ProHoster > Blog > administracja > Jak przejąć kontrolę nad infrastrukturą sieciową. Rozdział trzeci. Bezpieczeństwo sieci. Część druga

Jak przejąć kontrolę nad infrastrukturą sieciową. Rozdział trzeci. Bezpieczeństwo sieci. Część druga

Ten artykuł jest czwartym z serii „Jak przejąć kontrolę nad infrastrukturą sieciową”. Można znaleźć treść wszystkich artykułów z serii oraz linki tutaj.

В część pierwsza W tym rozdziale przyjrzeliśmy się niektórym aspektom bezpieczeństwa sieci w segmencie Data Center. Ta część poświęcona będzie segmentowi „Dostęp do Internetu”.

Jak przejąć kontrolę nad infrastrukturą sieciową. Rozdział trzeci. Bezpieczeństwo sieci. Część druga

Dostęp do Internetu

Temat bezpieczeństwa to bez wątpienia jeden z najbardziej złożonych tematów w świecie sieci danych. Podobnie jak w poprzednich przypadkach, nie żądając głębi i kompletności, rozważę tutaj dość proste, ale moim zdaniem ważne pytania, na które odpowiedzi, mam nadzieję, pomogą podnieść poziom bezpieczeństwa Twojej sieci.

Audytując ten segment należy zwrócić uwagę na następujące aspekty:

  • projekt
  • Ustawienia BGP
  • Ochrona DOS/DDOS
  • filtrowanie ruchu na zaporze sieciowej

Konstrukcja

Jako przykład zaprojektowania tego segmentu dla sieci korporacyjnej polecam руководство od Cisco wewnątrz BEZPIECZNE modele.

Oczywiście, być może rozwiązanie innych dostawców będzie dla Ciebie bardziej atrakcyjne (patrz. Kwadrant Gartnera 2018), ale nie zachęcam Cię do szczegółowego śledzenia tego projektu, nadal uważam, że przydatne jest zrozumienie zasad i idei, które się za nim kryją.

Uwaga:

W SAFE segment „Dostęp zdalny” stanowi część segmentu „Dostęp do Internetu”. Ale w tej serii artykułów rozważymy to osobno.

Standardowym zestawem sprzętu w tym segmencie dla sieci korporacyjnej jest

  • routery graniczne
  • zapory ogniowe

Notatka 1

W tej serii artykułów, mówiąc o zaporach ogniowych, mam na myśli NGFW.

Notatka 2

Pomijam rozważania na temat różnego rodzaju rozwiązań L2/L1 czy nakładki L2 na L3 niezbędnych do zapewnienia łączności L1/L2 i ograniczam się jedynie do zagadnień na poziomie L3 i wyższym. Częściowo zagadnienia L1/L2 zostały omówione w rozdziale „Sprzątanie i dokumentacja".

Jeśli nie znalazłeś zapory sieciowej w tym segmencie, nie spiesz się z wnioskami.

Zróbmy to samo co w poprzednia częśćZacznijmy od pytania: czy w Twoim przypadku konieczne jest stosowanie firewalla w tym segmencie?

Mogę powiedzieć, że wydaje się to być najbardziej uzasadnione miejsce do stosowania firewalli i stosowania skomplikowanych algorytmów filtrowania ruchu. W części 1 Wspomnieliśmy o 4 czynnikach, które mogą zakłócać stosowanie firewalli w segmencie data center. Ale tutaj nie są już tak znaczące.

Przykład 1. Opóźnienie

W przypadku Internetu nie ma sensu mówić o opóźnieniach rzędu nawet 1 milisekundy. Dlatego opóźnienie w tym segmencie nie może być czynnikiem ograniczającym wykorzystanie firewalla.

Przykład 2. produktywność

W niektórych przypadkach czynnik ten może być nadal istotny. Dlatego może być konieczne zezwolenie części ruchu (na przykład ruchu z modułów równoważenia obciążenia) na ominięcie zapory.

Przykład 3. Niezawodność

Czynnik ten należy jeszcze wziąć pod uwagę, jednak biorąc pod uwagę zawodność samego Internetu, jego znaczenie dla tego segmentu nie jest tak duże, jak dla centrów danych.

