ProHoster > Blog > Administrácia > Ako prevziať kontrolu nad sieťovou infraštruktúrou. Kapitola tri. Zabezpečenie siete. Druhá časť

Ako prevziať kontrolu nad sieťovou infraštruktúrou. Kapitola tri. Zabezpečenie siete. Druhá časť

Tento článok je štvrtým zo série „Ako prevziať kontrolu nad sieťovou infraštruktúrou“. Obsah všetkých článkov v sérii a odkazy nájdete tu.

В prvá časť V tejto kapitole sme sa pozreli na niektoré aspekty zabezpečenia siete v segmente dátových centier. Táto časť bude venovaná segmentu „Prístup k internetu“.

Ako prevziať kontrolu nad sieťovou infraštruktúrou. Kapitola tri. Zabezpečenie siete. Druhá časť

Prístup na internet

Téma bezpečnosti je nepochybne jednou z najkomplexnejších tém vo svete dátových sietí. Rovnako ako v predchádzajúcich prípadoch, bez nároku na hĺbku a úplnosť, tu zvážim celkom jednoduché, ale podľa môjho názoru dôležité otázky, ktorých odpovede, dúfam, pomôžu zvýšiť úroveň bezpečnosti vašej siete.

Pri audite tohto segmentu venujte pozornosť nasledujúcim aspektom:

  • dizajn
  • Nastavenia BGP
  • Ochrana DOS/DDOS
  • filtrovanie návštevnosti na firewalle

Design

Ako príklad návrhu tohto segmentu pre podnikovú sieť by som odporučil sprievodca od spoločnosti Cisco v rámci BEZPEČNÉ modely.

Samozrejme, možno sa vám bude zdať atraktívnejšie riešenie iných predajcov (viď. Gartner Quadrant 2018), ale bez toho, aby som vás povzbudzoval, aby ste tento návrh podrobne sledovali, stále považujem za užitočné pochopiť princípy a myšlienky, ktoré sú za tým.

poznámka

V SAFE je segment „Vzdialený prístup“ súčasťou segmentu „Prístup na internet“. Ale v tejto sérii článkov to zvážime samostatne.

Štandardná sada zariadení v tomto segmente pre podnikovú sieť je

  • hraničné smerovače
  • firewally

Poznámka 1

V tejto sérii článkov, keď hovorím o firewalloch, mám na mysli NGFW.

Poznámka 2

Vynechávam úvahy o rôznych druhoch riešení L2/L1 alebo prekrytí L2 nad L3, ktoré sú potrebné na zabezpečenie konektivity L1/L2 a obmedzujem sa len na problémy na úrovni L3 a vyššie. Čiastočne sa problematika L1/L2 rozoberala v kapitole „Čistenie a dokumentácia".

Ak ste v tomto segmente nenašli bránu firewall, nemali by ste sa ponáhľať k záverom.

Urobme to isté ako v predchádzajúca časťZačnime otázkou: je potrebné v tomto segmente vo vašom prípade použiť firewall?

Môžem povedať, že toto sa javí ako najvhodnejšie miesto na používanie firewallov a aplikovanie zložitých algoritmov filtrovania návštevnosti. IN Časti 1 Spomenuli sme 4 faktory, ktoré môžu narúšať používanie firewallov v segmente dátových centier. Ale tu už nie sú také výrazné.

Príklad 1. Oneskorenie

Čo sa týka internetu, o oneskoreniach čo i len 1 milisekunda nemá zmysel hovoriť. Preto oneskorenie v tomto segmente nemôže byť faktorom obmedzujúcim používanie brány firewall.

Príklad 2. produktivita

V niektorých prípadoch môže byť tento faktor stále významný. Preto možno budete musieť povoliť, aby určitá prevádzka (napríklad návštevnosť z nástrojov na vyrovnávanie záťaže) obchádzala bránu firewall.

Príklad 3. Spoľahlivosť

Tento faktor je potrebné stále brať do úvahy, no stále vzhľadom na nespoľahlivosť samotného internetu nie je jeho význam pre tento segment taký významný ako pre dátové centrum.

