Artikel iki minangka nomer papat ing seri "Cara Ngontrol Infrastruktur Jaringan." Isi kabeh artikel ing seri lan pranala bisa ditemokake .
В Ing bab iki, kita ndeleng sawetara aspek keamanan jaringan ing segmen Pusat Data. Bagean iki bakal ditrapake kanggo segmen "Akses Internet".
Akses internet
Topik keamanan mesthine minangka salah sawijining topik sing paling rumit ing jagad jaringan data. Kaya ing kasus sadurunge, tanpa pratelan ambane lan jangkep, aku bakal nimbang kene cukup prasaja, nanging, ing mratelakake panemume, pitakonan penting, jawaban sing, muga-muga, bakal mbantu ngunggahake tingkat keamanan jaringan sampeyan.
Nalika ngaudit segmen iki, mbayar manungsa waé menyang aspek ing ngisor iki:
- desain
- setelan BGP
- pangayoman DOS/DDOS
- nyaring lalu lintas ing firewall
Design
Minangka conto desain segmen iki kanggo jaringan perusahaan, aku bakal menehi saran saka Cisco ing .
Mesthi wae, solusi vendor liyane bakal katon luwih menarik kanggo sampeyan (ndeleng. ), nanging tanpa nyemangati sampeyan ngetutake desain iki kanthi rinci, aku isih bisa ngerteni prinsip lan ide sing ana ing mburi.
Cathetan:
Ing SAFE, bagean "Akses Jarak Jauh" minangka bagean saka segmen "Akses Internet". Nanging ing seri artikel iki kita bakal nimbang kanthi kapisah.
Set peralatan standar ing bagean iki kanggo jaringan perusahaan yaiku
- router wates
- firewall
Pangandikan 1
Ing seri artikel iki, nalika aku ngomong babagan firewall, maksudku .
Pangandikan 2
Aku ngilangi pertimbangan macem-macem jinis L2 / L1 utawa overlay L2 liwat solusi L3 sing perlu kanggo mesthekake konektivitas L1 / L2 lan mbatesi aku mung kanggo masalah ing tingkat L3 lan ndhuwur. Sebagian, masalah L1/L2 dibahas ing bab "".
Yen sampeyan durung nemokake firewall ing babagan iki, mula sampeyan ora kudu cepet-cepet nggawe kesimpulan.
Ayo padha nindakake ing Ayo miwiti karo pitakonan: apa perlu nggunakake firewall ing babagan iki ing kasus sampeyan?
Aku bisa ngomong sing iki misale jek dadi panggonan paling sabdho kanggo nggunakake firewalls lan aplikasi algoritma nyaring lalu lintas Komplek. ING Kita kasebut 4 faktor sing bisa ngganggu panggunaan firewall ing bagean pusat data. Nanging ing kene dheweke ora penting maneh.
Conto 1. Tundha
Ing babagan Internet, ora ana gunane kanggo ngomong babagan wektu tundha nganti 1 milidetik. Mulane, wektu tundha ing bagean iki ora bisa dadi faktor sing mbatesi panggunaan firewall.
Conto 2. Produktivitas
Ing sawetara kasus, faktor iki isih penting. Mulane, sampeyan kudu ngidini sawetara lalu lintas (contone, lalu lintas saka load balancers) kanggo ngliwati firewall.
Conto 3. Linuwih
Faktor iki isih kudu dianggep, nanging isih, amarga Internet ora bisa dipercaya, pentinge kanggo segmen iki ora pati penting kanggo pusat data.
Dadi, ayo nganggep manawa layanan sampeyan manggon ing ndhuwur http/https (kanthi sesi cendhak). Ing kasus iki, sampeyan bisa nggunakake rong kothak sawijining (tanpa HA) lan yen ana masalah nuntun karo salah siji saka wong-wong mau, nransfer kabeh lalu lintas kanggo kaloro.
Utawa sampeyan bisa nggunakake firewall ing mode transparan lan, yen gagal, ngidini lalu lintas ngliwati firewall nalika ngrampungake masalah kasebut.
