ProHoster > Blog > İdarə > Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. İkinci hissə

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. İkinci hissə

Bu məqalə “Şəbəkə İnfrastrukturunuza Necə Nəzarət Edin” seriyasının dördüncü məqaləsidir. Serialdakı bütün məqalələrin məzmunu və keçidləri ilə tanış ola bilərsiniz burada.

В birinci hissəsində Bu fəsildə Data Center seqmentində şəbəkə təhlükəsizliyinin bəzi aspektlərinə baxdıq. Bu hissə “İnternetə çıxış” seqmentinə həsr olunacaq.

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. Üçüncü fəsil. Şəbəkə təhlükəsizliyi. İkinci hissə

İnternet

Təhlükəsizlik mövzusu, şübhəsiz ki, məlumat şəbəkələri dünyasında ən mürəkkəb mövzulardan biridir. Əvvəlki hallarda olduğu kimi, dərinliyi və dolğunluğu iddia etmədən, burada olduqca sadə, lakin, mənim fikrimcə, vacib sualları nəzərdən keçirəcəyəm, cavabları, ümid edirəm ki, şəbəkənizin təhlükəsizlik səviyyəsini yüksəltməyə kömək edəcəkdir.

Bu seqmenti yoxlayarkən aşağıdakı aspektlərə diqqət yetirin:

  • layihə
  • BGP parametrləri
  • DOS/DDOS qorunması
  • firewallda trafikin süzülməsi

Layihə

Müəssisə şəbəkəsi üçün bu seqmentin dizaynına nümunə olaraq tövsiyə edərdim bələdçi Cisco daxilində SAFE modelləri.

Əlbəttə ki, başqa satıcıların həlli sizin üçün daha cəlbedici görünəcək (bax. Gartner Quadrant 2018), lakin sizi bu dizaynı təfərrüatlı şəkildə izləməyə təşviq etmədən, onun arxasındakı prinsipləri və ideyaları başa düşməyi hələ də faydalı hesab edirəm.

Qeyd:

SAFE-də "Remote Access" seqmenti "Internet Access" seqmentinin bir hissəsidir. Ancaq bu məqalələr silsiləsində biz bunu ayrıca nəzərdən keçirəcəyik.

Müəssisə şəbəkəsi üçün bu seqmentdə standart avadanlıq dəsti belədir

  • sərhəd marşrutlaşdırıcıları
  • təhlükəsizlik divarları

Qeyd 1

Bu məqalələr silsiləsində, mən firewall haqqında danışarkən, nəzərdə tuturam NGFW.

Qeyd 2

Mən L2/L1 bağlantısını təmin etmək üçün lazım olan müxtəlif növ L2/L3 və ya L1 üzərindən L2 üst-üstə düşmə həllərini nəzərdən qaçırıram və özümü yalnız L3 və daha yuxarı səviyyələrdəki məsələlərlə məhdudlaşdırıram. L1/L2 məsələləri qismən “” fəslində müzakirə edilmişdir.Təmizlik və sənədləşmə".

Bu seqmentdə bir firewall tapmamısınızsa, nəticə çıxarmağa tələsməməlisiniz.

Gəlin eyni şeyi edək əvvəlki hissəGəlin sualdan başlayaq: sizin vəziyyətinizdə bu seqmentdə firewalldan istifadə etmək lazımdırmı?

Deyə bilərəm ki, bu, firewalllardan istifadə etmək və mürəkkəb trafik filtrləmə alqoritmlərini tətbiq etmək üçün ən əsaslandırılmış yerdir. IN 1 hissə Məlumat mərkəzi seqmentində firewallların istifadəsinə mane ola biləcək 4 amili qeyd etdik. Ancaq burada onlar artıq o qədər də əhəmiyyətli deyillər.

Məsələn 1. Gecikmə

İnternetə gəldikdə isə, hətta təxminən 1 millisaniyəlik gecikmələrdən danışmağın mənası yoxdur. Buna görə də, bu seqmentdə gecikmə firewalldan istifadəni məhdudlaşdıran amil ola bilməz.

