{"id":31057,"date":"2019-10-31T21:39:12","date_gmt":"2019-10-31T18:39:12","guid":{"rendered":"https:\/\/prohoster.info\/blog\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-vtoraya\/"},"modified":"2019-10-31T21:39:12","modified_gmt":"2019-10-31T18:39:12","slug":"kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-vtoraya","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-vtoraya","title":{"rendered":"Wie Sie die Netzwerk-Infrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil zwei","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p><i>Dieser Artikel ist der vierte in einer Reihe von Artikeln zur Thematik \u201eWie Sie die Netzwerk-Infrastruktur unter Kontrolle bringen\u201c. Die Inhalte aller Artikel der Reihe und Links finden Sie <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/447008\/\">hier<\/a><\/noindex><\/i>.<\/p>\n<p>In <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/435138\/\">dem ersten Teil<\/a><\/noindex> dieses Kapitels haben wir einige Aspekte der Netzwerksicherheit im Bereich \u201eData Center\u201c betrachtet. Dieser Teil wird dem Segment \u201eInternetzugang\u201c gewidmet sein. <\/p>\n<p><img decoding=\"async\" alt=\"Wie Sie die Netzwerk-Infrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil zwei\" src=\"\/wp-content\/uploads\/2019\/04\/10b33f9b02e3a7562d9e7cf023cbc197.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<\/p>\n<h1>Internetzugang<\/h1>\n<p>\nDas Thema Sicherheit ist zweifellos eines der komplexesten Themen im Bereich der Daten\u00fcbertragungsnetzwerke. Wie in den vorherigen F\u00e4llen zeige ich hier zwar keine vollst\u00e4ndige Tiefe, jedoch werde ich einige einfache, aber meiner Meinung nach wichtige Fragen behandeln, deren Antworten hoffentlich helfen werden, die Sicherheit Ihres Netzwerks zu erh\u00f6hen.<\/p>\n<p>Bei der Pr\u00fcfung dieses Segments sollten Sie auf folgende Aspekte achten:<\/p>\n<ul>\n<li>Design<\/li>\n<li>BGP-Einstellungen <\/li>\n<li>DOS\/DDOS Schutz<\/li>\n<li>Traffic-Filterung auf der Firewall<\/li>\n<\/ul>\n<p><noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><\/p>\n<h3>Design<\/h3>\n<p>\nAls Beispiel f\u00fcr das Design dieses Segments im Unternehmensnetzwerk w\u00fcrde ich empfehlen, <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/dam\/en\/us\/solutions\/collateral\/enterprise\/design-zone-security\/safe-architecture-guide-pin-secure-internet-edge.pdf\">die Richtlinien<\/a><\/noindex> von Cisco im Rahmen der <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/solutions\/enterprise\/design-zone-security\/landing_safe.html#~tab-architecture\">SAFE-Modelle<\/a><\/noindex>.<\/p>\n<p>Nat\u00fcrlich mag Ihnen die L\u00f6sung anderer Anbieter attraktiver erscheinen (siehe <noindex><a rel=\"nofollow\" href=\"https:\/\/researchcenter.paloaltonetworks.com\/2018\/10\/palo-alto-networks-seven-time-gartner-magic-quadrant-leader\/\">Gartner-Quadrant von 2018)<\/a><\/noindex>), aber ohne Sie dazu aufzufordern, diesem Design im Detail zu folgen, halte ich es dennoch f\u00fcr sinnvoll, die Prinzipien und Ideen zu verstehen, die ihm zugrunde liegen.<\/p>\n<blockquote><p><b>Hinweis<\/b><\/p>\n<p>Im SAFE-Segment ist der Bereich \u201eRemote Access\u201c Teil des \u201eInternet Access\u201c. In diesem Artikelzyklus werden wir ihn jedoch separat betrachten.<\/p><\/blockquote>\n<p>Die Standardhardware in diesem Segment f\u00fcr das Unternehmensnetzwerk (enterprise network) sind <\/p>\n<ul>\n<li>Grenzrouter (border routers)<\/li>\n<li>Firewalls<\/li>\n<\/ul>\n<p><\/p>\n<blockquote><p><b>Hinweis 1<\/b><\/p>\n<p>In diesem Artikelzyklus, wenn ich von Firewalls spreche, meine ich <noindex><a rel=\"nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/Next-generation_firewall\">NGFW<\/a><\/noindex>.