Бул макала "Тармактык инфраструктураңызды кантип көзөмөлдөө керек" сериясынын төртүнчүсү. Сериядагы бардык макалалардын мазмунун жана шилтемелерди тапса болот .
В Бул бөлүмдө биз Data Center сегментинде тармактык коопсуздуктун кээ бир аспектилерин карап чыктык. Бул бөлүк "Интернетке кирүү" сегментине арналат.
Интернет мүмкүндүк алуу
Коопсуздук темасы, албетте, маалымат тармактары дүйнөсүндөгү эң татаал темалардын бири. Мурунку учурлардагыдай эле, тереңдикти жана толуктукту талап кылбастан, мен бул жерде абдан жөнөкөй, бирок, менин оюмча, маанилүү суроолорду карап чыгам, алардын жообу, мен ишенем, сиздин тармактын коопсуздук деңгээлин жогорулатууга жардам берет.
Бул сегментти текшерүүдө, төмөнкү аспектилерге көңүл буруңуз:
- дизайн
- BGP орнотуулары
- DOS/DDOS коргоо
- брандмауэрде трафикти чыпкалоо
дизайн
Ишкана тармагына бул сегментти долбоорлоонун мисалы катары мен сунуштайт элем ичинде Cisco .
Албетте, балким, башка сатуучулардын чечими сизге жагымдуураак көрүнөт (караңыз. ), бирок сизди бул дизайнды майда-чүйдөсүнө чейин аткарууга үндөбөстөн, мен анын артында турган принциптерди жана идеяларды түшүнүү үчүн пайдалуу деп эсептейм.
пикир
SAFEде "Алыстан кирүү" сегменти "Интернетке кирүү" сегментинин бир бөлүгү болуп саналат. Бирок бул макалалар сериясында биз аны өзүнчө карап чыгабыз.
Ишкана тармагы үчүн бул сегментте жабдуулардын стандарттуу топтому болуп саналат
- чек ара маршрутизаторлору
- брандмауэрлер
Эскертүү 1
Бул макалалар сериясында, мен брандмауэрлер жөнүндө айтканда, мен айткым келет .
Эскертүү 2
L2/L1 туташуусун камсыз кылуу үчүн зарыл болгон L2/L3дин ар кандай түрлөрүн же L1 үстүнөн L2 үстүнөн катмарлануучу чечимдерди кароону өткөрүп жиберем жана L3 жана андан жогору деңгээлдеги маселелер менен гана чектелет. Жарым-жартылай L1/L2 маселелери "бөлүмдө талкууланды.".
Эгерде сиз бул сегментте брандмауэрди таба элек болсоңуз, анда корутунду чыгарууга шашылбаңыз.
Келгиле, мурункудай кылалы Келгиле, суроо менен баштайлы: сиздин учурда бул сегментте брандмауэрди колдонуу керекпи?
Бул брандмауэрлерди колдонуу жана трафикти чыпкалоочу татаал алгоритмдерди колдонуу үчүн эң негиздүү жер деп айта алам. IN Биз маалымат борборунун сегментинде брандмауэрди колдонууга тоскоол боло турган 4 факторду айттык. Бирок бул жерде алар анчалык деле маанилүү эмес.
EXAMPLE 1. кармоо
Интернетке келсек, 1 миллисекундга жакын кечигүү жөнүндө сөз кылуунун кереги жок. Ошондуктан, бул сегменттин кечигүү брандмауэрди колдонууну чектөөчү фактор боло албайт.
EXAMPLE 2. кирешелүүлүк
Кээ бир учурларда бул фактор дагы деле маанилүү болушу мүмкүн. Ошондуктан, сиз кандайдыр бир трафикке (мисалы, жүк баланстоочулардан келген трафик) брандмауэрди айланып өтүүгө уруксат беришиңиз керек болушу мүмкүн.
