सॉकेट सर्वोत्तम प्रथाएं: VLANs बनाम रूटेड रेंज

निम्नलिखित लेख उस मामले को कवर करता है जहाँ Cato सॉकेट WAN कनेक्टिविटी और फ़ायरवॉल-ए-सर्विस दोनों के लिए उपयोग किया जाता है। ऐसे मामले में, सुरक्षा डिप्लॉयमेंट का एक प्रमुख लक्ष्य है। यह लेख उन परिस्थितियों के लिए कम प्रासंगिक है जहाँ Cato Networks का उपयोग मुख्य रूप से WAN/वैश्विक कनेक्टिविटी के लिए किया जाता है।

परिचय

अब तक, सभी आंतरिक वीएलएन को प्रबंध करने वाले आंतरिक L3 स्विच के टोपोलॉजी को रखना काफी सामान्य था। बैकबोन स्विच के पास प्रत्येक वीएलएन के लिए L3 इंटरफ़ेस होता, जो डिफ़ॉल्ट गेटवे के रूप में कार्य करता। रूटिंग स्विच के अंदर की जाती थी, अर्थात् VLANs के बीच का ट्रैफ़िक स्विच के अंदर ही रहता। केवल इंटरनेट या WAN के लिए ट्रैफ़िक फ़ायरवॉल तक जाता। नीचे दिए गए उदाहरण को देखें:

L3Switch.png

ऊपर की टोपोलॉजी में, आंतरिक VLANs के बीच की रूटिंग L3 बैकबोन स्विच पर की जाती है। केवल इंटरनेट ट्रैफ़िक L4 निरीक्षण के लिए फ़ायरवॉल तक जाएगा। निम्नलिखित कारणों से आंतरिक VLANs के बीच ACL (एक्सेस लिस्ट्स) बहुत दुर्लभ है:

  1. प्रबंधन में कठिनाई - ACLs को CLI का उपयोग करके बनाना पड़ता है, बहुत बोझिल होता है।

  2. अवरोधित ट्रैफ़िक की समीक्षा - ट्रैफ़िक लॉग का मुख्य रूप से दृश्य CLI कमांड्स द्वारा और स्पष्ट GUI नहीं होते जैसा कि आधुनिक फ़ायरवॉल्स में होता है।

  3. L3 ACL सक्षम करने से स्विच की CPU शक्ति का उपभोग होता है।

  4. ऐसा अलग-थलग वीएलएन होना बहुत जटिल है जिसका कोई कॉर्पोरेट एक्सेस नहीं है।

अंततः, अधिकांश नेटवर्क में आंतरिक वीएलएन के बीच असीमित रूटिंग और एक्सेस होती है। वीएलएन में से किसी एक में वायरस का प्रकोप को नियंत्रित करना बहुत कठिन (लगभग असंभव) होता है।

सुरक्षा उपकरण पर L3 को ले जाना

जैसे-जैसे साइबर हमले बढ़ते जा रहे हैं और मैलवेयर जंगल में बढ़ रहा है, नेटवर्क डिजाइन सुरक्षा उपकरण पर L3 रूटिंग की ओर बढ़ने शुरू हो गए - फ़ायरवॉल। उपरोक्त टोपोलॉजी के समान, फिर भी एक मुख्य अंतर के साथ - सभी स्विच L2 उपकरण के रूप में कार्य करते हैं, जबकि फ़ायरवॉल उपकरण आंतरिक वीएलएन के बीच L3 रूटिंग करता। नीचे दिए गए उदाहरण को देखें:

L2_Switch_and_Firewall_inter-VLAN_routing.png

ऊपर की टोपोलॉजी में, फ़ायरवॉल एक राउटर-ऑन-ए-स्टिक के रूप में कार्य करता है। VLAN 10 PCs और VLAN 20 PCs के बीच का ट्रैफ़िक फ़ायरवॉल के माध्यम से जाएगा।

स्वाभाविक रूप से, यह दृष्टिकोण बहुत अधिक नियंत्रण और सुरक्षा प्रदान करता है। नेटवर्क से संक्रमित वीएलएन को अलग करना बहुत आसान है। केवल इंटरनेट एक्सेस के साथ एक वीएलएन होना भी सरल है (उदाहरण के लिए, अतिथि नेटवर्क)।

Cato सॉकेट: VLANs बनाम रूटेड रेंज

Cato सॉकेट (मुख्य रूप से) दो कॉन्फ़िगरेशन को समर्थन करता है:

  • VLAN - फ़ायरवॉल पर L3 रूटिंग के समान, सॉकेट प्रत्येक VLAN के लिए L3 इंटरफ़ेस होता है और डिफ़ॉल्ट गेटवे के रूप में कार्य करता है।

  • रूटेड रेंज - स्थिर मार्ग। पहली टोपोलॉजी में उपयोग किया जाता है जिसमें सॉकेट में आंतरिक वीएलएन के लिए L3 स्विच के माध्यम से मापदंड होते हैं।

हालांकि Cato द्वारा दोनों नेटवर्क डिजाइन समर्थन प्राप्त है, एक नए डिजाइन के लिए सर्वोत्तम प्रथा VLANs होगी। जब तक कोई सीमाएं या विशेष आवश्यकताएं नहीं हैं, एक सॉकेट को कॉन्फ़िगर करने का सर्वोत्तम तरीका फ़ायरवॉल टोपोलॉजी पर L3 के समान होगा। नीचे दिए गए उदाहरण को देखें:

