ProHoster > blog > Amministrazzjoni > Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. It-tieni parti

Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. It-tieni parti

Dan l-artikolu huwa r-raba’ mis-sensiela “Kif Tieħu Kontroll tal-Infrastruttura tan-Netwerk Tiegħek.” Il-kontenut tal-artikoli kollha fis-serje u l-links jistgħu jinstabu hawn.

В l-ewwel parti F'dan il-kapitolu, ħares lejn xi aspetti tas-sigurtà tan-netwerk fis-segment taċ-Ċentru tad-Data. Din il-parti se tkun iddedikata għas-segment "Aċċess għall-Internet".

Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. It-tieni parti

Aċċess għall-Internet

Is-suġġett tas-sigurtà huwa bla dubju wieħed mill-aktar suġġetti kumplessi fid-dinja tan-netwerks tad-dejta. Bħal f'każijiet preċedenti, mingħajr ma nippretendi l-fond u l-kompletezza, jien se nikkunsidra hawn pjuttost sempliċi, iżda, fl-opinjoni tiegħi, mistoqsijiet importanti, li t-tweġibiet għalihom, nittama, se jgħinu jgħollu l-livell ta 'sigurtà tan-netwerk tiegħek.

Meta tivverifika dan is-segment, agħti attenzjoni għall-aspetti li ġejjin:

  • disinn
  • settings tal-BGP
  • Protezzjoni DOS/DDOS
  • iffiltrar tat-traffiku fuq il-firewall

Disinn

Bħala eżempju tad-disinn ta 'dan is-segment għal netwerk ta' intrapriżi, nirrakkomanda gwida minn Cisco ġewwa Mudelli SAFE.

Naturalment, forsi s-soluzzjoni ta’ bejjiegħa oħra tidher aktar attraenti għalik (ara. Quadrant Gartner 2018), iżda mingħajr ma nħeġġeġ biex issegwi dan id-disinn fid-dettall, xorta nsibha utli biex nifhem il-prinċipji u l-ideat warajh.

Nota:

F'SAFE, is-segment "Aċċess mill-bogħod" huwa parti mis-segment "Aċċess għall-Internet". Iżda f'din is-sensiela ta 'artikli se nqisuha separatament.

Is-sett standard ta 'tagħmir f'dan is-segment għal netwerk ta' intrapriżi huwa

  • routers tal-fruntiera
  • firewalls

Rimarka 1

F'din is-sensiela ta 'artikli, meta nitkellem dwar firewalls, irrid ngħid NGFW.

Rimarka 2

Inħalli barra l-konsiderazzjoni ta' diversi tipi ta' L2/L1 jew overlay L2 fuq L3 soluzzjonijiet meħtieġa biex niżgura l-konnettività L1/L2 u nillimita ruħi biss għal kwistjonijiet fil-livell L3 u 'l fuq. Parzjalment, kwistjonijiet L1/L2 ġew diskussi fil-kapitolu “Tindif u Dokumentazzjoni".

Jekk ma sibtx firewall f'dan is-segment, allura m'għandekx tgħaġġel għall-konklużjonijiet.

Ejja nagħmlu l-istess bħal fi parti preċedentiNibdew bil-mistoqsija: huwa meħtieġ li tuża firewall f'dan is-segment fil-każ tiegħek?

Nista 'ngħid li dan jidher li huwa l-post l-aktar ġustifikat biex jintużaw firewalls u biex jiġu applikati algoritmi kumplessi ta' filtrazzjoni tat-traffiku. IN partijiet ta '1 Semmejna 4 fatturi li jistgħu jinterferixxu mal-użu tal-firewalls fis-segment taċ-ċentru tad-dejta. Imma hawn m'għadhomx daqshekk sinifikanti.

Eżempju 1. Dewmien

F'dak li għandu x'jaqsam mal-Internet, m'hemm l-ebda skop li nitkellmu dwar dewmien ta 'anke madwar 1 millisekonda. Għalhekk, id-dewmien f'dan is-segment ma jistax ikun fattur li jillimita l-użu tal-firewall.