EXAMPLE 3. ишенимдүүлүк
Бул фактор дагы эле эске алынышы керек, бирок ошентсе да, Интернеттин өзүнүн ишенимсиздигин эске алганда, анын бул сегмент үчүн мааниси дата борборуна караганда анчалык деле маанилүү эмес.
Ошентип, сиздин кызматыңыз http/https үстүндө жашайт деп ойлойлу (кыска сессиялар менен). Бул учурда, сиз эки көз карандысыз кутучаны (HA жок) колдоно аласыз жана алардын биринде маршруттук көйгөй болсо, бардык трафикти экинчисине өткөрүңүз.
Же болбосо, сиз брандмауэрлерди ачык режимде колдонсоңуз болот жана алар иштебей калса, көйгөйдү чечүүдө трафикти брандмауэрди айланып өтүүгө уруксат берсеңиз болот.
Ошондуктан, балким, жөн эле баа бул сегментте брандмауэрлерди колдонуудан баш тартууга мажбурлай турган фактор болушу мүмкүн.
Маанилүү!
Бул брандмауэрди маалымат борборунун брандмауэри менен айкалыштыруу азгырыгы бар (бул сегменттер үчүн бир брандмауэрди колдонуңуз). Чечим, негизи, мүмкүн, бирок сиз түшүнүшүңүз керек, анткени Интернетке кирүү брандмауэри чындыгында сиздин коргонууңузда алдыңкы орунда турат жана зыяндуу трафиктин жок дегенде бир бөлүгүн "өз мойнуна алат", анда, албетте, бул брандмауэр иштен чыгуу коркунучун эске алышыңыз керек. Башкача айтканда, ушул эки сегментте бир эле түзмөктөрдү колдонуу менен, сиз маалымат борборунун сегментинин жеткиликтүүлүгүн кыйла азайтасыз.
Адаттагыдай эле, сиз компания көрсөткөн кызматка жараша, бул сегменттин дизайны абдан ар кандай болушу мүмкүн экенин түшүнүү керек. Адаттагыдай эле, сиз талаптарга жараша ар кандай ыкмаларды тандай аласыз.
мисал
Эгер сиз CDN тармагы бар мазмун провайдери болсоңуз (мисалы, караңыз, ), анда трафикти маршрутизациялоо жана чыпкалоо үчүн өзүнчө түзмөктөрдү колдонуу менен ондогон, ал тургай жүздөгөн баруу пункттарында инфраструктураны түзгүңүз келбеши мүмкүн. Бул кымбат болот, ал жөн эле керексиз болушу мүмкүн.
BGP үчүн атайын роутерлердин болушу шарт эмес, сиз сыяктуу ачык булактуу куралдарды колдоно аласыз . Демек, сизге сервер же бир нече серверлер, коммутатор жана BGP керек.
Бул учурда сиздин сервериңиз же бир нече серверлер CDN серверинин гана эмес, роутердин да ролун аткара алат. Албетте, дагы эле көп деталдар бар (мисалы, тең салмактуулукту кантип камсыз кылуу керек), бирок бул ишке ашса болот жана бул ыкманы биз өнөктөштөрүбүздүн бири үчүн ийгиликтүү колдондук.
Сизде толук коргоосу бар бир нече маалымат борборлору (брандмауэрлер, сиздин интернет провайдерлериңиз тарабынан берилген DDOS коргоо кызматтары) жана L2 өчүргүчтөрү жана серверлери менен ондогон же жүздөгөн "жөнөкөйлөштүрүлгөн" катышуу чекиттери болушу мүмкүн.
Бирок бул учурда коргоо жөнүндө эмне айтууга болот?
Мисалы, жакында эле популярдуу болгондорду карап көрөлү . Анын коркунучу чоң көлөмдөгү трафиктин пайда болушунда, бул сиздин бардык шилтемелериңиздин 100%ын "жабып салат".
Биздин долбоордо эмне бар.
