Bagaimana mengendalikan infrastruktur jaringan Anda. Bab Tiga Keamanan jaringan. Bagian tiga

Artikel ini adalah yang kelima dari serangkaian artikel yang berjudul “Bagaimana Mengambil Infrastruktur Jaringan Di Bawah Kontrol Anda”. Isi semua artikel dalam seri dan tautan dapat ditemukan di sini .

Bagian ini akan fokus pada audit desain keamanan Kampus (Kantor) & segmen VPN akses jarak jauh.



Tampaknya desain jaringan kantor itu sederhana.

Memang, kami mengambil sakelar L2 / L3, menghubungkannya bersama. Selanjutnya, kami melakukan konfigurasi dasar vilans, gateway default, meningkatkan perutean sederhana, menghubungkan pengontrol WiFi, titik akses, menginstal dan mengkonfigurasi ASA untuk akses jarak jauh, kami senang bahwa semuanya bekerja. Pada prinsipnya, seperti yang sudah saya tulis dalam salah satu artikel sebelumnya dari seri ini, hampir setiap siswa yang telah mendengarkan (dan belajar) dua semester kursus di televisi dapat merancang dan mengkonfigurasi jaringan kantor untuk “entah bagaimana bekerja”.

Tetapi semakin banyak Anda belajar, tugas ini semakin tidak mendasar. Bagi saya pribadi, topik ini, tema desain jaringan kantor, sepertinya sama sekali tidak sederhana, dan dalam artikel ini saya akan mencoba menjelaskan alasannya.

Singkatnya, banyak faktor yang perlu dipertimbangkan. Seringkali faktor-faktor ini bertentangan satu sama lain dan harus mencari kompromi yang masuk akal.
Ketidakpastian ini adalah kesulitan utama. Jadi, berbicara tentang keamanan, kami memiliki segitiga dengan tiga simpul: keamanan, kenyamanan bagi karyawan, dan harga solusinya.
Dan setiap kali Anda harus menemukan kompromi di antara ketiganya.

Arsitektur

Sebagai contoh arsitektur untuk dua segmen ini, saya, seperti pada artikel sebelumnya, merekomendasikan model Cisco SAFE : Enterprise Campus , Enterprise Internet Edge .

Ini adalah dokumen yang agak ketinggalan jaman. Saya membawanya ke sini, karena pada prinsipnya skema dan pendekatannya tidak berubah, tetapi pada saat yang sama saya lebih menyukai presentasi daripada dalam dokumentasi baru .

Tanpa mendesak Anda untuk menggunakan solusi Cisco, saya masih merasa berguna untuk mempelajari desain ini dengan cermat.

Artikel ini, seperti biasa, tanpa berpura-pura dengan cara apa pun, lebih merupakan tambahan untuk informasi ini.

Pada akhir artikel, kami akan menganalisis desain Cisco SAFE untuk kantor dalam hal konsep yang diuraikan di sini.

Prinsip umum

Desain jaringan kantor, tentu saja, harus memenuhi persyaratan umum yang dibahas di sini dalam bab "Kriteria Penilaian Kualitas Desain". Selain harga dan keamanan yang ingin kami bahas dalam artikel ini, ada tiga kriteria lagi yang harus kita pertimbangkan saat mendesain (atau ketika melakukan perubahan):

• skalabilitas
• kenyamanan dalam manajemen (pengelolaan)
• ketersediaan

Banyak hal yang dibahas untuk pusat data juga berlaku untuk kantor.

Namun, bagaimanapun, segmen kantor memiliki kekhasan sendiri, yang sangat penting dari sudut pandang keamanan. Inti dari kekhususan ini adalah bahwa segmen ini dibuat untuk menyediakan layanan jaringan kepada karyawan (serta mitra dan tamu) perusahaan, dan, sebagai hasilnya, kami memiliki dua tugas di tingkat pertimbangan masalah tertinggi:

• melindungi sumber daya perusahaan dari tindakan jahat yang mungkin datang dari karyawan (tamu, mitra) dan dari perangkat lunak yang mereka gunakan. Ini juga termasuk perlindungan terhadap koneksi jaringan yang tidak sah.
• melindungi sistem dan data pengguna

Dan ini hanya satu sisi masalah (atau lebih tepatnya, satu simpul segitiga). Di sisi lain adalah kenyamanan pengguna dan harga solusi yang diterapkan.

