Cet article est le cinquième d'une série d'articles intitulée «Comment prendre l'infrastructure réseau sous votre contrôle». Le contenu de tous les articles de la série et les liens peuvent être trouvés ici .
Cette partie se concentrera sur l'audit des segments de conception de sécurité Campus (Office) et d'accès distant.
Il peut sembler que la conception d'un réseau de bureaux est simple.
En effet, nous prenons des commutateurs L2 / L3, les connectons ensemble. Ensuite, nous effectuons la configuration élémentaire des vilans, des passerelles par défaut, augmentons le routage simple, connectons les contrôleurs WiFi, les points d'accès, installons et configurons l'ASA pour l'accès à distance, nous sommes heureux que tout ait fonctionné. En principe, comme je l'ai déjà écrit dans l'un des
articles précédents
de cette série, presque tous les étudiants qui ont écouté (et appris) deux semestres d'un cours sur la télévision peuvent concevoir et configurer un réseau de bureau pour «fonctionner d'une manière ou d'une autre».
Mais plus vous en apprenez, moins cette tâche commence à sembler élémentaire. Pour moi personnellement, ce sujet, le thème de la conception de réseaux de bureaux, ne semble pas du tout simple, et dans cet article, je vais essayer d'expliquer pourquoi.
En bref, de nombreux facteurs doivent être pris en considération. Ces facteurs sont souvent en conflit les uns avec les autres et doivent rechercher un compromis raisonnable.
Cette incertitude est la principale difficulté. Donc, en parlant de sécurité, nous avons un triangle à trois sommets: la sécurité, la commodité pour les employés et le prix de la solution.
Et à chaque fois il faut trouver un compromis entre les trois.
L'architecture
Comme exemple d'architecture pour ces deux segments, comme dans les articles précédents, je recommande le modèle
Cisco SAFE :
Enterprise Campus ,
Enterprise Internet Edge .
Ce sont des documents quelque peu dépassés. Je les amène ici, car en principe les schémas et l'approche n'ont pas changé, mais en même temps j'aime plus la présentation que dans la
nouvelle documentation .
Sans vous inciter à utiliser les solutions Cisco, je trouve toujours utile d'étudier attentivement cette conception.
Cet article, comme d'habitude, sans prétendre être d'aucune façon, est plutôt un ajout à cette information.
À la fin de l'article, nous analyserons la conception de Cisco SAFE pour le bureau en termes de concepts décrits ici.
Principes généraux
La conception d'un réseau de bureaux doit, bien entendu, satisfaire aux exigences générales qui sont discutées
ici dans le chapitre «Critères d'évaluation de la qualité de la conception». En plus du prix et de la sécurité que nous avons l'intention de discuter dans cet article, il y a trois autres critères que nous devons considérer lors de la conception (ou lors des modifications):
- évolutivité
- commodité de gestion (gérabilité)
- disponibilité
Une grande partie de ce qui a été discuté pour
les centres de données est également vrai pour le bureau.
Mais, néanmoins, le segment des bureaux a sa propre spécificité, ce qui est critique du point de vue de la sécurité. L'essence de cette spécificité est que ce segment est créé pour fournir des services de réseau aux employés (ainsi qu'aux partenaires et invités) de l'entreprise, et, par conséquent, nous avons deux tâches au plus haut niveau de considération du problème:
- protéger les ressources de l'entreprise contre les actions malveillantes pouvant provenir des employés (invités, partenaires) et des logiciels qu'ils utilisent. Cela inclut également la protection contre les connexions réseau non autorisées.
- protéger les systèmes et les données utilisateur
Et ce n'est qu'un côté du problème (ou plutôt, un sommet du triangle). De l'autre côté, la commodité d'utilisation et le prix des solutions appliquées.
Commençons par examiner ce que l'utilisateur attend d'un réseau de bureaux moderne.
