ProHoster > Blog > Verwaltung > So übernehmen Sie die Kontrolle über Ihre Netzwerkinfrastruktur. Kapitel drei. Netzwerksicherheit. Zweiter Teil

So übernehmen Sie die Kontrolle über Ihre Netzwerkinfrastruktur. Kapitel drei. Netzwerksicherheit. Zweiter Teil

Dieser Artikel ist der vierte in der Reihe „So übernehmen Sie die Kontrolle über Ihre Netzwerkinfrastruktur“. Den Inhalt aller Artikel der Reihe und Links finden Sie hier hier.

В der erste Teil In diesem Kapitel haben wir einige Aspekte der Netzwerksicherheit im Rechenzentrumssegment betrachtet. Dieser Teil ist dem Segment „Internetzugang“ gewidmet.

So übernehmen Sie die Kontrolle über Ihre Netzwerkinfrastruktur. Kapitel drei. Netzwerksicherheit. Zweiter Teil

Internetzugang

Das Thema Sicherheit ist zweifellos eines der komplexesten Themen in der Welt der Datennetzwerke. Wie in den vorherigen Fällen werde ich hier ohne Anspruch auf Tiefe und Vollständigkeit ganz einfache, aber meiner Meinung nach wichtige Fragen betrachten, deren Antworten hoffentlich dazu beitragen werden, das Sicherheitsniveau Ihres Netzwerks zu erhöhen.

Achten Sie bei der Prüfung dieses Segments auf folgende Aspekte:

  • Design
  • BGP-Einstellungen
  • DOS/DDOS-Schutz
  • Verkehrsfilterung in der Firewall

Design

Als Beispiel für die Gestaltung dieses Segments für ein Unternehmensnetzwerk würde ich empfehlen руководство von Cisco innerhalb SAFE-Modelle.

Natürlich erscheint Ihnen vielleicht die Lösung anderer Anbieter attraktiver (siehe. Gartner Quadrant 2018), aber ohne Sie zu ermutigen, diesem Entwurf im Detail zu folgen, finde ich es dennoch nützlich, die Prinzipien und Ideen dahinter zu verstehen.

Hinweis:

Bei SAFE ist das Segment „Remote Access“ Teil des Segments „Internet Access“. Aber in dieser Artikelserie werden wir es gesondert betrachten.

Die Standardausrüstung in diesem Segment für ein Unternehmensnetzwerk ist

  • Grenzrouter
  • Firewalls

Anmerkung 1

Wenn ich in dieser Artikelserie über Firewalls spreche, meine ich NGFW.

Anmerkung 2

Ich verzichte auf die Betrachtung verschiedener Arten von L2/L1- oder Overlay-L2-über-L3-Lösungen, die zur Gewährleistung der L1/L2-Konnektivität erforderlich sind, und beschränke mich nur auf Probleme auf der L3-Ebene und darüber. Teilweise wurden L1/L2-Probleme im Kapitel „Reinigung und Dokumentation«.

Wenn Sie in diesem Segment keine Firewall gefunden haben, sollten Sie keine voreiligen Schlüsse ziehen.

Machen wir das Gleiche wie in vorherigen AbschnittBeginnen wir mit der Frage: Ist in Ihrem Fall der Einsatz einer Firewall in diesem Segment erforderlich?

Ich kann sagen, dass dies der am besten geeignete Ort für den Einsatz von Firewalls und die Anwendung komplexer Verkehrsfilteralgorithmen zu sein scheint. IN Teile von 1 Wir haben vier Faktoren erwähnt, die den Einsatz von Firewalls im Rechenzentrumssegment beeinträchtigen können. Aber hier sind sie nicht mehr so ​​​​bedeutsam.

Beispiel 1. Verzögert

Was das Internet betrifft, ist es sinnlos, von Verzögerungen von auch nur etwa einer Millisekunde zu sprechen. Daher kann die Verzögerung in diesem Segment kein Faktor sein, der die Verwendung der Firewall einschränkt.

Beispiel 2. Leistung

In manchen Fällen kann dieser Faktor dennoch von Bedeutung sein. Daher müssen Sie möglicherweise zulassen, dass ein Teil des Datenverkehrs (z. B. Datenverkehr von Load Balancern) die Firewall umgeht.

Beispiel 3. Zuverlässigkeit

Dieser Faktor muss noch berücksichtigt werden, aber angesichts der Unzuverlässigkeit des Internets selbst ist seine Bedeutung für dieses Segment nicht so wichtig wie für das Rechenzentrum.

