NAC לסניפים מרוחקים - ככה עושים את זה
נראה שאי אפשר עוד להתחמק מהשאלות שהציפו אותי לקוחות וקולגות בתחום שכבת הACCESS כשמדובר בתקשורת בין סניפית לארגונים, האם אפשרי וכיצד ניתן לקיים סביבת NAC בתצורה מורכבת שכזו. ובכן אפשר.
בואו ניקח למשל תצורה קלאסית של רשת MPLS בעלת מספר סניפים , כאשר בכל סניף יש מספר שונה של משתמשים , כמובן ישנו מספר רב של סניפים כאלה , עם סביבות שונות של מערכות הפעלה והמטרה היחידה היא לבצע PORT LEVEL SECURITY.
סתם BRIEF קצר למי שלא מכיר את הפרוטוקול שעליו נדבר - 802.1x - פרוטוקול זה מאפשר בעצם כאחת האפשרויות שלו לבצע הזדהות על מנת לקבל ATTRIBUTE חשוב מאוד , שהוא VLAN . מה הכוונה בעצם - בסביבת 802.1X ( היום כבר כולם מכנים זאת סביבת NAC - Network Admission Control ) כאשר משתמש מתחבר עם כבל למתג הארגוני - הוא אינו מקבל כתובת IP מהרשת הארגונית , או קישוריות לוגית . אלא מקבל כתובת IP זמנית , ומוכנס לתוך VLAN זמני לצורך זיהוי ובדיקת אבטחת מידע, היוזר מגיע לאותה סביבה , יוצר קשר IP עם איזשהו ציוד NAC אשר מריץ עליו בדיקות מרוחקות או מבקש ממנו לבצע בדיקות ( למשל : האם יש לך אנטיוירוס פועל ) ואז לאחר שאומת שהמחשב הוא "נקי" או לחליפין "מותאם לסביבה" המשתמש מקבל בקשת אימות על ידי Certificate או על ידי משתמש וסיסמה. למעשה לאחר שהמשתמש מזין פרטים נכונים , הוא מועבר לVLAN הנכון הארגוני ומקבל IP מDHCP ברשת , ומתחיל לעבוד - התהליך קצר למרות שנשמע ארוך ומסורבל. במידה והמשתמש הזין פרטים לא נכונים , הוא עובר לRESTRICRED VLAN אשר שם בעצם אי אפשר לעשות כלום, אין תחנות עבודה או שרתים וזהבעצם מבוי סתום, אם בדיקת האבטחה בהתחלה נכשלה , מועבר המשתמש לREMIDIATION VLAN שבו יש שרת ניקוי ותאימות ארגונית , אשר בעצם מאפשר למשתמש "להשלים חוסרים" ,למשל אם אין לו AV מותקן - על השרת הזה יהיה הAV הארגוני עם מסך הסבר כיצד להתקין על המחשב המרוחק.
זה היה בקצרה 802.1X ב120 שניות ( כמו שחבר טוב נוהג לומר )
ובכן נחזור לסביבה שתיארנו , והפעם אציג אותה בשרטוט רשת שיפרט , כי כך אני בעצם חושף בפניכם את הקונספט שלי להקמת תשתית NAC בין סניפית.
אז מה יש לנו כאן בעצם :
רשת MPLS רגילה עם מספר סניפים ( ציירתי אחד לדוגמא ) ועם ציודים סטנדרטיים נדרשים כגון FW וכמובן דבר חשוב שנדרש - מתג שתומך בEAP\TLS אשר מחייב בסביבת 802.1X . חשוב לציין שבכדי שהפתרון יהיה מושלם - כדאי שהמתג יהיה LAYER3 ויתמוך GRE בשביל ליצור סביבה מושלמת.
מה עושים בעצם -
מקימים סניף לוגי כלשהו ברשת ( אני תמיד ממליץ להשים סביבה כזו בחוות שרתים של אותה ספקית תקשורת ( מאחר והקישור לשם יהיה האמין והיציב ביותר , ולא יחייב קישוריות יקרה לצורך הזדהות \ מה גם שUPTIME הוא סופר קריטי בסביבה כזו ) הסניף הלוגי הזה יכיל בתוכו שני מוצרים בדרך כלל , (לעתים גם LDAP) שהם יהיו בעצם אותו שרת REMIDIATION שתיארתי קודם לכן , וכמובן מכונת הNAC שלנו שבעצם מתפקדת כשרת RADIUS לכל דבר ( אני אישית מאמין אדוק בפתרון של JUNIPER לנושא , למרות שאפשר אפילו להתקיים מIAS פשוט ).
החלק החשוב ביותר הוא להקים GRE TUNNEL מוצפן בין שרת הNAC בסניף הלוגי , לבין כל מתג שקיים בסביבה . זאת מאחר ואנו רוצים שתהליך ההזדהות יעבור בלי הפרעה בתוך מסלול יעודי שלו עד למערכת האימות, GRE נותן לנו בדיוק את זה , כי אפשר לבקש מהציודים בדרך לא לבצע בדיקות על PACKET אשר מסומן עם GRE HEADER וזה חשוב לנו לצורך ביצועים ברשתות בעלות מאות סניפים...