- эгер сиз AnyCast колдонсоңуз, анда трафик сиздин болуу чекиттериңиздин ортосунда бөлүштүрүлөт. Эгерде сиздин жалпы өткөрүү жөндөмдүүлүгүңүз терабит болсо, анда мунун өзү чындыгында (бирок, жакында терабиттердин тартибинде зыяндуу трафик менен бир нече чабуулдар болду) сизди "толуп кеткен" шилтемелерден коргойт.
- Бирок, кээ бир өйдө шилтемелер бүтүп калса, анда сиз жөн гана бул сайтты кызматтан алып саласыз (префиксти жарнамалоону токтотуңуз)
- ошондой эле сиз "толук" (жана, демек, корголгон) маалымат борборлоруңуздан жөнөтүлгөн трафиктин үлүшүн көбөйтө аласыз, ошентип, зыяндуу трафиктин олуттуу бөлүгүн корголбогон болуу пункттарынан жок кыла аласыз.
Бул мисалга дагы бир кичинекей эскертүү. Эгер сиз IX аркылуу жетиштүү трафик жөнөтсөңүз, анда бул сиздин мындай чабуулдарга болгон аялуулугуңузду азайтат
BGP орнотулууда
Бул жерде эки тема бар.
- Байланыш
- BGP орнотулууда
Биз буга чейин байланыш жөнүндө бир аз сүйлөштүк . Кеп сиздин кардарларыңызга трафиктин оптималдуу жолду ээрчишине кепилдик берүү. Оптималдуулук дайыма эле кечигүү жөнүндө болбосо да, аз күтүү, адатта, оптималдуулуктун негизги көрсөткүчү болуп саналат. Кээ бир компаниялар үчүн бул маанилүүрөөк болсо, башкалары үчүн азыраак. Мунун баары сиз көрсөткөн кызматтан көз каранды.
мисал 1
Эгерде сиз биржа болсоңуз жана миллисекунддан аз убакыт аралыгы кардарларыңыз үчүн маанилүү болсо, анда, албетте, Интернеттин ар кандай түрү жөнүндө сөз болушу мүмкүн эмес.
мисал 2
Эгер сиз оюн компаниясы болсоңуз жана ондогон миллисекунддар сиз үчүн маанилүү болсо, анда, албетте, сиз үчүн байланыш абдан маанилүү.
мисал 3
Сиз ошондой эле TCP протоколунун касиеттеринен улам бир TCP сессиясынын ичиндеги маалыматтарды берүү ылдамдыгы RTT (Round Trip Time) да көз каранды экенин түшүнүү керек. CDN тармактары, ошондой эле бул мазмунду керектөөчүгө жакын мазмун бөлүштүрүү серверлерин жылдыруу аркылуу бул көйгөйдү чечүү үчүн курулуп жатат.
Байланыштуулукту изилдөө өзүнчө кызыктуу тема, өзүнүн макаласына же макалалар сериясына татыктуу жана Интернеттин "кандайча иштээрин" жакшы түшүнүүнү талап кылат.
Пайдалуу булактар:
мисал
Мен бир эле кичинекей мисал келтирейин.
Келгиле, сиздин маалымат борборуңуз Москвада жайгашкан жана сизде бирдиктүү байланыш бар - Ростелеком (AS12389). Бул учурда (бир үй) сизге BGP керек эмес жана сиз Ростелекомдун дарек пулун жалпыга ачык даректер катары колдоносуз.
Келгиле, сиз белгилүү бир кызматты көрсөтөсүз деп коёлу, жана сизде Украинадан жетиштүү сандагы кардарларыңыз бар жана алар узакка созулган кечигүүлөргө нааразы болушат. Изилдөөңүздүн жүрүшүндө сиз алардын айрымдарынын IP даректери 37.52.0.0/21 торчосунда экенин билдиңиз.