Nehmen wir also an, dass Ihr Dienst auf http/https basiert (mit kurzen Sitzungen). In diesem Fall können Sie zwei unabhängige Boxen (ohne HA) verwenden und bei einem Routing-Problem bei einer davon den gesamten Datenverkehr auf die zweite übertragen.

Oder Sie können Firewalls im transparenten Modus verwenden und bei einem Ausfall den Datenverkehr an der Firewall vorbei zulassen und gleichzeitig das Problem lösen.

Daher höchstwahrscheinlich einfach Preis kann der Faktor sein, der Sie dazu zwingt, in diesem Segment auf den Einsatz von Firewalls zu verzichten.

Wichtig!

Es besteht die Versuchung, diese Firewall mit der Firewall des Rechenzentrums zu kombinieren (verwenden Sie eine Firewall für diese Segmente). Die Lösung ist im Prinzip möglich, aber man muss das denn verstehen Eine Internet-Zugangs-Firewall steht tatsächlich an vorderster Front Ihrer Verteidigung und „nimmt“ zumindest einen Teil des bösartigen Datenverkehrs auf. Dann müssen Sie natürlich das erhöhte Risiko berücksichtigen, dass diese Firewall deaktiviert wird. Das heißt, durch die Verwendung derselben Geräte in diesen beiden Segmenten reduzieren Sie die Verfügbarkeit Ihres Rechenzentrumssegments erheblich.

Wie immer müssen Sie verstehen, dass die Gestaltung dieses Segments je nach Service, den das Unternehmen anbietet, stark variieren kann. Wie immer können Sie je nach Ihren Anforderungen unterschiedliche Vorgehensweisen wählen.

Beispiel

Wenn Sie ein Inhaltsanbieter mit einem CDN-Netzwerk sind (siehe zum Beispiel Artikelserie), dann möchten Sie vielleicht keine Infrastruktur über Dutzende oder sogar Hunderte von Points of Presence aufbauen, indem Sie separate Geräte für die Weiterleitung und Filterung des Datenverkehrs verwenden. Es wird teuer und möglicherweise einfach unnötig sein.

Für BGP müssen Sie nicht unbedingt über dedizierte Router verfügen, Sie können Open-Source-Tools wie verwenden Quagga. Vielleicht brauchen Sie also nur einen oder mehrere Server, einen Switch und BGP.

In diesem Fall kann Ihr Server oder mehrere Server nicht nur die Rolle eines CDN-Servers, sondern auch eines Routers übernehmen. Natürlich gibt es noch viele Details (z. B. wie man den Ausgleich sicherstellt), aber es ist machbar und ein Ansatz, den wir erfolgreich für einen unserer Partner eingesetzt haben.

Sie können über mehrere Rechenzentren mit umfassendem Schutz (Firewalls, DDOS-Schutzdienste Ihrer Internetprovider) und Dutzende oder Hunderte von „vereinfachten“ Points of Presence mit nur L2-Switches und -Servern verfügen.

Doch wie sieht es in diesem Fall mit dem Schutz aus?

Schauen wir uns zum Beispiel das kürzlich beliebte an DNS-Amplification-DDOS-Angriff. Die Gefahr besteht darin, dass eine große Menge an Verkehr erzeugt wird, der einfach 100 % aller Ihrer Uplinks „verstopft“.

Was haben wir bei unserem Design?

  • Wenn Sie AnyCast verwenden, wird der Datenverkehr zwischen Ihren Präsenzpunkten verteilt. Wenn Ihre Gesamtbandbreite Terabit beträgt, dann schützt Sie dies an sich schon vor „überlaufenden“ Uplinks (in letzter Zeit gab es jedoch mehrere Angriffe mit bösartigem Datenverkehr in der Größenordnung von Terabit).
  • Wenn jedoch einige Uplinks verstopft sind, entfernen Sie diese Site einfach aus dem Dienst (stellen Sie die Werbung für das Präfix ein).
  • Sie können auch den Anteil des Datenverkehrs erhöhen, der von Ihren „vollen“ (und entsprechend geschützten) Rechenzentren gesendet wird, und so einen erheblichen Teil des böswilligen Datenverkehrs von ungeschützten Präsenzpunkten entfernen

Und noch eine kleine Anmerkung zu diesem Beispiel. Wenn Sie genügend Datenverkehr über IXs senden, verringert sich auch Ihre Anfälligkeit für solche Angriffe

BGP einrichten

Hier gibt es zwei Themen.