Eżempju 2. Produttività

F'xi każijiet dan il-fattur xorta jista' jkun sinifikanti. Għalhekk, jista 'jkollok tħalli xi traffiku (per eżempju, traffiku minn load balancers) biex tevita l-firewall.

Eżempju 3. Affidabilità

Dan il-fattur għad irid jitqies, iżda xorta waħda, minħabba n-nuqqas ta 'affidabbiltà tal-Internet innifsu, l-importanza tiegħu għal dan is-segment mhix sinifikanti daqs iċ-ċentru tad-dejta.

Allura, ejja nassumu li s-servizz tiegħek jgħix fuq http/https (b'sessjonijiet qosra). F'dan il-każ, tista 'tuża żewġ kaxxi indipendenti (mingħajr HA) u jekk hemm problema ta' rotta b'waħda minnhom, ittrasferixxi t-traffiku kollu għat-tieni.

Jew tista 'tuża firewalls f'modalità trasparenti u, jekk ifallu, tippermetti li t-traffiku jevita l-firewall filwaqt li ssolvi l-problema.

Għalhekk, x'aktarx biss prezz jista 'jkun il-fattur li jġiegħlek tabbanduna l-użu ta' firewalls f'dan is-segment.

Importanti!

Hemm tentazzjoni li tgħaqqad dan il-firewall mal-firewall taċ-ċentru tad-dejta (uża firewall wieħed għal dawn is-segmenti). Is-soluzzjoni hija, fil-prinċipju, possibbli, iżda trid tifhem dan għaliex Firewall tal-Aċċess għall-Internet huwa fil-fatt fuq quddiem nett tad-difiża tiegħek u "jieħu" mill-inqas ftit mit-traffiku malizzjuż, imbagħad, ovvjament, trid tqis ir-riskju akbar li dan il-firewall jiġi diżattivat. Jiġifieri, billi tuża l-istess apparat f'dawn iż-żewġ segmenti, tnaqqas b'mod sinifikanti d-disponibbiltà tas-segment taċ-ċentru tad-dejta tiegħek.

Bħal dejjem, trid tifhem li skont is-servizz li tipprovdi l-kumpanija, id-disinn ta 'dan is-segment jista' jvarja ħafna. Bħal dejjem, tista 'tagħżel approċċi differenti skont ir-rekwiżiti tiegħek.

Eżempju

Jekk inti fornitur tal-kontenut, b'netwerk CDN (ara, pereżempju, sensiela ta’ artikli), allura tista' ma tridx toħloq infrastruttura f'għexieren jew saħansitra mijiet ta' punti ta' preżenza bl-użu ta' apparati separati għar-rotta u l-iffiltrar tat-traffiku. Se jkun għali, u jista 'sempliċement ma jkunx meħtieġ.

Għal BGP mhux bilfors irid ikollok routers dedikati, tista 'tuża għodod open-source bħal Quagga. Allura forsi kulma għandek bżonn huwa server jew diversi servers, swiċċ u BGP.

F'dan il-każ, is-server tiegħek jew diversi servers jista 'jkollhom ir-rwol ta' mhux biss server CDN, iżda wkoll router. Naturalment, għad hemm ħafna dettalji (bħal kif jiġi żgurat ibbilanċjar), iżda huwa fattibbli, u huwa approċċ li użajna b'suċċess għal wieħed mill-imsieħba tagħna.

Jista 'jkollok diversi ċentri tad-dejta bi protezzjoni sħiħa (firewalls, servizzi ta' protezzjoni DDOS ipprovduti mill-fornituri tal-Internet tiegħek) u għexieren jew mijiet ta 'punti ta' preżenza "simplifikati" bi swiċċijiet u servers L2 biss.

Imma xi ngħidu dwar il-protezzjoni f'dan il-każ?

Ejja nħarsu lejn, pereżempju, il-popolari reċentement Amplifikazzjoni DNS Attakk DDOS. Il-periklu tiegħu jinsab fil-fatt li jiġi ġġenerat ammont kbir ta 'traffiku, li sempliċiment "jixbad" 100% tal-uplinks kollha tiegħek.

