ProHoster > Blog > Stjórnsýsla > Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Partur tvö

Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Partur tvö

Þessi grein er sú fjórða í röðinni „Hvernig á að ná stjórn á netinnviðum þínum. Hægt er að finna innihald allra greina í ritröðinni og tengla hér.

В fyrsti hluti Í þessum kafla skoðuðum við nokkra þætti netöryggis í Data Center hlutanum. Þessi hluti verður helgaður hlutanum „Internetaðgangur“.

Hvernig á að taka stjórn á innviðum netkerfisins. Þriðji kafli. Netöryggi. Partur tvö

internet aðgangur

Öryggisefnið er án efa eitt flóknasta viðfangsefnið í heimi gagnaneta. Eins og í fyrri tilfellum, án þess að krefjast dýptar og heilleika, mun ég íhuga hér frekar einfaldar, en að mínu mati mikilvægar spurningar, svörin sem ég vona að muni hjálpa til við að auka öryggisstig netsins þíns.

Þegar þú endurskoðar þennan hluta skaltu fylgjast með eftirfarandi þáttum:

  • hönnun
  • BGP stillingar
  • DOS/DDOS vörn
  • umferðarsíun á eldveggnum

Hönnun

Sem dæmi um hönnun þessa hluta fyrir fyrirtækisnet myndi ég mæla með forystu frá Cisco innan Öruggar gerðir.

Auðvitað, kannski mun lausn annarra söluaðila virðast meira aðlaðandi fyrir þig (sjá. Gartner Quadrant 2018), en án þess að hvetja þig til að fylgja þessari hönnun í smáatriðum, finnst mér samt gagnlegt að skilja meginreglurnar og hugmyndirnar á bak við hana.

Athugaðu:

Í SAFE er "Fjaraðgangur" hluti af "Internet Access" hlutanum. En í þessari greinaröð munum við íhuga það sérstaklega.

Staðlað sett af búnaði í þessum flokki fyrir fyrirtækisnet er

  • landamærabeini
  • eldveggir

Athugasemd 1

Í þessari greinaröð, þegar ég tala um eldveggi, þá meina ég NGFW.

Athugasemd 2

Ég sleppi því að taka tillit til ýmiss konar L2/L1 eða leggja L2 yfir L3 lausnir sem nauðsynlegar eru til að tryggja L1/L2 tengingu og takmarka mig aðeins við málefni á L3 stigi og ofar. Að hluta til voru málefni L1/L2 rædd í kaflanum „Þrif og skjöl".

Ef þú hefur ekki fundið eldvegg í þessum hluta, þá ættirðu ekki að flýta þér að draga ályktanir.

Gerum það sama og í fyrri hlutaVið skulum byrja á spurningunni: er nauðsynlegt að nota eldvegg í þessum hluta í þínu tilviki?

Ég get sagt að þetta virðist vera réttmætasti staðurinn til að nota eldveggi og beita flóknum umferðarsíu reikniritum. IN hlutar 1 Við nefndum 4 þætti sem gætu truflað notkun eldvegga í hluta gagnaversins. En hér eru þau ekki lengur svo merkileg.

Dæmi 1. Töf

Hvað internetið varðar þá þýðir ekkert að tala um tafir sem nema um 1 millisekúndu. Þess vegna getur seinkunin á þessum hluta ekki verið þáttur sem takmarkar notkun eldveggsins.

Dæmi 2. Framleiðni

Í sumum tilfellum getur þessi þáttur enn verið mikilvægur. Þess vegna gætir þú þurft að leyfa einhverri umferð (til dæmis umferð frá álagsjafnara) að fara framhjá eldveggnum.

Dæmi 3. Áreiðanleiki

Enn þarf að taka tillit til þessa þáttar, en samt, miðað við óáreiðanleika internetsins sjálfs, er mikilvægi þess fyrir þennan hluta ekki eins mikilvægt og fyrir gagnaverið.

Svo við skulum gera ráð fyrir að þjónustan þín lifi ofan á http/https (með stuttum fundum). Í þessu tilviki geturðu notað tvo sjálfstæða kassa (án HA) og ef það er leiðarvandamál með annan þeirra skaltu flytja alla umferð yfir á þann seinni.

