ProHoster > Блог > administratio > Quomodo infrastructuram retis tuae potiri. Caput tertium. Retis securitatis. Pars duo

Quomodo infrastructuram retis tuae potiri. Caput tertium. Retis securitatis. Pars duo

Articulus iste quartus est in serie "Quam ad modum infrastructurae tuae Network Potiri". Contenta omnium articulorum in serie et nexus inveniri possunt hic.

В in prima parte, In hoc capite nonnullas rationes securitatis retis in segmento Data Centre inspeximus. Haec pars segmento "Internet Obvius" tradetur.

Quomodo infrastructuram retis tuae potiri. Caput tertium. Retis securitatis. Pars duo

penitus obvius

Locus securitatis proculdubio unus ex multiplicissimis argumentis in mundo reticulorum notitiarum. Sicut in superioribus in casibus, sine asseveranter profunditatem et perfectionem, hic plane simplex considero, sed, mea sententia, quaestiones magnas, responsiones quibus, ut spero, ad securitatem retis vestri adiuvabit.

Cum hoc segmento audiendo, sequentes aspectus attende.

  • consilium
  • BGP occasus
  • DOS/DDOS praesidium
  • negotiationis eliquare in firewall

Design

Exemplum propositi huius segmenti pro retis incepti, admoneo ducis ex Cisco intus ARMARIUM exempla.

Sane fortasse solutio aliorum venditorum tibi gratior videbitur (videatur. Gartner Quadrant 2018) , sed sine hortatu ut hoc consilio prosequaris , utile tamen invenio , ut principia et ideas post illud cognoscas .

illud

In tuto, segmentum "Obcessus remotus" portio est portio "Interreti Access". Sed in hac serie articulorum separatim considerabimus.

Vexillum armorum in hoc segmento pro incepti network est

  • terminus iter
  • firewalls

Animadverte 1

In hac articulorum serie, cum de firemuris loquor, dico NGFW.

Animadverte 2

Omitto considerationem variarum generum L2/L1 vel L2 solutionum operiendi super L3 solutiones necessarias ad nexum L1/L2 curandum et me solum ad quaestiones in gradu L3 et supra limitando. Partialiter, L1/L2 quaestiones in capitulo "Purgatio et Documenta".

Si in hoc segmento non invenis focum, tunc ad conclusiones non accedas.

Faciamus sicut in prior parsIncipiamus cum interrogatione: necesse est ut in hac segmento firewall in casu tuo uti?

Dicere possum hunc locum rectissimum esse ut firewalls uti et algorithms eliquationem implicatam mercaturam adhibere. IN' pars II Dicebamus 4 factores qui usum firewalls in segmento centrum datae impedire possunt. Sed hic non amplius significantes sunt.

EXEMPLUM 1. mora

Quod ad Interreti spectat, nihil attinet loqui de mora plus quam 1 millies secundus. Mora igitur in hoc segmento non potest esse factor limitans usui firewall.

EXEMPLUM 2. productivity

In quibusdam casibus haec factor adhuc significans potest esse. Ergo aliqua negotiatio (exempli gratia, negotiatio ab onere librariorum) permittere potest ut fire pariete praeterire.

EXEMPLUM 3. Fiducia

Hoc elementum considerari adhuc debet, sed tamen, posito inconstantia ipsius Interreti, momentum eius ad hanc segmentum non tam significant quam ad centrum datiae.

Ita, sumamus servitutem tuam super http/https (cum brevibus sessionibus). Hoc in casu, duobus scriniis independentibus (sine HA) uti potes et si cum uno ex illis problema est fundere, omnia negotiatio ad alterum transferre.

Vel firewalls in modo perspicuo uti potes et, si defecerint, negotiationem permitte dum problema solvendo firewall praeterire.

Ergo maxime verisimile est price fortasse factor qui te coget usum ignium in hoc segmento deserere.

Magni momenti!

Temptatio est coniungendi hunc focum cum medio firewall (uno murali pro his segmentis utere). Solutio in principio possibilis est, sed debes intelligere quia Firewall Obvius interretialis revera ante defensionem tuam ac "suscipit" aliquos saltem malitiosos mercaturae, utique oportet considerare periculum auctum quod hic ignis murus debilitatus sit. Hoc est, iisdem machinis in his duobus segmentis utendo, signanter reduces promptitudinem segmenti tui centri notati.

