ProHoster > Blog > Administrasi > Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian kadua

Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian kadua

Tulisan ieu mangrupikeun kaopat dina séri "Kumaha Ngadalikeun Infrastruktur Jaringan anjeun." Eusi sadaya artikel dina séri sareng tautan tiasa dipendakan di dieu.

В bagian kahiji Dina bab ieu, urang nempo sababaraha aspék kaamanan jaringan dina bagéan Data Center. Bagian ieu bakal devoted kana bagean "Akses Internet".

Kumaha ngadalikeun infrastruktur jaringan anjeun. Bab tilu. Kaamanan jaringan. Bagian kadua

aksés Internét

Topik kaamanan pasti salah sahiji topik anu paling kompleks dina dunya jaringan data. Sapertos dina kasus-kasus sateuacana, tanpa nyatakeun jero sareng kasampurnaan, kuring bakal nganggap di dieu saderhana, tapi, dina pamanggih kuring, patarosan penting, jawaban anu, kuring ngarepkeun, bakal ngabantosan tingkat kaamanan jaringan anjeun.

Nalika ngaudit bagéan ieu, perhatikeun aspék-aspék ieu:

  • rarancang
  • Setélan BGP
  • panyalindungan DOS / DDOS
  • nyaring lalulintas dina firewall

rarancang

Salaku conto desain bagean ieu pikeun jaringan perusahaan, kuring bakal nyarankeun kapamimpinan ti Cisco jero model AMAN.

Tangtosna, panginten solusi para padagang sanés sigana langkung pikaresepeun pikeun anjeun (tingali. Kuadran Gartner 2018), tapi tanpa nyorong anjeun nuturkeun desain ieu sacara rinci, kuring masih mendakan mangpaat pikeun ngartos prinsip sareng ideu di tukangeunana.

nyarios

Dina SAFE, bagéan "Akses Jauh" mangrupikeun bagian tina bagéan "Akses Internét". Tapi dina séri artikel ieu kami bakal nganggap éta nyalira.

Set standar pakakas dina bagéan ieu pikeun jaringan perusahaan nyaéta

  • routers wates
  • firewalls

Babasan 1

Dina runtuyan artikel ieu, nalika kuring ngobrol ngeunaan firewalls, maksudna mah NGFW.

Babasan 2

Kuring ngaleungitkeun tinimbangan rupa-rupa L2 / L1 atanapi overlay L2 leuwih L3 solusi diperlukeun pikeun mastikeun L1 / konektipitas L2 sarta ngawatesan sorangan ukur keur masalah di tingkat L3 na luhur. Sawaréh, masalah L1/L2 dibahas dina bab "Beberesih jeung Dokuméntasi".

Upami anjeun teu acan mendakan firewall dina bagean ieu, maka anjeun henteu kedah buru-buru nyimpulkeun.

Hayu urang laksanakeun sami sareng di bagian saméméhnaHayu urang mimitian ku patarosan: naha anjeun kedah nganggo firewall dina bagean ieu dina kasus anjeun?

Abdi tiasa nyebatkeun yén ieu sigana tempat anu paling leres pikeun ngagunakeun firewall sareng nerapkeun algoritma panyaring lalu lintas anu rumit. DI bagian 1 Kami nyarioskeun 4 faktor anu tiasa ngaganggu pamakean firewall dina bagean pusat data. Tapi di dieu aranjeunna henteu langkung penting.

Conto 1. Reureuh

Sajauh ngeunaan Internet, teu aya gunana ngobrol ngeunaan telat malah ngeunaan 1 milidetik. Ku alatan éta, reureuh di bagean ieu teu bisa jadi faktor ngawatesan pamakéan firewall nu.

Conto 2. kakuwatan keur ngasilkeun

Dina sababaraha kasus, faktor ieu masih tiasa signifikan. Ku alatan éta, Anjeun bisa jadi kudu ngidinan sababaraha lalulintas (contona, lalulintas ti balancers beban) pikeun bypass firewall nu.

Conto 3. réliabilitas

Faktor ieu masih kedah diperhatoskeun, tapi tetep, tinangtu teu tiasa dipercaya tina Internét sorangan, pentingna pikeun bagean ieu henteu penting sapertos pusat data.

Ku kituna, hayu urang nganggap yén layanan anjeun hirup dina luhureun http / https (kalawan sesi pondok). Dina hal ieu, anjeun tiasa nganggo dua kotak bebas (tanpa HA) jeung lamun aya masalah routing salah sahijina, mindahkeun sakabéh lalulintas ka kadua.

