ការធ្វើរោគវិនិច្ឆ័យនៃការតភ្ជាប់បណ្តាញនៅលើរ៉ោតទ័រនិម្មិត EDGE

ក្នុងករណីខ្លះបញ្ហាអាចកើតឡើងនៅពេលដំឡើងរ៉ោតទ័រនិម្មិត។ ឧទាហរណ៍ ការបញ្ជូនបន្តច្រក (NAT) មិនដំណើរការទេ ហើយ/ឬមានបញ្ហាក្នុងការដំឡើងច្បាប់ Firewall ដោយខ្លួនឯង។ ឬអ្នកគ្រាន់តែត្រូវការទទួលកំណត់ហេតុនៃរ៉ោតទ័រ ពិនិត្យមើលប្រតិបត្តិការនៃឆានែល និងធ្វើការវិនិច្ឆ័យបណ្តាញ។ អ្នកផ្តល់សេវាពពក Cloud4Y ពន្យល់ពីរបៀបដែលវាត្រូវបានធ្វើ។

ធ្វើការជាមួយរ៉ោតទ័រនិម្មិត

ដំបូងយើងត្រូវកំណត់រចនាសម្ព័ន្ធការចូលប្រើរ៉ោតទ័រនិម្មិត - EDGE ។ ដើម្បីធ្វើដូចនេះយើងបញ្ចូលសេវាកម្មរបស់វាហើយចូលទៅកាន់ផ្ទាំងដែលសមស្រប - ការកំណត់ EDGE ។ នៅទីនោះយើងបើកស្ថានភាព SSH កំណត់ពាក្យសម្ងាត់ ហើយត្រូវប្រាកដថារក្សាទុកការផ្លាស់ប្តូរ។

ប្រសិនបើយើងប្រើច្បាប់ Firewall តឹងរឹង នៅពេលដែលអ្វីៗទាំងអស់ត្រូវបានហាមឃាត់តាមលំនាំដើម នោះយើងបន្ថែមច្បាប់ដែលអនុញ្ញាតឱ្យភ្ជាប់ទៅរ៉ោតទ័រដោយខ្លួនឯងតាមរយៈច្រក SSH៖

បន្ទាប់មកយើងភ្ជាប់ជាមួយម៉ាស៊ីនភ្ញៀវ SSH ណាមួយឧទាហរណ៍ PuTTY ហើយចូលទៅកាន់កុងសូល។

នៅក្នុងកុងសូល ពាក្យបញ្ជាមានសម្រាប់យើង បញ្ជីដែលអាចមើលឃើញដោយប្រើ៖
បញ្ជី

តើ​ពាក្យ​បញ្ជា​ណា​ខ្លះ​អាច​មាន​ប្រយោជន៍​សម្រាប់​យើង? នេះគឺជាបញ្ជីដែលមានប្រយោជន៍បំផុត៖

• បង្ហាញចំណុចប្រទាក់ — នឹងបង្ហាញចំណុចប្រទាក់ដែលមាន និងអាសយដ្ឋាន IP ដែលបានដំឡើងនៅលើពួកវា
• បង្ហាញកំណត់ហេតុ - នឹងបង្ហាញកំណត់ហេតុរ៉ោតទ័រ
• បង្ហាញកំណត់ហេតុតាមដាន — នឹង​ជួយ​អ្នក​មើល​កំណត់​ហេតុ​ក្នុង​ពេល​ពិត​ប្រាកដ​ជា​មួយ​នឹង​ការ​ធ្វើ​ឱ្យ​ទាន់​សម័យ​ឥត​ឈប់​ឈរ​។ ច្បាប់នីមួយៗ មិនថា NAT ឬ Firewall មានជម្រើស Enable loggging នៅពេលបើកដំណើរការ ព្រឹត្តិការណ៍នឹងត្រូវបានកត់ត្រានៅក្នុង log ដែលនឹងអនុញ្ញាតឱ្យមានការវិនិច្ឆ័យ។
• បង្ហាញតារាងលំហូរ - នឹងបង្ហាញតារាងទាំងមូលនៃការតភ្ជាប់ដែលបានបង្កើតឡើង និងប៉ារ៉ាម៉ែត្ររបស់វា។
  ឧទាហរណ៍:1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• បង្ហាញតារាង flowtable topN 10 — អនុញ្ញាតឱ្យអ្នកបង្ហាញចំនួនបន្ទាត់ដែលត្រូវការ ក្នុងឧទាហរណ៍នេះ 10
• បង្ហាញតារាង flowtable topN 10 តម្រៀបតាម pkts — នឹងជួយតម្រៀបការតភ្ជាប់តាមចំនួននៃកញ្ចប់ព័ត៌មានពីតូចបំផុតទៅធំបំផុត
• បង្ហាញតារាង flowtable topN 10 តម្រៀបតាមបៃ - នឹងជួយតម្រៀបការតភ្ជាប់តាមចំនួនបៃដែលបានផ្ទេរពីតូចបំផុតទៅធំបំផុត
• បង្ហាញ Flowtable rule-id ID topN 10 — នឹងជួយបង្ហាញការតភ្ជាប់ដោយលេខសម្គាល់ច្បាប់ដែលត្រូវការ
• បង្ហាញតារាង flowspec SPEC — សម្រាប់ការជ្រើសរើសការតភ្ជាប់ដែលអាចបត់បែនបានកាន់តែច្រើន ដែល SPEC — កំណត់ច្បាប់តម្រងចាំបាច់ ឧទាហរណ៍ proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365 សម្រាប់ការជ្រើសរើសដោយប្រើពិធីការ TCP និងអាសយដ្ឋាន IP ប្រភព 9Х.107.69។ XX ពីច្រកអ្នកផ្ញើ 59365
  ឧទាហរណ៍:> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• បង្ហាញការទម្លាក់កញ្ចប់ - នឹងអនុញ្ញាតឱ្យអ្នកមើលស្ថិតិនៅលើកញ្ចប់
• បង្ហាញលំហូរជញ្ជាំងភ្លើង - បង្ហាញបញ្ជរកញ្ចប់ព័ត៌មានជញ្ជាំងភ្លើង រួមជាមួយនឹងលំហូរកញ្ចប់ព័ត៌មាន។

