ProHoster > Блог > Gudanarwa > Yadda ake sarrafa kayan aikin sadarwar ku. Babi na uku. Tsaro na cibiyar sadarwa. Kashi na biyu

Yadda ake sarrafa kayan aikin sadarwar ku. Babi na uku. Tsaro na cibiyar sadarwa. Kashi na biyu

Wannan labarin shi ne na huɗu a cikin jerin “Yadda Zaku Ci Gaba da Gudanar da Kayayyakin Sadarwar Sadarwar Ku.” Ana iya samun abubuwan da ke cikin duk labaran da ke cikin jerin da hanyoyin haɗin gwiwa a nan.

В bangare na farko A cikin wannan babi, mun kalli wasu fannoni na tsaro na cibiyar sadarwa a sashin Cibiyar Bayanai. Wannan ɓangaren za a keɓance shi ne ga ɓangaren “Haɗin Intanet”.

Yadda ake sarrafa kayan aikin sadarwar ku. Babi na uku. Tsaro na cibiyar sadarwa. Kashi na biyu

internet access

Batun tsaro ba shakka yana ɗaya daga cikin batutuwa masu rikitarwa a duniyar hanyoyin sadarwar bayanai. Kamar yadda a cikin lokuta da suka gabata, ba tare da da'awar zurfin da cikawa ba, zan yi la'akari a nan mai sauƙi, amma, a ganina, tambayoyi masu mahimmanci, amsoshin da, ina fata, za su taimaka wajen haɓaka matakin tsaro na cibiyar sadarwar ku.

Lokacin duba wannan sashe, kula da abubuwa masu zuwa:

  • zane
  • Saitunan BGP
  • Kariyar DOS/DDOS
  • zirga-zirga tacewa a kan Tacewar zaɓi

Zane

A matsayin misali na ƙirar wannan ɓangaren don cibiyar sadarwar kasuwanci, zan ba da shawarar jagora daga Cisco a ciki Samfuran SAFE.

Tabbas, watakila maganin wasu dillalai zai yi kama da kyau a gare ku (duba. Gartner Quadrant 2018), amma ba tare da ƙarfafa ku ku bi wannan zane daki-daki ba, har yanzu ina ganin yana da amfani don fahimtar ka'idoji da ra'ayoyin da ke bayansa.

Lura

A cikin SAFE, ɓangaren "Imar Nesa" wani ɓangare ne na ɓangaren "Izinin Intanet". Amma a cikin wannan jerin talifofin za mu yi la’akari da shi dabam.

Madaidaicin saitin kayan aiki a cikin wannan sashin don cibiyar sadarwar kasuwanci shine

  • masu amfani da iyaka
  • firewalls

Bayanan kula 1

A cikin wannan jerin labaran, lokacin da nake magana game da firewalls, ina nufin NGFW.

Bayanan kula 2

Na tsallake la'akari da nau'ikan L2 / L1 daban-daban ko rufe L2 akan hanyoyin L3 waɗanda suka wajaba don tabbatar da haɗin L1 / L2 kuma iyakance kaina kawai ga batutuwa a matakin L3 da sama. A wani ɓangare, an tattauna batutuwan L1/L2 a cikin babin “Tsaftacewa da Takardu".

Idan baku sami bangon wuta a cikin wannan sashin ba, to bai kamata ku yi gaggawar yanke hukunci ba.

Mu yi daidai da a cikin bangaren da ya gabataBari mu fara da tambayar: shin ya zama dole a yi amfani da Tacewar zaɓi a cikin wannan sashin a cikin yanayin ku?

Zan iya cewa wannan da alama shine wurin da ya fi dacewa don amfani da firewalls da kuma amfani da hadadden algorithms tace zirga-zirga. IN part 1 Mun ambaci abubuwa 4 waɗanda za su iya tsoma baki tare da amfani da wuta a cikin sashin cibiyar bayanai. Amma a nan ba su da mahimmanci.