Załóżmy więc, że Twoja usługa działa na podstawie protokołu http/https (z krótkimi sesjami). W takim przypadku możesz skorzystać z dwóch niezależnych boxów (bez HA) i jeżeli w jednym z nich wystąpi problem z routingiem, przenieś cały ruch do drugiego.

Możesz też użyć zapór sieciowych w trybie przezroczystym i, jeśli zawiodą, pozwolić ruchowi na ominięcie zapory podczas rozwiązywania problemu.

Dlatego najprawdopodobniej po prostu cena może być czynnikiem, który zmusi Cię do rezygnacji ze stosowania zapór sieciowych w tym segmencie.

Ważne!

Istnieje pokusa połączenia tego firewalla z firewallem centrum danych (użyj jednego firewalla dla tych segmentów). Rozwiązanie jest w zasadzie możliwe, ale trzeba to zrozumieć, ponieważ Zapora dostępu do Internetu faktycznie stoi na czele Twojej obrony i „przejmuje” przynajmniej część szkodliwego ruchu, wtedy oczywiście musisz wziąć pod uwagę zwiększone ryzyko wyłączenia tej zapory. Oznacza to, że stosując te same urządzenia w tych dwóch segmentach, znacząco zmniejszysz dostępność swojego segmentu centrum danych.

Jak zawsze musisz zrozumieć, że w zależności od usług świadczonych przez firmę projekt tego segmentu może się znacznie różnić. Jak zawsze możesz wybrać różne podejścia w zależności od wymagań.

Przykład

Jeśli jesteś dostawcą treści z siecią CDN (zobacz na przykład seria artykułów), możesz nie chcieć tworzyć infrastruktury obejmującej dziesiątki, a nawet setki punktów obecności przy użyciu oddzielnych urządzeń do routingu i filtrowania ruchu. Będzie to kosztowne i może być po prostu niepotrzebne.

W przypadku BGP nie musisz koniecznie mieć dedykowanych routerów, możesz użyć narzędzi typu open source, takich jak Kwagga. Być może więc wszystko, czego potrzebujesz, to serwer lub kilka serwerów, przełącznik i protokół BGP.

W takim przypadku Twój serwer lub kilka serwerów może pełnić rolę nie tylko serwera CDN, ale także routera. Oczywiście pozostaje jeszcze wiele szczegółów (np. sposób zapewnienia równowagi), ale jest to wykonalne i jest to podejście, które z powodzeniem zastosowaliśmy w przypadku jednego z naszych partnerów.

Możesz mieć kilka centrów danych z pełną ochroną (firewalle, usługi ochrony DDOS dostarczane przez Twoich dostawców Internetu) oraz dziesiątki lub setki „uproszczonych” punktów obecności z samymi przełącznikami i serwerami L2.

Ale co z ochroną w tym przypadku?

Spójrzmy na przykład na ostatnio popularne Atak DDOS wzmacniający DNS. Jego niebezpieczeństwo polega na tym, że generowany jest duży ruch, który po prostu „zatyka” 100% wszystkich Twoich łączy nadrzędnych.

Co mamy w przypadku naszego projektu.

  • jeśli korzystasz z AnyCast, ruch jest rozdzielany pomiędzy Twoimi punktami obecności. Jeśli Twoja całkowita przepustowość wynosi terabajty, to samo w sobie (jednak ostatnio miało miejsce kilka ataków ze złośliwym ruchem rzędu terabajtów) chroni Cię przed „przepełnieniem” łączy wysyłających
  • Jeśli jednak niektóre linki zostaną zatkane, po prostu usuniesz tę witrynę z usługi (przestaniesz reklamować prefiks)
  • możesz także zwiększyć udział ruchu wysyłanego z Twoich „pełnych” (i odpowiednio chronionych) centrów danych, usuwając w ten sposób znaczną część szkodliwego ruchu z niechronionych punktów obecności

I jeszcze jedna mała uwaga do tego przykładu. Jeśli wyślesz wystarczającą ilość ruchu przez IX, zmniejszy to również twoją podatność na takie ataki

Konfiguracja protokołu BGP

Są tu dwa tematy.