<\/p><\/blockquote>\n<blockquote><p><b>Hinweis 2<\/b><\/p>\n<p>Ich beschr\u00e4nke mich auf die Diskussion von L3- und h\u00f6heren L\u00f6sungen und lasse \u00dcberlegungen zu verschiedenen L2\/L1- oder Overlay-L2 over L3-L\u00f6sungen, die f\u00fcr die Gew\u00e4hrleistung der L1\/L2-Konnektivit\u00e4t notwendig sind, au\u00dfen vor. Teilweise wurden L1\/L2-Fragen in dem Kapitel \u00bb<noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/434750\/\">Reinigung und Dokumentation<\/a><\/noindex>\u201e.<\/p><\/blockquote>\n<p> Wenn Sie keine Firewall in diesem Segment gefunden haben, sollten Sie nicht zu schnell zu Schl\u00fcssen kommen.<\/p>\n<p>Lassen Sie uns, wie in der <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/435138\/\">vorherigen Teile<\/a><\/noindex>, mit der Frage beginnen, ob in Ihrem Fall die Verwendung einer Firewall in diesem Segment notwendig ist.<\/p>\n<p>Ich kann sagen, dass es anscheinend der sinnvollste Ort f\u00fcr den Einsatz von Firewalls und f\u00fcr die Anwendung komplexer Traffic-Filteralgorithmen ist. In <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/435138\/\">Teil 1<\/a><\/noindex> Wir haben vier Faktoren erw\u00e4hnt, die die Nutzung von Firewalls im Rechenzentrumsbereich beeintr\u00e4chtigen k\u00f6nnen. Hier sind sie jedoch nicht mehr so relevant.<\/p>\n<blockquote><p>Beispiel 1. <b>Latenz<\/b><\/p>\n<p>Im Hinblick auf das Internet macht es keinen Sinn, von Latenzen selbst im Bereich von 1 Millisekunde zu sprechen. Daher kann die Latenz in diesem Segment kein Faktor sein, der die Nutzung von Firewalls einschr\u00e4nkt.<\/p><\/blockquote>\n<blockquote><p>Beispiel 2. <b>Leistung<\/b><\/p>\n<p>In einigen F\u00e4llen kann dieser Faktor dennoch entscheidend sein. Daher m\u00fcssen Sie m\u00f6glicherweise einen Teil des Verkehrs (zum Beispiel den Verkehr von Lastenausgleichern) an Firewalls vorbeileiten.<\/p><\/blockquote>\n<blockquote><p>Beispiel 3. <b>Zuverl\u00e4ssigkeit<\/b><\/p>\n<p>Dieser Faktor sollte weiterhin ber\u00fccksichtigt werden, aber angesichts der Unzuverl\u00e4ssigkeit des Internets ist seine Bedeutung f\u00fcr dieses Segment nicht so gro\u00df wie f\u00fcr ein Rechenzentrum. <\/p>\n<p>Angenommen, Ihr Dienst l\u00e4uft \u00fcber http\/https (mit kurzen Sitzungen). In diesem Fall k\u00f6nnen Sie zwei unabh\u00e4ngige Boxen (ohne HA) verwenden und bei Problemen mit einer von ihnen den gesamten Verkehr auf die zweite umleiten. <\/p>\n<p>Oder Sie k\u00f6nnen Firewalls im transparenten Modus verwenden und im Falle eines Ausfalls w\u00e4hrend der Probleml\u00f6sung den Verkehr an Firewalls vorbeileiten.<\/p><\/blockquote>\n<p> Deshalb ist es wahrscheinlich der Preis, der Sie dazu bringen k\u00f6nnte, auf Firewalls in diesem Bereich zu verzichten. <b>Preis<\/b> Der Preis k\u00f6nnte tats\u00e4chlich der Faktor sein, der Sie davon abbringt, in diesem Segment Firewalls zu verwenden.<\/p>\n<blockquote><p><b>Wichtig!<\/b><\/p>\n<p>Es besteht die Versuchung, diese Firewall mit der Firewall des Rechenzentrums zu kombinieren (also eine Firewall f\u00fcr beide Segmente zu verwenden). Diese L\u00f6sung ist im Prinzip m\u00f6glich, aber man muss verstehen, dass die Firewall f\u00fcr den Internetzugang, die an der Frontlinie Ihrer Verteidigung steht und, zumindest teilweise, sch\u00e4dlichen Verkehr abf\u00e4ngt, ein erh\u00f6htes Risiko birgt, dass sie ausf\u00e4llt. Das bedeutet, wenn Sie dieselben Ger\u00e4te in beiden Segmenten verwenden, verringern Sie erheblich die Verf\u00fcgbarkeit Ihres Rechenzentrumssegments.