Организация DMVPN с филиалами
Ранее я уже упоминал о том, что филиалы будут связаны с центральным офисом м помощью DMVPN. DMVPN – динамическая многоточечная виртуальная частная сеть, технология объединения частных сетей через публичные сети. Мы строим site–to–site туннели между нашими центральными маршрутизаторами (Hub) и маршрутизаторами в филиалах (Spoke). Данная топология будет напоминать звезду, но не с некоторыми отличиями, при необходимости филиалы смогут строить временные туннели между собой для обмена трафика, что позволит снизить нагрузку на центральные маршрутизаторы, которые не будут передавать трафик от одного филиала в другой. DMVPN в качестве протокола будет использоваться протокол IPSec, внутри которого будет проходить трафик GRE.
Настройки IPSec:
· Алгоритм шифрования: AES - Advanced Encryption Standard (256 bit keys)
· Алгоритм хеширования: SHA - Secure Hash Algorithm Version 2 512
· Метод аутентификации: Rivest-Shamir-Adleman Signature;
· Группа Diffie-Hellman: #14 (2048 bit)
· Время жизни SA: 86400 seconds, no volume limit.
Так как у нас два центральных маршрутизатора и два канала связи, то каждый роутер в филиале будет создавать туннели с каждым из центральных маршрутизаторов и как писалось раньше внутри этих каналов будет работать протокол OSPF. Так же мы будем использовать протокол NHRP. Next Hop Resolution Protocol (NHRP) — клиент-серверный протокол преобразования адресов, позволяющий всем хостам, которые находятся в NBMA (Non Broadcast Multiple Access)-сети, динамически выучить NBMA-адреса (физические адреса) друг друга обращаясь к next-hop-серверу (NHS). После этого хосты могут обмениваться информацией друг с другом напрямую. Схему построение туннелей можно увидеть на рисунке 2.7.
|
|
|
Рисунок 2.7 – Схема DMVPN туннелей
В сети DMVPN:
· Hub-маршрутизатор будет работать как NHS, а spoke-маршрутизаторы будут клиентами.
· Hub-маршрутизатор хранит и обслуживает базу данных NHRP, в которой хранятся соответствия между физическими адресами и адресами mGRE-туннелей spoke-маршрутизаторов.
· На каждом spoke-маршрутизаторе hub-маршрутизатор статически указан как NHS и задано соответствие между физическим адресом и адресом mGRE-туннеля hub-маршрутизатора.
· При включении каждый spoke-маршрутизатор регистрируется на NHS и, при необходимости, запрашивает у сервера информацию об адресах других spoke-маршрутизаторов для построения spoke-to-spoke туннелей.
· Network ID - характеристика локальная для каждого маршрутизатора (аналогия - OSPF process ID). Разные интерфейсы могут участвовать в разных NHRP сессиях; это просто разграничитель того, что сессия NHRP на одном интерфейсе не та что на другом. Соответственно, совершенно не обязательно, чтобы Network ID совпадали на разных маршрутизаторах.
Безопасность сети на основе AD
|
|
|
Active Directory является единой точкой входа и управления, все учетные записи клиентов создаются и хранятся в Active Directory, отсюда же осуществляется и управления этими учетными записями.
Active Directory представляет из себя распределенную базу данных в котором располагаются различные объекты, это могут быть компьютеры, группы, пользователи. Active Directory имеет иерархическую структуру.
Основной структурной единицей Active Directory является домен. Помимо этого, несколько доменов могут быть объединены в дерево доменов, те в свою очередь в лес доменов.
База данных Active Directory хранится на специальных серверах, контроллерах домена, что является одной из роли Microsoft Windows Server, при работе с Active Directory необходимо резервировать контроллеры домена, best practice, является использование двух и более серверов. У нас сервера будут расположены на серверной ферме и в филиалах.
В нашей сети помимо своих основных функций как авторизация пользователей на компьютерах, и настройка прав доступа к сетевым папкам, Active Directory будет выступать в роли базы данных для RADIUS сервера. RADIUS сервер будет использоваться для аутентификации и авторизации пользователей на сетевом оборудовании, например, протокол 802.1X, авторизации сотрудников ИТ отдела на сетевом оборудовании, для построения DMVPN туннелей с филиалами, для этого будет использоваться дополнительный компонент сервер сертификации который будет выдавать сертификаты сетевому оборудованию. Так же Active Directory будет интегрирован с IPS системой.
|
|
|
В качестве устройства IPS у нас выступает межсетевой экран Cisco ASA с функционалом FirePower. На этом устройстве реализованы следующие функции:
· контроль приложения (функция Next Generation Firewall)
· обнаружение и отражение атак (функция Next Generation IPS)
· контроль доступа в сеть Internet (функция URL-фильтрации)
· обнаружение и нейтрализация вредоносного кода (функция Advanced Malware Protection).
