CBS завершила проект для медиа-компании

Основной задачей проекта был переход с устаревшего программного прокси-сервера MS TMG на более современное и производительное решение. В нашем случае, таким решением стал межсетевой экран Cisco ASA 5515X с сервисами FirePOWER.

Предыстория

С тех пор, как в 2012 году Microsoft объявила о прекращении развития TMG, для предприятий, которые пользовались этим продуктом, всё более актуальным становился вопрос миграции на другие решения.

Окончание основной поддержки TMG пришлось на конец 2015 года. К этому времени немало компаний, предлагающих решения в области сетевой безопасности, стали позиционировать свои продукты как варианты для миграции с TMG. К таким решениям можно отнести и FirePOWER для ASA. Это линейка продуктов, в которых аппаратные решения Cisco сочетаются c технологиями компании SourceFire. По данным рейтингового агентства Gartner, SourceFire 6 лет подряд была лидером в области разработки систем предотвращения вторжений. Ввиду того, что с 2013 года SourceFire принадлежит Cisco, лидерство теперь остаётся за последней.

FirePOWER для ASA объединяет в себе функции антивируса, веб-фильтра, межсетевого экрана нового поколения (NGFW) и системы предотвращения вторжений нового поколения (NGIPS). В сети заказчика этому решению предстояло обеспечить безопасность, мониторинг трафика и реализацию политик доступа. Несмотря на новизну FirePOWER как продукта и возможные сложности с его внедрением, заказчик сделал шаг навстречу передовым технологиям безопасности.

Критичные функции

Современной компании очень важна бесперебойная работа ИТ-сервисов: доступа в интернет, электронной почты, корпоративных сетевых ресурсов. В рамках проекта нам нужно было обеспечить сотрудникам стабильный выход в интернет, защищенный доступ к корпоративной сети с мобильных устройств и домашних ПК, а также VPN-соединение с центральным офисом компании в Германии. Новое решение должно было предоставить защиту от сетевых атак и вредоносного ПО, обладать средствами мониторинга трафика и контроля доступа, а также поддерживать интеграцию с Microsoft Active Directory (AD), чтобы заказчик мог настраивать правила доступа в сеть для групп пользователей из каталога.

Решения

Проект проходил в 4 этапа.

Перенос функционала TMG на ASA 5515X

В ходе первого этапа мы перенесли основной функционал TMG на межсетевой экран Cisco ASA. Мы настроили доступ в интернет и ко внутренним ресурсам компании, правила фильтрации, публикацию корпоративных ресурсов с правилами доступа к ним, и некоторые другие функции.

Резервный провайдер и удаленный доступ

На втором этапе нужно было решить две задачи — обеспечить бесперебойную связь и предоставить доступ к корпоративной сети удаленным сотрудникам.

Чтобы связь не прерывалась даже при технических неполадках у провайдера, мы настроили переключение на резервный канал в случае выхода из строя основного. Если связь с основным провайдером пропадет, трафик направится по резервному каналу. Как только связь восстановится, трафик автоматически вернется на канал основного провайдера.

Чтобы сотрудники могли пользоваться внутренними ресурсами компании не только из офиса, но и удаленно, мы настроили подключение удаленных пользователей по технологии SSL VPN. Для соединения использовали клиент Cisco AnyConnect, который устанавливается на ПК или мобильное устройство и предоставляет с него защищенный доступ к корпоративной сети.

Межсетевой экран нового поколения

Третий этап был посвящен настройке NGFW-функций FirePOWER. МЭ нового поколения не только сохраняют привычный функционал межсетевых экранов, но и обладают рядом преимуществ перед традиционными решениями. К наиболее важным их особенностям можно отнести: настройку правил доступа на основе групп пользователей в каталоге AD, контроль трафика приложений и возможность ограничения доступа к веб-сайтам по их категориям и репутации.

Сервисы FirePOWER интегрируются с каталогом AD. Это позволяет настраивать правила доступа в интернет для конкретных пользователей, а не IP-адресов их компьютеров. Сотрудник может входить в систему под одной учетной записью с различных устройств, с сохранением всех разрешений и правил доступа.