Məsələn 2. Məhsuldarlıq

Bəzi hallarda bu amil hələ də əhəmiyyətli ola bilər. Buna görə də, bəzi trafikə (məsələn, yük balanslaşdırıcılarından gələn trafik) firewalldan yan keçməsinə icazə verməli ola bilərsiniz.

Məsələn 3. Etibarlılıq

Bu amili hələ də nəzərə almaq lazımdır, lakin yenə də İnternetin özünün etibarsızlığını nəzərə alsaq, onun bu seqment üçün əhəmiyyəti məlumat mərkəzi kimi əhəmiyyətli deyil.

Beləliklə, fərz edək ki, xidmətiniz http/https üzərində işləyir (qısa seanslarla). Bu halda, iki müstəqil qutudan (HA olmadan) istifadə edə bilərsiniz və onlardan biri ilə marşrutlaşdırma problemi varsa, bütün trafiki ikinciyə köçürün.

Yaxud şəffaf rejimdə firewalllardan istifadə edə bilərsiniz və əgər onlar uğursuz olarsa, problemi həll edərkən trafikin firewalldan yan keçməsinə icazə verə bilərsiniz.

Buna görə də, çox güman ki, yalnız qiymət sizi bu seqmentdə firewall istifadəsindən imtina etməyə məcbur edəcək amil ola bilər.

Mühüm!

Bu təhlükəsizlik duvarını məlumat mərkəzinin təhlükəsizlik duvarı ilə birləşdirmək istəyi var (bu seqmentlər üçün bir firewall istifadə edin). Çözüm, prinsipcə, mümkündür, amma bunu başa düşməlisiniz, çünki İnternetə giriş təhlükəsizlik duvarı əslində müdafiənizin ön sıralarındadır və zərərli trafikin heç olmasa bir hissəsini “boşuna götürür”, o zaman, əlbəttə ki, bu firewallın söndürülməsi riskinin artdığını nəzərə almalısınız. Yəni, bu iki seqmentdə eyni cihazlardan istifadə etməklə siz məlumat mərkəzi seqmentinizin əlçatanlığını əhəmiyyətli dərəcədə azaldacaqsınız.

Həmişə olduğu kimi, şirkətin təqdim etdiyi xidmətdən asılı olaraq bu seqmentin dizaynının çox fərqli ola biləcəyini başa düşməlisiniz. Həmişə olduğu kimi, tələblərinizdən asılı olaraq müxtəlif yanaşmalar seçə bilərsiniz.

Misal

Əgər siz CDN şəbəkəsi olan məzmun provayderisinizsə (məsələn, bax: məqalələr silsiləsi), onda siz marşrutlaşdırmaq və trafiki süzmək üçün ayrı-ayrı cihazlardan istifadə edərək onlarla və hətta yüzlərlə mövcud nöqtələr arasında infrastruktur yaratmaq istəməyə bilərsiniz. Bu, bahalı olacaq və sadəcə lazımsız ola bilər.

BGP üçün xüsusi marşrutlaşdırıcılara ehtiyacınız yoxdur, kimi açıq mənbəli vasitələrdən istifadə edə bilərsiniz Kvaqqa. Beləliklə, bəlkə də sizə lazım olan tək şey bir server və ya bir neçə server, keçid və BGPdir.

Bu halda serveriniz və ya bir neçə server təkcə CDN serveri deyil, həm də marşrutlaşdırıcı rolunu oynaya bilər. Əlbəttə, hələ də bir çox detallar var (məsələn, tarazlığı necə təmin etmək olar), lakin bu, mümkündür və bu, tərəfdaşlarımızdan biri üçün uğurla istifadə etdiyimiz bir yanaşmadır.

Yalnız L2 açarları və serverləri ilə tam mühafizəsi olan bir neçə məlumat mərkəzi (firewall, İnternet provayderləriniz tərəfindən təmin edilən DDOS mühafizə xidmətləri) və onlarla və ya yüzlərlə “sadələşdirilmiş” mövcudluq nöqtələrinə malik ola bilərsiniz.