Mulane, paling kamungkinan mung rega bisa dadi faktor sing bakal meksa sampeyan nglirwakake panggunaan firewall ing babagan iki.
Penting!
Ana godaan kanggo nggabungake firewall iki karo firewall pusat data (nggunakake siji firewall kanggo segmen kasebut). Solusi kasebut, ing asas, bisa, nanging sampeyan kudu ngerti amarga Firewall Akses Internet bener-bener ana ing ngarep pertahanan sampeyan lan "njupuk" paling ora sawetara lalu lintas angkoro, mula, mesthine, sampeyan kudu nganggep risiko tambah yen firewall iki bakal dipateni. Yaiku, kanthi nggunakake piranti sing padha ing rong segmen kasebut, sampeyan bakal nyuda kasedhiyan segmen pusat data kanthi signifikan.
Kaya biasane, sampeyan kudu ngerti manawa gumantung saka layanan sing diwenehake perusahaan, desain segmen iki bisa uga beda-beda. Kaya biasane, sampeyan bisa milih pendekatan sing beda-beda gumantung saka kabutuhan sampeyan.
Conto:
Yen sampeyan panyedhiya konten, kanthi jaringan CDN (ndeleng, contone, ), banjur sampeyan ora pengin nggawe prasarana liwat puluhan utawa malah atusan titik ngarsane nggunakake piranti sing kapisah kanggo nuntun lan nyaring lalu lintas. Bakal larang, lan bisa uga ora perlu.
Kanggo BGP sampeyan ora kudu duwe router khusus, sampeyan bisa nggunakake alat open-source kaya . Dadi mbok menawa sampeyan mung butuh server utawa sawetara server, switch lan BGP.
Ing kasus iki, server utawa sawetara server bisa muter peran ora mung server CDN, nanging uga router. Mesthi, isih ana akeh rincian (kayata carane njamin imbangan), nanging bisa ditindakake, lan minangka pendekatan sing wis sukses digunakake kanggo salah sawijining mitra.
Sampeyan bisa duwe sawetara pusat data kanthi proteksi lengkap (firewall, layanan pangayoman DDOS sing diwenehake dening panyedhiya Internet) lan puluhan utawa atusan titik "disederhanakake" kanthi mung switch lan server L2.
Nanging apa babagan perlindungan ing kasus iki?
Ayo goleki, contone, sing bubar populer . Bebaya kasebut ana ing kasunyatan manawa lalu lintas sing akeh digawe, sing mung "nyumbat" 100% kabeh uplink sampeyan.
Apa kita duwe ing cilik saka desain kita.
- yen sampeyan nggunakake AnyCast, banjur lalu lintas disebarake antarane titik ngarsane. Yen total bandwidth sampeyan terabits, mula iki dhewe (Nanging, bubar ana sawetara serangan karo lalu lintas angkoro ing urutan terabits) nglindhungi sampeyan saka "overflowing" uplinks.
- Nanging, yen sawetara uplinks dadi macet, sampeyan mung mbusak situs iki saka layanan (mandheg iklan awalan)
- sampeyan uga bisa nambah bagean lalu lintas sing dikirim saka pusat data "kebak" (lan, kanthi mangkono, dilindhungi), saéngga mbusak bagean penting saka lalu lintas angkoro saka titik sing ora dilindhungi.
Lan siji cathetan cilik liyane kanggo conto iki. Yen sampeyan ngirim lalu lintas cukup liwat IXs, iki uga nyuda kerentanan sampeyan kanggo serangan kasebut
Nggawe BGP
Ana rong topik ing kene.