X'għandna fil-każ tad-disinn tagħna.

  • jekk tuża AnyCast, allura t-traffiku jitqassam bejn il-punti tal-preżenza tiegħek. Jekk il-bandwidth totali tiegħek huwa terabits, allura dan fih innifsu fil-fatt (madankollu, reċentement kien hemm diversi attakki bi traffiku malizzjuż fl-ordni ta 'terabits) jipproteġik minn uplinks "overflowing"
  • Jekk, madankollu, xi uplinks jinstaddu, allura sempliċement tneħħi dan is-sit mis-servizz (ieqaf tirreklama l-prefiss)
  • tista’ wkoll iżżid is-sehem tat-traffiku mibgħut miċ-ċentri tad-dejta “sħaħ” (u, għaldaqstant, protetti) tiegħek, u b’hekk tneħħi parti sinifikanti tat-traffiku malizzjuż minn punti ta’ preżenza mhux protetti

U nota żgħira oħra għal dan l-eżempju. Jekk tibgħat biżżejjed traffiku permezz ta 'IXs, allura dan inaqqas ukoll il-vulnerabbiltà tiegħek għal attakki bħal dawn

Twaqqif ta' BGP

Hemm żewġ suġġetti hawn.

  • Konnettività
  • Twaqqif ta' BGP

Diġà tkellimna ftit dwar il-konnettività fi partijiet ta '1. Il-punt huwa li tiżgura li t-traffiku lejn il-klijenti tiegħek isegwi l-aħjar triq. Għalkemm l-ottimalità mhux dejjem hija biss dwar latency, latency baxxa normalment hija l-indikatur ewlieni tal-ottimalità. Għal xi kumpaniji dan huwa aktar importanti, għal oħrajn huwa inqas. Kollox jiddependi fuq is-servizz li tipprovdi.

1 Eżempju

Jekk inti skambju, u intervalli ta 'ħin ta' inqas minn millisekondi huma importanti għall-klijenti tiegħek, allura, ovvjament, ma jista 'jkun hemm l-ebda diskors ta' kwalunkwe tip ta 'Internet.

2 Eżempju

Jekk inti kumpanija tal-logħob u għexieren ta 'millisekondi huma importanti għalik, allura, ovvjament, il-konnettività hija importanti ħafna għalik.

3 Eżempju

Trid tifhem ukoll li, minħabba l-proprjetajiet tal-protokoll TCP, ir-rata tat-trasferiment tad-dejta f'sessjoni waħda TCP tiddependi wkoll fuq RTT (Round Trip Time). Qed jinbnew ukoll netwerks CDN biex isolvu din il-problema billi jċaqalqu s-servers tad-distribuzzjoni tal-kontenut eqreb lejn il-konsumatur ta’ dan il-kontenut.

L-istudju tal-konnettività huwa suġġett interessanti fih innifsu, denju tal-artiklu jew serje ta 'artikoli tiegħu stess, u jeħtieġ għarfien tajjeb ta' kif "jaħdem" l-Internet.

Riżorsi utli:

ripe.net
bgp.he.net

Eżempju

Jien nagħti eżempju żgħir wieħed biss.

Ejja nassumu li ċ-ċentru tad-dejta tiegħek jinsab f'Moska, u għandek uplink wieħed - Rostelecom (AS12389). F'dan il-każ (single homed) m'għandekx bżonn BGP, u x'aktarx tuża l-grupp ta 'indirizzi minn Rostelecom bħala indirizzi pubbliċi.

Ejja nassumu li inti tipprovdi ċertu servizz, u għandek numru suffiċjenti ta 'klijenti mill-Ukraina, u jilmentaw dwar dewmien twil. Matul ir-riċerka tiegħek, sibt li l-indirizzi IP ta 'xi wħud minnhom huma fil-grilja 37.52.0.0/21.

Billi tħaddem traceroute, rajt li t-traffiku kien għaddej minn AS1299 (Telia), u billi tħaddem ping, ħadt RTT medju ta '70 - 80 millisekondi. Tista 'tara dan ukoll fuq ħġieġ tal-ħarsa Rostelecom.

