?

Log in

No account? Create an account
 
 
30 December 2018 @ 04:42 am
Контроль-фричество на марше  
В продолжение этой темы: если бы мне нужно было сдизайнить сеть типичной компании с нуля, то, думаю, у меня вообще не было бы понятия "корпоративный LAN / вайфай". Был бы Private VLAN, из которого доступ был бы исключительно на VPN gateway (ну или ещё на Интернет, если мы хотим принимать гостей). Любой доступ к внутренним серверам компании - через VPN.

(Что куда лучше 802.1x, который предоставляет аутентификацию, но не защищает от перехвата трафика, его подделки, replay attacks).

Таким образом и любой трафик за пределами серверной комнаты защищён шифрованием, и правила доступа полностью привязаны к юзерской identity и её принадлежностям к разным группам, и user experience одинаковый, где бы юзер не находился - на работе, дома, в кафешке.

А если при этом для аутентификации использовать ключи в чипе TPM, то можно опознавать не только юзера, но и девайс, с которого он подключается, и строить политики по обоим этим критериям. Если какой-то станции нужен доступ для процессов, не связанных с конкретным юзером (скажем, Windows service) - никаких проблем, вводим правило лишь по девайсу. Опять же, ключ неизвлекаемый - им не поделишься, как паролем, его не потеряешь, как смарткарту (только вместе с устройством).

В общем, ye olde plain IP - лишь до VPN-гейта, а поверх - туннель, и между файерволлами - туннели, туннели, сорок тысяч одних туннелей.

Да, и каждый сервер - в собственный VLAN. Чтобы любой трафик через файерволлы тёк.
 
 
Current Music: The Sidh - Iridium (https://www.youtube.com/watch?v=amJ_WLmOKS0)
 
 
 
kaimor on December 30th, 2018 05:54 am (UTC)

Доступ к серверам я так понимаю из внешней среды? Сервак в отдельном VLAN это прям за гранью добра :) Может разделение по сервисам/службам? Там сервера AD в один VLAN внутреннюю CRM в другой?

Кот Муцийcat_mucius on December 30th, 2018 09:15 am (UTC)
Можно и так. :-) Хотя я бы предпочёл возможность контролировать трафик между любыми двумя адресами, как в Azure - необязательно же сходить с ума и прописывать на файерволле всё с точностью до порта, можно использовать волшебное слово all, а в случае необходимости изолировать любой сервак. Всё по отсекам, как на корабле.

На сложность firewall policy это, кстати, не влияет - в Фортигейте можно запихнуть хоть сто VLAN-ов в одну зону, её и прописывать в правилах, а Чекпойнт к физической топологии вообще агностичен.

Впрочем, вполне может быть, что для воплощения моих тоталитарных фантазий у файерволлов просто мощности не хватит обрабатывать всё. :-)
kaimor on January 1st, 2019 08:16 pm (UTC)
Да, если там будет постоянно открывающиеся сессии типа внутреннего CRM с аутентификацией по AD или веб приложение то любой файрвол загнётся.
Кот Муцийcat_mucius on January 1st, 2019 09:38 pm (UTC)
Ты их недооцениваешь. :-)
kaimor: Ураkaimor on January 2nd, 2019 06:32 am (UTC)
Ставить файрвол магистрального уровня для контроля внутреннего трафика это как то по-гусарски совсем :)
tsiryatsirya on December 30th, 2018 07:58 am (UTC)
Это пост из серии "дайте мне другой глобус" или такое реально? Чайник не понимает :).
Кот Муцийcat_mucius on December 30th, 2018 09:19 am (UTC)
Нет, это не серия "Black Mirror", эта тоталитарная утопия вполне реальна. :-) Ну, требует определённых вложений. Если трафик очень интенсивный, то это окажется сковывающим ограничением, но в типичном случае проблемы особой нет.

Я, собственно, недавно и предлагал одной конторке устроить сеть так, но они вдруг забоялись, что юзерам неудобно будет. Сидя с лэптопом в "Ароме" им не проблема щёлкнуть по иконке VPN-клиента и нажать "Connect", а сделать то же самое в офисе - травма, очевидно. Ну, я не стал настаивать. :-)

Edited at 2018-12-30 09:22 am (UTC)
tsiryatsirya on December 30th, 2018 09:41 am (UTC)
Вот клянусь, два раза подряд прочла "требует определенных вожжей"!
Им, конечно, не травма, а условный рефлекс - щелканье по иконке ассоциируется с Аромой, запахом свежемолотого кофе, выпечкой (оф отставить), а тут щелканье есть, а остального нема! Возникает когнитивный диссонанс.
Кот Муцийcat_mucius on December 30th, 2018 09:43 am (UTC)
Вот клянусь, два раза подряд прочла "требует определенных вожжей"!
И так тоже верно. :-)

Им, конечно, не травма, а условный рефлекс - щелканье по иконке ассоциируется с Аромой, запахом свежемолотого кофе, выпечкой (оф отставить), а тут щелканье есть, а остального нема! Возникает когнитивный диссонанс.
:-))))