ProHoster > Blog > Administrasyon an > Ki jan yo pran kontwòl enfrastrikti rezo ou a. Chapit twa. Sekirite rezo. Pati de

Ki jan yo pran kontwòl enfrastrikti rezo ou a. Chapit twa. Sekirite rezo. Pati de

Atik sa a se katriyèm nan seri "Kijan pou w pran kontwòl enfrastrikti rezo w la." Ou ka jwenn sa ki nan tout atik nan seri a ak lyen yo isit la.

В premye pati a Nan chapit sa a, nou te gade kèk aspè sekirite rezo nan segman Data Center. Pati sa a pral konsakre nan segman "Aksè Entènèt".

Ki jan yo pran kontwòl enfrastrikti rezo ou a. Chapit twa. Sekirite rezo. Pati de

aksè nan entènèt

Sijè sekirite a se san dout youn nan sijè ki pi konplèks nan mond rezo done yo. Kòm nan ka anvan yo, san yo pa reklame pwofondè ak konplè, mwen pral konsidere isit la byen senp, men, nan opinyon mwen, kesyon enpòtan, repons yo ki, mwen espere, pral ede ogmante nivo sekirite rezo ou a.

Lè odit segman sa a, peye atansyon sou aspè sa yo:

  • konsepsyon
  • Paramèt BGP
  • Pwoteksyon DOS/DDOS
  • filtraj trafik sou firewall la

Design

Kòm yon egzanp nan konsepsyon segman sa a pou yon rezo antrepriz, mwen ta rekòmande lidèchip soti nan Cisco nan Modèl SAFE.

Natirèlman, petèt solisyon lòt machann yo pral sanble pi atire ou (gade. Gartner Quadrant 2018), men san m pa ankouraje w suiv konsepsyon sa a an detay, mwen toujou jwenn li itil pou m konprann prensip ak lide ki dèyè l.

Remak

Nan SAFE, segman "Aksè Remote" se yon pati nan segman "Aksè Entènèt". Men, nan seri atik sa a nou pral konsidere li separeman.

Estanda seri ekipman nan segman sa a pou yon rezo antrepwiz se

  • routeurs fwontyè
  • firewall

Remak 1

Nan seri atik sa a, lè mwen pale de firewall, mwen vle di NGFW.

Remak 2

Mwen omite konsiderasyon nan divès kalite L2/L1 oswa kouvri L2 sou L3 solisyon ki nesesè pou asire koneksyon L1/L2 epi limite tèt mwen sèlman nan pwoblèm nan nivo L3 ak pi wo a. Pasyèlman, pwoblèm L1/L2 yo te diskite nan chapit la "Netwayaj ak Dokimantasyon".

Si ou pa te jwenn yon firewall nan segman sa a, Lè sa a, ou pa ta dwe prese nan konklizyon.

Ann fè menm jan ak nan pati anvanAnn kòmanse ak kesyon an: èske li nesesè yo sèvi ak yon firewall nan segman sa a nan ka ou a?

Mwen ka di ke sa a sanble yo dwe kote ki pi jistifye yo sèvi ak firewall ak aplike algoritm konplèks filtraj trafik. NAN pati 1 Nou mansyone 4 faktè ki ka entèfere ak itilizasyon firewall nan segman sant done yo. Men, isit la yo pa tèlman enpòtan ankò.

Egzanp 1. Reta

Osi lwen ke entènèt la konsène, pa gen okenn pwen nan pale sou reta nan menm apeprè 1 milisgond. Se poutèt sa, reta nan segman sa a pa kapab yon faktè limite itilizasyon firewall la.

Egzanp 2. Pwodiktivite

Nan kèk ka faktè sa a ka toujou enpòtan. Se poutèt sa, ou ka oblije pèmèt kèk trafik (pa egzanp, trafik soti nan balans chaj) kontoune firewall la.

Egzanp 3. Fyab

Faktè sa a toujou bezwen pran an kont, men yo toujou, bay enfiyabilite nan entènèt la tèt li, enpòtans li pou segman sa a pa enpòtan menm jan ak sant done a.