L3_switch_catoCloud.png

सॉकेट पर VLANs होने के फायदे

  1. प्रबंधन - सॉकेट प्रत्येक VLAN के लिए डिफ़ॉल्ट गेटवे के रूप में कार्य कर सकता है + प्रत्येक वीएलएन के लिए DHCP रेंज प्रदान कर सकता है। सभी को Cato प्रबंधन अनुप्रयोग से प्रबंधित किया जाता है।

  2. नियंत्रण - यदि किसी VLAN में वायरस का प्रसार होता है, तो इस VLAN को वाई.ए.एन. फ़ायरवॉल नियम द्वारा या उस VLAN के डिफ़ॉल्ट गेटवे को हटाकर तुरंत और आसानी से अलग किया जा सकता है।

  3. सुरक्षा - जब अतिथियों के लिए Wifi जैसे एक पूरी तरह से अलग VLAN बनाने की आवश्यकता होती है, तो सॉकेट उस नेटवर्क के WAN/व्यापारिक पहुंच को आसानी से अवरुद्ध कर सकते हैं और केवल इंटरनेट पहुंच की अनुमति दे सकते हैं।

  • ध्यान दें कि डिज़ाइन द्वारा सभी WAN ट्रैफ़िक PoP को जाता है। इसमें साइट-टू-साइट ट्रैफ़िक और अंतर-VLAN ट्रैफ़िक दोनों शामिल हैं। इसका अर्थ है कि एक ही कार्यालय में VLANs के बीच ट्रैफ़िक डिफ़ॉल्ट रूप से सॉकेट में रूटेड नहीं होगा। इस बिंदु को अगले अनुभाग में शामिल किया गया है।

सॉकेट पर L3 रूटिंग के लिए सामान्य चिंताएँ और सलाहजनक समाधान

  1. आंतरिक VLANs के बीच सुरक्षा नियम बनाएँ और प्रबंधित करें - वास्तव में अंतर-VLAN ट्राफिक की अनुमति देने वाले सैकड़ों अद्वितीय नियम होना सबसे महत्वपूर्ण बात नहीं है। अधिक महत्वपूर्ण क्षमता यह है कि संक्रमित VLAN को तुरंत अलग करने का तरीका हो। प्रभावी सुरक्षा रक्षा Cato की उन्नत सुरक्षा सेवाओं जैसे एंटी-मैलवेयर और IPS द्वारा प्रदान की जाएगी। एंटी-मैलवेयर और IPS आंतरिक और बाहरी ट्रैफ़िक दोनों के लिए वास्तविक L7 निरीक्षण प्रदान करेंगे।

  2. प्रदर्शन - जब अंतर-VLAN रूटिंग को सुरक्षा उपकरण पर स्थानांतरित करने की बात आती है, तो पहला चिंता का विषय बैंडविड्थ क्षमता होता है। पुराने L3 स्विचों में सुरक्षा की कमी थी, लेकिन स्पष्ट रूप से उच्च प्रदर्शन था। इस बिंदु पर विचार करने के लिए हम कुछ तथ्य साझा करना चाहेंगे:

    • डाटा सेंटरों के अलावा, सामान्य कार्यालयों में कुछ ही VLANs होते हैं जैसे उपयोगकर्ता, प्रिंटर और मेहमानों के लिए Wifi। जब आप इस पर विचार करते हैं, तो उन VLANs के बीच ट्रैफिक की अनुमति देने का कोई वास्तविक कारण नहीं होता है। उन्हें मुख्यतः डेटा सेंटर में निगम के संसाधनों तक पहुँच की आवश्यकता होती है, या यहाँ तक कि सिर्फ क्लाउड सेवाओं जैसे Office 365, Skype और Salesforce तक पहुँच की।

    • छोटे वॉल्यूम ट्रैफ़िक जैसे उपयोगकर्ता से प्रिंटर तक, PoP के माध्यम से और वहाँ से सॉकेट तक जाने पर भी बिल्कुल सही प्रकार से कार्य कर सकते हैं। उपयोगकर्ता को कोई अंतर मालूम नहीं होगा जब एक प्रिंटिंग कार्य में अतिरिक्त 20ms का देरी हो, लेकिन आईटी व्यवस्थापकों के पास बेहद बेहतर सुरक्षा और नियंत्रण होगा।

    • यदि उच्च गति 1Gbps रूटिंग अभी भी ज़रूरी है, तो Cato सॉकेट स्थानीय रूटिंग क्षमता का समर्थन करता है। स्थानीय रूटिंग सॉकेट में रूटिंग की अनुमति देती है, यानी, VLANs की एक जोड़ी के बीच का ट्रैफ़िक सॉकेट में ही रहेगा। इस प्रकार की कॉन्फ़िगरेशन Cato के L7 सुरक्षा सेवाओं (एंटी-मैलवेयर और IPS) को बायपास करती है। इसके बावजूद, यदि कोई संक्रमित वर्क स्टेशन है, जब यह बाहरी C&C या दुर्भावनापूर्ण प्रॉक्सी के साथ संवाद करेगा, तो यह पता लगाया जाएगा और अलर्ट भेजा जाएगा।

क्या यह लेख उपयोगी था?

13 में से 13 के लिए उपयोगी रहा

0 टिप्पणियां