ProHoster > Blog > διαχείριση > Πώς να αποκτήσετε τον έλεγχο της υποδομής του δικτύου σας. Κεφάλαιο τρίτο. Ασφάλεια δικτύου. Μέρος δεύτερο

Πώς να αποκτήσετε τον έλεγχο της υποδομής του δικτύου σας. Κεφάλαιο τρίτο. Ασφάλεια δικτύου. Μέρος δεύτερο

Αυτό το άρθρο είναι το τέταρτο της σειράς «Πώς να πάρετε τον έλεγχο της υποδομής δικτύου σας». Μπορείτε να βρείτε τα περιεχόμενα όλων των άρθρων της σειράς και τους συνδέσμους εδώ.

В το πρώτο μέρος Σε αυτό το κεφάλαιο, εξετάσαμε ορισμένες πτυχές της ασφάλειας δικτύου στο τμήμα του Data Center. Αυτό το μέρος θα αφιερωθεί στο τμήμα «Πρόσβαση στο Διαδίκτυο».

Πώς να αποκτήσετε τον έλεγχο της υποδομής του δικτύου σας. Κεφάλαιο τρίτο. Ασφάλεια δικτύου. Μέρος δεύτερο

Πρόσβαση στο Διαδίκτυο

Το θέμα της ασφάλειας είναι αναμφίβολα ένα από τα πιο σύνθετα θέματα στον κόσμο των δικτύων δεδομένων. Όπως σε προηγούμενες περιπτώσεις, χωρίς να διεκδικώ βάθος και πληρότητα, θα θεωρήσω εδώ αρκετά απλά, αλλά, κατά τη γνώμη μου, σημαντικές ερωτήσεις, οι απαντήσεις στις οποίες, ελπίζω, θα βοηθήσουν στην αύξηση του επιπέδου ασφάλειας του δικτύου σας.

Κατά τον έλεγχο αυτού του τμήματος, δώστε προσοχή στις ακόλουθες πτυχές:

  • σχέδιο
  • Ρυθμίσεις BGP
  • Προστασία DOS/DDOS
  • φιλτράρισμα κυκλοφορίας στο τείχος προστασίας

Σχέδιο

Ως παράδειγμα του σχεδιασμού αυτού του τμήματος για ένα εταιρικό δίκτυο, θα συνιστούσα οδηγός από τη Cisco εντός ΑΣΦΑΛΕΙΑ μοντέλα.

Φυσικά, ίσως η λύση άλλων προμηθευτών να σας φαίνεται πιο ελκυστική (βλ. Gartner Quadrant 2018), αλλά χωρίς να σας ενθαρρύνω να ακολουθήσετε αυτό το σχέδιο λεπτομερώς, εξακολουθώ να θεωρώ χρήσιμο να κατανοήσω τις αρχές και τις ιδέες πίσω από αυτό.

Σημείωση:

Στο SAFE, το τμήμα "Απομακρυσμένη πρόσβαση" είναι μέρος του τμήματος "Πρόσβαση στο Διαδίκτυο". Αλλά σε αυτή τη σειρά άρθρων θα το εξετάσουμε ξεχωριστά.

Το τυπικό σύνολο εξοπλισμού σε αυτό το τμήμα για ένα εταιρικό δίκτυο είναι

  • δρομολογητές συνόρων
  • τείχη προστασίας

Σημείωση 1

Σε αυτή τη σειρά άρθρων, όταν μιλάω για τείχη προστασίας, εννοώ NGFW.

Σημείωση 2

Παραλείπω να εξετάσω διάφορα είδη λύσεων L2/L1 ή επικάλυψης L2 έναντι L3 που είναι απαραίτητες για τη διασφάλιση της συνδεσιμότητας L1/L2 και περιορίζομαι μόνο σε ζητήματα στο επίπεδο L3 και άνω. Εν μέρει, τα θέματα L1/L2 συζητήθηκαν στο κεφάλαιο "Καθαρισμός και Τεκμηρίωση".