Misali 1. Jinkirtawa

Dangane da Intanet, babu wata ma'ana a magana game da jinkirin ko da kusan milli seconds 1. Don haka, jinkirin da ke cikin wannan sashin ba zai iya zama abin da zai iyakance amfani da tacewar zaɓi ba.

Misali 2. Yawan aiki

A wasu lokuta wannan batu na iya zama mahimmanci. Don haka, ƙila ka ƙyale wasu zirga-zirga (misali, zirga-zirga daga ma'aunin nauyi) su ƙetare shingen wuta.

Misali 3. AMINCI

Har yanzu ana bukatar a yi la’akari da wannan batu, amma duk da haka, idan aka yi la’akari da rashin dogaro da Intanet kanta, muhimmancinsa ga wannan bangare bai kai matsayin cibiyar bayanai ba.

Don haka, bari mu ɗauka cewa sabis ɗin ku yana kan http/https (tare da gajerun zama). A wannan yanayin, zaku iya amfani da kwalaye masu zaman kansu guda biyu (ba tare da HA ba) kuma idan akwai matsala ta hanya tare da ɗayansu, canja wurin duk zirga-zirga zuwa na biyu.

Ko kuma kuna iya amfani da wutan wuta a cikin yanayin bayyane kuma, idan sun gaza, ba da damar zirga-zirgar ababen hawa su ƙetare tacewar wuta yayin magance matsalar.

Saboda haka, mafi m kawai Farashin na iya zama abin da zai tilasta maka barin amfani da wuta a cikin wannan sashin.

Muhimmin!

Akwai jaraba don haɗa wannan Tacewar zaɓi tare da Tacewar zaɓi na cibiyar bayanai (amfani da bangon wuta ɗaya don waɗannan sassan). Magani shine, bisa manufa, mai yiwuwa, amma kuna buƙatar fahimtar hakan saboda Tacewar wuta ta Intanet shine ainihin kan gaba na tsaron ku kuma yana "ɗauka" aƙalla wasu ɓangarori masu ɓarna, to, ba shakka, kuna buƙatar la'akari da ƙarin haɗarin cewa wannan Tacewar zaɓi za ta kashe. Wato ta hanyar amfani da na'urori iri ɗaya a cikin waɗannan sassan biyu, za ku rage yawan samuwar sashin cibiyar bayanan ku.

Kamar koyaushe, kuna buƙatar fahimtar cewa dangane da sabis ɗin da kamfani ke bayarwa, ƙirar wannan ɓangaren na iya bambanta sosai. Kamar koyaushe, zaku iya zaɓar hanyoyi daban-daban dangane da buƙatun ku.

Alal misali:

Idan kai mai bada abun ciki ne, tare da hanyar sadarwar CDN (duba, misali, jerin labarai), to, ƙila ba za ku so ƙirƙirar abubuwan more rayuwa a cikin ɗimbin yawa ko ma ɗaruruwan wuraren kasancewar ta amfani da na'urori daban don kewayawa da tace zirga-zirga. Zai yi tsada, kuma yana iya zama ba dole ba.

Don BGP ba lallai ne ka sami kwazo da hanyoyin sadarwa ba, zaka iya amfani da kayan aikin buɗaɗɗen tushe kamar Kugga. Don haka watakila duk abin da kuke buƙata shine uwar garken ko sabar da yawa, maɓalli da BGP.

A wannan yanayin, uwar garken ku ko sabar da yawa na iya taka rawar ba kawai uwar garken CDN ba, har ma da na'ura mai ba da hanya tsakanin hanyoyin sadarwa. Tabbas, har yanzu akwai cikakkun bayanai (kamar yadda ake tabbatar da daidaitawa), amma yana iya yiwuwa, kuma hanya ce da muka samu nasarar amfani da ita ga ɗaya daga cikin abokan aikinmu.

Kuna iya samun cibiyoyin bayanai da yawa tare da cikakken kariya (firewalls, sabis na kariyar DDOS da masu samar da Intanet ɗin ku ke bayarwa) da yawa ko ɗaruruwan wuraren “sauƙaƙe” na kasancewar tare da musaya da sabar L2 kawai.

