ProHoster > Блог > басқарма > Желілік инфрақұрылымды қалай басқаруға болады. Үшінші тарау. Желі қауіпсіздігі. Екінші бөлім

Желілік инфрақұрылымды қалай басқаруға болады. Үшінші тарау. Желі қауіпсіздігі. Екінші бөлім

Бұл мақала «Желілік инфрақұрылымды қалай басқаруға болады» сериясының төртінші мақаласы. Сериядағы барлық мақалалардың мазмұнын және сілтемелерді табуға болады осында.

В Бірінші бөлім Бұл тарауда біз Деректер орталығы сегментіндегі желі қауіпсіздігінің кейбір аспектілерін қарастырдық. Бұл бөлім «Интернетке қол жеткізу» сегментіне арналған.

Желілік инфрақұрылымды қалай басқаруға болады. Үшінші тарау. Желі қауіпсіздігі. Екінші бөлім

Интернетке қосылу

Қауіпсіздік тақырыбы деректер желілері әлеміндегі ең күрделі тақырыптардың бірі екені сөзсіз. Алдыңғы жағдайлардағыдай, тереңдік пен толықтықты талап етпей, мен мұнда өте қарапайым, бірақ менің ойымша, маңызды сұрақтарды қарастырамын, олардың жауаптары сіздің желіңіздің қауіпсіздік деңгейін көтеруге көмектеседі деп үміттенемін.

Осы сегментті тексеру кезінде келесі аспектілерге назар аударыңыз:

  • жобалау
  • BGP параметрлері
  • DOS/DDOS қорғау
  • брандмауэрде трафикті сүзу

жобалау

Кәсіпорын желісі үшін осы сегментті жобалаудың мысалы ретінде мен ұсынар едім көшбасшылық ішінде Cisco ҚАУІПСІЗ үлгілері.

Әрине, басқа жеткізушілердің шешімі сізге тартымды болып көрінуі мүмкін (қараңыз. Гартнер квадранты 2018), бірақ сізді осы дизайнды егжей-тегжейлі орындауға шақырмай-ақ, мен оның артында тұрған принциптер мен идеяларды түсіну пайдалы деп санаймын.

Ескерту:

SAFE жүйесінде «Қашықтан қол жеткізу» сегменті «Интернетке кіру» сегментінің бөлігі болып табылады. Бірақ бұл мақалалар сериясында біз оны бөлек қарастырамыз.

Кәсіпорын желісі үшін осы сегменттегі жабдықтың стандартты жиынтығы болып табылады

  • шекаралық маршрутизаторлар
  • брандмауэрлер

Ескерту 1

Осы мақалалар сериясында брандмауэрлер туралы айтатынмын NGFW.

Ескерту 2

Мен L2/L1 қосылымын қамтамасыз ету үшін қажет L2/L3 немесе L1 үстінен L2 қабатының әртүрлі түрлерін қарастырмаймын және тек L3 және одан жоғары деңгейдегі мәселелермен шектелемін. Ішінара L1/L2 мәселелері «тарауда талқыланды.Тазалау және құжаттама«.

Егер сіз осы сегментте брандмауэр таппаған болсаңыз, қорытынды жасауға асықпауыңыз керек.

Төмендегідей жасайық алдыңғы бөлімСұрақтан бастайық: сіздің жағдайда осы сегментте брандмауэрді пайдалану қажет пе?

Бұл желіаралық қалқандарды пайдаланудың және трафикті сүзудің күрделі алгоритмдерін қолданудың ең негізделген жері деп айта аламын. IN 1 бөлік Біз деректер орталығының сегментінде желіаралық қалқандарды пайдалануға кедергі келтіруі мүмкін 4 факторды атап өттік. Бірақ мұнда олар енді соншалықты маңызды емес.

Мысал 1. Кешіктірілді

Интернетке келетін болсақ, тіпті шамамен 1 миллисекундтық кешігулер туралы айтудың қажеті жоқ. Сондықтан бұл сегменттегі кідіріс желіаралық қалқанды пайдалануды шектейтін фактор бола алмайды.

