پرو هوسٽر > بلاگ > انتظاميه > توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو ٻيو

توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو ٻيو

هي آرٽيڪل سيريز ۾ چوٿون آهي "توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي." سيريز ۾ سڀني مضمونن جو مواد ۽ لنڪ ملي سگھن ٿا هتي.

В پهريون حصو هن باب ۾، اسان ڊيٽا سينٽر جي حصي ۾ نيٽ ورڪ سيڪيورٽي جي ڪجهه حصن تي غور ڪيو. هي حصو وقف ڪيو ويندو “انٽرنيٽ رسائي” ڀاڱي.

توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو ٻيو

انٽرنيٽ رسائي

سيڪيورٽي جو موضوع بلاشبہ ڊيٽا نيٽ ورڪ جي دنيا ۾ سڀ کان وڌيڪ پيچيده موضوعن مان هڪ آهي. جيئن ته پوئين ڪيسن ۾، بغير دعوى جي کوٽائي ۽ مڪمليت جي، مان هتي غور ڪندس بلڪل سادو، پر، منهنجي خيال ۾، اهم سوال، جن جا جواب، مون کي اميد آهي، توهان جي نيٽ ورڪ جي سيڪيورٽي جي سطح کي وڌائڻ ۾ مدد ڪندي.

جڏهن هن ڀاڱي جي آڊيٽنگ ڪريو، هيٺ ڏنل پهلوئن تي ڌيان ڏيو:

  • ڊزائين
  • BGP سيٽنگون
  • DOS/DDOS تحفظ
  • فائر وال تي ٽرئفڪ فلٽرنگ

خاڪي

هن حصي جي جوڙجڪ جي هڪ مثال جي طور تي هڪ انٽرنيشنل نيٽ ورڪ لاء، مان سفارش ڪندس رهنمائي ڪندڙ Cisco کان اندر محفوظ ماڊلز.

يقينا، شايد ٻين وينڊرز جو حل توهان کي وڌيڪ پرڪشش نظر ايندو (ڏسو. گارٽنر ڪواڊرنٽ 2018)، پر توهان کي حوصلا افزائي ڪرڻ کان سواءِ هن ڊزائن جي تفصيل سان پيروي ڪرڻ لاءِ، مون کي اڃا تائين ان جي پويان اصولن ۽ خيالن کي سمجهڻ لاءِ ڪارائتو لڳي ٿو.

نوٽ

SAFE ۾، "ريموٽ رسائي" ڀاڱو "انٽرنيٽ رسائي" ڀاڱي جو حصو آهي. پر مضمونن جي هن سلسلي ۾ اسان ان تي الڳ الڳ غور ڪنداسين.

هڪ انٽرپرائز نيٽ ورڪ لاء هن حصي ۾ سامان جي معياري سيٽ آهي

  • سرحد روٽر
  • فائر والز

تبصرو 1

آرٽيڪل جي هن سلسلي ۾، جڏهن آئون فائر والز بابت ڳالهائيندو آهيان، منهنجو مطلب آهي اين جي ايف ڊبليو.

تبصرو 2

مان L2/L1 جي مختلف قسمن جي غور کي ڇڏي ڏيان ٿو يا L2 حلن تي اوورلي L3 کي L1/L2 رابطي کي يقيني بڻائڻ لاءِ ضروري آهي ۽ پاڻ کي صرف L3 سطح ۽ ان کان مٿي جي مسئلن تائين محدود ڪريان ٿو. جزوي طور تي، L1 / L2 مسئلن تي باب ۾ بحث ڪيو ويو "صفائي ۽ دستاويز".

جيڪڏهن توهان کي هن حصي ۾ فائر وال نه مليو آهي، ته توهان کي نتيجن تي جلدي نه ڪرڻ گهرجي.

