NET-04 · ประสบการณ์
ผมออกแบบ แบ่งเซกเมนต์ และรักษาความปลอดภัยให้เครือข่ายและไฟร์วอลล์ Cisco
ผมสร้างและจัดระเบียบชั้นเครือข่ายที่ทุกอย่างต้องพึ่งพา นั่นหมายถึงการสวิตช์ Cisco IOS และ Catalyst, นโยบายไฟร์วอลล์ Firepower, การออกแบบ VLAN และการแบ่งเซกเมนต์, ACL และ VPN แบบ site-to-site ที่ใช้งานได้จริงและมั่นคง ผมทำงานตามมาตรฐานที่เผยแพร่เป็นทางการ และไม่เคยแตะระบบที่ใช้งานจริงโดยปราศจากแผนการเปลี่ยนแปลงที่เป็นลายลักษณ์อักษรและการย้อนกลับที่พร้อมใช้งานทันที
01 · สิ่งที่ผมทำ
งานจริงที่ลงมือทำ
- ออกแบบ VLAN และการแบ่งเซกเมนต์เพื่อให้ทราฟฟิกที่ถูกต้องสื่อสารกันได้ และส่วนที่เหลือถูกกั้นไว้ รวมถึงการแยกส่วนเสียง การจัดการ และเครือข่ายแขกออกจากกัน
- เขียนและตรวจสอบ ACL บนสวิตช์และเราเตอร์ จากนั้นทดสอบกับสิทธิ์การเข้าถึงที่คุณต้องการอนุญาตจริง
- สร้างและดูแลนโยบาย Cisco Firepower ทั้งชุดกฎ, NAT, การตรวจสอบแพ็กเก็ต และการเก็บล็อกที่ทีม SOC อ่านเข้าใจได้
- ติดตั้งและแก้ปัญหาทันเนล VPN แบบ site-to-site รวมถึงเฟสที่ไม่ตรงกัน, MTU และการเราต์ผ่านทันเนล
- ดำเนินการตรวจทานการแบ่งเซกเมนต์เพื่อค้นหาเครือข่ายแบบแบนราบ กฎที่กว้างเกินไป และเส้นทางที่ไม่ควรมีอยู่
- เสริมความแข็งแกร่งให้คอนฟิกของสวิตช์และไฟร์วอลล์ตามเกณฑ์ฐานของ DoD STIG และ NIST 800-53 ไม่ใช่แค่ค่าเริ่มต้น
- จัดทำเอกสารโทโพโลยี เจตนาของกฎ และประวัติการเปลี่ยนแปลง เพื่อให้คนถัดไปไม่ต้องคาดเดา
02 · สิ่งที่คุณจะได้รับ
สิ่งที่เหลืออยู่กับคุณ
- เครือข่ายที่แบ่งเซกเมนต์แล้ว พร้อมโซนและกฎที่ชัดเจนซึ่งคุณอธิบายให้ผู้ตรวจสอบเข้าใจได้
- นโยบายไฟร์วอลล์และ ACL ที่ตรงกับเจตนา โดยล้างกฎที่ไม่ได้ใช้และกฎซ้ำซ้อนออกไปแล้ว
- ทันเนล VPN แบบ site-to-site ที่ใช้งานได้และมีเอกสารกำกับ พร้อมบันทึกสำหรับแก้ปัญหาในภายหลัง
- คอนฟิกที่ได้รับการประเมินเทียบกับ DoD STIG และ NIST 800-53 พร้อมบันทึกสิ่งที่พบและวิธีแก้ไขเป็นลายลักษณ์อักษร
- บันทึกโทโพโลยีและการเปลี่ยนแปลง เพื่อให้ทีมของคุณเป็นเจ้าของเครือข่ายได้จริง แทนที่จะหวาดกลัวมัน
03 · เครื่องมือและความรู้
