ProHoster > Blogs > AdministrÄcija > KÄ pÄrÅemt kontroli pÄr savu tÄ«kla infrastruktÅ«ru. TreÅ”Ä nodaļa. TÄ«kla droŔība. OtrÄ daļa
KÄ pÄrÅemt kontroli pÄr savu tÄ«kla infrastruktÅ«ru. TreÅ”Ä nodaļa. TÄ«kla droŔība. OtrÄ daļa
Å is ir ceturtais raksts sÄrijÄ āKÄ pÄrÅemt kontroli pÄr savu tÄ«kla infrastruktÅ«ruā. Visu sÄrijas rakstu saturu un saites var atrast Å”eit.
Š pirmÄ daļa Å ajÄ nodaÄ¼Ä mÄs apskatÄ«jÄm dažus tÄ«kla droŔības aspektus datu centra segmentÄ. Å Ä« daļa bÅ«s veltÄ«ta segmentam āPiekļuve internetamā.
Interneta pieslÄgums
DroŔības tÄma neapÅ”aubÄmi ir viena no sarežģītÄkajÄm tÄmÄm datu tÄ«klu pasaulÄ. TÄpat kÄ iepriekÅ”Äjos gadÄ«jumos, nepretendÄjot uz dziļumu un pilnÄ«gumu, es Å”eit aplÅ«koÅ”u diezgan vienkÄrÅ”us, bet, manuprÄt, svarÄ«gus jautÄjumus, uz kuriem atbildes, es ceru, palÄ«dzÄs paaugstinÄt jÅ«su tÄ«kla droŔības lÄ«meni.
KÄ piemÄru Ŕī segmenta dizainam uzÅÄmumu tÄ«klam es ieteiktu vadÄ«ba no Cisco DROÅ I modeļi.
Protams, iespÄjams, citu pÄrdevÄju risinÄjums jums ŔķitÄ«s pievilcÄ«gÄks (sk. Gartner Quadrant 2018), taÄu nemudinot jÅ«s sekot Å”im dizainam detalizÄti, man tomÄr Ŕķiet noderÄ«gi izprast tÄ pamatÄ esoÅ”os principus un idejas.
Piezīme:
ProgrammÄ SAFE segments āAttÄlÄ piekļuveā ir daļa no āInterneta piekļuvesā segmenta. Bet Å”ajÄ rakstu sÄrijÄ mÄs to aplÅ«kosim atseviŔķi.
Standarta aprÄ«kojuma komplekts Å”ajÄ segmentÄ uzÅÄmuma tÄ«klam ir
pierobežas marÅ”rutÄtÄji
ugunsmūri
1. piezīme
Å ajÄ rakstu sÄrijÄ, runÄjot par ugunsmÅ«riem, es domÄju NGFW.
2. piezīme
Es neÅemu vÄrÄ dažÄda veida L2/L1 vai L2 pÄrklÄjuma risinÄjumus, kas nepiecieÅ”ami, lai nodroÅ”inÄtu L3/L1 savienojamÄ«bu, un aprobežojos ar problÄmÄm L2 lÄ«menÄ« un augstÄk. DaļÄji L3/L1 jautÄjumi tika apspriesti nodaÄ¼Ä āTÄ«rÄ«Å”ana un dokumentÄcija".
Ja Å”ajÄ segmentÄ neesat atradis ugunsmÅ«ri, jums nevajadzÄtu steigties ar secinÄjumiem.
DarÄ«sim tÄpat kÄ iekÅ”Ä iepriekÅ”ÄjÄ daļaSÄksim ar jautÄjumu: vai jÅ«su gadÄ«jumÄ Å”ajÄ segmentÄ ir nepiecieÅ”ams izmantot ugunsmÅ«ri?
Varu teikt, ka Ŕī ir vispamatotÄkÄ vieta ugunsmÅ«ru izmantoÅ”anai un sarežģītu trafika filtrÄÅ”anas algoritmu pielietoÅ”anai. IN 1 daļas MÄs minÄjÄm 4 faktorus, kas var traucÄt ugunsmÅ«ru izmantoÅ”anu datu centra segmentÄ. Bet Å”eit tie vairs nav tik nozÄ«mÄ«gi.