Atanapi anjeun tiasa nganggo firewall dina modeu transparan sareng, upami gagal, ngantepkeun lalu lintas ngalangkungan firewall nalika ngarengsekeun masalah.

Ku alatan éta, paling dipikaresep ngan harga Bisa jadi faktor anu bakal maksa anjeun abandon pamakéan firewalls di bagean ieu.

Penting!

Aya godaan pikeun ngagabungkeun firewall ieu sareng firewall puseur data (nganggo hiji firewall pikeun bagéan ieu). Leyuran téh, prinsipna mah, mungkin, tapi anjeun kudu ngarti yén sabab Firewall Aksés Internét saleresna aya di payuneun pertahanan anjeun sareng "nyandak" sahenteuna sababaraha lalulintas jahat, teras, tangtosna, anjeun kedah tumut kana résiko anu ningkat yén firewall ieu bakal ditumpurkeun. Nyaéta, ku ngagunakeun alat anu sami dina dua bagéan ieu, anjeun bakal ngirangan sacara signifikan kasadiaan bagéan pusat data anjeun.

Sakumaha biasa, anjeun kedah ngartos yén gumantung kana jasa anu disayogikeun ku perusahaan, desain bagéan ieu tiasa bénten pisan. Sakumaha biasa, anjeun tiasa milih pendekatan anu béda-béda gumantung kana kabutuhan anjeun.

conto

Upami anjeun panyadia eusi, sareng jaringan CDN (tingali, contona, runtuyan artikel), mangka anjeun bisa jadi teu hayang nyieun infrastruktur sakuliah puluhan atawa malah ratusan titik ayana ngagunakeun alat misah pikeun routing na nyaring lalulintas. Éta bakal mahal, sareng éta ngan saukur teu perlu.

Pikeun BGP anjeun teu merta kudu boga routers dedicated, Anjeun tiasa make parabot open-source kawas Quagga. Janten panginten anu anjeun peryogikeun nyaéta server atanapi sababaraha server, saklar sareng BGP.

Dina hal ieu, server Anjeun atawa sababaraha server bisa maénkeun peran teu ngan hiji server CDN, tapi ogé router a. Tangtosna, masih aya seueur detil (sapertos kumaha ngajamin kasaimbangan), tapi éta tiasa dilakukeun, sareng éta mangrupikeun pendekatan anu suksés dianggo pikeun salah sahiji mitra kami.

Anjeun tiasa gaduh sababaraha pusat data kalayan panyalindungan pinuh (firewalls, jasa panyalindungan DDOS disadiakeun ku panyadia Internet Anjeun) jeung puluhan atawa ratusan titik ayana "saderhana" kalawan ngan switch L2 sarta server.

Tapi kumaha upami panyalindungan dina hal ieu?

Hayu urang nempo, contona, nu anyar populér DNS Amplification serangan DDOS. Bahaya na perenahna di kanyataan yén jumlah badag lalulintas dihasilkeun, nu saukur "clogs" 100% sadaya uplinks Anjeun.

Naon anu urang gaduh dina kasus desain urang.

  • lamun make AnyCast, lajeng lalulintas disebarkeun antara titik ayana anjeun. Upami total rubakpita anjeun terabits, maka ieu nyalira (tapi, nembe aya sababaraha serangan kalayan lalu lintas jahat dina urutan terabits) ngajaga anjeun tina "overflowing" uplinks.
  • Lamun kitu, sababaraha uplinks jadi clogged, mangka anjeun saukur nyabut situs ieu tina layanan (eureun iklan awalan)
  • Anjeun ogé tiasa ningkatkeun pangsa lalu lintas anu dikirim ti pusat data "pinuh" anjeun (sareng, sasuai, ditangtayungan), ku kituna ngaleungitkeun sabagian ageung patalimarga jahat tina titik anu teu dijagi.

Sareng hiji deui catetan leutik pikeun conto ieu. Upami anjeun ngirimkeun lalu lintas anu cekap ngalangkungan IX, maka ieu ogé ngirangan kerentanan anjeun kana serangan sapertos kitu

Ngonpigurasikeun BGP

Aya dua topik di dieu.