Commodités
Voici à quoi ressemblent les «commodités du réseau» pour un utilisateur de bureau:
- La mobilité
- La possibilité d'utiliser la gamme complète d'appareils et de systèmes d'exploitation familiers
- Accès facile à toutes les ressources nécessaires de l'entreprise
- Disponibilité des ressources Internet, y compris divers services cloud
- Réseau "Fast work"
Tout cela s'applique aux employés et aux invités (ou partenaires), et c'est déjà la tâche des ingénieurs de l'entreprise sur la base de l'autorisation de différencier l'accès pour différents groupes d'utilisateurs.
Examinons de plus près chacun de ces aspects.
La mobilité
Il s'agit de la capacité de travailler et d'utiliser toutes les ressources nécessaires de l'entreprise de n'importe où dans le monde (bien sûr, là où Internet est disponible).
Cela s'applique pleinement au bureau. Cela est pratique lorsque vous avez la possibilité de continuer à travailler de n'importe où dans le bureau, par exemple, recevoir du courrier, communiquer dans un messager d'entreprise, être disponible pour un appel vidéo ... Ainsi, cela vous permet, d'une part, de résoudre certains problèmes via le «live» communication (par exemple, pour participer à des rallyes), et de l'autre - toujours être en ligne, se tenir au courant et résoudre rapidement certaines tâches urgentes de haute priorité. Il est très pratique et améliore en effet la qualité des communications.
Ceci est réalisé par la conception correcte du réseau WiFi.
Remarque
Cela soulève généralement la question, est-ce suffisant d'utiliser uniquement le WiFi? Cela signifie-t-il que vous pouvez refuser d'utiliser les ports Ethernet au bureau? Si nous parlons uniquement d'utilisateurs, et non de serveurs qui sont néanmoins judicieux de se connecter avec un port Ethernet ordinaire, alors en général la réponse est: oui, vous pouvez vous limiter au WiFi uniquement. Mais il y a des nuances.
Il existe des groupes d'utilisateurs importants qui nécessitent une approche distincte. Ce sont bien sûr des administrateurs. En principe, une connexion WiFi est moins fiable (en termes de perte de trafic) et moins rapide qu'un port Ethernet classique. Cela peut être important pour les administrateurs. De plus, les administrateurs réseau, par exemple, peuvent avoir leur propre réseau Ethernet dédié pour les connexions hors bande.
Il peut y avoir d'autres groupes / services dans votre entreprise pour lesquels ces facteurs sont également importants.
Il y a un autre point important - la téléphonie. Peut-être pour une raison quelconque, vous ne souhaitez pas utiliser la VoIP sans fil et souhaitez utiliser des téléphones IP avec une connexion Ethernet normale.
En général, dans les entreprises dans lesquelles je travaillais, il y avait généralement la possibilité d'une connexion WiFi et d'un port Ethernet.
Je souhaite que la mobilité ne se limite pas au bureau uniquement.
Pour garantir la possibilité de travailler depuis votre domicile (ou tout autre endroit avec Internet accessible), une connexion VPN est utilisée. Dans le même temps, il est souhaitable que les salariés ne ressentent pas la différence entre le travail à domicile et le travail à distance, ce qui implique la présence des mêmes accès. Nous verrons comment organiser cela un peu plus loin dans le chapitre «Système d'authentification et d'autorisation centralisé unifié».
Remarque
Très probablement, vous ne serez pas en mesure de fournir pleinement la même qualité de services pour le travail à distance que vous avez au bureau. Supposons que vous utilisez un Cisco ASA 5520 comme passerelle VPN. Selon la fiche technique, cet appareil est capable de «digérer» seulement le trafic VPN 225 Mbps. C'est, bien sûr, en termes de bande passante, une connexion VPN est très différente de travailler à partir d'un bureau. De plus, si, pour une raison quelconque, le délai, la perte, la gigue (par exemple, vous souhaitez utiliser la téléphonie IP de bureau) pour vos services réseau sont importants, vous n'obtiendrez pas non plus la même qualité que si vous étiez au bureau. Par conséquent, lorsque nous parlons de mobilité, nous devons garder à l'esprit les éventuelles limitations.