Bəs bu vəziyyətdə qorunma haqqında nə demək olar?

Məsələn, bu yaxınlarda məşhur olanlara baxaq DNS Amplification DDOS hücumu. Onun təhlükəsi, bütün yuxarı bağlantılarınızın 100% -ni "tıxandıran" böyük miqdarda trafikin yaranmasındadır.

Bizim dizaynımızda nə var.

  • Əgər siz AnyCast istifadə edirsinizsə, o zaman trafik mövcud nöqtələriniz arasında bölüşdürülür. Əgər sizin ümumi ötürmə qabiliyyətiniz terabitdirsə, bu, əslində (lakin bu yaxınlarda terabitlər sırası üzrə zərərli trafiklə bir neçə hücum olub) sizi “daşan” yuxarı bağlantılardan qoruyur.
  • Bununla belə, bəzi yuxarı bağlantılar tıxanırsa, siz sadəcə bu saytı xidmətdən çıxarırsınız (prefiksin reklamını dayandırın)
  • siz həmçinin “tam” (və müvafiq olaraq qorunan) məlumat mərkəzlərinizdən göndərilən trafikin payını artıra bilərsiniz, beləliklə, zərərli trafikin əhəmiyyətli hissəsini qorunmayan mövcud nöqtələrdən silə bilərsiniz.

Və bu misal üçün daha bir kiçik qeyd. Əgər IX-lər vasitəsilə kifayət qədər trafik göndərirsinizsə, bu da sizin belə hücumlara qarşı həssaslığınızı azaldır

BGP qurulması

Burada iki mövzu var.

  • Bağlantı
  • BGP qurulması

Artıq əlaqə haqqında bir az danışdıq 1 hissə. Məsələ müştərilərinizə gedən trafikin optimal yolu izləməsini təmin etməkdir. Optimallıq həmişə yalnız gecikmə ilə bağlı olmasa da, aşağı gecikmə adətən optimallığın əsas göstəricisidir. Bəzi şirkətlər üçün bu daha vacibdir, digərləri üçün daha azdır. Hamısı göstərdiyiniz xidmətdən asılıdır.

Məsələn 1

Əgər siz mübadilə edirsinizsə və müştəriləriniz üçün millisaniyələrdən az vaxt intervalları vacibdirsə, təbii ki, heç bir İnternet növündən söhbət gedə bilməz.

Məsələn 2

Əgər siz oyun şirkətisinizsə və onlarla millisaniyə sizin üçün vacibdirsə, əlbəttə ki, əlaqə sizin üçün çox vacibdir.

Məsələn 3

Siz həmçinin başa düşməlisiniz ki, TCP protokolunun xüsusiyyətlərinə görə, bir TCP sessiyasında məlumat ötürmə sürəti də RTT-dən (Round Trip Time) asılıdır. Məzmun paylama serverlərini bu məzmunun istehlakçısına yaxınlaşdırmaqla bu problemi həll etmək üçün CDN şəbəkələri də qurulur.

Bağlantının tədqiqi özlüyündə maraqlı bir mövzudur, öz məqaləsinə və ya məqalələr seriyasına layiqdir və İnternetin “necə işlədiyini” yaxşı başa düşməyi tələb edir.

Faydalı mənbələr:

ripe.net
bgp.he.net

Misal

Mən kiçik bir misal verəcəm.

Fərz edək ki, məlumat mərkəziniz Moskvada yerləşir və tək bir yuxarı bağlantınız var - Rostelecom (AS12389). Bu halda (tək ev) sizə BGP lazım deyil və çox güman ki, Rostelecom-un ünvan hovuzundan ümumi ünvanlar kimi istifadə edirsiniz.

Tutaq ki, siz müəyyən xidmət göstərirsiniz və Ukraynadan kifayət qədər müştəriniz var və onlar uzun gecikmələrdən şikayətlənirlər. Araşdırmalarınız zamanı bəzilərinin IP ünvanlarının 37.52.0.0/21 şəbəkəsində olduğunu öyrəndiniz.