מה שקורה בעצם בתהליך הוא שהמשתמש מתחבר למתג ( נייד נייח או WIFI הינם אותו דבר בסביבה שכזו ) והמתג נותן את הDEFAULT VLAN שלו שהוא - VLAN ההזדהות , המשתמש יקבל DHCP משרת DHCP שנמצא ברשת ( חכם מאוד עבור הVLAN הזה לקיים מחשב DHCP באותו סניף לוגי , רק למטרה זו ) ואז יש לנו תקשורת עד הNAC שלנו , המשתמש עובר בדיקות ואז צריך להכניס פרטים מזהים , אם הכניס פרטים נכונים , הNAC יעביר חזרה את הפרטים למשתמש ולמתג , המתג ישלח שאילתת RADIUS לאימות פרטים מול הNAC - ויאומת , והמתג יחליף בהתאמה את הVLAN TAG לVLAN הנכון , ולאחר מכן המשתמש יקבל DHCP מחדש מהנתב או השירות המקומי הסניפי שלו.
כמובן שצריך ליצור GRE נוסף שמאפשר הגעה לVLAN REMIDIATION למקרה שבו המשתמש צריך לבצע פעולות התאמה לפני שהוא יכול להתחבר לרשת. חשוב מאוד שלאותו NAC תהיה רגל בכל VLAN כדי שיוכל תמיד לענות לבקשות אימות וביצוע בדיקות הזדהות ואמינות מכל מקום.
אני תמיד ממליץ אגב להקים את הסביבה של הסניף הלוגי בשרידות , כלומר או ב2 חוות שרתים , או במצב CLUSTER באותה חווה , מאחר ובתצורה סטנדרטית , אם אין קשר לNAC או שהוא למטה - המשתמשים כולם מתנתקים מהרשת כמובן. ( אגב יש פתרון מיוחד שאומר שאם אין קשר לNAC אז צריך לבצע FAILOPEN ולהכניס אוטומטית לVLAN הארגוני , אבל אני לא שלם עם פתרון כזה )
בעצם כמו שניתן לראות - הקסם הוא הLOGICAL BRANCH שלנו , שמאפשר לי לקיים סביבה גדלה וגדלה בצורה סקלאבילית , ומאפשר לי להגיע לתצורות עצומות חובקות עולם , של סניפים מרוחקים בין יבשות , ועדיין הכל ינוהל מנקודת אכיפה מרכזית ובלי להוריד את רמת האבטחה הארגונית.
בואו ניקח למשל תצורה קלאסית של רשת MPLS בעלת מספר סניפים , כאשר בכל סניף יש מספר שונה של משתמשים , כמובן ישנו מספר רב של סניפים כאלה , עם סביבות שונות של מערכות הפעלה והמטרה היחידה היא לבצע PORT LEVEL SECURITY.
סתם BRIEF קצר למי שלא מכיר את הפרוטוקול שעליו נדבר - 802.1x - פרוטוקול זה מאפשר בעצם כאחת האפשרויות שלו לבצע הזדהות על מנת לקבל ATTRIBUTE חשוב מאוד , שהוא VLAN . מה הכוונה בעצם - בסביבת 802.1X ( היום כבר כולם מכנים זאת סביבת NAC - Network Admission Control ) כאשר משתמש מתחבר עם כבל למתג הארגוני - הוא אינו מקבל כתובת IP מהרשת הארגונית , או קישוריות לוגית . אלא מקבל כתובת IP זמנית , ומוכנס לתוך VLAN זמני לצורך זיהוי ובדיקת אבטחת מידע, היוזר מגיע לאותה סביבה , יוצר קשר IP עם איזשהו ציוד NAC אשר מריץ עליו בדיקות מרוחקות או מבקש ממנו לבצע בדיקות ( למשל : האם יש לך אנטיוירוס פועל ) ואז לאחר שאומת שהמחשב הוא "נקי" או לחליפין "מותאם לסביבה" המשתמש מקבל בקשת אימות על ידי Certificate או על ידי משתמש וסיסמה. למעשה לאחר שהמשתמש מזין פרטים נכונים , הוא מועבר לVLAN הנכון הארגוני ומקבל IP מDHCP ברשת , ומתחיל לעבוד - התהליך קצר למרות שנשמע ארוך ומסורבל. במידה והמשתמש הזין פרטים לא נכונים , הוא עובר לRESTRICRED VLAN אשר שם בעצם אי אפשר לעשות כלום, אין תחנות עבודה או שרתים וזהבעצם מבוי סתום, אם בדיקת האבטחה בהתחלה נכשלה , מועבר המשתמש לREMIDIATION VLAN שבו יש שרת ניקוי ותאימות ארגונית , אשר בעצם מאפשר למשתמש "להשלים חוסרים" ,למשל אם אין לו AV מותקן - על השרת הזה יהיה הAV הארגוני עם מסך הסבר כיצד להתקין על המחשב המרוחק.