Billi tuża l-utilità whois (fuq ripe.net jew utilità lokali), tista 'faċilment tiddetermina li l-blokk 37.52.0.0/21 jappartjeni għal AS6849 (Ukrtelecom).

Sussegwentement, billi tmur bgp.he.net tara li AS6849 m'għandha l-ebda relazzjoni ma 'AS12389 (la huma klijenti u lanqas uplinks ma' xulxin, u lanqas ma għandhom peering). Imma jekk tħares lejn lista ta’ sħabhom għal AS6849, se tara, pereżempju, AS29226 (Mastertel) u AS31133 (Megafon).

Ladarba ssib il-ħġieġa ta 'dawn il-fornituri, tista' tqabbel il-mogħdija u RTT. Per eżempju, għal Mastertel RTT se jkun ta 'madwar 30 millisekondi.

Allura, jekk id-differenza bejn 80 u 30 millisekondi hija sinifikanti għas-servizz tiegħek, allura forsi għandek bżonn taħseb dwar il-konnettività, tikseb in-numru AS tiegħek, il-grupp ta 'indirizzi tiegħek minn RIPE u qabbad uplinks addizzjonali u/jew toħloq punti ta' preżenza fuq IXs.

Meta tuża BGP, mhux biss ikollok l-opportunità li ttejjeb il-konnettività, iżda wkoll iżżomm il-konnessjoni tal-Internet tiegħek b'mod żejda.

Dan id-dokument fih rakkomandazzjonijiet għall-konfigurazzjoni tal-BGP. Minkejja l-fatt li dawn ir-rakkomandazzjonijiet ġew żviluppati abbażi tal-"aħjar prattika" tal-fornituri, madankollu (jekk is-settings tal-BGP tiegħek mhumiex pjuttost bażiċi) huma bla dubju utli u fil-fatt għandhom ikunu parti mill-ebusija li ddiskutejna f' l-ewwel parti.

Protezzjoni DOS/DDOS

Issa l-attakki DOS/DDOS saru realtà ta' kuljum għal ħafna kumpaniji. Fil-fatt, inti attakkat pjuttost spiss f'xi forma jew oħra. Il-fatt li għadek ma nnotajtx dan ifisser biss li għadu ma ġiex organizzat attakk immirat kontrik, u li l-miżuri ta’ protezzjoni li tuża, anke forsi mingħajr ma tkun taf (diversi protezzjonijiet integrati ta’ sistemi operattivi), biżżejjed biex tiżgura li d-degradazzjoni tas-servizz ipprovdut tiġi minimizzata għalik u għall-klijenti tiegħek.

Hemm riżorsi tal-Internet li, ibbażati fuq zkuk tat-tagħmir, jiġbdu mapep sbieħ tal-attakk f'ħin reali.

Hawnhekk tista' ssib links għalihom.

Il-favorit tiegħi mappa minn CheckPoint.

Il-protezzjoni kontra DDOS/DOS hija ġeneralment f'saffi. Biex tifhem għaliex, trid tifhem liema tipi ta’ attakki DOS/DDOS jeżistu (ara, pereżempju, hawn jew hawn)

Jiġifieri għandna tliet tipi ta’ attakki:

  • attakki volumetriċi
  • attakki protokoll
  • attakki ta' applikazzjoni

Jekk tista 'tipproteġi lilek innifsek mill-aħħar żewġ tipi ta' attakki billi tuża, pereżempju, firewalls, allura ma tistax tipproteġi lilek innifsek minn attakki mmirati li "jgħelbu" l-uplinks tiegħek (naturalment, jekk il-kapaċità totali tiegħek tal-kanali tal-Internet mhix ikkalkulata f'terabits, jew aħjar, f'għexieren terabit).

Għalhekk, l-ewwel linja ta 'difiża hija l-protezzjoni kontra attakki "volumetriċi", u l-fornitur jew il-fornituri tiegħek għandhom jipprovdu din il-protezzjoni lilek. Jekk għadek ma rrealizzajtx dan, allura int biss xortik tajba għalissa.

