本文是标题为“如何控制网络基础结构”的系列文章中的第五篇。 该系列中所有文章的内容和链接都可以在这里找到 。
本部分将重点关注园区安全设计(Office)和远程访问VPN区段的审核。
办公网络的设计似乎很简单。
实际上,我们采用L2 / L3开关,将它们连接在一起。 接下来,我们执行vilan,默认网关的基本配置,提出简单的路由,连接WiFi控制器,访问点,安装和配置ASA以进行远程访问,我们很高兴一切正常。 原则上,正如我在本系列的上
一篇文章中所写的那样,几乎每个听(并学到)电视课程两个学期的学生都可以设计和配置办公网络以“以某种方式工作”。
但是,您学得越多,这项任务就显得越不基本。 就我个人而言,这个主题(办公网络设计的主题)似乎一点都不简单,在本文中,我将尝试解释原因。
简而言之,需要考虑很多因素。 这些因素通常相互冲突,必须寻求合理的折衷。
这种不确定性是主要困难。 因此,说到安全性,我们有一个包含三个顶点的三角形:安全性,员工便利性和解决方案的价格。
每次您都必须在三者之间找到折衷方案。
建筑学
作为这两个部分的体系结构示例,我(如前几篇文章中所述)推荐
Cisco SAFE模型:
Enterprise Campus ,
Enterprise Internet Edge 。
这些文件有些过时。 之所以将它们带到这里,是因为原则上方案和方法没有改变,但是与此同时,我更喜欢这份介绍,而不是在
新文档中 。
在不敦促您使用思科解决方案的情况下,我仍然认为仔细研究该设计很有用。
像往常一样,本文不以任何方式假装,而是对该信息的补充。
在本文的结尾,我们将根据此处概述的概念来分析办公室的Cisco SAFE的设计。
一般原则
当然,办公室网络的设计必须满足“设计质量评估标准”一章中讨论的一般要求。 除了我们打算在本文中讨论的价格和安全性外,在设计(或进行更改)时还必须考虑三个标准:
关于
数据中心的许多讨论也适用于办公室。
但是,尽管如此,办公部门也有其自身的特殊性,从安全性的角度来看这是至关重要的。 这种特殊性的实质是,创建此部分是为了向公司的员工(以及合作伙伴和来宾)提供网络服务,因此,我们在最高级别的问题考虑中有两项任务:
- 保护公司资源免受可能来自员工(来宾,合作伙伴)及其使用的软件的恶意行为的侵害。 这还包括防止未经授权的网络连接的保护。
- 保护系统和用户数据
而这仅仅是问题的一方面(或者说,三角形的一个顶点)。 另一方面是用户便利性和应用解决方案的价格。
让我们从查看用户对现代办公网络的期望开始。
便利设施
在我看来,这是办公室用户的“网络便利”:
- 流动性
- 能够使用各种熟悉的设备和操作系统
- 轻松访问所有必要的公司资源
- Internet资源的可用性,包括各种云服务
- “快速工作”网络
所有这一切都适用于员工和来宾(或合作伙伴),这已经是公司工程师基于授权区分不同用户组访问权限的任务。
让我们仔细看看这些方面。
流动性
它与在世界任何地方(当然,可以使用Internet的地方)工作和使用公司所有必要资源的能力有关。
这完全适用于办公室。 如果您有机会在办公室的任何地方继续工作,例如接收邮件,在公司信使中进行通信,可以进行视频通话,这将非常方便。因此,一方面,您可以通过“实时”解决一些问题。交流(例如参加集会),以及另一方面-始终在线,保持同步并迅速解决一些紧迫的高优先级任务。 这非常方便,并且确实提高了通信质量。
这可以通过WiFi网络的正确设计来实现。
备注
这通常会引发一个问题,仅使用WiFi是否足够? 这是否意味着您可以拒绝在办公室使用以太网端口? 如果我们仅在谈论用户,而不是在与普通以太网端口连接的服务器,那么通常的答案是:是的,您可以将自己限制为仅WiFi。 但是有细微差别。
有重要的用户组需要单独的方法。 这些当然是管理员。 原则上,WiFi连接的可靠性(就流量损失而言)不如常规以太网端口可靠。 这对管理员来说可能很重要。 另外,例如,网络管理员基本上可以拥有自己的专用以太网,用于带外连接。
您公司中可能还有其他小组/部门,这些因素对他们也很重要。