Se konsa, an n sipoze ke sèvis ou a ap viv sou tèt http/https (ak sesyon kout). Nan ka sa a, ou ka itilize de bwat endepandan (san HA) epi si gen yon pwoblèm routage ak youn nan yo, transfere tout trafik nan dezyèm lan.

Oswa ou ka itilize firewall nan mòd transparan epi, si yo echwe, pèmèt trafik kontoune firewall la pandan y ap rezoud pwoblèm nan.

Se poutèt sa, gen plis chans jis pri ka faktè a ki pral fòse ou abandone itilizasyon firewall nan segman sa a.

Enpòtan!

Gen yon tantasyon konbine firewall sa a ak firewall sant done (sèvi ak yon sèl firewall pou segman sa yo). Solisyon an se, nan prensip, posib, men ou bezwen konprann sa paske Yon pare-feu Aksè Entènèt se aktyèlman nan forefront nan defans ou ak "pran sou" omwen kèk nan trafik la move, Lè sa a, nan kou, ou bezwen pran an kont risk ki ogmante ke firewall sa a pral enfim. Sa vle di, lè w sèvi ak menm aparèy yo nan de segman sa yo, ou pral siyifikativman redwi disponiblite a nan segman sant done ou a.

Kòm toujou, ou bezwen konprann ke depann sou sèvis la ke konpayi an bay, konsepsyon an nan segman sa a ka varye anpil. Kòm toujou, ou ka chwazi diferan apwòch depann sou kondisyon ou yo.

Egzanp

Si ou se yon founisè kontni, ak yon rezo CDN (gade, pou egzanp, seri atik), Lè sa a, ou ka pa vle kreye enfrastrikti atravè plizyè douzèn oswa menm dè santèn de pwen prezans lè l sèvi avèk aparèy separe pou routage ak filtraj trafik. Li pral chè, epi li ka tou senpleman pa nesesè.

Pou BGP ou pa nesesèman gen routeurs devwe, ou ka itilize zouti sous louvri tankou kwaga. Se konsa, petèt tout sa ou bezwen se yon sèvè oswa plizyè serveurs, yon switch ak BGP.

Nan ka sa a, sèvè ou oswa plizyè serveurs ka jwe wòl pa sèlman yon sèvè CDN, men tou, yon routeur. Natirèlman, toujou gen anpil detay (tankou ki jan asire balanse), men li se posib, epi li se yon apwòch nou te itilize avèk siksè pou youn nan patnè nou yo.

Ou ka gen plizyè sant done ki gen pwoteksyon konplè (pare-feu, sèvis pwoteksyon DDOS founisè entènèt ou yo bay) ak plizyè douzèn oswa dè santèn de pwen prezans "senplifye" ak switch L2 ak sèvè sèlman.

Men, sa ki sou pwoteksyon an nan ka sa a?

Ann gade, pou egzanp, popilè a dènyèman DNS anplifikasyon DDOS atak. Danje li se nan lefèt ke se yon gwo kantite trafik ki pwodui, ki tou senpleman "obstrue" 100% nan tout uplinks ou yo.

Ki sa nou genyen nan ka konsepsyon nou an.

  • si ou itilize AnyCast, Lè sa a, trafik la distribye ant pwen prezans ou yo. Si bandwidth total ou a se terabit, Lè sa a, sa a nan tèt li aktyèlman (sepandan, dènyèman te gen plizyè atak ak trafik move sou lòd terabit) pwoteje ou kont "debòde" uplinks.
  • Si, sepandan, kèk uplink vin bouche, Lè sa a, ou tou senpleman retire sit sa a nan sèvis (sispann fè piblisite prefiks la)
  • ou kapab tou ogmante pati nan trafik ki voye soti nan sant done "plen" ou (e, kòmsadwa, pwoteje), konsa retire yon pati enpòtan nan trafik move soti nan pwen prezans san pwoteksyon.

Ak yon lòt ti nòt nan egzanp sa a. Si ou voye trafik ase nan IXs, Lè sa a, sa a tou diminye vilnerabilite ou nan atak sa yo

Mete kanpe BGP

Gen de sijè isit la.