اچو ته ائين ئي ڪريون جيئن اندر پويون حصواچو ته سوال سان شروع ڪريون: ڇا توهان جي صورت ۾ هن حصي ۾ فائر وال استعمال ڪرڻ ضروري آهي؟

مان اهو چئي سگهان ٿو ته اهو لڳي ٿو ته فائر والز استعمال ڪرڻ ۽ پيچيده ٽرئفڪ فلٽرنگ الگورتھم لاڳو ڪرڻ لاءِ سڀ کان وڌيڪ جائز جڳهه. IN حصو 1 اسان ذڪر ڪيو 4 عنصر جيڪي مداخلت ڪري سگھن ٿا فائر والز جي استعمال سان ڊيٽا سينٽر جي حصي ۾. پر هتي اهي هاڻي اهم نه آهن.

مثال 1. دير

جيتري قدر انٽرنيٽ جو تعلق آهي، اتي اٽڪل 1 مليسيڪنڊ جي دير بابت ڳالهائڻ جو ڪو به مطلب ناهي. تنهن ڪري، هن حصي ۾ دير هڪ عنصر نه ٿي سگهي جيڪا فائر وال جي استعمال کي محدود ڪري ٿي.

مثال 2. پيداوار

ڪجهه حالتن ۾ اهو عنصر اڃا به اهم ٿي سگهي ٿو. تنهن ڪري، توهان کي ڪجهه ٽرئفڪ جي اجازت ڏيڻي پوندي (مثال طور، لوڊ بيلنسرز کان ٽرئفڪ) فائر وال کي بائي پاس ڪرڻ لاء.

مثال 3. اعتبار

اهو عنصر اڃا به حساب ۾ رکڻ جي ضرورت آهي، پر ان جي باوجود، انٽرنيٽ جي غير معتبريت جي ڪري، هن حصي لاء ان جي اهميت ايتري اهميت نه آهي جيترو ڊيٽا سينٽر لاء.

تنهن ڪري، اچو ته فرض ڪريو ته توهان جي خدمت http/https جي چوٽي تي رهي ٿي (مختصر سيشن سان). انهي حالت ۾، توهان ٻه آزاد باڪس استعمال ڪري سگهو ٿا (بغير HA) ۽ جيڪڏهن انهن مان هڪ سان هڪ رستي جو مسئلو آهي، سڀني ٽرئفڪ کي ٻئي ڏانهن منتقل ڪريو.

يا توهان فائر والز کي شفاف موڊ ۾ استعمال ڪري سگهو ٿا ۽، جيڪڏهن اهي ناڪام ٿين ٿا، ٽرئفڪ کي اجازت ڏيو ته مسئلو حل ڪرڻ دوران فائر وال کي بائي پاس ڪري.

تنهن ڪري، گهڻو ڪري صرف قيمت ٿي سگهي ٿو اهو عنصر جيڪو توهان کي هن حصي ۾ فائر والز جي استعمال کي ڇڏي ڏيڻ تي مجبور ڪندو.

اھم!

هن فائر وال کي ڊيٽا سينٽر فائر وال سان گڏ ڪرڻ لاءِ هڪ لالچ آهي (انهن حصن لاءِ هڪ فائر وال استعمال ڪريو). حل آهي، اصول ۾، ممڪن آهي، پر توهان کي اهو سمجهڻ جي ضرورت آهي ڇو ته هڪ انٽرنيٽ رسائي فائر وال اصل ۾ توهان جي دفاع ۾ سڀ کان اڳيان آهي ۽ گهٽ ۾ گهٽ ڪجهه بدسلوڪي ٽرئفڪ کي "تي وٺندي" آهي، پوء، يقينا، توهان کي انهي خطري کي وڌائڻ جي ضرورت آهي ته هي فائر وال غير فعال ٿي ويندي. اهو آهي، انهن ٻن حصن ۾ ساڳيون ڊوائيس استعمال ڪندي، توهان پنهنجي ڊيٽا سينٽر جي حصي جي دستيابي کي خاص طور تي گهٽائي ڇڏيندو.

هميشه وانگر، توهان کي اهو سمجهڻ جي ضرورت آهي ته اها خدمت تي منحصر آهي جيڪا ڪمپني مهيا ڪري ٿي، هن ڀاڱي جي ڊيزائن تمام گهڻو مختلف ٿي سگهي ٿي. هميشه وانگر، توهان پنهنجي ضرورتن جي بنياد تي مختلف طريقا چونڊي سگهو ٿا.