Εάν δεν έχετε βρει τείχος προστασίας σε αυτό το τμήμα, τότε δεν πρέπει να βιαστείτε να βγάλετε συμπεράσματα.

Ας κάνουμε το ίδιο όπως στο προηγούμενο μέροςΑς ξεκινήσουμε με την ερώτηση: είναι απαραίτητο να χρησιμοποιήσετε ένα τείχος προστασίας σε αυτό το τμήμα στην περίπτωσή σας;

Μπορώ να πω ότι αυτό φαίνεται να είναι το πιο δικαιολογημένο μέρος για τη χρήση τείχους προστασίας και την εφαρμογή πολύπλοκων αλγορίθμων φιλτραρίσματος κυκλοφορίας. ΣΕ μέρη 1 Αναφέραμε 4 παράγοντες που μπορεί να επηρεάσουν τη χρήση τείχους προστασίας στο τμήμα του κέντρου δεδομένων. Αλλά εδώ δεν είναι πλέον τόσο σημαντικά.

Παράδειγμα 1. Καθυστέρηση

Όσον αφορά το Διαδίκτυο, δεν έχει νόημα να μιλάμε για καθυστερήσεις ακόμη και περίπου 1 χιλιοστού του δευτερολέπτου. Επομένως, η καθυστέρηση σε αυτό το τμήμα δεν μπορεί να είναι παράγοντας που περιορίζει τη χρήση του τείχους προστασίας.

Παράδειγμα 2. Παραγωγικότητα

Σε ορισμένες περιπτώσεις αυτός ο παράγοντας μπορεί να είναι ακόμα σημαντικός. Επομένως, ίσως χρειαστεί να επιτρέψετε σε κάποια κίνηση (για παράδειγμα, κίνηση από συσκευές εξισορρόπησης φορτίου) να παρακάμψει το τείχος προστασίας.

Παράδειγμα 3. Αξιοπιστία

Αυτός ο παράγοντας πρέπει ακόμα να ληφθεί υπόψη, αλλά και πάλι, δεδομένης της αναξιοπιστίας του ίδιου του Διαδικτύου, η σημασία του για αυτό το τμήμα δεν είναι τόσο σημαντική όσο για το κέντρο δεδομένων.

Λοιπόν, ας υποθέσουμε ότι η υπηρεσία σας βρίσκεται πάνω από το http/https (με σύντομες περιόδους σύνδεσης). Σε αυτήν την περίπτωση, μπορείτε να χρησιμοποιήσετε δύο ανεξάρτητα κουτιά (χωρίς HA) και εάν υπάρχει πρόβλημα δρομολόγησης με ένα από αυτά, να μεταφέρετε όλη την κίνηση στο δεύτερο.

Ή μπορείτε να χρησιμοποιήσετε τείχη προστασίας σε διαφανή λειτουργία και, εάν αποτύχουν, να επιτρέψετε στην κυκλοφορία να παρακάμψει το τείχος προστασίας ενώ επιλύετε το πρόβλημα.

Επομένως, πιθανότατα απλώς τιμή μπορεί να είναι ο παράγοντας που θα σας αναγκάσει να εγκαταλείψετε τη χρήση τείχους προστασίας σε αυτό το τμήμα.

Σημαντικό!

Υπάρχει ένας πειρασμός να συνδυάσετε αυτό το τείχος προστασίας με το τείχος προστασίας του κέντρου δεδομένων (χρησιμοποιήστε ένα τείχος προστασίας για αυτά τα τμήματα). Η λύση είναι, καταρχήν, δυνατή, αλλά πρέπει να το καταλάβετε γιατί Ένα τείχος προστασίας πρόσβασης στο Διαδίκτυο βρίσκεται στην πραγματικότητα στην πρώτη γραμμή της άμυνάς σας και «αναλαμβάνει» τουλάχιστον μέρος της κακόβουλης κίνησης, οπότε, φυσικά, πρέπει να λάβετε υπόψη τον αυξημένο κίνδυνο να απενεργοποιηθεί αυτό το τείχος προστασίας. Δηλαδή, χρησιμοποιώντας τις ίδιες συσκευές σε αυτά τα δύο τμήματα, θα μειώσετε σημαντικά τη διαθεσιμότητα του τμήματος του κέντρου δεδομένων σας.