  • Łączność
  • Konfiguracja protokołu BGP

Mówiliśmy już trochę o łączności w części 1. Chodzi o to, aby ruch do Twoich klientów przebiegał optymalną ścieżką. Chociaż optymalność nie zawsze oznacza tylko opóźnienie, małe opóźnienie jest zwykle głównym wskaźnikiem optymalności. Dla niektórych firm jest to ważniejsze, dla innych mniej. Wszystko zależy od usługi, którą świadczysz.

Przykład 1

Jeśli jesteś giełdą i dla Twoich klientów ważne są odstępy czasowe krótsze niż milisekundy, to oczywiście o jakimkolwiek Internecie w ogóle nie można mówić.

Przykład 2

Jeśli prowadzisz firmę zajmującą się grami i dziesiątki milisekund są dla Ciebie ważne, to oczywiście łączność jest dla Ciebie bardzo ważna.

Przykład 3

Musisz także zrozumieć, że ze względu na właściwości protokołu TCP, szybkość przesyłania danych w ramach jednej sesji TCP zależy również od czasu RTT (ang. Round Trip Time). Budowane są również sieci CDN, aby rozwiązać ten problem, przesuwając serwery dystrybucji treści bliżej konsumenta tych treści.

Badanie łączności jest tematem samym w sobie interesującym, godnym osobnego artykułu lub serii artykułów i wymaga dobrego zrozumienia, jak „działa” Internet.

Przydatne zasoby:

ripe.net
bgp.he.net

Przykład

Podam tylko jeden mały przykład.

Załóżmy, że Twoje centrum danych znajduje się w Moskwie i masz jedno łącze nadrzędne - Rostelecom (AS12389). W tym przypadku (single homeed) nie potrzebujesz BGP i najprawdopodobniej używasz puli adresów Rostelecom jako adresów publicznych.

Załóżmy, że świadczysz określoną usługę i masz wystarczającą liczbę klientów z Ukrainy, którzy narzekają na duże opóźnienia. Podczas swoich badań odkryłeś, że adresy IP niektórych z nich znajdują się w siatce 37.52.0.0/21.

Uruchamiając traserute, zobaczyłeś, że ruch przechodzi przez AS1299 (Telia), a wykonując polecenie ping, uzyskałeś średni RTT wynoszący 70 - 80 milisekund. Można to zobaczyć także na lustro Rostelecom.

Korzystając z narzędzia whois (na ripe.net lub narzędzia lokalnego), możesz łatwo ustalić, że blok 37.52.0.0/21 należy do AS6849 (Ukrtelecom).

Następnie idąc do bgp.he.net widzisz, że AS6849 nie ma związku z AS12389 (nie są one ani klientami, ani łączami nadrzędnymi między sobą, ani nie mają peeringu). Ale jeśli spojrzysz lista rówieśników w przypadku AS6849 zobaczysz na przykład AS29226 (Mastertel) i AS31133 (Megafon).

Gdy znajdziesz lustro tych dostawców, możesz porównać ścieżkę i RTT. Przykładowo dla Mastertela RTT będzie to około 30 milisekund.

Jeśli więc różnica między 80 a 30 milisekundami jest znacząca dla Twojej usługi, być może musisz pomyśleć o łączności, uzyskać numer AS, pulę adresów z RIPE i podłączyć dodatkowe łącza wysyłające i/lub utworzyć punkty obecności na IX.

Korzystając z protokołu BGP, nie tylko masz możliwość poprawy łączności, ale także w sposób redundantny utrzymujesz połączenie internetowe.

Ten dokument zawiera zalecenia dotyczące konfiguracji protokołu BGP. Pomimo tego, że zalecenia te zostały opracowane w oparciu o „najlepsze praktyki” dostawców, to jednak (jeśli Twoje ustawienia BGP nie są całkiem podstawowe) są one niewątpliwie przydatne i w rzeczywistości powinny być częścią hartowania, o którym mówiliśmy w część pierwsza.