مثال طور

جيڪڏهن توهان هڪ مواد فراهم ڪندڙ آهيو، هڪ CDN نيٽ ورڪ سان (ڏسو، مثال طور، مضمونن جو سلسلو)، ته پوءِ توهان شايد نه ٿا چاهيو ته انفراسٽرڪچر ٺاهڻ لاءِ درجنين يا ان کان به سوين نقطن جي موجودگيءَ لاءِ الڳ ڊوائيس استعمال ڪندي ٽرئفڪ جي رستي ۽ فلٽر ڪرڻ لاءِ. اهو قيمتي هوندو، ۽ اهو شايد غير ضروري هجي.

BGP لاءِ ضروري ناهي ته توهان وٽ وقف ٿيل راؤٽر هجن، توهان استعمال ڪري سگهو ٿا اوپن سورس اوزار جهڙوڪ ڪوگا. تنهنڪري شايد توهان کي ضرورت آهي هڪ سرور يا ڪيترائي سرور، هڪ سوئچ ۽ BGP.

انهي صورت ۾، توهان جو سرور يا ڪيترائي سرور نه صرف هڪ سي ڊي اين سرور جو ڪردار ادا ڪري سگهن ٿا، پر هڪ روٽر پڻ. يقينن، اڃا تائين ڪيترائي تفصيل آهن (جهڙوڪ توازن کي ڪيئن يقيني بڻائڻ)، پر اهو قابل عمل آهي، ۽ اهو هڪ طريقو آهي جيڪو اسان ڪاميابيء سان اسان جي ڀائيوارن مان هڪ لاء استعمال ڪيو آهي.

توھان وٽ ڪيترائي ڊيٽا مرڪز آھن مڪمل تحفظ سان (فائر والز، توھان جي انٽرنيٽ فراهم ڪندڙن پاران مهيا ڪيل DDOS تحفظ واريون خدمتون) ۽ صرف L2 سوئچز ۽ سرورز سان گڏ درجنين يا سوين ”آسان“ پوائنٽن جي موجودگي.

پر هن معاملي ۾ تحفظ جي باري ۾ ڇا؟

اچو ته ڏسو، مثال طور، تازو مشهور DNS Amplification DDOS حملو. ان جو خطرو ان حقيقت ۾ آهي ته ٽريفڪ جو هڪ وڏو مقدار پيدا ٿئي ٿو، جيڪو صرف توهان جي سڀني اپ لنڪس جو 100٪ ”ڪلگ“ ڪري ٿو.

اسان جي ڊزائن جي صورت ۾ اسان وٽ ڇا آهي.

  • جيڪڏهن توهان AnyCast استعمال ڪريو ٿا، ته پوءِ ٽريفڪ توهان جي موجودگي جي پوائنٽن جي وچ ۾ ورهايل آهي. جيڪڏهن توهان جي ڪل بينڊوڊٿ terabits آهي، ته پوءِ اهو پاڻ ۾ اصل ۾ (جڏهن ته، تازو terabits جي ترتيب تي بدسلوڪي ٽرئفڪ سان ڪيترائي حملا ٿيا آهن) توهان کي "اوور فلونگ" اپ لنڪس کان بچائيندو آهي.
  • جيڪڏهن، تنهن هوندي، ڪجهه اپ لنڪس بند ٿي ويا آهن، ته پوء توهان صرف هن سائيٽ کي سروس مان هٽايو (اشتهار بند ڪريو اڳڪٿي)
  • توهان پنهنجي "مڪمل" (۽، مطابق، محفوظ ڪيل) ڊيٽا سينٽرن مان موڪليل ٽرئفڪ جو حصو پڻ وڌائي سگهو ٿا، اهڙيء طرح غير محفوظ ٽريفڪ جي موجودگي جي هڪ اهم حصي کي هٽائي ڇڏيو.

۽ هڪ وڌيڪ ننڍڙو نوٽ هن مثال ڏانهن. جيڪڏهن توهان IXs ذريعي ڪافي ٽرئفڪ موڪليندا آهيو، ته اهو پڻ توهان جي اهڙن حملن جي خطري کي گهٽائي ٿو

BGP قائم ڪرڻ

هتي ٻه موضوع آهن.