Accès facile à toutes les ressources de l'entreprise
Cette tâche doit être traitée en collaboration avec d'autres services techniques.
La situation idéale est lorsque l'utilisateur n'a besoin de s'authentifier qu'une seule fois, puis qu'il accède à toutes les ressources nécessaires.
Fournir un accès facile sans compromettre la sécurité peut augmenter considérablement l'efficacité du travail et réduire le niveau de stress de vos collègues.
Remarque 1
La facilité d'accès ne dépend pas seulement du nombre de fois que vous devez saisir un mot de passe. Si, par exemple, conformément à votre politique de sécurité, pour vous connecter du bureau au centre de données, vous devez d'abord vous connecter à la passerelle VPN, et en même temps vous perdez l'accès aux ressources du bureau, cela est également très, très gênant.
Remarque 2
Il existe des services (par exemple, l'accès à l'équipement réseau) où nous avons généralement nos propres serveurs AAA dédiés et c'est la norme lorsque dans ce cas, vous devez vous authentifier plusieurs fois.
Disponibilité des ressources Internet
Internet n'est pas seulement un divertissement, mais aussi un ensemble de services qui peuvent être très utiles pour le travail. Il existe également des facteurs purement psychologiques. Une personne moderne via Internet à travers de nombreux threads virtuels connectés avec d'autres personnes, et, à mon avis, il n'y a rien de mal s'il continue à ressentir cette connexion, même en travaillant.
Du point de vue de la perte de temps, il n'y a rien à craindre si un employé, par exemple, fait fonctionner skype, et il passera 5 minutes à parler à un être cher si nécessaire.
Cela signifie-t-il que l'Internet doit toujours être disponible, cela signifie-t-il que les employés peuvent ouvrir l'accès à toutes les ressources et n'en avoir aucun contrôle?
Non, bien sûr que non. Le niveau d'ouverture d'Internet peut être différent pour différentes entreprises - de la fermeture complète à l'ouverture complète. Nous discuterons des moyens de contrôler le trafic plus loin dans les sections sur les fonctionnalités de sécurité.
La possibilité d'utiliser la gamme complète d'appareils familiers
C'est pratique lorsque, par exemple, vous avez la possibilité de continuer à utiliser tous vos moyens de communication habituels au travail. Il n'y a aucune difficulté à le mettre en œuvre techniquement. Pour ce faire, vous avez besoin du WiFi et d'un vilan invité.
Il est également utile d'utiliser le système d'exploitation auquel vous êtes habitué. Mais, à mon avis, cela n'est généralement autorisé qu'aux gestionnaires, administrateurs et développeurs.
Exemple
Vous pouvez, bien sûr, suivre le chemin des interdictions, interdire l'accès à distance, interdire la connexion à partir d'appareils mobiles, restreindre toutes les connexions Ethernet statiques, restreindre l'accès à Internet, sans faute de supprimer les téléphones portables et les gadgets au point de contrôle ... et de cette façon, certaines organisations avec une augmentation des les exigences de sécurité, et, peut-être, dans certains cas, cela peut être justifié, mais ... convient que cela ressemble à une tentative d'arrêter les progrès dans une seule organisation. Bien sûr, je voudrais combiner les opportunités offertes par les technologies modernes avec un niveau de sécurité adéquat.
Réseau "Fast work"
Le taux de transfert de données se compose techniquement de nombreux facteurs. Et la vitesse de votre port de connexion n'est généralement pas la plus importante d'entre elles. Le fonctionnement lent de l'application n'est pas toujours lié à des problèmes de réseau, mais maintenant nous ne nous intéressons qu'à la partie réseau. Le problème le plus courant de «ralentir» un réseau local est lié à la perte de paquets. Cela se produit généralement avec un effet de goulot d'étranglement ou avec des problèmes L1 (OSI). Plus rarement, avec certaines conceptions (par exemple, lorsqu'un pare-feu agit comme passerelle par défaut dans vos sous-réseaux et, par conséquent, tout le trafic le traverse), les performances matérielles peuvent manquer.