Ochrona DOS/DDOS

Obecnie ataki DOS/DDOS stały się codziennością wielu firm. W rzeczywistości jesteś atakowany dość często w tej czy innej formie. Fakt, że jeszcze tego nie zauważyłeś, oznacza tylko, że nie został jeszcze zorganizowany przeciwko Tobie atak ukierunkowany, a środki ochrony, z których korzystasz, nawet być może nieświadomie (różne wbudowane zabezpieczenia systemów operacyjnych), wystarczą, aby zadbaj o to, aby degradacja świadczonych usług była zminimalizowana dla Ciebie i Twoich klientów.

Istnieją zasoby internetowe, które na podstawie logów sprzętu rysują w czasie rzeczywistym piękne mapy ataków.

Tutaj znajdziesz linki do nich.

Mój ulubiony mapa z CheckPointa.

Ochrona przed DDOS/DOS jest zwykle wielowarstwowa. Aby zrozumieć dlaczego, musisz zrozumieć, jakie rodzaje ataków DOS/DDOS istnieją (zobacz na przykład tutaj lub tutaj)

Oznacza to, że mamy trzy rodzaje ataków:

  • ataki wolumetryczne
  • ataki protokołowe
  • ataki na aplikacje

Jeśli przed dwoma ostatnimi rodzajami ataków możesz się uchronić za pomocą np. firewalli, to nie uchronisz się przed atakami mającymi na celu „przeciążenie” Twoich łączy w górę (oczywiście, jeśli całkowita przepustowość Twoich kanałów internetowych nie jest liczona w terabajtach, lub jeszcze lepiej, w dziesiątkach terabitów).

Dlatego pierwszą linią obrony jest ochrona przed atakami „wolumetrycznymi”, a Twój dostawca lub dostawcy muszą zapewnić Ci tę ochronę. Jeśli jeszcze tego nie zrozumiałeś, to na razie jesteś po prostu szczęściarzem.

Przykład

Załóżmy, że masz kilka łączy nadrzędnych, ale tylko jeden z dostawców może zapewnić Ci taką ochronę. Ale jeśli cały ruch przechodzi przez jednego dostawcę, to co z łącznością, którą pokrótce omówiliśmy nieco wcześniej?

W takim przypadku podczas ataku będziesz musiał częściowo poświęcić łączność. Ale

  • dzieje się tak tylko przez czas trwania ataku. W przypadku ataku możesz ręcznie lub automatycznie przekonfigurować BGP tak, aby ruch odbywał się wyłącznie przez dostawcę, który zapewnia Ci „parasol”. Po zakończeniu ataku możesz przywrócić routing do poprzedniego stanu
  • Nie jest konieczne przesyłanie całego ruchu. Jeśli na przykład zauważysz, że nie ma ataków za pośrednictwem niektórych łączy uplink lub peeringów (lub ruch jest nieznaczny), możesz w dalszym ciągu reklamować prefiksy z atrybutami konkurencyjnymi wobec tych sąsiadów BGP.

Możesz także delegować ochronę przed „atakami na protokoły” i „atakami na aplikacje” swoim partnerom.
tutaj jest tutaj możesz przeczytać dobre opracowanie (tłumaczenie). To prawda, że ​​​​artykuł ma dwa lata, ale daje wyobrażenie o podejściu do ochrony przed atakami DDOS.

W zasadzie możesz się do tego ograniczyć, całkowicie outsourcingując swoją ochronę. Ta decyzja ma zalety, ale jest też oczywista wada. Faktem jest, że możemy mówić (znowu, w zależności od tego, czym zajmuje się Twoja firma) o przetrwaniu biznesu. I powierzaj takie rzeczy osobom trzecim...

Dlatego przyjrzyjmy się, jak zorganizować drugą i trzecią linię obrony (jako dodatek do ochrony ze strony dostawcy).

Zatem drugą linią obrony są filtry i ograniczniki ruchu (policjanci) na wejściu do Twojej sieci.

Przykład 1

Załóżmy, że zabezpieczyłeś się parasolem przed DDOS z pomocą jednego z dostawców. Załóżmy, że ten dostawca używa Arbor do filtrowania ruchu i filtruje na obrzeżach swojej sieci.

Przepustowość, którą Arbor może „przetworzyć” jest ograniczona, a dostawca oczywiście nie może stale przepuszczać ruchu wszystkich swoich partnerów zamawiających tę usługę przez sprzęt filtrujący. Dlatego w normalnych warunkach ruch nie jest filtrowany.