Eða þú getur notað eldveggi í gagnsæjum ham og, ef þeir mistakast, leyfa umferð að fara framhjá eldveggnum á meðan þú leysir vandamálið.

Því líklega bara verð gæti verið þátturinn sem mun neyða þig til að hætta að nota eldveggi í þessum hluta.

Mikilvægt!

Það er freisting að sameina þennan eldvegg með eldvegg gagnaversins (notaðu einn eldvegg fyrir þessa hluti). Lausnin er í grundvallaratriðum möguleg, en þú þarft að skilja það vegna þess Netaðgangseldveggur er í raun í fremstu röð í vörn þinni og „tekur“ að minnsta kosti hluta af illgjarnri umferð, þá þarftu auðvitað að taka tillit til aukinnar hættu á að þessi eldveggur verði óvirkur. Það er, með því að nota sömu tækin í þessum tveimur hlutum muntu draga verulega úr framboði á gagnaverinu þínu.

Eins og alltaf þarftu að skilja að hönnun þessa hluta getur verið mjög mismunandi eftir þjónustunni sem fyrirtækið veitir. Eins og alltaf geturðu valið mismunandi aðferðir eftir þörfum þínum.

Dæmi

Ef þú ert efnisveita, með CDN net (sjá td. greinaröð), þá gætirðu ekki viljað búa til innviði yfir tugi eða jafnvel hundruð viðverustaða með því að nota aðskilin tæki til að beina og sía umferð. Það verður dýrt og það getur einfaldlega verið óþarfi.

Fyrir BGP þarftu ekki endilega að hafa sérstaka beinar, þú getur notað opinn hugbúnað eins og Quagga. Svo kannski er allt sem þú þarft er netþjónn eða nokkrir netþjónar, rofi og BGP.

Í þessu tilviki getur netþjónninn þinn eða nokkrir netþjónar gegnt hlutverki ekki aðeins CDN netþjóns, heldur einnig beins. Auðvitað eru enn fullt af smáatriðum (svo sem hvernig á að tryggja jafnvægi), en það er framkvæmanlegt og það er nálgun sem við höfum notað með góðum árangri fyrir einn samstarfsaðila okkar.

Þú getur haft nokkrar gagnaver með fullri vernd (eldveggir, DDOS verndarþjónusta sem netveiturnar þínar veita) og heilmikið eða hundruð "einfaldaðra" viðverustaða með aðeins L2 rofum og netþjónum.

En hvað með verndina í þessu tilviki?

Skoðum til dæmis nýlega vinsæla DNS mögnun DDOS árás. Hættan liggur í þeirri staðreynd að mikil umferð myndast, sem einfaldlega „stíflar“ 100% af öllum upptengingum þínum.

Hvað höfum við þegar um hönnun okkar er að ræða.

  • ef þú notar AnyCast, þá er umferðin dreift á milli viðverustaða þinna. Ef heildarbandbreiddin þín er terabitar, þá verndar þetta í sjálfu sér í raun (þó nýlega hafa verið nokkrar árásir með skaðlegri umferð af stærðargráðunni terabitar) verndar þig gegn „flæða yfir“ upptengla
  • Ef hins vegar sumir upptenglar stíflast, þá tekurðu einfaldlega þessa síðu úr þjónustu (hættu að auglýsa forskeytið)
  • þú getur líka aukið hlutfall umferðar sem send er frá „fullum“ (og þar af leiðandi vernduðum) gagnaverum þínum og fjarlægt þannig umtalsverðan hluta skaðlegrar umferðar frá óvarðum viðverustöðum

Og enn ein lítil athugasemd við þetta dæmi. Ef þú sendir næga umferð í gegnum IXs, þá dregur þetta einnig úr varnarleysi þínu fyrir slíkum árásum

Uppsetning BGP

Hér eru tvö efnisatriði.