<\/p><\/blockquote>\n<p> Wie \u00fcblich muss man bedenken, dass das Design dieses Segments je nach den angebotenen Dienstleistungen des Unternehmens stark variieren kann. Sie k\u00f6nnen, wie gewohnt, je nach den Anforderungen unterschiedliche Ans\u00e4tze w\u00e4hlen. <\/p>\n<blockquote><p><b>Beispiel<\/b><\/p>\n<p>Wenn Sie ein Content-Anbieter mit einem CDN-Netzwerk sind (siehe zum Beispiel <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/users\/ramax\/posts\/\">eine Reihe von Artikeln<\/a><\/noindex>), dann m\u00f6chten Sie m\u00f6glicherweise nicht dutzende oder sogar Hunderte von Infrastruktur-Punkten mit separaten Ger\u00e4ten zur Routing- und Traffic-Filterung erstellen. Das w\u00e4re teuer und m\u00f6glicherweise einfach \u00fcberfl\u00fcssig. <\/p>\n<p>F\u00fcr BGP ben\u00f6tigen Sie nicht unbedingt dedizierte Router; Sie k\u00f6nnen Open-Source-Tools verwenden, wie zum Beispiel <noindex><a rel=\"nofollow\" href=\"https:\/\/www.quagga.net\">Quagga<\/a><\/noindex>. Daher k\u00f6nnte alles, was Sie ben\u00f6tigen, ein Server oder mehrere Server, ein Switch und BGP sein.<\/p>\n<p>In diesem Fall k\u00f6nnen Ihr Server oder mehrere Server nicht nur als CDN-Server fungieren, sondern auch als Router. Nat\u00fcrlich gibt es hier viele Details (z. B. wie man die Last verteilt), aber es ist umsetzbar, und diesen Ansatz haben wir erfolgreich f\u00fcr einen unserer Partner angewendet.<\/p>\n<p>Sie k\u00f6nnen mehrere Rechenzentren mit umfassendem Schutz (Firewalls, DDoS-Schutzdienste, die von Ihren Internetanbietern bereitgestellt werden) und dutzende oder hunderte von \"vereinfachten\" Pr\u00e4senzpunkten nur mit L2-Switches und Servern haben.<\/p>\n<p>Und wie steht es in diesem Fall um den Schutz?<\/p>\n<p>Lassen Sie uns beispielsweise einen der zuletzt popul\u00e4ren Angriffe betrachten, <noindex>DNS Amplification DDoS-Angriff.<\/noindex>Die Gefahr liegt darin, dass eine gro\u00dfe Menge an Traffic generiert wird, die einfach alle Ihre Upstream-Verbindungen zu 100 % \u00fcberlastet. <\/p>\n<p>Was haben wir in Bezug auf unser Design?<\/p>\n<ul>\n<li>Wenn Sie AnyCast verwenden, wird der Traffic zwischen Ihren Standorten verteilt. Wenn Ihre gesamte Bandbreite in Terabit liegt, sch\u00fctzt Sie das tats\u00e4chlich (trotz einiger j\u00fcngster Angriffe mit b\u00f6sartigem Traffic von etwa Terabit) vor einer \u00dcberlastung Ihrer Upstreams.<\/li>\n<li>Wenn dennoch einige Upstreams \u00fcberlastet sind, k\u00f6nnen Sie diese einfach vom Dienst nehmen (indem Sie aufh\u00f6ren, das Pr\u00e4fix anzuk\u00fcndigen).<\/li>\n<li>Sie k\u00f6nnen auch den Traffic-Anteil erh\u00f6hen, der von Ihren \u201evollwertigen\u201c (und somit gesch\u00fctzten) Rechenzentren ausgegeben wird, wodurch ein wesentlicher Teil des b\u00f6sartigen Traffics von ungesch\u00fctzten Standorten entfernt wird.<\/li>\n<\/ul>\n<p>\nNoch eine kleine Anmerkung zu diesem Beispiel: Wenn Sie eine ausreichende Menge an Traffic \u00fcber IX verteilen, verringert das ebenfalls Ihre Anf\u00e4lligkeit f\u00fcr derartige Angriffe.<\/p><\/blockquote>\n<h3>BGP-Konfiguration<\/h3>\n<p>\nHier gibt es zwei Themen.<\/p>\n<ul>\n<li>Konnektivit\u00e4t<\/li>\n<li>BGP-Konfiguration<\/li>\n<\/ul>\n<p>\n\u00dcber die Konnektivit\u00e4t haben wir bereits ein wenig gesprochen. <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/435138\/\">Teil 1<\/a><\/noindex>. Es geht darum, den Datenverkehr zu Ihren Kunden auf optimalem Weg zu leiten. Obwohl Optimierung nicht immer nur mit Latenz zusammenh\u00e4ngt, ist in der Regel eine niedrige Latenz der Hauptindikator f\u00fcr Optimierung. F\u00fcr manche Unternehmen ist das wichtiger, f\u00fcr andere weniger. Es h\u00e4ngt alles von dem Service ab, den Sie anbieten.<\/p>\n<blockquote><p><b>Beispiel 1<\/b><\/p>\n<p>Wenn Sie eine B\u00f6rse sind und f\u00fcr Ihre Kunden Zeitintervalle von weniger als einer Millisekunde wichtig sind, dann ist klar, dass ein Internet \u00fcberhaupt keine Rolle spielt.<\/p><\/blockquote>\n<blockquote><p><b>Beispiel 2<\/b><\/p>\n<p>Wenn Sie ein Spieleunternehmen sind und f\u00fcr Sie Zehntelmillisekunden wichtig sind, dann ist die Konnektivit\u00e4t nat\u00fcrlich von gro\u00dfer Bedeutung f\u00fcr Sie.<\/p><\/blockquote>\n<blockquote><p><b>Beispiel 3<\/b><\/p>\n<p>Es ist auch wichtig zu verstehen, dass aufgrund der Eigenschaften des TCP-Protokolls die Daten\u00fcbertragungsgeschwindigkeit innerhalb einer TCP-Sitzung ebenfalls von der RTT (Round Trip Time) abh\u00e4ngt. CDN-Netzwerke werden unter anderem eingerichtet, um dieses Problem zu l\u00f6sen, indem sie Content-Server n\u00e4her an die Verbraucher dieses Inhalts bringen.