NGFW контролируют трафик от приложений и могут блокировать отдельные их функции. Это позволяет, к примеру, открыть пользователям доступ к сайту, но запретить запускать из него игры.

Система предотвращения вторжений нового поколения

Заключительным, четвёртым этапом был запуск режима NGIPS на FirePOWER

Сетевые угрозы становятся всё более изощренными. Защита периметра — внешней границы сети — становится недостаточной мерой безопасности. Для противодействия современным сетевым угрозам были разработаны системы предотвращения вторжений нового поколения (NGIPS). Они обеспечивают защиту как от внешних, так и от потенциальных внутренних угроз.

IPS нового поколения собирают статистическую информацию о сети, регистрируя, какие показатели и какое поведение её элементов следует считать «нормальным». К примеру, если поведение приложения, с точки зрения сетевой активности, отклоняется от нормы, NGIPS это обнаружит. Благодаря этому, NGIPS быстро выявляют аномалии сетевого трафика, могут прогнозировать атаки, заранее обнаруживать и изолировать источники вредоносного ПО. Такой подход резко снижает количество «ложных тревог» и обнаружений несуществующих уязвимостей, и вместе с тем обеспечивает лучшую на сегодняшний день защиту сети от угроз.

Другое выгодное отличие NGIPS от традиционных систем в том, что они предоставляют информацию о действиях в сети на основе учетных записей пользователей, а не IP-адресов. Таким образом, зарегистрированные в сети события сопоставляются с конкретными пользователями, а не используемыми устройствами. Администратор при этом получает полное видение системы — информацию о подключенных устройствах, их операционных системах, используемых приложениях и т. д.

Не без трудностей

Здесь мы хотели бы рассказать о некоторых трудностях, которые возникли в ходе работы над проектом, и с которыми, на наш взгляд, могут столкнуться и другие специалисты.

AnyConnect плохо приспособлен для работы с IPv6

При проверке работы AnyConnect обнаружилось, что у одного из сотрудников на домашнем компьютере полностью пропадал доступ к веб-ресурсам (не приходили ответы на DNS-запросы), когда был запущен клиент AnyConnect. При этом, стоило только выключить клиент, как всё начинало исправно работать. У других пользователей ничего подобного не происходило.

Оказалось, что домашний шлюз пользователя использовал протокол IPv6, и, соответственно, передавал эти параметры компьютеру в качестве основных. При этом, корпоративный DNS-сервер поддерживал только протокол IPv4. Дело в том, что у AnyConnect есть известная, но до сих пор не исправленная проблема: когда клиент запущен на устройстве, весь без исключения IPv6 трафик с этого устройства туннелируется. Получалось, что даже когда пользователь не пытался получить доступ к корпоративной сети, а просто хотел открыть веб-страницу, AnyConnect всё равно направлял его трафик по VPN-туннелю на корпоративный DNS-сервер. Это происходило только при использовании протокола IPv6. Для IPv4 можно настроить разделение (split tunneling), при котором в корпоративную сеть будет попадать только трафик, относящийся к ресурсам компании, а для доступа к веб-ресурсам будет использоваться внешний DNS-сервер.

Протокол IPv6 пока не получил значительного распространения в корпоративных сетях, и большая часть устройств использует IPv4. Вероятно, это одна из причин, почему производитель ещё не устранил эту «особенность» работы клиента — для того, чтобы она привела к реальным проблемам с доступом, необходимо совпадение нескольких условий, главное и наименее вероятное из которых — использование исключительно IPv6.

Но в нашем случае, домашний шлюз пользователя был настроен именно на работу IPv6. В результате, при включении AnyConnect, IPv6 DNS-запросы отправлялись через туннель на корпоративный DNS-сервер, который поддерживал только IPv4, и не мог их обработать. Стоит заметить, что, если бы корпоративный DNS тоже поддерживал IPv6, доступ в интернет работал бы, хоть и по неоптимальной схеме, проходя через корпоративную сеть.