สิ่งที่ผมใช้งานในด้านนี้
04 · วิธีที่ผมลงมือทำ
วางแผน กำหนดขอบเขต และรับผิดชอบจนจบ
ทุกอย่างเริ่มจากการพูดคุยกำหนดขอบเขต 30 นาที และการประเมินความเหมาะสมเป็นลายลักษณ์อักษรภายในวันเดียวกัน เพื่อให้เราทั้งสองฝ่ายเข้าใจตรงกันว่ากำลังรับมือกับอะไรก่อนจะเสนอราคา ก่อนที่ผมจะเปลี่ยนแปลงสิ่งใดในระบบที่ใช้งานจริง ผมจะเขียนแผนการเปลี่ยนแปลงแบบเรียงลำดับ พร้อมคำสั่งที่แน่นอน เกณฑ์การตรวจสอบ และการย้อนกลับ และยืนยันว่าใครเป็นผู้รับผิดชอบการย้อนกลับนั้น การเปลี่ยนแปลงเครือข่ายมักทำให้เกิดปัญหาอย่างเงียบ ๆ ผมจึงดำเนินการเปลี่ยนผ่านภายในช่วงเวลาที่กำหนดไว้ ตรวจสอบเทียบกับเกณฑ์เหล่านั้น และเตรียมคอนฟิกเดิมไว้พร้อมตลอดเวลา หากเกณฑ์ใดไม่ผ่าน เราจะย้อนกลับ แทนที่จะดันต่อไปแล้วหวังว่าจะรอด
05 · คำถาม
คำถามที่ดี คำตอบที่ตรงไปตรงมา
คุณทำงานกับเครือข่ายที่ใช้งานจริงโดยไม่ทำให้ระบบล่มได้ไหม
ได้ครับ นั่นคือเหตุผลของแผนการเปลี่ยนแปลงและการย้อนกลับ ผมกำหนดเวลาทำงานในช่วงเวลาที่ระบุไว้ ตรวจสอบแต่ละขั้นตอนเทียบกับเกณฑ์ที่ตั้งไว้ และเตรียมคอนฟิกเดิมไว้พร้อมเสมอ เพื่อให้ปัญหาที่เกิดขึ้นเป็นการย้อนกลับอย่างรวดเร็ว ไม่ใช่การหยุดทำงานที่ไม่รู้ว่าจะนานเท่าใด
คุณดูแล Firepower ด้วยไหม หรือทำเฉพาะการสวิตช์ IOS
ทั้งสองอย่างครับ ผมดูแลการสวิตช์และการเราต์ของ Catalyst และ IOS ควบคู่ไปกับนโยบายไฟร์วอลล์ Firepower, NAT, VPN และการเก็บล็อก เพื่อให้ชั้นสวิตช์, ACL และไฟร์วอลล์ถูกออกแบบให้สอดคล้องกัน แทนที่จะขัดแย้งกันเอง
คุณช่วยตรวจทานสิ่งที่เรามีอยู่แล้วแทนการสร้างใหม่ได้ไหม
ได้ครับ การตรวจทานการแบ่งเซกเมนต์และคอนฟิกเป็นจุดเริ่มต้นที่พบได้บ่อย ผมตรวจสอบโทโพโลยี, VLAN, ACL และกฎไฟร์วอลล์เทียบกับเจตนาของคุณ และเทียบกับ DoD STIG และ NIST 800-53 จากนั้นส่งรายการที่ระบุว่าต้องแก้อะไรและเพราะอะไรให้คุณเป็นลายลักษณ์อักษร
06 · ประสบการณ์ที่เกี่ยวข้อง
งานในด้านใกล้เคียงที่ผมทำ
ต้องการให้ดูแลเรื่องนี้ไหม
บอกผมว่าคุณกำลังพยายามย้ายอะไร และติดขัดตรงไหน แค่ไม่กี่ประโยคก็เริ่มได้ และจะส่งตรงถึงกล่องข้อความของผมทันที