Predpokladajme teda, že vaša služba funguje nad http/https (s krátkymi reláciami). V tomto prípade môžete použiť dva nezávislé boxy (bez HA) a ak je problém so smerovaním jedného z nich, presuňte všetku komunikáciu do druhého.

Alebo môžete použiť brány firewall v transparentnom režime a ak zlyhajú, umožniť prenosu obísť bránu firewall pri riešení problému.

Preto s najväčšou pravdepodobnosťou len cena môže byť faktorom, ktorý vás prinúti opustiť používanie firewallov v tomto segmente.

Dôležité!

Existuje pokušenie skombinovať tento firewall s firewallom dátového centra (pre tieto segmenty použite jeden firewall). Riešenie je v zásade možné, ale musíte to pochopiť, pretože Firewall pre prístup na internet je v skutočnosti v popredí vašej obrany a „preberá“ aspoň časť škodlivej prevádzky, potom samozrejme musíte počítať so zvýšeným rizikom, že bude tento firewall vypnutý. To znamená, že používaním rovnakých zariadení v týchto dvoch segmentoch výrazne znížite dostupnosť segmentu vášho dátového centra.

Ako vždy, musíte pochopiť, že v závislosti od služby, ktorú spoločnosť poskytuje, sa dizajn tohto segmentu môže značne líšiť. Ako vždy, môžete si vybrať rôzne prístupy v závislosti od vašich požiadaviek.

Príklad

Ak ste poskytovateľom obsahu so sieťou CDN (pozri napr. séria článkov), potom možno nebudete chcieť vytvárať infraštruktúru naprieč desiatkami alebo dokonca stovkami bodov prítomnosti pomocou samostatných zariadení na smerovanie a filtrovanie prevádzky. Bude to drahé a môže to byť jednoducho zbytočné.

Pre BGP nemusíte mať nevyhnutne vyhradené smerovače, môžete použiť open-source nástroje ako napr Quagga. Takže možno všetko, čo potrebujete, je server alebo niekoľko serverov, prepínač a BGP.

V tomto prípade môže váš server alebo niekoľko serverov hrať úlohu nielen servera CDN, ale aj smerovača. Samozrejme, je tu ešte veľa detailov (napríklad ako zabezpečiť vyváženie), ale je to realizovateľné a je to prístup, ktorý sme úspešne použili u jedného z našich partnerov.

Môžete mať niekoľko dátových centier s plnou ochranou (firewally, služby ochrany DDOS poskytované vašimi poskytovateľmi internetu) a desiatky alebo stovky „zjednodušených“ bodov prítomnosti iba s L2 prepínačmi a servermi.

Ako je to však s ochranou v tomto prípade?

Pozrime sa napríklad na nedávno populárne DNS Amplification DDOS útok. Jeho nebezpečenstvo spočíva v tom, že sa generuje veľké množstvo návštevnosti, ktorá jednoducho „upcháva“ 100 % všetkých vašich uplinkov.

Čo máme v prípade nášho dizajnu.

  • ak používate AnyCast, potom sa prevádzka rozdelí medzi vaše body prítomnosti. Ak je vaša celková šírka pásma terabitov, potom vás to samo o sebe v skutočnosti (avšak nedávno došlo k niekoľkým útokom so škodlivou prevádzkou rádovo terabitov) chráni pred „pretečením“ uplinkov
  • Ak sa však niektoré uplinky upchajú, jednoducho túto stránku odstránite zo služby (prestaňte inzerovať predponu)
  • môžete tiež zvýšiť podiel prenosu odosielaného z vašich „úplných“ (a teda chránených) dátových centier, čím sa odstráni významná časť škodlivej prevádzky z nechránených bodov prítomnosti

A ešte jedna malá poznámka k tomuto príkladu. Ak posielate dostatok prevádzky cez IX, potom to tiež znižuje vašu zraniteľnosť voči takýmto útokom

Nastavenie BGP

Sú tu dve témy.