  • Konnektivität
  • BGP einrichten

Wir haben bereits ein wenig über Konnektivität gesprochen Teile von 1. Es geht darum sicherzustellen, dass der Traffic zu Ihren Kunden dem optimalen Weg folgt. Obwohl es bei der Optimalität nicht immer nur um die Latenz geht, ist eine niedrige Latenz normalerweise der Hauptindikator für die Optimalität. Für einige Unternehmen ist dies wichtiger, für andere weniger. Es hängt alles von der Dienstleistung ab, die Sie anbieten.

Beispiel 1

Wenn Sie eine Börse sind und Ihren Kunden Zeitintervalle von weniger als Millisekunden wichtig sind, kann von Internet natürlich überhaupt keine Rede sein.

Beispiel 2

Wenn Sie ein Gaming-Unternehmen sind und Ihnen Zehntel-Millisekunden wichtig sind, dann ist die Konnektivität für Sie natürlich sehr wichtig.

Beispiel 3

Sie müssen außerdem verstehen, dass aufgrund der Eigenschaften des TCP-Protokolls die Datenübertragungsrate innerhalb einer TCP-Sitzung auch von der RTT (Round Trip Time) abhängt. CDN-Netzwerke werden ebenfalls aufgebaut, um dieses Problem zu lösen, indem die Content-Verteilungsserver näher an den Konsumenten dieser Inhalte heranrücken.

Das Studium der Konnektivität ist ein interessantes Thema für sich, das einen eigenen Artikel oder eine eigene Artikelserie verdient und ein gutes Verständnis davon erfordert, wie das Internet „funktioniert“.

Nützliche Ressourcen:

ripe.net
bgp.he.net

Beispiel

Ich gebe nur ein kleines Beispiel.

Nehmen wir an, dass sich Ihr Rechenzentrum in Moskau befindet und Sie über einen einzigen Uplink verfügen – Rostelecom (AS12389). In diesem Fall (Single Homed) benötigen Sie kein BGP und verwenden höchstwahrscheinlich den Adresspool von Rostelecom als öffentliche Adressen.

Nehmen wir an, Sie erbringen eine bestimmte Dienstleistung und haben eine ausreichende Anzahl von Kunden aus der Ukraine, die sich über lange Verzögerungen beschweren. Bei Ihrer Recherche haben Sie herausgefunden, dass die IP-Adressen einiger von ihnen im Raster 37.52.0.0/21 liegen.

Durch Ausführen einer Traceroute haben Sie gesehen, dass der Datenverkehr über AS1299 (Telia) lief, und durch Ausführen eines Pings haben Sie eine durchschnittliche RTT von 70–80 Millisekunden erhalten. Sie können dies auch unter sehen Spiegel Rostelecom.

Mithilfe des Dienstprogramms whois (auf reife.net oder einem lokalen Dienstprogramm) können Sie leicht feststellen, dass Block 37.52.0.0/21 zu AS6849 (Ukrtelecom) gehört.

Als nächstes gehen Sie zu bgp.he.net Sie sehen, dass AS6849 keine Beziehung zu AS12389 hat (sie sind weder Clients noch Uplinks untereinander, noch verfügen sie über Peering). Aber wenn man hinschaut Liste der Kollegen für AS6849 sehen Sie beispielsweise AS29226 (Mastertel) und AS31133 (Megafon).

Sobald Sie den Spiegel dieser Anbieter gefunden haben, können Sie den Pfad und die RTT vergleichen. Für Mastertel beträgt die RTT beispielsweise etwa 30 Millisekunden.

Wenn also der Unterschied zwischen 80 und 30 Millisekunden für Ihren Dienst erheblich ist, müssen Sie möglicherweise über die Konnektivität nachdenken, Ihre AS-Nummer und Ihren Adresspool von RIPE erhalten und zusätzliche Uplinks verbinden und/oder Points of Presence auf IXs erstellen.

Wenn Sie BGP nutzen, haben Sie nicht nur die Möglichkeit, die Konnektivität zu verbessern, sondern halten auch Ihre Internetverbindung redundant aufrecht.

Dieses Dokument enthält Empfehlungen zur Konfiguration von BGP. Trotz der Tatsache, dass diese Empfehlungen auf der Grundlage der „Best Practice“ der Anbieter entwickelt wurden, sind sie dennoch (wenn Ihre BGP-Einstellungen nicht ganz einfach sind) zweifellos nützlich und sollten tatsächlich Teil der Härtung sein, die wir in besprochen haben der erste Teil.