Мысал 2. өнімділік

Кейбір жағдайларда бұл фактор әлі де маңызды болуы мүмкін. Сондықтан, брандмауэрді айналып өту үшін кейбір трафикке (мысалы, жүктемені теңестіргіштерден келетін трафик) рұқсат беру қажет болуы мүмкін.

Мысал 3. Сенімділік

Бұл факторды әлі де ескеру қажет, бірақ бәрібір, Интернеттің өзінің сенімсіздігін ескере отырып, оның осы сегмент үшін маңыздылығы деректер орталығы сияқты маңызды емес.

Сонымен, сіздің қызметіңіз http/https (қысқа сеанстармен) үстінде өмір сүреді делік. Бұл жағдайда сіз екі тәуелсіз қорапты (HA жоқ) пайдалана аласыз және олардың біреуінде маршруттау мәселесі болса, барлық трафикті екіншісіне ауыстырыңыз.

Немесе брандмауэрлерді мөлдір режимде пайдалануға болады және егер олар сәтсіз болса, мәселені шешу кезінде трафикті брандмауэрді айналып өтуге мүмкіндік береді.

Сондықтан, ең алдымен, жай баға осы сегментте желіаралық қалқандарды пайдаланудан бас тартуға мәжбүр ететін фактор болуы мүмкін.

Маңызды!

Бұл желіаралық қалқанды деректер орталығының брандмауэрімен біріктіру азғыру бар (осы сегменттер үшін бір желіаралық қалқанды пайдаланыңыз). Шешім, негізінен, мүмкін, бірақ сіз мұны түсінуіңіз керек, өйткені Интернетке қол жеткізу брандмауэрі шын мәнінде сіздің қорғанысыңыздың алдыңғы қатарында және зиянды трафиктің кем дегенде бір бөлігін «қабылдайды», содан кейін, әрине, бұл желіаралық қалқан өшіру қаупінің жоғарылауын ескеру қажет. Яғни, осы екі сегментте бірдей құрылғыларды пайдалану арқылы сіз деректер орталығының сегментінің қолжетімділігін айтарлықтай азайтасыз.

Әдеттегідей, компания ұсынатын қызметке байланысты бұл сегменттің дизайны айтарлықтай өзгеруі мүмкін екенін түсінуіңіз керек. Әдеттегідей, сіз өзіңіздің талаптарыңызға байланысты әртүрлі тәсілдерді таңдай аласыз.

Мысал:

CDN желісі бар мазмұн провайдері болсаңыз (мысалы, қараңыз: мақалалар топтамасы), онда трафикті бағыттау және сүзу үшін бөлек құрылғыларды пайдаланып ондаған немесе тіпті жүздеген қатысу нүктелері бойынша инфрақұрылым жасағыңыз келмеуі мүмкін. Бұл қымбат болады және бұл қажетсіз болуы мүмкін.

BGP үшін арнайы маршрутизаторлардың болуы міндетті емес, сіз сияқты ашық бастапқы құралдарды пайдалана аласыз Куагга. Сондықтан сізге тек сервер немесе бірнеше серверлер, коммутатор және BGP қажет болуы мүмкін.

Бұл жағдайда сіздің серверіңіз немесе бірнеше серверлер тек CDN сервері ғана емес, сонымен қатар маршрутизатор рөлін де атқара алады. Әрине, әлі де көптеген егжей-тегжейлер бар (мысалы, теңгерімділікті қалай қамтамасыз ету керек), бірақ бұл орындалады және бұл біздің серіктестеріміздің бірі үшін сәтті қолданылған тәсіл.

Сізде толық қорғанысы бар бірнеше деректер орталықтары (брандмауэрлер, Интернет провайдерлері ұсынатын DDOS қорғау қызметтері) және тек L2 қосқыштары мен серверлері бар ондаған немесе жүздеген «жеңілдетілген» қатысу нүктелері болуы мүмкін.