  • Konektivita
  • Nastavenie BGP

O konektivite sme už trochu hovorili Časti 1. Cieľom je zabezpečiť, aby návštevnosť vašich zákazníkov sledovala optimálnu cestu. Hoci optimalita nie je vždy len o latencii, nízka latencia je zvyčajne hlavným indikátorom optimality. Pre niektoré spoločnosti je to dôležitejšie, pre iné menej. Všetko závisí od služby, ktorú poskytujete.

Príklad 1

Ak ste burza a pre vašich klientov sú dôležité časové intervaly menšie ako milisekúndy, potom, samozrejme, nemôže byť reč o žiadnom druhu internetu.

Príklad 2

Ak ste herná spoločnosť a sú pre vás dôležité desiatky milisekúnd, potom je pre vás, samozrejme, veľmi dôležitá konektivita.

Príklad 3

Musíte tiež pochopiť, že vzhľadom na vlastnosti protokolu TCP závisí rýchlosť prenosu dát v rámci jednej TCP relácie aj od RTT (Round Trip Time). Na vyriešenie tohto problému sa budujú aj siete CDN presunutím serverov na distribúciu obsahu bližšie k spotrebiteľovi tohto obsahu.

Štúdium konektivity je sama osebe zaujímavá téma, ktorá si zaslúži vlastný článok alebo sériu článkov a vyžaduje si dobré pochopenie toho, ako „funguje internet“.

Užitočné zdroje:

ripe.net
bgp.he.net

Príklad

Uvediem len jeden malý príklad.

Predpokladajme, že vaše dátové centrum sa nachádza v Moskve a máte jeden uplink – Rostelecom (AS12389). V tomto prípade (single homed) nepotrebujete BGP a ako verejné adresy s najväčšou pravdepodobnosťou používate fond adries od spoločnosti Rostelecom.

Predpokladajme, že poskytujete určitú službu a máte dostatočný počet klientov z Ukrajiny, ktorí sa sťažujú na veľké meškanie. Počas vášho výskumu ste zistili, že IP adresy niektorých z nich sú v mriežke 37.52.0.0/21.

Spustením traceroute ste videli, že prevádzka prechádza cez AS1299 (Telia), a spustením pingu ste získali priemernú RTT 70 - 80 milisekúnd. Môžete to vidieť aj na zrkadlo Rostelecom.

Pomocou utility whois (na ripe.net alebo lokálnej utility) môžete ľahko určiť, že blok 37.52.0.0/21 patrí AS6849 (Ukrtelecom).

Ďalej tým, že prejdete na bgp.he.net vidíte, že AS6849 nemá žiadny vzťah s AS12389 (nie sú medzi sebou ani klienti, ani uplinky, ani nemajú peering). Ale ak sa pozriete na zoznam rovesníkov pre AS6849 uvidíte napríklad AS29226 (Mastertel) a AS31133 (Megafon).

Keď nájdete zrkadlo týchto poskytovateľov, môžete porovnať cestu a RTT. Napríklad pre Mastertel RTT bude približne 30 milisekúnd.

Ak je teda rozdiel medzi 80 a 30 milisekúndami pre vašu službu významný, potom možno budete musieť porozmýšľať nad konektivitou, získať svoje AS číslo, svoju oblasť adries od RIPE a pripojiť ďalšie uplinky a/alebo vytvoriť body prítomnosti na IX.

Keď používate BGP, máte nielen možnosť zlepšiť konektivitu, ale tiež si nadbytočne udržiavate internetové pripojenie.

Tento dokument obsahuje odporúčania pre konfiguráciu BGP. Napriek tomu, že tieto odporúčania boli vyvinuté na základe „najlepšej praxe“ poskytovateľov, stále (ak vaše nastavenia BGP nie sú úplne základné) sú nepochybne užitočné a v skutočnosti by mali byť súčasťou sprísnenia, o ktorom sme hovorili v prvá časť.