<\/p><\/blockquote>\n<p> Die Untersuchung der Konnektivit\u00e4t ist ein eigenes, interessantes Thema, das einer gesonderten Artikelreihe w\u00fcrdig ist und ein gutes Verst\u00e4ndnis daf\u00fcr erfordert, wie das Internet \u201eaufgebaut\u201c ist.<\/p>\n<p>N\u00fctzliche Ressourcen:<\/p>\n<p><noindex><a rel=\"nofollow\" href=\"https:\/\/ripe.net\">ripe.net<\/a><\/noindex><br \/>\n<noindex><a rel=\"nofollow\" href=\"https:\/\/bgp.he.net\">bgp.he.net<\/a><\/noindex><\/p>\n<blockquote><p><b>Beispiel<\/b><\/p>\n<p>Ich m\u00f6chte nur ein kleines Beispiel anf\u00fchren.<\/p>\n<p>Angenommen, Ihr Rechenzentrum befindet sich in Moskau und Sie haben eine einzige Anbindung \u2013 Rostelecom (AS12389). In diesem Fall ben\u00f6tigen Sie kein (single homed) BGP, und als \u00f6ffentliche IP-Adressen verwenden Sie wahrscheinlich einen Adresspool von Rostelecom. <\/p>\n<p>Angenommen, Sie bieten einen Dienst an und haben ausreichend Kunden aus der Ukraine, die sich \u00fcber hohe Latenzen beschweren. Bei der Untersuchung haben Sie festgestellt, dass einige ihrer IP-Adressen im Bereich 37.52.0.0\/21 liegen. <\/p>\n<p>Nachdem Sie traceroute ausgef\u00fchrt haben, stellten Sie fest, dass der Datenverkehr \u00fcber AS1299 (Telia) l\u00e4uft, und beim Ausf\u00fchren eines pings erhielten Sie eine mittlere RTT von 70 \u2013 80 Millisekunden. Sie k\u00f6nnen dies ebenfalls auf <noindex><a rel=\"nofollow\" href=\"http:\/\/lg.ip.rt.ru\">dem Looking Glass von Rostelecom sehen.<\/a><\/noindex>.<\/p>\n<p>Mit dem Tool whois (auf ripe.net oder einem lokalen Tool) k\u00f6nnen Sie leicht herausfinden, dass der Block 37.52.0.0\/21 zu AS6849 (Ukrtelecom) geh\u00f6rt.<\/p>\n<p>Gehen Sie nun auf <noindex><a rel=\"nofollow\" href=\"https:\/\/bgp.he.net\">bgp.he.net<\/a><\/noindex> , und Sie sehen, dass AS6849 keine Beziehungen zu AS12389 hat (sie sind weder Kunden noch Upstreams f\u00fcreinander, und auch kein Peering besteht). Aber wenn Sie sich die <noindex><a rel=\"nofollow\" href=\"https:\/\/bgp.he.net\/AS6849#_peers\">Peering-Liste<\/a><\/noindex> von AS6849 anschauen, sehen Sie beispielsweise AS29226 (Mastertel) und AS31133 (Megafon). <\/p>\n<p>Wenn Sie das Looking Glass dieser Anbieter finden, k\u00f6nnen Sie den Pfad und die RTT vergleichen. Zum Beispiel betr\u00e4gt die RTT f\u00fcr Mastertel etwa 30 Millisekunden. <\/p>\n<p>Wenn der Unterschied zwischen 80 und 30 Millisekunden f\u00fcr Ihren Service erheblich ist, sollten Sie vielleicht \u00fcber Konnektivit\u00e4t nachdenken. Beantragen Sie Ihre AS-Nummer im RIPE, sichern Sie sich Ihren Adresspool und erw\u00e4gen Sie zus\u00e4tzliche Uplinks oder das Einrichten von Pr\u00e4senzpunkten an IXs.<\/p><\/blockquote>\n<p>\nMit BGP haben Sie nicht nur die M\u00f6glichkeit, die Konnektivit\u00e4t zu verbessern, sondern sichern auch Ihre Internetverbindung ab.<\/p>\n<p><noindex><a rel=\"nofollow\" href=\"https:\/\/www.ssi.gouv.fr\/uploads\/2016\/03\/bgp-configuration-best-practices.pdf\">Dieses Dokument<\/a><\/noindex> enth\u00e4lt Empfehlungen zur BGP-Konfiguration. Obwohl diese Empfehlungen auf den \u201eBest Practices\u201c von Anbietern basieren, sind sie, sofern Ihre BGP-Einstellungen nicht ganz trivial sind, zweifellos n\u00fctzlich und sollten Teil des Hardenings sein, das wir in <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/435138\/\">dem ersten Teil<\/a><\/noindex>.<\/p>\n<h3>DOS\/DDOS Schutz<\/h3>\n<p>\nHeutzutage sind DOS-\/DDoS-Angriffe f\u00fcr viele Unternehmen eine allt\u00e4gliche Realit\u00e4t. Tats\u00e4chlich werden Sie in irgendeiner Form relativ h\u00e4ufig angegriffen. Dass Sie dies bisher nicht bemerkt haben, bedeutet lediglich, dass noch kein gezielter Angriff auf Sie organisiert wurde und dass die Schutzma\u00dfnahmen, die Sie verwenden \u2013 m\u00f6glicherweise ohne es zu wissen (verschiedene integrierte Schutzfunktionen von Betriebssystemen) \u2013 ausreichend sind, um die Degradation der angebotenen Dienste f\u00fcr Sie und Ihre Kunden zu minimieren.