ProHoster > Блог > Pagdumala > Giunsa pagdumala ang imong imprastraktura sa network. Ikatulo nga kapitulo. Seguridad sa network. Ikaduhang bahin

Giunsa pagdumala ang imong imprastraktura sa network. Ikatulo nga kapitulo. Seguridad sa network. Ikaduhang bahin

Kini nga artikulo mao ang ikaupat sa serye nga "Unsaon Pagkontrol sa Imong Network Infrastructure." Ang sulod sa tanang artikulo sa serye ug mga link makita dinhi.

В ang una nga bahin Niini nga kapitulo, among gitan-aw ang pipila ka mga aspeto sa seguridad sa network sa bahin sa Data Center. Kini nga bahin igahin sa "Internet Access" nga bahin.

Giunsa pagdumala ang imong imprastraktura sa network. Ikatulo nga kapitulo. Seguridad sa network. Ikaduhang bahin

Access sa Internet

Ang hilisgutan sa seguridad sa walay duhaduha usa sa labing komplikado nga mga hilisgutan sa kalibutan sa mga network sa datos. Sama sa nangaging mga kaso, nga wala’y pag-angkon nga giladmon ug kompleto, akong ikonsiderar dinhi nga yano ra, apan, sa akong opinyon, hinungdanon nga mga pangutana, ang mga tubag nga, nanghinaut ko, makatabang sa pagpataas sa lebel sa seguridad sa imong network.

Sa pag-audit niini nga bahin, pagtagad sa mosunod nga mga aspeto:

  • disenyo
  • Mga setting sa BGP
  • Proteksyon sa DOS/DDOS
  • pagsala sa trapiko sa firewall

disenyo

Isip usa ka pananglitan sa disenyo niini nga bahin alang sa usa ka network sa negosyo, akong irekomendar giya gikan sa Cisco sa sulod LUWAS nga mga modelo.

Siyempre, tingali ang solusyon sa ubang mga tigbaligya ingon og mas madanihon kanimo (tan-awa. Gartner Quadrant 2018), apan sa walay pag-awhag kanimo sa pagsunod niini nga disenyo sa detalye, nakita gihapon nako nga mapuslanon ang pagsabot sa mga prinsipyo ug mga ideya luyo niini.

Mubo nga sulat

Sa SAFE, ang "Remote Access" nga bahin kabahin sa "Internet Access" nga bahin. Apan niining serye sa mga artikulo atong hisgotan kini nga gilain.

Ang sumbanan nga set sa kagamitan sa kini nga bahin alang sa usa ka network sa negosyo mao ang

  • mga router sa utlanan
  • mga firewall

Pahayag 1

Niini nga serye sa mga artikulo, kung maghisgot ako bahin sa mga firewall, gipasabut nako NGFW.

Pahayag 2

Dili nako konsiderahon ang nagkalain-laing klase sa L2/L1 o overlay L2 sa L3 nga mga solusyon nga gikinahanglan aron maseguro ang L1/L2 nga koneksyon ug limitahan ang akong kaugalingon sa mga isyu sa L3 level ug pataas. Partially, L1/L2 nga mga isyu ang gihisgutan sa kapitulo "Paglimpyo ug Dokumentasyon".

Kung wala ka nakit-an nga firewall sa kini nga bahin, nan dili ka kinahanglan magdali sa mga konklusyon.

Buhaton nato ang sama sa sa miaging bahinMagsugod kita sa pangutana: kinahanglan ba nga mogamit usa ka firewall sa kini nga bahin sa imong kaso?

Makaingon ko nga ingon og kini ang labing makatarunganon nga lugar aron magamit ang mga firewall ug magamit ang komplikado nga mga algorithm sa pagsala sa trapiko. SA bahin 1 Gihisgutan namon ang 4 nga mga hinungdan nga mahimong makabalda sa paggamit sa mga firewall sa bahin sa data center. Apan dinhi sila dili na kaayo mahinungdanon.

Pananglitan 1. Paglangay

Kutob sa Internet, wala’y kapuslanan ang paghisgot bahin sa mga paglangan bisan mga 1 millisecond. Busa, ang pagkalangan sa kini nga bahin dili mahimong hinungdan nga naglimite sa paggamit sa firewall.