  • Tengingar
  • Uppsetning BGP

Við höfum þegar talað svolítið um tengingar í hlutar 1. Aðalatriðið er að tryggja að umferð til viðskiptavina þinna fylgi bestu leiðinni. Þrátt fyrir að hagkvæmni snúist ekki alltaf bara um leynd, þá er lítil leynd venjulega helsta vísbendingin um hagkvæmni. Fyrir sum fyrirtæki er þetta mikilvægara, fyrir önnur minna. Það veltur allt á þjónustunni sem þú veitir.

Dæmi 1

Ef þú ert skiptinemi og minna en millisekúndur eru mikilvæg fyrir viðskiptavini þína, þá er auðvitað ekki hægt að tala um nokkurs konar internet.

Dæmi 2

Ef þú ert leikjafyrirtæki og tugir millisekúndna eru mikilvægar fyrir þig, þá er tenging auðvitað mjög mikilvæg fyrir þig.

Dæmi 3

Þú þarft líka að skilja að, vegna eiginleika TCP samskiptareglunnar, fer gagnaflutningshraðinn innan einnar TCP lotu einnig eftir RTT (Round Trip Time). CDN net eru einnig byggð til að leysa þetta vandamál með því að færa efnisdreifingarþjóna nær neytendum þessa efnis.

Rannsóknin á tengingum er áhugavert efni í sjálfu sér, verðugt eigin grein eða greinaröð og krefst góðs skilnings á því hvernig internetið „virkar“.

Gagnleg úrræði:

ripe.net
bgp.he.net

Dæmi

Ég ætla aðeins að nefna eitt lítið dæmi.

Gerum ráð fyrir að gagnaverið þitt sé staðsett í Moskvu og þú sért með einn upptengil - Rostelecom (AS12389). Í þessu tilviki (einbýli) þarftu ekki BGP og þú notar líklega heimilisfangahópinn frá Rostelecom sem netföng.

Gerum ráð fyrir að þú veitir ákveðna þjónustu og að þú sért með nægan fjölda viðskiptavina frá Úkraínu og þeir kvarta yfir miklum töfum. Við rannsóknir þínar komst þú að því að IP tölur sumra þeirra eru í 37.52.0.0/21 ristinni.

Með því að keyra sporbraut sástu að umferðin var að fara í gegnum AS1299 (Telia) og með því að keyra ping fékkstu RTT að meðaltali 70 - 80 millisekúndur. Þú getur líka séð þetta á útlitsgler Rostelecom.

Með því að nota whois tólið (á ripe.net eða staðbundnu tóli) geturðu auðveldlega ákvarðað að blokk 37.52.0.0/21 tilheyri AS6849 (Ukrtelecom).

Næst, með því að fara til bgp.he.net þú sérð að AS6849 hefur engin tengsl við AS12389 (þeir eru hvorki viðskiptavinir né upptenglar hver við annan, né hafa þeir peering). En ef þú horfir á lista yfir jafnaldra fyrir AS6849 muntu sjá til dæmis AS29226 (Mastertel) og AS31133 (Megafon).

Þegar þú hefur fundið útlitsgler þessara veitenda geturðu borið saman slóðina og RTT. Til dæmis, fyrir Mastertel mun RTT vera um 30 millisekúndur.

Svo ef munurinn á milli 80 og 30 millisekúndna er verulegur fyrir þjónustuna þína, þá þarftu kannski að hugsa um tengingar, fá AS númerið þitt, vistfangahópinn þinn frá RIPE og tengja fleiri upptengla og/eða búa til viðverupunkta á IXs.

Þegar þú notar BGP hefurðu ekki aðeins tækifæri til að bæta tenginguna heldur heldur þú einnig nettengingunni þinni óþarfi.

Þetta skjal inniheldur ráðleggingar um uppsetningu BGP. Þrátt fyrir þá staðreynd að þessar ráðleggingar voru þróaðar út frá „bestu starfsvenjum“ veitenda, eru þær samt sem áður (ef BGP stillingar þínar eru ekki alveg einfaldar) án efa gagnlegar og ættu í raun að vera hluti af herslunni sem við ræddum í fyrsti hluti.