Mari kita mulai dengan melihat apa yang diharapkan pengguna dari jaringan kantor modern.

Fasilitas

Begini tampilan "kenyamanan jaringan" untuk pengguna kantor menurut saya:

• Mobilitas
• Kemampuan untuk menggunakan berbagai perangkat dan sistem operasi yang dikenal
• Akses mudah ke semua sumber daya perusahaan yang diperlukan
• Ketersediaan sumber daya Internet, termasuk berbagai layanan cloud
• Jaringan "Kerja cepat"

Semua ini berlaku untuk karyawan dan tamu (atau mitra), dan ini sudah menjadi tugas insinyur perusahaan berdasarkan otorisasi untuk membedakan akses untuk kelompok pengguna yang berbeda.

Mari kita melihat lebih dekat pada masing-masing aspek ini.

Mobilitas

Ini adalah tentang kemampuan untuk bekerja dan menggunakan semua sumber daya perusahaan yang diperlukan dari mana saja di dunia (tentu saja, di mana Internet tersedia).

Ini sepenuhnya berlaku untuk kantor. Ini nyaman ketika Anda memiliki kesempatan untuk terus bekerja dari mana saja di kantor, misalnya, menerima surat, berkomunikasi di messenger perusahaan, tersedia untuk panggilan video ... Dengan demikian, ini memungkinkan Anda, di satu sisi, untuk menyelesaikan beberapa masalah melalui "langsung" komunikasi (misalnya, untuk berpartisipasi dalam aksi unjuk rasa), dan di sisi lain - selalu online, terus mengikuti dan cepat menyelesaikan beberapa tugas prioritas tinggi yang mendesak. Ini sangat nyaman dan, memang, meningkatkan kualitas komunikasi.

Ini dicapai dengan desain jaringan WiFi yang benar.

Komentar

Ini biasanya menimbulkan pertanyaan, apakah cukup menggunakan WiFi saja? Apakah ini berarti Anda bisa menolak menggunakan port Ethernet di kantor? Jika kita hanya berbicara tentang pengguna, dan bukan tentang server yang tetap bijaksana untuk terhubung dengan port Ethernet biasa, maka secara umum jawabannya adalah: ya, Anda dapat membatasi diri hanya WiFi. Namun ada nuansa.

Ada grup pengguna penting yang memerlukan pendekatan terpisah. Ini tentu saja adalah administrator. Pada prinsipnya, koneksi WiFi kurang dapat diandalkan (dalam hal kehilangan lalu lintas) dan kurang cepat daripada port Ethernet biasa. Ini mungkin penting bagi administrator. Selain itu, administrator jaringan, misalnya, pada dasarnya dapat memiliki jaringan Ethernet khusus untuk koneksi out-of-band.

Mungkin ada grup / departemen lain di perusahaan Anda yang faktor-faktor ini juga penting.

Ada hal penting lainnya - telepon. Mungkin karena alasan tertentu Anda tidak ingin menggunakan VoIP Nirkabel dan ingin menggunakan telepon IP dengan koneksi Ethernet normal.

Secara umum, di perusahaan tempat saya bekerja, biasanya ada kemungkinan koneksi WiFi dan port Ethernet.

Saya berharap mobilitas tidak terbatas pada kantor saja.

Untuk memastikan kemampuan bekerja dari rumah (atau tempat lain dengan Internet yang dapat diakses), koneksi VPN digunakan. Pada saat yang sama, diharapkan bahwa karyawan tidak merasakan perbedaan antara pekerjaan dari rumah dan pekerjaan jarak jauh, yang menyiratkan adanya akses yang sama. Kami akan membahas bagaimana mengatur ini sedikit kemudian dalam bab "Otentikasi terpusat dan sistem otorisasi terpusat".