Όπως πάντα, πρέπει να καταλάβετε ότι ανάλογα με την υπηρεσία που παρέχει η εταιρεία, ο σχεδιασμός αυτού του τμήματος μπορεί να διαφέρει πολύ. Όπως πάντα, μπορείτε να επιλέξετε διαφορετικές προσεγγίσεις ανάλογα με τις απαιτήσεις σας.

Παράδειγμα

Εάν είστε πάροχος περιεχομένου, με δίκτυο CDN (δείτε, για παράδειγμα, σειρά άρθρων), τότε μπορεί να μην θέλετε να δημιουργήσετε υποδομή σε δεκάδες ή και εκατοντάδες σημεία παρουσίας χρησιμοποιώντας ξεχωριστές συσκευές για τη δρομολόγηση και το φιλτράρισμα της κυκλοφορίας. Θα είναι ακριβό και μπορεί απλώς να είναι περιττό.

Για το BGP δεν χρειάζεται απαραίτητα να έχετε αποκλειστικούς δρομολογητές, μπορείτε να χρησιμοποιήσετε εργαλεία ανοιχτού κώδικα όπως Quagga. Ίσως λοιπόν το μόνο που χρειάζεστε είναι ένας διακομιστής ή αρκετοί διακομιστές, ένας διακόπτης και το BGP.

Σε αυτήν την περίπτωση, ο διακομιστής σας ή πολλοί διακομιστές μπορούν να παίξουν το ρόλο όχι μόνο ενός διακομιστή CDN, αλλά και ενός δρομολογητή. Φυσικά, υπάρχουν ακόμα πολλές λεπτομέρειες (όπως το πώς να διασφαλιστεί η εξισορρόπηση), αλλά είναι εφικτό και είναι μια προσέγγιση που χρησιμοποιήσαμε με επιτυχία για έναν από τους συνεργάτες μας.

Μπορείτε να έχετε πολλά κέντρα δεδομένων με πλήρη προστασία (τείχη προστασίας, υπηρεσίες προστασίας DDOS που παρέχονται από τους παρόχους Διαδικτύου σας) και δεκάδες ή εκατοντάδες «απλοποιημένα» σημεία παρουσίας μόνο με διακόπτες και διακομιστές L2.

Τι γίνεται όμως με την προστασία σε αυτή την περίπτωση;

Ας δούμε, για παράδειγμα, το πρόσφατα δημοφιλές Ενίσχυση DNS Επίθεση DDOS. Ο κίνδυνος του έγκειται στο γεγονός ότι δημιουργείται μεγάλος όγκος επισκεψιμότητας, ο οποίος απλώς «φράσσει» το 100% όλων των uplinks σας.

Τι έχουμε στην περίπτωση του σχεδίου μας.

  • εάν χρησιμοποιείτε το AnyCast, τότε η κίνηση κατανέμεται μεταξύ των σημείων παρουσίας σας. Εάν το συνολικό εύρος ζώνης σας είναι terabit, τότε αυτό από μόνο του (ωστόσο, πρόσφατα υπήρξαν αρκετές επιθέσεις με κακόβουλη κυκλοφορία της τάξης των terabit) σας προστατεύει από "υπερχείλιση" uplinks
  • Εάν, ωστόσο, φράξουν ορισμένες ανοδικές συνδέσεις, τότε απλώς αφαιρείτε αυτόν τον ιστότοπο από την υπηρεσία (διακοπή διαφήμισης του προθέματος)
  • μπορείτε επίσης να αυξήσετε το μερίδιο της επισκεψιμότητας που αποστέλλεται από τα «πλήρη» (και, κατά συνέπεια, προστατευμένα) κέντρα δεδομένων σας, αφαιρώντας έτσι ένα σημαντικό μέρος της κακόβουλης κυκλοφορίας από μη προστατευμένα σημεία παρουσίας