· интеграции с Active Directory для привязки политик безопасности к именам пользователей, а не IP-адресам (функция Identity Firewall)
· традиционный межсетевой экран (функция Statefull Firewall)
Это позволяет комплексно управлять безопасностью сети. IPS устанавливается на пути следования трафика, при возникновении подозрительной активности сессия разорвется и это будет отражено в системно журнале, при повторной попытки компьютер который проявляет эту активность будет заблокирован. IPS будет идентифицировать пользователя, который выходит в Internet с помощью Active Directory и агентов на клиентских машинах, это позволяет более гибко настраивать доступ в сеть интернет, например, какие-то группы пользователей могут иметь доступ к сайтам с социальными сетями, например, отдел маркетинга, какие-то в частности отделы, которые работают с персональными данными имеют большие ограничения при работе. Так же интеграция с Active Directory позволят нам настраивать функциональный доступ к различным корпоративным сервисам, что при использовании стандартных списков доступа сложно реализуемо, усложняет администрирование что может повлечь за собой ошибку инженера и пользователь сможет получить доступ в закрытые участки сети.
|
|
|
Помимо межсетевого экранирования нас будет интересовать функция Advanced Malware Protection (AMP), этот функционал позволяет анализировать трафик на различные подозрительные сигнатуры, база сигнатур постоянно обновляется и загружается в устройство IPS. Существует две технологии обнаружения AMP, репутационная фильтрация и поведенческий анализ.
Репутационная фильтрация:
· Точные сигнатуры. Данный метод схож с тем, который используют традиционные антивирусы, имеющие базы известных вредоносных программ.
· Нечеткие отпечатки. Данный метод предназначен для борьбы с полиморфными вредоносными программами, код которых может изменяться в зависимости от условий. AMP ищет схожие признаки в анализируемом коде и в случае совпадения выдает вердикт о наличии вредоносного контента, который и блокируется.
· Машинное обучение. Данный метод позволяет оценивать метаданные анализируемых файлов с целью обнаружения вредоносности.
Поведенческий анализ:
· Индикаторы компрометаций. Данный метод опирается на изучение признаков, индикаторов (indicators of compromise), которые присущи вредоносному коду. Например, если в анализируемом файле есть функции
· самовоспроизведения, передачи данных в Интернет и (или) приема с какого-либо узла управляющих команд, то это, с высокой степенью вероятности, может характеризовать наличие в файле вредоносного кода.
· Динамический анализ. Данный метод заключается в отправке анализируемого файла в облачную «песочницу», где он проверяется с разных точек зрения и по итогам выносится вердикт о наличии или отсутствии признаков вредоносности.
· Продвинутая аналитика. Данный метод позволяет учитывать при анализе подозрительных файлов дополнительную контекстную информацию, собираемую из разных источников и с помощью разных механизмов. Обычно данный метод работает в паре с репутационными техниками.
· Анализ и корреляция потоков. Данный метод использует знание о вредоносных сайтах и IP-адресах, которые часто участвуют в вредоносной активности – передаче управляющих команд, приемке украденных данных и т.п. Обнаружение взаимодействия анализируемого файла с такими узлами характеризует его вредоносность.
Так же отдельно стоит упомянуть протокол 802.1 X, который будет использован для аутентификации пользователей, пример того как работает аутентификация по данному протоколу можно увидеть на рисунке 2.8.
Для работы этого протокола нам понадобиться:
1. Коммутатор, который поддерживает данную технологию
2. Сервер аутентификации, в нашем случае, этим сервером будет являться Active Directory
3. DHCP сервер
Рисунок 2.8 – Схема авторизации с помощью протокола 802.1X
Изначально компьютер находится в гостевом VLAN с ограниченным доступом, далее он получает IP адрес и может установить безопасное соединение с сервером аутентификации (Active Directory) и затем он может быть авторизован в Active Directory с помощью сертификата, если же учетные данные не верны то машина так и остается в гостевом VLAN и не сможет получить доступ к сети компании, так же существует возможность дополнительно авторизовать еще и пользователя которые работает на данном компьютере, но это сложная процедуру которая может замедлить вход в систему или привести к ошибкам при использовании групповых политик, в частности они могу не успеть применится. Данный протокол решает основную задачу по предотвращению доступа в сеть с чужих компьютеров при условии, что у них есть доступ к физической сети.
Так же к безопасности сети можно отнести систему мониторинга и оповещения, хорошо настроенная система мониторинга позволяет обнаруживать ошибки конфигурации оборудования, недоступные устройства и падение каналов связи, так же система оповещения может оповещать сотрудников отдела информационной безопасности о текущих угрозах и атаках, это позволит предотвратить возможный ущерб.
DNS, DHCP и NTP
Так же в сетевой инфраструктуре предприятия нельзя не упомянуть про сервисы DNS и DHCP, первый сервис отвечает за преобразование понятного, определенного имени в соответствующий ему IP адрес, функционирование каталогов Active Directory невозможно без данного сервера, так как домен это одна DNS область и пк пытается подключиться к контролеру домена именно с помощью протокола DNS. DHCP как уже упомянутый выше используется для реализации протоколов 802.1X, а так же просто удобен так как в большой сети практически не возможно вводить IP на компьютерах пользователей вручную. Данные роли будут развернуты на контроллерах домена.
Существует еще один протокол без которого взаимодействие всех сетевых протоколов будет затруднено, это протокол NTP, который отвечает за синхронизацию времени, в домене NTP сервером как правило является доменный контролер, и все устройства синхронизируют время с ним, так как он отвечает за аутентификации и при большом временном отличии может произойти ошибка.
Дата добавления: 2018-05-12; просмотров: 280; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!