So übernehmen Sie die Kontrolle über Ihre Netzwerkinfrastruktur. Kapitel Drei Netzwerksicherheit. Teil drei

Dieser Artikel ist der fünfte in einer Reihe von Artikeln mit dem Titel „So nehmen Sie die Netzwerkinfrastruktur unter Ihre Kontrolle“. Den Inhalt aller Artikel der Reihe und Links finden Sie hier .

Dieser Teil konzentriert sich auf die Prüfung der Segmente Campus Security Design (Office) und RAS-VPN.



Es scheint, dass das Design eines Büronetzwerks einfach ist.

In der Tat nehmen wir L2 / L3-Schalter und verbinden sie miteinander. Als nächstes führen wir eine elementare Konfiguration von Vilans, Standard-Gateways durch, erhöhen das einfache Routing, verbinden WiFi-Controller, Access Points, installieren und konfigurieren ASA für den Remotezugriff. Wir sind froh, dass alles funktioniert hat. Im Prinzip kann, wie ich bereits in einem der vorherigen Artikel dieser Reihe geschrieben habe, fast jeder Student, der zwei Semester eines Kurses im Fernsehen gehört (und gelernt) hat, ein Büronetzwerk so entwerfen und konfigurieren, dass es „irgendwie funktioniert“.

Aber je mehr Sie lernen, desto weniger elementar erscheint diese Aufgabe. Für mich persönlich scheint dieses Thema, das Thema des Office-Netzwerkdesigns, überhaupt nicht einfach zu sein, und in diesem Artikel werde ich versuchen zu erklären, warum.

Kurz gesagt, viele Faktoren müssen berücksichtigt werden. Oft stehen diese Faktoren in Konflikt miteinander und müssen einen vernünftigen Kompromiss suchen.
Diese Unsicherheit ist die Hauptschwierigkeit. Apropos Sicherheit: Wir haben ein Dreieck mit drei Eckpunkten: Sicherheit, Komfort für die Mitarbeiter und Preis der Lösung.
Und jedes Mal müssen Sie einen Kompromiss zwischen den drei finden.

Architektur

Als Beispiel für die Architektur dieser beiden Segmente empfehle ich wie in früheren Artikeln das Cisco SAFE- Modell: Enterprise Campus , Enterprise Internet Edge .

Dies sind etwas veraltete Dokumente. Ich bringe sie hierher, weil sich die Schemata und der Ansatz im Prinzip nicht geändert haben, aber gleichzeitig gefällt mir die Präsentation mehr als in der neuen Dokumentation .

Ohne Sie zur Verwendung von Cisco-Lösungen aufzufordern, finde ich es dennoch nützlich, dieses Design sorgfältig zu studieren.

Dieser Artikel ist wie üblich, ohne vorzutäuschen, in irgendeiner Weise zu sein, eher eine Ergänzung zu diesen Informationen.

Am Ende des Artikels werden wir das Design von Cisco SAFE für das Büro anhand der hier beschriebenen Konzepte analysieren.

Allgemeine Grundsätze

Der Entwurf eines Büronetzwerks muss natürlich den allgemeinen Anforderungen entsprechen, die hier im Kapitel „Kriterien für die Bewertung der Entwurfsqualität“ erläutert werden . Zusätzlich zu dem Preis und der Sicherheit, die wir in diesem Artikel diskutieren möchten, gibt es drei weitere Kriterien, die wir beim Entwerfen (oder beim Vornehmen von Änderungen) berücksichtigen müssen:

• Skalierbarkeit
• Bequemlichkeit im Management (Verwaltbarkeit)
• Verfügbarkeit

Vieles, was für Rechenzentren besprochen wurde , gilt auch für das Büro.

Dennoch hat das Bürosegment eine eigene Spezifität, die aus sicherheitstechnischer Sicht von entscheidender Bedeutung ist. Das Wesentliche dieser Besonderheit ist, dass dieses Segment geschaffen wurde, um Netzwerkdienste für Mitarbeiter (sowie Partner und Gäste) des Unternehmens bereitzustellen. Daher haben wir zwei Aufgaben auf höchster Ebene der Problembetrachtung:

• Schützen Sie die Unternehmensressourcen vor böswilligen Aktionen, die von Mitarbeitern (Gästen, Partnern) und der von ihnen verwendeten Software ausgehen können. Dies beinhaltet auch den Schutz vor nicht autorisierten Netzwerkverbindungen.
• Systeme und Benutzerdaten schützen

Und dies ist nur eine Seite des Problems (oder vielmehr ein Scheitelpunkt des Dreiecks). Auf der anderen Seite steht der Benutzerkomfort und der Preis der angewandten Lösungen.