还有另一个要点-电话。 也许由于某些原因,您不想使用无线VoIP,而要使用具有常规以太网连接的IP电话。
通常,在我工作过的公司中,通常都可能同时有WiFi连接和以太网端口。
我希望流动性不仅限于办公室。
为了确保在家中(或可访问Internet的任何其他地方)工作的能力,使用了VPN连接。 同时,希望员工不要感到在家工作和远程工作之间存在差异,这意味着存在相同的访问权限。 我们将在稍后的“统一的集中式身份验证和授权系统”一章中讨论如何组织它。
备注
最有可能的是,您将无法为办公室中的远程工作完全提供相同质量的服务。 假设您使用Cisco ASA 5520作为VPN网关,根据数据表,此设备仅能“消化” 225 Mbps VPN流量。 也就是说,就带宽而言,VPN连接与在办公室工作非常不同。 另外,如果由于某种原因,网络服务的延迟,丢失,抖动(例如,您要使用办公室IP电话)非常重要,那么您也将无法获得与办公室相同的质量。 因此,在谈论流动性时,我们必须牢记可能的限制。
轻松访问所有公司资源
此任务应与其他技术部门一起解决。
理想的情况是,用户只需要进行一次身份验证,然后他便可以访问所有必要的资源。
在不影响安全性的情况下提供轻松访问可以显着提高工作效率,并减轻同事的压力。
备注1
轻松访问不仅取决于您必须输入密码的次数。 例如,如果要根据您的安全策略从办公室连接到数据中心,您必须首先连接到VPN网关,同时又无法访问办公室资源,那么这也非常非常不便。
备注2
在某些服务(例如,访问网络设备)中,我们通常拥有自己的专用AAA服务器,在这种情况下,您必须进行多次身份验证,这是常态。
互联网资源的可用性
互联网不仅是娱乐,而且是对工作非常有用的一组服务。 也有纯粹的心理因素。 现代人可以通过互联网通过与他人连接的许多虚拟线程来进行连接,我认为,即使在工作时,他继续感受到这种联系也没有错。
从浪费时间的角度来看,无需担心例如某位员工是否正在运行Skype,并且如果需要的话,他将花5分钟与亲人交谈。
这是否意味着Internet应该一直可用,是否意味着员工可以打开对所有资源的访问权限,而无法控制这些资源?
不,当然不是。 互联网的开放程度对于不同的公司可能有所不同-从完全关闭到完全开放。 我们稍后将在安全功能部分中讨论控制流量的方法。
能够使用各种熟悉的设备
例如,当您有机会在工作中继续使用所有常规交流方式时,这很方便。 从技术上讲,实现这一点没有困难。 为此,您需要WiFi和来宾vilan。
如果可以使用惯用的操作系统,那也很好。 但是,据我观察,通常只允许管理人员,管理员和开发人员使用。
例子
当然,您可以遵循禁止的路径,禁止远程访问,禁止从移动设备进行连接,限制所有静态以太网连接,限制Internet访问,而不必在检查点移除手机和小工具……这样,一些组织的工作量越来越大。安全要求,也许在某些情况下,这可能是合理的,但是……同意这看起来像是在阻止单个组织的进步。 当然,我想将现代技术提供的机会与足够的安全性结合起来。
“快速工作”网络
技术上,数据传输速率由许多因素组成。 连接端口的速度通常不是其中最重要的。 应用程序的缓慢运行并不总是与网络问题有关,但是现在我们只对网络部分感兴趣。 “减慢”本地网络最常见的问题与丢包有关。 通常会出现瓶颈效应或L1(OSI)问题。 较不常见的是,在某些设计中(例如,当防火墙充当子网中的默认网关,因此所有流量都通过它时),可能缺乏硬件性能。
因此,在选择设备和体系结构时,需要将终端端口,干线的速度和设备性能关联起来。
例子
假设您使用具有1个千兆位端口的交换机作为访问级别交换机。 它们通过2 x 10吉比特的Etherchannel互连。 作为默认网关,您使用具有千兆位端口的防火墙,使用在以太网通道中组合的2个千兆位端口将防火墙连接到办公室的L2网络。
就功能而言,此架构非常方便,因为 所有流量都经过防火墙,您可以轻松地管理访问策略并应用复杂的算法来控制流量并防止可能的攻击(请参阅下文),但是从带宽和性能的角度来看,这种设计当然存在潜在的问题。 因此,例如,有2台主机下载数据(端口速度为1 GB)可以完全将2 GB连接加载到防火墙,从而导致整个办公室网段的服务质量下降。
