Le présent article couvre le cas où le Cato Socket est utilisé à la fois pour la connectivité WAN et le Firewall-as-a-service. Dans ce cas, la sécurité est un objectif majeur du déploiement. Cet article est moins pertinent pour les situations où Cato Networks est principalement utilisé pour la connectivité WAN/globale.
Jusqu'à récemment, il était assez courant d'avoir une topologie avec un commutateur L3 interne gérant tous les VLANs internes. Le commutateur backbone aurait une interface L3 pour chaque VLAN agissant comme passerelle par défaut. Le routage était effectué en interne sur le commutateur, c'est-à-dire que le trafic entre les VLANs restait à l'intérieur du commutateur. Seul le trafic vers Internet ou le WAN serait dirigé vers le Firewall. Voir l'exemple ci-dessous :
Dans la topologie ci-dessus, le routage entre les VLANs internes est effectué sur le commutateur backbone L3. Seul le trafic Internet serait dirigé vers le Firewall pour une inspection L4. Il est rare d'avoir des ACL (Listes de Contrôle d'Accès) entre les VLANs internes en raison des raisons suivantes :
-
Difficile à gérer - les ACL doivent être créées à l'aide de la CLI, très fastidieux.
-
Examen du trafic bloqué - les journaux de trafic pourraient être principalement consultés à l'aide de commandes CLI et non avec des interfaces graphiques claires comme les Firewalls aujourd'hui.
-
L'activation des ACL L3 consommerait la puissance CPU du commutateur.
-
Très compliqué d'avoir un VLAN isolé qui n'a pas d'accès d'entreprise.
Finalement, la plupart des réseaux avaient un routage et un accès illimités entre les VLANs internes. Une épidémie de virus dans l'un des VLANs serait très difficile (presque impossible) à contenir.
Alors que les cyberattaques continuent de croître et que les logiciels malveillants se répandent dans la nature, les conceptions de réseau commencent à passer à un routage L3 sur un appareil de sécurité - le Firewall. Semblable à la topologie ci-dessus, mais avec une différence majeure - tous les commutateurs agissent comme un appareil L2, tandis que l'appareil Firewall effectuerait le routage L3 entre les VLANs internes. Voir l'exemple ci-dessous :
Dans la topologie ci-dessus, le Firewall agit comme un Router-on-a-stick. Le trafic entre les PC du VLAN 10 et les PC du VLAN 20 passerait par le Firewall.
Naturellement, cette approche offre beaucoup plus de contrôle et de sécurité. Il est très facile d'isoler un VLAN infecté du réseau. Il est également simple d'avoir un VLAN avec un accès uniquement Internet (par exemple, réseau pour invités).
Cato Socket prend en charge (principalement) deux configurations :
-
VLAN - similaire au routage L3 sur le Firewall, le Socket a une interface L3 pour chaque VLAN et agit comme une passerelle par défaut.
-
Plage routée - route statique. Utilisé dans la première topologie où le Socket a des routes via le commutateur L3 vers les VLANs internes.
Bien que les deux conceptions de réseau soient prises en charge par Cato, la meilleure pratique pour une nouvelle conception serait les VLANs. Tant qu'il n'y a pas de limitations ou de exigences particulières, le meilleur moyen de configurer un Socket serait similaire au L3 sur la topologie Firewall. Voir l'exemple ci-dessous :
-
Gestion - le Socket peut agir comme passerelle par défaut pour chaque VLAN + fournir une plage DHCP pour chaque VLAN. Tout est géré à partir de l'application de gestion Cato.
-
Contrôle - en cas d'épidémie de virus dans l'un des VLANs, ce VLAN peut être isolé immédiatement et facilement soit par une règle de Firewall WAN soit même en supprimant la passerelle par défaut pour ce VLAN.
-
Sécurité - lorsqu'il est nécessaire de créer un VLAN complètement isolé comme le Wifi pour les invités, le Socket peut facilement bloquer l'accès WAN/corporatif pour ce réseau et n'autoriser que l'accès à Internet.
-
Faites attention que, par conception, tout le trafic WAN va au PoP. Cela inclut à la fois le trafic de site à site et le trafic inter-VLANs. Ce qui signifie que le trafic entre les VLANs dans le même bureau ne sera pas routé dans le Socket par défaut. Ce point est abordé dans la section suivante.
-
Créer et gérer des règles de sécurité entre les VLANs internes - il n'est en fait pas le plus important d'avoir des centaines de règles uniques permettant le trafic inter-VLANs. La capacité la plus importante est d'avoir le moyen immédiat d'isoler un VLAN infecté. Une défense de sécurité efficace sera fournie par les services de sécurité avancés de Cato tels que Anti-Malware et IPS. Anti-Malware et IPS fourniront une inspection L7 pour le trafic interne et externe.
-
Performance - lorsqu'il s'agit de transférer le routage inter-VLANs vers un appareil de sécurité, la préoccupation immédiate qui surgit est la capacité de la bande passante. Les anciens commutateurs L3 manquaient de sécurité, mais avaient clairement des performances élevées. Pour aborder ce point, nous aimerions fournir quelques faits :
-
Outre les Centres de Données, les bureaux communs ont quelques VLANs comme les Utilisateurs, les Imprimantes et le Wifi pour les invités. Quand vous y pensez, il n'y a pas de véritable raison de permettre le trafic entre ces VLANs. Ils ont principalement besoin d'un accès aux ressources d'entreprises dans le Centre de données, ou même juste d'un accès aux services cloud comme Office 365, Skype et Salesforce.
-
Le trafic de faible volume comme celui des utilisateurs vers les imprimantes, peut parfaitement fonctionner en allant au PoP et en revenant du Socket. Les utilisateurs ne remarqueront aucune différence lorsqu'un travail d'impression a un délai supplémentaire de 20 ms, mais les administrateurs informatiques bénéficieront d'une bien meilleure sécurité et d'un contrôle amélioré.
-
Si un routage à haute vitesse de 1 Gbps est toujours indispensable, le Socket Cato prend en charge la capacité de routage local. Le Routage Local permet le routage dans le Socket, c'est-à-dire que le trafic entre une paire de VLANs restera dans le Socket. Ce type de configuration contourne les services de sécurité L7 de Cato (Anti-Malware et IPS). Néanmoins, s'il y a une station de travail infectée, dès qu'elle se communiquera avec un C&C externe ou un proxy malveillant, elle sera détectée et une alerte sera envoyée.
-
0 commentaire
Vous devez vous connecter pour laisser un commentaire.