Eżempju

Ejja ngħidu li għandek diversi uplinks, iżda wieħed biss mill-fornituri jista' jagħtik din il-protezzjoni. Imma jekk it-traffiku kollu jgħaddi minn fornitur wieħed, allura xi ngħidu dwar il-konnettività li ddiskutejna fil-qosor ftit qabel?

F'dan il-każ, ser ikollok tissagrifika parzjalment il-konnettività waqt l-attakk. Iżda

  • dan huwa biss għat-tul tal-attakk. Fil-każ ta 'attakk, tista' manwalment jew awtomatikament tikkonfigura mill-ġdid BGP sabiex it-traffiku jgħaddi biss mill-fornitur li jipprovdilek l-"umbrella". Wara li l-attakk jintemm, tista 'terġa' tirritorna r-rotta għall-istat preċedenti tagħha
  • Mhux meħtieġ li t-traffiku kollu jiġi trasferit. Jekk, pereżempju, tara li m'hemm l-ebda attakk permezz ta 'xi uplinks jew peerings (jew it-traffiku mhux sinifikanti), tista' tkompli tirreklama prefissi b'attributi kompetittivi lejn dawn il-ġirien BGP.

Tista 'wkoll tiddelega protezzjoni minn "attakki ta' Protokoll" u "attakki ta 'applikazzjoni" lill-imsieħba tiegħek.
Hawnhekk hawn tista' taqra studju tajjeb (traduzzjoni). Veru, l-artiklu għandu sentejn, iżda jagħtik idea tal-approċċi dwar kif tista 'tipproteġi lilek innifsek minn attakki DDOS.

Fil-prinċipju, tista 'tillimita lilek innifsek għal dan, billi testernalizza kompletament il-protezzjoni tiegħek. Hemm vantaġġi għal din id-deċiżjoni, iżda hemm ukoll żvantaġġ ovvju. Il-fatt hu li nistgħu nitkellmu (għal darb'oħra, skont dak li tagħmel il-kumpanija tiegħek) dwar is-sopravivenza tan-negozju. U afda affarijiet bħal dawn lil partijiet terzi...

Għalhekk, ejja nħarsu lejn kif torganizza t-tieni u t-tielet linji ta 'difiża (bħala żieda għall-protezzjoni mill-fornitur).

Għalhekk, it-tieni linja ta 'difiża hija l-filtrazzjoni u l-limitaturi tat-traffiku (pulizija) fid-daħla tan-netwerk tiegħek.

1 Eżempju

Ejja nassumu li inti kopriet lilek innifsek b'umbrella kontra DDOS bl-għajnuna ta 'wieħed mill-fornituri. Ejja nassumu li dan il-fornitur juża Arbor biex jiffiltra t-traffiku u l-filtri fit-tarf tan-netwerk tiegħu.

Il-bandwidth li Arbor jista '"jipproċessa" huwa limitat, u l-fornitur, ovvjament, ma jistax jgħaddi kontinwament it-traffiku tal-imsieħba kollha tiegħu li jordnaw dan is-servizz permezz ta' tagħmir ta 'filtrazzjoni. Għalhekk, taħt kundizzjonijiet normali, it-traffiku mhux iffiltrat.

Ejja nassumu li hemm attakk ta 'għargħar SYN. Anke jekk ordnajt servizz li awtomatikament jaqleb it-traffiku għal filtrazzjoni fil-każ ta 'attakk, dan ma jseħħx istantanjament. Għal minuta jew aktar inti tibqa taħt attakk. U dan jista 'jwassal għal falliment tat-tagħmir tiegħek jew degradazzjoni tas-servizz. F'dan il-każ, il-limitazzjoni tat-traffiku fit-tarf tar-rotta, għalkemm se twassal għall-fatt li xi sessjonijiet TCP mhux se jiġu stabbiliti matul dan iż-żmien, issalva l-infrastruttura tiegħek minn problemi fuq skala akbar.