  • Koneksyon
  • Mete kanpe BGP

Nou te deja pale yon ti kras sou koneksyon nan pati 1. Pwen an se asire ke trafik nan kliyan ou yo swiv chemen an pi bon. Malgre ke optimalite se pa toujou sèlman sou latansi, latansi ki ba se nòmalman endikatè prensipal la nan optimalite. Pou kèk konpayi sa a pi enpòtan, pou lòt moun li mwens. Tout depann sou sèvis ou bay la.

1 Egzanp

Si ou se yon echanj, ak tan entèval ki mwens pase milisgond yo enpòtan pou kliyan ou yo, Lè sa a, nan kou, pa ka pale sou nenpòt kalite entènèt ditou.

2 Egzanp

Si ou se yon konpayi jwèt ak dè dizèn de milisgond yo enpòtan pou ou, Lè sa a, nan kou, koneksyon trè enpòtan pou ou.

3 Egzanp

Ou bezwen konprann tou ke, akòz pwopriyete yo nan pwotokòl TCP a, pousantaj transfè done nan yon sesyon TCP tou depann de RTT (Tan vwayaj ale). Rezo CDN yo te bati tou pou rezoud pwoblèm sa a lè yo deplase sèvè distribisyon kontni pi pre konsomatè kontni sa a.

Etid koneksyon an se yon sijè enteresan poukont li, ki merite pwòp atik pa l oswa yon seri atik, e li mande pou yon bon konpreyansyon sou fason Entènèt la "travay".

Resous itil:

ripe.net
bgp.he.net

Egzanp

Mwen pral bay sèlman yon ti egzanp.

Ann sipoze ke sant done ou a sitiye nan Moskou, epi ou gen yon sèl uplink - Rostelecom (AS12389). Nan ka sa a (sèl homed) ou pa bezwen BGP, epi ou gen plis chans itilize pisin adrès ki soti nan Rostelecom kòm adrès piblik.

Ann sipoze ke ou bay yon sèten sèvis, epi ou gen yon kantite ase nan kliyan soti nan Ikrèn, epi yo plenyen sou reta long. Pandan rechèch ou an, ou te jwenn ke adrès IP yo nan kèk nan yo se nan kadriyaj 37.52.0.0/21 la.

Lè w kouri yon traceroute, ou te wè ke trafik la t ap pase nan AS1299 (Telia), epi lè w kouri yon ping, ou te resevwa yon RTT mwayèn nan 70 - 80 milisgond. Ou ka wè sa tou nan gade vè Rostelecom.

Sèvi ak sèvis piblik whois la (sou ripe.net oswa yon sèvis piblik lokal), ou ka fasilman detèmine ke blòk 37.52.0.0/21 fè pati AS6849 (Ukrtelecom).

Apre sa, pa ale nan bgp.he.net ou wè ke AS6849 pa gen okenn relasyon ak AS12389 (yo pa ni kliyan ni uplink youn ak lòt, ni yo pa gen peering). Men, si ou gade nan lis kanmarad yo pou AS6849, ou pral wè, pou egzanp, AS29226 (Mastertel) ak AS31133 (Megafon).

Yon fwa ou jwenn glas la nan founisè sa yo, ou ka konpare chemen an ak RTT. Pou egzanp, pou Mastertel RTT pral apeprè 30 milisgond.

Se konsa, si diferans ki genyen ant 80 ak 30 milisgond enpòtan pou sèvis ou a, Lè sa a, petèt ou bezwen reflechi sou koneksyon, jwenn nimewo AS ou a, pisin adrès ou a soti nan RIPE ak konekte uplinks adisyonèl ak / oswa kreye pwen nan prezans sou IXs.

Lè w itilize BGP, ou pa sèlman gen opòtinite pou amelyore koneksyon, men ou tou kenbe koneksyon Entènèt ou.

Dokiman sa a gen rekòmandasyon pou konfigirasyon BGP. Malgre lefèt ke rekòmandasyon sa yo te devlope ki baze sou "pi bon pratik" nan founisè yo, poutan (si paramèt BGP ou yo pa byen debaz) yo san dout itil e an reyalite yo ta dwe fè pati redi ke nou te diskite nan. premye pati a.