Бірақ бұл жағдайда қорғаныс туралы не деуге болады?

Мысалы, жақында танымал болғандарды қарастырайық DNS күшейту DDOS шабуылы. Оның қауіптілігі трафиктің үлкен көлемінің пайда болуымен байланысты, бұл сіздің барлық қосылуларыңыздың 100% «жабады».

Біздің дизайнымызда не бар.

  • AnyCast пайдалансаңыз, трафик қатысу нүктелері арасында бөлінеді. Егер сіздің жалпы өткізу қабілеттілігіңіз терабит болса, бұл шын мәнінде (бірақ соңғы уақытта терабиттік тәртіпте зиянды трафикпен бірнеше шабуылдар болды) сізді «толып кетуден» қорғайды.
  • Алайда, кейбір жоғары сілтемелер бітеліп қалса, сіз бұл сайтты қызметтен алып тастайсыз (префиксті жарнамалауды тоқтатыңыз)
  • сіз сондай-ақ «толық» (және тиісінше қорғалған) деректер орталықтарынан жіберілетін трафик үлесін арттыра аласыз, осылайша зиянды трафиктің маңызды бөлігін қорғалмаған қатысу нүктелерінен жоя аласыз.

Осы мысалға тағы бір шағын ескерту. Егер сіз IX арқылы жеткілікті трафик жіберсеңіз, бұл сіздің осындай шабуылдарға осалдығыңызды азайтады

BGP орнату

Мұнда екі тақырып бар.

  • Қосылу мүмкіндігі
  • BGP орнату

Біз қосылым туралы біраз айттық 1 бөлік. Мәселе тұтынушыларға трафиктің оңтайлы жолмен жүруін қамтамасыз ету болып табылады. Оңтайлылық әрқашан тек кідіріс туралы болмаса да, төмен кідіріс әдетте оңтайлылықтың негізгі көрсеткіші болып табылады. Кейбір компаниялар үшін бұл маңыздырақ, басқалары үшін бұл аз. Мұның бәрі сіз ұсынатын қызметке байланысты.

мысал 1

Егер сіз биржа болсаңыз және сіздің клиенттеріңіз үшін миллисекундтардан аз уақыт аралықтары маңызды болса, онда, әрине, Интернеттің кез келген түрі туралы сөз болуы мүмкін емес.

мысал 2

Егер сіз ойын компаниясы болсаңыз және ондаған миллисекундтар сіз үшін маңызды болса, онда, әрине, сіз үшін қосылым өте маңызды.

мысал 3

Сондай-ақ, TCP хаттамасының қасиеттеріне байланысты бір TCP сеансы ішінде деректерді беру жылдамдығы RTT (Round Trip Time) уақытына да байланысты екенін түсінуіңіз керек. Мазмұнды тарату серверлерін осы мазмұнды тұтынушыға жақындату арқылы осы мәселені шешу үшін CDN желілері де құрылуда.

Байланысты зерттеу - бұл өз мақаласына немесе мақалалар сериясына лайық, өзінше қызықты тақырып және Интернеттің «жұмыс істейтінін» жақсы түсінуді талап етеді.

Пайдалы ресурстар:

ripe.net
bgp.he.net

Мысал:

Мен бір ғана шағын мысал келтірейін.

Сіздің деректер орталығыңыз Мәскеуде орналасқан деп есептейік және сізде Rostelecom (AS12389) жалғыз байланысы бар. Бұл жағдайда (бір үй) сізге BGP қажет емес және сіз Ростелекомның мекенжай пулын жалпыға ортақ мекенжайлар ретінде пайдаланасыз.

Сіз белгілі бір қызмет көрсетесіз делік және сізде Украинадан келген клиенттер жеткілікті және олар ұзақ кешігулерге шағымданады. Зерттеу барысында сіз олардың кейбірінің IP мекенжайлары 37.52.0.0/21 торында екенін анықтадыңыз.