PiemÄrs 1. KavÄÅ”anÄs
Kas attiecas uz internetu, tad nav jÄgas runÄt par aizkavÄÅ”anos pat aptuveni 1 milisekundi. TÄpÄc kavÄÅ”anÄs Å”ajÄ segmentÄ nevar bÅ«t faktors, kas ierobežo ugunsmÅ«ra izmantoÅ”anu.
Å is faktors joprojÄm ir jÄÅem vÄrÄ, taÄu, Åemot vÄrÄ paÅ”a interneta neuzticamÄ«bu, tÄ nozÄ«me Å”ajÄ segmentÄ nav tik nozÄ«mÄ«ga kÄ datu centram.
TÄtad, pieÅemsim, ka jÅ«su pakalpojums darbojas virs http/https (ar Ä«sÄm sesijÄm). Å ajÄ gadÄ«jumÄ varat izmantot divas neatkarÄ«gas kastes (bez HA) un, ja ar vienu no tÄm ir marÅ”rutÄÅ”anas problÄma, pÄrsÅ«tÄ«t visu trafiku uz otro.
Vai arÄ« varat izmantot ugunsmÅ«rus caurspÄ«dÄ«gÄ režīmÄ un, ja tie neizdodas, ļaut trafikam apiet ugunsmÅ«ri, risinot problÄmu.
TÄpÄc, visticamÄk, tikai cena var bÅ«t faktors, kas liks jums atteikties no ugunsmÅ«ru izmantoÅ”anas Å”ajÄ segmentÄ.
Svarīgi!
PastÄv kÄrdinÄjums apvienot Å”o ugunsmÅ«ri ar datu centra ugunsmÅ«ri (Å”iem segmentiem izmantojiet vienu ugunsmÅ«ri). RisinÄjums principÄ ir iespÄjams, bet jums tas ir jÄsaprot, jo Interneta piekļuves ugunsmÅ«ris faktiski ir jÅ«su aizsardzÄ«bas priekÅ”galÄ un "pÄrÅem" vismaz daļu no ļaunprÄtÄ«gÄs trafika, tad, protams, jums ir jÄÅem vÄrÄ paaugstinÄts risks, ka Å”is ugunsmÅ«ris tiks atspÄjots. Tas nozÄ«mÄ, ka, izmantojot vienas un tÄs paÅ”as ierÄ«ces Å”ajos divos segmentos, jÅ«s ievÄrojami samazinÄsiet sava datu centra segmenta pieejamÄ«bu.
KÄ vienmÄr, jums ir jÄsaprot, ka atkarÄ«bÄ no uzÅÄmuma sniegtÄ pakalpojuma Ŕī segmenta dizains var ievÄrojami atŔķirties. KÄ vienmÄr, jÅ«s varat izvÄlÄties dažÄdas pieejas atkarÄ«bÄ no jÅ«su prasÄ«bÄm.
PiemÄrs
Ja esat satura nodroÅ”inÄtÄjs ar CDN tÄ«klu (skatiet, piemÄram, rakstu sÄrija), iespÄjams, nevÄlaties izveidot infrastruktÅ«ru desmitiem vai pat simtiem klÄtbÅ«tnes punktu, izmantojot atseviŔķas ierÄ«ces trafika marÅ”rutÄÅ”anai un filtrÄÅ”anai. Tas bÅ«s dÄrgi, un tas var bÅ«t vienkÄrÅ”i nevajadzÄ«gs.
Lai izmantotu BGP, jums nav obligÄti jÄbÅ«t Ä«paÅ”iem marÅ”rutÄtÄjiem, varat izmantot tÄdus atvÄrtÄ pirmkoda rÄ«kus kÄ Quagga. TÄtad, iespÄjams, viss, kas jums nepiecieÅ”ams, ir serveris vai vairÄki serveri, slÄdzis un BGP.