Amma yaya game da kariya a cikin wannan harka?

Bari mu dubi, alal misali, shahararren kwanan nan Ƙaddamar da DNS DDOS harin. Haɗarin sa ya ta'allaka ne a cikin gaskiyar cewa ana haifar da yawan zirga-zirgar ababen hawa, wanda kawai "ya toshe" 100% na duk abubuwan haɗin ku.

Menene muke da shi a cikin yanayin ƙirar mu.

  • idan kuna amfani da AnyCast, to ana rarraba zirga-zirga tsakanin wuraren kasancewar ku. Idan jimlar bandwidth ɗin ku terabits ne, to wannan a cikin kanta a zahiri (duk da haka, kwanan nan an sami hare-hare da yawa tare da zirga-zirgar ɓarna akan tsari na terabits) yana ba ku kariya daga haɓakar "cirewa".
  • Idan, duk da haka, wasu hanyoyin haɗin kai sun toshe, to kawai ku cire wannan rukunin yanar gizon daga sabis (dakatar da tallan prefix)
  • Hakanan zaka iya ƙara rabon zirga-zirgar zirga-zirgar da aka aika daga cibiyoyin bayananku "cikakku" (kuma, bisa ga haka, masu kariya), don haka cire wani muhimmin ɓangaren zirga-zirgar ɓarna daga wuraren da ba a karewa ba.

Kuma ƙarin ƙaramin bayanin kula ga wannan misalin. Idan kun aika isassun zirga-zirga ta hanyar IXs, to wannan kuma yana rage raunin ku ga irin waɗannan hare-hare

Saita BGP

Akwai batutuwa biyu a nan.

  • Haɗuwa
  • Saita BGP

Mun riga mun yi magana kaɗan game da haɗin kai a ciki part 1. Ma'anar ita ce tabbatar da cewa zirga-zirga zuwa abokan cinikin ku sun bi hanya mafi kyau. Ko da yake mafi kyawun ba koyaushe ba ne kawai game da latency, ƙarancin latency yawanci shine babban alamar ingantaccen aiki. Ga wasu kamfanoni wannan ya fi mahimmanci, ga wasu kuma ya fi ƙasa. Duk ya dogara da sabis ɗin da kuke bayarwa.

misali 1

Idan kun kasance musayar, kuma tazarar lokaci na ƙasa da milliseconds suna da mahimmanci ga abokan cinikin ku, to, ba shakka, ba za a iya yin magana akan kowane irin Intanet ba kwata-kwata.

misali 2

Idan kun kasance kamfani na caca kuma dubun mil seconds suna da mahimmanci a gare ku, to, ba shakka, haɗin kai yana da mahimmanci a gare ku.

misali 3

Hakanan kuna buƙatar fahimtar cewa, saboda kaddarorin ƙa'idar TCP, ƙimar canja wurin bayanai tsakanin zaman TCP ɗaya shima ya dogara da RTT (Lokacin Tafiya na Zagaye). Hakanan ana gina hanyoyin sadarwar CDN don magance wannan matsala ta hanyar matsar da sabar rarraba abun ciki kusa da mabukacin wannan abun ciki.

Nazarin haɗin kai wani batu ne mai ban sha'awa a cikin kansa, wanda ya cancanci labarinsa ko jerin labaran, kuma yana buƙatar fahimtar yadda Intanet ke "aiki."

albarkatu masu amfani:

cikakke.net
bgp.he.net

Alal misali:

Zan ba da ƙaramin misali ɗaya kawai.

Bari mu ɗauka cewa cibiyar bayanan ku tana cikin Moscow, kuma kuna da haɓaka guda ɗaya - Rostelecom (AS12389). A wannan yanayin (gida guda ɗaya) ba kwa buƙatar BGP, kuma wataƙila kuna amfani da wurin ajiyar adireshi daga Rostelecom azaman adiresoshin jama'a.

