ProHoster > Blog > Bestjoer > Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer. Haadstik trije. Netwurk feiligens. Diel twa

Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer. Haadstik trije. Netwurk feiligens. Diel twa

Dit artikel is it fjirde yn 'e searje "Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer." De ynhâld fan alle artikels yn 'e searje en keppelings is te finen hjir.

В earste diel Yn dit haadstik seagen wy nei guon aspekten fan netwurkfeiligens yn it segment Data Center. Dit diel sil wijd wurde oan it segment "Ynternet tagong".

Hoe kinne jo kontrôle nimme oer jo netwurkynfrastruktuer. Haadstik trije. Netwurk feiligens. Diel twa

ynternet tagong

It ûnderwerp fan feiligens is sûnder mis ien fan 'e meast komplekse ûnderwerpen yn' e wrâld fan gegevensnetwurken. Lykas yn eardere gefallen, sûnder oanspraak te meitsjen op djipte en folsleinens, sil ik hjir frij ienfâldich beskôgje, mar, nei myn miening, wichtige fragen, de antwurden wêrop, ik hoopje, sille helpe om it nivo fan feiligens fan jo netwurk te ferheegjen.

By it kontrolearjen fan dit segmint, betelje omtinken oan de folgjende aspekten:

  • ûntwerp
  • BGP ynstellings
  • DOS / DDOS beskerming
  • ferkear filterjen op de firewall

design

As foarbyld fan it ûntwerp fan dit segmint foar in bedriuwsnetwurk, soe ik oanbefelje liederskip út Cisco binnen SAFE modellen.

Fansels sil miskien de oplossing fan oare leveransiers foar jo oantrekliker lykje (sjoch. Gartner Quadrant 2018), mar sûnder jo oan te moedigjen dit ûntwerp yn detail te folgjen, fyn ik it dochs nuttich om de begjinsels en ideeën derachter te begripen.

Notysje

Yn SAFE is it segment "tagong op ôfstân" diel fan it segmint "ynternet tagong". Mar yn dizze searje artikels sille wy it apart beskôgje.

De standert set fan apparatuer yn dit segmint foar in bedriuw netwurk is

  • grins routers
  • brânmuorre

Opmerking 1

Yn dizze searje artikels, as ik praat oer firewalls, bedoel ik NGFW.

Opmerking 2

Ik wegerje beskôging fan ferskate soarten L2 / L1 of overlay L2 oer L3-oplossingen dy't nedich binne om L1 / L2-ferbining te garandearjen en behein mysels allinich ta problemen op it L3-nivo en boppe. Foar in part waarden L1/L2-problemen besprutsen yn it haadstik "Cleaning en dokumintaasje".

As jo ​​​​gjin firewall hawwe fûn yn dit segmint, dan moatte jo net haasten nei konklúzjes.

Litte wy itselde dwaan as yn foarige dielLitte wy begjinne mei de fraach: is it nedich om in firewall te brûken yn dit segmint yn jo gefal?

Ik kin sizze dat dit it meast rjochtfeardige plak liket te wêzen om firewalls te brûken en komplekse ferkearsfilteralgoritmen oan te passen. YN 1-dielen Wy hawwe 4 faktoaren neamd dy't kinne ynterferearje mei it gebrûk fan firewalls yn it datasintrumsegment. Mar hjir binne se net mear sa wichtich.

Foarbyld 1. Fertraagje

Wat it ynternet oanbelanget, hat it gjin punt om te praten oer fertragingen fan sels sa'n 1 millisekonde. Dêrom kin de fertraging yn dit segmint net in faktor wêze dy't it gebrûk fan 'e brânmuorre beheint.

Foarbyld 2. Produktiviteit

Yn guon gefallen kin dizze faktor noch signifikant wêze. Dêrom moatte jo miskien wat ferkear (bygelyks ferkear fan load balancers) tastean om de brânmuorre te omgean.

Foarbyld 3. Reliabiliteit

Dizze faktor moat noch rekken holden wurde, mar dochs, sjoen de ûnbetrouberens fan it ynternet sels, is har belang foar dit segmint net sa wichtich as foar it datasintrum.