Traceroute иштетүү менен, сиз трафик AS1299 (Telia) аркылуу өтүп жатканын көрдүңүз жана пингди иштетүү менен сиз орточо RTT 70 - 80 миллисекундду түздүңүз. Бул жерден да көрө аласыз .
Whois утилитасын (ripe.net же жергиликтүү утилитада) колдонуп, 37.52.0.0/21 блогу AS6849 (Ukrtelecom) таандык экенин оңой аныктай аласыз.
Кийинки, баруу менен сиз AS6849 AS12389 менен эч кандай байланышы жок экенин көрүп жатасыз (алар кардарлар да эмес, бири-бири менен байланышпайт, ошондой эле алардын теңдеши жок). Бирок карасаң AS6849 үчүн, мисалы, AS29226 (Mastertel) жана AS31133 (Megafon) көрөсүз.
Бул провайдерлердин айнегин тапкандан кийин, сиз жолду жана RTTди салыштыра аласыз. Мисалы, Mastertel RTT үчүн болжол менен 30 миллисекунд болот.
Демек, 80 жана 30 миллисекунддун ортосундагы айырма сиздин кызматыңыз үчүн маанилүү болсо, анда сиз туташуу жөнүндө ойлонуп, AS номериңизди, дарек пулуңузду RIPEден алып, кошумча шилтемелерди туташтырыңыз жана/же IXларда болуу чекиттерин түзүшүңүз керек.
BGP колдонгондо, сиз байланышты жакшыртуу мүмкүнчүлүгүнө гана ээ болбостон, Интернет байланышыңызды да ашыкча сактап каласыз.
BGP конфигурациялоо боюнча сунуштарды камтыйт. Бул сунуштар провайдерлердин "эң мыкты тажрыйбасынын" негизинде иштелип чыккандыгына карабастан (эгерде сиздин BGP жөндөөлөрү анчалык деле жөнөкөй эмес болсо) алар пайдалуу жана чындыгында биз талкуулаган катаалдаштыруунун бир бөлүгү болушу керек. .
DOS/DDOS коргоо
Азыр DOS/DDOS чабуулдары көптөгөн компаниялар үчүн күнүмдүк реалдуулук болуп калды. Чынында, сизге тигил же бул формада кол салуулар көп болот. Муну байкай электигиңиз сизге каршы максаттуу чабуул уюштурула электигин жана сиз колдонгон коргоо чаралары, балким, билбестен да (иштөө тутумдарынын ар кандай орнотулган коргоолору) жетиштүү экенин билдирет. Сиз жана сиздин кардарларыңыз үчүн көрсөтүлгөн кызматтын деградациясын минималдаштырыңыз.
Жабдуу журналдардын негизинде реалдуу убакытта кооз чабуул карталарын тарткан интернет булактары бар.
аларга шилтемелерди таба аласыз.
Менин сүйүктүүм CheckPoint'тен.
DDOS/DOS каршы коргоо адатта катмардуу болот. Эмне үчүн экенин түшүнүү үчүн DOS/DDOS чабуулдарынын кандай түрлөрү бар экенин түшүнүшүңүз керек (мисалы, караңыз: же )
Башкача айтканда, биз кол салуу үч түрү бар:
- көлөмдүү чабуулдар
- протоколдук чабуулдар
- колдонмо чабуулдары
Эгерде сиз өзүңүздү, мисалы, брандмауэрди колдонуп, чабуулдун акыркы эки түрүнөн коргой алсаңыз, анда сиз өзүңүздүн жогорку шилтемелериңизди "көпчүлүккө" багытталган чабуулдардан коргой албайсыз (албетте, эгерде сиздин интернет каналдарыңыздын жалпы сыйымдуулугу терабит менен эсептелбесе, же андан да жакшысы, ондогон терабитте).
Ошондуктан, коргонуунун биринчи сабы "көлөмдүү" чабуулдардан коргоо болуп саналат жана провайдериңиз же провайдериңиз сизге бул коргоону камсыз кылышы керек. Эгер сиз муну түшүнө элек болсоңуз, анда сиз азыр бактылуусуз.