Komentar

Kemungkinan besar, Anda tidak akan dapat sepenuhnya memberikan kualitas layanan yang sama untuk pekerjaan jarak jauh yang Anda miliki di kantor. Mari kita asumsikan bahwa Anda menggunakan Cisco ASA 5520 sebagai gateway VPN. Menurut lembar data, perangkat ini dapat "mencerna" hanya 225 Mbps lalu lintas VPN. Tentu saja, dalam hal bandwidth, koneksi VPN sangat berbeda dari bekerja dari kantor. Juga, jika, karena suatu alasan, penundaan, kehilangan, jitter (misalnya, Anda ingin menggunakan telepon kantor IP) untuk layanan jaringan Anda yang signifikan, Anda juga tidak akan mendapatkan kualitas yang sama seperti jika Anda berada di kantor. Karena itu, ketika berbicara tentang mobilitas, kita harus mengingat keterbatasan yang mungkin ada.

Akses mudah ke semua sumber daya perusahaan

Tugas ini harus ditangani bersama dengan departemen teknis lainnya.
Situasi yang ideal adalah ketika pengguna perlu mengautentikasi hanya sekali, dan setelah itu ia mendapatkan akses ke semua sumber daya yang diperlukan.
Memberikan akses mudah tanpa mengorbankan keamanan dapat secara signifikan meningkatkan efisiensi kerja dan mengurangi tingkat stres kolega Anda.

Komentar 1

Kemudahan akses bukan hanya tentang berapa kali Anda harus memasukkan kata sandi. Jika, misalnya, sesuai dengan kebijakan keamanan Anda, untuk terhubung dari kantor ke pusat data, Anda harus terlebih dahulu terhubung ke gateway VPN, dan pada saat yang sama Anda kehilangan akses ke sumber daya kantor, maka ini juga sangat, sangat merepotkan.

Komentar 2

Ada layanan (misalnya, akses ke peralatan jaringan) di mana kami biasanya memiliki server AAA khusus kami dan ini adalah norma ketika dalam kasus ini Anda harus mengautentikasi beberapa kali.

Ketersediaan sumber daya Internet

Internet tidak hanya hiburan, tetapi juga serangkaian layanan yang dapat sangat berguna untuk bekerja. Ada juga faktor psikologis murni. Seseorang modern melalui Internet melalui banyak utas virtual yang terhubung dengan orang lain, dan, menurut saya, tidak ada yang salah jika ia terus merasakan koneksi ini, bahkan saat bekerja.

Dari sudut pandang kehilangan waktu, tidak ada yang perlu dikhawatirkan jika seorang karyawan, misalnya, menjalankan skype, dan dia akan menghabiskan 5 menit berbicara dengan orang yang dicintai jika perlu.

Apakah ini berarti bahwa Internet harus selalu tersedia, apakah ini berarti bahwa karyawan dapat membuka akses ke semua sumber daya dan tidak memiliki kendali atas mereka?

Tidak, tentu saja tidak. Tingkat keterbukaan Internet dapat berbeda untuk perusahaan yang berbeda - dari penutupan total hingga keterbukaan penuh. Kami akan membahas cara untuk mengontrol lalu lintas nanti di bagian fitur keamanan.

Kemampuan untuk menggunakan berbagai perangkat yang akrab

Sangat nyaman ketika, misalnya, Anda memiliki kesempatan untuk terus menggunakan semua alat komunikasi yang biasa Anda gunakan di tempat kerja. Tidak ada kesulitan teknis mengimplementasikan ini. Untuk melakukan ini, Anda memerlukan WiFi dan vilan tamu.

Ini juga baik jika Anda dapat menggunakan sistem operasi yang Anda gunakan. Tapi, dalam pengamatan saya, biasanya, ini hanya diperbolehkan untuk manajer, administrator, dan pengembang.

Contoh

Anda dapat, tentu saja, mengikuti jalur larangan, melarang akses jarak jauh, melarang menghubungkan dari perangkat seluler, membatasi semua koneksi Ethernet statis, membatasi akses Internet, tanpa gagal menghapus ponsel dan gadget di pos pemeriksaan ... dan dengan cara ini beberapa organisasi dengan peningkatan persyaratan keamanan, dan, mungkin, dalam beberapa kasus, ini dapat dibenarkan, tetapi ... setuju bahwa ini terlihat seperti upaya untuk menghentikan kemajuan dalam satu organisasi. Tentu saja, saya ingin menggabungkan peluang yang diberikan teknologi modern dengan tingkat keamanan yang memadai.