Traceroute іске қосу арқылы трафиктің AS1299 (Telia) арқылы өтіп жатқанын көрдіңіз, ал пингті іске қосу арқылы сіз орташа RTT 70 - 80 миллисекундты аласыз. Мұны мына жерден де көруге болады көзілдірік Ростелеком.

Whois утилитасын (ripe.net сайтында немесе жергілікті қызметтік бағдарламада) пайдаланып, 37.52.0.0/21 блогының AS6849 (Ukrtelecom) тиесілі екенін оңай анықтауға болады.

Келесі, бару арқылы bgp.he.net AS6849-дың AS12389-мен ешқандай байланысы жоқ екенін көресіз (олар клиенттер де емес, бір-біріне қосылатын сілтемелер де емес, оларда теңдестіру қызметі де жоқ). Бірақ қарасаңыз құрдастар тізімі AS6849 үшін сіз, мысалы, AS29226 (Mastertel) және AS31133 (Megafon) көресіз.

Осы провайдерлердің әйнегін тапқаннан кейін жол мен RTT салыстыруға болады. Мысалы, Mastertel RTT үшін шамамен 30 миллисекунд болады.

Осылайша, 80 және 30 миллисекундтар арасындағы айырмашылық сіздің қызметіңіз үшін маңызды болса, онда сізге қосылу мүмкіндігі туралы ойлану, RIPE-тен AS нөміріңізді, мекенжай пулыңызды алу және қосымша сілтемелерді қосу және/немесе IX құрылғыларында қатысу нүктелерін жасау қажет болуы мүмкін.

BGP пайдаланған кезде сізде қосылымды жақсарту мүмкіндігі ғана емес, сонымен қатар Интернет қосылымын қажетсіз түрде сақтайсыз.

Бұл құжат BGP конфигурациялау бойынша ұсыныстарды қамтиды. Бұл ұсыныстар провайдерлердің «үздік тәжірибесі» негізінде әзірленгеніне қарамастан (егер сіздің BGP параметрлері өте қарапайым болмаса) олар сөзсіз пайдалы және шын мәнінде біз талқылаған қатайтудың бір бөлігі болуы керек. Бірінші бөлім.

DOS/DDOS қорғау

Қазір DOS/DDOS шабуылдары көптеген компаниялар үшін күнделікті шындыққа айналды. Шын мәнінде, сізге жиі бір түрде немесе басқа түрде шабуыл жасалады. Сіз мұны әлі байқамағаныңыз сізге қарсы мақсатты шабуылдың әлі ұйымдастырылмағанын және сіз оны білмей-ақ қолданатын қорғаныс шараларының (операциялық жүйелердің әртүрлі кірістірілген қорғаныстары) жеткілікті екенін білдіреді. Сіз және сіздің тұтынушыларыңыз үшін ұсынылатын қызметтің нашарлауын азайтуға көз жеткізіңіз.

Жабдық журналдарына негізделген нақты уақытта әдемі шабуыл карталарын сызатын Интернет ресурстары бар.

Бұл оларға сілтемелерді таба аласыз.

Менің сүйіктім карта CheckPoint сайтынан.

DDOS/DOS-тан қорғау әдетте деңгейлі болады. Неліктен екенін түсіну үшін DOS/DDOS шабуылдарының қандай түрлері бар екенін түсіну керек (мысалы, қараңыз: осында немесе осында)

Яғни, бізде шабуылдың үш түрі бар:

  • көлемдік шабуылдар
  • протоколдық шабуылдар
  • қолданбалы шабуылдар

Егер сіз өзіңізді, мысалы, брандмауэр арқылы шабуылдың соңғы екі түрінен қорғай алсаңыз, онда сіз өзіңізді жоғары сілтемелеріңізді «басып тастауға» бағытталған шабуылдардан қорғай алмайсыз (әрине, егер сіздің Интернет арналарының жалпы сыйымдылығы терабитпен есептелмесе, немесе жақсырақ, ондаған терабитпен).