Betrachten wir zunächst, was der Benutzer von einem modernen Büronetzwerk erwartet.

Ausstattung

So sehen meiner Meinung nach "Netzwerkkomfort" für einen Bürobenutzer aus:

• Mobilität
• Die Fähigkeit, die gesamte Palette bekannter Geräte und Betriebssysteme zu nutzen
• Einfacher Zugriff auf alle erforderlichen Unternehmensressourcen
• Verfügbarkeit von Internetressourcen, einschließlich verschiedener Cloud-Dienste
• Netzwerk "Schnelle Arbeit"

All dies gilt sowohl für Mitarbeiter als auch für Gäste (oder Partner), und dies ist bereits Aufgabe der Ingenieure des Unternehmens auf der Grundlage der Berechtigung, den Zugriff für verschiedene Benutzergruppen zu differenzieren.

Schauen wir uns jeden dieser Aspekte genauer an.

Mobilität

Es geht um die Fähigkeit, von überall auf der Welt (natürlich dort, wo das Internet verfügbar ist) zu arbeiten und alle notwendigen Ressourcen des Unternehmens zu nutzen.

Dies gilt uneingeschränkt für das Büro. Dies ist praktisch, wenn Sie die Möglichkeit haben, von überall im Büro aus weiter zu arbeiten, z. B. E-Mails zu empfangen, in einem Unternehmens-Messenger zu kommunizieren, für einen Videoanruf verfügbar zu sein ... Auf diese Weise können Sie einerseits einige Probleme über das „Live“ lösen. Kommunikation (zum Beispiel um an Rallyes teilzunehmen) und andererseits - seien Sie immer online, bleiben Sie auf dem Laufenden und lösen Sie schnell einige dringende Aufgaben mit hoher Priorität. Es ist sehr praktisch und verbessert in der Tat die Qualität der Kommunikation.

Dies wird durch das korrekte Design des WiFi-Netzwerks erreicht.

Bemerkung

Dies wirft normalerweise die Frage auf, ob es ausreicht, nur WLAN zu verwenden. Bedeutet dies, dass Sie die Verwendung von Ethernet-Ports im Büro ablehnen können? Wenn es sich nur um Benutzer handelt und nicht um Server, die dennoch eine Verbindung mit einem normalen Ethernet-Port herstellen sollten, lautet die Antwort im Allgemeinen: Ja, Sie können sich nur auf WLAN beschränken. Aber es gibt Nuancen.

Es gibt wichtige Benutzergruppen, die einen separaten Ansatz erfordern. Dies sind natürlich Administratoren. Im Prinzip ist eine WiFi-Verbindung weniger zuverlässig (in Bezug auf Verkehrsverlust) und weniger schnell als ein normaler Ethernet-Port. Dies kann für Administratoren von Bedeutung sein. Darüber hinaus können Netzwerkadministratoren beispielsweise grundsätzlich über ein eigenes dediziertes Ethernet-Netzwerk für Out-of-Band-Verbindungen verfügen.

Möglicherweise gibt es in Ihrem Unternehmen andere Gruppen / Abteilungen, für die diese Faktoren ebenfalls wichtig sind.

Es gibt noch einen weiteren wichtigen Punkt - die Telefonie. Vielleicht möchten Sie aus irgendeinem Grund kein drahtloses VoIP verwenden und IP-Telefone mit einer normalen Ethernet-Verbindung verwenden.

In den Unternehmen, in denen ich gearbeitet habe, bestand im Allgemeinen die Möglichkeit einer WiFi-Verbindung und eines Ethernet-Anschlusses.

Ich wünschte, die Mobilität wäre nicht nur auf das Büro beschränkt.

Um sicherzustellen, dass Sie von zu Hause aus (oder an einem anderen Ort mit barrierefreiem Internet) arbeiten können, wird eine VPN-Verbindung verwendet. Gleichzeitig ist es wünschenswert, dass die Mitarbeiter den Unterschied zwischen Heimarbeit und Fernarbeit nicht spüren, was das Vorhandensein derselben Zugriffe impliziert. Wir werden später im Kapitel „Einheitliches zentrales Authentifizierungs- und Autorisierungssystem“ erläutern, wie dies organisiert werden kann.