Και μια ακόμη μικρή σημείωση σε αυτό το παράδειγμα. Εάν στέλνετε αρκετή κίνηση μέσω IX, τότε αυτό μειώνει επίσης την ευπάθειά σας σε τέτοιες επιθέσεις

Ρύθμιση BGP

Υπάρχουν δύο θέματα εδώ.

  • Συνδεσιμότητα
  • Ρύθμιση BGP

Έχουμε ήδη μιλήσει λίγο για τη συνδεσιμότητα στο μέρη 1. Το θέμα είναι να διασφαλίσετε ότι η επισκεψιμότητα προς τους πελάτες σας ακολουθεί τη βέλτιστη διαδρομή. Αν και η βέλτιστη δεν αφορά πάντα μόνο την καθυστέρηση, η χαμηλή καθυστέρηση είναι συνήθως ο κύριος δείκτης της βέλτιστης. Για κάποιες εταιρείες αυτό είναι πιο σημαντικό, για άλλες λιγότερο. Όλα εξαρτώνται από την υπηρεσία που παρέχετε.

1 Παράδειγμα

Εάν είστε ανταλλαγή και τα χρονικά διαστήματα μικρότερα από χιλιοστά του δευτερολέπτου είναι σημαντικά για τους πελάτες σας, τότε, φυσικά, δεν μπορεί να γίνει λόγος για κανενός είδους Διαδίκτυο.

2 Παράδειγμα

Εάν είστε εταιρεία τυχερών παιχνιδιών και τα δεκάδες χιλιοστά του δευτερολέπτου είναι σημαντικά για εσάς, τότε, φυσικά, η συνδεσιμότητα είναι πολύ σημαντική για εσάς.

3 Παράδειγμα

Πρέπει επίσης να κατανοήσετε ότι, λόγω των ιδιοτήτων του πρωτοκόλλου TCP, ο ρυθμός μεταφοράς δεδομένων σε μία περίοδο λειτουργίας TCP εξαρτάται επίσης από το RTT (Round Trip Time). Τα δίκτυα CDN κατασκευάζονται επίσης για να λύσουν αυτό το πρόβλημα μετακινώντας τους διακομιστές διανομής περιεχομένου πιο κοντά στον καταναλωτή αυτού του περιεχομένου.

Η μελέτη της συνδεσιμότητας είναι ένα ενδιαφέρον θέμα από μόνο του, αντάξιο του δικού της άρθρου ή σειράς άρθρων και απαιτεί καλή κατανόηση του τρόπου με τον οποίο «λειτουργεί» το Διαδίκτυο.

Χρήσιμοι πόροι:

ripe.net
bgp.he.net

Παράδειγμα

Θα δώσω μόνο ένα μικρό παράδειγμα.

Ας υποθέσουμε ότι το κέντρο δεδομένων σας βρίσκεται στη Μόσχα και έχετε μία μόνο ανοδική σύνδεση - Rostelecom (AS12389). Σε αυτήν την περίπτωση (μονοκατοικία) δεν χρειάζεστε BGP και πιθανότατα χρησιμοποιείτε τη συγκέντρωση διευθύνσεων από τη Rostelecom ως δημόσιες διευθύνσεις.

Ας υποθέσουμε ότι παρέχετε μια συγκεκριμένη υπηρεσία και έχετε επαρκή αριθμό πελατών από την Ουκρανία και παραπονιούνται για μεγάλες καθυστερήσεις. Κατά τη διάρκεια της έρευνάς σας, ανακαλύψατε ότι οι διευθύνσεις IP ορισμένων από αυτές βρίσκονται στο πλέγμα 37.52.0.0/21.