យើងក៏អាចប្រើឧបករណ៍វិភាគបណ្តាញមូលដ្ឋានដោយផ្ទាល់ពីរ៉ោតទ័រ EDGE៖

• ping ip ពាក្យ
• ping ip ទំហំ WORD SIZE រាប់ COUNT nofrag – ping បង្ហាញពីទំហំនៃទិន្នន័យដែលត្រូវបានផ្ញើ និងចំនួននៃការត្រួតពិនិត្យ ហើយក៏ហាមឃាត់ការបែងចែកទំហំកញ្ចប់ព័ត៌មានផងដែរ។
• traceroute ip WORD

លំដាប់នៃការធ្វើរោគវិនិច្ឆ័យប្រតិបត្តិការ Firewall នៅលើ Edge

1. បើកដំណើរការ បង្ហាញជញ្ជាំងភ្លើង ហើយមើលច្បាប់តម្រងផ្ទាល់ខ្លួនដែលបានដំឡើងនៅក្នុងតារាង usr_rules
2. យើងពិនិត្យមើលខ្សែសង្វាក់ POSTROUTIN និងគ្រប់គ្រងចំនួនកញ្ចប់ព័ត៌មានដែលបានទម្លាក់ដោយប្រើវាល DROP ។ ប្រសិនបើមានបញ្ហាជាមួយនឹងផ្លូវ asymmetric យើងនឹងកត់ត្រាការកើនឡើងនៃតម្លៃ។
   តោះអនុវត្តការត្រួតពិនិត្យបន្ថែម៖
   • ភីងនឹងធ្វើការក្នុងទិសដៅមួយ ហើយមិននៅក្នុងទិសដៅផ្ទុយនោះទេ។
   • ping នឹងដំណើរការ ប៉ុន្តែវគ្គ TCP នឹងមិនត្រូវបានបង្កើតឡើងទេ។
3. យើងមើលលទ្ធផលនៃព័ត៌មានអំពីអាសយដ្ឋាន IP - បង្ហាញ ipset
4. បើកការកត់ត្រានៅលើច្បាប់ជញ្ជាំងភ្លើងនៅក្នុងសេវាកម្ម Edge
5. យើងមើលព្រឹត្តិការណ៍នៅក្នុងកំណត់ហេតុ - បង្ហាញកំណត់ហេតុតាមដាន
6. យើងពិនិត្យមើលការតភ្ជាប់ដោយប្រើ rule_id ដែលត្រូវការ - បង្ហាញ flowtable rule_id
7. ដោយមានជំនួយពី បង្ហាញស្ថិតិលំហូរ យើងប្រៀបធៀបការតភ្ជាប់ធាតុលំហូរបច្ចុប្បន្នដែលបានដំឡើងបច្ចុប្បន្នជាមួយនឹងអតិបរមាដែលអនុញ្ញាត (សមត្ថភាពលំហូរសរុប) នៅក្នុងការកំណត់រចនាសម្ព័ន្ធបច្ចុប្បន្ន។ ការកំណត់រចនាសម្ព័ន្ធ និងដែនកំណត់ដែលមានអាចមើលបាននៅក្នុង VMware NSX Edge។ ប្រសិនបើអ្នកចាប់អារម្មណ៍ខ្ញុំអាចនិយាយអំពីរឿងនេះនៅក្នុងអត្ថបទបន្ទាប់។

តើអ្នកអាចអានអ្វីទៀតនៅលើប្លក់? Cloud4Y

→ មេរោគដែលធន់ទ្រាំនឹង CRISPR បង្កើត "ជំរក" ដើម្បីការពារហ្សែនពីអង់ស៊ីមដែលជ្រាបចូល DNA
→ តើធនាគារបរាជ័យដោយរបៀបណា?
→ ទ្រឹស្តីផ្កាព្រិលដ៏អស្ចារ្យ
→ អ៊ីនធឺណិតនៅលើប៉េងប៉ោង
→ Pentesters នៅជួរមុខនៃសន្តិសុខតាមអ៊ីនធឺណិត

ជាវប្រចាំរបស់យើង។ Telegram-channel ដូច្នេះអ្នកកុំខកខានអត្ថបទបន្ទាប់! យើងសរសេរមិនលើសពីពីរដងក្នុងមួយសប្តាហ៍ ហើយសម្រាប់តែអាជីវកម្មប៉ុណ្ណោះ។ យើងរំលឹកអ្នកថាការចាប់ផ្តើមអាជីវកម្មអាចទទួលបាន RUB 1 ។ ពី Cloud000Y ។ លក្ខខណ្ឌ និងទម្រង់ពាក្យសុំសម្រាប់អ្នកចាប់អារម្មណ៍អាចរកបាននៅលើគេហទំព័ររបស់យើង៖ bit.ly/2sj6dPK

ប្រភព: www.habr.com