Bari mu ɗauka cewa ka samar da wani sabis, kuma kana da isasshen adadin abokan ciniki daga Ukraine, kuma suna koka game da dogon jinkiri. Yayin binciken ku, kun gano cewa adiresoshin IP na wasu daga cikinsu suna cikin grid 37.52.0.0/21.

Ta hanyar tafiyar da traceroute, kun ga cewa zirga-zirgar zirga-zirgar zirga-zirgar zirga-zirgar zirga-zirgar zirga-zirgar zirga-zirgar ababen hawa ta bi ta AS1299 (Telia), kuma ta hanyar sarrafa ping, kuna samun matsakaicin RTT na 70 - 80 millise seconds. Hakanan zaka iya ganin wannan a kallon gilashin Rostelecom.

Amfani da whois utility (a kan ripe.net ko na gida mai amfani), za ka iya sauƙi ƙayyade cewa block 37.52.0.0/21 nasa ne na AS6849 (Ukrtelecom).

Na gaba, ta hanyar zuwa bgp.he.net kun ga cewa AS6849 ba shi da wata alaƙa da AS12389 (ba abokan ciniki ba ne kuma ba su da alaƙa da juna, kuma ba su da peering). Amma idan ka duba jerin takwarorinsu don AS6849, zaku ga, misali, AS29226 (Mastertel) da AS31133 (Megafon).

Da zarar ka sami gilashin kallo na waɗannan masu samarwa, za ka iya kwatanta hanyar da RTT. Misali, don Mastertel RTT zai zama kusan 30 millise seconds.

Don haka, idan bambanci tsakanin 80 da 30 milliseconds yana da mahimmanci ga sabis ɗin ku, to watakila kuna buƙatar yin tunani game da haɗin kai, sami lambar AS ɗin ku, tafkin adireshin ku daga RIPE kuma ku haɗa ƙarin haɓakawa da / ko ƙirƙirar wuraren kasancewa akan IXs.

Lokacin da kake amfani da BGP, ba wai kawai kuna da damar inganta haɗin kai ba, har ma kuna ci gaba da kula da haɗin Intanet ɗin ku.

Wannan takarda ya ƙunshi shawarwari don daidaita BGP. Duk da cewa an haɓaka waɗannan shawarwarin bisa ga "mafi kyawun aiki" na masu samarwa, duk da haka (idan saitunan BGP ɗinku ba su da asali) babu shakka suna da amfani kuma a zahiri ya kamata su kasance cikin taurin da muka tattauna a ciki. bangare na farko.

Kariyar DOS/DDOS

Yanzu hare-haren DOS / DDOS sun zama gaskiyar yau da kullum ga kamfanoni da yawa. A gaskiya ma, ana kai muku hari sau da yawa ta wata hanya ko wata. Kasancewar har yanzu ba ku lura da wannan ba yana nufin cewa har yanzu ba a shirya harin da aka yi niyya akan ku ba, kuma matakan kariya da kuke amfani da su, ko da wataƙila ba tare da saninsa ba (kariyar ginannun tsarin aiki daban-daban), sun isa. tabbatar da cewa an rage girman lalacewar sabis ɗin da aka bayar don ku da abokan cinikin ku.

Akwai albarkatun Intanet waɗanda, dangane da rajistan ayyukan kayan aiki, zana kyawawan taswirar hari a ainihin lokacin.

Yana da za ka iya samun hanyoyin haɗi zuwa gare su.

Ƙaunataccena katin daga CheckPoint.

Kariya daga DDOS/DOS yawanci akan layi ne. Don fahimtar dalilin da yasa, kuna buƙatar fahimtar nau'ikan hare-haren DOS/DDOS (duba, misali, a nan ko a nan)

Wato muna da hare-hare iri uku:

  • hare-haren volumetric
  • hare-haren yarjejeniya
  • harin aikace-aikace

Idan za ku iya kare kanku daga nau'ikan hare-hare guda biyu na ƙarshe ta amfani da, alal misali, firewalls, to ba za ku iya kare kanku daga hare-haren da aka yi niyya don “masu yawa” hanyoyin haɗin yanar gizonku ba (tabbas, idan ba a ƙididdige ƙarfin ku na tashoshin Intanet a cikin terabits ba, ko mafi kyau duk da haka, a cikin goma terabit).