Ut semper, debes intelligere secundum ministerium quod societas praebet, consilium huius segmenti multum variari potest. Ut semper, secundum necessitates tuas potest eligere diversos aditus.

exempli gratia

Si provisor contentus es, retis CDN (vide, exempli gratia; series articulorum) , tunc infrastructuram trans justos vel etiam centena puncta praesentiae creare non potes ut machinas separatas ad excitandas et percolandas negotiationes adhibeant. Carum erit, et simpliciter supervacaneum erit.

Nam BGP iter dedicasse necesse non est, instrumentis apertis uti potes Quagga. Ita fortasse omnes, quos desideras, ministra vel plures servientes sunt, pactionem et BGP.

In hoc casu, servo tuo vel pluribus servientibus munus non solum servo CDN, sed etiam iter agere possunt. Nimirum multa singularia adhuc sunt (ut quomodo conpensationem efficiat), sed est agibile, et est accessus bene usi sumus pro uno e sociis nostris.

Plures notitias centra habere potes cum plena protectione (firewalls, DDOS officia munimenta a Internet provisoribus tuis instructa) et justo vel centena "simpliciores" puncta praesentiae cum tantum L2 virgas et servientes.

Sed quid in hac causa praesidii?

Intueamur, exempli gratia, recentem popularem DNS amplificatio DDOS impetum. Eius periculum est in eo quod magna copia negotiationis generatur, quae simpliciter "sculponeorum" 100% omnium rerum tuarum uplinks efficit.

Quid habemus in consilio nostro.

  • si AnyCast uteris, tunc negotiatio inter puncta praesentiae tuae distribuitur. Si tota band latitudo tua est terabita, hoc in se actu (tamen nuper plures impetus cum malitioso commercii ordine terabitorum) te protegit a uplinks "superfluis".
  • Si autem aliqua uplinka plusculum inhaeserint, tunc simpliciter hunc locum a servitio removes (subsisto praepositionem vendo)
  • communicatio negotiationis e tuis "plenis" (ac proinde munitis) centris missis augere etiam potes, ita notabilem partem negotiationis malitiose removere a punctis praesentiae nudatis.

Et alia nota minora ad hoc exemplum. Si satis commercium per IXs mittis, hoc etiam vulnerabilitatem tuam ad tales impetus minuit

Occasus sursum BGP

Duae hic argumenta sunt.

  • Connectivity
  • Occasus sursum BGP

Iam paulo de connectivity in loquebatur pars II. Punctum est curare ut negotiatio clientibus tuis meliorem viam sequatur. Quamvis optimality non semper iusta de latency, humilitas latency plerumque optimalitatis signum est. In quibusdam societatibus hoc maius est, aliis minus. Refert ad officium quod provides.

exempli gratia 1

Si commutatio es, et intervalla clientium tuorum minorum quam millium secundorum momenti sunt, sane nulla omnino interretialis disputatio fieri potest.

exempli gratia 2

Si societas ludus es ac decem millium secundorum momenti apud te sunt, utique connectivity magni momenti est tibi.

exempli gratia 3

Etiam intelligere debes, propter proprietates protocolli TCP, datam translationis ratem intra unam sessionem TCP etiam a RTT (Round Trip Time). Retiacula CDN etiam aedificantur ad solvendam hanc quaestionem movendo contenti distributionis servientes propius ad edendam huius contenti.

Studium connectivity est interesting thema suo iure, proprio articulo vel seriei articulorum dignum, et bonum intellectum requirit quomodo Internet "opera".

Opes utiles:

ripe.net
bgp.he.net

exempli gratia

Unum tantum exemplum dabo.

Ponamus centrum notitiae vestrae Moscuae sita, et unum uplink habes - Rostelecom (AS12389). In hoc casu (uno homed) BGP non indigetis, et maxime probabile piscinam ex Rostelecom in inscriptionibus publicis utere.

Demus te certum obsequium praebere, et sufficientem numerum clientium Ucrainae habere, et de longis moras queruntur. Per investigationem tuam, invenisti IP inscriptiones aliquarum earum in 37.52.0.0/21 malesuada euismod.