Traceroute işlətməklə siz trafikin AS1299 (Telia) vasitəsilə getdiyini gördünüz və ping işlətməklə orta hesabla 70 - 80 millisaniyəlik RTT əldə etdiniz. Bunu ünvanda da görə bilərsiniz Rostelecom şüşəsi.

Whois yardım proqramından (ripe.net və ya yerli yardım proqramında) istifadə edərək, 37.52.0.0/21 blokunun AS6849-a (Ukrtelecom) aid olduğunu asanlıqla müəyyən edə bilərsiniz.

Sonrakı, gedərək bgp.he.net görürsünüz ki, AS6849-un AS12389 ilə heç bir əlaqəsi yoxdur (onlar nə müştərilərdir, nə də bir-birləri ilə əlaqə saxlayırlar, nə də peering yoxdur). Amma baxsan həmyaşıdlarının siyahısı AS6849 üçün, məsələn, AS29226 (Mastertel) və AS31133 (Megafon) görəcəksiniz.

Bu provayderlərin baxış şüşəsini tapdıqdan sonra yolu və RTT-ni müqayisə edə bilərsiniz. Məsələn, Mastertel RTT üçün təxminən 30 millisaniyə olacaq.

Beləliklə, əgər 80 və 30 millisaniyələr arasındakı fərq xidmətiniz üçün əhəmiyyətlidirsə, onda ola bilsin ki, siz əlaqə haqqında düşünməli, AS nömrənizi, ünvan hovuzunuzu RIPE-dən əldə etməli və əlavə yuxarı keçidləri birləşdirməli və/və ya IX-lərdə mövcudluq nöqtələri yaratmalısınız.

BGP-dən istifadə etdiyiniz zaman siz yalnız əlaqəni yaxşılaşdırmaq imkanınız yoxdur, həm də İnternet bağlantınızı lazımsız şəkildə qoruyursunuz.

Bu sənəd BGP-nin konfiqurasiyası üçün tövsiyələri ehtiva edir. Bu tövsiyələrin provayderlərin “ən yaxşı təcrübəsi” əsasında işlənib hazırlanmasına baxmayaraq (əgər sizin BGP parametrləriniz kifayət qədər sadə deyilsə) şübhəsiz ki, faydalıdır və əslində bu məqalədə müzakirə etdiyimiz sərtləşdirmənin bir hissəsi olmalıdır. birinci hissəsində.

DOS/DDOS qorunması

İndi DOS/DDOS hücumları bir çox şirkətlər üçün gündəlik reallığa çevrilib. Əslində, bu və ya digər formada sizə tez-tez hücum edilir. Bunu hələ fərq etməmiş olmanız yalnız sizə qarşı hədəfli hücumun hələ təşkil edilmədiyini və istifadə etdiyiniz mühafizə tədbirlərinin, hətta bəlkə də bilmədən (əməliyyat sistemlərinin müxtəlif daxili mühafizələri) kifayət etməsi deməkdir. Siz və müştəriləriniz üçün göstərilən xidmətin deqradasiyasının minimuma endirilməsini təmin edin.

Avadanlıq jurnallarına əsaslanaraq real vaxt rejimində gözəl hücum xəritələri çəkən İnternet resursları var.

Burada onlara linklər tapa bilərsiniz.

Sevdiyim xəritə CheckPoint-dən.

DDOS/DOS-dan qorunma adətən laylı olur. Səbəbini anlamaq üçün DOS/DDOS hücumlarının hansı növlərinin mövcud olduğunu başa düşməlisiniz (məsələn, bax: burada və ya burada)

Yəni üç növ hücumumuz var:

  • həcmli hücumlar
  • protokol hücumları
  • tətbiq hücumları

Əgər siz özünüzü son iki növ hücumdan, məsələn, firewalllardan istifadə etməklə qoruya bilirsinizsə, o zaman yuxarı bağlantılarınızı “aşmaq” məqsədi daşıyan hücumlardan özünüzü qoruya bilməzsiniz (əlbəttə ki, İnternet kanallarının ümumi tutumu terabitlərlə hesablanmırsa, və ya daha yaxşısı, on terabitlə).