Pwoteksyon DOS/DDOS

Koulye a, atak DOS/DDOS yo vin tounen yon reyalite chak jou pou anpil konpayi. An reyalite, ou yo atake byen souvan nan yon fòm oswa yon lòt. Lefèt ke ou poko remake sa sèlman vle di ke yon atak vize poko òganize kont ou, e ke zouti pwoteksyon ou itilize yo, menm petèt san yo pa konnen li (divès kalite pwoteksyon entegre nan sistèm opere), ase pou asire ke degradasyon nan sèvis yo bay la minimize pou ou menm ak kliyan ou yo.

Gen resous entènèt ki, ki baze sou mòso bwa ekipman, trase bèl kat atak an tan reyèl.

Isit la ou ka jwenn lyen ki mennen nan yo.

Bèl mwen kat jeyografik soti nan CheckPoint.

Pwoteksyon kont DDOS/DOS anjeneral kouch. Pou konprann poukisa, ou bezwen konprann ki kalite atak DOS/DDOS ki egziste (gade, pou egzanp, isit la oswa isit la)

Sa vle di, nou gen twa kalite atak:

  • atak volumetrik
  • atak pwotokòl
  • atak aplikasyon

Si ou ka pwoteje tèt ou kont de dènye kalite atak yo lè l sèvi avèk, pou egzanp, firewall, Lè sa a, ou pa ka pwoteje tèt ou kont atak ki vize a "akablan" uplinks ou yo (nan kou, si kapasite total ou nan chanèl entènèt pa kalkile an terabit, oswa pi bon toujou, an dizèn terabit).

Kidonk, premye liy defans lan se pwoteksyon kont atak "volimetrik", epi founisè w la oswa founisè w yo dwe ba w pwoteksyon sa a. Si ou poko reyalize sa a, Lè sa a, ou se jis chans pou kounye a.

Egzanp

Ann di ou gen plizyè lyen monte, men se sèlman youn nan founisè yo ki ka ba ou pwoteksyon sa a. Men, si tout trafik ale nan yon sèl founisè, Lè sa a, sa ki sou koneksyon an ke nou te diskite yon ti tan yon ti kras pi bonè?

Nan ka sa a, ou pral gen an pati sakrifye koneksyon pandan atak la. Men

  • sa a se sèlman pou dire atak la. Nan ka ta gen yon atak, ou ka manyèlman oswa otomatikman reconfigure BGP pou trafik ale sèlman atravè founisè a ki ba ou "parapli". Apre atak la fini, ou ka retounen wout la nan eta anvan li
  • Li pa nesesè pou transfere tout trafik. Si, pou egzanp, ou wè ke pa gen okenn atak atravè kèk uplinks oswa peerings (oswa trafik la pa enpòtan), ou ka kontinye fè piblisite prefiks ak atribi konpetitif nan direksyon pou vwazen BGP sa yo.

Ou kapab tou delege pwoteksyon kont "atak pwotokòl" ak "atak aplikasyon" bay patnè w yo.
Isit la isit la ou ka li yon bon etid (tradiksyon). Se vre, atik la gen dezan, men li pral ba ou yon lide sou apwòch yo sou fason ou ka pwoteje tèt ou kont atak DDOS.

Nan prensip, ou ka limite tèt ou a sa a, konplètman externalisation pwoteksyon ou. Gen avantaj nan desizyon sa a, men gen tou yon dezavantaj evidan. Reyalite a se ke nou ka pale (ankò, depann sou sa konpayi ou fè) sou siviv nan biznis la. Epi mete konfyans bagay sa yo bay twazyèm pati...

Se poutèt sa, ann gade ki jan yo òganize dezyèm ak twazyèm liy defans (kòm yon adisyon nan pwoteksyon kont founisè a).

Se konsa, dezyèm liy defans lan se filtraj ak limit trafik (polisye) nan papòt rezo w la.

1 Egzanp

Ann sipoze ke ou te kouvri tèt ou ak yon parapli kont DDOS avèk èd nan youn nan founisè yo. Ann sipoze ke founisè sa a itilize Arbor pou filtre trafik ak filtè nan kwen rezo li a.

Bandwidth ke Arbor ka "pwosesis" limite, epi founisè a, nan kou, pa ka toujou ap pase trafik la nan tout patnè li yo ki bay lòd sèvis sa a atravè ekipman filtraj. Se poutèt sa, nan kondisyon nòmal, trafik pa filtre.

