Ushbu maqolaning maqsadi: xodimlar, mehmonlar, mijozlar, hamkorlar va pudratchilar uchun kompaniya infratuzilmasiga kirishni tashkil qilishda xavfsizlik devori asoslarini ko’rsatish.
Xodimlarning ichki kirish huquqi
Statistik ma’lumotlarga ko’ra, asosiy huquqbuzar kompaniyaning xodimi hisoblanadi. Xavfsizlik devori nuqtai nazaridan, biz unga kirishni imkon qadar cheklashimiz kerak. Tarmoq darajasida minimal imtiyozlarni amalga oshirishning eng oson yo’li – xodimlarning ish stantsiyalarini alohida xavfsizlik zonasiga joylashtirishdir. Keling, buni – USERS deb ataymiz.
USERS – bu ish stantsiyalarini o’z ichiga olgan tarmoq segmentlarini joylashtirish uchun mo’ljallangan xavfsizlik zonasi.
Biz shunday USERS zonasining tarmoq segmentlarida shaxsiy ish stantsiyalaridan boshqa qurilmalar bo’lmasligi kerakligini aniqlaymiz. Ko’pincha, tarmoqni yaratishda ular xato qiladilar: MFPlar, printerlar va umumiy joylarda joylashgan boshqa qurilmalar, masalan, koridorlar, yig’ilish xonalari, konferentsiya xonalari ishchilarning ish stantsiyalari joylashgan tarmoq segmentlariga joylashtirilgan.
Bu eng oddiy rayonlashtirish nuqtai nazaridan qanday ko’rinadi:
Asosiy tahdid
Ko’rib turganingizdek, oddiy zaiflik mavjud: agar ish stantsiyasi, masalan, buxgalter bilan nosozlik yuzaga kelsa, tajovuzkor yoki zararli kod administratorning ish stantsiyasini buzishga harakat qiladi, chunki u bir xil tarmoq segmentida joylashgan va ish stantsiyalari orasidagi trafik ko’rilmagan. Bundan tashqari, tajovuzkor kompaniyaning tarmoq infratuzilmasining barcha elementlarini yoki faqat keraklilarini buzishi osonroq bo’ladi:
Muammo oddiygina hal qilinadi, biz barcha yuqori darajadagi xodimlarni turli rollarga ajratamiz, masalan:
- oddiy xodimlar (kassirlar, kassirlar, buxgalterlar, menejerlar, tahlilchilar va boshqalar);
- imtiyozli xodimlar (kompaniya rahbariyati, top-menejerlar va boshqalar);
- yuqori darajali ishchilar (OT ma’murlari, ma’lumotlar bazasi ma’murlari, ilovalar ma’murlari, DevOps muhandislari, enikey/servis muhandislari, tarmoq uskunalari ma’murlari va boshqalar).
- Bir xil yuqori darajadagi ishchilarning ish stantsiyalari o’rtasida mumkin bo’lgan hujumlarni hisobga olsak, turli ishchilarni yanada kuchliroq ajratish mumkin, masalan, kassirlar va operatsionistlarni alohida tarmoq segmentlariga joylashtirish.
Keyinchalik, har bir rol uchun biz alohida tarmoq segmentini yaratamiz va tarmoqqa kirishning taxminiy qiymati bilan darhol quyidagi rasmni olamiz:
Bunday holda, biz taxmin qilamiz:
- kassirlar, operatsionistlar, buxgalterlar va direktor ma’lum bir CRM tizimida ishlaydi va ularning barchasi unga tarmoqqa kirishga muhtoj;
- veb-ilova xodimlarga oraliq serversiz bevosita ishlash imkonini beradi;
- tarmoq ma’murlaridan kirish ko’rsatilmaydi, chunki tarmoq uskunalari ko’rsatilmaydi;
- Enikeys/servis muhandislari RDP yoki boshqa boshqaruv protokoli orqali ularga texnik xizmat ko’rsatish uchun barcha ish stantsiyalariga kirishlari mumkin.
- Diagrammadan ko’rinib turibdiki, endi bizda kim va qanday kirishlar kerakligi haqida tasavvurga egamiz, agar qo’shimcha kirishlarni ochishga urinish bo’lsa, bu bizda shubha tug’diradi.