Bemerkung

Höchstwahrscheinlich sind Sie nicht in der Lage, die gleiche Qualität von Diensten für Remote-Arbeiten bereitzustellen, die Sie im Büro haben. Nehmen wir an, Sie verwenden einen Cisco ASA 5520 als VPN-Gateway. Laut Datenblatt kann dieses Gerät nur 225 Mbit / s VPN-Verkehr „verdauen“. Das heißt natürlich, was die Bandbreite betrifft, unterscheidet sich eine VPN-Verbindung stark von der Arbeit in einem Büro. Wenn aus irgendeinem Grund die Verzögerung, der Verlust und der Jitter (z. B. wenn Sie die Office-IP-Telefonie verwenden möchten) für Ihre Netzwerkdienste erheblich sind, erhalten Sie auch nicht die gleiche Qualität wie im Büro. Wenn wir über Mobilität sprechen, müssen wir daher die möglichen Einschränkungen berücksichtigen.

Einfacher Zugriff auf alle Unternehmensressourcen

Diese Aufgabe sollte in Zusammenarbeit mit anderen technischen Abteilungen angegangen werden.
Die ideale Situation ist, wenn der Benutzer sich nur einmal authentifizieren muss und danach Zugriff auf alle erforderlichen Ressourcen erhält.
Durch die Bereitstellung eines einfachen Zugriffs ohne Beeinträchtigung der Sicherheit kann die Arbeitseffizienz erheblich gesteigert und der Stress Ihrer Kollegen verringert werden.

Bemerkung 1

Bei der Erleichterung des Zugriffs geht es nicht nur darum, wie oft Sie ein Passwort eingeben müssen. Wenn Sie beispielsweise gemäß Ihrer Sicherheitsrichtlinie, um eine Verbindung vom Büro zum Rechenzentrum herzustellen, zuerst eine Verbindung zum VPN-Gateway herstellen müssen und gleichzeitig den Zugriff auf Büroressourcen verlieren, ist dies ebenfalls sehr, sehr unpraktisch.

Bemerkung 2

Es gibt Dienste (z. B. Zugriff auf Netzwerkgeräte), bei denen wir normalerweise über eigene dedizierte AAA-Server verfügen. Dies ist die Norm, wenn Sie sich in diesem Fall mehrmals authentifizieren müssen.

Verfügbarkeit von Internetquellen

Das Internet ist nicht nur Unterhaltung, sondern auch eine Reihe von Diensten, die für die Arbeit sehr nützlich sein können. Es gibt auch rein psychologische Faktoren. Ein moderner Mensch über das Internet über viele virtuelle Threads, die mit anderen Menschen verbunden sind, und meiner Meinung nach ist nichts falsch, wenn er diese Verbindung auch während der Arbeit weiterhin spürt.

Unter dem Gesichtspunkt des Zeitverlusts besteht kein Grund zur Sorge, wenn ein Mitarbeiter beispielsweise Skype ausführt, und er wird bei Bedarf 5 Minuten lang mit einem geliebten Menschen sprechen.

Bedeutet dies, dass das Internet immer verfügbar sein sollte, bedeutet dies, dass Mitarbeiter den Zugang zu allen Ressourcen öffnen und keine Kontrolle über sie haben können?

Nein, natürlich nicht. Der Grad der Offenheit des Internets kann für verschiedene Unternehmen unterschiedlich sein - von der vollständigen Schließung bis zur vollständigen Offenheit. Wir werden später in den Abschnitten über Sicherheitsfunktionen Möglichkeiten zur Steuerung des Datenverkehrs erörtern.

Die Fähigkeit, die gesamte Palette bekannter Geräte zu nutzen

Es ist praktisch, wenn Sie beispielsweise die Möglichkeit haben, weiterhin alle Ihre üblichen Kommunikationsmittel bei der Arbeit zu verwenden. Es gibt keine Schwierigkeiten, dies technisch umzusetzen. Dazu benötigen Sie WLAN und einen Gast-Vilan.

Es ist auch gut, wenn Sie das gewohnte Betriebssystem verwenden können. Nach meiner Beobachtung ist dies jedoch normalerweise nur Managern, Administratoren und Entwicklern gestattet.

Beispiel

Sie können natürlich den Weg der Verbote verfolgen, den Fernzugriff verbieten, die Verbindung von mobilen Geräten verbieten, alle statischen Ethernet-Verbindungen einschränken, den Internetzugang einschränken, ohne Handys und Gadgets am Checkpoint zu entfernen ... und auf diese Weise einige Organisationen mit erhöhtem Zugriff Sicherheitsanforderungen, und vielleicht in einigen Fällen, kann dies gerechtfertigt sein, aber ... stimmen zu, dass es wie ein Versuch aussieht, den Fortschritt in einer einzelnen Organisation zu stoppen. Natürlich möchte ich die Möglichkeiten, die moderne Technologien bieten, mit einem angemessenen Sicherheitsniveau kombinieren.