Εκτελώντας ένα traceroute, είδατε ότι η κίνηση περνούσε μέσω του AS1299 (Telia) και εκτελώντας ένα ping, είχατε ένα μέσο RTT 70 - 80 χιλιοστά του δευτερολέπτου. Μπορείτε επίσης να το δείτε στο γυαλί Rostelecom.

Χρησιμοποιώντας το βοηθητικό πρόγραμμα whois (στο ripe.net ή ένα τοπικό βοηθητικό πρόγραμμα), μπορείτε εύκολα να προσδιορίσετε ότι το μπλοκ 37.52.0.0/21 ανήκει στο AS6849 (Ukrtelecom).

Στη συνέχεια, πηγαίνοντας στο bgp.he.net βλέπετε ότι το AS6849 δεν έχει καμία σχέση με το AS12389 (δεν είναι ούτε πελάτες ούτε uplinks μεταξύ τους, ούτε έχουν peering). Αλλά αν κοιτάξετε λίστα συνομηλίκων για το AS6849, θα δείτε, για παράδειγμα, AS29226 (Mastertel) και AS31133 (Megafon).

Μόλις βρείτε το γυαλί αναζήτησης αυτών των παρόχων, μπορείτε να συγκρίνετε τη διαδρομή και το RTT. Για παράδειγμα, για το Mastertel το RTT θα είναι περίπου 30 χιλιοστά του δευτερολέπτου.

Επομένως, εάν η διαφορά μεταξύ 80 και 30 χιλιοστών του δευτερολέπτου είναι σημαντική για την υπηρεσία σας, τότε ίσως πρέπει να σκεφτείτε τη συνδεσιμότητα, να λάβετε τον αριθμό AS σας, τη συγκέντρωση διευθύνσεών σας από το RIPE και να συνδέσετε επιπλέον uplinks ή/και να δημιουργήσετε σημεία παρουσίας σε IX.

Όταν χρησιμοποιείτε το BGP, όχι μόνο έχετε την ευκαιρία να βελτιώσετε τη συνδεσιμότητα, αλλά διατηρείτε επίσης περιττή τη σύνδεσή σας στο Διαδίκτυο.

Αυτό το έγγραφο περιέχει συστάσεις για τη διαμόρφωση του BGP. Παρά το γεγονός ότι αυτές οι συστάσεις αναπτύχθηκαν με βάση τις «βέλτιστες πρακτικές» των παρόχων, ωστόσο (εάν οι ρυθμίσεις σας BGP δεν είναι αρκετά βασικές) είναι αναμφίβολα χρήσιμες και στην πραγματικότητα θα πρέπει να αποτελούν μέρος της σκλήρυνσης που συζητήσαμε στο το πρώτο μέρος.

Προστασία DOS/DDOS

Τώρα οι επιθέσεις DOS/DDOS έχουν γίνει καθημερινή πραγματικότητα για πολλές εταιρείες. Στην πραγματικότητα, δέχεστε επίθεση αρκετά συχνά με τη μία ή την άλλη μορφή. Το γεγονός ότι δεν το έχετε προσέξει ακόμη αυτό σημαίνει μόνο ότι δεν έχει οργανωθεί ακόμη στοχευμένη επίθεση εναντίον σας και ότι τα μέτρα προστασίας που χρησιμοποιείτε, ακόμη και ίσως χωρίς να το γνωρίζετε (διάφορες ενσωματωμένες προστασίες λειτουργικών συστημάτων), επαρκούν για να βεβαιωθείτε ότι η υποβάθμιση της παρεχόμενης υπηρεσίας ελαχιστοποιείται για εσάς και τους πελάτες σας.

Υπάρχουν πόροι του Διαδικτύου που, με βάση τα αρχεία καταγραφής εξοπλισμού, σχεδιάζουν όμορφους χάρτες επίθεσης σε πραγματικό χρόνο.