Pananglitan 2. Pag-uswag

Sa pipila ka mga kaso kini nga hinungdan mahimong hinungdanon gihapon. Busa, kinahanglan nimo nga tugutan ang pipila ka trapiko (pananglitan, trapiko gikan sa mga balanse sa pagkarga) nga makalikay sa firewall.

Pananglitan 3. Kasaligan

Kini nga butang kinahanglan pa nga tagdon, apan bisan pa, tungod sa dili kasaligan sa Internet mismo, ang kahinungdanon niini alang sa kini nga bahin dili sama ka hinungdanon sa data center.

Busa, isipon nato nga ang imong serbisyo nagpuyo sa ibabaw sa http/https (nga adunay mugbo nga mga sesyon). Sa kini nga kaso, mahimo nimong gamiton ang duha nga independente nga mga kahon (walay HA) ug kung adunay problema sa ruta sa usa niini, ibalhin ang tanan nga trapiko sa ikaduha.

O mahimo nimong gamiton ang mga firewall sa transparent mode ug, kung mapakyas sila, tugoti ang trapiko nga makalikay sa firewall samtang gisulbad ang problema.

Busa, lagmit lang ang presyo tingali ang hinungdan nga makapugos kanimo sa pagbiya sa paggamit sa mga firewall sa kini nga bahin.

Importante!

Adunay usa ka tintasyon sa paghiusa niini nga firewall sa data center firewall (gamit ang usa ka firewall alang niini nga mga bahin). Ang solusyon, sa prinsipyo, posible, apan kinahanglan nimo nga masabtan kana tungod kay Ang usa ka firewall sa Internet Access sa tinuud naa sa unahan sa imong depensa ug "nagkuha" labing menos pipila sa mga makadaot nga trapiko, nan, siyempre, kinahanglan nimo nga tagdon ang dugang nga peligro nga kini nga firewall ma-disable. Kana mao, pinaagi sa paggamit sa parehas nga mga aparato sa niining duha nga mga bahin, makunhuran nimo ang pagkaanaa sa imong bahin sa sentro sa datos.

Sama sa kanunay, kinahanglan nimong masabtan nga depende sa serbisyo nga gihatag sa kompanya, ang disenyo sa kini nga bahin mahimong magkalainlain. Sama sa naandan, makapili ka ug lain-laing mga paagi depende sa imong mga kinahanglanon.

Pananglitan:

Kon ikaw usa ka content provider, nga adunay CDN network (tan-awa, pananglitan, serye sa mga artikulo), unya dili nimo gusto nga maghimo mga imprastraktura sa daghang mga dosena o bisan gatosan nga mga punto sa presensya gamit ang lainlaing mga aparato alang sa pagruta ug pagsala sa trapiko. Kini mahimong mahal, ug kini mahimo nga dili kinahanglan.

Alang sa BGP dili nimo kinahanglan nga adunay mga dedikado nga mga router, mahimo nimong gamiton ang mga himan nga bukas nga gigikanan sama sa Quagga. Busa tingali ang tanan nga imong gikinahanglan mao ang usa ka server o daghang mga server, usa ka switch ug BGP.

Sa kini nga kaso, ang imong server o daghang mga server mahimong magdula sa papel nga dili lamang usa ka CDN server, apan usa usab ka router. Siyempre, aduna pa'y daghang mga detalye (sama sa kung unsaon pagsiguro sa pagbalanse), apan kini mahimo, ug kini usa ka pamaagi nga malampuson natong gigamit alang sa usa sa atong mga kauban.

Mahimo kang adunay daghang mga sentro sa datos nga adunay hingpit nga proteksyon (mga firewall, mga serbisyo sa pagpanalipod sa DDOS nga gihatag sa imong mga provider sa Internet) ug mga dosena o gatusan nga "gisimple" nga mga punto sa presensya nga adunay mga L2 switch ug server lamang.

Apan komosta ang panalipod niini nga kaso?

Atong tan-awon, pananglitan, ang bag-o nga popular Pag-atake sa DNS Amplification DDOS. Ang kapeligrohan niini anaa sa kamatuoran nga ang usa ka dako nga gidaghanon sa trapiko namugna, nga yano nga "nagbara" sa 100% sa tanan nimong mga uplink.