<\/p>\n<p>Es gibt Internetressourcen, die anhand von Protokolldaten der Ger\u00e4te in Echtzeit ansprechende Angriffs-Karten erstellen.<\/p>\n<p><noindex><a rel=\"nofollow\" href=\"https:\/\/www.csoonline.com\/article\/3217944\/security\/8-top-cyber-attack-maps-and-how-to-use-them.html\">Hier<\/a><\/noindex> finden Sie Links zu ihnen.<\/p>\n<p>Meine Lieblings- <noindex><a rel=\"nofollow\" href=\"https:\/\/threatmap.checkpoint.com\/ThreatPortal\/livemap.html\">Karte<\/a><\/noindex> von CheckPoint.<\/p>\n<p>Der Schutz vor DDoS\/DOS ist normalerweise mehrschichtig. Um zu verstehen, warum, m\u00fcssen wir die verschiedenen Arten von DOS-\/DDoS-Angriffen kennen (siehe beispielsweise, <noindex><a rel=\"nofollow\" href=\"https:\/\/www.csoonline.com\/article\/3222095\/network-security\/ddos-explained-how-denial-of-service-attacks-are-evolving.html\">hier <\/a><\/noindex> oder <noindex><a rel=\"nofollow\" href=\"https:\/\/blog.thousandeyes.com\/three-types-ddos-attacks\/\">hier<\/a><\/noindex>)<\/p>\n<p>Das hei\u00dft, wir haben drei Arten von Angriffen:<\/p>\n<ul>\n<li>volumetrische Angriffe<\/li>\n<li>Protokollangriffe<\/li>\n<li>Anwendungsangriffe<\/li>\n<\/ul>\n<p>\nW\u00e4hrend Sie sich m\u00f6glicherweise selbst gegen die letzten beiden Angriffsarten mit Firewalls sch\u00fctzen k\u00f6nnen, sind Sie gegen Angriffe, die auf ein \u201e\u00dcberlaufen\u201c Ihrer Uplinks abzielen, hilflos \u2014 es sei denn, Ihre gesamte Internetbandbreite betr\u00e4gt mehrere Terabits, besser noch Dutzende Terabits.<\/p>\n<p>Deshalb ist die erste Verteidigungslinie der Schutz vor \u201avolumetrischen\u2018 Angriffen, und dieser Schutz sollte von Ihrem Anbieter oder Ihren Anbietern bereitgestellt werden. Wenn Sie das noch nicht erkannt haben, haben Sie bisher einfach Gl\u00fcck gehabt.<\/p>\n<blockquote><p><b>Beispiel<\/b><\/p>\n<p>Angenommen, Sie verf\u00fcgen \u00fcber mehrere Uplinks, aber nur ein Anbieter kann Ihnen diesen Schutz bieten. Doch wenn der gesamte Datenverkehr \u00fcber einen Anbieter l\u00e4uft, wie sieht es dann mit der Konnektivit\u00e4t aus, die wir zuvor kurz angesprochen haben?<\/p>\n<p>W\u00e4hrend eines Angriffs m\u00fcssen Sie in diesem Fall teilweise auf die Konnektivit\u00e4t verzichten. Aber<\/p>\n<ul>\n<li>das ist nur w\u00e4hrend des Angriffs. Sie k\u00f6nnen im Falle eines Angriffs manuell oder automatisch das BGP umkonfigurieren, sodass der Datenverkehr nur \u00fcber den Anbieter l\u00e4uft, der Ihnen den \u201aSchutzschirm\u2018 bietet. Nach dem Angriff k\u00f6nnen Sie das Routing wieder in den urspr\u00fcnglichen Zustand versetzen.<\/li>\n<li>Es ist nicht erforderlich, den gesamten Datenverkehr zu \u00fcbertragen. Wenn Sie beispielsweise sehen, dass \u00fcber bestimmte Upstreams oder Peering keine Angriffe stattfinden (oder der Datenverkehr nicht signifikant ist), k\u00f6nnen Sie weiterhin Pr\u00e4fixe mit wettbewerbsf\u00e4higen Attributen gegen\u00fcber diesen BGP-Nachbarn bekanntgeben.<\/li>\n<\/ul>\n<\/blockquote>\n<p>\nDen Schutz vor \u201eProtocol-Angriffen\u201c und \u201eAnwendungsangriffen\u201c k\u00f6nnen Sie ebenfalls an Partner delegieren.<br \/>\nHier <noindex><a rel=\"nofollow\" href=\"https:\/\/geekflare.com\/ddos-protection-service\/\">hier<\/a><\/noindex> k\u00f6nnten Sie eine gute Studie lesen (<noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/company\/hosting-cafe\/blog\/324848\/\">\u00dcbersetzung<\/a><\/noindex>). Zugegeben, der Artikel ist zwei Jahre alt, aber er gibt Ihnen einen Einblick in Ans\u00e4tze, wie Sie sich vor DDoS-Angriffen sch\u00fctzen k\u00f6nnen.