Lit ús dus oannimme dat jo tsjinst boppe http/https libbet (mei koarte sesjes). Yn dit gefal kinne jo twa ûnôfhinklike doazen brûke (sûnder HA) en as d'r in routingprobleem is mei ien fan har, oerdrage alle ferkear nei de twadde.

Of jo kinne firewalls brûke yn transparante modus en, as se mislearje, kinne ferkear de brânmuorre omgean by it oplossen fan it probleem.

Dêrom, nei alle gedachten gewoan de priis kin de faktor wêze dy't jo twinge sil om it gebrûk fan firewalls yn dit segmint te ferlitten.

Wichtich!

D'r is in ferlieding om dizze firewall te kombinearjen mei de firewall fan it datasintrum (brûk ien firewall foar dizze segminten). De oplossing is, yn prinsipe, mooglik, mar jo moatte begripe dat omdat In brânmuorre foar ynternet tagong is eins oan 'e foargrûn fan jo ferdigening en "nimt op" op syn minst wat fan it kweade ferkear, dan moatte jo fansels rekken hâlde mei it ferhege risiko dat dizze brânmuorre útskeakele wurdt. Dat is, troch deselde apparaten yn dizze twa segminten te brûken, sille jo de beskikberens fan jo datacentersegment signifikant ferminderje.

Lykas altyd moatte jo begripe dat ôfhinklik fan 'e tsjinst dy't it bedriuw leveret, it ûntwerp fan dit segmint sterk kin ferskille. Lykas altyd kinne jo ferskate oanpak kieze ôfhinklik fan jo easken.

Foarbyld:

As jo ​​in ynhâldprovider binne, mei in CDN-netwurk (sjoch bgl. rige fan artikels), dan wolle jo miskien gjin ynfrastruktuer meitsje oer tsientallen of sels hûnderten punten fan oanwêzigens mei help fan aparte apparaten foar routing en filterjen fan ferkear. It sil djoer wêze, en it kin gewoan net nedich wêze.

Foar BGP hoege jo net needsaaklik tawijd routers te hawwen, jo kinne iepen boarne-ark brûke lykas Quagga. Dus miskien is alles wat jo nedich binne in tsjinner as ferskate servers, in switch en BGP.

Yn dit gefal kin jo server as ferskate servers de rol spylje fan net allinich in CDN-tsjinner, mar ek in router. Fansels binne d'r noch in protte details (lykas hoe't jo balâns soargje kinne), mar it is te dwaan, en it is in oanpak dy't wy mei súkses hawwe brûkt foar ien fan ús partners.

Jo kinne ferskate datasintra hawwe mei folsleine beskerming (firewalls, DDOS-beskermingstsjinsten levere troch jo ynternetproviders) en tsientallen as hûnderten "ferfâldige" punten fan oanwêzigens mei allinich L2-skeakels en servers.

Mar hoe sit it mei de beskerming yn dit gefal?

Litte we sjen nei, bygelyks, de koartlyn populêre DNS Amplification DDOS oanfal. It gefaar leit yn it feit dat in grut bedrach fan ferkear wurdt generearre, dy't gewoan 100% fan al jo uplinks "klompt".

Wat hawwe wy yn it gefal fan ús ûntwerp.

  • as jo AnyCast brûke, dan wurdt it ferkear ferdield tusken jo punten fan oanwêzigens. As jo ​​totale bânbreedte terabits is, dan beskermet dit op himsels eins (lykwols koartlyn binne d'r ferskate oanfallen west mei kwea-aardich ferkear yn 'e folchoarder fan terabits) jo beskermet tsjin "oerstreamende" uplinks
  • As guon uplinks lykwols ferstoppe wurde, ferwiderje jo dizze side gewoan út tsjinst (stopje mei it advertearjen fan it foarheaksel)
  • Jo kinne ek it oandiel fan ferkear ferstjoere fan jo "folsleine" (en, dus, beskerme) datasintra ferheegje, en sadwaande in signifikant diel fan kwea-aardich ferkear fuortsmite fan ûnbeskerme punten fan oanwêzigens

En noch ien lytse notysje oan dit foarbyld. As jo ​​genôch ferkear troch IXs stjoere, dan ferminderet dit ek jo kwetsberens foar sokke oanfallen

BGP konfigurearje

D'r binne hjir twa ûnderwerpen.