- Konektivitas
- Nggawe BGP
Kita wis ngomong sethithik babagan konektivitas ing . Intine yaiku kanggo mesthekake yen lalu lintas menyang pelanggan sampeyan ngetutake dalan sing optimal. Sanajan optimalitas ora mung babagan latensi, latensi sing sithik biasane dadi indikator utama optimalitas. Kanggo sawetara perusahaan iki luwih penting, kanggo liyane kurang. Iku kabeh gumantung ing layanan sampeyan nyedhiyani.
contone 1
Yen sampeyan minangka ijol-ijolan, lan interval wektu kurang saka milidetik penting kanggo klien sampeyan, mula, mesthi, ora ana obrolan babagan Internet apa wae.
contone 2
Yen sampeyan perusahaan game lan puluhan milidetik penting kanggo sampeyan, mesthi, konektivitas penting banget kanggo sampeyan.
contone 3
Sampeyan uga kudu ngerti manawa, amarga sifat protokol TCP, tingkat transfer data ing siji sesi TCP uga gumantung marang RTT (Round Trip Time). Jaringan CDN uga dibangun kanggo ngatasi masalah iki kanthi mindhah server distribusi konten luwih cedhak karo konsumen konten iki.
Sinau babagan konektivitas minangka topik sing menarik dhewe, pantes kanggo artikel utawa seri artikel dhewe, lan mbutuhake pangerten sing apik babagan cara "kerja" Internet.
Sumber daya migunani:
Conto:
Aku bakal menehi mung siji conto cilik.
Ayo nganggep manawa pusat data sampeyan ana ing Moskow, lan sampeyan duwe uplink siji - Rostelecom (AS12389). Ing kasus iki (single homed) sampeyan ora perlu BGP, lan sampeyan paling kamungkinan nggunakake blumbang alamat saka Rostelecom minangka alamat umum.
Ayo dadi nganggep sing nyedhiyani layanan tartamtu, lan sampeyan duwe nomer cekap saka klien saka Ukraina, lan padha sambat babagan telat dawa. Sajrone riset, sampeyan nemokake manawa alamat IP sawetara kasebut ana ing kothak 37.52.0.0/21.
Kanthi mbukak traceroute, sampeyan bisa ndeleng manawa lalu lintas liwat AS1299 (Telia), lan kanthi ping, sampeyan entuk RTT rata-rata 70 - 80 milidetik. Sampeyan uga bisa ndeleng iki ing .
Nggunakake utilitas whois (ing ripe.net utawa utilitas lokal), sampeyan bisa kanthi gampang nemtokake manawa blok 37.52.0.0/21 kalebu AS6849 (Ukrtelecom).
Sabanjure, kanthi pindhah menyang sampeyan ndeleng sing AS6849 ora ana hubungane karo AS12389 (padha ora klien utawa uplinks kanggo saben liyane, utawa ora duwe peering). Nanging yen sampeyan ndeleng kanggo AS6849, sampeyan bakal weruh, contone, AS29226 (Mastertel) lan AS31133 (Megafon).
Sawise sampeyan nemokake kaca looking saka panyedhiya iki, sampeyan bisa mbandhingaké path lan RTT. Contone, kanggo Mastertel RTT bakal babagan 30 milliseconds.
Dadi, yen prabédan antarane 80 lan 30 milidetik penting kanggo layanan sampeyan, mula sampeyan kudu mikir babagan konektivitas, entuk nomer AS, blumbang alamat saka RIPE lan nyambungake uplink tambahan lan / utawa nggawe titik kehadiran ing IXs.
Nalika sampeyan nggunakake BGP, sampeyan ora mung duwe kesempatan kanggo nambah panyambungan, nanging uga redundantly njaga sambungan Internet.
ngandhut Rekomendasi kanggo configuring BGP. Senadyan kasunyatan manawa rekomendasi kasebut dikembangake adhedhasar "praktik paling apik" saka panyedhiya, nanging (yen setelan BGP sampeyan ora cukup dhasar) mesthi migunani lan nyatane kudu dadi bagian saka hardening sing kita rembugan ing .
pangayoman DOS/DDOS
Saiki serangan DOS/DDOS wis dadi kasunyatan saben dina kanggo akeh perusahaan. Nyatane, sampeyan diserang cukup asring ing salah siji wangun utawa liyane. Kasunyatan manawa sampeyan durung ngelingi iki mung ateges serangan sing ditargetake durung diatur marang sampeyan, lan langkah-langkah perlindungan sing sampeyan gunakake, sanajan sampeyan ora ngerti (macem-macem proteksi sistem operasi), cukup kanggo mesthekake yen degradasi layanan sing diwenehake diminimalisir kanggo sampeyan lan klien sampeyan.
