O artigo a seguir cobre o caso em que o Socket da Cato é usado tanto para conectividade WAN quanto para Firewall como serviço. Nesse caso, a segurança é um dos principais objetivos da implantação. Este artigo é menos relevante para situações onde a Cato Networks é usada principalmente para conectividade WAN/global.
Até recentemente, era bastante comum ter uma topologia de switch L3 interno gerenciando todas as VLANs internas. O switch backbone teria interface L3 para cada VLAN atuando como gateway padrão. O roteamento era feito internamente no switch, ou seja, o tráfego entre as VLANs permanecia dentro do switch. Apenas o tráfego para a Internet ou WAN subiria para o Firewall. Veja o exemplo abaixo:
Na topologia acima, o roteamento entre VLANs internas é feito no switch backbone L3. Apenas o tráfego da Internet iria para o Firewall para uma inspeção L4. É raro ter Listas de Controle de Acesso (ACL) entre as VLANs internas devido aos seguintes motivos:
-
Difícil de gerenciar - as ACLs devem ser criadas usando CLI, muito trabalhoso.
-
Analisar tráfego bloqueado - logs de tráfego poderiam ser principalmente revisados usando comandos CLI e não com interfaces gráficas claras como os Firewalls têm atualmente.
-
Habilitar L3 ACL consumiria a capacidade de CPU do switch.
-
Muito complicado ter uma VLAN isolada que não tenha acesso corporativo.
Eventualmente, a maioria das redes tinha roteamento e acesso ilimitados entre as VLANs internas. Um surto de vírus em uma das VLANs seria muito difícil (quase impossível) de conter.
À medida que os ataques cibernéticos continuam a crescer e os malwares se espalham no ambiente, os projetos de rede começaram a mudar para um roteamento L3 em um dispositivo de segurança - Firewall. Semelhante à topologia acima, mas com uma diferença principal - todos os switches atuam como um dispositivo L2, enquanto o Firewall executaria o roteamento L3 entre as VLANs internas. Veja o exemplo abaixo:
Na topologia acima, o Firewall atua como Router-on-a-stick. O tráfego entre PCs da VLAN 10 e PCs da VLAN 20 passaria pelo Firewall.
Naturalmente, essa abordagem fornece muito mais controle e segurança. É muito fácil isolar uma VLAN infectada da rede. Também é simples ter uma VLAN com acesso apenas à Internet (por exemplo, rede de convidados).
O Socket da Cato suporta (principalmente) duas configurações:
-
VLAN - semelhante ao roteamento L3 no Firewall, o Socket tem uma interface L3 para cada VLAN e atua como um gateway padrão.
-
Intervalo roteado - rota estática. Usado na primeira topologia na qual o Socket tem rotas via o switch L3 para as VLANs internas.
Embora ambos os designs de rede sejam suportados pela Cato, a melhor prática para um novo design seriam as VLANs. Desde que não existam limitações ou requisitos especiais, a melhor forma de configurar um Socket seria semelhante ao L3 na topologia do Firewall. Veja o exemplo abaixo:
-
Gerenciamento - o Socket pode atuar como gateway padrão para cada VLAN + fornecer faixa DHCP para cada VLAN. Tudo é gerenciado a partir do Aplicativo de Gerenciamento Cato.
-
Controle - em caso de um surto de vírus em uma das VLANs, essa VLAN pode ser isolada imediatamente e facilmente por uma regra de Firewall WAN ou mesmo excluindo o gateway padrão para essa VLAN.
-
Segurança - quando há necessidade de criar uma VLAN completamente isolada como Wifi para convidados, o Socket pode facilmente bloquear o acesso WAN/corporativo para essa rede e permitir apenas o acesso à Internet.
-
Atenção que, por design, todo o tráfego WAN vai para o PoP. Isso inclui tanto o tráfego site-a-site quanto o tráfego entre VLANs. Significa que o tráfego entre VLANs no mesmo escritório não será roteado no Socket por padrão. Esse ponto é abordado na próxima seção.
-
Criar e gerenciar regras de segurança entre VLANs internas - na verdade, não é o mais importante ter centenas de regras únicas que permitem tráfego entre VLANs. A habilidade mais importante é ter o meio imediato de isolar uma VLAN infectada. Uma defesa de segurança efetiva será fornecida pelos serviços de segurança avançados da Cato, como Anti-Malware e IPS. Anti-Malware e IPS fornecerão inspeção genuína L7 tanto para tráfego interno quanto externo.
-
Desempenho - quando se trata de mudar o roteamento entre VLANs para um dispositivo de segurança, a preocupação imediata que surge é a capacidade de largura de banda. Os switches L3 legados carecem de segurança, mas claramente tinham alto desempenho. Para abordar este ponto, gostaríamos de fornecer alguns fatos:
-
Além dos Centros de Dados, escritórios comuns têm poucas VLANs, como Usuários, Impressoras e Wifi para convidados. Quando você pensa sobre isso, não há uma razão real para permitir tráfego entre essas VLANs. Elas necessitam principalmente de acesso a recursos corporativos no Centro de Dados ou mesmo apenas acesso a serviços na nuvem como Office 365, Skype e Salesforce.
-
Tráfego de pequeno volume, como de usuários para impressoras, pode funcionar perfeitamente indo para o PoP e voltando do Socket. Os usuários não notarão nenhuma diferença quando um trabalho de impressão tiver um atraso de pacotes adicional de 20ms, mas os Administradores de TI terão muito mais segurança e controle.
-
Se o roteamento de alta velocidade de 1Gbps ainda é necessário, o Cato Socket suporta a capacidade de Roteamento Local. O Roteamento Local permite o roteamento em-Socket, ou seja, o tráfego entre um par de VLANs permanecerá no Socket. Esse tipo de configuração ignora os serviços de segurança L7 da Cato (Anti-Malware e Sistema de Prevenção de Intrusões (IPS)). No entanto, se houver qualquer estação de trabalho infectada, uma vez que comunique com um C&C externo ou proxy malicioso, será detectada e um alerta será enviado.
-
0 comentário
Por favor, entre para comentar.