Jaringan "Kerja cepat"

Kecepatan transfer data secara teknis terdiri dari banyak faktor. Dan kecepatan port koneksi Anda biasanya bukan yang terpenting dari mereka. Tidak selalu pengoperasian aplikasi yang lambat terhubung dengan masalah jaringan, tetapi sekarang kami hanya tertarik pada bagian jaringan. Masalah paling umum dari "memperlambat" jaringan lokal terkait dengan packet loss. Ini biasanya terjadi dengan efek bottleneck atau dengan masalah L1 (OSI). Lebih jarang, dengan beberapa desain (misalnya, ketika firewall bertindak sebagai gateway default di subnet Anda dan, dengan demikian, semua lalu lintas melewatinya), kinerja perangkat keras mungkin kurang.

Oleh karena itu, ketika memilih peralatan dan arsitektur, Anda perlu menghubungkan kecepatan port akhir, batang dan kinerja peralatan.

Contoh

Misalkan Anda menggunakan sakelar dengan port 1 gigabit sebagai sakelar tingkat akses. Mereka saling terhubung melalui Etherchannel 2 x 10 gigabit. Sebagai gateway default, Anda menggunakan firewall dengan port gigabit, untuk menghubungkan yang ke jaringan L2 kantor Anda menggunakan 2 port gigabit yang digabungkan dalam Etherchannel.

Arsitektur ini cukup nyaman dalam hal fungsionalitas, karena semua lalu lintas melewati firewall, dan Anda dapat dengan nyaman mengelola kebijakan akses dan menerapkan algoritma kompleks untuk mengontrol lalu lintas dan mencegah kemungkinan serangan (lihat di bawah), tetapi dari sudut pandang bandwidth dan kinerja, desain ini, tentu saja, memiliki potensi masalah. Jadi, misalnya, 2 host mengunduh data (dengan kecepatan port 1 gigabit) dapat sepenuhnya memuat koneksi 2 gigabit ke firewall, dan dengan demikian menyebabkan degradasi layanan untuk seluruh segmen kantor.

Kami melihat satu titik dari segitiga, sekarang mari kita lihat bagaimana kami dapat memberikan keamanan.

Sarana perlindungan

Jadi, tentu saja, biasanya, keinginan kita (atau lebih tepatnya, keinginan kepemimpinan kita) adalah untuk mencapai yang tidak mungkin, yaitu, untuk memberikan kenyamanan maksimal dengan keamanan maksimum dan harga minimum.

Mari kita lihat metode apa yang kita miliki untuk memberikan perlindungan.

Untuk kantor, saya akan memilih yang berikut:

• pendekatan desain tanpa kepercayaan
• tingkat perlindungan yang tinggi
• visibilitas jaringan
• sistem otentikasi dan otorisasi terpusat tunggal
• Tuan rumah memeriksa

Selanjutnya, kita akan membahas lebih rinci tentang masing-masing aspek ini.

Tanpa kepercayaan

Dunia TI berubah sangat cepat. Secara harfiah selama 10 tahun terakhir, munculnya teknologi dan produk baru telah menyebabkan revisi besar konsep keamanan. Sepuluh tahun yang lalu, dari sudut pandang keamanan, kami membagi jaringan menjadi zona trust, dmz dan unrust, dan apa yang disebut "pertahanan perimeter" diterapkan, di mana ada 2 garis pertahanan: untrust -> dmz dan dmz -> trust. Juga, perlindungan biasanya terbatas pada daftar akses berdasarkan header L3 / L4 (OSI) (IP, port TCP / UDP, flag TCP). Segala sesuatu yang terkait dengan tingkat yang lebih tinggi, termasuk L7, diserahkan kepada OS dan produk perlindungan yang diinstal pada host akhir.