Netzwerk "Schnelle Arbeit"

Die Datenübertragungsrate besteht technisch aus vielen Faktoren. Und die Geschwindigkeit Ihres Verbindungsports ist normalerweise nicht die wichtigste. Nicht immer ist der langsame Betrieb der Anwendung mit Netzwerkproblemen verbunden, aber jetzt interessieren wir uns nur noch für den Netzwerkteil. Das häufigste Problem beim „Verlangsamen“ eines lokalen Netzwerks hängt mit dem Paketverlust zusammen. Dies tritt normalerweise mit einem Engpass-Effekt oder mit L1 (OSI) -Problemen auf. Bei einigen Designs (z. B. wenn eine Firewall als Standard-Gateway in Ihren Subnetzen fungiert und daher der gesamte Datenverkehr durch sie geleitet wird) ist die Hardwareleistung möglicherweise seltener.

Daher müssen Sie bei der Auswahl der Geräte und der Architektur die Geschwindigkeiten der Endanschlüsse, Amtsleitungen und die Leistung der Geräte in Beziehung setzen.

Beispiel

Angenommen, Sie verwenden Switches mit 1-Gigabit-Ports als Switches auf Zugriffsebene. Sie sind über einen Etherchannel mit 2 x 10 Gigabit miteinander verbunden. Als Standard-Gateway verwenden Sie eine Firewall mit Gigabit-Ports, um eine Verbindung zum L2-Netzwerk des Büros herzustellen. Sie verwenden 2 Gigabit-Ports, die in einem Etherchannel kombiniert sind.

Diese Architektur ist in Bezug auf die Funktionalität sehr praktisch, weil Der gesamte Datenverkehr wird durch die Firewall geleitet, und Sie können Zugriffsrichtlinien bequem verwalten und komplexe Algorithmen anwenden, um den Datenverkehr zu steuern und mögliche Angriffe zu verhindern (siehe unten). Unter dem Gesichtspunkt der Bandbreite und Leistung weist dieses Design natürlich potenzielle Probleme auf. So können beispielsweise 2 Hosts, die Daten herunterladen (mit einer Portgeschwindigkeit von 1 Gigabit), eine 2-Gigabit-Verbindung zur Firewall vollständig laden und so zu einer Verschlechterung des Dienstes für das gesamte Bürosegment führen.

Wir haben uns einen Scheitelpunkt des Dreiecks angesehen. Schauen wir uns nun an, wie wir Sicherheit bieten können.

Schutzmittel

Normalerweise besteht unser Wunsch (oder vielmehr der Wunsch unserer Führung) darin, das Unmögliche zu erreichen, nämlich maximalen Komfort bei maximaler Sicherheit und minimalem Preis zu bieten.

Schauen wir uns an, welche Methoden wir zum Schutz benötigen.

Für das Büro würde ich Folgendes herausgreifen:

• Zero Trust Design-Ansatz
• hohes Schutzniveau
• Netzwerksichtbarkeit
• einzelnes zentrales Authentifizierungs- und Autorisierungssystem
• Host-Überprüfung

Als nächstes werden wir auf jeden dieser Aspekte näher eingehen.

Kein Vertrauen

Die IT-Welt verändert sich sehr schnell. In den letzten 10 Jahren hat das Aufkommen neuer Technologien und Produkte buchstäblich zu einer umfassenden Überarbeitung der Sicherheitskonzepte geführt. Aus Sicherheitsgründen haben wir das Netzwerk vor zehn Jahren in Vertrauens-, dmz- und nicht vertrauenswürdige Zonen unterteilt, und es wurde die sogenannte „Perimeter-Verteidigung“ angewendet, bei der es zwei Verteidigungslinien gab: nicht vertrauenswürdig -> dmz und dmz -> Vertrauen. Außerdem war der Schutz normalerweise auf Zugriffslisten beschränkt, die auf L3 / L4-Headern (OSI) basieren (IP-, TCP / UDP-Ports, TCP-Flags). Alles, was mit höheren Ebenen zu tun hatte, einschließlich L7, wurde dem Betriebssystem und den Schutzprodukten überlassen, die auf den Endhosts installiert waren.