Unsa ang naa kanato sa kaso sa atong disenyo.

  • kung mogamit ka sa AnyCast, nan ang trapiko ipanghatag taliwala sa imong mga punto sa presensya. Kung ang imong total nga bandwidth mga terabit, nan kini mismo sa tinuud (bisan pa, bag-ohay lang adunay daghang mga pag-atake nga adunay makadaot nga trapiko sa han-ay sa mga terabit) nanalipod kanimo gikan sa "nag-awas" nga mga uplink
  • Kung, bisan pa, ang pipila nga mga uplink mahimong barado, nan imong tangtangon kini nga site gikan sa serbisyo (hunong ang pag-anunsyo sa prefix)
  • mahimo usab nimo nga madugangan ang bahin sa trapiko nga gipadala gikan sa imong "puno" (ug, sumala niana, gipanalipdan) nga mga sentro sa datos, sa ingon nagtangtang sa usa ka hinungdanon nga bahin sa makadaot nga trapiko gikan sa wala’y proteksyon nga mga punto sa presensya

Ug usa pa ka gamay nga nota sa kini nga pananglitan. Kung nagpadala ka ug igo nga trapiko pinaagi sa mga IX, nan kini usab makapakunhod sa imong pagkahuyang sa ingon nga mga pag-atake

Pag-set up sa BGP

Adunay duha ka mga hilisgutan dinhi.

  • Pagkadugtong
  • Pag-set up sa BGP

Naghisgot na kami gamay bahin sa koneksyon sa bahin 1. Ang punto mao ang pagsiguro nga ang trapiko sa imong mga kostumer nagsunod sa labing kaayo nga agianan. Bisan kung ang kamahinungdanon dili kanunay bahin sa latency, ang ubos nga latency kasagaran ang panguna nga timailhan sa kamalaumon. Alang sa pipila ka mga kompanya kini mas hinungdanon, alang sa uban kini dili kaayo. Kini tanan nagdepende sa serbisyo nga imong gihatag.

sa panig-ingnan 1

Kung ikaw usa ka pagbinayloay, ug ang mga agwat sa oras nga wala’y mga millisecond hinungdanon sa imong mga kliyente, nan, siyempre, wala’y bisan unsang paghisgot sa bisan unsang klase sa Internet.

sa panig-ingnan 2

Kung ikaw usa ka kompanya sa pagdula ug napulo ka millisecond ang hinungdanon kanimo, nan, siyempre, ang koneksyon hinungdanon kaayo kanimo.

sa panig-ingnan 3

Kinahanglan sab nimong sabton nga, tungod sa mga kabtangan sa TCP protocol, ang data transfer rate sulod sa usa ka TCP session nagdepende usab sa RTT (Round Trip Time). Gitukod usab ang mga network sa CDN aron masulbad kini nga problema pinaagi sa pagbalhin sa mga server sa pag-apod-apod sa sulud nga mas duol sa konsumedor niini nga sulud.

Ang pagtuon sa koneksyon usa ka makapaikag nga hilisgutan sa kaugalingon nga katungod, takus sa kaugalingon nga artikulo o serye sa mga artikulo, ug nanginahanglan usa ka maayo nga pagsabut kung giunsa ang Internet "nagtrabaho."

Mapuslanon nga mga kapanguhaan:

hinog.net
bgp.he.net

Pananglitan:

Maghatag lang ko og usa ka gamay nga pananglitan.

Ibutang ta nga ang imong data center nahimutang sa Moscow, ug ikaw adunay usa ka uplink - Rostelecom (AS12389). Niini nga kaso (single homed) dili nimo kinahanglan ang BGP, ug lagmit imong gamiton ang address pool gikan sa Rostelecom isip mga adres sa publiko.

Ibutang ta nga naghatag ka usa ka piho nga serbisyo, ug adunay ka igo nga gidaghanon sa mga kliyente gikan sa Ukraine, ug nagreklamo sila bahin sa taas nga mga paglangan. Atol sa imong panukiduki, imong nahibal-an nga ang mga IP address sa pipila niini anaa sa 37.52.0.0/21 grid.