Å ajÄ gadÄ«jumÄ jÅ«su serveris vai vairÄki serveri var spÄlÄt ne tikai CDN servera, bet arÄ« marÅ”rutÄtÄja lomu. Protams, vÄl ir daudz detaļu (piemÄram, kÄ nodroÅ”inÄt lÄ«dzsvaroÅ”anu), taÄu tas ir izpildÄms, un tÄ ir pieeja, ko esam veiksmÄ«gi izmantojuÅ”i vienam no mÅ«su partneriem.
Jums var bÅ«t vairÄki datu centri ar pilnu aizsardzÄ«bu (ugunsmÅ«ri, DDOS aizsardzÄ«bas pakalpojumi, ko nodroÅ”ina jÅ«su interneta pakalpojumu sniedzÄji) un desmitiem vai simtiem āvienkÄrÅ”otuā klÄtbÅ«tnes punktu tikai ar L2 slÄdžiem un serveriem.
Bet kÄ Å”ajÄ gadÄ«jumÄ ir ar aizsardzÄ«bu?
ApskatÄ«sim, piemÄram, pÄdÄjÄ laikÄ populÄro DNS pastiprinÄÅ”anas DDOS uzbrukums. TÄs briesmas ir saistÄ«tas ar to, ka tiek Ä£enerÄts liels trafika apjoms, kas vienkÄrÅ”i āaizsprostoā 100% no visÄm jÅ«su augÅ”upsaitÄm.
Kas mums ir mÅ«su dizaina gadÄ«jumÄ.
ja izmantojat AnyCast, trafika tiek sadalÄ«ta starp jÅ«su klÄtbÅ«tnes punktiem. Ja jÅ«su kopÄjais joslas platums ir terabitos, tad tas pats par sevi (tomÄr pÄdÄjÄ laikÄ ir bijuÅ”i vairÄki uzbrukumi ar ļaunprÄtÄ«gu trafiku terabitu secÄ«bÄ) pasargÄ jÅ«s no āpÄrpildÄ«tÄmā augÅ”upsaitÄm.
TomÄr, ja dažas augÅ”upsaites tiek aizsÄrÄjuÅ”as, jÅ«s vienkÄrÅ”i noÅemiet Å”o vietni no pakalpojuma (pÄrtrauciet prefiksa reklamÄÅ”anu).
jÅ«s varat arÄ« palielinÄt trafika daļu, kas tiek nosÅ«tÄ«ta no jÅ«su āpilnajiemā (un attiecÄ«gi aizsargÄtajiem) datu centriem, tÄdÄjÄdi novÄrÅ”ot ievÄrojamu ļaunprÄtÄ«gÄs trafika daļu no neaizsargÄtiem klÄtbÅ«tnes punktiem
Un vÄl viena neliela piezÄ«me Å”im piemÄram. Ja sÅ«tÄt pietiekami daudz trafika caur IX, tas arÄ« samazina jÅ«su neaizsargÄtÄ«bu pret Å”Ädiem uzbrukumiem
BGP iestatīŔana
Å eit ir divas tÄmas.
Savienojamība
BGP iestatīŔana
MÄs jau esam nedaudz runÄjuÅ”i par savienojamÄ«bu 1 daļas. MÄrÄ·is ir nodroÅ”inÄt, lai jÅ«su klientu satiksme sekotu optimÄlajam ceļam. Lai gan optimitÄte ne vienmÄr ir saistÄ«ta tikai ar latentumu, zems latentums parasti ir galvenais optimitÄtes rÄdÄ«tÄjs. Dažiem uzÅÄmumiem tas ir svarÄ«gÄk, citiem mazÄk. Tas viss ir atkarÄ«gs no jÅ«su sniegtÄ pakalpojuma.
piemÄrs 1
Ja jÅ«s esat birža, un jÅ«su klientiem ir svarÄ«gi laika intervÄli, kas ir mazÄki par milisekundÄm, tad, protams, par internetu vispÄr nevar bÅ«t runas.
piemÄrs 2
Ja esat spÄļu uzÅÄmums un jums ir svarÄ«gas desmitiem milisekundes, tad, protams, savienojamÄ«ba jums ir ļoti svarÄ«ga.