Traceroute currendo vidistis mercaturam per AS1299 (Telia), et currendo pingere, mediocris RTT ex 70-80 milliseconds accepisti. Hoc quoque videre potes speculum Rostelecom.

Usura whois utilitas (in ripe.net vel locali utilitate), facile determinare potes quod impedimentum 37.52.0.0/21 ad AS6849 pertinet (Ukrtelecom).

Deinde eundo ad bgp.he.net vides AS6849 nullam necessitudinem cum AS12389 habere (neque enim clientes sunt neque uplinka inter se, neque prospiciens). Sin spectes album parium for AS6849, videbis, exempli gratia, AS29226 (Mastertel) and AS31133 (Megafon).

Cum speculum horum provisorum inveneris, viam ac RTT comparare potes. Exempli gratia, pro Mastertel RTT circiter 30 millium secundorum erit.

Si ergo differentia inter 80 et 30 millium secundorum significativa est pro servitio tuo, tunc fortasse cogitare debes de connectivity, tuum sestertium numerum, tuum piscinam electronicam ex RIPE et connectere ulteriora uplinka et/vel puncta praesentiae in IXs creare.

Cum BGP uteris, facultatem non solum habes nexum emendandi, sed etiam nexum interretialem tuum redundantem serva.

Hoc documentum Vestibulum BGP suasiones continet. Quamvis hae commendationes ex provisorum "optimo usu" fundatae sint, tamen (si BGP occasus tuus non admodum fundamentalis est) proculdubio utilia sunt, ac revera pars durities, de qua in. in prima parte,.

DOS/DDOS praesidium

Impetus autem DOS/DDOS cottidiana res pro multis societatibus factae sunt. Nam saepius in una aut alia forma impugnatur. Quod nondum animadverti id solum significat, impetum iaculis in te nondum constitutum esse, et cautiones tutelae, quibus uteris, etiam fortasse inscii (variis in praesidiis systematis operandi constructis), satis est. ut degradatio servitii provisorum pro te et clientibus tuis elevat.

Facultates interretiales sunt quae, ex instrumentis lignis, pulchras tabulas in tempore reali aggrediuntur.

est nexus illis invenire potes.

meus ventus map ex CheckPoint.

Praesidium contra DDOS/DOS plerumque Nunc. Ad cur intelligendum, debes intellegere quaenam genera impetus DOS/DDOS existant (vide, exempli gratia, hic aut hic)

Hoc est, tria genera impetus;

  • impetus volumetric
  • impetus protocol
  • applicationem impetus

Si te tueri potes ab ultimis duobus oppugnationum generibus utendo, exempli gratia, firewallo, tunc te tueri non potes ab oppugnationibus tuis uplinks "exsuperans" (sane, si capacitas tua totalis canalium interretialis in terabitis non computatur; aut melius tamen in decem terabit).

Prima igitur defensionis acies contra impetus "volumetricos" munitur, ac provisor tuus vel provisor hanc protectionem tibi praebere debent. Si hoc nondum percepisti, tunc tantum felix nunc es.

exempli gratia

Plura tibi dicamus uplinks, sed una tantum provisoribus te huic praesidio praebere potest. Quod si omnis negotiatio per unum provisorem vadit, quidnam de nexu, quod paulo ante breviter tractavimus?

In hoc casu, partim sacrificare connectivity debebis in oppugnatione. Sed

  • hoc solum diuturnitas oppugnationis est. In casu oppugnationis, BGP manuale vel automatice reconfigurare potes ut negotiatio solum per provisorem inveniat qui te "umbella" praebet. Finita oppugnatione, ad priorem statum reducere potes
  • Omnia negotiatio transferre non est necesse. Si, exempli gratia, vides nullas esse impetus per aliquas uplinkas vel proceres (vel commercium non significantes), pergere potes praefixas cum attributis competitive ad haec BGP vicinis praeconia pergere.

Etiam praesidium ab "protocol oppugnationibus" et "applicationibus" sociis tuis delegare potes.
hic hic potes legere bonum studium (translatione). Verum, articulus est duorum annorum, sed dabit tibi ideam aditus in quomodo te ab oppugnationibus DDOS tueri possis.