Par conséquent, lors du choix de l'équipement et de l'architecture, vous devez corréler les vitesses des ports d'extrémité, des troncs et les performances de l'équipement.
Exemple
Supposons que vous utilisiez des commutateurs avec des ports 1 gigabit comme commutateurs de niveau d'accès. Ils sont interconnectés via un Etherchannel 2 x 10 gigabits. En tant que passerelle par défaut, vous utilisez un pare-feu avec des ports gigabit, pour vous connecter au réseau L2 du bureau, vous utilisez 2 ports gigabit combinés dans un Etherchannel.
Cette architecture est assez pratique en termes de fonctionnalités, car tout le trafic passe par le pare-feu, et vous pouvez gérer confortablement les politiques d'accès et appliquer des algorithmes complexes pour contrôler le trafic et empêcher les attaques possibles (voir ci-dessous), mais du point de vue de la bande passante et des performances, cette conception a bien sûr des problèmes potentiels. Ainsi, par exemple, 2 hôtes téléchargeant des données (avec une vitesse de port de 1 gigabit) peuvent charger complètement une connexion de 2 gigabits au pare-feu, et ainsi conduire à une dégradation du service pour l'ensemble du segment bureautique.
Nous avons examiné un sommet du triangle. Voyons maintenant comment nous pouvons assurer la sécurité.
Moyens de protection
Donc, bien sûr, généralement, notre désir (ou plutôt, le désir de notre leadership) est de réaliser l'impossible, à savoir, offrir un maximum de commodité avec une sécurité maximale et un prix minimum.
Voyons quelles méthodes nous avons pour assurer la protection.
Pour le bureau, je voudrais souligner les éléments suivants:
- approche de conception zéro confiance
- haut niveau de protection
- visibilité du réseau
- système d'authentification et d'autorisation centralisé unique
- vérification de l'hôte
Ensuite, nous nous attardons plus en détail sur chacun de ces aspects.
Zéro confiance
Le monde informatique évolue très rapidement. Littéralement au cours des 10 dernières années, l'avènement de nouvelles technologies et de nouveaux produits a conduit à une révision majeure des concepts de sécurité. Il y a dix ans, d'un point de vue de la sécurité, nous avons segmenté le réseau en zones de confiance, dmz et non fiables, et la soi-disant «défense de périmètre» a été appliquée, où il y avait 2 lignes de défense: non confiance -> dmz et dmz -> confiance. De plus, la protection était généralement limitée aux listes d'accès basées sur les en-têtes L3 / L4 (OSI) (IP, ports TCP / UDP, drapeaux TCP). Tout ce qui concerne les niveaux supérieurs, y compris L7, a été laissé au système d'exploitation et aux produits de protection installés sur les hôtes finaux.
Maintenant, la situation a radicalement changé. Le concept moderne de
confiance zéro procède du fait qu'il n'est plus possible de considérer les systèmes internes, c'est-à-dire que les systèmes à l'intérieur du périmètre sont fiables, et le concept même du périmètre est devenu flou.
En plus de la connexion Internet, nous avons également
- utilisateurs VPN d'accès à distance
- divers gadgets personnels apportés par des ordinateurs portables connectés via le WiFi du bureau
- autres (succursales) bureaux
- intégration avec l'infrastructure cloud
À quoi ressemble l'approche Zero Trust dans la pratique?
Idéalement, seul le trafic requis devrait être autorisé, et si nous parlons de l'idéal, le contrôle devrait être non seulement au niveau L3 / L4, mais au niveau de l'application.
Si, par exemple, vous avez la possibilité de faire passer tout le trafic à travers le pare-feu, vous pouvez essayer de vous rapprocher de l'idéal. Mais cette approche peut réduire considérablement la bande passante totale de votre réseau et, en outre, le filtrage par application ne fonctionne pas toujours bien.