  • Konnektivität
  • BGP konfigurearje

Wy hawwe al in bytsje praat oer ferbining yn 1-dielen. It punt is om te soargjen dat ferkear nei jo klanten it optimale paad folget. Hoewol optimaliteit net altyd allinich oer latency giet, is lege latency normaal de wichtichste yndikator fan optimaliteit. Foar guon bedriuwen is dat wichtiger, foar oaren minder. It hinget allegear ôf fan 'e tsjinst dy't jo leverje.

foarbyld 1

As jo ​​in útwikseling binne, en tiidintervallen fan minder as millisekonden binne wichtich foar jo kliïnten, dan kin der fansels hielendal gjin sprake wêze fan in soarte fan ynternet.

foarbyld 2

As jo ​​​​in gamingbedriuw binne en tsientallen millisekonden binne wichtich foar jo, dan is ferbining fansels heul wichtich foar jo.

foarbyld 3

Jo moatte ek begripe dat, troch de eigenskippen fan it TCP-protokol, de gegevensferfiersnelheid binnen ien TCP-sesje ek ôfhinklik is fan RTT (Round Trip Time). CDN-netwurken wurde ek boud om dit probleem op te lossen troch ynhâldferdielingsservers tichter by de konsumint fan dizze ynhâld te ferpleatsen.

De stúdzje fan ferbining is in nijsgjirrich ûnderwerp op himsels, weardich fan syn eigen artikel of searje artikels, en fereasket in goed begryp fan hoe't it ynternet "wurket."

Nuttige boarnen:

ripe.net
bgp.he.net

Foarbyld:

Ik jou mar ien lyts foarbyld.

Lit ús der fan út dat jo data sintrum leit yn Moskou, en jo hawwe in inkele uplink - Rostelecom (AS12389). Yn dit gefal (single homed) jo net nedich BGP, en jo nei alle gedachten brûke it adres pool út Rostelecom as iepenbiere adressen.

Litte wy oannimme dat jo in bepaalde tsjinst leverje, en jo hawwe in foldwaande oantal kliïnten út Oekraïne, en se kleie oer lange fertragingen. Tidens jo ûndersyk fûnen jo dat de IP-adressen fan guon fan har yn it 37.52.0.0/21-raster binne.

Troch in traceroute út te fieren, seagen jo dat it ferkear troch AS1299 (Telia) gie, en troch in ping út te fieren, krigen jo in gemiddelde RTT fan 70 - 80 millisekonden. Jo kinne dit ek sjen op looking glass Rostelecom.

Mei help fan it whois-hulpprogramma (op ripe.net of in lokaal hulpprogramma), kinne jo maklik bepale dat blok 37.52.0.0/21 heart ta AS6849 (Ukrtelecom).

Folgjende, troch te gean nei bgp.he.net jo sjogge dat AS6849 gjin relaasje hat mei AS12389 (se binne gjin kliïnten noch uplinks nei elkoar, noch hawwe se peering). Mar as jo sjogge list fan peers foar AS6849, do silst sjen, bygelyks, AS29226 (Mastertel) en AS31133 (Megafon).

Sadree't jo fine it looking glês fan dizze providers, kinne jo ferlykje it paad en RTT. Bygelyks, foar Mastertel sil RTT sawat 30 millisekonden wêze.

Dus, as it ferskil tusken 80 en 30 millisekonden fan betsjutting is foar jo tsjinst, dan moatte jo miskien tinke oan ferbining, jo AS-nûmer krije, jo adrespool fan RIPE en ekstra uplinks ferbine en / of oanwêzichheidspunten meitsje op IX's.

As jo ​​​​BGP brûke, hawwe jo net allinich de mooglikheid om ferbining te ferbetterjen, mar jo ûnderhâlde jo ynternetferbining ek oerstallich.

Dit dokumint befettet oanbefellings foar it konfigurearjen fan BGP. Nettsjinsteande it feit dat dizze oanbefellings binne ûntwikkele op basis fan 'e "bêste praktyk" fan providers, lykwols (as jo BGP-ynstellingen net heul basis binne) binne se sûnder mis nuttich en moatte feitlik diel útmeitsje fan 'e ferharding dy't wy besprutsen yn earste diel.