Domen
Enikey ishchilari tarmoqning boshqa segmentlariga kirish imkoniga ega bo’lgan yagona ishchilar bo’lganligi sababli, bu biz o’zimizni himoya qilgan asosiy hujum tarqatish nuqtalaridan biridir. Boshqalar ish stantsiyalari va xodimlar hisoblarini boshqarish tizimining ma’murlari – Windows NT oilasining operatsion tizimlarida ishlaydigan ish stantsiyalari holatida domen boshqaruvchisi. Hisobni boshqarish tizimining administrator hisobiga egalik qilib, tajovuzkor tizimda biz ruxsat bergan hamma narsani boshqaruv tizimining administrator hisobi ostida boshqarishi mumkin bo’ladi. Bunday hujumlardan himoya qilish ma’ruzada ko’rib chiqilmaydi, chunki bu endi segmentatsiyaga taalluqli emas.
Eng muhimi, bizda hujum vektorlari haqidagi tasavvurni shakllantirish imkoniyati paydo bo’ladi, kim kimga qanday maqsadda hujum qilishi mumkinligini tasavvur qilishimiz mumkin. Bu, shuningdek, tarmoq segmentatsiyasiga tegmasdan, OSI modelining boshqa darajalarida himoyani qayerda kuchaytirishni tushunishimizni osonlashtiradi.
Sxemaga domen boshqaruvchisini qo’shamiz:
Qaysi domen funksiyasidan foydalanilganiga qarab, domen boshqaruvchisi barcha boshqariladigan qurilmalar va ushbu portlardagi domen boshqaruvchisi o’rtasida qo’shimcha tarmoq kirishini ochadi.
Shunga ko’ra, markazlashtirilgan qulay qurilmalarni boshqarish uchun yangi asosiy hujum vektorlari paydo bo’ladi:
- Enikey ishchisining ish stantsiyasining murosaga kelishi va boshqa barcha ish stantsiyalariga keyingi hujum (2);
- domen nazoratchisi ma’murining ish stantsiyasining buzilishi, domen nazoratchisida (1) murosasizlik vujudga kelishi va kompaniyaning butun boshqariladigan tarmog’ining ish stantsiyalari va hisoblarining keyingi boshqarilishi(2).
Afsuski, boshqa hujumlar yordamida domen administratori yoki boshqa kamroq imtiyozli hisob huquqlarini olish mumkin. Buning sababi OSI modelining boshqa darajalarida zaif himoyalanganligi, masalan, Pass-the-hesh hujumini amalga oshirish – masofadan ulangan ishchining parolini/parol xeshini xotiradan chiqarib tashlash va keyinchalik domen boshqaruvchisiga yoki boshqa ish stantsiyalariga ulanish. domenni autentifikatsiya qilish usuliga qarab qabul qilingan parol/parol xeshi.
Keling, qanday ko’rinishini ko’rib chiqaylik:
Eslatma
Yana bir bor ta’kidlash joizki, segmentatsiyadan qat’i nazar, kompaniya tarmog’ida tarmoq qurilmalari bir-biri bilan o’zaro aloqada bo’lgan mavjud xizmatlar tufayli bunday xizmatlardan tarmoq segmentatsiyasini buzmaslik uchun emas, balki “aylanib o’tish” uchun foydalanish mumkin. ” u yuqoridagi OSI model darajalarida. Tarmoq segmentatsiyasi hujum vektorlari sonini sezilarli darajada kamaytiradi.
Xodimlarning tashqi tarmoqlarga kirishi
Har qanday kompaniya uchun ikkita asosiy hujum vektori mavjud:
- Internetda kezish;
- elektron pochta xizmatidan foydalanish.
Internetda sayr qilish
Zararli fayl yuklab olindi – ish stantsiyasi buzilgan, ushbu hujum vektorini minimallashtirish uchun trafikni filtrlash va tahlil qilishning turli vositalari qo’llaniladi, biz bunday himoya tizimlarining ishlashini chuqur tahlil qilmaymiz, biz ularni faqat kompaniya tarmog’ida joylashtirishni ko’rib chiqamiz.
Bunday vositalar sifatida, hech bo’lmaganda, ish stantsiyasining o’zida Internetga kirishni talab qiladigan himoya vositasi o’rnatilgan, bu yerda hamma narsa aniq – diagrammada bu bir xil kompyuter bo’ladi. Proksi-server ham ishlatiladi, u orqali Internetga barcha chiquvchi trafik o’tadi.
Proksi-serverni joylashtirish Ko’rib turganingizdek, brauzer HTTPS yoki HTTP so’rovini to’g’ridan-to’g’ri Internetga yuborish o’rniga, portni 443 va 80 dan 3128 ga o’zgartiradi, so’ngra so’rovni proksi-serverga yuboradi. Uch darajali tarmoq arxitekturasiga rioya qilish uchun biz proksi-serverni qurolsizlangan zonaga joylashtiramiz. Tahlil natijalariga ko’ra, proksi-server o’zaro ishlashga ruxsat beradi va Internetdagi ko’rsatilgan xizmatga so’rov yuboradi yoki jo’natuvchiga sababni ko’rsatgan javobni qaytaradi.