Sekarang situasinya telah berubah secara dramatis. Konsep modern nol kepercayaan berasal dari fakta bahwa tidak mungkin lagi mempertimbangkan internal, yaitu, sistem di dalam perimeter tepercaya, dan konsep perimeter telah menjadi kabur.
Selain koneksi internet, kami juga punya

• pengguna VPN akses jarak jauh
• berbagai gadget pribadi yang dibawa oleh laptop yang terhubung melalui WiFi kantor
• kantor cabang lainnya
• integrasi dengan infrastruktur cloud

Seperti apa pendekatan Zero Trust dalam praktiknya?

Idealnya, hanya lalu lintas yang diperlukan yang boleh diizinkan, dan jika kita berbicara tentang yang ideal, maka kontrol tidak hanya pada tingkat L3 / L4, tetapi pada tingkat aplikasi.

Jika, misalnya, Anda memiliki kesempatan untuk melewati semua lalu lintas melalui firewall, maka Anda dapat mencoba untuk mendekati yang ideal. Tetapi pendekatan ini dapat secara signifikan mengurangi total bandwidth jaringan Anda, dan selain itu, penyaringan berdasarkan aplikasi tidak selalu bekerja dengan baik.

Saat memantau lalu lintas pada router atau saklar L3 (menggunakan ACL standar), Anda menghadapi masalah lain:

• ini hanya penyaringan L3 / L4. Tidak ada yang mencegah penyerang menggunakan port yang diizinkan (mis. TCP 80) untuk aplikasinya (bukan http)
• manajemen ACL yang kompleks (sulit untuk menganalisis ACL)
• ini bukan firewall statefull, yaitu, Anda harus secara eksplisit mengizinkan lalu lintas terbalik
• dalam kasus sakelar, Anda biasanya sangat terbatas oleh ukuran TCAM, yang jika Anda menggunakan pendekatan "izinkan hanya apa yang Anda butuhkan" dapat dengan cepat menjadi masalah.

Komentar

Berbicara tentang lalu lintas terbalik, kita harus ingat bahwa kita memiliki kesempatan berikutnya (Cisco)

izinkan tcp apa pun yang ada

Tetapi Anda harus memahami bahwa baris ini setara dengan dua baris:
ijinkan tcp segala ack
izinkan tcp apa saja

Yang berarti bahwa bahkan jika tidak ada segmen TCP awal dengan flag SYN (yaitu, sesi TCP bahkan tidak mulai dibuat), ACL ini akan melewatkan paket dengan flag ACK, yang dapat digunakan penyerang untuk mengirimkan data.

Artinya, jalur ini tidak mengubah router atau L3 Anda menjadi firewall statefull.

Perlindungan tingkat tinggi

Dalam artikel di bagian yang ditujukan untuk pusat data, kami mempertimbangkan metode perlindungan berikut.

• firewall stateful (default)
• perlindungan ddos ​​/ dos
• firewall aplikasi
• pencegahan ancaman (antivirus, anti-spyware, dan kerentanan)
• Penyaringan URL
• pemfilteran data (pemfilteran konten)
• pemblokiran file (pemblokiran tipe file)

Dalam kasus kantor, situasinya serupa, tetapi prioritasnya sedikit berbeda. Aksesibilitas kantor (ketersediaan) biasanya tidak sepenting dalam kasus pusat data, sedangkan kemungkinan lalu lintas berbahaya "internal" adalah pesanan yang jauh lebih tinggi.
Karenanya, metode perlindungan berikut untuk segmen ini menjadi penting:

• firewall aplikasi
• pencegahan ancaman (anti-virus, anti-spyware, dan kerentanan)
• Penyaringan URL
• pemfilteran data (pemfilteran konten)
• pemblokiran file (pemblokiran tipe file)

Meskipun semua metode perlindungan ini, dengan pengecualian firewall aplikasi, secara tradisional telah diselesaikan dan terus diselesaikan pada host akhir (misalnya, dengan menginstal program anti-virus) dan menggunakan proxy, NGFW modern juga menyediakan layanan ini.