Buna görə də, ilk müdafiə xətti “həcmli” hücumlardan qorunmaqdır və provayderiniz və ya provayderləriniz bu müdafiəni sizə təmin etməlidir. Əgər bunu hələ dərk etməmisinizsə, deməli, hələlik şanslısınız.

Misal

Tutaq ki, sizin bir neçə yuxarı bağlantınız var, lakin provayderlərdən yalnız biri sizi bu mühafizə ilə təmin edə bilər. Ancaq bütün trafik bir provayderdən keçirsə, bir az əvvəl qısaca müzakirə etdiyimiz əlaqə haqqında nə demək olar?

Bu halda, hücum zamanı əlaqəni qismən qurban verməli olacaqsınız. Amma

  • bu yalnız hücumun müddəti üçündür. Hücum halında siz BGP-ni əl ilə və ya avtomatik olaraq yenidən konfiqurasiya edə bilərsiniz ki, trafik yalnız sizə “çətir” təqdim edən provayderdən keçsin. Hücum bitdikdən sonra marşrutu əvvəlki vəziyyətinə qaytara bilərsiniz
  • Bütün trafiki köçürmək lazım deyil. Məsələn, bəzi yuxarı keçidlər və ya peerings vasitəsilə hücumların olmadığını görsəniz (və ya trafik əhəmiyyətli deyil), siz bu BGP qonşularına qarşı rəqabətli atributları olan prefiksləri reklam etməyə davam edə bilərsiniz.

Siz həmçinin “protokol hücumlarından” və “tətbiq hücumlarından” müdafiəni tərəfdaşlarınıza həvalə edə bilərsiniz.
Burada burada yaxşı bir araşdırma oxuya bilərsiniz (tərcümə). Düzdür, məqalənin iki yaşı var, lakin bu, DDOS hücumlarından özünüzü necə qoruya biləcəyinizlə bağlı yanaşmalar haqqında fikir verəcəkdir.

Prinsipcə, özünüzü bununla məhdudlaşdıra bilərsiniz, müdafiənizi tamamilə kənardan satın ala bilərsiniz. Bu qərarın üstünlükləri var, lakin açıq-aydın bir mənfi cəhət də var. Fakt budur ki, biznesin sağ qalması haqqında (yenidən şirkətinizin nə etdiyindən asılı olaraq) danışa bilərik. Və belə şeyləri üçüncü şəxslərə etibar edin...

Buna görə də, ikinci və üçüncü müdafiə xətlərinin necə təşkil ediləcəyinə baxaq (provayderdən qorunmağa əlavə olaraq).

Beləliklə, ikinci müdafiə xətti şəbəkənizin girişində filtrləmə və trafik məhdudlaşdırıcılarıdır (polislər).

Məsələn 1

Fərz edək ki, provayderlərdən birinin köməyi ilə özünüzü DDOS-a qarşı çətirlə örtmüsünüz. Fərz edək ki, bu provayder öz şəbəkəsinin kənarında trafik və filtrləri filtrləmək üçün Arbor-dan istifadə edir.

Arborun "emal edə biləcəyi" bant genişliyi məhduddur və provayder, əlbəttə ki, filtrləmə avadanlığı vasitəsilə bu xidməti sifariş edən bütün tərəfdaşlarının trafikini daim ötürə bilməz. Ona görə də normal şəraitdə nəqliyyatın hərəkəti filtrlənmir.

Fərz edək ki, SYN daşqın hücumu var. Hücum zamanı trafiki avtomatik olaraq filtrləşdirməyə keçirən bir xidmət sifariş etsəniz belə, bu, dərhal baş vermir. Bir dəqiqə və ya daha çox hücum altında qalırsınız. Və bu, avadanlıqlarınızın sıradan çıxmasına və ya xidmətin pisləşməsinə səbəb ola bilər. Bu halda, kənar marşrutlaşdırmada trafikin məhdudlaşdırılması, bu müddət ərzində bəzi TCP seanslarının qurulmayacağına səbəb olsa da, infrastrukturunuzu daha geniş miqyaslı problemlərdən xilas edəcəkdir.