  • رابطي
  • BGP قائم ڪرڻ

اسان اڳ ۾ ئي رابطي بابت ٿورو ڳالهايو آهي حصو 1. نقطي کي يقيني بڻائڻ آهي ته توهان جي گراهڪن ڏانهن ٽرئفڪ بهتر رستو جي پيروي ڪري. جيتوڻيڪ Optimality هميشه صرف دير جي باري ۾ نه آهي، گهٽ ويڪرائي عام طور تي بهتري جو مکيه اشارو آهي. ڪجھ ڪمپنين لاء اھو وڌيڪ ضروري آھي، ٻين لاء اھو گھٽ آھي. اهو سڀ ڪجهه توهان جي مهيا ڪيل خدمت تي منحصر آهي.

مثال طور 1

جيڪڏهن توهان مٽا سٽا آهيو، ۽ وقت جا وقفا مليس سيڪنڊن کان به گهٽ توهان جي گراهڪن لاءِ اهم آهن، ته پوءِ، يقيناً، ڪنهن به قسم جي انٽرنيٽ جي ڳالهه نه ٿي ڪري سگهجي.

مثال طور 2

جيڪڏهن توهان هڪ گيمنگ ڪمپني آهيو ۽ ڏهه ملي سيڪنڊ توهان لاءِ اهم آهن، ته پوءِ يقيناً توهان لاءِ ڪنيڪشن تمام ضروري آهي.

مثال طور 3

توهان کي اهو به سمجهڻ جي ضرورت آهي ته، TCP پروٽوڪول جي ملڪيتن جي ڪري، هڪ TCP سيشن اندر ڊيٽا جي منتقلي جي شرح پڻ RTT (رائونڊ ٽرپ ٽائيم) تي منحصر آهي. هن مسئلي کي حل ڪرڻ لاءِ CDN نيٽ ورڪ پڻ ٺاهيا ويا آهن مواد جي ورڇ واري سرور کي هن مواد جي صارفين جي ويجهو منتقل ڪندي.

رابطي جو مطالعو پنهنجي حق ۾ هڪ دلچسپ موضوع آهي، ان جي پنهنجي مضمون يا مضمونن جي سيريز جي لائق آهي، ۽ هڪ سٺي سمجھ جي ضرورت آهي ته انٽرنيٽ ڪيئن ڪم ڪري ٿو.

مفيد وسيلا:

ripe.net
bgp.he.net

مثال طور

مان صرف هڪ ننڍڙو مثال ڏيندس.

اچو ته فرض ڪريو ته توهان جو ڊيٽا سينٽر ماسڪو ۾ واقع آهي، ۽ توهان وٽ هڪ واحد اپ لنڪ آهي - Rostelecom (AS12389). انهي صورت ۾ (اڪيلو گهر) توهان کي BGP جي ضرورت ناهي، ۽ توهان گهڻو ڪري استعمال ڪندا آهيو ايڊريس پول Rostelecom کان عوامي پتي طور.

اچو ته فرض ڪريو ته توهان هڪ خاص خدمت مهيا ڪندا آهيو، ۽ توهان وٽ يوڪرين کان گراهڪن جو ڪافي تعداد آهي، ۽ اهي ڊگهي دير جي باري ۾ شڪايت ڪن ٿا. توهان جي تحقيق دوران، توهان کي معلوم ٿيو ته انهن مان ڪجهه جا IP پتا 37.52.0.0/21 گرڊ ۾ آهن.

ٽريڪ روٽ هلائڻ سان، توهان ڏٺو ته ٽريفڪ AS1299 (Telia) ذريعي وڃي رهي هئي، ۽ هڪ پنگ هلائڻ سان، توهان 70 - 80 ملي سيڪنڊن جي سراسري RTT حاصل ڪئي. توھان پڻ ھن تي ڏسي سگھو ٿا ڏسندڙ گلاس Rostelecom.

whois utility (ripe.net يا مقامي يوٽيلٽي تي) استعمال ڪندي، توهان آساني سان اندازو لڳائي سگهو ٿا ته بلاڪ 37.52.0.0/21 جو تعلق AS6849 (Ukrtelecom) سان آهي.