  • Konektipitas
  • Ngonpigurasikeun BGP

Kami parantos nyarios sakedik ngeunaan konektipitas bagian 1. Intina nyaéta pikeun mastikeun yén lalu lintas ka konsumén anjeun nuturkeun jalur anu optimal. Sanajan optimalitas teu salawasna ngan ngeunaan latency, latency low biasana indikator utama optimalitas. Kanggo sababaraha perusahaan ieu langkung penting, pikeun anu sanés kirang. Eta sadayana gumantung kana jasa anjeun nyadiakeun.

conto 1

Mun anjeun hiji bursa, sarta interval waktu kirang ti milliseconds anu penting pikeun klien anjeun, lajeng, tangtosna, aya teu bisa ngobrol nanaon nu Internet pisan.

conto 2

Upami anjeun perusahaan kaulinan sareng puluhan milliseconds penting pikeun anjeun, tangtosna, konektipitas penting pisan pikeun anjeun.

conto 3

Anjeun oge kedah ngartos yen, alatan sipat protokol TCP, laju mindahkeun data dina hiji sési TCP ogé gumantung kana RTT (Round Trip Time). Jaringan CDN ogé diwangun pikeun ngarengsekeun masalah ieu ku cara mindahkeun server distribusi eusi langkung caket ka konsumen eusi ieu.

Ulikan ngeunaan konektipitas mangrupikeun topik anu pikaresepeun, pantes pikeun tulisan atanapi séri artikel sorangan, sareng peryogi pamahaman anu hadé ngeunaan kumaha "jalanna" Internét.

Sumberdaya mangpaat:

ripe.net
bgp.he.net

conto

Kuring gé masihan ngan hiji conto leutik.

Hayu urang nganggap yén puseur data anjeun lokasina di Moscow, sarta anjeun boga uplink tunggal - Rostelecom (AS12389). Dina hal ieu (single homed) anjeun teu kedah BGP, jeung anjeun paling dipikaresep ngagunakeun pool alamat ti Rostelecom salaku alamat umum.

Hayu urang nganggap nu nyadiakeun layanan nu tangtu, jeung anjeun boga jumlah cukup klien ti Ukraina, sarta aranjeunna ngawadul ngeunaan reureuh panjang. Salami panalungtikan anjeun, anjeun mendakan yén alamat IP sababaraha di antarana aya dina grid 37.52.0.0/21.

Ku ngajalankeun traceroute, anjeun ningali yén lalu lintas ngalangkungan AS1299 (Telia), sareng ku ngajalankeun ping, anjeun ngagaduhan RTT rata-rata 70 - 80 milidetik. Anjeun oge bisa ningali ieu di pilari kaca Rostelecom.

Ngagunakeun utilitas whois (dina ripe.net atawa utiliti lokal), anjeun bisa kalayan gampang nangtukeun yén blok 37.52.0.0/21 milik AS6849 (Ukrtelecom).

Salajengna, ku akang bgp.he.net nu katingali yén AS6849 euweuh hubungan jeung AS12389 (aranjeunna henteu klien atawa uplinks ka silih, atawa maranéhna boga peering). Tapi lamun nempo daptar peers pikeun AS6849, anjeun bakal nempo, contona, AS29226 (Mastertel) jeung AS31133 (Megafon).

Sakali anjeun manggihan kaca pilari panyadia ieu, anjeun tiasa ngabandingkeun jalur na RTT. Contona, pikeun Mastertel RTT bakal ngeunaan 30 milliseconds.

Janten, upami bédana antara 80 sareng 30 milliseconds penting pikeun jasa anjeun, maka panginten anjeun kedah mikirkeun konektipitas, kéngingkeun nomer AS anjeun, kolam renang alamat anjeun tina RIPE sareng sambungkeun uplink tambahan sareng / atanapi nyiptakeun titik ayana dina IXs.

Lamun anjeun make BGP, anjeun teu ngan boga kasempetan pikeun ngaronjatkeun konektipitas, tapi anjeun ogé redundantly ngajaga sambungan Internet Anjeun.

Dokumén ieu ngandung saran pikeun ngonpigurasikeun BGP. Sanaos kanyataan yén rekomendasi ieu dikembangkeun dumasar kana "prakték pangsaéna" panyadia, tapi (upami setélan BGP anjeun henteu rada dasar) aranjeunna pasti aya mangpaatna sareng saleresna kedah janten bagian tina hardening anu urang bahas dina bagian kahiji.

panyalindungan DOS / DDOS

Ayeuna serangan DOS/DDOS geus jadi kanyataan sapopoé pikeun loba pausahaan. Nyatana, anjeun sering diserang dina hiji bentuk atanapi anu sanés. Kanyataan yén anjeun henteu acan perhatikeun ieu ngan ukur hartosna serangan anu ditargetkeun henteu acan dikelompokeun ngalawan anjeun, sareng yén alat panyalindungan anu anjeun anggo, bahkan upami henteu terang éta (rupa-rupa panyalindungan anu diwangun dina sistem operasi), cekap pikeun mastikeun yén degradasi jasa anu disayogikeun diminimalkeun pikeun anjeun sareng palanggan anjeun.