Εδώ μπορείτε να βρείτε συνδέσμους προς αυτά.

Το αγαπημένο μου χάρτης από το CheckPoint.

Η προστασία έναντι DDOS/DOS είναι συνήθως πολυεπίπεδη. Για να καταλάβετε γιατί, πρέπει να κατανοήσετε ποιοι τύποι επιθέσεων DOS/DDOS υπάρχουν (δείτε, για παράδειγμα, εδώ ή εδώ)

Δηλαδή, έχουμε τρεις τύπους επιθέσεων:

  • ογκομετρικές επιθέσεις
  • επιθέσεις πρωτοκόλλου
  • επιθέσεις εφαρμογών

Εάν μπορείτε να προστατευθείτε από τους δύο τελευταίους τύπους επιθέσεων χρησιμοποιώντας, για παράδειγμα, τείχη προστασίας, τότε δεν μπορείτε να προστατευθείτε από επιθέσεις που στοχεύουν στην «συντριβή» των uplinks σας (φυσικά, εάν η συνολική χωρητικότητα των καναλιών σας στο Διαδίκτυο δεν υπολογίζεται σε terabit, ή καλύτερα, σε δεκάδες terabit).

Επομένως, η πρώτη γραμμή άμυνας είναι η προστασία από «ογκομετρικές» επιθέσεις και ο πάροχος ή οι πάροχοι πρέπει να σας παρέχουν αυτήν την προστασία. Αν δεν το έχετε συνειδητοποιήσει ακόμα, τότε είστε απλώς τυχεροί προς το παρόν.

Παράδειγμα

Ας υποθέσουμε ότι έχετε πολλές ανοδικές συνδέσεις, αλλά μόνο ένας από τους παρόχους μπορεί να σας παρέχει αυτήν την προστασία. Αλλά αν όλη η κίνηση περνά από έναν πάροχο, τότε τι γίνεται με τη συνδεσιμότητα που συζητήσαμε εν συντομία λίγο νωρίτερα;

Σε αυτή την περίπτωση, θα πρέπει να θυσιάσετε εν μέρει τη συνδεσιμότητα κατά τη διάρκεια της επίθεσης. Αλλά

  • αυτό ισχύει μόνο για τη διάρκεια της επίθεσης. Σε περίπτωση επίθεσης, μπορείτε να ρυθμίσετε χειροκίνητα ή αυτόματα το BGP έτσι ώστε η κίνηση να περνά μόνο μέσω του παρόχου που σας παρέχει την «ομπρέλα». Αφού τελειώσει η επίθεση, μπορείτε να επαναφέρετε τη δρομολόγηση στην προηγούμενη κατάστασή της
  • Δεν είναι απαραίτητο να μεταφέρετε όλη την κίνηση. Εάν, για παράδειγμα, δείτε ότι δεν υπάρχουν επιθέσεις μέσω ορισμένων ανοδικών συνδέσεων ή ομότιμων συνδέσεων (ή η κίνηση δεν είναι σημαντική), μπορείτε να συνεχίσετε να διαφημίζετε προθέματα με ανταγωνιστικά χαρακτηριστικά προς αυτούς τους γείτονες BGP.

Μπορείτε επίσης να αναθέσετε προστασία από "επιθέσεις πρωτοκόλλου" και "επιθέσεις εφαρμογής" στους συνεργάτες σας.
Εδώ εδώ μπορείτε να διαβάσετε μια καλή μελέτη (μετάφραση). Είναι αλήθεια ότι το άρθρο είναι δύο ετών, αλλά θα σας δώσει μια ιδέα για τις προσεγγίσεις για το πώς μπορείτε να προστατευθείτε από επιθέσεις DDOS.