זה היה בקצרה 802.1X ב120 שניות ( כמו שחבר טוב נוהג לומר )
ובכן נחזור לסביבה שתיארנו , והפעם אציג אותה בשרטוט רשת שיפרט , כי כך אני בעצם חושף בפניכם את הקונספט שלי להקמת תשתית NAC בין סניפית.
אז מה יש לנו כאן בעצם :
רשת MPLS רגילה עם מספר סניפים ( ציירתי אחד לדוגמא ) ועם ציודים סטנדרטיים נדרשים כגון FW וכמובן דבר חשוב שנדרש - מתג שתומך בEAP\TLS אשר מחייב בסביבת 802.1X . חשוב לציין שבכדי שהפתרון יהיה מושלם - כדאי שהמתג יהיה LAYER3 ויתמוך GRE בשביל ליצור סביבה מושלמת.
מה עושים בעצם -
מקימים סניף לוגי כלשהו ברשת ( אני תמיד ממליץ להשים סביבה כזו בחוות שרתים של אותה ספקית תקשורת ( מאחר והקישור לשם יהיה האמין והיציב ביותר , ולא יחייב קישוריות יקרה לצורך הזדהות \ מה גם שUPTIME הוא סופר קריטי בסביבה כזו ) הסניף הלוגי הזה יכיל בתוכו שני מוצרים בדרך כלל , (לעתים גם LDAP) שהם יהיו בעצם אותו שרת REMIDIATION שתיארתי קודם לכן , וכמובן מכונת הNAC שלנו שבעצם מתפקדת כשרת RADIUS לכל דבר ( אני אישית מאמין אדוק בפתרון של JUNIPER לנושא , למרות שאפשר אפילו להתקיים מIAS פשוט ).
החלק החשוב ביותר הוא להקים GRE TUNNEL מוצפן בין שרת הNAC בסניף הלוגי , לבין כל מתג שקיים בסביבה . זאת מאחר ואנו רוצים שתהליך ההזדהות יעבור בלי הפרעה בתוך מסלול יעודי שלו עד למערכת האימות, GRE נותן לנו בדיוק את זה , כי אפשר לבקש מהציודים בדרך לא לבצע בדיקות על PACKET אשר מסומן עם GRE HEADER וזה חשוב לנו לצורך ביצועים ברשתות בעלות מאות סניפים...
מה שקורה בעצם בתהליך הוא שהמשתמש מתחבר למתג ( נייד נייח או WIFI הינם אותו דבר בסביבה שכזו ) והמתג נותן את הDEFAULT VLAN שלו שהוא - VLAN ההזדהות , המשתמש יקבל DHCP משרת DHCP שנמצא ברשת ( חכם מאוד עבור הVLAN הזה לקיים מחשב DHCP באותו סניף לוגי , רק למטרה זו ) ואז יש לנו תקשורת עד הNAC שלנו , המשתמש עובר בדיקות ואז צריך להכניס פרטים מזהים , אם הכניס פרטים נכונים , הNAC יעביר חזרה את הפרטים למשתמש ולמתג , המתג ישלח שאילתת RADIUS לאימות פרטים מול הNAC - ויאומת , והמתג יחליף בהתאמה את הVLAN TAG לVLAN הנכון , ולאחר מכן המשתמש יקבל DHCP מחדש מהנתב או השירות המקומי הסניפי שלו.
כמובן שצריך ליצור GRE נוסף שמאפשר הגעה לVLAN REMIDIATION למקרה שבו המשתמש צריך לבצע פעולות התאמה לפני שהוא יכול להתחבר לרשת. חשוב מאוד שלאותו NAC תהיה רגל בכל VLAN כדי שיוכל תמיד לענות לבקשות אימות וביצוע בדיקות הזדהות ואמינות מכל מקום.
אני תמיד ממליץ אגב להקים את הסביבה של הסניף הלוגי בשרידות , כלומר או ב2 חוות שרתים , או במצב CLUSTER באותה חווה , מאחר ובתצורה סטנדרטית , אם אין קשר לNAC או שהוא למטה - המשתמשים כולם מתנתקים מהרשת כמובן. ( אגב יש פתרון מיוחד שאומר שאם אין קשר לNAC אז צריך לבצע FAILOPEN ולהכניס אוטומטית לVLAN הארגוני , אבל אני לא שלם עם פתרון כזה )
בעצם כמו שניתן לראות - הקסם הוא הLOGICAL BRANCH שלנו , שמאפשר לי לקיים סביבה גדלה וגדלה בצורה סקלאבילית , ומאפשר לי להגיע לתצורות עצומות חובקות עולם , של סניפים מרוחקים בין יבשות , ועדיין הכל ינוהל מנקודת אכיפה מרכזית ובלי להוריד את רמת האבטחה הארגונית.
Labels: architecture, design, nac, solution
| Link 