اڳتي هلي، وڃڻ سان bgp.he.net توهان ڏسو ٿا ته AS6849 جو AS12389 سان ڪو به تعلق ناهي (اهي نه ته گراهڪ آهن ۽ نه ئي هڪ ٻئي سان اپ لنڪس، ۽ نه ئي انهن کي پيئرنگ آهي). پر جيڪڏهن توهان ڏسندا ساٿين جي فهرست AS6849 لاءِ، توھان ڏسندا، مثال طور، AS29226 (Mastertel) ۽ AS31133 (ميگافون).

هڪ دفعو توهان انهن مهيا ڪندڙن جي ڏسندڙ شيشي کي ڳوليندا آهيو، توهان ڪري سگهو ٿا موازنہ رستو ۽ RTT. مثال طور، Mastertel RTT لاءِ اٽڪل 30 مليسيڪنڊ هوندو.

تنهن ڪري، جيڪڏهن 80 ۽ 30 مليسيڪنڊن جي وچ ۾ فرق توهان جي خدمت لاءِ اهم آهي، ته پوءِ شايد توهان کي ڪنيڪشن بابت سوچڻو پوندو، پنهنجو AS نمبر حاصل ڪريو، RIPE کان توهان جو ايڊريس پول ۽ اضافي اپ لنڪس ڳنڍڻ ۽/يا IXs تي موجودگي جا پوائنٽ ٺاهي.

جڏهن توهان BGP استعمال ڪندا آهيو، توهان وٽ نه رڳو رابطي کي بهتر ڪرڻ جو موقعو هوندو آهي، پر توهان پڻ پنهنجي انٽرنيٽ ڪنيڪشن کي غير معمولي طور تي برقرار رکون ٿا.

هن دستاويز BGP ترتيب ڏيڻ لاء سفارشون شامل آهن. ان حقيقت جي باوجود ته اهي سفارشون مهيا ڪندڙن جي ”بهترين مشق“ جي بنياد تي تيار ڪيون ويون آهن، تنهن هوندي به (جيڪڏهن توهان جي BGP سيٽنگون بلڪل بنيادي نه آهن) اهي بلاشڪ ڪارآمد آهن ۽ حقيقت ۾ انهن سختين جو حصو هجڻ گهرجي جنهن تي اسان بحث ڪيو آهي. پهريون حصو.

DOS/DDOS تحفظ

هاڻي DOS/DDOS حملا ڪيترن ئي ڪمپنين لاءِ روزمره جي حقيقت بڻجي چڪا آهن. حقيقت ۾، توهان تي حملو ڪيو ويو آهي اڪثر ڪري هڪ روپ يا ٻئي ۾. حقيقت اها آهي ته توهان اڃا تائين محسوس نه ڪيو آهي صرف ان جو مطلب اهو آهي ته هڪ ٽارگيٽ حملو اڃا تائين توهان جي خلاف منظم نه ڪيو ويو آهي، ۽ اهو ته حفاظتي اپاء جيڪي توهان استعمال ڪندا آهيو، شايد اهو ڄاڻڻ کان سواء (آپريٽنگ سسٽم جي مختلف تعمير ٿيل تحفظات)، ڪافي آهي. انهي ڳالهه کي يقيني بڻايو وڃي ته مهيا ڪيل خدمت جي تباهي توهان ۽ توهان جي گراهڪن لاءِ گهٽ ۾ گهٽ آهي.

اهڙا انٽرنيٽ وسيلا آهن جيڪي، سامان جي لاگن جي بنياد تي، حقيقي وقت ۾ خوبصورت حملي جا نقشا ٺاهيندا آهن.

اهو آهي توھان انھن لاء لنڪ ڳولي سگھو ٿا.

منهنجي پسنديده ڪارڊ چيڪ پوائنٽ کان.