Jetzt hat sich die Situation dramatisch verändert. Das moderne Konzept des Null-Vertrauens geht von der Tatsache aus, dass es nicht mehr möglich ist, das Interne, dh die Systeme innerhalb des vertrauenswürdigen Perimeters, zu berücksichtigen, und das eigentliche Konzept des Perimeters ist verschwommen.
Neben der Internetverbindung haben wir auch

• RAS-VPN-Benutzer
• verschiedene persönliche Geräte, die von Laptops mitgebracht werden, die über WLAN im Büro verbunden sind
• andere (Zweig-) Büros
• Integration in die Cloud-Infrastruktur

Wie sieht der Zero Trust-Ansatz in der Praxis aus?

Im Idealfall sollte nur der erforderliche Datenverkehr zugelassen werden. Wenn es sich um das Ideal handelt, sollte die Steuerung nicht nur auf L3 / L4-Ebene, sondern auch auf Anwendungsebene erfolgen.

Wenn Sie beispielsweise die Möglichkeit haben, den gesamten Datenverkehr durch die Firewall zu leiten, können Sie versuchen, dem Ideal näher zu kommen. Dieser Ansatz kann jedoch die Gesamtbandbreite Ihres Netzwerks erheblich reduzieren, und außerdem funktioniert das Filtern nach Anwendung nicht immer gut.

Bei der Überwachung des Datenverkehrs auf einem Router oder L3-Switch (unter Verwendung von Standard-ACLs) treten andere Probleme auf:

• Dies ist nur eine L3 / L4-Filterung. Nichts hindert einen Angreifer daran, zulässige Ports (z. B. TCP 80) für seine Anwendung zu verwenden (nicht http).
• komplexes ACL-Management (schwer zu analysierende ACLs)
• Dies ist keine Statefull-Firewall, dh Sie müssen den umgekehrten Datenverkehr explizit zulassen
• Bei Switches sind Sie normalerweise durch die Größe des TCAM sehr stark eingeschränkt. Wenn Sie den Ansatz "Nur das zulassen, was Sie brauchen" verwenden, kann dies schnell zu einem Problem werden

Bemerkung

Wenn wir vom umgekehrten Verkehr sprechen, müssen wir uns daran erinnern, dass wir die nächste Gelegenheit haben (Cisco)

erlauben tcp alle etablierten

Sie müssen jedoch verstehen, dass diese Zeile zwei Zeilen entspricht:
Erlaube tcp jede Bestätigung
Erlaube tcp irgendeinen ersten

Dies bedeutet, dass diese ACL das Paket mit dem ACK-Flag überspringt, mit dem der Angreifer Daten übertragen kann, selbst wenn es kein anfängliches TCP-Segment mit einem SYN-Flag gab (dh die TCP-Sitzung wurde noch nicht einmal eingerichtet).

Das heißt, diese Leitung verwandelt Ihren Router oder L3-Switch in keiner Weise in eine Statefull-Firewall.

Hohes Schutzniveau

In dem Artikel im Abschnitt über Rechenzentren haben wir die folgenden Schutzmethoden betrachtet.

• Stateful Firewalling (Standard)
• ddos / dos schutz
• Anwendungs-Firewall
• Bedrohungsprävention (Antivirus, Anti-Spyware und Sicherheitslücke)
• URL-Filterung
• Datenfilterung (Inhaltsfilterung)
• Dateiblockierung (Blockierung von Dateitypen)

Im Falle des Büros ist die Situation ähnlich, aber die Prioritäten unterscheiden sich geringfügig. Die Erreichbarkeit von Büros (Verfügbarkeit) ist normalerweise nicht so kritisch wie im Fall eines Rechenzentrums, während die Wahrscheinlichkeit von „internem“ böswilligem Datenverkehr um Größenordnungen höher ist.
Daher werden die folgenden Schutzmethoden für dieses Segment kritisch:

• Anwendungs-Firewall
• Bedrohungsprävention (Antivirus, Anti-Spyware und Sicherheitslücke)
• URL-Filterung
• Datenfilterung (Inhaltsfilterung)
• Dateiblockierung (Blockierung von Dateitypen)

Obwohl alle diese Schutzmethoden mit Ausnahme der Anwendungsfirewall traditionell aufgelöst wurden und weiterhin auf den Endhosts (z. B. durch Installation von Antivirenprogrammen) und Verwendung von Proxys aufgelöst werden, bieten moderne NGFWs diese Dienste ebenfalls an.