Eslatma
Ko’rib turganingizdek, diagramma uch darajali tarmoq arxitekturasini ishdan chiqaradi : u JB dan DMZ ga kirishni ko’rsatadi.
Bunday holda, siz boshqa narsalar qatori,
quyidagilarga asoslangan xavfni baholashni hisobga olishingiz mumkin:
boshqa himoya vositalarining mavjudligi;
himoya qilish va javob berish tizimining yetuklik darajasi;
boshqa omillar, masalan, qoidalar, siyosatlar, ko’rsatmalar;
Agar kirish talab qilinadigan tarmoq qurilmalaridan biri qo‘llab-quvvatlovchi IT xizmatlariga tegishli bo‘lsa, uch qavatli tarmoq arxitekturasini buzish ehtimoli to‘g‘risida qaror qabul qilish lozim. Domen boshqaruvchisi haqiqatan ham shunga o’xshash vaziyatga ega ekanligini payqadingizmi?
Ishchilar uchun masofadan kirish
VPN texnologiyasi eng ko’p masofaviy kirish uchun ishlatiladi. VPN shlyuzi sifatida VPN shlyuz funksiyasiga ega xavfsizlik devorining o’zi ham, alohida tarmoq qurilmasi ham ishlatilishi mumkin.
Keling, ikkala variantni ham ko’rib chiqaylik:
- VPN shlyuzi orqali masofadan kirish
- Xavfsizlik devoridagi VPN shlyuzi
VPN shlyuzi xavfsizlik devorida amalga oshirilishi mumkinligi sababli, keling, L3 qatlam diagrammasini (qurilmalarning jismoniy ulanishi diagrammasi) ko’rib chiqaylik, faqat bo’lishi mumkin bo’lgan marshrutizatorlar va kalitlarning maksimal sonini tasavvur qiling:
Sxema bo’yicha tushuntirish
qora chiziqlar jismoniy simlarni ifodalaydi; ko’k strelkalar tarmoqqa kirishni anglatadi.
Diagrammadan ko’rinib turibdiki, VPN kanali orqali kirish masofaviy ish stantsiyasidan, odatda noutbukdan masofaviy ulanishni o’z ichiga oladi. Ulanish terminal serveriga (1-variant) yoki USERS segmentidagi ish stantsiyasiga (variant 2) amalga oshiriladi.
Ushbu sxema ham mumkin:
Izoh
Chegara routeri o’rniga faqat xavfsizlik devori mavjud
Va sxemaning ushbu versiyasi:
Izoh
Bunday holda, terminal serverida 2 ta tarmoq interfeysi mavjud bo’lib, trafikni marshrutlash terminal serveridan biznes ilovalari yoki boshqa tarmoq qurilmalariga yuborilgan trafik faqat ikkinchi tarmoq interfeysi orqali qolgan qismini bog’laydigan kommutatorga o’tadi. tarmoq qurilmalari.
Tarmoq ko’prigi bu holatda yomon yechim emas. Bitta serverda 2 ta tarmoq interfeysi mavjud bo’lsa, biri serverda ishlaydigan veb-ilovaga, ikkinchisi esa bir xil serverdagi ma’lumotlar bazasiga kirish uchun foydalanilganda yomon. Ya’ni, aslida, xizmatning ikkita serverga bo’linishi amalga oshirilmagan va xizmat arxitekturasi endi uch darajali bo’lmaydi, lekin agar veb-server ham bo’lsa, ikki darajali yoki hatto bir darajali bo’ladi. bir xil serverda joylashtirilgan. Masalan, xavfsizlik devori qoidalarini tahlil qilishda siz barcha kerakli tarmoq kirishlarini ko’rishingiz mumkin:
- internetdan DMZdagi IP manzilga;
- DMZ-dagi IP-dan APP-dagi IP-ga;
- APP ichidagi IP dan JBdagi IP ga.
Darhaqiqat, barcha trafik bir xil serverga o’tadi, shuning uchun tarmoq arxitekturasini faqat tarmoq darajasidagi xavfsizlik devori qoidalari asosida boshqarish samarali bo’lmasligi mumkin va har bir serverning haqiqiy mavjudligi, soni va maqsadini nazorat qilish ham kerak.
Maxsus VPN shlyuzi VPN-server alohida tarmoq qurilmasida joylashgan boshqa variant:
Ko’rib turganingizdek, juda ko’p ulanish variantlari mumkin, hatto taklif qilinmagan boshqalar ham. Sxema faqat sizning tasavvuringiz, yuk ostida tarmoq ishlashi, DDoS hujumlari, ishlatiladigan tarmoq uskunasining funksionalligi va xavfsizlik xususiyatlari bilan cheklangan.