<\/p>\n<p>Im Grunde k\u00f6nnen Sie sich darauf beschr\u00e4nken, Ihre gesamte Sicherheit auszulagern. Es gibt Vorteile in dieser L\u00f6sung, aber auch einen offensichtlichen Nachteil. Es k\u00f6nnte sich (abh\u00e4ngig von dem, was Ihr Unternehmen tut) um das \u00dcberleben des Gesch\u00e4fts handeln. Und so etwas externen Organisationen anzuvertrauen...<\/p>\n<p>Deshalb lassen Sie uns betrachten, wie wir eine zweite und dritte Verteidigungslinie einrichten k\u00f6nnen (als Erg\u00e4nzung zum Schutz des Anbieters).<\/p>\n<p>Die zweite Verteidigungslinie besteht aus Filtern und Traffic-Polizisten (policers) an der Eingangsseite Ihres Netzwerks. <\/p>\n<blockquote><p><b>Beispiel 1<\/b><\/p>\n<p>Stellen Sie sich vor, Sie haben sich durch einen Anbieter gegen DDoS-Angriffe \"unter einen Schirm zur\u00fcckgezogen\". Angenommen, dieser Anbieter verwendet Arbor zur Filterung des Traffics und Filter an der Grenze seines Netzwerks. <\/p>\n<p>Die Bandbreite, die Arbor \"verarbeiten\" kann, ist begrenzt, und der Anbieter kann selbstverst\u00e4ndlich nicht st\u00e4ndig den gesamten Traffic aller seiner Partner, die diesen Service bestellt haben, durch die Filterger\u00e4te leiten. Daher wird unter normalen Bedingungen der Traffic nicht gefiltert.<\/p>\n<p>Angenommen, es findet ein SYN-Flood-Angriff statt. Selbst wenn Sie einen Service bestellt haben, bei dem im Falle eines Angriffs der Traffic automatisch zur Filterung geleitet wird, geschieht dies nicht sofort. F\u00fcr eine Minute oder l\u00e4nger sind Sie unter Angriff. Und das kann dazu f\u00fchren, dass Ihre Hardware ausf\u00e4llt oder der Service beeintr\u00e4chtigt wird. In diesem Fall wird die Traffic-Beschr\u00e4nkung an der Grenz-Routing zwar dazu f\u00fchren, dass einige TCP-Sitzungen in dieser Zeit nicht hergestellt werden, aber sie wird Ihre Infrastruktur vor gr\u00f6\u00dferen Problemen bewahren.<\/p><\/blockquote>\n<blockquote><p><b>Beispiel 2<\/b><\/p>\n<p>Eine abnormal hohe Anzahl von SYN-Paketen kann nicht nur das Ergebnis eines SYN-Flood-Angriffs sein. Nehmen wir an, dass Sie einen Dienst bereitstellen, bei dem gleichzeitig etwa 100.000 TCP-Verbindungen (in einem Rechenzentrum) bestehen k\u00f6nnen.<\/p>\n<p>Angenommen, aufgrund eines kurzfristigen Problems mit einem Ihrer Hauptanbieter wurden die H\u00e4lfte der Sitzungen getrennt. Wenn Ihre Anwendung so konzipiert ist, dass sie, ohne lange nachzudenken, sofort (oder nach einem einheitlichen Zeitintervall f\u00fcr alle Sitzungen) versucht, die Verbindung neu herzustellen, dann erhalten Sie ungef\u00e4hr gleichzeitig mindestens 50.000 SYN-Pakete. <\/p>\n<p>Wenn \u00fcber diesen Sitzungen beispielsweise ein SSL\/TLS-Handshake stattfinden soll, der den Austausch von Zertifikaten impliziert, wird dies aus Sicht der Ressourcenersch\u00f6pfung f\u00fcr Ihren Lastenausgleich ein viel gravierenderes \"DDoS\" darstellen als ein einfacher SYN-Flood. Es scheint, als sollten Lastenausgleicher solche Ereignisse bew\u00e4ltigen k\u00f6nnen, aber ... leider sind wir in vollem Umfang mit diesem Problem konfrontiert worden.<\/p>\n<p>Und nat\u00fcrlich wird ein Policer am Grenzrouter Ihr Equipment in diesem Fall sch\u00fctzen.<\/p><\/blockquote>\n<p>Die dritte Schutzebene gegen DDoS\/DOS sind die Einstellungen Ihrer Firewall.<\/p>\n<p>Hier k\u00f6nnen sowohl Angriffe der zweiten als auch der dritten Art abgewehrt werden. Grunds\u00e4tzlich k\u00f6nnen alle Gefahren, die die Firewall erreichen, hier gefiltert werden. <\/p>\n<blockquote><p><b>Tipp<\/b><\/p>\n<p>Versuchen Sie, der Firewall so wenig Arbeit wie m\u00f6glich zu geben, indem Sie m\u00f6glichst viel in den ersten beiden Verteidigungslinien filtern. Und das ist der Grund daf\u00fcr.<\/p>\n<p>Hatten Sie jemals das Problem, dass Sie durch das Generieren von Traffic, um beispielsweise zu testen, wie robust das Betriebssystem Ihrer Server gegen DDoS-Angriffe ist, Ihre Firewall \"\u00fcberlastet\" haben, indem Sie sie auf 100 Prozent ausgelastet haben, w\u00e4hrend Sie normalen Traffic erzeugt haben? Wenn nicht, dann vielleicht einfach, weil Sie es noch nicht ausprobiert haben?