мисал
Сизде бир нече байланыштар бар дейли, бирок провайдерлердин бири гана сизге бул коргоону камсыздай алат. Бирок бардык трафик бир провайдер аркылуу өтсө, анда биз бир аз мурун кыскача талкуулаган байланыш жөнүндө эмне айтууга болот?
Бул учурда, чабуул учурунда байланышты жарым-жартылай курмандыкка чалууга туура келет. Бирок
- бул чабуулдун узактыгы үчүн гана. Кол салуу болгон учурда, сиз BGPди кол менен же автоматтык түрдө кайра конфигурациялай аласыз, андыктан трафик сизге “кол чатырды” берген провайдер аркылуу гана өтөт. Чабуул аяктагандан кийин, сиз маршрутту мурунку абалына кайтара аласыз
- Бардык трафикти которуу зарыл эмес. Эгер, мисалы, сиз кээ бир өйдө шилтемелер же пирингтер аркылуу чабуулдар жок экенин көрсөңүз (же трафик анчалык деле чоң эмес), сиз бул BGP кошуналарына атаандаштык атрибуттары бар префикстерди жарнамалай берсеңиз болот.
Сиз ошондой эле өнөктөштөрүңүзгө "протоколдук чабуулдардан" жана "колдонмо чабуулдарынан" коргоону тапшыра аласыз.
бул жерде сен жакшы окууну окуй аласың (). Ырас, макала эки жашта, бирок ал сизге DDOS чабуулдарынан кантип коргоно тургандыгы жөнүндө түшүнүк берет.
Негизи, сиз өзүңүздүн коргооңузду толугу менен аутсорсинг менен чектей аласыз. Бул чечимдин жакшы жактары бар, бирок айкын кемчилиги да бар. Чындыгында, биз (кайрадан, сиздин компанияңыз эмне кылганына жараша) бизнестин аман калышы жөнүндө сүйлөшө алабыз. Ал эми мындай нерселерди үчүнчү жактарга ишенип...
Ошондуктан, келгиле, экинчи жана үчүнчү коргонуу линияларын (провайдерден коргоого кошумча катары) кантип уюштурууну карап көрөлү.
Ошентип, экинчи коргонуу линиясы - бул чыпкалоо жана трафикти чектөөчүлөр (полиция кызматкерлери).
мисал 1
Провайдерлердин биринин жардамы менен сиз өзүңүздү DDOSга каршы кол чатыр менен каптадыңыз деп ойлойлу. Келгиле, бул провайдер өз тармагынын четиндеги трафикти жана чыпкаларды чыпкалоо үчүн Arbor колдонот деп ойлойлу.
Арбордун "иштетүү" жөндөмдүүлүгү чектелген жана провайдер, албетте, фильтрлөөчү жабдуулар аркылуу бул кызматка буйрутма берген бардык өнөктөштөрүнүн трафигин дайыма өткөрө албайт. Ошондуктан, нормалдуу шарттарда жол кыймылы фильтрацияланбайт.
SYN сел чабуулу бар деп коёлу. Кол салуу болгон учурда трафикти автоматтык түрдө чыпкалоого которуучу кызматка заказ кылсаңыз да, бул дароо ишке ашпайт. Бир мүнөт же андан көп убакыт бою сиз чабуул астында каласыз. Ал эми бул сиздин жабдууларыңыздын иштен чыгышына же кызматтын начарлашына алып келиши мүмкүн. Бул учурда, трафикти чектөө, бул убакыттын ичинде кээ бир TCP сессиялары түзүлбөй калышына алып келсе да, инфраструктураңызды масштабдуу көйгөйлөрдөн сактап калат.
мисал 2
SYN пакеттеринин анормалдуу көп саны SYN сел чабуулунун натыйжасы гана болушу мүмкүн эмес. Сиз бир эле учурда 100 миңге жакын TCP байланышына ээ боло турган кызматты көрсөтөсүз деп коёлу (бир маалымат борборуна).