Don haka, layin farko na tsaro shine kariya daga hare-haren "volumetric", kuma mai bada sabis ko masu samar da ku dole ne su ba ku wannan kariya. Idan ba ku gane wannan ba tukuna, to kun yi sa'a a yanzu.

Alal misali:

Bari mu ce kuna da hanyoyin haɗin kai da yawa, amma ɗaya daga cikin masu samarwa ne kawai zai iya ba ku wannan kariya. Amma idan duk zirga-zirgar zirga-zirga ta shiga ta hanyar mai ba da sabis ɗaya, to menene game da haɗin kai wanda muka tattauna a ɗan lokaci kaɗan?

A wannan yanayin, dole ne ku sadaukar da ɗan haɗin haɗin gwiwa yayin harin. Amma

  • wannan na tsawon lokacin harin ne kawai. A yayin harin, zaku iya sake saita BGP da hannu ko ta atomatik ta yadda zirga-zirgar zirga-zirga ke tafiya ta hanyar mai ba da sabis ɗin da ke ba ku "laima". Bayan an gama harin, zaku iya mayar da hanyar zuwa yanayin da ya gabata
  • Ba lallai ba ne don canja wurin duk zirga-zirga. Idan, alal misali, kun ga cewa babu wani hari ta hanyar wasu abubuwan haɓakawa ko takwarorinsu (ko zirga-zirgar ba ta da mahimmanci), za ku iya ci gaba da tallata prefixes tare da halayen gasa ga waɗannan maƙwabtan BGP.

Hakanan zaka iya ba da kariya daga "kai hari na yarjejeniya" da "kai hari aikace-aikace" ga abokan hulɗarka.
a nan a nan za ku iya karanta kyakkyawan karatu (fassarar). Gaskiya ne, labarin yana da shekaru biyu, amma zai ba ku ra'ayi game da hanyoyin da za ku iya kare kanku daga hare-haren DDOS.

A ka'ida, za ku iya iyakance kanku ga wannan, gaba ɗaya fitar da kariyarku. Akwai fa'idodi ga wannan shawarar, amma kuma akwai rashin amfani a fili. Gaskiyar ita ce, zamu iya magana (sake, dangane da abin da kamfanin ku ke yi) game da rayuwar kasuwancin. Kuma amince da irin waɗannan abubuwa ga wasu mutane ...

Don haka, bari mu kalli yadda ake tsara layin tsaro na biyu da na uku (a matsayin ƙari ga kariya daga mai bayarwa).

Don haka, layin tsaro na biyu shine tacewa da masu hana zirga-zirga ('yan sanda) a ƙofar hanyar sadarwar ku.

misali 1

Bari mu ɗauka cewa kun rufe kanku da laima akan DDOS tare da taimakon ɗaya daga cikin masu samarwa. Bari mu ɗauka cewa wannan mai bada yana amfani da Arbor don tace zirga-zirga da tacewa a ƙarshen hanyar sadarwarsa.

Ƙwararren bandwidth wanda Arbor zai iya "tsara" yana iyakance, kuma mai badawa, ba shakka, ba zai iya ci gaba da wucewa ta hanyar duk abokan hulɗar da ke ba da umarnin wannan sabis ɗin ta hanyar kayan aikin tacewa ba. Don haka, a ƙarƙashin yanayin al'ada, ba a tace zirga-zirga.

Bari mu ɗauka akwai harin ambaliya na SYN. Ko da kun ba da umarnin sabis wanda ke canza zirga-zirga ta atomatik zuwa tacewa a yayin harin, wannan baya faruwa nan take. Tsawon minti daya ko fiye da haka ana kai hari. Kuma wannan na iya haifar da gazawar kayan aikin ku ko lalata sabis ɗin. A wannan yanayin, iyakance zirga-zirga a gefen hanya, kodayake zai haifar da gaskiyar cewa ba za a kafa wasu zaman TCP a wannan lokacin ba, zai ceci abubuwan more rayuwa daga manyan matsaloli.

misali 2

Yawan fakitin SYN da bai sabawa al'ada ba bazai zama sakamakon harin ambaliya na SYN ba. Bari mu ɗauka cewa kuna ba da sabis ɗin da zaku iya samun kusan haɗin TCP 100 a lokaci guda (zuwa cibiyar bayanai ɗaya).