Lors de la surveillance du trafic sur un routeur ou un commutateur L3 (à l'aide des listes de contrôle d'accès standard), vous rencontrez d'autres problèmes:
- ce n'est que le filtrage L3 / L4. Rien n'empêche un attaquant d'utiliser les ports autorisés (par exemple TCP 80) pour son application (pas http)
- gestion complexe des ACL (difficile à analyser les ACL)
- ce n'est pas un pare-feu d'état, c'est-à-dire que vous devez autoriser explicitement le trafic inverse
- dans le cas des commutateurs, vous êtes généralement assez étroitement limité par la taille de TCAM, qui si vous utilisez l'approche «n'autoriser que ce dont vous avez besoin» peut rapidement devenir un problème
Remarque
En parlant de trafic inverse, nous devons nous rappeler que nous avons la prochaine opportunité (Cisco)
permettre à TCP tout établi
Mais vous devez comprendre que cette ligne équivaut à deux lignes:
permettre à TCP tout ack
permettre tcp tout tout premier
Ce qui signifie que même s'il n'y avait pas de segment TCP d'origine avec un indicateur SYN (c'est-à-dire que la session TCP n'a même pas commencé à être établie), cette ACL ignorera le paquet avec l'indicateur ACK, que l'attaquant pourrait utiliser pour transmettre des données.
Autrement dit, cette ligne ne transforme en aucune manière votre routeur ou commutateur L3 en un pare-feu d'état.
Haut niveau de protection
Dans l'
article de la section consacrée aux centres de données, nous avons examiné les méthodes de protection suivantes.
- pare-feu avec état (par défaut)
- protection ddos / dos
- pare-feu d'application
- prévention des menaces (antivirus, anti-spyware et vulnérabilité)
- Filtrage d'URL
- filtrage des données (filtrage de contenu)
- blocage de fichiers (blocage de types de fichiers)
Dans le cas du bureau, la situation est similaire, mais les priorités sont légèrement différentes. L'accessibilité au bureau (disponibilité) n'est généralement pas aussi critique que dans le cas d'un centre de données, tandis que la probabilité de trafic malveillant «interne» est de plusieurs ordres de grandeur plus élevée.
Par conséquent, les méthodes de protection suivantes pour ce segment deviennent critiques:
- pare-feu d'application
- prévention des menaces (antivirus, anti-spyware et vulnérabilité)
- Filtrage d'URL
- filtrage des données (filtrage de contenu)
- blocage de fichiers (blocage de types de fichiers)
Bien que toutes ces méthodes de protection, à l'exception du pare-feu d'application, soient traditionnellement résolues et continuent d'être résolues sur les hôtes finaux (par exemple, en installant des programmes antivirus) et en utilisant des proxys, les NGFW modernes fournissent également ces services.
Les fournisseurs d'équipements de sécurité s'efforcent de créer une protection complète.Par conséquent, en plus de la protection sur le boîtier local, diverses technologies cloud et logiciels clients pour les hôtes (protection des terminaux / EPP) sont proposés. Par exemple, du
Gartner Magic Quadrant pour 2018, nous voyons que Palo Alto et Cisco ont leurs propres EPP (PA: Traps, Cisco: AMP), mais sont loin des leaders.
Bien entendu, l'inclusion de ces protections (généralement via l'achat de licences) sur le pare-feu n'est pas obligatoire (vous pouvez suivre la voie traditionnelle), mais elle offre certains avantages:
- dans ce cas, un seul point d'application des méthodes de protection apparaît, ce qui améliore la visibilité (voir le sujet suivant).
- si votre réseau possède un appareil non protégé, il relève toujours du «parapluie» de la protection par pare-feu
- En utilisant la protection sur le pare-feu et la protection sur les hôtes finaux, nous augmentons la probabilité de détecter le trafic malveillant. , threat prevention ( , , )
, , , , , , .