<\/p>\n<p>Im Allgemeinen ist eine Firewall, wie ich bereits erw\u00e4hnt habe, eine komplexe Angelegenheit. Sie funktioniert gut mit bekannten Schwachstellen und erprobten L\u00f6sungen, aber wenn Sie etwas Ungew\u00f6hnliches schicken \u2013 einfach irgendwelchen M\u00fcll oder Pakete mit falschen Headern \u2013 besteht eine nicht unerhebliche Wahrscheinlichkeit, dass selbst hochmodernes Equipment ins Stocken ger\u00e4t. Daher sollten Sie im Schritt 2 mit gew\u00f6hnlichen ACL (auf L3\/L4-Ebene) nur den Traffic in Ihr Netzwerk lassen, der dort hineingeh\u00f6rt.<\/p><\/blockquote>\n<h3>Trafficfilterung auf der Firewall<\/h3>\n<p>\nLassen Sie uns das Thema Firewall weiter diskutieren. Es ist wichtig zu verstehen, dass DOS\/DDOS-Angriffe nur eine Art von Cyberangriffen sind. <\/p>\n<p>Neben DOS\/DDOS-Schutz k\u00f6nnen wir noch eine Liste von weiteren M\u00f6glichkeiten haben:<\/p>\n<ul>\n<li>Anwendungsfirewalling<\/li>\n<li>Bedrohungspr\u00e4vention (Antivirus, Anti-Spyware und Schwachstellenmanagement)<\/li>\n<li>URL-Filterung<\/li>\n<li>Datenfilterung (Inhaltsfilterung)<\/li>\n<li>Datei-Blockierung (Blockierung von Dateitypen)<\/li>\n<\/ul>\n<p>\nEs liegt an Ihnen, was aus dieser Liste Sie ben\u00f6tigen.<\/p>\n<p><i>Fortsetzung folgt<\/i><br \/>\n<br \/>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/436230\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0447\u0435\u0442\u0432\u0435\u0440\u0442\u043e\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u0412 \u043f\u0435\u0440\u0432\u043e\u0439 \u0447\u0430\u0441\u0442\u0438 \u044d\u0442\u043e\u0439 \u0433\u043b\u0430\u0432\u044b \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0435\u043b\u0438 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0430\u0441\u043f\u0435\u043a\u0442\u044b \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430 \u00abData Center\u00bb. \u042d\u0442\u0430 \u0447\u0430\u0441\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 \u00abInternet Access\u00bb \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0443. Internet access \u0422\u0435\u043c\u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043d\u0435\u0441\u043e\u043c\u043d\u0435\u043d\u043d\u043e \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0442\u0435\u043c [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":23032,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[688],"tags":[],"class_list":["post-31057","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administrirovanie"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0447\u0435\u0442\u0432\u0435\u0440\u0442\u043e\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u0412 \u043f\u0435\u0440\u0432\u043e\u0439 \u0447\u0430\u0441\u0442\u0438 \u044d\u0442\u043e\u0439 \u0433\u043b\u0430\u0432\u044b \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0435\u043b\u0438 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0430\u0441\u043f\u0435\u043a\u0442\u044b \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430 \u00abData Center\u00bb. \u042d\u0442\u0430 \u0447\u0430\u0441\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 \u00abInternet Access\u00bb \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0443. Internet access \u0422\u0435\u043c\u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043d\u0435\u0441\u043e\u043c\u043d\u0435\u043d\u043d\u043e \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0442\u0435\u043c\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-vtoraya\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c. \u0413\u043b\u0430\u0432\u0430 \u0442\u0440\u0435\u0442\u044c\u044f. \u0421\u0435\u0442\u0435\u0432\u0430\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c. \u0427\u0430\u0441\u0442\u044c \u0432\u0442\u043e\u0440\u0430\u044f | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0447\u0435\u0442\u0432\u0435\u0440\u0442\u043e\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u0412 \u043f\u0435\u0440\u0432\u043e\u0439 \u0447\u0430\u0441\u0442\u0438 \u044d\u0442\u043e\u0439 \u0433\u043b\u0430\u0432\u044b \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0435\u043b\u0438 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0430\u0441\u043f\u0435\u043a\u0442\u044b \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430 \u00abData Center\u00bb. \u042d\u0442\u0430 \u0447\u0430\u0441\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 \u00abInternet Access\u00bb \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0443. Internet access \u0422\u0435\u043c\u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043d\u0435\u0441\u043e\u043c\u043d\u0435\u043d\u043d\u043e \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0442\u0435\u043c\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-vtoraya\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T18:39:12+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T18:39:12+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Wie Sie Ihre Netzwerk-Infrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil zwei | ProHoster","description":"Dieser Artikel ist der vierte Teil der Artikelreihe \u201eWie Sie Ihre Netzwerk-Infrastruktur unter Kontrolle bringen\u201c. Die Inhalte aller Artikel der Reihe und Links finden Sie hier. Im ersten Teil dieses Kapitels haben wir einige Aspekte der Netzwerksicherheit im Bereich \u201eRechenzentrum\u201c behandelt. Dieser Teil wird dem Segment \u201eInternetzugang\u201c gewidmet sein. Das Thema Sicherheit im Internetzugang ist zweifellos eines der komplexesten Themen.","canonical_url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-vtoraya","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c. \u0413\u043b\u0430\u0432\u0430 \u0442\u0440\u0435\u0442\u044c\u044f. \u0421\u0435\u0442\u0435\u0432\u0430\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c. \u0427\u0430\u0441\u0442\u044c \u0432\u0442\u043e\u0440\u0430\u044f | ProHoster","og:description":"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0447\u0435\u0442\u0432\u0435\u0440\u0442\u043e\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u0412 \u043f\u0435\u0440\u0432\u043e\u0439 \u0447\u0430\u0441\u0442\u0438 \u044d\u0442\u043e\u0439 \u0433\u043b\u0430\u0432\u044b \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0435\u043b\u0438 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0430\u0441\u043f\u0435\u043a\u0442\u044b \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430 \u00abData Center\u00bb. \u042d\u0442\u0430 \u0447\u0430\u0441\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 \u00abInternet Access\u00bb \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0443. Internet access \u0422\u0435\u043c\u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043d\u0435\u0441\u043e\u043c\u043d\u0435\u043d\u043d\u043e \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0442\u0435\u043c","og:url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-vtoraya","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T18:39:12+00:00","article:modified_time":"2019-10-31T18:39:12+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"31057","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-01-21 04:19:19","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-03-01 03:24:14","updated":"2026-01-21 04:19:19"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31057","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=31057"}],"version-history":[{"count":0,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31057\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/23032"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=31057"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=31057"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=31057"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}