Pinaagi sa pagpadagan sa usa ka traceroute, imong nakita nga ang trapiko miagi sa AS1299 (Telia), ug pinaagi sa pagpadagan sa usa ka ping, nakuha nimo ang kasagarang RTT nga 70 - 80 milliseconds. Makita usab nimo kini sa pagtan-aw sa bildo nga Rostelecom.

Gamit ang whois utility (sa ripe.net o usa ka lokal nga utility), dali nimong mahibal-an nga ang block 37.52.0.0/21 iya sa AS6849 (Ukrtelecom).

Sunod, pinaagi sa pag-adto sa bgp.he.net imong nakita nga ang AS6849 walay relasyon sa AS12389 (dili sila mga kliyente o mga uplink sa usag usa, ni sila adunay peering). Apan kung imong tan-awon listahan sa mga kaedad para sa AS6849, imong makita, pananglitan, AS29226 (Mastertel) ug AS31133 (Megafon).

Kung makit-an nimo ang pagtan-aw nga baso sa kini nga mga provider, mahimo nimong itandi ang agianan ug RTT. Pananglitan, alang sa Mastertel RTT mahimong mga 30 milliseconds.

Mao nga, kung ang kalainan tali sa 80 ug 30 millisecond hinungdanon alang sa imong serbisyo, nan tingali kinahanglan nimo nga hunahunaon ang bahin sa koneksyon, kuhaa ang imong numero sa AS, imong address pool gikan sa RIPE ug ikonekta ang dugang nga mga uplink ug / o paghimo mga punto sa presensya sa mga IX.

Kung mogamit ka sa BGP, dili lamang ikaw adunay higayon nga mapaayo ang koneksyon, apan labi ka usab nga magpadayon sa imong koneksyon sa Internet.

Kini nga dokumento adunay mga rekomendasyon alang sa pag-configure sa BGP. Bisan pa sa kamatuoran nga kini nga mga rekomendasyon gimugna base sa "labing maayo nga praktis" sa mga providers, bisan pa niana (kung ang imong mga setting sa BGP dili kaayo sukaranan) kini sa walay duhaduha mapuslanon ug sa pagkatinuod kinahanglan nga kabahin sa pagpatig-a nga atong gihisgutan sa ang una nga bahin.

Proteksyon sa DOS/DDOS

Karon ang mga pag-atake sa DOS/DDOS nahimong usa ka adlaw-adlaw nga kamatuoran alang sa daghang mga kompanya. Sa tinuud, kanunay ka nga giatake sa usa ka porma o lain. Ang kamatuoran nga wala pa nimo kini namatikdan nagpasabot lamang nga ang usa ka gipunting nga pag-atake wala pa maorganisar batok kanimo, ug nga ang mga himan sa pagpanalipod nga imong gigamit, bisan tingali wala ka mahibalo niini (lain-laing mga built-in nga proteksyon sa mga operating system), igo sa pagsiguro nga ang pagkadaot sa serbisyo nga gihatag maminusan alang kanimo ug sa imong mga kliyente.

Adunay mga kapanguhaan sa Internet nga, base sa mga log sa kagamitan, nagdrowing og matahum nga mga mapa sa pag-atake sa tinuud nga oras.

kini mao ang makit-an nimo ang mga link sa kanila.

Akong paborito card gikan sa CheckPoint.

Ang proteksyon batok sa DDOS/DOS kasagarang layered. Aron masabtan kung ngano, kinahanglan nimong masabtan kung unsang mga klase sa pag-atake sa DOS/DDOS ang naglungtad (tan-awa, pananglitan, dinhi o dinhi)

Sa ato pa, aduna kitay tulo ka matang sa pag-atake:

  • volumetric nga pag-atake
  • pag-atake sa protocol
  • pag-atake sa aplikasyon

Kung mapanalipdan nimo ang imong kaugalingon gikan sa katapusang duha ka mga matang sa pag-atake gamit, pananglitan, mga firewall, nan dili nimo mapanalipdan ang imong kaugalingon gikan sa mga pag-atake nga gitumong sa "pag-ayo" sa imong mga uplink (siyempre, kung ang imong kinatibuk-ang kapasidad sa mga channel sa Internet dili kalkulado sa terabits, o mas maayo pa, sa napulo ka terabit).