Aya sumber Internét anu, dumasar kana log peralatan, ngagambar peta serangan anu saé sacara real waktos.

Ieu téh anjeun tiasa mendakan tautan ka aranjeunna.

Abdi pikaresepeun peta ti CheckPoint.

Perlindungan ngalawan DDOS / DOS biasana dilapis. Pikeun ngartos naha, anjeun kedah ngartos naon jinis serangan DOS/DDOS anu aya (tingali, contona, di dieu atawa di dieu)

Nyaéta, urang gaduh tilu jinis serangan:

  • serangan volumetrik
  • serangan protokol
  • serangan aplikasi

Upami anjeun tiasa ngajagi diri tina dua jinis serangan anu terakhir nganggo, contona, firewall, maka anjeun moal tiasa ngajagi diri tina serangan anu ditujukeun pikeun "overwhelming" uplinks anjeun (tangtosna, upami total kapasitas saluran Internét anjeun henteu diitung dina terabit, atanapi langkung saé, dina puluhan terabit).

Ku alatan éta, garis pertahanan kahiji nyaeta panyalindungan ngalawan serangan "volumetric", sarta panyadia Anjeun atawa panyadia kudu nyadiakeun panyalindungan ieu ka anjeun. Upami anjeun henteu acan sadar ieu, maka anjeun ngan ukur untung ayeuna.

conto

Anggap anjeun gaduh sababaraha uplink, tapi ngan ukur salah sahiji panyadia anu tiasa masihan anjeun panyalindungan ieu. Tapi upami sadaya lalu lintas ngalangkungan hiji panyadia, teras kumaha konektipitas anu urang bahas sakedap sateuacana?

Dina hal ieu, anjeun bakal kudu sabagian kurban konektipitas salila serangan. Tapi

  • ieu ngan pikeun durasi serangan. Upami aya serangan, anjeun tiasa sacara manual atanapi otomatis ngonpigurasikeun BGP supados lalu lintas ngan ukur ngalangkungan panyadia anu nyayogikeun anjeun "payung". Saatos serangan réngsé, anjeun tiasa ngabalikeun rute ka kaayaan sateuacana
  • Teu perlu nransper sadaya lalulintas. Upami, contona, anjeun ningali yén teu aya serangan ngaliwatan sababaraha uplink atanapi peerings (atanapi lalu lintas henteu signifikan), anjeun tiasa teras-terasan ngiklankeun awalan sareng atribut kalapa nuju tatangga BGP ieu.

Anjeun ogé tiasa masihan panyalindungan tina "serangan protokol" sareng "serangan aplikasi" ka mitra anjeun.
di dieu di dieu anjeun tiasa maca pangajaran anu saé (tarjamahan). Leres, tulisan éta umurna dua taun, tapi éta bakal masihan anjeun ide ngeunaan pendekatan kumaha anjeun tiasa ngajaga diri tina serangan DDOS.

Sacara prinsip, anjeun tiasa ngawatesan diri kana ieu, lengkep outsourcing panyalindungan anjeun. Aya kaunggulan pikeun kaputusan ieu, tapi aya ogé kalemahan atra. Kanyataanna nyaéta urang tiasa ngobrol (deui, gumantung kana naon anu dilakukeun ku perusahaan) ngeunaan kasalametan bisnis. Sareng percantenkeun hal sapertos kitu ka pihak katilu ...

Ku alatan éta, hayu urang nempo kumaha carana ngatur garis pertahanan kadua jeung katilu (salaku tambahan panyalindungan ti panyadia nu).

Janten, garis pertahanan kadua nyaéta nyaring sareng pembatas lalu lintas (pulisi) dina lawang jaringan anjeun.

conto 1

Hayu urang nganggap yén anjeun parantos nutupan diri anjeun ku payung ngalawan DDOS kalayan bantosan salah sahiji panyadia. Hayu urang nganggap yén panyadia ieu nganggo Arbor pikeun nyaring lalu lintas sareng saringan di ujung jaringanna.

Bandwidth anu Arbor tiasa "ngolah" terbatas, sareng panyadia, tangtosna, henteu tiasa teras-terasan ngalangkungan lalu lintas sadaya mitra anu mesen jasa ieu ngalangkungan alat panyaring. Ku alatan éta, dina kaayaan normal, lalulintas teu disaring.