Principio, ad hoc te circumscribere potes, praesidium tuum penitus transmeans. Commoda sunt huic sententiae, sed est etiam incommodum evidens. Ita res est, loqui possumus (secundum societatis vestrae) de negotio superstite. Et talia crede tertis partibus...

Intueamur igitur quomodo defensionis lineas secundas et tertias instituere (sicut additamentum ad tutelam a provisore).

Secunda defensionis linea est eliquare limites et negotiatores (policers) in introitu ad ornatum tuum.

exempli gratia 1

Ponamus te umbellae contra DDOS obtexisse te adiuvante aliquo provisorum. Ponamus hunc provisorem Arborem utatur ad negotiationem et percolationem ad oram reticuli eliquandam.

Sed quod Arbor "processus" limitatur, et provisor, utique, negotiationem omnium suorum conjugum constanter transire non potest, qui hoc ministerium per eliquare apparatum ordinant. Ergo, sub normalibus conditionibus, negotiatio non colatur.

Sit SYN flumen impetum sumamus. Etiamsi servitutem iubes quae automatice commercium permutat ut in eventus oppugnationis percolatur, hoc statim non fit. Minutae vel plures impugnatae manent. Et hoc potest ducere defectum armorum vel deiectionis servitii. In hoc casu, commercium limitans in margine fudisset, licet eo ducet quod aliquot TCP sessiones hoc tempore non instituentur, infrastructuram tuam a maioribus quaestionibus servabit.

exempli gratia 2

Enormis magnus numerus SYN packets non solum potest esse effectus impetus diluvii SYN. Demus te operam praebere in qua simul circiter 100 milia TCP nexus habere potes (ad centrum unum datae).

Dicamus quod propter breve tempus problema cum provisoribus principalibus tuis dimidium sessionum tuarum calce sunt. Si applicatio tua ita destinatur ut, sine bis cogitando, statim (vel post aliquod tempus quod idem est omnibus sessionibus) nexum restaurare studeat, tunc saltem 50 milia SYN fasciculos circiter recipies. simul.

Si, exempli gratia, super harum sessionum handshake currere debebis, quae libellos commutandi involvit, tunc ex parte subsidiorum augendi pro librario onere tuo, multo fortius erit "DDOS" quam simplex. SYN Diluvium. Videtur quod libratores huiusmodi eventus tractarent, sed dolendum.

Et, sane, vigil in margine iter itineris apparatum tuum in hoc quoque casu servabit.

Tertius gradus tutelae contra DDOS/DOS est occasus incendii tui.

Hic tam impetus secundae ac tertiae speciei prohibere potes. In genere, omnia quae ad focum murum attingunt, hic eliquari possunt.

Concilium

Stude firewall ut quam maxime opusculum dare studeat, quam maxime percolatur in duabus primis praesidiis. Et ideo.

An tibi umquam accidit ut forte, dum negotiationem generans ad reprimendam, exempli gratia, quam resistat ratio operandi servorum tuorum DDOS impetus sit, "occisus" est incendium tuum, illud ad 100 cento oneratum, cum commercii intensio normali. ? Si non, maybe suus simpliciter quia non temptatus es?

Fere murus, ut dixi, res implicata est, et bene notis nuditatibus et solutionibus probatis operatur, sed si quid insolitum mittas, modo quisquiliarum vel fasciculos cum capitis vitiosis, tunc es cum aliquibus, non Cum. tam parva probabilitas (ex mea experientia), vel summum apparatum obstupescere potes. Itaque in scaena 2, ACLs regularibus utens (in gradu L3/L4), tantum permitte negotiationem in retia tua quae ibi ingredi debet.

Filtering negotiationis in firewall

Perge sermonem de firewall. Opus est ut DOS/DDOS oppugnationes comprehendas unum tantum genus oppugnationis cyber- nis esse.

Praeter DOS/DDOS tutelam habere possumus etiam aliquid simile in sequenti lineamentorum indice:

  • applicationem firewalling
  • comminatio praeventionis (antivirus, anti spyware et vulnerability)
  • URL eliquare
  • data eliquare (content eliquare)
  • file interclusio (file types interclusio)

Est ad vos decernere quid ex hoc indice opus sit.

ut continued

Source: www.habr.com

Add a comment