Bari mu ce a sakamakon matsalar ɗan gajeren lokaci tare da ɗaya daga cikin manyan masu samar da ku, ana harba rabin zaman ku. Idan an tsara aikace-aikacen ku ta hanyar, ba tare da yin tunani sau biyu ba, nan da nan (ko bayan ɗan lokaci tazara wanda yake daidai da duk zaman) yayi ƙoƙarin sake kafa haɗin gwiwa, to zaku karɓi fakitin SYN aƙalla dubu 50. lokaci guda.

Idan, alal misali, dole ne ku gudanar da musafikan ssl/tls a saman waɗannan zaman, wanda ya haɗa da musayar takaddun shaida, to daga ra'ayi na raguwar albarkatu don ma'aunin nauyin ku, wannan zai zama mafi ƙarfi "DDOS" fiye da sauƙi. SYN ambaliya. Zai zama alama cewa masu daidaitawa ya kamata su kula da irin waɗannan abubuwan, amma ... da rashin alheri, muna fuskantar irin wannan matsala.

Kuma, ba shakka, ɗan sanda a kan na'ura mai ba da hanya tsakanin hanyoyin sadarwa zai adana kayan aikin ku a wannan yanayin kuma.

Mataki na uku na kariya daga DDOS/DOS shine saitin bangon ku.

Anan zaka iya dakatar da duka hare-haren na biyu da na uku. Gabaɗaya, duk abin da ya kai ga Tacewar zaɓi ana iya tace shi anan.

Tip

Yi ƙoƙarin ba da bangon wuta a matsayin ɗan ƙaramin aiki kamar yadda zai yiwu, tacewa gwargwadon yiwuwa akan layi biyu na farko na tsaro. Kuma shi ya sa.

Shin ya taɓa faruwa da ku cewa kwatsam, yayin da kuke samar da zirga-zirga don bincika, alal misali, yadda tsarin aiki na sabobin ku ke jure wa hare-haren DDOS, kun “kashe” Firewall ɗin ku, kuna loda shi zuwa kashi 100, tare da zirga-zirga a daidai lokacin da aka saba. ? Idan ba haka ba, watakila saboda kawai ba ku gwada ba?

Gabaɗaya, Firewall, kamar yadda na faɗa, abu ne mai rikitarwa, kuma yana aiki da kyau tare da sanannun raunin da kuma hanyoyin da aka gwada, amma idan kun aika wani sabon abu, kawai wasu sharar gida ko fakiti tare da rubutun da ba daidai ba, to kuna tare da wasu, ba tare da irin wannan ƙananan yuwuwar (dangane da gwaninta), zaku iya stupefy ko da kayan aiki na saman-ƙarshen. Don haka, a mataki na 2, ta amfani da ACLs na yau da kullun (a matakin L3/L4), kawai ba da izinin zirga-zirga a cikin hanyar sadarwar ku wanda yakamata ya shiga can.

Tace zirga-zirga a kan Tacewar zaɓi

Bari mu ci gaba da tattaunawa game da Tacewar zaɓi. Kuna buƙatar fahimtar cewa hare-haren DOS/DDOS nau'in harin yanar gizo ne kawai.

Baya ga kariyar DOS/DDOS, za mu iya samun wani abu kamar jerin fasali masu zuwa:

  • aikace-aikace firewalling
  • rigakafin barazanar (antivirus, anti-spyware, da rauni)
  • URL tace
  • tace bayanai (tace abun ciki)
  • toshe fayil (nau'in fayil blocking)

Ya rage naku don yanke shawarar abin da kuke buƙata daga wannan jeri.

Don ci gaba

source: www.habr.com

Add a comment