По нашему опыту, настройки IPv6 на шлюзах (особенно на домашних) и домашних компьютерах встречаются крайне редко. Ощутимых преимуществ обычному пользователю они не дают, но иногда могут стать причиной вот таких сложностей. Проблему обошли, отключив на шлюзе настройки IPv6. Без них маршрутизатор стал работать в обычном режиме IPv4, и работа AnyConnect больше не влияла на доступ к веб-страницам.

Существующей документации бывает недостаточно

Сервисы FirePOWER интегрируются с Active Directory и контролируют трафик в сети на основе пользователей и их групп в каталоге. Для того, чтобы FireSIGHT (центр управления FirePOWER) мог использовать каталог AD и получать из него информацию о пользователях и группах, его нужно привязать к AD, используя учетную запись. По сути, такую же, как у любого пользователя — с правами и ограничениями. В ходе работы над проектом почти все сложности, касавшиеся FirePOWER, были так или иначе связаны с разрешениями, которыми должна обладать эта учетная запись для того, чтобы сервисы работали корректно. Для примера приведем возникшую у нас ситуацию.

В центре управления FireSIGHT в таблице ConnectionsEvents (таблица всех сессий, проходящих через сенсор FirePOWER) не отображались пользователи, инициализирующие сессии. В результате, FireSIGHT не мог определить, что за пользователи инициируют трафик, чтобы применить к ним соответствующие политики.

Учетная запись, которую мы получили для привязки сервисов FirePOWER к AD была настроена в соответствии с официальным документом Cisco. Она обладала всеми указанными в нём необходимыми разрешениями. Но у неё не было прав на чтение у пользователей параметра MemberOf, который отвечает за принадлежность пользователей к группам. В документации продукта упоминаний о необходимости этого разрешения мы не встречали.

Когда мы дали нашей учетной записи разрешение на чтение параметра MemberOf для всего корневого каталога AD заказчика, пользователи стали отображаться в таблице ConnectionsEvents, и проблема была решена. Впрочем, нам ещё не раз пришлось заглянуть в настройки AD, чтобы устранить ряд подобных затруднений.

Опыт

При интеграции FirePOWER с AD распространена практика, при которой специалист по FirePOWER получает от заказчика готовую учетную запись AD с набором затребованных разрешений. У Cisco есть документы, в которых указаны минимальные права, необходимые аккаунту FirePOWER, но, как мы убедились, в них упущены некоторые важные моменты. Таким образом, настроив оборудование согласно документации, не всегда можно быть уверенным в его корректной работе.

Даже если инженер не настраивает Active Directory, ему нужно хорошо разбираться в работе AD, чтобы успешно интегрировать сервисы FirePOWER. Каждая система уникальна, и универсального набора настроек не существует. Поэтому необходимо понимать принципы работы всех её элементов.

Многие продукты сейчас используют аутентификацию через службу каталогов Microsoft, и можно предположить, что с ростом востребованности NGIPS/FW-решений, знание тонкостей работы Active Directory станет для сетевых инженеров насущной необходимостью.

Итоги

Новизна продукта, как правило, предусматривает сложности с его внедрением. Но будущее остаётся за системами нового поколения. IPS нового поколения обеспечивают лучшую в индустрии защиту от современных сетевых угроз и дают администратору превосходную видимость сети и гранулярный контроль её элементов. Межсетевой экран нового поколения позволяет гибко настраивать пользовательские политики доступа и контролировать трафик вплоть до уровня отдельных компонентов приложений.

Благодаря клиенту AnyConnect, сотрудники легко могут получить защищенный доступ ко внутренним ресурсам компании с персональных устройств — для удаленной работы или следуя популярной сейчас тенденции BYOD (bring your own device).

Надежное оборудование и использование резервного провайдера обеспечивает стабильную работу сети. Всё это позволяет заказчику экономить время и ресурсы, меньше отвлекаясь на технические вопросы и сосредоточившись на развитии бизнеса.

Оказанные услуги: обеспечение информационной безопасности