Ochrana DOS/DDOS

Útoky DOS/DDOS sa stali každodennou realitou mnohých spoločností. V skutočnosti ste pomerne často napadnutí v tej či onej forme. To, že ste si to ešte nevšimli, znamená len to, že proti vám ešte nebol zorganizovaný cielený útok a že ochranné opatrenia, ktoré používate, aj keď možno bez toho, aby ste o tom vedeli (rôzne vstavané ochrany operačných systémov), postačujú na to, aby zabezpečiť, aby sa degradácia poskytovaných služieb pre vás a vašich klientov minimalizovala.

Existujú internetové zdroje, ktoré na základe protokolov zariadení kreslia krásne mapy útokov v reálnom čase.

Tu odkazy na ne nájdete.

Moje obľúbené mapa z CheckPointu.

Ochrana proti DDOS/DOS je zvyčajne vrstvená. Aby ste pochopili prečo, musíte pochopiť, aké typy útokov DOS/DDOS existujú (pozri napr. tu alebo tu)

To znamená, že máme tri typy útokov:

  • objemové útoky
  • protokolové útoky
  • aplikačné útoky

Ak sa môžete chrániť pred poslednými dvoma typmi útokov napríklad pomocou firewallov, nemôžete sa chrániť pred útokmi zameranými na „prevalenie“ vašich uplinkov (samozrejme, ak sa vaša celková kapacita internetových kanálov nepočíta v terabitoch, alebo ešte lepšie v desiatkach terabitov).

Prvou obrannou líniou je preto ochrana pred „objemovými“ útokmi a túto ochranu vám musí poskytnúť váš poskytovateľ alebo poskytovatelia. Ak ste si to ešte neuvedomili, tak máte zatiaľ len šťastie.

Príklad

Povedzme, že máte niekoľko uplinkov, ale túto ochranu vám môže poskytnúť iba jeden z poskytovateľov. Ak však všetka prevádzka prechádza cez jedného poskytovateľa, čo potom konektivita, o ktorej sme stručne hovorili o niečo skôr?

V tomto prípade budete musieť pri útoku čiastočne obetovať konektivitu. ale

  • toto je len počas trvania útoku. V prípade útoku môžete manuálne alebo automaticky prekonfigurovať BGP tak, aby prevádzka smerovala iba cez poskytovateľa, ktorý vám poskytuje „dáždnik“. Po skončení útoku môžete vrátiť smerovanie do predchádzajúceho stavu
  • Nie je potrebné preniesť celú premávku. Ak napríklad uvidíte, že nedochádza k žiadnym útokom cez niektoré uplinky alebo peeringy (alebo návštevnosť nie je významná), môžete pokračovať v inzercii prefixov s konkurenčnými atribútmi voči týmto susedom BGP.

Môžete tiež delegovať ochranu pred „protokolovými útokmi“ a „aplikačnými útokmi“ na svojich partnerov.
Tu tu môžeš si prečítať dobrú štúdiu (preklad). Je pravda, že článok je starý dva roky, ale dá vám predstavu o prístupoch, ako sa môžete chrániť pred útokmi DDOS.

V zásade sa na to môžete obmedziť a úplne outsourcovať svoju ochranu. Toto rozhodnutie má svoje výhody, ale má aj zjavnú nevýhodu. Faktom je, že môžeme hovoriť (opäť v závislosti od toho, čo robí vaša spoločnosť) o prežití podnikania. A zverte takéto veci tretím stranám...

Preto sa pozrime na to, ako organizovať druhú a tretiu líniu obrany (ako doplnok k ochrane od poskytovateľa).

Takže druhou líniou obrany je filtrovanie a obmedzovače premávky (policajti) na vstupe do vašej siete.

Príklad 1

Predpokladajme, že ste sa s pomocou niektorého z poskytovateľov zakryli dáždnikom proti DDOS. Predpokladajme, že tento poskytovateľ používa Arbor na filtrovanie návštevnosti a filtrov na okraji svojej siete.

Šírka pásma, ktorú môže Arbor „spracovať“, je obmedzená a poskytovateľ, samozrejme, nemôže neustále prepúšťať prevádzku všetkých svojich partnerov, ktorí si túto službu objednajú, cez filtračné zariadenia. Za normálnych podmienok sa preto premávka nefiltruje.