DDOS/DOS جي خلاف تحفظ عام طور تي ليڊر ٿيل آهي. سمجھڻ لاءِ ڇو، توھان کي سمجھڻ گھرجي ته ڪھڙي قسم جا DOS/DDOS حملا موجود آھن (ڏسو، مثال طور، هتي يا هتي)

اهو آهي، اسان وٽ حملن جا ٽي قسم آهن:

  • Volumetric حملا
  • پروٽوڪول حملا
  • ايپليڪيشن حملا

جيڪڏهن توهان پاڻ کي استعمال ڪندي آخري ٻن قسمن جي حملن کان بچائي سگهو ٿا، مثال طور، فائر والز، ته پوءِ توهان پنهنجو پاڻ کي حملن کان بچائي نٿا سگهو جن جو مقصد توهان جي اپ لنڪس کي ”زبردست“ ڪرڻ آهي (يقيناً، جيڪڏهن توهان جي انٽرنيٽ چينلن جي ڪل گنجائش terabits ۾ شمار نه ڪئي وئي آهي، يا اڃا بهتر، ڏهه ٽيرابٽ ۾).

تنهن ڪري، دفاع جي پهرين لائن آهي "ووميٽرڪ" حملن جي خلاف تحفظ، ۽ توهان جي فراهم ڪندڙ يا فراهم ڪندڙ توهان کي اهو تحفظ فراهم ڪرڻ گهرجي. جيڪڏهن توهان اڃا تائين اهو محسوس نه ڪيو آهي، ته توهان صرف هن وقت لاء خوش قسمت آهيو.

مثال طور

اچو ته چئو ته توهان وٽ ڪيترائي اپ لنڪس آهن، پر صرف هڪ مهيا ڪندڙ توهان کي هن تحفظ سان مهيا ڪري سگھن ٿا. پر جيڪڏهن سڀ ٽريفڪ هڪ فراهم ڪندڙ جي ذريعي وڃي ٿي، ته پوءِ ان رابطي بابت ڇا ڪجي، جنهن تي اسان ٿوري دير اڳ مختصر ڳالهه ڪئي هئي؟

انهي حالت ۾، توهان کي جزوي طور تي حملي دوران رابطي کي قربان ڪرڻو پوندو. پر

  • اهو صرف حملي جي مدت لاء آهي. حملي جي صورت ۾، توهان دستي طور تي يا خود بخود BGP کي ٻيهر ترتيب ڏئي سگهو ٿا ته جيئن ٽريفڪ صرف فراهم ڪندڙ جي ذريعي وڃي جيڪا توهان کي "ڇتر" فراهم ڪري ٿي. حملي جي ختم ٿيڻ کان پوء، توھان واپس ڪري سگھوٿا روٽنگ ان جي پوئين حالت ڏانھن
  • اهو ضروري ناهي ته سڀني ٽرئفڪ کي منتقل ڪرڻ لاء. جيڪڏهن، مثال طور، توهان ڏسندا آهيو ته ڪجهه اپ لنڪس يا پيئرنگ ذريعي ڪي حملا نه آهن (يا ٽرئفڪ اهم نه آهي)، توهان انهن BGP پاڙيسرين ڏانهن مقابلي واري خاصيتن سان اڳفڪس کي اشتهار ڏيڻ جاري رکي سگهو ٿا.

توهان پڻ پنهنجي ڀائيوارن کي ”پروٽوڪول حملن“ ۽ ”ايپليڪيشن حملن“ کان تحفظ فراهم ڪري سگهو ٿا.
هتي هتي توهان پڙهي سگهو ٿا سٺو مطالعو (ترجمو). سچ پچ، مضمون ٻه سال پراڻو آهي، پر اهو توهان کي طريقن جو هڪ خيال ڏيندو ته توهان ڪيئن پنهنجو پاڻ کي DDOS حملن کان بچائي سگهو ٿا.

اصول ۾، توهان پنهنجو پاڻ کي محدود ڪري سگهو ٿا، مڪمل طور تي توهان جي حفاظت کي ٻاهر ڪڍڻ. هن فيصلي جا فائدا آهن، پر هڪ واضح نقصان پڻ آهي. حقيقت اها آهي ته اسان ڳالهائي سگهون ٿا (ٻيهر، توهان جي ڪمپني تي منحصر آهي) ڪاروبار جي بقا بابت. ۽ اهڙين شين کي ٽئين پارٽين تي اعتماد ڪريو ...