我们看了三角形的一个顶点,现在看一下如何提供安全性。
保护手段
因此,当然,通常,我们的愿望(或更确切地说,我们领导的愿望)是实现不可能的事情,即以最大的安全性和最低的价格提供最大的便利。
让我们看看我们必须提供哪些保护方法。
对于办公室,我将选出以下内容:
- 零信任设计方法
- 高防护等级
- 网络可见性
- 单一集中式身份验证和授权系统
- 主机检查
接下来,我们将更详细地介绍这些方面。
零信任
IT世界瞬息万变。 从字面上看,在过去的十年中,新技术和产品的出现导致对安全概念的重大修订。 十年前,从安全角度出发,我们将网络划分为信任,dmz和不信任区域,并应用了所谓的“外围防御”,其中有两道防线:不信任-> dmz和dmz->信任。 同样,保护通常仅限于基于L3 / L4(OSI)标头(IP,TCP / UDP端口,TCP标志)的访问列表。 与更高级别有关的所有内容,包括L7,都留给最终主机上安装的OS和保护产品。
现在情况发生了巨大变化。
零信任的现代概念源于以下事实:不再可能考虑内部(即外围内部的系统)可信,并且外围的概念已经变得模糊。
除了互联网连接,我们还有
- 远程访问VPN用户
- 通过办公室WiFi连接的笔记本电脑带来的各种个人小工具
- 其他(分公司)办公室
- 与云基础架构集成
零信任方法在实践中是什么样的?
理想情况下,仅应允许所需的流量,并且如果我们在讨论理想状态,则控制不仅应在L3 / L4级别上,而且应在应用程序级别上。
例如,如果您有机会使所有流量通过防火墙,则可以尝试更接近理想状态。 但是这种方法可以大大减少网络的总带宽,此外,按应用程序进行过滤并不总是可以正常工作。
在监视路由器或L3交换机上的流量(使用标准ACL)时,您会遇到其他问题:
- 这只是L3 / L4过滤。 没有什么可以阻止攻击者为其应用程序(而非http)使用允许的端口(例如TCP 80)
- 复杂的ACL管理(难以分析ACL)
- 这不是全状态防火墙,也就是说,您需要明确允许反向流量
- 对于交换机,通常会受到TCAM大小的严格限制,如果您使用“只允许您需要的东西”的方法,则很快就会成为问题。
备注
谈到反向流量,我们必须记住,我们有下一个机会(思科)
允许任何已建立的tcp
但是您必须了解,这一行等效于两行:
允许TCP进行任何确认
允许tcp any rst
这意味着,即使没有带有SYN标志的原始TCP段(即,甚至没有开始建立TCP会话),该ACL也会跳过带有ACK标志的数据包,攻击者可以使用该数据包来传输数据。
也就是说,此行不会以任何方式将您的路由器或L3交换机变成全状态防火墙。
高防护等级
在专门针对数据中心的部分中的
文章中,我们考虑了以下保护方法。
- 有状态防火墙(默认)
- ddos / dos保护
- 应用防火墙
- 威胁预防(防病毒,反间谍软件和漏洞)
- 网址过滤
- 数据过滤(内容过滤)
- 文件阻止(文件类型阻止)
就办公室而言,情况类似,但优先级略有不同。 办公室可访问性(可用性)通常不像数据中心那样重要,而“内部”恶意流量的可能性要高几个数量级。
因此,针对该网段的以下保护方法变得至关重要:
- 应用防火墙
- 威胁预防(防病毒,反间谍软件和漏洞)
- 网址过滤
- 数据过滤(内容过滤)
- 文件阻止(文件类型阻止)
尽管所有这些保护方法(除了应用程序防火墙之外)传统上都已经解决,并且会继续在最终主机上解决(例如,通过安装防病毒程序)并使用代理,但现代NGFW还是提供了这些服务。
安全设备供应商努力创建全面的保护,因此,除了本地盒上的保护外,还提供了各种针对主机的云技术和客户端软件(端点保护/ EPP)。 例如,从
Gartner 2018年魔力象限中可以看出,帕洛阿尔托和思科都有自己的EPP(PA:陷阱,Cisco:AMP),但距离领导者还很遥远。
当然,在防火墙上包括这些保护(通常通过购买许可证)不是强制性的(您可以采用传统方式),但是它具有一些优点:
- 在这种情况下,将出现保护方法的单点应用,从而提高了可见性(请参阅下一个主题)。
- 如果您的网络中有不受保护的设备,那么它仍然属于防火墙保护的“伞”
- 通过将防火墙上的保护与最终主机上的保护一起使用,我们可以增加检测恶意流量的可能性。 例如,在本地主机和防火墙上使用威胁防护会增加检测的可能性(当然,前提是这些解决方案基于不同的软件产品)
信息
例如,如果在防火墙和终端主机上同时使用卡巴斯基作为防病毒软件,那么这当然不会大大增加防止网络上的病毒攻击的机会。
网络可见性
基本想法很简单-实时和历史数据“查看”网络中正在发生的事情。我将这种“愿景”分为两类:第一类:您的监视系统通常为您提供的内容。- 设备装载
- 加载渠道
- 内存使用
- 磁盘使用率
- 更改路由表
- 链接状态
- 设备(或主机)的可用性
- ...
第二组:安全性相关信息。- 各种统计信息(例如,按应用程序,按流量URL,下载的数据类型,用户数据)
- 安全策略阻止了什么,出于什么原因,即
- 禁止申请
- 禁止基于IP /协议/端口/标志/区域
- 威胁预防
- 网址过滤
- 资料筛选
- 档案封锁
- ...
- DOS / DDOS攻击统计
- 失败的身份验证和授权尝试
- 以上所有违反安全策略的统计信息
- ...
在关于安全性的这一章中,我们恰恰对第二部分感兴趣。一些现代防火墙(根据我在Palo Alto的实践)提供了良好的可见性。但是,当然,您应该通过此防火墙通过的流量(在这种情况下,您可以阻止流量)或镜像到防火墙(仅用于监视和分析),并且您必须具有许可证才能启用所有这些服务。当然,有一条替代路径,但是有一条传统路径,例如,- 可以通过netflow收集有关会话的统计信息,然后使用特殊实用程序来分析信息并可视化数据
- 威胁防护-终端主机上的特殊程序(防病毒,反间谍软件,防火墙)
- URL过滤,数据过滤,文件阻止-代理
- 您也可以使用例如snort解析tcpdump
您可以将这两种方法结合使用,以补充缺失的功能或复制它们,以增加检测到攻击的可能性。选择哪种方法?这取决于您团队的资历和偏好。那里和那里都有优点和缺点。统一的中央认证和授权系统
通过良好的设计,我们在本文中讨论的移动性假定您在办公室或在家中,在机场,在咖啡馆或任何其他地方进行工作时都具有相同的访问权限(具有上面讨论的限制)。看来是什么问题?为了更好地理解此任务的复杂性,让我们看一个典型的设计。例子
- 您已将所有员工分为几组。您已决定提供群组访问权限
- 在办公室内部,您可以控制对办公室防火墙的访问
- 您可以在数据中心的防火墙上控制从办公室到数据中心的流量
- 作为VPN网关,您可以使用Cisco ASA,并使用本地(在ASA上)ACL来控制从分配的客户端进入网络的流量。
, , . .
,
- ASA IP
- ACL ASA
- security policy -
, . , , , 1 -2 , . , - .
.
, , LDAP. , .
, , ,
- guest ( )
- common access ( : , , …)
- accounting
- project 1
- project 2
- data base administrator
- linux administrator
- ...
- , 1, 2, , :
- guest
- common access
- project 1
- project 2
?
Cisco ASA Dynamic Access Policy (DAP) (. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html ) .
, / ASA LDAP , «» ACL ( ) ACL , .
VPN . , VPN, .
, 802.1x ( ), ( ). , (, -) VPN.
ASA. , ( , , , , dns, ...) ASA, . , ASA , .
, .
?
. , .
, , LDAP, .