Predpokladajme, že došlo k záplavovému útoku SYN. Aj keď ste si objednali službu, ktorá v prípade útoku automaticky prepne prevádzku na filtrovanie, nestane sa to okamžite. Na minútu alebo viac zostanete pod útokom. A to môže viesť k poruche vášho zariadenia alebo zhoršeniu služby. V tomto prípade obmedzenie prevádzky na hraničnom smerovaní, hoci to povedie k tomu, že niektoré TCP relácie sa počas tejto doby nevytvoria, ušetrí vašu infraštruktúru pred problémami väčšieho rozsahu.

Príklad 2

Abnormálne veľký počet SYN paketov nemusí byť len výsledkom SYN záplavového útoku. Predpokladajme, že poskytujete službu, v ktorej môžete mať súčasne približne 100 tisíc TCP spojení (do jedného dátového centra).

Povedzme, že v dôsledku krátkodobého problému s jedným z vašich hlavných poskytovateľov je polovica vašich relácií nakopnutá. Ak je vaša aplikácia navrhnutá tak, že sa bez rozmýšľania okamžite (alebo po určitom časovom intervale, ktorý je rovnaký pre všetky relácie) pokúsi obnoviť spojenie, potom dostanete približne 50 tisíc SYN paketov. súčasne.

Ak napríklad musíte nad týmito reláciami spustiť ssl/tls handshake, ktorý zahŕňa výmenu certifikátov, potom z hľadiska vyčerpania zdrojov pre váš vyrovnávač zaťaženia to bude oveľa silnejší „DDOS“ ako jednoduchý SYN záplava. Zdalo by sa, že balancéri by mali takéto udalosti zvládnuť, ale... žiaľ, čelíme takémuto problému.

A samozrejme, policajt na edge routeri zachráni vaše vybavenie aj v tomto prípade.

Treťou úrovňou ochrany pred DDOS/DOS je nastavenie vášho firewallu.

Tu môžete zastaviť oba útoky druhého a tretieho typu. Vo všeobecnosti tu možno filtrovať všetko, čo sa dostane k firewallu.

rada

Pokúste sa dať firewallu čo najmenej práce, odfiltrujte čo najviac na prvých dvoch líniách obrany. A preto.

Stalo sa vám už, že ste náhodou pri generovaní návštevnosti, aby ste napríklad skontrolovali, ako odolný je operačný systém vašich serverov voči DDOS útokom, “zabili” váš firewall, nahrali ste ho na 100 percent s prevádzkou s normálnou intenzitou ? Ak nie, možno je to len preto, že ste to neskúšali?

Vo všeobecnosti je firewall, ako som povedal, zložitá vec a funguje dobre so známymi zraniteľnosťami a testovanými riešeniami, ale ak pošlete niečo neobvyklé, len nejaké odpadky alebo pakety s nesprávnymi hlavičkami, potom ste s niektorými, nie s taka mala pravdepodobnost (podla mojich skusenosti) mozes ohromit aj spickovu vybavu. Preto vo fáze 2 pomocou bežných zoznamov prístupových práv (na úrovni L3/L4) povoľte do vašej siete len prevádzku, ktorá by tam mala vstúpiť.

Filtrovanie prevádzky na bráne firewall

Pokračujme v rozhovore o bráne firewall. Musíte pochopiť, že útoky DOS/DDOS sú len jedným typom kybernetického útoku.

Okrem ochrany DOS/DDOS môžeme mať aj niečo ako nasledujúci zoznam funkcií:

  • aplikačný firewall
  • prevencia hrozieb (antivírus, antispyware a zraniteľnosť)
  • Filtrovanie adries URL
  • filtrovanie údajov (filtrovanie obsahu)
  • blokovanie súborov (blokovanie typov súborov)

Je len na vás, aby ste sa rozhodli, čo z tohto zoznamu potrebujete.

Ak sa chcete pokračovať

Zdroj: hab.com

Pridať komentár