Network visibility
– «», , , .
«» :
: .
: , .
- (, , URL, , )
- ,
- ip/protocol/port/flags/zones
- threat prevention
- url filtering
- data filtering
- file blocking
- ...
- DOS/DDOS
- ...
, , .
( Palo Alto) visibility. , , , ( ) ( ), , .
, , , , ,
- netflow
- threat prevention – (anti-virus, anti-spyware, firewall)
- URL filtering, data filtering, file blocking – proxy
- tcpdump , , snort
, .
?
.
, .
, , , , , , , ( , ). , ?
, .
- .
- - -
- VPN Cisco ASA , , ( ASA) ACL
, , . .
,
- ASA IP
- ACL ASA
- security policy -
, . , , , 1 -2 , . , - .
.
, , LDAP. , .
, , ,
- guest ( )
- common access ( : , , …)
- accounting
- project 1
- project 2
- data base administrator
- linux administrator
- ...
- , 1, 2, , :
- guest
- common access
- project 1
- project 2
?
Cisco ASA Dynamic Access Policy (DAP) (. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html ) .
, / ASA LDAP , «» ACL ( ) ACL , .
VPN . , VPN, .
, 802.1x ( ), ( ). , (, -) VPN.
ASA. , ( , , , , dns, ...) ASA, . , ASA , .
, .
?
. , .
, , LDAP, .
(host checking)
, , (, ), , , , , .
, , , , .
«» , anti-virus, anti-spyware, firewall software . , VPN ( ASA , ,
).
( « »), .
, , .
– , , , , , .
, ( ).
En principe, il s'agit d'une conversation sur le troisième pic de notre triangle - sur le prix.Regardons un exemple hypothétique.
200 . .
. security , (anti-virus, anti-spyware, and firewall software), .
( ) 10- , — NGFW , , Palo Alto 7K (c 40 ), , , High Availability .
, , security .
, .
, 10 , ( ) .
, 200 …
? , .
…
, - , . — , , , .
? .
, - , .
, . NGFW , L7 . visibility , open source , . , , , , .
, , , , , .
SAFE
,
SAFE Secure Campus Architecture Guide , .
.
FirePower ( Cisco — ASA), , , , Juniper SRX Palo Alto, , .
4 :
- , transparent ( , L3 )
- - ( SVI ), L2
- VRF, VRF , VRF ACL
- ,
1
, .
2
PBR ( service chain), , , , .
, , , Cisco .
.
.
data sheet ,
Cisco GPL , 10 — 20 , 4K .
( ).
D'après la GPL, nous voyons que pour le bundle HA avec Threat Defense, le prix, selon le modèle (4110 - 4150), varie de ~ 0,5 à 2,5 millions de dollars.
Autrement dit, notre conception commence à ressembler à l'exemple précédent.
Est-ce à dire que cette conception est mauvaise?
Non, non. Cisco vous offre la meilleure protection possible en fonction de sa gamme de produits. Mais cela ne signifie pas qu'il s'agit d'un «mât-faire» pour vous.
En principe, il s'agit d'une question courante qui se pose lors de la conception d'un bureau ou d'un centre de données, et cela signifie uniquement qu'un compromis est nécessaire.
Par exemple, tout le trafic n'est pas autorisé à traverser le pare-feu, et dans ce cas, la 3ème option me semble assez agréable, ou (voir la section précédente), vous n'avez probablement pas besoin de Threat Defense ou vous n'avez pas du tout besoin d'un pare-feu dans ce segment de réseau, et tout ce que vous avez à faire est une surveillance passive utilisant des solutions payantes (pas chères) ou open source, ou vous avez besoin d'un pare-feu, mais d'un autre fournisseur.
Habituellement, il y a toujours cette incertitude et il n'y a pas de réponse unique quant à la solution qui vous convient le mieux.
Telle est la complexité et la beauté de cette tâche.