Κατ 'αρχήν, μπορείτε να περιοριστείτε σε αυτό, αναθέτοντας πλήρως την προστασία σας σε εξωτερικούς συνεργάτες. Υπάρχουν πλεονεκτήματα σε αυτή την απόφαση, αλλά υπάρχει επίσης ένα προφανές μειονέκτημα. Γεγονός είναι ότι μπορούμε να μιλήσουμε (και πάλι, ανάλογα με το τι κάνει η εταιρεία σας) για την επιβίωση της επιχείρησης. Και εμπιστεύσου τέτοια πράγματα σε τρίτους...

Επομένως, ας δούμε πώς να οργανώσουμε τη δεύτερη και την τρίτη γραμμή άμυνας (ως προσθήκη προστασίας από τον πάροχο).

Έτσι, η δεύτερη γραμμή άμυνας είναι το φιλτράρισμα και οι περιοριστές κυκλοφορίας (αστυνομικοί) στην είσοδο του δικτύου σας.

1 Παράδειγμα

Ας υποθέσουμε ότι έχετε καλύψει τον εαυτό σας με μια ομπρέλα ενάντια στο DDOS με τη βοήθεια ενός από τους παρόχους. Ας υποθέσουμε ότι αυτός ο πάροχος χρησιμοποιεί το Arbor για να φιλτράρει την κυκλοφορία και να φιλτράρει στην άκρη του δικτύου του.

Το εύρος ζώνης που μπορεί να «επεξεργάζεται» η Arbor είναι περιορισμένο και ο πάροχος, φυσικά, δεν μπορεί να περνά συνεχώς την κίνηση όλων των συνεργατών της που παραγγέλνουν αυτήν την υπηρεσία μέσω εξοπλισμού φιλτραρίσματος. Επομένως, υπό κανονικές συνθήκες, η κυκλοφορία δεν φιλτράρεται.

Ας υποθέσουμε ότι υπάρχει μια επίθεση πλημμύρας SYN. Ακόμα κι αν παραγγείλατε μια υπηρεσία που αλλάζει αυτόματα την κυκλοφορία σε φιλτράρισμα σε περίπτωση επίθεσης, αυτό δεν συμβαίνει αμέσως. Για ένα λεπτό ή περισσότερο παραμένετε υπό επίθεση. Και αυτό μπορεί να οδηγήσει σε αστοχία του εξοπλισμού σας ή σε υποβάθμιση της υπηρεσίας. Σε αυτήν την περίπτωση, ο περιορισμός της κυκλοφορίας στη δρομολόγηση άκρης, αν και θα οδηγήσει στο γεγονός ότι ορισμένες συνεδρίες TCP δεν θα δημιουργηθούν κατά τη διάρκεια αυτής της περιόδου, θα σώσει την υποδομή σας από προβλήματα μεγαλύτερης κλίμακας.

2 Παράδειγμα

Ένας ασυνήθιστα μεγάλος αριθμός πακέτων SYN μπορεί όχι μόνο να είναι το αποτέλεσμα μιας επίθεσης πλημμύρας SYN. Ας υποθέσουμε ότι παρέχετε μια υπηρεσία στην οποία μπορείτε να έχετε ταυτόχρονα περίπου 100 χιλιάδες συνδέσεις TCP (σε ένα κέντρο δεδομένων).

Ας πούμε ότι ως αποτέλεσμα ενός βραχυπρόθεσμου προβλήματος με έναν από τους κύριους παρόχους σας, οι μισές από τις συνεδρίες σας διακόπτονται. Εάν η εφαρμογή σας έχει σχεδιαστεί με τέτοιο τρόπο ώστε, χωρίς να το σκεφτείτε δύο φορές, αμέσως (ή μετά από κάποιο χρονικό διάστημα που είναι το ίδιο για όλες τις περιόδους λειτουργίας) προσπαθήσει να αποκαταστήσει τη σύνδεση, τότε θα λάβετε τουλάχιστον 50 χιλιάδες πακέτα SYN περίπου ΤΑΥΤΟΧΡΟΝΑ.