piemÄrs 3
Jums arÄ« jÄsaprot, ka TCP protokola Ä«paŔību dÄļ datu pÄrsÅ«tÄ«Å”anas Ätrums vienas TCP sesijas laikÄ ir atkarÄ«gs arÄ« no RTT (Round Trip Time). Lai atrisinÄtu Å”o problÄmu, tiek veidoti arÄ« CDN tÄ«kli, pÄrvietojot satura izplatÄ«Å”anas serverus tuvÄk Ŕī satura patÄrÄtÄjam.
SavienojamÄ«bas izpÄte pati par sevi ir interesanta tÄma, kas ir sava raksta vai rakstu sÄrijas cienÄ«ga, un tai ir nepiecieÅ”ama laba izpratne par to, kÄ internets ādarbojasā.
PieÅemsim, ka jÅ«su datu centrs atrodas MaskavÄ un jums ir viena augÅ”upsaite ā Rostelecom (AS12389). Å ajÄ gadÄ«jumÄ (vienvietÄ«gÄ mÄjÄ) jums nav nepiecieÅ”ams BGP, un jÅ«s, visticamÄk, izmantojat Rostelecom adreÅ”u kopu kÄ publiskÄs adreses.
PieÅemsim, ka jÅ«s sniedzat noteiktu pakalpojumu un jums ir pietiekams skaits klientu no Ukrainas, un viÅi sÅ«dzas par ilgu kavÄÅ”anos. PÄtÄ«juma laikÄ jÅ«s noskaidrojÄt, ka dažu no tÄm IP adreses atrodas režģī 37.52.0.0/21.
Palaižot traceroute, jÅ«s redzÄjÄt, ka satiksme notiek caur AS1299 (Telia), un, izpildot ping, jÅ«s saÅÄmÄt vidÄjo RTT 70ā80 milisekundes. To var redzÄt arÄ« vietnÄ izskata stikls Rostelecom.
Izmantojot utilÄ«tu whois (vietnÄ ripe.net vai vietÄjÄ utilÄ«tprogrammÄ), varat viegli noteikt, ka bloks 37.52.0.0/21 pieder AS6849 (Ukrtelecom).
TÄlÄk, dodoties uz bgp.he.net redzat, ka AS6849 nav saistÄ«bu ar AS12389 (tie nav ne klienti, ne augÅ”upsaites viens otram, kÄ arÄ« tiem nav peering). Bet, ja paskatÄs vienaudžu saraksts AS6849, jÅ«s redzÄsit, piemÄram, AS29226 (Mastertel) un AS31133 (Megafon).
Kad esat atradis Å”o pakalpojumu sniedzÄju izskatu, varat salÄ«dzinÄt ceļu un RTT. PiemÄram, Mastertel RTT bÅ«s aptuveni 30 milisekundes.
TÄtad, ja starpÄ«ba starp 80 un 30 milisekundÄm ir bÅ«tiska jÅ«su pakalpojumam, iespÄjams, jums ir jÄdomÄ par savienojamÄ«bu, jÄiegÅ«st savs AS numurs, jÅ«su adreÅ”u kopums no RIPE un jÄpievieno papildu augÅ”upsaites un/vai jÄizveido klÄtbÅ«tnes punkti IX.
Izmantojot BGP, jums ir ne tikai iespÄja uzlabot savienojamÄ«bu, bet arÄ« lieki uzturÄt savu interneta savienojumu.
Å is dokuments satur ieteikumus BGP konfigurÄÅ”anai. Neskatoties uz to, ka Å”ie ieteikumi tika izstrÄdÄti, pamatojoties uz pakalpojumu sniedzÄju ālabÄko praksiā, tomÄr (ja jÅ«su BGP iestatÄ«jumi nav gluži vienkÄrÅ”i) tie neapÅ”aubÄmi ir noderÄ«gi, un tiem vajadzÄtu bÅ«t daļai no sacietÄÅ”anas, par ko mÄs runÄjÄm pirmÄ daļa.