Ana sumber daya Internet sing, adhedhasar log peralatan, nggambar peta serangan sing apik ing wektu nyata.
sampeyan bisa nemokake pranala menyang wong-wong mau.
Kula tresno saka CheckPoint.
Perlindhungan marang DDOS / DOS biasane dilapisi. Kanggo ngerti sebabe, sampeyan kudu ngerti apa jinis serangan DOS/DDOS sing ana (ndeleng, contone, utawa )
Yaiku, kita duwe telung jinis serangan:
- serangan volumetrik
- serangan protokol
- serangan aplikasi
Yen sampeyan bisa nglindhungi dhewe saka rong jinis serangan pungkasan nggunakake, umpamane, firewall, mula sampeyan ora bisa nglindhungi dhewe saka serangan sing ngarahake "ngluwihi" uplinks sampeyan (mesthi, yen total kapasitas saluran Internet sampeyan ora diwilang ing terabit, utawa luwih apik, ing puluhan terabit).
Mulane, baris pertahanan pisanan yaiku proteksi marang serangan "volumetrik", lan panyedhiya utawa panyedhiya sampeyan kudu menehi perlindungan iki marang sampeyan. Yen sampeyan durung ngerti babagan iki, mula sampeyan pancen begja saiki.
Conto:
Contone, sampeyan duwe sawetara uplink, nanging mung siji panyedhiya sing bisa menehi perlindungan iki. Nanging yen kabeh lalu lintas liwat siji panyedhiya, banjur apa karo panyambungan sing kita sedhela rembugan sethitik sadurungé?
Ing kasus iki, sampeyan kudu ngorbanake sebagian konektivitas sajrone serangan kasebut. Nanging
- iki mung kanggo durasi serangan. Yen ana serangan, sampeyan bisa ngatur ulang BGP kanthi manual utawa kanthi otomatis supaya lalu lintas mung liwat panyedhiya sing nyedhiyakake "payung". Sawise serangan rampung, sampeyan bisa bali rute menyang negara sadurunge
- Sampeyan ora perlu kanggo nransfer kabeh lalu lintas. Yen, contone, sampeyan ndeleng manawa ora ana serangan liwat sawetara uplinks utawa peerings (utawa lalu lintas ora signifikan), sampeyan bisa terus ngiklanake prefiks kanthi atribut kompetitif menyang tetanggan BGP iki.
Sampeyan uga bisa utusan pangayoman saka "serangan protokol" lan "serangan aplikasi" kanggo partners.
kene sampeyan bisa maca sinau sing apik (). Bener, artikel kasebut umure rong taun, nanging bakal menehi ide babagan cara sampeyan bisa nglindhungi dhewe saka serangan DDOS.
Ing asas, sampeyan bisa matesi dhewe iki, rampung outsourcing pangayoman. Ana kaluwihan kanggo keputusan iki, nanging ana uga kerugian sing jelas. Kasunyatane yaiku kita bisa ngomong (maneh, gumantung apa sing ditindakake perusahaan sampeyan) babagan kaslametane bisnis. Lan percaya perkara kasebut marang pihak katelu ...
Mulane, ayo goleki carane ngatur baris pertahanan kapindho lan katelu (minangka tambahan kanggo pangayoman saka panyedhiya).
Dadi, baris pertahanan kapindho yaiku nyaring lan pembatas lalu lintas (polisi) ing lawang menyang jaringan sampeyan.
contone 1
Ayo nganggep yen sampeyan wis nutupi dhewe karo payung marang DDOS kanthi bantuan salah sawijining panyedhiya. Ayo nganggep manawa panyedhiya iki nggunakake Arbor kanggo nyaring lalu lintas lan saringan ing pinggir jaringan.
Bandwidth sing Arbor bisa "proses" diwatesi, lan panyedhiya, mesthi, ora bisa terus-terusan ngliwati lalu lintas kabeh mitra sing mrentah layanan iki liwat peralatan nyaring. Mulane, ing kondisi normal, lalu lintas ora disaring.