Vendor peralatan keamanan berusaha untuk menciptakan perlindungan komprehensif, oleh karena itu, bersama dengan perlindungan pada kotak lokal, berbagai teknologi cloud dan perangkat lunak klien untuk host (perlindungan titik akhir / EPP) ditawarkan. Misalnya, dari Gartner Magic Quadrant untuk 2018, kita melihat bahwa Palo Alto dan Cisco memiliki EPP mereka sendiri (PA: Traps, Cisco: AMP), tetapi mereka jauh dari para pemimpin.

Dimasukkannya perlindungan ini (biasanya melalui pembelian lisensi) pada firewall, tentu saja, tidak wajib (Anda bisa menggunakan cara tradisional), tetapi menawarkan beberapa keuntungan:

• dalam hal ini, satu titik penerapan metode perlindungan muncul, yang meningkatkan visibilitas (lihat topik berikutnya).
• jika jaringan Anda memiliki perangkat yang tidak terlindungi, maka itu masih berada di bawah "payung" perlindungan firewall
• Menggunakan perlindungan pada firewall bersama dengan perlindungan pada host akhir, kami meningkatkan kemungkinan mendeteksi lalu lintas berbahaya. Misalnya, menggunakan pencegahan ancaman pada host lokal dan firewall meningkatkan kemungkinan deteksi (asalkan, tentu saja, bahwa solusi ini didasarkan pada produk perangkat lunak yang berbeda)

Informasi

Jika, misalnya, Anda menggunakan Kaspersky sebagai anti-virus di firewall dan host akhir, ini, tentu saja, tidak akan sangat meningkatkan peluang Anda untuk mencegah serangan virus di jaringan Anda.

Visibilitas jaringan

Ide dasarnya sederhana - untuk "melihat" apa yang terjadi di jaringan Anda, baik secara real time maupun data historis.

Saya akan membagi "visi" ini menjadi dua kelompok:

Kelompok Satu: apa yang biasanya disediakan oleh sistem pemantauan Anda.

• pemuatan peralatan
• memuat saluran
• penggunaan memori
• penggunaan disk
• mengubah tabel routing
• status tautan
• ketersediaan peralatan (atau host)
• ...

Grup Dua: Informasi Terkait Keamanan.

• berbagai jenis statistik (misalnya, berdasarkan aplikasi, URL lalu lintas, jenis data apa yang diunduh, data oleh pengguna)
• apa yang diblokir oleh kebijakan keamanan dan untuk alasan apa, yaitu
  
  • aplikasi yang dilarang
  • dilarang berdasarkan ip / protokol / port / bendera / zona
  • pencegahan ancaman
  • pemfilteran url
  • pemfilteran data
  • pemblokiran file
  • ...
• statistik tentang serangan DOS / DDOS
• upaya otentikasi dan otorisasi yang gagal
• statistik tentang semua pelanggaran kebijakan keamanan di atas
• ...

Dalam bab keamanan ini, kami tertarik tepatnya pada bagian kedua.

Beberapa firewall modern (dari praktik Palo Alto saya) memberikan tingkat visibilitas yang baik. Tetapi, tentu saja, lalu lintas yang menarik minat Anda harus melalui firewall ini (dalam hal ini, Anda dapat memblokir lalu lintas) atau dicerminkan ke firewall (hanya digunakan untuk pemantauan dan analisis), dan Anda harus memiliki lisensi untuk mengaktifkan semua layanan ini .

Tentu saja ada jalur alternatif, tetapi jalur tradisional, misalnya,

• statistik sesi dapat dikumpulkan melalui netflow dan kemudian menggunakan utilitas khusus untuk menganalisis informasi dan memvisualisasikan data
• pencegahan ancaman - program khusus (anti-virus, anti-spyware, firewall) pada host akhir
• Penyaringan URL, penyaringan data, pemblokiran file - di proksi
• Anda juga dapat mengurai tcpdump dengan mis. mendengus

Anda dapat menggabungkan kedua pendekatan ini, melengkapi fitur yang hilang atau menggandakannya untuk meningkatkan kemungkinan deteksi serangan.

Pendekatan mana yang harus dipilih?
Itu tergantung pada kualifikasi dan preferensi tim Anda.
Baik di sana maupun di sana ada pro dan kontra.