Busa, ang unang linya sa depensa mao ang panalipod batok sa "volumetric" nga mga pag-atake, ug ang imong provider o providers kinahanglang mohatag niini nga proteksyon kanimo. Kung wala pa nimo kini nahibal-an, swerte ka lang karon.

Pananglitan:

Ingnon ta nga ikaw adunay daghang mga uplink, apan usa ra sa mga provider ang makahatag kanimo niini nga proteksyon. Apan kung ang tanan nga trapiko moagi sa usa ka tighatag, nan unsa ang bahin sa koneksyon nga among gihisgutan sa makadiyot sa sayo pa?

Sa kini nga kaso, kinahanglan nimo nga isakripisyo ang usa ka bahin sa pagkonekta sa panahon sa pag-atake. Apan

  • kini alang lamang sa gidugayon sa pag-atake. Kung adunay pag-atake, mahimo nimo nga mano-mano o awtomatiko nga i-reconfigure ang BGP aron ang trapiko moagi lamang sa provider nga naghatag kanimo sa "payong". Pagkahuman sa pag-atake, mahimo nimong ibalik ang ruta sa miaging kahimtang
  • Dili kinahanglan nga ibalhin ang tanan nga trapiko. Kung, pananglitan, imong makita nga walay mga pag-atake pinaagi sa pipila ka mga uplink o mga peering (o ang trapiko dili mahinungdanon), mahimo nimong ipadayon ang pag-anunsyo sa mga prefix nga adunay kompetisyon nga mga kinaiya ngadto niining mga silingan sa BGP.

Mahimo usab nimo nga itugyan ang proteksyon gikan sa "mga pag-atake sa protocol" ug "mga pag-atake sa aplikasyon" sa imong mga kauban.
dinhi dinhi makabasa ka ug maayong pagtuon (hubad). Tinuod, ang artikulo duha na ka tuig, apan maghatag kini kanimo usa ka ideya sa mga pamaagi kung giunsa nimo mapanalipdan ang imong kaugalingon gikan sa mga pag-atake sa DDOS.

Sa prinsipyo, mahimo nimong limitahan ang imong kaugalingon niini, hingpit nga outsourcing ang imong proteksyon. Adunay mga bentaha sa kini nga desisyon, apan adunay usab usa ka klaro nga disbentaha. Ang kamatuoran mao nga mahimo kitang maghisgot (pag-usab, depende sa gibuhat sa imong kompanya) bahin sa pagkaluwas sa negosyo. Ug isalig ang ingon nga mga butang sa mga ikatulo nga partido ...

Busa, atong tan-awon kon sa unsang paagi sa pag-organisar sa ikaduha ug ikatulo nga linya sa depensa (ingon nga dugang sa panalipod gikan sa provider).

Mao nga, ang ikaduhang linya sa depensa mao ang pagsala ug mga limiter sa trapiko (mga polis) sa entrada sa imong network.

sa panig-ingnan 1

Ibutang ta nga imong gitabonan ang imong kaugalingon sa usa ka payong batok sa DDOS sa tabang sa usa sa mga providers. Ibutang nato nga kini nga provider naggamit sa Arbor aron sa pagsala sa trapiko ug mga pagsala sa daplin sa iyang network.

Ang bandwidth nga "maproseso" sa Arbor limitado, ug ang tighatag, siyempre, dili kanunay nga makapasa sa trapiko sa tanan nga mga kauban niini nga nag-order niini nga serbisyo pinaagi sa mga kagamitan sa pagsala. Busa, ubos sa normal nga mga kondisyon, ang trapiko wala masala.

Ibutang nato nga adunay SYN flood attack. Bisan kung nag-order ka usa ka serbisyo nga awtomatiko nga gibalhin ang trapiko sa pagsala kung adunay pag-atake, dili kini mahitabo dayon. Sulod sa usa ka minuto o labaw pa magpabilin ka nga giatake. Ug kini mahimong mosangpot sa kapakyasan sa imong kagamitan o pagkadaot sa serbisyo. Sa kini nga kaso, ang paglimite sa trapiko sa daplin nga ruta, bisan kung kini modala sa kamatuoran nga ang pipila nga mga sesyon sa TCP dili ma-establisar niining panahona, makaluwas sa imong imprastraktura gikan sa dagkong mga problema.

sa panig-ingnan 2

Ang dili normal nga daghang gidaghanon sa mga pakete sa SYN mahimo’g dili lamang resulta sa usa ka pag-atake sa baha sa SYN. Ibutang ta nga naghatag ka usa ka serbisyo diin mahimo nimong dungan nga adunay mga 100 ka libo nga koneksyon sa TCP (sa usa ka sentro sa datos).