DOS/DDOS aizsardzība
Tagad DOS/DDOS uzbrukumi daudziem uzÅÄmumiem ir kļuvuÅ”i par ikdienas realitÄti. PatiesÄ«bÄ jums vienÄ vai otrÄ veidÄ uzbrÅ«k diezgan bieži. Tas, ka jÅ«s to vÄl neesat pamanÄ«jis, nozÄ«mÄ tikai to, ka pret jums vÄl nav organizÄts mÄrÄ·tiecÄ«gs uzbrukums un ka jÅ«su izmantotie aizsardzÄ«bas pasÄkumi, pat, iespÄjams, to nezinot (dažÄdi operÄtÄjsistÄmu iebÅ«vÄtie aizsardzÄ«bas lÄ«dzekļi), ir pietiekami, lai nodroÅ”inÄt, ka sniegtÄ pakalpojuma pasliktinÄÅ”anÄs jums un jÅ«su klientiem tiek samazinÄta lÄ«dz minimumam.
Ir interneta resursi, kas, pamatojoties uz aprÄ«kojuma žurnÄliem, reÄllaikÄ uzzÄ«mÄ skaistas uzbrukuma kartes.
AizsardzÄ«ba pret DDOS/DOS parasti ir slÄÅaina. Lai saprastu, kÄpÄc, jums ir jÄsaprot, kÄda veida DOS/DDOS uzbrukumi pastÄv (skatiet, piemÄram, Å”eit vai Å”eit)
Tas nozÄ«mÄ, ka mums ir trÄ«s veidu uzbrukumi:
tilpuma uzbrukumi
protokola uzbrukumi
lietojumprogrammu uzbrukumi
Ja jÅ«s varat pasargÄt sevi no pÄdÄjiem divu veidu uzbrukumiem, izmantojot, piemÄram, ugunsmÅ«rus, tad jÅ«s nevarat pasargÄt sevi no uzbrukumiem, kuru mÄrÄ·is ir āpÄrslogotā jÅ«su augÅ”upsaites (protams, ja jÅ«su kopÄjÄ interneta kanÄlu kapacitÄte nav aprÄÄ·inÄta terabitos, vai vÄl labÄk, desmitos terabitos).
TÄpÄc pirmÄ aizsardzÄ«bas lÄ«nija ir aizsardzÄ«ba pret āvolumetriskiemā uzbrukumiem, un jÅ«su pakalpojumu sniedzÄjam vai pakalpojumu sniedzÄjiem ir jÄnodroÅ”ina jums Ŕī aizsardzÄ«ba. Ja jÅ«s to vÄl neesat sapratuÅ”i, tad jums pagaidÄm ir paveicies.
PiemÄrs
PieÅemsim, ka jums ir vairÄkas augÅ”upsaites, taÄu Å”o aizsardzÄ«bu var nodroÅ”inÄt tikai viens no pakalpojumu sniedzÄjiem. Bet, ja visa trafika notiek caur vienu pakalpojumu sniedzÄju, kÄ tad ir ar savienojamÄ«bu, par kuru mÄs Ä«si runÄjÄm nedaudz agrÄk?
Å ajÄ gadÄ«jumÄ uzbrukuma laikÄ jums bÅ«s daļÄji jÄupurÄ savienojamÄ«ba. Bet
tas attiecas tikai uz uzbrukuma laiku. Uzbrukuma gadÄ«jumÄ varat manuÄli vai automÄtiski pÄrkonfigurÄt BGP, lai satiksme notiktu tikai caur pakalpojumu sniedzÄju, kas nodroÅ”ina jÅ«s ar ālietussarguā. Kad uzbrukums ir beidzies, varat atgriezt marÅ”rutÄÅ”anu iepriekÅ”ÄjÄ stÄvoklÄ«
Nav nepiecieÅ”ams pÄrsÅ«tÄ«t visu satiksmi. Ja, piemÄram, redzat, ka nav uzbrukumu, izmantojot dažas augÅ”upsaites vai peering (vai trafika nav nozÄ«mÄ«ga), varat turpinÄt reklamÄt prefiksus ar konkurÄtspÄjÄ«giem atribÅ«tiem pret Å”iem BGP kaimiÅiem.