Εάν, για παράδειγμα, πρέπει να εκτελέσετε χειραψία ssl/tls πάνω από αυτές τις περιόδους σύνδεσης, η οποία περιλαμβάνει ανταλλαγή πιστοποιητικών, τότε από την άποψη της εξάντλησης πόρων για τον εξισορροπητή φορτίου, αυτό θα είναι ένα πολύ ισχυρότερο "DDOS" από ένα απλό πλημμύρα ΣΥΝ. Φαίνεται ότι οι ισορροπιστές πρέπει να χειρίζονται τέτοια γεγονότα, αλλά... δυστυχώς, αντιμετωπίζουμε ένα τέτοιο πρόβλημα.

Και, φυσικά, ένας αστυνομικός στο δρομολογητή άκρης θα σώσει τον εξοπλισμό σας και σε αυτή την περίπτωση.

Το τρίτο επίπεδο προστασίας έναντι DDOS/DOS είναι οι ρυθμίσεις του τείχους προστασίας σας.

Εδώ μπορείτε να σταματήσετε και τις δύο επιθέσεις του δεύτερου και του τρίτου τύπου. Γενικά, ό,τι φτάνει στο τείχος προστασίας μπορεί να φιλτραριστεί εδώ.

Συμβούλιο

Προσπαθήστε να δώσετε στο τείχος προστασίας όσο το δυνατόν λιγότερη δουλειά, φιλτράροντας όσο το δυνατόν περισσότερο στις δύο πρώτες γραμμές άμυνας. Και για αυτο.

Σας έχει συμβεί ποτέ κατά τύχη, ενώ δημιουργείτε κίνηση για να ελέγξετε, για παράδειγμα, πόσο ανθεκτικό είναι το λειτουργικό σύστημα των διακομιστών σας στις επιθέσεις DDOS, να «σκοτώσετε» το τείχος προστασίας σας, φορτώνοντάς το στο 100%, με κίνηση σε κανονική ένταση ? Αν όχι, ίσως είναι απλώς επειδή δεν έχετε δοκιμάσει;

Γενικά, ένα τείχος προστασίας, όπως είπα, είναι πολύπλοκο πράγμα και λειτουργεί καλά με γνωστά τρωτά σημεία και δοκιμασμένες λύσεις, αλλά αν στείλετε κάτι ασυνήθιστο, απλά μερικά σκουπίδια ή πακέτα με λανθασμένες κεφαλίδες, τότε είστε με κάποια, όχι με μια τόσο μικρή πιθανότητα (βάσει της εμπειρίας μου), μπορείτε να ζαλίσετε ακόμη και τον κορυφαίο εξοπλισμό. Επομένως, στο στάδιο 2, χρησιμοποιώντας κανονικά ACL (σε επίπεδο L3/L4), επιτρέψτε μόνο την κυκλοφορία στο δίκτυό σας που θα πρέπει να εισέλθει εκεί.

Φιλτράρισμα κυκλοφορίας στο τείχος προστασίας

Ας συνεχίσουμε τη συζήτηση για το τείχος προστασίας. Πρέπει να καταλάβετε ότι οι επιθέσεις DOS/DDOS είναι μόνο ένας τύπος επίθεσης στον κυβερνοχώρο.

Εκτός από την προστασία DOS/DDOS, μπορούμε επίσης να έχουμε κάτι σαν την ακόλουθη λίστα χαρακτηριστικών:

  • τείχος προστασίας εφαρμογών
  • πρόληψη απειλών (antivirus, anti-spyware και ευπάθεια)
  • Φιλτράρισμα URL
  • φιλτράρισμα δεδομένων (φιλτράρισμα περιεχομένου)
  • αποκλεισμός αρχείων (αποκλεισμός τύπων αρχείων)

Εναπόκειται σε εσάς να αποφασίσετε τι χρειάζεστε από αυτήν τη λίστα.

Για να συνεχιστεί

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο