Матрица доступа для виртуальных подсетей

Матрица доступа для виртуальных подсетей
The Matrix has you... (C)
Заметка о настройке правил доступа между виртуальными локальными сетями ( VLAN ) в локальной вычислительной сети организации.
Технические аспекты настройки оборудования рассматриваться не будут, целевая аудитория сотрудники ИБ, перед которыми стоит задача организовать внедрение VLAN и определить правила настройки их доступа с позиции максимальной защищенности сети. 
name='more'>
Главный принцип - минимизация прав доступа между VLAN, об оптимизации трафика речь не идет.

Перед внедрением VLAN необходимо определить:
  1. Порядок внедрения;
  2. Перечень будущих VLAN;
  3. Правила доступа между VLAN.

Порядок внедрения

Внедрение может происходить несколькими способами:
  1. Сначала узлы - потом правила
    Плюсом данного подхода является быстрое разнесение узлов по VLAN, минусом - длительный процесс применения правил между VLAN и риск нарушить функционирование целой подсети в случае неправильной настройки доступа. Последовательность следующая:
    1. Создание VLAN с полным доступом между ними.
    2. Разнесение всех узлов сети по VLAN.
    3. Постепенное применение правил доступа между VLAN.
  2. Сначала правила - потом узлы
    Плюсом данного подхода является возможность тестирования на небольших группах не самых критичных узлов, минусом - длительный процесс разнесения узлов по VLAN и необходимость определить правила доступа до начала работ. Последовательность следующая:
    1. Создание VLAN с настройкой правил доступа между ними.
    2. Постепенное разнесение всех узлов сети по VLAN.
Второй вариант предпочтителен, но требует большей предварительной подготовки.

На какие подсети разделить ЛВС?

Все зависит от архитектуры сети и особенностей технологических процессов. В целом, можно выделить следующие подсети:
  1. Подсети пользователей:
    1.      Бухгалтерия;
    2.      Кадры;
    3.      Отделы 1…N.
  2. Служебное подсети:
    1. Администраторы;
    2. Сервера;
    3. Принтеры;
    4. Сетевое оборудование.
  3. Подсети для Интернет и внешние сети:
    1. Смежные ЛВС;
    2. АРМ для Интернет;
    3. WiFi точки доступа в Интернет;
    4. Интернет (провайдер).

Правила настройки доступа между подсетями

Исходим из запрета доступа по умолчанию (разрешительная система доступа).
Для формализации правил доступа следует создать "Матрицу доступа VLAN". Но прежде следует определиться с методом отражения правил доступа в Матрице.
Правилами можно настраивать "входящий" и/или "исходящий" трафик:
  1. Входящий: настраиваем "кому" можно получить доступ к нашему VLAN. В данном случае мы защищаем наш VLAN от всех внешних.
  2. Исходящий: настраиваем"куда" можно получить доступ из нашего VLAN. В данном случае мы защищаем все внешние VLAN от нашего.
С точки зрения ИБ правила входящего важнее т.к. мы на уровне каждого VLAN определяем его защиту от окружающего мира. Настраивать же придется и входящий и исходящий трафик, т.к. если из Аможно в Бто это не значит, что к Бможно из А
При подготовке Матрицы доступа следует определить правила только для "входящего", а правила исходящего настраивать зеркально входящему. 
Не следует без особой нужды настраивать входящий и исходящий трафик различным образом т.к. это усложнит правила и сделает нечитабельной Матрицу доступа.

В самом простом случае Матрица доступа будет похожа на эту:
Простая матрица доступа VLAN, красный - нет доступа, зеленый - есть доступ.

В реальности правила доступа сложнее и оперируют не только подсетями, но и группами узлов (Object Groups for ACLs). 
Примеры групп узлов для серверного VLAN:
  • Сервера с которыми работают все пользователи (S_Work)
  • Сервера бухгалтерии (S_BUH)
  • Сервера кадрового подразделения (S_Kadr)
  • Принт сервер и сервера для сетевого сканирования (S_Scan)
  • Сервера для публичного доступа из вне (S_Public)
  • Прокси сервера (S_Proxy)
  • Сервера, которым необходимо обращаться к узлам сети (сканирование, управление)(S_SYS)
Если исходить из того, что группы содержат узлы только из одного VLAN (это не обязательно, но в большинстве случаев верно), то Матрица доступа между подсетями может выглядеть так:
Матрица доступа VLAN с учетом Object Groups
где:
  • красный - нет доступа;
  • зеленый - полный доступ;
  • желтый - ограниченный доступ.
О чем говорит приведенная Матрица доступа:
  • для подсетей Сервера и Бухгалтерия:  правило ALL -> S_Work, S_BUHозначает что все сотрудники бухгалтерии будут иметь доступ как к тем же серверам, что и прочие пользователи сети, так и к серверам бухгалтерии. То есть к серверам бухгалтерии имеют доступ только сотрудники бухгалтерии.
  • К подсети принтеров имеют доступ все пользователи, которым можно распечатывать документы, а из подсети принтеров можно получить доступ только к принт-серверу или серверам на которые осуществляется сетевое сканирование документов. Значит, если несанкционированно подключиться к сетевой розетке принтера, осуществить полноценную атаку на сеть будет затруднительно, можно будет попробовать атаковать принт-сервера, а уже через них получить доступ дальше.
  • Используя точки доступа (VLAN WiFi spot) можно выйти в интернет или распечатать документы, но нет доступа к другим узлам сети.
  • и т.д.
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Николай Казанцев

Об информационной безопасности в Северной столице