Otentikasi sentral terpadu dan sistem otorisasi

Dengan desain yang baik, mobilitas yang kita bahas dalam artikel ini mengasumsikan bahwa Anda memiliki akses yang sama ketika bekerja dari kantor atau dari rumah, dari bandara, dari kafe atau titik lain (dengan batasan yang kita bahas di atas). Tampaknya, apa masalahnya?
Untuk lebih memahami kompleksitas tugas ini, mari kita lihat desain yang khas.

Contoh

• Anda telah membagi semua karyawan ke dalam grup. Anda telah memutuskan untuk memberikan akses grup
• Di dalam kantor, Anda mengontrol akses ke firewall kantor
• Anda mengontrol lalu lintas dari kantor ke pusat data di firewall pusat data
• Sebagai gateway VPN, Anda menggunakan Cisco ASA dan untuk mengontrol lalu lintas yang memasuki jaringan Anda dari klien yang dialokasikan, Anda menggunakan ACL lokal (di ASA)

, , . .

,

• ASA IP
• ACL ASA
• security policy -

, . , , , 1 -2 , . , - .

.

, , LDAP. , .

, , ,

• guest ( )
• common access ( : , , …)
• accounting
• project 1
• project 2
• data base administrator
• linux administrator
• ...

- , 1, 2, , :

• guest
• common access
• project 1
• project 2

?

Cisco ASA Dynamic Access Policy (DAP) (. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html ) .

, / ASA LDAP , «» ACL ( ) ACL , .

VPN . , VPN, .

, 802.1x ( ), ( ). , (, -) VPN.

ASA. , ( , , , , dns, ...) ASA, . , ASA , .

, .

• , ,
• , ASA

?
. , .
, , LDAP, .

(host checking)

Jika koneksi jarak jauh dimungkinkan, kami berisiko tidak hanya mengizinkan karyawan perusahaan, tetapi juga semua perangkat lunak berbahaya yang mungkin ada di komputernya (misalnya, rumah) ke jaringan, dan terlebih lagi, melalui perangkat lunak ini, kami dapat membuka akses ke jaringan kami ke penyerang yang menggunakan host ini sebagai proxy.

Masuk akal bagi host jarak jauh untuk menerapkan persyaratan keamanan yang sama seperti halnya untuk host kantor.

Ini juga termasuk versi "benar" dari OS, anti-virus, anti-spyware, dan perangkat lunak firewall dan pembaruan. Biasanya, fitur ini ada di gateway VPN (untuk ASA, lihat, misalnya, di sini ).

Juga masuk akal untuk menerapkan metode analisis dan pemblokiran lalu lintas yang sama (lihat "Perlindungan tingkat tinggi"), yang, sesuai dengan kebijakan keamanan Anda, berlaku untuk lalu lintas kantor.

Masuk akal untuk mengasumsikan bahwa jaringan kantor Anda sekarang tidak terbatas pada gedung kantor dan host yang berada di dalamnya.

Contoh

Penerimaan yang baik adalah untuk membekali setiap karyawan yang membutuhkan akses jarak jauh dengan laptop yang nyaman dan baik dan mengharuskan mereka bekerja baik di kantor maupun di rumah hanya darinya.

Ini tidak hanya meningkatkan tingkat keamanan jaringan Anda, tetapi juga sangat nyaman dan biasanya dirasakan secara positif oleh karyawan (jika itu laptop yang benar-benar bagus dan nyaman).

Tentang rasa proporsi dan keseimbangan

Pada prinsipnya, ini adalah percakapan tentang puncak ketiga segitiga kami - tentang harga.
Mari kita lihat contoh hipotetis.

200 . .

. security , (anti-virus, anti-spyware, and firewall software), .

( ) 10- , — NGFW , , Palo Alto 7K (c 40 ), , , High Availability .

, , security .

, .

, 10 , ( ) .

, 200 …
? , .

…
, - , . — , , , .

Apakah contoh ini dilebih-lebihkan? Bab selanjutnya akan menjawab pertanyaan ini.