(host checking)
如果可以进行远程连接,则我们有风险,不仅允许公司的员工,而且还允许他的计算机(例如,家庭)上可能存在的所有恶意软件都允许通过网络访问,此外,通过此软件,我们可以开放访问我们的网络连接到使用此主机作为代理的攻击者。远程主机应应用与办公室主机相同的安全要求。这也包括操作系统的“正确”版本,防病毒,反间谍软件以及防火墙软件和更新。通常,此功能存在于VPN网关上(对于ASA,请参见,例如,此处)。应用相同的流量分析和阻止方法(请参阅“高级保护”)也是合理的,根据您的安全策略,这些方法适用于办公室流量。可以合理地假设您的办公网络现在不仅限于办公大楼和其中的主机。示例
良好的接待方式是为需要远程访问的每个员工配备一台好用,便捷的笔记本电脑,并且只要求他在办公室和在家中工作。
这不仅提高了网络的安全级别,而且确实非常方便,并且通常被员工给予积极的评价(如果它是一台非常好的方便的笔记本电脑)。
关于比例和平衡感
原则上,这是关于三角形的第三个峰值的讨论-关于价格。让我们看一个假设的例子。
200 . .
. security , (anti-virus, anti-spyware, and firewall software), .
( ) 10- , — NGFW , , Palo Alto 7K (c 40 ), , , High Availability .
, , security .
, .
, 10 , ( ) .
, 200 …
? , .
…
, - , . — , , , .
这个例子被夸大了吗?下一章将回答这个问题。如果在您的网络上,您看不到本文考虑的内容,那么这就是常态。对于每种特定情况,您都需要在便利性,价格和安全性之间找到合理的折衷方案。通常,您甚至在办公室中甚至都不需要NGFW,因此不需要防火墙上的L7保护。提供足够的可见性和警报水平就足够了,例如,可以使用开源产品来完成。是的,您对攻击的反应不会是瞬间的,但主要的是您会看到它,并且如果您的部门中流程正确,您将能够迅速中和它。而且,我提醒您,根据这些文章系列的计划,您不参与网络设计,而只是在尝试改善所获得的东西。办公室架构的SAFE分析
请注意这个红色方块,在《SAFE安全校园建筑指南》中的图表上我已为此分配了一个位置,我想在此进行讨论。
这是建筑的关键场所之一,也是最重要的不确定因素之一。注意:
我从未设置并且无法使用FirePower(从Cisco防火墙产品线-仅用于ASA),因此我将其视为与任何其他防火墙一样,例如Juniper SRX或Palo Alto,假定它具有相同的功能。
从通常的构造中,我仅看到4种可能的选项,可以通过此连接使用防火墙:- , transparent ( , L3 )
- - ( SVI ), L2
- VRF, VRF , VRF ACL
- ,
1
, .
2
PBR ( service chain), , , , .
从文档中的流程描述中,我们看到所有相同的流量都通过防火墙,也就是说,按照思科的设计,第四个选项消失了。首先让我们看一下前两个选项。使用这些选项,所有流量都会通过防火墙。现在,我们看一下数据表,再看一下Cisco GPL,如果我们希望办公室的总带宽至少在10-20吉比特左右,则应该购买4K版本。注意:
当我谈论总带宽时,是指子网之间的流量(而不是一个wilan内部)。
从GPL中我们可以看到,具有威胁防御功能的HA捆绑包的价格取决于型号(4110-4150),从〜0.5-250万美元不等。
也就是说,我们的设计开始类似于前面的示例。
这是否意味着该设计是错误的?
不,不是。 思科根据其拥有的产品线为您提供最佳的保护。 但这并不意味着这对您来说是“必做之事”。
原则上,这是在办公室或数据中心的设计中出现的常见问题,这仅意味着必须寻求折衷方案。
例如,并非所有流量都允许通过防火墙,在这种情况下,第三个选项对我来说似乎很不错,或者(请参阅上一节),您可能不需要威胁防御,或者在此网段中根本不需要防火墙,并且您所要做的就是使用付费(不昂贵)或开源解决方案进行被动监视,或者您需要防火墙,但需要另一家供应商。
通常,总是存在这种不确定性,也没有明确的答案,哪种解决方案最适合您。
这就是这项任务的复杂性和美感。