DOS/DDOS-Schutz

Mittlerweile sind DOS/DDOS-Angriffe für viele Unternehmen zur alltäglichen Realität geworden. Tatsächlich werden Sie ziemlich oft in der einen oder anderen Form angegriffen. Die Tatsache, dass Sie dies noch nicht bemerkt haben, bedeutet nur, dass noch kein gezielter Angriff gegen Sie organisiert wurde und dass die Schutzmaßnahmen, die Sie nutzen, auch ohne es zu wissen (verschiedene integrierte Schutzmaßnahmen von Betriebssystemen), ausreichen Stellen Sie sicher, dass die Verschlechterung des bereitgestellten Service für Sie und Ihre Kunden minimiert wird.

Es gibt Internetressourcen, die auf der Grundlage von Geräteprotokollen in Echtzeit schöne Angriffskarten zeichnen.

Hier Sie können Links dazu finden.

Meine Liebste Karte von CheckPoint.

Der Schutz vor DDOS/DOS ist normalerweise mehrschichtig. Um zu verstehen, warum, müssen Sie verstehen, welche Arten von DOS/DDOS-Angriffen es gibt (siehe zum Beispiel hier oder hier)

Das heißt, wir haben drei Arten von Angriffen:

  • volumetrische Angriffe
  • Protokollangriffe
  • Anwendungsangriffe

Wenn Sie sich beispielsweise durch Firewalls vor den letzten beiden Arten von Angriffen schützen können, können Sie sich nicht vor Angriffen schützen, die darauf abzielen, Ihre Uplinks zu „überfordern“ (natürlich, wenn Ihre Gesamtkapazität an Internetkanälen nicht in Terabit berechnet wird). oder besser noch, in zehn Terabit).

Daher ist die erste Verteidigungslinie der Schutz vor „volumetrischen“ Angriffen, und Ihr oder Ihre Anbieter müssen Ihnen diesen Schutz bieten. Wenn Ihnen das noch nicht klar ist, dann haben Sie vorerst nur Glück.

Beispiel

Nehmen wir an, Sie haben mehrere Uplinks, aber nur einer der Anbieter kann Ihnen diesen Schutz bieten. Aber wenn der gesamte Datenverkehr über einen Anbieter läuft, wie sieht es dann mit der Konnektivität aus, die wir vorhin kurz besprochen haben?

In diesem Fall müssen Sie während des Angriffs die Konnektivität teilweise opfern. Aber

  • Dies gilt nur für die Dauer des Angriffs. Im Falle eines Angriffs können Sie BGP manuell oder automatisch neu konfigurieren, sodass der Datenverkehr nur über den Anbieter läuft, der Ihnen den „Umbrella“ zur Verfügung stellt. Nachdem der Angriff beendet ist, können Sie das Routing in den vorherigen Zustand zurückversetzen
  • Es ist nicht notwendig, den gesamten Datenverkehr zu übertragen. Wenn Sie beispielsweise feststellen, dass es über einige Uplinks oder Peerings keine Angriffe gibt (oder der Datenverkehr nicht signifikant ist), können Sie diesen BGP-Nachbarn weiterhin Präfixe mit Wettbewerbsattributen anbieten.

Sie können den Schutz vor „Protokollangriffen“ und „Anwendungsangriffen“ auch an Ihre Partner delegieren.
Hier hier Sie können eine gute Studie lesen (Übersetzung). Der Artikel ist zwar schon zwei Jahre alt, aber er gibt Ihnen einen Einblick in die Ansätze, wie Sie sich vor DDOS-Angriffen schützen können.

Grundsätzlich können Sie sich darauf beschränken und Ihren Schutz komplett auslagern. Diese Entscheidung hat Vorteile, aber auch einen offensichtlichen Nachteil. Tatsache ist, dass wir (wiederum abhängig davon, was Ihr Unternehmen tut) über das Überleben des Unternehmens sprechen können. Und solche Dinge Dritten anvertrauen...

Schauen wir uns daher an, wie die zweite und dritte Verteidigungslinie (als Ergänzung zum Schutz vor dem Anbieter) organisiert wird.

Die zweite Verteidigungslinie besteht also aus Filtern und Verkehrsbegrenzern (Polizisten) am Eingang Ihres Netzwerks.

Beispiel 1

Nehmen wir an, Sie haben sich mithilfe eines der Anbieter mit einem Schirm gegen DDOS abgesichert. Nehmen wir an, dass dieser Anbieter Arbor zum Filtern des Datenverkehrs und Filter am Rand seines Netzwerks verwendet.

Die Bandbreite, die Arbor „verarbeiten“ kann, ist begrenzt, und der Anbieter kann natürlich nicht ständig den Datenverkehr aller seiner Partner, die diesen Dienst bestellen, durch Filtergeräte leiten. Daher wird der Datenverkehr unter normalen Bedingungen nicht gefiltert.