Hayu urang nganggap aya serangan banjir SYN. Sanaos anjeun maréntahkeun jasa anu otomatis ngalihkeun lalu lintas kana nyaring upami aya serangan, ieu henteu langsung kajadian. Pikeun hiji menit atawa leuwih anjeun tetep dina serangan. Sareng ieu tiasa nyababkeun gagalna alat anjeun atanapi degradasi jasa. Dina hal ieu, ngawatesan lalulintas di routing tepi, sanajan bakal ngakibatkeun kanyataan yén sababaraha sesi TCP moal ngadegkeun salila ieu, bakal ngahemat infrastruktur anjeun tina masalah badag skala.

conto 2

Sajumlah ageung pakét SYN henteu ngan ukur hasil tina serangan banjir SYN. Hayu urang nganggap yén anjeun nyadiakeun layanan nu Anjeun sakaligus bisa mibanda ngeunaan 100 rébu sambungan TCP (ka hiji puseur data).

Anggap yén salaku hasil tina masalah jangka pondok sareng salah sahiji panyadia utama anjeun, satengah tina sesi anjeun ditajong. Upami aplikasi anjeun dirarancang ku cara anu, tanpa mikir dua kali, éta langsung (atanapi saatos sababaraha interval waktos anu sami pikeun sadaya sesi) nyobian ngadamel deui sambungan, maka anjeun bakal nampi sahenteuna 50 rébu pakét SYN sakitar. sakaligus.

Upami, contona, anjeun kedah ngajalankeun sasalaman ssl / tls di luhur sesi ieu, anu ngalibatkeun tukeur sertipikat, maka tina sudut pandang ngirangan sumber daya pikeun kasaimbangan beban anjeun, ieu bakal janten "DDOS" anu langkung kuat tibatan saderhana. SYN ngabahekeun. Ieu bakal sigana nu balancers kedah ngadamel acara sapertos, tapi ... hanjakalna, urang keur Nyanghareupan masalah sapertos.

Sareng, tangtosna, pulisi dina router ujung bakal ngahémat alat anjeun dina hal ieu ogé.

Tingkat katilu panyalindungan ngalawan DDOS / DOS nyaéta setélan firewall anjeun.

Di dieu anjeun tiasa ngeureunkeun serangan kadua sareng katilu. Sacara umum, sadayana anu ngahontal firewall tiasa disaring di dieu.

dewan

Coba mun masihan firewall sakumaha saeutik karya sabisa, nyaring kaluar saloba mungkin dina dua garis kahiji pertahanan. Sareng sababna.

Naha anjeun kantos kajantenan ku kasempetan, nalika ngahasilkeun lalu lintas pikeun pariksa, contona, kumaha tahan sistem operasi server anjeun pikeun serangan DDOS, anjeun "maéhan" firewall anjeun, ngamuat kana 100 persen, kalayan lalu lintas dina inténsitas normal. ? Upami henteu, panginten anjeun henteu acan nyobian?

Sacara umum, firewall a, sakumaha ceuk kuring, mangrupa hal kompléks, sarta gawéna ogé kalawan vulnerabilities dipikawanoh tur leyuran dites, tapi lamun ngirimkeun hal ilahar, ngan sababaraha sampah atawa pakét kalawan headers salah, lajeng anjeun kalawan sababaraha, teu kalawan. probabiliti leutik misalna (dumasar kana pangalaman kuring), anjeun tiasa stupefy malah parabot luhur-tungtung. Ku alatan éta, dina tahap 2, ngagunakeun ACLs biasa (dina tingkat L3 / L4), ngan ngidinan lalulintas kana jaringan anjeun nu kudu asup ka dinya.

Nyaring lalulintas dina firewall

Hayu urang neruskeun obrolan ngeunaan firewall. Anjeun kedah ngartos yén serangan DOS / DDOS ngan ukur hiji jinis serangan cyber.

Salian panyalindungan DOS/DDOS, urang ogé tiasa gaduh anu sapertos daptar fitur ieu:

  • aplikasi firewall
  • pencegahan ancaman (antivirus, anti spyware, sareng kerentanan)
  • nyaring URL
  • nyaring data (saringan eusi)
  • meungpeuk file (meungpeuk tipe file)

Terserah anjeun mutuskeun naon anu anjeun peryogikeun tina daptar ieu.

bisa terus

sumber: www.habr.com

Tambahkeun komentar