تنهن ڪري، اچو ته ڏسو ته ڪيئن دفاع جي سيڪنڊ ۽ ٽين لائين کي منظم ڪرڻ (فراهم ڪندڙ کان تحفظ جي اضافي طور تي).

تنهن ڪري، دفاع جو ٻيو لائن فلٽرنگ آهي ۽ ٽرئفڪ محدود ڪندڙ (پوليسرز) توهان جي نيٽ ورڪ جي داخلا تي.

مثال طور 1

اچو ته فرض ڪريو ته توهان پاڻ کي ڍڪي ڇڏيو آهي هڪ ڇت سان DDOS جي خلاف هڪ مهيا ڪندڙن جي مدد سان. اچو ته فرض ڪريو ته هي مهيا ڪندڙ آربر استعمال ڪري ٿو ٽرئفڪ کي فلٽر ڪرڻ ۽ فلٽر کي پنهنجي نيٽ ورڪ جي ڪنڊ تي.

بينڊوڊٿ جيڪا آربر "پروسيس" ڪري سگهي ٿي، محدود آهي، ۽ فراهم ڪندڙ، يقينا، پنهنجي سڀني ڀائيوارن جي ٽرئفڪ کي مسلسل منتقل نٿو ڪري سگهي جيڪي هن خدمت کي فلٽرنگ سامان ذريعي ترتيب ڏين ٿا. تنهن ڪري، عام حالتن ۾، ٽرئفڪ کي فلٽر نه ڪيو ويو آهي.

اچو ته فرض ڪريو اتي هڪ SYN ٻوڏ جو حملو آهي. ايستائين جو توهان هڪ خدمت جو حڪم ڏنو آهي جيڪو خودڪار طور تي حملي جي صورت ۾ ٽرئفڪ کي فلٽر ڪرڻ ۾ تبديل ڪري ٿو، اهو فوري طور تي نه ٿيندو. هڪ منٽ يا وڌيڪ لاءِ توهان حملي هيٺ رهندا آهيو. ۽ اهو ٿي سگهي ٿو توهان جي سامان جي ناڪامي يا خدمت جي تباهي. انهي صورت ۾، روڊ جي ڪناري تي ٽرئفڪ کي محدود ڪرڻ، جيتوڻيڪ اهو حقيقت ڏانهن وٺي ويندو ته ڪجهه TCP سيشن هن وقت تائين قائم نه ڪيا ويندا، توهان جي انفراسٽرڪچر کي وڏي پيماني تي مسئلن کان بچائيندو.

مثال طور 2

غير معمولي طور تي وڏي تعداد ۾ SYN پيڪٽس نه رڳو SYN ٻوڏ جي حملي جو نتيجو ٿي سگهي ٿو. اچو ته فرض ڪريو ته توهان هڪ خدمت مهيا ڪندا آهيو جنهن ۾ توهان هڪ ئي وقت تقريباً 100 هزار TCP ڪنيڪشن حاصل ڪري سگهو ٿا (هڪ ڊيٽا سينٽر ڏانهن).

اچو ته چوندا آهن ته توهان جي مکيه فراهم ڪندڙن مان هڪ مختصر مدت جي مسئلي جي نتيجي ۾، توهان جي سيشن جو اڌ کٽيو ويو آهي. جيڪڏهن توهان جي ايپليڪيشن کي اهڙي طرح ٺاهيو ويو آهي ته، ٻه ڀيرا سوچڻ کان سواء، اهو فوري طور تي (يا ڪجهه وقت جي وقفي کان پوء جيڪو سڀني سيشنن لاء ساڳيو آهي) ڪنيڪشن کي ٻيهر قائم ڪرڻ جي ڪوشش ڪري ٿو، پوء توهان کي گهٽ ۾ گهٽ 50 هزار SYN پيڪٽ ملندا. گڏو گڏ.