Негизги провайдериңиздин бири менен болгон кыска мөөнөттүү көйгөйдүн натыйжасында сеанстарыңыздын жарымы токтоп калды дейли. Эгерде сиздин тиркемеңиз эки жолу ойлонбостон, дароо (же бардык сессиялар үчүн бирдей болгон бир нече убакыт аралыгы) байланышты калыбына келтирүүгө аракет кыла тургандай иштелип чыккан болсо, анда сиз болжол менен 50 миң SYN пакетин аласыз. бир эле убакта.
Эгер, мисалы, сертификаттарды алмаштырууну камтыган бул сеанстардын үстүнө ssl/tls кол алышууну иштетишиңиз керек болсо, анда жүктөөнү тең салмактагычыңыз үчүн ресурстарды түгөтүү көз карашынан алганда, бул жөнөкөй караганда алда канча күчтүү "DDOS" болот. SYN сел. Мындай окуяларды баланстоочулар колго алыш керек окшойт, бирок... тилекке каршы, ушундай көйгөйгө туш болуп жатабыз.
Жана, албетте, роутердин четиндеги полиция кызматкери бул учурда да сиздин жабдууларыңызды сактап калат.
DDOS/DOS каршы коргоонун үчүнчү деңгээли сиздин брандмауэр орнотуулары болуп саналат.
Бул жерде сиз экинчи жана үчүнчү түрдөгү эки чабуулду токтото аласыз. Жалпысынан, брандмауэрге жеткен нерселердин бардыгын бул жерден чыпкалоого болот.
кеңеш
Брандмауэрге мүмкүн болушунча азыраак иштөөгө аракет кылыңыз, коргонуунун биринчи эки линиясында мүмкүн болушунча чыпкалаңыз. Ошондон улам.
Маселен, серверлериңиздин операциялык системасы DDOS чабуулдарына канчалык туруштук берерин текшерүү үчүн трафикти түзүүдө кокусунан сиз брандмауэриңизди "өлтүрдүңүз", аны 100 пайызга чейин жүктөдүңүзбү, трафиктин нормалдуу интенсивдүүлүгү менен. ? Эгер андай болбосо, балким, бул жөн гана аракет кылбаганыңыз үчүнбү?
Жалпысынан алганда, брандмауэр, мен айткандай, татаал нерсе жана ал белгилүү алсыздыктар жана сыналган чечимдер менен жакшы иштейт, бирок сиз адаттан тыш нерсени, жөн гана таштандыларды же туура эмес аталыштары бар пакеттерди жөнөтсөңүз, анда сиз менен эмес, кээ бирлери менен биргесиз. Мындай кичинекей ыктымалдык (менин тажрыйбамдын негизинде), сиз эң жогорку жабдууларды да таң калтыра аласыз. Ошондуктан, 2-этапта, кадимки ACLлерди колдонуу менен (L3/L4 деңгээлинде), ал жакка кирүү керек болгон тармагыңызга трафикке гана уруксат бериңиз.
Firewallдагы трафикти чыпкалоо
Келгиле, брандмауэр тууралуу сүйлөшүүнү уланталы. DOS/DDOS чабуулдары кибер чабуулдун бир түрү экенин түшүнүшүңүз керек.
DOS/DDOS коргоосунан тышкары, бизде төмөнкү функциялардын тизмеси сыяктуу бир нерсе болушу мүмкүн:
- тиркеменин брандмауэри
- коркунучтун алдын алуу (антивирус, шпионго каршы жана аялуу)
- URL чыпкалоо
- маалыматтарды чыпкалоо (мазмун чыпкалоо)
- файлды бөгөттөө (файл түрлөрүн бөгөттөө)
Бул тизмеден эмне керек экенин өзүңүз чечесиз.
Уландысы бар
Source: www.habr.com