Jika di jaringan Anda, Anda tidak melihat sesuatu yang dipertimbangkan dalam artikel ini, maka ini adalah norma.
Untuk setiap kasus tertentu, Anda perlu menemukan kompromi yang masuk akal antara kenyamanan, harga, dan keamanan. Seringkali Anda bahkan tidak membutuhkan NGFW di kantor Anda, perlindungan L7 pada firewall tidak diperlukan. Cukup untuk memberikan tingkat visibilitas dan peringatan yang baik, dan ini dapat dilakukan dengan menggunakan produk-produk sumber terbuka, misalnya. Ya, reaksi Anda terhadap serangan itu tidak akan terjadi secara instan, tetapi yang terpenting adalah Anda akan melihatnya, dan jika Anda memiliki proses yang tepat di departemen Anda, Anda akan dapat dengan cepat menetralisirnya.

Dan, saya ingatkan Anda bahwa sesuai dengan rencana seri artikel ini, Anda tidak terlibat dalam desain jaringan, Anda hanya berusaha meningkatkan apa yang Anda dapatkan.

Analisis AMAN Arsitektur Kantor

Perhatikan kotak merah ini tempat saya telah mengalokasikan tempat pada diagram dari SAFE Secure Campus Architecture Guide , yang ingin saya bahas di sini.



Ini adalah salah satu tempat utama arsitektur dan salah satu ketidakpastian paling penting.

Catatan:

Saya tidak pernah mengatur dan tidak bekerja dengan FirePower (dari jalur firewall Cisco - hanya dengan ASA), jadi saya akan menganggapnya seperti firewall lain, misalnya, seperti Juniper SRX atau Palo Alto, dengan asumsi ia memiliki fitur yang sama .

Dari konstruksi yang biasa, saya hanya melihat 4 opsi yang memungkinkan untuk menggunakan firewall dengan koneksi ini:

• , transparent ( , L3 )
• - ( SVI ), L2
• VRF, VRF , VRF ACL
• ,

1

, .

2

PBR ( service chain), , , , .

Dari uraian arus dalam dokumen, kita melihat bahwa semua lalu lintas yang sama melewati firewall, yaitu, sesuai dengan desain Cisco, opsi keempat menghilang.

Mari kita lihat dua opsi pertama terlebih dahulu.
Dengan opsi ini, semua lalu lintas melewati firewall.

Sekarang kita melihat lembar data , lihat Cisco GPL dan melihat bahwa jika kita ingin total bandwidth untuk kantor kita setidaknya di wilayah 10 - 20 gigabit, maka kita harus membeli versi 4K.

Catatan

Ketika saya berbicara tentang total bandwidth, maksud saya lalu lintas antara subnet (dan tidak di dalam vilan yang sama).

Dari GPL kita melihat bahwa untuk Bundel HA dengan Pertahanan Ancaman, harga tergantung pada model (4110 - 4150) bervariasi dari ~ 0,5 - 2,5 juta dolar.

Artinya, desain kami mulai menyerupai contoh sebelumnya.

Apakah ini berarti bahwa desain ini salah?
Tidak, tidak. Cisco memberikan Anda perlindungan terbaik berdasarkan lini produk yang dimilikinya. Tetapi ini tidak berarti bahwa itu adalah "tiang kapal" untuk Anda.

Pada prinsipnya, ini adalah pertanyaan umum yang muncul dalam desain kantor atau pusat data, dan ini hanya berarti bahwa kompromi harus dicari.

Misalnya, tidak semua lalu lintas diizinkan melalui firewall, dan dalam hal ini opsi ke-3 tampaknya cukup baik bagi saya, atau (lihat bagian sebelumnya), Anda mungkin tidak memerlukan Pertahanan Ancaman atau sama sekali tidak memerlukan firewall di segmen jaringan ini, dan yang harus Anda lakukan adalah pemantauan pasif menggunakan solusi berbayar (tidak mahal) atau open source, atau Anda memerlukan firewall, tetapi vendor lain.

Biasanya selalu ada ketidakpastian ini dan tidak ada jawaban tunggal untuk solusi mana yang terbaik untuk Anda.
Ini adalah kompleksitas dan keindahan dari tugas ini.