Anbieter von Sicherheitsausrüstung bemühen sich um einen umfassenden Schutz. Daher werden neben dem Schutz der lokalen Box verschiedene Cloud-Technologien und Client-Software für Hosts (Endpunktschutz / EPP) angeboten. Aus dem Gartner Magic Quadrant für 2018 geht beispielsweise hervor, dass Palo Alto und Cisco ihre eigenen EPPs (PA: Traps, Cisco: AMP) haben, aber weit von den Marktführern entfernt sind.

Die Aufnahme dieser Schutzmaßnahmen (normalerweise durch den Kauf von Lizenzen) in die Firewall ist natürlich nicht obligatorisch (Sie können den herkömmlichen Weg gehen), bietet jedoch einige Vorteile:

• In diesem Fall wird ein einziger Anwendungspunkt für Schutzmethoden angezeigt, der die Sichtbarkeit verbessert (siehe nächstes Thema).
• Wenn Ihr Netzwerk über ein ungeschütztes Gerät verfügt, fällt es immer noch unter den „Dach“ des Firewall-Schutzes
• Durch die Verwendung des Schutzes der Firewall zusammen mit dem Schutz der Endhosts erhöhen wir die Wahrscheinlichkeit, böswilligen Datenverkehr zu erkennen. Beispielsweise erhöht die Verwendung der Bedrohungsprävention auf lokalen Hosts und auf einer Firewall die Wahrscheinlichkeit der Erkennung (vorausgesetzt natürlich, dass diese Lösungen auf verschiedenen Softwareprodukten basieren).

Informationen

Wenn Sie beispielsweise Kaspersky sowohl auf der Firewall als auch auf den Endhosts als Antivirenprogramm verwenden, erhöht dies natürlich nicht wesentlich Ihre Chancen, einen Virenangriff auf Ihr Netzwerk zu verhindern.

Netzwerksichtbarkeit

Die Grundidee ist einfach: Sie können in Echtzeit und in historischen Daten „sehen“, was in Ihrem Netzwerk geschieht.

Ich würde diese „Vision“ in zwei Gruppen einteilen:

Gruppe Eins: Was Ihr Überwachungssystem Ihnen normalerweise bietet.

• Laden der Ausrüstung
• Ladekanäle
• Speichernutzung
• Festplattennutzung
• Ändern der Routing-Tabelle
• Verbindungsstatus
• Verfügbarkeit von Ausrüstung (oder Hosts)
• ...

Gruppe Zwei: Sicherheitsbezogene Informationen.

• verschiedene Arten von Statistiken (z. B. nach Anwendung, nach Verkehrs-URL, welche Datentypen heruntergeladen wurden, Daten von Benutzern)
• was durch Sicherheitsrichtlinien blockiert wurde und aus welchem ​​Grund, nämlich
  
  • verbotene Anwendung
  • verboten basierend auf ip / protocol / port / flags / zonen
  • Bedrohungsprävention
  • URL-Filterung
  • Datenfilterung
  • Dateiblockierung
  • ...
• Statistiken zu DOS / DDOS-Angriffen
• Fehlgeschlagene Authentifizierungs- und Autorisierungsversuche
• Statistiken zu allen oben genannten Verstößen gegen Sicherheitsrichtlinien
• ...

In diesem Kapitel über Sicherheit interessieren wir uns genau für den zweiten Teil.

Einige moderne Firewalls (aus meiner Praxis in Palo Alto) bieten eine gute Sichtbarkeit. Aber natürlich sollte der Verkehr, der Sie interessiert, durch diese Firewall gehen (in diesem Fall können Sie den Verkehr blockieren) oder in die Firewall gespiegelt werden (nur zur Überwachung und Analyse verwendet), und Sie müssen über Lizenzen verfügen, um alle diese Dienste zu aktivieren .

Es gibt natürlich einen alternativen Weg, aber eher einen traditionellen Weg, zum Beispiel

• Statistiken zu Sitzungen können über netflow erfasst werden. Anschließend können mithilfe spezieller Dienstprogramme Informationen analysiert und Daten visualisiert werden
• Bedrohungsprävention - spezielle Programme (Antivirus, Anti-Spyware, Firewall) auf Endhosts
• URL-Filterung, Datenfilterung, Dateiblockierung - auf Proxy
• Sie können tcpdump auch mit z. B. Schnauben analysieren

Sie können diese beiden Ansätze kombinieren, indem Sie die fehlenden Funktionen ergänzen oder duplizieren, um die Wahrscheinlichkeit einer Angriffserkennung zu erhöhen.