Varat arÄ« deleÄ£Ät saviem partneriem aizsardzÄ«bu pret āprotokola uzbrukumiemā un ālietojumprogrammu uzbrukumiemā.
Å”eit ir Å”eit tu vari izlasÄ«t labu pÄtÄ«jumu (tulkojums). Tiesa, raksts ir divus gadus vecs, taÄu tas sniegs priekÅ”statu par pieejÄm, kÄ pasargÄt sevi no DDOS uzbrukumiem.
PrincipÄ jÅ«s varat aprobežoties ar to, pilnÄ«bÄ nododot aizsardzÄ«bu Ärpakalpojumu sniedzÄjiem. Å im lÄmumam ir priekÅ”rocÄ«bas, taÄu ir arÄ« acÄ«mredzams trÅ«kums. Fakts ir tÄds, ka mÄs varam runÄt (atkal, atkarÄ«bÄ no jÅ«su uzÅÄmuma darbÄ«bas) par uzÅÄmuma izdzÄ«voÅ”anu. Un uzticÄt Å”Ädas lietas treÅ”ajÄm personÄm...
TÄpÄc apskatÄ«sim, kÄ organizÄt otro un treÅ”o aizsardzÄ«bas lÄ«niju (kÄ papildinÄjumu aizsardzÄ«bai no nodroÅ”inÄtÄja).
TÄtad, otrÄ aizsardzÄ«bas lÄ«nija ir filtrÄÅ”ana un satiksmes ierobežotÄji (policisti) pie tÄ«kla ieejas.
piemÄrs 1
PieÅemsim, ka ar kÄda pakalpojumu sniedzÄja palÄ«dzÄ«bu esat aizsedzis sevi ar lietussargu pret DDOS. PieÅemsim, ka Å”is pakalpojumu sniedzÄjs izmanto Arbor, lai filtrÄtu trafiku un filtrus sava tÄ«kla malÄs.
Joslas platums, ko Arbor var āapstrÄdÄtā, ir ierobežots, un pakalpojumu sniedzÄjs, protams, nevar pastÄvÄ«gi nodot visu savu partneru trafiku, kas pasÅ«ta Å”o pakalpojumu, izmantojot filtrÄÅ”anas aprÄ«kojumu. TÄpÄc normÄlos apstÄkļos satiksme netiek filtrÄta.
PieÅemsim, ka ir SYN plÅ«du uzbrukums. Pat ja pasÅ«tÄ«jÄt pakalpojumu, kas uzbrukuma gadÄ«jumÄ automÄtiski pÄrslÄdz trafiku uz filtrÄÅ”anu, tas nenotiek uzreiz. MinÅ«ti vai ilgÄk jÅ«s paliekat uzbrukuma pakļautÄ«bÄ. Un tas var izraisÄ«t jÅ«su aprÄ«kojuma kļūmi vai pakalpojuma pasliktinÄÅ”anos. Å ajÄ gadÄ«jumÄ trafika ierobežoÅ”ana marÅ”rutÄÅ”anas malÄ, lai gan tas novedÄ«s pie tÄ, ka Å”ajÄ laikÄ netiks izveidotas dažas TCP sesijas, ietaupÄ«s jÅ«su infrastruktÅ«ru no lielÄka mÄroga problÄmÄm.
piemÄrs 2
Neparasti liels SYN pakeÅ”u skaits var bÅ«t ne tikai SYN plÅ«du uzbrukuma rezultÄts. PieÅemsim, ka jÅ«s sniedzat pakalpojumu, kurÄ vienlaikus var bÅ«t aptuveni 100 tÅ«kstoÅ”i TCP savienojumu (uz vienu datu centru).