Ingnon ta nga isip resulta sa usa ka hamubo nga problema sa usa sa imong mga nag-unang provider, ang katunga sa imong mga sesyon gisipa. Kung ang imong aplikasyon gidisenyo sa paagi nga, nga wala maghunahuna sa makaduha, kini dayon (o pagkahuman sa pila ka oras nga agwat nga parehas alang sa tanan nga mga sesyon) mosulay sa pag-establisar pag-usab sa koneksyon, nan makadawat ka labing menos 50 ka libo nga mga pakete sa SYN nga gibanabana. dungan.

Kung, pananglitan, kinahanglan nimong ipadagan ang ssl/tls handshake sa ibabaw niini nga mga sesyon, nga naglakip sa pagbinayloay sa mga sertipiko, nan gikan sa punto sa pagtan-aw sa paghurot sa mga kapanguhaan alang sa imong load balancer, kini usa ka labi ka kusgan nga "DDOS" kaysa usa ka yano. SYN baha. Ingon og ang mga balanse kinahanglan nga magdumala sa ingon nga mga panghitabo, apan ... sa kasubo, nag-atubang kami sa ingon nga problema.

Ug, siyempre, ang usa ka pulis sa edge nga router makaluwas usab sa imong kagamitan sa kini nga kaso.

Ang ikatulo nga lebel sa proteksyon batok sa DDOS/DOS mao ang imong mga setting sa firewall.

Dinhi mahimo nimong hunongon ang duha nga pag-atake sa ikaduha ug ikatulo nga tipo. Sa kinatibuk-an, ang tanan nga makaabot sa firewall mahimong masala dinhi.

Tip

Sulayi ang paghatag sa firewall og gamay nga trabaho kutob sa mahimo, pagsala kutob sa mahimo sa unang duha ka linya sa depensa. Ug mao na.

Nahitabo na ba kanimo nga sa higayon, samtang nagmugna og trapiko aron masusi, pananglitan, kung unsa ka resistensya ang operating system sa imong mga server sa mga pag-atake sa DDOS, "gipatay" nimo ang imong firewall, gikarga kini sa 100 porsyento, nga adunay trapiko sa normal nga intensity ? Kung dili, tingali tungod lang kay wala ka nakasulay?

Sa kinatibuk-an, ang usa ka firewall, sama sa akong giingon, usa ka komplikado nga butang, ug kini molihok nga maayo sa nahibal-an nga mga kahuyangan ug nasulayan nga mga solusyon, apan kung nagpadala ka usa ka butang nga dili kasagaran, pipila ra nga basura o mga pakete nga adunay dili husto nga mga ulohan, nan kauban ka sa pipila, dili Uban ingon ka gamay nga kalagmitan (base sa akong kasinatian), mahimo nimong stupefy bisan ang top-end nga kagamitan. Busa, sa stage 2, gamit ang regular nga mga ACL (sa L3/L4 nga lebel), tugoti lamang ang trapiko sa imong network nga kinahanglan mosulod didto.

Pagsala sa trapiko sa firewall

Atong ipadayon ang panag-istoryahanay bahin sa firewall. Kinahanglan nimong masabtan nga ang mga pag-atake sa DOS/DDOS usa lang ka matang sa cyber attack.

Dugang pa sa proteksyon sa DOS/DDOS, mahimo usab nga adunay sama sa mosunod nga lista sa mga bahin:

  • aplikasyon nga firewall
  • paglikay sa hulga (antivirus, anti-spyware, ug pagkahuyang)
  • Pagsala sa URL
  • pagsala sa datos (pagsala sa sulod)
  • pag-block sa file (pag-block sa mga tipo sa file)

Anaa kanimo ang pagdesisyon kung unsa ang imong kinahanglan gikan sa kini nga lista.

Aron magpadayon

Source: www.habr.com

Idugang sa usa ka comment