Məsələn 2

Anormal dərəcədə çox sayda SYN paketi təkcə SYN daşqın hücumunun nəticəsi ola bilməz. Fərz edək ki, siz eyni vaxtda təxminən 100 min TCP bağlantısı (bir məlumat mərkəzinə) ola biləcəyiniz bir xidmət təqdim edirsiniz.

Tutaq ki, əsas provayderlərinizdən biri ilə qısa müddətli problem nəticəsində seanslarınızın yarısı dayandırılır. Tətbiqiniz iki dəfə düşünmədən dərhal (və ya bütün seanslar üçün eyni olan müəyyən vaxt intervalından sonra) əlaqəni yenidən qurmağa çalışacaq şəkildə tərtib edilibsə, onda siz təxminən 50 min SYN paketi alacaqsınız. eyni vaxtda.

Əgər, məsələn, sertifikatların mübadiləsini nəzərdə tutan bu seansların üstündə ssl/tls handshake işlətməlisinizsə, yük balanslaşdırıcınız üçün resursların tükənməsi nöqteyi-nəzərindən bu, sadə seanslardan daha güclü “DDOS” olacaqdır. SYN daşqın. Deyəsən, belə hadisələri balansçılar idarə etməlidir, amma... təəssüf ki, belə bir problemlə üzləşmişik.

Və əlbəttə ki, marşrutlaşdırıcının kənarındakı bir polis bu vəziyyətdə də avadanlıqlarınızı xilas edəcəkdir.

DDOS/DOS-dan qorunmanın üçüncü səviyyəsi firewall parametrlərinizdir.

Burada həm ikinci, həm də üçüncü növ hücumları dayandıra bilərsiniz. Ümumiyyətlə, firewall-a çatan hər şey burada süzülə bilər.

şura

İlk iki müdafiə xəttində mümkün qədər çox filtrasiya edərək, firewall-a mümkün qədər az iş verməyə çalışın. Və buna görə.

Sizə təsadüfən, məsələn, serverlərinizin əməliyyat sisteminin DDOS hücumlarına nə qədər davamlı olduğunu yoxlamaq üçün trafik yaradarkən, normal intensivlikdə trafiklə firewallınızı 100 faizə qədər yükləyərək “öldürmüsünüz”. ? Əgər yoxsa, bəlkə bu, sadəcə cəhd etmədiyinizə görədir?

Ümumiyyətlə, firewall, dediyim kimi, mürəkkəb bir şeydir və o, məlum zəifliklər və sınaqdan keçirilmiş həllər ilə yaxşı işləyir, lakin siz qeyri-adi bir şey, sadəcə bəzi zibil və ya yanlış başlıqları olan paketlər göndərirsinizsə, onda siz bəzilərinin yanındasınız, İlə yox. belə kiçik bir ehtimalla (mənim təcrübəmə əsaslanaraq), hətta ən yüksək səviyyəli avadanlıqları da sərsəmləyə bilərsiniz. Buna görə də, 2-ci mərhələdə adi ACL-lərdən istifadə edərək (L3/L4 səviyyəsində) yalnız ora daxil olan şəbəkənizə trafikə icazə verin.

Firewallda trafikin süzülməsi

Firewall haqqında söhbətə davam edək. DOS/DDOS hücumlarının kiberhücumun yalnız bir növü olduğunu başa düşməlisiniz.

DOS/DDOS mühafizəsinə əlavə olaraq, bizdə aşağıdakı xüsusiyyətlər siyahısına bənzər bir şey də ola bilər:

  • proqram firewalling
  • təhlükənin qarşısının alınması (antivirus, anti-casus proqram və zəiflik)
  • URL filtrlənməsi
  • məlumatların filtrasiyası (məzmun filtri)
  • faylın bloklanması (fayl növlərinin bloklanması)

Bu siyahıdan sizə nə lazım olduğuna qərar vermək sizin ixtiyarınızdadır.

Davam etmək

Mənbə: www.habr.com

Добавить комментарий