Ushbu sxema bilan, agar asosiy xavfsizlik devori DDoS hujumiga tushib qolsa, masofaviy kirish alohida VPN shlyuzi orqali qoladi.
Shuning uchun men maqolalarimda jismoniy aloqalar bilan sxemalarni ko’rsatish darajasiga tushmayman.
VPN shlyuzi alohida tarmoq qurilmasi sifatida
Oxirgi ko’rib chiqilgan variant:
Maxsus tarmoq VPN shlyuzi
Tushuntirishlar
A, B, C harflari uskunani almashtirishning mumkin bo’lgan variantlarini ko’rsatadi.
Umuman olganda, VPN shlyuzi chegara xavfsizlik devoridan keyin ham o’rnatilishi mumkin, barchasi yana VPN shlyuzining funksionalligi va himoya choralariga, DDoS hujumi ostida qurilmalarning mustaqil mavjudligi zarurligiga bog’liq.
Masofaviy kirishning boshqa usullari Boshqa variantlar ham bo’lishi mumkin, masalan, VDI infratuzilmasidan foydalanish. Keling, bu usulni uyda o’rganish uchun qoldiramiz, chizish juda ko’p 🙂
Mehmonga kirish
Kompaniya infratuzilmasi bo’yicha mehmonlarga kirish
Ko’pincha kompaniyalar mehmonlarga (xodimlarga emas) keng polosali Internetdan foydalanish yoki Internetdan kirish imkoni bo’lmagan DMZdagi alohida serverlarga kirish imkoniyatini taqdim etishlari kerak.
Bunday holda, quyidagi mantiqiy tarmoq diagrammasi quriladi:
Mehmonga kirish mantiqi
Diagrammadan quyidagicha:
qo’shimcha tarmoqlariga faqat Internetga kirish kerak;
Ko’pincha bunday tarmoqlar ba’zi serverlarga faqat qurolsizlangan zonaga kirishi mumkin, masalan, Internetda e’lon qilingan yoki Internetda mavjud bo’lmagan, lekin mehmonlar uchun mavjud bo’lganlar (namoyish majmualari).
Ushbu tamoyilga rioya qilish orqali ichki resurslarning murosaga kelishining oldini olish mumkin.
Bunday holda, xodimlarning qo’shimcha tarmoqga (гостевой доступ) kirishiga yo’l qo’ymaslikning texnik mexanizmini o’ylab ko’rish kerak, masalan, qurilma tekshiruvini “korporativ” ga o’rnatish: agar korporativ qurilma Qo’shimcha tarmoqga (гостевой доступ) ulansa, ulanishni rad eting. . Afsuski, xodimlar tarmoq ko’priklarini qurishga harakat qilishadi – sim orqali kompaniya tarmog’iga va Wi-Fi orqali qo’shimcha tarmoqqa ulanishad. Maqsad oddiy – proksi-serverni chetlab o’tib, ichki resurslarga kirish va Internetga to’liq kirish.
Keling, DNS o’zaro ta’sirini hisobga olamiz va quyidagi OSI qatlamlarida yuqoridagi diagrammani ko’rib chiqamiz:
Izoh
Qo’shimcha tarmoq (гостевой доступ) uchun biz ichki DNS zonalarimizni qurilmalarga e’lon qilmaslik va topologiyani oshkor qilmaslik uchun tashqi DNS serverini o’rnatdik. Taklif: bolalar foydalanishi uchun mo’ljallangan Yandex DNS serveridan foydalaning.
Ko’rib turganingizdek, DMZ serverlari uchun HTTPS, ehtimol tarmoq ichida talab qilinadi.
Tarmoq ko’prigi
Endi yuqorida muhokama qilingan tarmoq ko’prigi qanday ko’rinishini ko’rsatamiz:
tarmoq ko’prigi
Provayder infratuzilmasida qo’shimcha kirish ( гостевой доступ)
Kichik kompaniyalar uchun biroz xavfsizroq, provayder tomonidan taqdim etilgan alohida kanal orqali Wi-Fi bilan ta’minlash:
Alohida qo’shimcha tarmog’i
Bunday holda, provayder hatto mehmonlar tarmog’idagi foydalanuvchilarning autentifikatsiyasini o’z zimmasiga olishi mumkin, masalan, Captive portali orqali telefon raqamini.
Qo’shimcha qurilmalari esa kompaniya infratuzilmasidan emas, balki Internetdan keladigan kompaniya tarmog’i uchun qurilmalar hisoblanadi.
Eng ko’p o’qilgan maqolalar