Nehmen wir an, es liegt ein SYN-Flood-Angriff vor. Selbst wenn Sie einen Dienst bestellt haben, der den Datenverkehr im Falle eines Angriffs automatisch auf Filterung umschaltet, geschieht dies nicht sofort. Für eine Minute oder länger bleiben Sie angegriffen. Und dies kann zum Ausfall Ihrer Ausrüstung oder zur Beeinträchtigung des Dienstes führen. In diesem Fall bewahrt die Begrenzung des Datenverkehrs beim Edge-Routing Ihre Infrastruktur vor größeren Problemen, obwohl dies dazu führt, dass einige TCP-Sitzungen in dieser Zeit nicht aufgebaut werden.

Beispiel 2

Eine ungewöhnlich große Anzahl von SYN-Paketen kann nicht nur die Folge eines SYN-Flood-Angriffs sein. Nehmen wir an, Sie stellen einen Dienst bereit, bei dem Sie gleichzeitig etwa 100 TCP-Verbindungen (zu einem Rechenzentrum) haben können.

Nehmen wir an, dass aufgrund eines kurzfristigen Problems bei einem Ihrer Hauptanbieter die Hälfte Ihrer Sitzungen abgebrochen wird. Wenn Ihre Anwendung so konzipiert ist, dass sie ohne langes Nachdenken sofort (oder nach einem für alle Sitzungen gleichen Zeitintervall) versucht, die Verbindung wiederherzustellen, erhalten Sie ungefähr mindestens 50 SYN-Pakete gleichzeitig.

Wenn Sie beispielsweise zusätzlich zu diesen Sitzungen einen SSL/TLS-Handshake ausführen müssen, der den Austausch von Zertifikaten beinhaltet, dann ist dies im Hinblick auf die Erschöpfung der Ressourcen für Ihren Load Balancer ein viel stärkeres „DDOS“ als ein einfaches SYN-Flut. Es scheint, dass Balancer mit solchen Ereignissen umgehen sollten, aber... leider stehen wir vor einem solchen Problem.

Und natürlich schützt auch in diesem Fall ein Policer am Edge-Router Ihre Geräte.

Die dritte Schutzebene gegen DDOS/DOS sind Ihre Firewall-Einstellungen.

Hier können Sie sowohl Angriffe der zweiten als auch der dritten Art stoppen. Generell kann hier alles gefiltert werden, was die Firewall erreicht.

Rat

Versuchen Sie, der Firewall so wenig Arbeit wie möglich zu geben und so viel wie möglich auf den ersten beiden Verteidigungslinien herauszufiltern. Und deshalb.

Ist es Ihnen schon einmal passiert, dass Sie bei der Generierung von Datenverkehr, um beispielsweise zu prüfen, wie resistent das Betriebssystem Ihrer Server gegen DDOS-Angriffe ist, Ihre Firewall „abgeschaltet“ haben und sie bei normaler Intensität des Datenverkehrs zu 100 Prozent ausgelastet haben? ? Wenn nicht, liegt es vielleicht einfach daran, dass Sie es nicht versucht haben?

Im Allgemeinen ist eine Firewall, wie gesagt, eine komplexe Sache, und sie funktioniert gut mit bekannten Schwachstellen und getesteten Lösungen, aber wenn Sie etwas Ungewöhnliches senden, nur ein paar Müll oder Pakete mit falschen Headern, dann sind Sie bei einigen, nicht bei Mit einer so geringen Wahrscheinlichkeit (basierend auf meiner Erfahrung) können Sie selbst Top-End-Geräte verblüffen. Lassen Sie daher in Stufe 2 mithilfe regulärer ACLs (auf der L3/L4-Ebene) nur den Datenverkehr in Ihr Netzwerk zu, der dort eintreten sollte.

Filtern des Datenverkehrs in der Firewall

Lassen Sie uns das Gespräch über die Firewall fortsetzen. Sie müssen verstehen, dass DOS/DDOS-Angriffe nur eine Art von Cyberangriffen sind.

Zusätzlich zum DOS/DDOS-Schutz können wir auch etwa die folgende Liste von Funktionen haben:

  • Anwendungs-Firewalling
  • Bedrohungsprävention (Antivirus, Anti-Spyware und Schwachstellen)
  • URL-Filterung
  • Datenfilterung (Inhaltsfilterung)
  • Dateiblockierung (Blockierung von Dateitypen)

Es liegt an Ihnen, aus dieser Liste zu entscheiden, was Sie benötigen.

To be continued

Source: habr.com

Kommentar hinzufügen