PieÅemsim, ka Ä«slaicÄ«gas problÄmas dÄļ ar kÄdu no jÅ«su galvenajiem pakalpojumu sniedzÄjiem puse no jÅ«su sesijÄm tiek pÄrtraukta. Ja jÅ«su lietojumprogramma ir veidota tÄ, ka, divreiz nedomÄjot, tÄ nekavÄjoties (vai pÄc kÄda laika intervÄla, kas ir vienÄds visÄm sesijÄm) mÄÄ£ina atjaunot savienojumu, tad jÅ«s saÅemsiet vismaz 50 tÅ«kstoÅ”us SYN pakeÅ”u. vienlaikus.
Ja, piemÄram, pa virsu Ŕīm sesijÄm ir jÄpalaiž ssl/tls rokasspiediens, kas ietver sertifikÄtu apmaiÅu, tad no slodzes balansÄtÄja resursu izsmelÅ”anas viedokļa Å”is bÅ«s daudz spÄcÄ«gÄks āDDOSā nekÄ vienkÄrÅ”s. SYN plÅ«di. Å Ä·iet, ka lÄ«dzsvarotÄjiem vajadzÄtu risinÄt Å”Ädus notikumus, bet... diemžÄl mÄs saskaramies ar Å”Ädu problÄmu.
Un, protams, policists uz malas marÅ”rutÄtÄja glÄbs jÅ«su aprÄ«kojumu arÄ« Å”ajÄ gadÄ«jumÄ.
TreŔais aizsardzības līmenis pret DDOS/DOS ir jūsu ugunsmūra iestatījumi.
Å eit jÅ«s varat apturÄt gan otrÄ, gan treÅ”Ä veida uzbrukumus. KopumÄ Å”eit var filtrÄt visu, kas sasniedz ugunsmÅ«ri.
Vai jums kÄdreiz ir gadÄ«jies, ka nejauÅ”i, Ä£enerÄjot trafiku, lai pÄrbaudÄ«tu, piemÄram, jÅ«su serveru operÄtÄjsistÄmas noturÄ«bu pret DDOS uzbrukumiem, jÅ«s ānogalinÄjÄtā savu ugunsmÅ«ri, ielÄdÄjot to lÄ«dz 100 procentiem ar trafiku normÄlÄ intensitÄtÄ. ? Ja nÄ, varbÅ«t tas ir vienkÄrÅ”i tÄpÄc, ka neesat mÄÄ£inÄjis?
KopumÄ ugunsmÅ«ris, kÄ jau teicu, ir sarežģīta lieta, un tas labi darbojas ar zinÄmÄm ievainojamÄ«bÄm un pÄrbaudÄ«tiem risinÄjumiem, bet, ja jÅ«s sÅ«tÄt kaut ko neparastu, tikai kÄdu atkritumu vai paketes ar nepareizÄm galvenÄm, tad jÅ«s esat ar dažiem, nevis ar. tik maza varbÅ«tÄ«ba (balstoties uz manu pieredzi), jÅ«s varat apstulbinÄt pat augstÄkÄs klases aprÄ«kojumu. TÄpÄc 2. posmÄ, izmantojot parastos ACL (L3/L4 lÄ«menÄ«), savÄ tÄ«klÄ atļaujiet trafiku tikai tam, kam tajÄ vajadzÄtu ienÄkt.
DatplÅ«smas filtrÄÅ”ana uz ugunsmÅ«ra
TurpinÄsim sarunu par ugunsmÅ«ri. Jums jÄsaprot, ka DOS/DDOS uzbrukumi ir tikai viens no kiberuzbrukumu veidiem.
Papildus DOS/DDOS aizsardzÄ«bai mums var bÅ«t arÄ« Å”Äds funkciju saraksts:
lietojumprogrammu ugunsmūris
draudu novÄrÅ”ana (antivÄ«russ, pretspiegprogrammatÅ«ra un ievainojamÄ«ba)
URL filtrÄÅ”ana
datu filtrÄÅ”ana (satura filtrÄÅ”ana)
failu bloÄ·ÄÅ”ana (failu tipu bloÄ·ÄÅ”ana)
Jums ir jÄizlemj, kas jums nepiecieÅ”ams no Ŕī saraksta.