DOS / DDOS beskerming

No binne DOS / DDOS-oanfallen in deistige realiteit wurden foar in protte bedriuwen. Eins wurde jo yn ien of oare foarm frij faak oanfallen. It feit dat jo dit noch net opmurken hawwe betsjut allinich dat der noch gjin doelgerichte oanfal tsjin jo organisearre is, en dat de beskermingsark dy't jo brûke, sels miskien sûnder it te witten (ferskate ynboude beskermingen fan bestjoeringssystemen), genôch om soargje derfoar dat degradaasje fan 'e levere tsjinst wurdt minimalisearre foar jo en jo klanten.

D'r binne ynternetboarnen dy't, basearre op apparatuerlogboeken, prachtige oanfalskaarten yn realtime tekenje.

it is kinne jo fine keppelings nei harren.

Myn leafste карта fan CheckPoint.

Beskerming tsjin DDOS / DOS wurdt meastal laach. Om te begripen wêrom, moatte jo begripe hokker soarten DOS/DDOS-oanfallen bestean (sjoch bgl. hjir of hjir)

Dat is, wy hawwe trije soarten oanfallen:

  • volumetryske oanfallen
  • protokol oanfallen
  • applikaasje oanfallen

As jo ​​​​josels beskermje kinne tsjin 'e lêste twa soarten oanfallen mei bygelyks firewalls, dan kinne jo josels net beskermje tsjin oanfallen dy't rjochte binne op "oerweldigjen" fan jo uplinks (fansels as jo totale kapasiteit fan ynternetkanalen net yn terabits berekkene wurdt, of better noch, yn tsientallen terabit).

Dêrom is de earste line fan definsje beskerming tsjin "volumetryske" oanfallen, en jo provider of providers moatte jo dizze beskerming leverje. As jo ​​​​dit noch net realisearre hawwe, dan hawwe jo gewoan gelok foar no.

Foarbyld:

Litte wy sizze dat jo ferskate uplinks hawwe, mar mar ien fan 'e oanbieders kin jo dizze beskerming leverje. Mar as alle ferkear troch ien provider giet, hoe sit it dan mei de ferbining dy't wy in bytsje earder koart besprutsen hawwe?

Yn dit gefal moatte jo ferbining diels opofferje tidens de oanfal. Mar

  • dit is allinnich foar de doer fan 'e oanfal. Yn it gefal fan in oanfal kinne jo BGP manuell of automatysk opnij konfigurearje sadat ferkear allinich troch de provider giet dy't jo de "paraplu" foarsjocht. Nei't de oanfal foarby is, kinne jo de rûte weromsette nei syn foarige steat
  • It is net nedich om alle ferkear oer te dragen. As jo ​​bygelyks sjogge dat d'r gjin oanfallen binne troch guon uplinks of peerings (of it ferkear is net signifikant), kinne jo trochgean mei advertearje foarheaksels mei kompetitive attributen nei dizze BGP-buorlju.

Jo kinne ek beskerming tsjin "protokoloanfallen" en "applikaasje oanfallen" delegearje oan jo partners.
hjir hjir do kinst in goede stúdzje lêze (oersetting). Wier, it artikel is twa jier âld, mar it sil jo in idee jaan fan 'e oanpak oer hoe't jo josels kinne beskermje tsjin DDOS-oanfallen.

Yn prinsipe kinne jo josels hjirmei beheine, jo beskerming folslein útbesteegje. Der binne foardielen oan dit beslút, mar der is ek in dúdlik neidiel. It feit is dat wy kinne prate (wer, ôfhinklik fan wat jo bedriuw docht) oer it fuortbestean fan it bedriuw. En fertrou sokke dingen oan tredden ...

Litte wy dêrom sjen nei hoe't jo de twadde en tredde ferdigeningslinen organisearje (as oanfolling op beskerming fan 'e provider).

Dat, de twadde line fan definsje is filterjen en ferkearsbeheiners (plysjes) by de yngong fan jo netwurk.

foarbyld 1

Lit ús oannimme dat jo hawwe bedutsen dysels mei in paraplu tsjin DDOS mei help fan ien fan de providers. Litte wy oannimme dat dizze provider Arbor brûkt om ferkear en filters te filterjen oan 'e râne fan syn netwurk.

De bânbreedte dy't Arbor kin "ferwurkje" is beheind, en de provider kin fansels net konstant it ferkear trochjaan fan al har partners dy't dizze tsjinst bestelle fia filterapparatuer. Dêrom wurdt ûnder normale omstannichheden ferkear net filtere.