2 Eżempju

Numru kbir anormalment ta' pakketti SYN jista' mhux biss ikun ir-riżultat ta' attakk ta' għargħar SYN. Ejja nassumu li inti tipprovdi servizz li fih jista 'jkollok simultanjament madwar 100 elf konnessjoni TCP (ma' ċentru tad-dejta wieħed).

Ejja ngħidu li bħala riżultat ta 'problema għal żmien qasir ma' wieħed mill-fornituri ewlenin tiegħek, nofs is-sessjonijiet tiegħek huma kicked. Jekk l-applikazzjoni tiegħek hija ddisinjata b'tali mod li, mingħajr ma taħsibha darbtejn, immedjatament (jew wara xi intervall ta' żmien li huwa l-istess għas-sessjonijiet kollha) tipprova terġa' tistabbilixxi l-konnessjoni, allura inti tirċievi mill-inqas 50 elf pakkett SYN bejn wieħed u ieħor fl-istess ħin.

Jekk, pereżempju, trid tmexxi ssl/tls handshake fuq dawn is-sessjonijiet, li tinvolvi l-iskambju ta’ ċertifikati, allura mil-lat tat-tnaqqis tar-riżorsi għall-bilanċjar tat-tagħbija tiegħek, dan ikun "DDOS" ħafna aktar b’saħħtu minn sempliċi SYN għargħar. Jidher li l-balancers għandhom jimmaniġġjaw avvenimenti bħal dawn, iżda... sfortunatament, qed niffaċċjaw problema bħal din.

U, ovvjament, pulizija fuq ir-router tat-tarf se jiffranka t-tagħmir tiegħek f'dan il-każ ukoll.

It-tielet livell ta 'protezzjoni kontra DDOS/DOS huwa l-issettjar tal-firewall tiegħek.

Hawnhekk tista 'twaqqaf iż-żewġ attakki tat-tieni u t-tielet tip. B'mod ġenerali, dak kollu li jilħaq il-firewall jista 'jiġi ffiltrat hawn.

Tip

Ipprova agħti l-firewall mill-inqas xogħol possibbli, iffiltra kemm jista 'jkun fuq l-ewwel żewġ linji ta' difiża. U għalhekk.

Qatt ġaralek li b'kumbinazzjoni, waqt li tiġġenera traffiku biex tiċċekkja, pereżempju, kemm is-sistema operattiva tas-servers tiegħek hija reżistenti għall-attakki DDOS, int "qattlek" il-firewall tiegħek, tgħabbih għal 100 fil-mija, bi traffiku f'intensità normali ? Jekk le, forsi sempliċement għax ma ppruvajtx?

B'mod ġenerali, firewall, kif għidt, hija ħaġa kumplessa, u taħdem tajjeb ma 'vulnerabbiltajiet magħrufa u soluzzjonijiet ittestjati, imma jekk tibgħat xi ħaġa mhux tas-soltu, biss xi żibel jew pakketti b'headers mhux korretti, allura inti ma' xi wħud, mhux Bil tali probabbiltà żgħira (ibbażat fuq l-esperjenza tiegħi), tista 'stupefy anki tagħmir top-end. Għalhekk, fl-istadju 2, billi tuża ACLs regolari (fil-livell L3/L4), tħalli biss it-traffiku fin-netwerk tiegħek li għandu jidħol hemmhekk.

Iffiltrar tat-traffiku fuq il-firewall

Ejja nkomplu l-konversazzjoni dwar il-firewall. Trid tifhem li l-attakki DOS/DDOS huma biss tip wieħed ta 'attakk ċibernetiku.

Minbarra l-protezzjoni DOS/DDOS, jista 'jkollna wkoll xi ħaġa bħall-lista ta' karatteristiċi li ġejja:

  • applikazzjoni firewalling
  • prevenzjoni tat-theddid (antivirus, anti-spyware, u vulnerabbiltà)
  • Iffiltrar tal-URL
  • filtrazzjoni tad-dejta (filtrazzjoni tal-kontenut)
  • imblukkar ta' fajls (imblukkar ta' tipi ta' fajls)

Huwa f'idejk li tiddeċiedi x'għandek bżonn minn din il-lista.

Biex titkompla

Sors: www.habr.com

Żid kumment