Ayo nganggep ana serangan banjir SYN. Sanajan sampeyan mrentah layanan sing kanthi otomatis ngalih lalu lintas menyang nyaring yen ana serangan, iki ora kedadeyan langsung. Kanggo menit utawa luwih sampeyan tetep diserang. Lan iki bisa nyebabake kegagalan peralatan utawa degradasi layanan. Ing kasus iki, mbatesi lalu lintas ing rute pinggiran, sanajan bakal nyebabake kasunyatan manawa sawetara sesi TCP ora bakal ditetepake sajrone wektu iki, bakal nylametake infrastruktur sampeyan saka masalah sing luwih gedhe.
contone 2
Jumlah paket SYN sing ora normal bisa uga ora mung minangka akibat saka serangan banjir SYN. Ayo nganggep sampeyan nyedhiyakake layanan sing sampeyan bisa duwe udakara 100 ewu sambungan TCP ing wektu sing padha (kanggo siji pusat data).
Contone, minangka akibat saka masalah jangka pendek karo salah sawijining panyedhiya utama sampeyan, setengah saka sesi sampeyan ditendhang. Yen aplikasi sampeyan dirancang kanthi cara sing, tanpa mikir kaping pindho, langsung (utawa sawise sawetara interval wektu sing padha kanggo kabeh sesi) nyoba nggawe sambungan maneh, mula sampeyan bakal nampa paling ora 50 ewu paket SYN kira-kira. bebarengan.
Yen, contone, sampeyan kudu mbukak ssl / tls salaman ing ndhuwur sesi kasebut, sing kalebu ijol-ijolan sertifikat, banjur saka sudut pandang nyuda sumber daya kanggo load balancer, iki bakal dadi "DDOS" sing luwih kuat tinimbang sing prasaja. banjir SYN. Iku bakal katon sing balancers kudu nangani acara kuwi, nanging ... sayangé, kita ngadhepi karo masalah kuwi.
Lan, mesthi, polisi ing router pinggiran uga bakal nyimpen peralatan sampeyan ing kasus iki.
Tingkat perlindungan katelu marang DDOS/DOS yaiku setelan firewall sampeyan.
Ing kene sampeyan bisa mungkasi serangan saka jinis kapindho lan katelu. Umumé, kabeh sing tekan firewall bisa disaring ing kene.
Tip
Nyoba kanggo menehi firewall minangka sethitik karya sabisa, nyaring metu okehe ing rong baris pisanan pertahanan. Lan mulane.
Apa sampeyan nate kedadeyan, nalika nggawe lalu lintas kanggo mriksa, umpamane, kepiye sistem operasi server sampeyan tahan kanggo serangan DDOS, sampeyan "mateni" firewall sampeyan, ngemot nganti 100 persen, kanthi lalu lintas kanthi intensitas normal. ? Yen ora, bisa uga amarga sampeyan durung nyoba?
Umumé, firewall, kaya sing dakkandhakake, minangka perkara sing rumit, lan bisa digunakake kanthi kerentanan lan solusi sing dites, nanging yen sampeyan ngirim barang sing ora biasa, mung sawetara sampah utawa paket kanthi header sing salah, mula sampeyan karo sawetara, ora karo kemungkinan cilik kuwi (adhedhasar pengalaman), sampeyan bisa stupefy malah peralatan ndhuwur-mburi. Mulane, ing tahap 2, nggunakake ACL biasa (ing tingkat L3 / L4), mung ngidini lalu lintas menyang jaringan sing kudu mlebu ing kana.
Nyaring lalu lintas ing firewall
Ayo nerusake obrolan babagan firewall. Sampeyan kudu ngerti manawa serangan DOS/DDOS mung siji jinis serangan cyber.
Saliyane proteksi DOS/DDOS, kita uga bisa duwe kaya dhaptar fitur ing ngisor iki:
- aplikasi firewall
- pencegahan ancaman (antivirus, anti-spyware, lan kerentanan)
- Nyaring URL
- penyaringan data (filter isi)
- pemblokiran file (jinis file blocking)
Sampeyan kudu mutusake apa sing dibutuhake saka dhaptar iki.
Kanggo terus
Source: www.habr.com