Welchen Ansatz wählen?
Dies hängt von den Qualifikationen und Vorlieben Ihres Teams ab.
Sowohl dort als auch dort gibt es Vor- und Nachteile.

Einheitliches zentrales Authentifizierungs- und Autorisierungssystem

Bei einem guten Design setzt die in diesem Artikel beschriebene Mobilität voraus, dass Sie denselben Zugriff haben, wenn Sie vom Büro oder von zu Hause aus, vom Flughafen, von einem Café oder einem anderen Punkt aus arbeiten (mit den oben beschriebenen Einschränkungen). Es scheint, was ist das Problem?
Um die Komplexität dieser Aufgabe besser zu verstehen, schauen wir uns ein typisches Design an.

Beispiel

• Sie haben alle Mitarbeiter in Gruppen eingeteilt. Sie haben beschlossen, Gruppenzugriff bereitzustellen
• Innerhalb des Büros steuern Sie den Zugriff auf die Office-Firewall
• Sie steuern den Datenverkehr vom Büro zum Rechenzentrum in der Firewall des Rechenzentrums
• Als VPN-Gateway verwenden Sie den Cisco ASA. Um den von den zugewiesenen Clients in Ihr Netzwerk eingehenden Datenverkehr zu steuern, verwenden Sie lokale ACLs (auf dem ASA)

, , . .

,

• ASA IP
• ACL ASA
• security policy -

, . , , , 1 -2 , . , - .

.

, , LDAP. , .

, , ,

• guest ( )
• common access ( : , , …)
• accounting
• project 1
• project 2
• data base administrator
• linux administrator
• …

- , 1, 2, , :

• guest
• common access
• project 1
• project 2

?

Cisco ASA Dynamic Access Policy (DAP) (. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html ) .

, / ASA LDAP , «» ACL ( ) ACL , .

VPN . , VPN, .

, 802.1x ( ), ( ). , (, -) VPN.

ASA. , ( , , , , dns, ...) ASA, . , ASA , .

, .

• , ,
• , ASA

?
. , .
, , LDAP, .

(host checking)

Wenn eine Remoteverbindung möglich ist, besteht das Risiko, dass nicht nur ein Mitarbeiter des Unternehmens, sondern auch sämtliche schädliche Software, die wahrscheinlich auf seinem Computer (z. B. zu Hause) vorhanden ist, über diese Software in das Netzwerk aufgenommen wird unser Netzwerk an einen Angreifer, der diesen Host als Proxy verwendet.

Es ist sinnvoll, dass ein Remote-Host dieselben Sicherheitsanforderungen anwendet wie ein Office-Host.

Dies umfasst auch die „richtige“ Version des Betriebssystems, Antiviren-, Antispyware- und Firewall-Software sowie Updates. Normalerweise ist diese Funktion auf dem VPN-Gateway vorhanden (Informationen zum ASA finden Sie beispielsweise hier ).

Es ist auch sinnvoll, dieselben Methoden zur Verkehrsanalyse und -blockierung anzuwenden (siehe "Hohes Schutzniveau"), die gemäß Ihrer Sicherheitsrichtlinie für den Büroverkehr gelten.

Es ist davon auszugehen, dass Ihr Büronetzwerk jetzt nicht auf das Bürogebäude und die darin befindlichen Hosts beschränkt ist.

Beispiel

Ein guter Empfang besteht darin, jeden Mitarbeiter, der Fernzugriff benötigt, mit einem guten, praktischen Laptop auszustatten und von ihm zu verlangen, dass er sowohl im Büro als auch zu Hause nur von ihm aus arbeitet.

Dies erhöht nicht nur das Sicherheitsniveau Ihres Netzwerks, sondern ist auch sehr praktisch und wird von den Mitarbeitern normalerweise positiv wahrgenommen (wenn es sich um einen wirklich guten und praktischen Laptop handelt).

Über einen Sinn für Proportionen und Ausgewogenheit

Im Prinzip handelt es sich hierbei um ein Gespräch über den dritten Höhepunkt unseres Dreiecks - über den Preis.
Schauen wir uns ein hypothetisches Beispiel an.

200 . .

. security , (anti-virus, anti-spyware, and firewall software), .

( ) 10- , — NGFW , , Palo Alto 7K (c 40 ), , , High Availability .

, , security .

, .

, 10 , ( ) .

, 200 …
? , .

…
, - , . — , , , .

Ist dieses Beispiel übertrieben? Das nächste Kapitel wird diese Frage beantworten.