DOS/DDOS vörn

Nú eru DOS/DDOS árásir orðnar daglegur veruleiki hjá mörgum fyrirtækjum. Reyndar er nokkuð oft ráðist á þig í einni eða annarri mynd. Sú staðreynd að þú hefur ekki enn tekið eftir þessu þýðir aðeins að markvissa árás hefur ekki enn verið skipulögð gegn þér og að þær verndarráðstafanir sem þú notar, jafnvel kannski án þess að vita af því (ýmsar innbyggðar varnir stýrikerfa), nægja til að tryggja að rýrnun á veittri þjónustu sé í lágmarki fyrir þig og viðskiptavini þína.

Það eru til netauðlindir sem, byggðar á búnaðarskrám, teikna falleg árásarkort í rauntíma.

Hér þú getur fundið tengla á þá.

Uppáhalds minn kort frá CheckPoint.

Vörn gegn DDOS/DOS er venjulega lagskipt. Til að skilja hvers vegna þarftu að skilja hvaða gerðir af DOS/DDOS árásum eru til (sjá td. hér eða hér)

Það er, við höfum þrjár gerðir af árásum:

  • rúmmálsárásir
  • siðareglur árásir
  • forritaárásir

Ef þú getur verndað þig fyrir síðustu tveimur tegundum árása með því að nota til dæmis eldveggi, þá geturðu ekki varið þig fyrir árásum sem miða að því að „yfirgnæfa“ upptenglana þína (auðvitað, ef heildargeta netrásanna er ekki reiknuð í terabitum, eða betra, í tugum terabita).

Þess vegna er fyrsta varnarlínan vörn gegn „rúmmáls“ árásum og veitandinn þinn eða veitendur verða að veita þér þessa vernd. Ef þú hefur ekki áttað þig á þessu ennþá, þá ertu bara heppinn í bili.

Dæmi

Segjum að þú sért með nokkra upptengla, en aðeins einn af veitunum getur veitt þér þessa vernd. En ef öll umferð fer í gegnum einn þjónustuaðila, hvað þá með tenginguna sem við ræddum stuttlega áðan?

Í þessu tilfelli verður þú að hluta til að fórna tengingu meðan á árásinni stendur. En

  • þetta er aðeins á meðan árásin stendur yfir. Ef um árás er að ræða geturðu endurstillt BGP handvirkt eða sjálfkrafa þannig að umferð fari aðeins í gegnum þjónustuveituna sem gefur þér „regnhlífina“. Eftir að árásinni er lokið geturðu skilað leiðinni í fyrra ástand
  • Ekki er nauðsynlegt að flytja alla umferð. Ef, til dæmis, þú sérð að það eru engar árásir í gegnum suma upptengla eða peering (eða umferðin er ekki marktæk), geturðu haldið áfram að auglýsa forskeyti með samkeppniseiginleikum gagnvart þessum BGP nágrönnum.

Þú getur líka framselt vernd gegn „samskiptareglur árásum“ og „forritaárásum“ til samstarfsaðila þinna.
Hér hér þú getur lesið góða rannsókn (þýðing). Að vísu er greinin tveggja ára, en hún mun gefa þér hugmynd um hvernig þú getur verndað þig gegn DDOS árásum.

Í grundvallaratriðum geturðu takmarkað þig við þetta og útvistað verndinni algjörlega. Það eru kostir við þessa ákvörðun, en það er líka augljós ókostur. Staðreyndin er sú að við getum talað (aftur, eftir því hvað fyrirtækið þitt gerir) um að fyrirtækið lifi af. Og treystu slíkum hlutum til þriðja aðila...

Þess vegna skulum við skoða hvernig á að skipuleggja aðra og þriðju varnarlínu (sem viðbót við vernd frá veitanda).

Svo, önnur varnarlínan er síun og umferðartakmarkanir (lögreglumenn) við innganginn að netkerfinu þínu.

Dæmi 1

Gerum ráð fyrir að þú hafir hulið þig með regnhlíf gegn DDOS með hjálp eins af veitendum. Gerum ráð fyrir að þessi veitandi noti Arbor til að sía umferð og síur á jaðri netkerfisins.

Bandbreiddin sem Arbor getur „afgreitt“ er takmörkuð og veitandinn getur að sjálfsögðu ekki framhjá umferð allra samstarfsaðila sinna sem panta þessa þjónustu í gegnum síunarbúnað. Þess vegna er umferð ekki síuð við venjulegar aðstæður.

Gerum ráð fyrir að það sé SYN flóðárás. Jafnvel þó þú hafir pantað þjónustu sem breytir umferð sjálfkrafa yfir í síun ef árás er gerð, þá gerist þetta ekki samstundis. Í eina mínútu eða lengur ertu undir árás. Og þetta getur leitt til bilunar í búnaði þínum eða skerðingar á þjónustunni. Í þessu tilviki mun takmörkun á umferð við jaðarleiðina, þó að það muni leiða til þess að sumar TCP lotur verði ekki komnar á þessum tíma, bjarga innviðum þínum frá stærri vandamálum.

Dæmi 2

Óeðlilega mikill fjöldi SYN pakka gæti ekki aðeins verið afleiðing af SYN flóðárás. Gerum ráð fyrir að þú veitir þjónustu þar sem þú getur samtímis haft um 100 þúsund TCP tengingar (við eina gagnaver).

Segjum að vegna skammtímavandamála hjá einum af helstu veitendum þínum sé helmingur funda þinna sparkaður. Ef forritið þitt er hannað á þann hátt að án þess að hugsa sig um tvisvar reynir það strax (eða eftir nokkurt tímabil sem er það sama fyrir allar lotur) að koma á tengingunni aftur, þá færðu að minnsta kosti 50 þúsund SYN pakka u.þ.b. samtímis.

Ef þú þarft til dæmis að keyra ssl/tls handabandi ofan á þessar lotur, sem felur í sér að skiptast á skírteinum, þá verður þetta miklu sterkara „DDOS“ en einföld SYN flóð. Það virðist sem jafnvægismenn ættu að takast á við slíka atburði, en ... því miður stöndum við frammi fyrir slíku vandamáli.

Og auðvitað mun lögreglumaður á brúnbeini bjarga búnaði þínum í þessu tilfelli líka.

Þriðja stig verndar gegn DDOS/DOS eru eldveggsstillingarnar þínar.

Hér getur þú stöðvað bæði árásir af annarri og þriðju gerð. Almennt er hægt að sía allt sem nær til eldveggsins hér.

Ábending

Reyndu að gefa eldveggnum eins litla vinnu og mögulegt er, síaðu eins mikið út og mögulegt er á fyrstu tveimur varnarlínunum. Og þess vegna.

Hefur það einhvern tímann gerst fyrir þig að þú hafir af tilviljun, þegar þú bjóst til umferð til að athuga, til dæmis hversu ónæmt stýrikerfi netþjónanna þinna er fyrir DDOS árásum, að þú hafir „drepið“ eldvegginn þinn, hleðst hann upp í 100 prósent, með umferð á venjulegum styrkleika ? Ef ekki, kannski er það einfaldlega vegna þess að þú hefur ekki prófað?

Almennt séð er eldveggur, eins og ég sagði, flókinn hlutur, og hann virkar vel með þekktum veikleikum og prófuðum lausnum, en ef þú sendir eitthvað óvenjulegt, bara eitthvað sorp eða pakka með röngum hausum, þá ertu með sumum, ekki með svo litlar líkur (miðað við mína reynslu), þú getur dofnað jafnvel toppbúnað. Þess vegna, á stigi 2, með því að nota venjuleg ACL (á L3/L4 stigi), leyfðu aðeins umferð inn á netið þitt sem ætti að fara þangað.

Sía umferð á eldvegg

Höldum áfram samtalinu um eldvegginn. Þú þarft að skilja að DOS/DDOS árásir eru bara ein tegund netárása.

Til viðbótar við DOS/DDOS vernd getum við líka haft eitthvað eins og eftirfarandi lista yfir eiginleika:

  • eldvegg forrita
  • ógnavarnir (vírusvörn, njósnavörn og varnarleysi)
  • URL síun
  • gagnasíun (efnissíun)
  • skráalokun (útilokun skráartegunda)

Það er undir þér komið að ákveða hvað þú þarft af þessum lista.

Til að halda áfram

Heimild: www.habr.com

Bæta við athugasemd