Litte wy oannimme dat d'r in SYN-oerstreamingsoanfal is. Sels as jo in tsjinst besteld hawwe dy't ferkear automatysk oerskeakelt nei filterjen yn gefal fan in oanfal, bart dit net direkt. Foar in minút of mear bliuwe jo ûnder oanfal. En dit kin liede ta falen fan jo apparatuer of degradaasje fan 'e tsjinst. Yn dit gefal, it beheinen fan ferkear by de râne routing, hoewol't it sil liede ta it feit dat guon TCP sesjes sille net wurde fêststeld yn dizze tiid, bewarje jo ynfrastruktuer út grutter-skalige problemen.

foarbyld 2

In abnormaal grut oantal SYN-pakketten kin net allinich it resultaat wêze fan in SYN-oerstreamingsoanfal. Litte wy oannimme dat jo in tsjinst leverje wêryn jo tagelyk sawat 100 tûzen TCP-ferbiningen kinne hawwe (nei ien datasintrum).

Litte wy sizze dat as gefolch fan in koarte termyn probleem mei ien fan jo haadproviders, de helte fan jo sesjes wurdt skopt. As jo ​​​​applikaasje sa is ûntworpen dat, sûnder twa kear te tinken, it fuortendaliks (of nei in skoft ynterval dat itselde is foar alle sesjes) besiket de ferbining opnij te meitsjen, dan krije jo op syn minst 50 tûzen SYN-pakketten sawat tagelyk.

As jo ​​bygelyks ssl/tls-handshake boppe-op dizze sesjes moatte útfiere, wêrby't it útwikseljen fan sertifikaten giet, dan sil dit út it eachpunt fan it útbrekken fan boarnen foar jo loadbalancer in folle sterkere "DDOS" wêze as in ienfâldige SYN flood. It liket derop dat balancers sokke eveneminten behannelje moatte, mar... spitigernôch sitte wy mei sa'n probleem.

En, fansels, in plysjeman op 'e râne-router sil jo apparatuer yn dit gefal ek bewarje.

It tredde nivo fan beskerming tsjin DDOS / DOS is jo firewall ynstellings.

Hjir kinne jo beide oanfallen fan 'e twadde en tredde type stopje. Yn 't algemien kin alles wat de firewall berikt hjir filtere wurde.

Tip

Besykje de brânmuorre sa min mooglik wurk te jaan, en filterje safolle mooglik op 'e earste twa linen fan definsje. En dêrom.

Is it jo oait bard dat jo by tafal, wylst jo ferkear generearje om bygelyks te kontrolearjen hoe resistint it bestjoeringssysteem fan jo servers is foar DDOS-oanfallen, jo jo firewall "fermoarde" en it laden nei 100 prosint, mei ferkear op normale yntensiteit ? As net, miskien is it gewoan om't jo net hawwe besocht?

Yn 't algemien is in brânmuorre, lykas ik sei, in kompleks ding, en it wurket goed mei bekende kwetsberens en teste oplossings, mar as jo wat ûngewoan stjoere, gewoan wat jiskefet of pakketten mei ferkearde kopteksten, dan binne jo mei guon, net mei sa'n lytse kâns (basearre op myn ûnderfining), kinne jo stupefy sels top-ein apparatuer. Dêrom, op poadium 2, mei help fan reguliere ACL's (op it L3 / L4-nivo), tastean allinich ferkear yn jo netwurk dat dêr yngean moat.

Ferkear filterjen op 'e firewall

Litte wy it petear oer de firewall trochgean. Jo moatte begripe dat DOS / DDOS-oanfallen mar ien soarte fan cyberoanfal binne.

Neist DOS / DDOS-beskerming kinne wy ​​ek wat hawwe as de folgjende list mei funksjes:

  • applikaasje firewalling
  • bedrigingsprevinsje (antivirus, anty-spyware, en kwetsberens)
  • URL-filtering
  • gegevensfiltering (ynhâldfiltering)
  • bestân blokkearje (bestânstypen blokkearje)

It is oan jo om te besluten wat jo nedich binne fan dizze list.

To continue

Boarne: www.habr.com

Add a comment