?

Log in

No account? Create an account
 
 
30 December 2018 @ 04:42 am
Контроль-фричество на марше  
В продолжение этой темы: если бы мне нужно было сдизайнить сеть типичной компании с нуля, то, думаю, у меня вообще не было бы понятия "корпоративный LAN / вайфай". Был бы Private VLAN, из которого доступ был бы исключительно на VPN gateway (ну или ещё на Интернет, если мы хотим принимать гостей). Любой доступ к внутренним серверам компании - через VPN.

(Что куда лучше 802.1x, который предоставляет аутентификацию, но не защищает от перехвата трафика, его подделки, replay attacks).

Таким образом и любой трафик за пределами серверной комнаты защищён шифрованием, и правила доступа полностью привязаны к юзерской identity и её принадлежностям к разным группам, и user experience одинаковый, где бы юзер не находился - на работе, дома, в кафешке.

А если при этом для аутентификации использовать ключи в чипе TPM, то можно опознавать не только юзера, но и девайс, с которого он подключается, и строить политики по обоим этим критериям. Если какой-то станции нужен доступ для процессов, не связанных с конкретным юзером (скажем, Windows service) - никаких проблем, вводим правило лишь по девайсу. Опять же, ключ неизвлекаемый - им не поделишься, как паролем, его не потеряешь, как смарткарту (только вместе с устройством).

В общем, ye olde plain IP - лишь до VPN-гейта, а поверх - туннель, и между файерволлами - туннели, туннели, сорок тысяч одних туннелей.

Да, и каждый сервер - в собственный VLAN. Чтобы любой трафик через файерволлы тёк.
 
 
Current Music: The Sidh - Iridium (https://www.youtube.com/watch?v=amJ_WLmOKS0)
 
 
 
kaimor on December 30th, 2018 05:54 am (UTC)

Доступ к серверам я так понимаю из внешней среды? Сервак в отдельном VLAN это прям за гранью добра :) Может разделение по сервисам/службам? Там сервера AD в один VLAN внутреннюю CRM в другой?

Кот Муцийcat_mucius on December 30th, 2018 09:15 am (UTC)
Можно и так. :-) Хотя я бы предпочёл возможность контролировать трафик между любыми двумя адресами, как в Azure - необязательно же сходить с ума и прописывать на файерволле всё с точностью до порта, можно использовать волшебное слово all, а в случае необходимости изолировать любой сервак. Всё по отсекам, как на корабле.

На сложность firewall policy это, кстати, не влияет - в Фортигейте можно запихнуть хоть сто VLAN-ов в одну зону, её и прописывать в правилах, а Чекпойнт к физической топологии вообще агностичен.

Впрочем, вполне может быть, что для воплощения моих тоталитарных фантазий у файерволлов просто мощности не хватит обрабатывать всё. :-)
kaimor on January 1st, 2019 08:16 pm (UTC)
Да, если там будет постоянно открывающиеся сессии типа внутреннего CRM с аутентификацией по AD или веб приложение то любой файрвол загнётся.
Кот Муцийcat_mucius on January 1st, 2019 09:38 pm (UTC)
Ты их недооцениваешь. :-)
kaimor: Ураkaimor on January 2nd, 2019 06:32 am (UTC)
Ставить файрвол магистрального уровня для контроля внутреннего трафика это как то по-гусарски совсем :)