werden für jedes Zonenpaar (Quelle / Ziel) angewendet?

TCAM


Oft besteht das Problem eines unzureichenden TCAM (Ternary Content Addressable Memory), sowohl für das Routing als auch für die Zugriffe. IMHO, dies ist eines der wichtigsten Probleme bei der Auswahl der Ausrüstung, daher müssen Sie dieses Problem mit der richtigen Genauigkeit behandeln.

Beispiel 1. Weiterleitungstabelle TCAM.

Schauen wir uns die Palo Alto 7k- Firewall an.
Wir sehen, dass die IPv4-Weiterleitungstabellengröße * = 32 KB beträgt
Gleichzeitig ist diese Anzahl von Routen für alle VSYS gleich.

Angenommen, Sie entscheiden sich für 4 VSYSs gemäß Ihrem Design.
Jeder dieser BGPS-VSYSs ist mit zwei MPLS-Cloud-PEs verbunden, die Sie als BB verwenden. Somit tauschen 4 VSYS alle spezifischen Routen miteinander aus und haben eine Weiterleitungstabelle mit ungefähr denselben Routensätzen (aber unterschiedlichen NHs). Weil Jedes VSYS verfügt über 2 BGP-Sitzungen (mit denselben Einstellungen). Jede über MPLS empfangene Route verfügt über 2 NH- und dementsprechend über 2 FIB-Einträge in der Weiterleitungstabelle. Wenn wir davon ausgehen, dass dies die einzige Firewall im Rechenzentrum ist und alle Routen kennen sollte, bedeutet dies, dass die Gesamtzahl der Routen in unserem Rechenzentrum nicht mehr als 32 KB / (4 * 2) = 4 KB betragen darf.

Wenn wir nun davon ausgehen, dass wir zwei Rechenzentren (mit demselben Design) haben und VLANs verwenden möchten, die zwischen Rechenzentren „gestreckt“ sind (z. B. für vMotion), sollten wir zur Lösung des Routing-Problems verwenden Host-Routen, aber dies bedeutet, dass wir für 2 Rechenzentren nicht mehr als 4096 mögliche Hosts haben und dies natürlich nicht ausreicht.
Beispiel 2. ACL TCAM.

Wenn Sie den Datenverkehr auf L3-Switches (oder anderen Lösungen mit L3-Switches, z. B. Cisco ACI) filtern möchten, sollten Sie bei der Auswahl der Geräte auf TCAM-ACLs achten.

Angenommen, Sie möchten den Zugriff auf SVI-Schnittstellen des Cisco Catalyst 4500 steuern. Wie Sie in diesem Artikel sehen können , können Sie dann nur 4096 TCAM-Leitungen verwenden, um den ausgehenden (sowie eingehenden) Verkehr auf Schnittstellen zu steuern. Wenn Sie TCAM3 verwenden, erhalten Sie ungefähr 4000.000 ACEs (ACL-Zeilen).
Wenn Sie mit dem Problem einer unzureichenden TCAM konfrontiert sind, müssen Sie natürlich zunächst die Möglichkeit einer Optimierung in Betracht ziehen. Im Falle eines Problems mit der Größe der Weiterleitungstabelle müssen Sie die Möglichkeit der Aggregation von Routen in Betracht ziehen. Im Falle eines Problems mit der TCAM-Größe für Zugriffe - Prüfung von Zugriffen, Löschen veralteter und überlappender Datensätze sowie möglicherweise eine Überarbeitung des Verfahrens zum Öffnen von Zugriffen (wird im Kapitel über die Zugangsüberwachung ausführlich erläutert).

Hohe Verfügbarkeit


Die Frage ist, ob HA für Firewalls verwendet oder zwei unabhängige Boxen "parallel" geschaltet werden sollen. Falls eine davon abstürzt, leiten Sie den Verkehr durch die zweite.

Es scheint, dass die Antwort offensichtlich ist - verwenden Sie HA. Der Grund, warum sich diese Frage dennoch stellt, ist, dass sich die theoretischen und werblichen 99 und einige Neunen nach dem Dezimalpunkt des Prozentsatzes der Zugänglichkeit in der Praxis leider als weit weniger rosig herausstellen. HA ist logisch ziemlich kompliziert, und auf verschiedenen Geräten und mit verschiedenen Anbietern (es gab keine Ausnahmen) haben wir Probleme und Fehler sowie das Herunterfahren des Dienstes festgestellt.

Wenn Sie HA verwenden, können Sie einzelne Knoten ausschalten und zwischen ihnen wechseln, ohne den Dienst zu beenden. Dies ist beispielsweise beim Upgrade wichtig. Sie haben jedoch keinesfalls die Wahrscheinlichkeit, dass beide Knoten gleichzeitig und auch beim nächsten Knoten ausfallen Das Upgrade verläuft nicht so reibungslos wie vom Hersteller versprochen (dieses Problem kann vermieden werden, wenn Sie die Möglichkeit haben, das Upgrade an Laborgeräten zu testen).

Wenn Sie kein HA verwenden, sind Ihre Risiken unter dem Gesichtspunkt des doppelten Schadens viel geringer (da Sie 2 unabhängige Firewalls haben), aber weil Da Sitzungen nicht synchronisiert sind, verlieren Sie jedes Mal, wenn zwischen diesen Firewalls gewechselt wird, Datenverkehr. Sie können natürlich zustandslose Firewall verwenden, aber dann geht die Bedeutung der Verwendung einer Firewall weitgehend verloren.

Wenn Sie als Ergebnis eines Audits einsame Firewalls finden und darüber nachdenken, die Zuverlässigkeit Ihres Netzwerks zu erhöhen, ist HA natürlich eine der empfohlenen Lösungen, aber Sie sollten die mit diesem Ansatz verbundenen Nachteile berücksichtigen und möglicherweise nur für Sie Eine andere Lösung wäre angemessener.

Bequemlichkeit im Management (Verwaltbarkeit)


Grundsätzlich geht es bei HA auch um Verwaltbarkeit. Anstatt zwei Boxen einzeln zu konfigurieren und das Problem der Synchronisierung von Konfigurationen zu lösen, verwalten Sie sie auf viele Arten, als hätten Sie ein Gerät.

Aber vielleicht haben Sie viele Rechenzentren und viele Firewalls, dann steigt diese Frage auf eine neue Ebene. Und die Frage betrifft nicht nur die Konfiguration, sondern auch

  • Backup-Konfigurationen
  • Updates
  • Upgrades
  • Überwachung
  • Protokollierung

Und all dies kann durch zentralisierte Managementsysteme gelöst werden.
Wenn Sie beispielsweise Palo Alto-Firewalls verwenden, ist Panorama eine solche Lösung.

Fortsetzung folgt.

Source: https://habr.com/ru/post/de435138/

More articles:


All Articles