Сондықтан, қорғаныстың бірінші жолы «көлемді» шабуылдардан қорғау болып табылады және сіздің провайдеріңіз немесе провайдерлер сізге бұл қорғауды қамтамасыз етуі керек. Егер сіз мұны әлі түсінбеген болсаңыз, онда сіз қазір бақыттысыз.

Мысал:

Сізде бірнеше жоғары сілтемелер бар делік, бірақ провайдерлердің біреуі ғана сізге бұл қорғауды қамтамасыз ете алады. Бірақ егер барлық трафик бір провайдер арқылы өтсе, біз сәл бұрын қысқаша талқылаған қосылым туралы не деуге болады?

Бұл жағдайда шабуыл кезінде қосылымды ішінара құрбан етуге тура келеді. Бірақ

  • бұл тек шабуылдың ұзақтығына арналған. Шабуыл болған жағдайда, трафик тек сізге «қолшатыр» беретін провайдер арқылы өтетіндей етіп BGP-ді қолмен немесе автоматты түрде қайта конфигурациялауға болады. Шабуыл аяқталғаннан кейін маршруттауды бұрынғы күйіне қайтаруға болады
  • Барлық трафикті аудару қажет емес. Мысалы, кейбір жоғары сілтемелер немесе теңдестіру арқылы шабуылдар болмағанын көрсеңіз (немесе трафик маңызды емес), осы BGP көршілеріне бәсекелес атрибуттары бар префикстерді жарнамалауды жалғастыра аласыз.

Сондай-ақ серіктестеріңізге «хаттамалық шабуылдардан» және «қолданбалы шабуылдардан» қорғауды беруге болады.
осында осында сіз жақсы оқуды оқи аласыз (аударма). Рас, мақала екі жаста, бірақ ол DDOS шабуылдарынан өзіңізді қалай қорғауға болатыны туралы түсінік береді.

Негізінде, сіз өзіңізді қорғауды толығымен аутсорсингпен шектей аласыз. Бұл шешімнің артықшылықтары бар, бірақ айқын кемшілігі де бар. Шындығында, біз (қайтадан, сіздің компанияңыздың не істейтініне байланысты) бизнестің аман қалуы туралы сөйлесе аламыз. Ал мұндай нәрселерді үшінші тұлғаларға сену...

Сондықтан, екінші және үшінші қорғаныс желілерін (провайдерден қорғауға қосымша ретінде) қалай ұйымдастыру керектігін қарастырайық.

Сонымен, қорғаныстың екінші желісі - сіздің желіңізге кіре берісте сүзгілеу және трафикті шектегіштер (полицейлер).

мысал 1

Провайдерлердің бірінің көмегімен сіз өзіңізді DDOS-қа қарсы қолшатырмен жауып тастадыңыз делік. Бұл провайдер желісінің шетіндегі трафикті және сүзгілерді сүзу үшін Arbor қолданбасын пайдаланады делік.

Arbor «өңдей алатын» өткізу қабілеттілігі шектеулі және провайдер, әрине, сүзгі жабдығы арқылы осы қызметке тапсырыс беретін барлық серіктестерінің трафигін үнемі өткізе алмайды. Сондықтан қалыпты жағдайда қозғалыс сүзгіден өтпейді.

SYN су тасқыны шабуылы бар делік. Шабуыл болған жағдайда трафикті автоматты түрде сүзгілеуге ауыстыратын қызметке тапсырыс берген болсаңыз да, бұл бірден болмайды. Бір минут немесе одан да көп уақыт бойы сіз шабуылда боласыз. Бұл жабдықтың істен шығуына немесе қызметтің нашарлауына әкелуі мүмкін. Бұл жағдайда шеткі бағыттағы трафикті шектеу бұл уақыт ішінде кейбір TCP сеанстарының орнатылмайтындығына әкелсе де, инфрақұрылымды ауқымды мәселелерден сақтайды.