جيڪڏهن، مثال طور، توهان کي هلائڻو آهي ssl/tls handshake انهن سيشنن جي چوٽي تي، جنهن ۾ سرٽيفڪيٽن جي تبادلي شامل آهي، پوءِ توهان جي لوڊ بيلنس لاءِ وسيلن کي ختم ڪرڻ جي نقطي نظر کان، اهو هڪ سادي کان وڌيڪ مضبوط ”DDOS“ هوندو. SYN ٻوڏ. اهو لڳي ٿو ته بيلنسرز کي اهڙن واقعن کي سنڀالڻ گهرجي، پر ... بدقسمتي سان، اسان کي اهڙي مسئلي سان منهن ڏيڻو پوندو.

۽، يقينا، ڪنڊ روٽر تي هڪ پوليس توهان جي سامان کي هن صورت ۾ پڻ بچائيندو.

DDOS/DOS جي خلاف تحفظ جو ٽيون سطح توهان جي فائر وال سيٽنگون آهي.

هتي توهان ٻئي ۽ ٽئين قسم جي حملن کي روڪي سگهو ٿا. عام طور تي، هر شي جيڪا فائر وال تائين پهچي ٿي هتي فلٽر ٿي سگهي ٿي.

ھدايت

ڪوشش ڪريو فائر وال کي جيترو ٿي سگھي گھٽ ڪم ڏيو، دفاع جي پھرين ٻن لائينن تي جيترو ٿي سگھي فلٽر ڪري. ۽ اهو ئي سبب آهي.

ڇا توهان سان ڪڏهن ائين ٿيو آهي ته اتفاق سان، چيڪ ڪرڻ لاءِ ٽريفڪ پيدا ڪرڻ دوران، مثال طور، توهان جي سرورز جو آپريٽنگ سسٽم DDOS حملن لاءِ ڪيترو مزاحمتي آهي، توهان پنهنجي فائر وال کي ”ماري ڇڏيو“، ان کي لوڊ ڪندي 100 سيڪڙو، عام شدت سان ٽرئفڪ سان ؟ جيڪڏهن نه، شايد اهو صرف آهي ڇو ته توهان ڪوشش نه ڪئي آهي؟

عام طور تي، هڪ فائر وال، جيئن مون چيو، هڪ پيچيده شيء آهي، ۽ اهو چڱي طرح ڪم ڪري ٿو معلوم ٿيل نقصانن ۽ آزمائشي حلن سان، پر جيڪڏهن توهان ڪجهه غير معمولي موڪليندا آهيو، صرف ڪجهه گندگي يا پيڪٽ غلط هيڊر سان، پوء توهان ڪجهه سان گڏ آهيو، نه. اهڙو ننڍڙو امڪان (منهنجي تجربي جي بنياد تي)، توهان به مٿي جي آخر واري سامان کي بيوقوف ڪري سگهو ٿا. تنهن ڪري، اسٽيج 2 تي، باقاعده ACLs استعمال ڪندي (L3/L4 سطح تي)، صرف توهان جي نيٽ ورڪ ۾ ٽرئفڪ جي اجازت ڏيو جيڪو اتي داخل ٿيڻ گهرجي.

فائر وال تي ٽرئفڪ کي فلٽر ڪرڻ

اچو ته فائر وال بابت گفتگو جاري رکون. توهان کي سمجهڻ جي ضرورت آهي ته DOS/DDOS حملا صرف هڪ قسم جا سائبر حملا آهن.

DOS/DDOS تحفظ کان علاوه، اسان وٽ ڪجھ به ٿي سگھي ٿو جيئن ھيٺ ڏنل فهرستن جي خصوصيتن:

  • ايپليڪيشن فائر والنگ
  • خطري جي روڪٿام (اينٽي وائرس، اينٽي اسپائي ويئر، ۽ ڪمزوري)
  • URL فلٽرنگ
  • ڊيٽا فلٽرنگ (مواد فلٽرنگ)
  • فائل بلاڪنگ (فائل جا قسم بلاڪنگ)

اهو توهان تي آهي فيصلو ڪرڻ لاءِ ته توهان کي هن فهرست مان ڪهڙي ضرورت آهي.

جاري رکڻ لاء

جو ذريعو: www.habr.com

تبصرو شامل ڪريو