Załóżmy, że mamy do czynienia z atakiem powodziowym SYN. Nawet jeśli zamówiłeś usługę, która w przypadku ataku automatycznie przełącza ruch na filtrowanie, nie stanie się to natychmiast. Przez minutę lub dłużej pozostajesz atakowany. Może to prowadzić do awarii sprzętu lub pogorszenia jakości usług. W tym przypadku ograniczenie ruchu na routingu brzegowym, choć doprowadzi do tego, że w tym czasie nie zostaną nawiązane niektóre sesje TCP, uchroni Twoją infrastrukturę przed problemami na większą skalę.

Przykład 2

Nienormalnie duża liczba pakietów SYN może być nie tylko wynikiem ataku typu SYN Flood. Załóżmy, że świadczysz usługę, w której jednocześnie możesz mieć około 100 tysięcy połączeń TCP (do jednego centrum danych).

Załóżmy, że w wyniku krótkotrwałego problemu u jednego z głównych dostawców połowa Twoich sesji zostaje wyrzucona. Jeśli Twoja aplikacja jest zaprojektowana w taki sposób, że bez zastanowienia od razu (lub po pewnym czasie, jednakowym dla wszystkich sesji) próbuje ponownie nawiązać połączenie, to otrzymasz około 50 tysięcy pakietów SYN jednocześnie.

Jeśli na przykład musisz na tych sesjach uruchomić uzgadnianie ssl/tls, co wiąże się z wymianą certyfikatów, to z punktu widzenia wyczerpywania zasobów Twojego modułu równoważenia obciążenia będzie to znacznie silniejszy „DDOS” niż zwykły powódź SYN. Wydawać by się mogło, że balansery powinny poradzić sobie z takimi zdarzeniami, a jednak… niestety stajemy przed takim problemem.

I oczywiście policjant na routerze brzegowym uratuje Twój sprzęt również w tym przypadku.

Trzeci poziom ochrony przed DDOS/DOS to ustawienia zapory sieciowej.

Tutaj możesz zatrzymać oba ataki drugiego i trzeciego typu. Ogólnie rzecz biorąc, wszystko, co dociera do zapory sieciowej, można tutaj filtrować.

Rada

Staraj się jak najmniej obciążać zaporę sieciową, odfiltrowując jak najwięcej na pierwszych dwóch liniach obrony. I własnie dlatego.

Czy zdarzyło Ci się kiedyś, że generując ruch w celu sprawdzenia np. odporności systemu operacyjnego Twoich serwerów na ataki DDOS, „zabiłeś” swojego firewalla, ładując go na 100%, przy ruchu z normalnym natężeniem? ? Jeśli nie, może to po prostu dlatego, że nie próbowałeś?

Ogólnie firewall tak jak mówiłem jest złożoną rzeczą i dobrze sobie radzi ze znanymi podatnościami i sprawdzonymi rozwiązaniami, ale jeśli wyślesz coś nietypowego, jakieś śmieci lub pakiety z błędnymi nagłówkami, to z niektórymi będziesz miał do czynienia, a nie z tak małe prawdopodobieństwo (z mojego doświadczenia), można oszołomić nawet sprzęt z najwyższej półki. Dlatego na etapie 2, korzystając ze zwykłych list ACL (na poziomie L3/L4), zezwalaj na ruch do Twojej sieci tylko taki, który powinien tam wejść.

Filtrowanie ruchu na zaporze sieciowej

Kontynuujmy rozmowę na temat zapory ogniowej. Musisz zrozumieć, że ataki DOS/DDOS to tylko jeden z rodzajów cyberataków.

Oprócz ochrony DOS/DDOS możemy również mieć następującą listę funkcji:

  • zapora sieciowa aplikacji
  • zapobieganie zagrożeniom (antywirus, oprogramowanie antyszpiegowskie i podatność na zagrożenia)
  • Filtrowanie adresów URL
  • filtrowanie danych (filtrowanie treści)
  • blokowanie plików (blokowanie typów plików)

To Ty decydujesz, czego potrzebujesz z tej listy.

Aby być kontynuowane

Źródło: www.habr.com

Dodaj komentarz