мысал 2

SYN пакеттерінің әдеттен тыс үлкен саны тек SYN тасқын шабуылының нәтижесі болуы мүмкін емес. Сіз бір уақытта шамамен 100 мың TCP қосылымына (бір деректер орталығына) ие болатын қызметті қамтамасыз етесіз делік.

Негізгі провайдерлердің бірімен қысқа мерзімді мәселенің нәтижесінде сеанстарыңыздың жартысы тоқтатылды делік. Егер сіздің қолданбаңыз екі рет ойланбастан, ол бірден (немесе барлық сеанстар үшін бірдей уақыт аралығынан кейін) қосылымды қайта орнатуға тырысатындай етіп жасалған болса, онда сіз шамамен 50 мың SYN пакетін аласыз. бір мезгілде.

Егер, мысалы, сертификаттар алмасуды қамтитын осы сеанстардың үстіне ssl/tls қол алысуын іске қосу керек болса, онда сіздің жүктеме теңестіргішіңіз үшін ресурстарды сарқу тұрғысынан бұл қарапайым сеансқа қарағанда әлдеқайда күшті «DDOS» болады. SYN тасқыны. Мұндай оқиғаларды теңгерімшілер шешуі керек сияқты, бірақ... өкінішке орай, біз осындай мәселеге тап болдық.

Және, әрине, шеткі маршрутизатордағы полицей бұл жағдайда да сіздің жабдықты сақтайды.

DDOS/DOS-тан қорғаудың үшінші деңгейі брандмауэр параметрлері болып табылады.

Мұнда сіз екінші және үшінші түрдегі екі шабуылды да тоқтата аласыз. Жалпы, брандмауэрге жеткеннің барлығын осы жерден сүзуге болады.

Кеңес

Брандмауэрге мүмкіндігінше аз жұмыс беруге тырысыңыз, қорғаныстың алғашқы екі жолында мүмкіндігінше сүзгіден өткізіңіз. Және сол себепті.

Мысалы, серверлеріңіздің операциялық жүйесінің DDOS шабуылдарына қаншалықты төзімді екенін тексеру үшін трафикті генерациялау кезінде кездейсоқ трафикті қалыпты қарқындылықпен 100 пайызға дейін жүктеп отырып, брандмауэрді «өлтірген» кезіңіз болды ма? ? Әйтпесе, бұл сіз тырыспағандықтан болуы мүмкін бе?

Жалпы, брандмауэр, мен айтқанымдай, күрделі нәрсе және ол белгілі осалдықтармен және тексерілген шешімдермен жақсы жұмыс істейді, бірақ егер сіз әдеттен тыс нәрсені жіберсеңіз, кейбір қоқыстарды немесе қате тақырыптары бар пакеттерді жіберсеңіз, онда сіз кейбіреулермен емес, кейбіреулерімен біргесіз. мұндай шағын ықтималдық (менің тәжірибемнің негізінде), сіз тіпті жоғары деңгейлі жабдықты да ессіз қалдыра аласыз. Сондықтан, 2-кезеңде кәдімгі ACL көмегімен (L3/L4 деңгейінде) желіге тек сол жерге кіруі керек трафикке рұқсат беріңіз.

Брандмауэрдегі трафикті сүзу

Брандмауэр туралы әңгімені жалғастырайық. DOS/DDOS шабуылдары кибершабуылдың бір түрі ғана екенін түсінуіңіз керек.

DOS/DDOS қорғауынан басқа, бізде келесі мүмкіндіктер тізімі сияқты нәрсе болуы мүмкін:

  • қолданбалы желіаралық қалқан
  • қауіптердің алдын алу (антивирус, шпиондық бағдарламаға қарсы және осалдық)
  • URL сүзгісі
  • деректерді сүзу (мазмұнды сүзу)
  • файлды блоктау (файл түрлерін блоктау)

Бұл тізімнен не қажет екенін өзіңіз шешесіз.

Жалғасы бар

Ақпарат көзі: www.habr.com

пікір қалдыру