Ann sipoze gen yon atak inondasyon SYN. Menm si ou te bay lòd pou yon sèvis ki otomatikman chanje trafik nan filtraj nan ka ta gen yon atak, sa pa rive imedyatman. Pou yon minit oswa plis ou rete anba atak. Lè sa a ka mennen nan echèk nan ekipman ou oswa degradasyon nan sèvis la. Nan ka sa a, limite trafik nan wout la kwen, byenke li pral mennen nan lefèt ke kèk sesyon TCP yo pa pral etabli pandan tan sa a, pral sove enfrastrikti ou a soti nan pwoblèm pi gwo echèl.

2 Egzanp

Yon kantite pa nòmal SYN pa ka sèlman rezilta yon atak inondasyon SYN. Ann sipoze ke ou bay yon sèvis kote ou ka ansanm gen anviwon 100 mil TCP koneksyon (nan yon sant done).

Ann di ke akòz yon pwoblèm kout tèm ak youn nan founisè prensipal ou yo, mwatye nan sesyon ou yo choute. Si aplikasyon w lan fèt nan yon fason ki, san reflechi de fwa, li imedyatman (oswa apre kèk entèval tan ki se menm bagay la pou tout sesyon yo) eseye re-etabli koneksyon an, Lè sa a, w ap resevwa omwen 50 mil pake SYN apeprè. an menm tan.

Si, pou egzanp, ou oblije kouri ssl/tls lanmen sou tèt sesyon sa yo, ki enplike nan echanj sètifika, Lè sa a, soti nan pwen de vi nan diminye resous pou balanse chaj ou a, sa a pral yon "DDOS" pi fò pase yon senp. SYN inondasyon. Li ta sanble ke balanse yo ta dwe okipe evènman sa yo, men ... malerezman, nou ap fè fas ak yon pwoblèm konsa.

Epi, nan kou, yon polisye sou routeur kwen an pral sove ekipman ou nan ka sa a tou.

Twazyèm nivo pwoteksyon kont DDOS/DOS se paramèt pare-feu ou.

Isit la ou ka sispann tou de atak nan dezyèm ak twazyèm kalite yo. An jeneral, tout bagay ki rive nan firewall la ka filtre isit la.

Ide

Eseye bay firewall la kòm ti travay ke posib, filtraj soti otank posib sou de premye liy defans yo. Epi se poutèt sa.

Èske li te janm rive ou ke pa chans, pandan y ap génération trafik yo tcheke, pou egzanp, ki jan sistèm operasyon an nan serveurs ou reziste atak DDOS, ou "touye" firewall ou a, chaje li a 100 pousan, ak trafik nan entansite nòmal. ? Si ou pa, petèt se tou senpleman paske ou pa te eseye?

An jeneral, yon pare-feu, jan mwen te di, se yon bagay konplèks, epi li travay byen ak frajilite li te ye ak solisyon teste, men si ou voye yon bagay etranj, jis kèk fatra oswa pake ki gen tèt ki pa kòrèk, Lè sa a, ou se ak kèk, pa Avèk. tankou yon ti pwobabilite (ki baze sou eksperyans mwen), ou ka stupefy menm tèt-fen ekipman. Se poutèt sa, nan etap 2, lè l sèvi avèk ACL regilye (nan nivo L3/L4), sèlman pèmèt trafik nan rezo ou a ki ta dwe antre la.

Filtrage trafik sou firewall la

Ann kontinye konvèsasyon an sou firewall la. Ou bezwen konprann ke atak DOS/DDOS yo se sèlman yon kalite atak cyber.

Anplis pwoteksyon DOS/DDOS, nou ka gen tou yon bagay tankou lis karakteristik sa yo:

  • aplikasyon pare-feu
  • prevansyon menas (antivirus, anti-espyon, ak vilnerabilite)
  • Filtrage URL
  • filtraj done (filtraj kontni)
  • fichye bloke (tip fichye bloke)

Se ou menm ki deside kisa ou bezwen nan lis sa a.

Pou yo kapab kontinye

Sous: www.habr.com

Add nouvo kòmantè