Wenn Sie in Ihrem Netzwerk nichts von dem sehen, was in diesem Artikel berücksichtigt wird, ist dies die Norm.
Für jeden speziellen Fall müssen Sie einen angemessenen Kompromiss zwischen Komfort, Preis und Sicherheit finden. Oft benötigen Sie nicht einmal NGFW in Ihrem Büro, L7-Schutz auf einer Firewall ist nicht erforderlich. Es reicht aus, ein gutes Maß an Sichtbarkeit und Warnungen bereitzustellen, und dies kann beispielsweise mit Open Source-Produkten erfolgen. Ja, Ihre Reaktion auf den Angriff erfolgt nicht sofort, aber die Hauptsache ist, dass Sie ihn sehen und wenn Sie die richtigen Prozesse in Ihrer Abteilung haben, können Sie ihn schnell neutralisieren.

Und ich erinnere Sie daran, dass Sie gemäß dem Plan der Reihe dieser Artikel nicht am Netzwerkdesign beteiligt sind, sondern nur versuchen, das zu verbessern, was Sie erhalten haben.

SICHERE Analyse der Büroarchitektur

Achten Sie auf dieses rote Quadrat, mit dem ich einen Platz im Diagramm aus dem SAFE Secure Campus Architecture Guide zugewiesen habe , den ich hier diskutieren möchte.



Dies ist einer der wichtigsten Orte der Architektur und eine der wichtigsten Unsicherheiten.

Hinweis:

Ich habe FirePower nie eingerichtet und nicht mit FirePower (von der Cisco-Firewall-Linie - nur mit ASA) gearbeitet. Daher werde ich es wie jede andere Firewall betrachten, z. B. Juniper SRX oder Palo Alto, vorausgesetzt, es verfügt über dieselben Funktionen .

Von den üblichen Konstruktionen sehe ich nur 4 mögliche Optionen für die Verwendung der Firewall mit dieser Verbindung:

• , transparent ( , L3 )
• - ( SVI ), L2
• VRF, VRF , VRF ACL
• ,

1

, .

2

PBR ( service chain), , , , .

Aus der Beschreibung der Abläufe im Dokument geht hervor, dass der gesamte Datenverkehr durch die Firewall geleitet wird, dh gemäß dem Entwurf von Cisco verschwindet die vierte Option.

Schauen wir uns zuerst die ersten beiden Optionen an.
Mit diesen Optionen wird der gesamte Datenverkehr durch die Firewall geleitet.

Jetzt schauen wir uns das Datenblatt an , schauen uns die Cisco GPL an und sehen, dass wir die 4K-Version kaufen sollten, wenn wir die Gesamtbandbreite für unser Büro mindestens im Bereich von 10 bis 20 Gigabit haben wollen.

Hinweis

Wenn ich über die Gesamtbandbreite spreche, meine ich den Verkehr zwischen Subnetzen (und nicht innerhalb desselben Dorfes).

Aus der GPL geht hervor, dass der Preis für das HA-Bundle mit Bedrohungsabwehr je nach Modell (4110 - 4150) zwischen ~ 0,5 und 2,5 Millionen Dollar liegt.

Das heißt, unser Design ähnelt dem vorherigen Beispiel.

Bedeutet dies, dass dieses Design falsch ist?
Nein, das tut es nicht. Cisco bietet Ihnen den bestmöglichen Schutz basierend auf der Produktlinie. Dies bedeutet jedoch nicht, dass es für Sie ein „Mast-Do“ ist.

Im Prinzip ist dies eine häufige Frage, die sich beim Entwurf eines Büros oder Rechenzentrums stellt, und dies bedeutet nur, dass ein Kompromiss angestrebt werden muss.

Zum Beispiel ist nicht der gesamte Datenverkehr durch die Firewall zulässig, und in diesem Fall scheint mir die dritte Option ziemlich nett zu sein, oder (siehe vorherigen Abschnitt) Sie benötigen wahrscheinlich keine Bedrohungsabwehr oder Sie benötigen überhaupt keine Firewall in diesem Netzwerksegment Alles, was Sie tun müssen, ist die passive Überwachung mit kostenpflichtigen (nicht teuren) oder Open Source-Lösungen, oder Sie benötigen eine Firewall, aber einen anderen Anbieter.

Normalerweise gibt es immer diese Unsicherheit und es gibt keine einheitliche Antwort darauf, welche Lösung für Sie am besten geeignet ist.
Dies ist die Komplexität und Schönheit dieser Aufgabe.