Makala haya ni ya nne katika mfululizo wa “Jinsi ya Kudhibiti Miundombinu ya Mtandao Wako.” Yaliyomo katika nakala zote kwenye safu na viungo vinaweza kupatikana .
В Katika sura hii, tuliangalia baadhi ya vipengele vya usalama wa mtandao katika sehemu ya Kituo cha Data. Sehemu hii itatolewa kwa sehemu ya "Ufikiaji wa Mtandao".
Intaneti
Mada ya usalama bila shaka ni moja ya mada ngumu zaidi katika ulimwengu wa mitandao ya data. Kama katika kesi zilizopita, bila kudai kina na ukamilifu, nitazingatia hapa rahisi sana, lakini, kwa maoni yangu, maswali muhimu, majibu ambayo, natumaini, yatasaidia kuongeza kiwango cha usalama wa mtandao wako.
Wakati wa kukagua sehemu hii, makini na mambo yafuatayo:
- kubuni
- Mipangilio ya BGP
- Ulinzi wa DOS/DDOS
- kuchuja trafiki kwenye firewall
Design
Kama mfano wa muundo wa sehemu hii kwa mtandao wa biashara, ningependekeza kutoka Cisco ndani .
Kwa kweli, labda suluhisho la wachuuzi wengine litaonekana kuvutia zaidi kwako (tazama. ), lakini bila kukuhimiza kufuata muundo huu kwa undani, bado ninaona kuwa ni muhimu kuelewa kanuni na mawazo nyuma yake.
Kumbuka
Katika SAFE, sehemu ya "Ufikiaji wa Mbali" ni sehemu ya sehemu ya "Ufikiaji wa Mtandao". Lakini katika mfululizo huu wa makala tutazingatia tofauti.
Seti ya kawaida ya vifaa katika sehemu hii kwa mtandao wa biashara ni
- ruta za mpaka
- firewalls
Sema 1
Katika mfululizo huu wa makala, ninapozungumzia firewalls, ninamaanisha .
Sema 2
Ninaacha kuzingatia aina mbalimbali za L2/L1 au kufunika L2 juu ya suluhu za L3 zinazohitajika ili kuhakikisha muunganisho wa L1/L2 na nijiwekee mipaka kwa masuala katika kiwango cha L3 na zaidi. Kwa kiasi, masuala ya L1/L2 yalijadiliwa katika sura "".
Ikiwa haujapata firewall katika sehemu hii, basi hupaswi kukimbilia hitimisho.
Wacha tufanye sawa na katika Hebu tuanze na swali: ni muhimu kutumia firewall katika sehemu hii katika kesi yako?
Ninaweza kusema kwamba hapa panaonekana kuwa mahali panapofaa zaidi kutumia ngome na kutumia algorithms changamano ya kuchuja trafiki. KATIKA Tulitaja mambo 4 ambayo yanaweza kuingiliana na matumizi ya ngome katika sehemu ya kituo cha data. Lakini hapa sio muhimu tena.
Mfano 1. Kuchelewa
Kwa kadiri mtandao unavyohusika, hakuna maana ya kuzungumza juu ya ucheleweshaji wa hata kama millisecond 1. Kwa hivyo, ucheleweshaji katika sehemu hii hauwezi kuwa sababu inayozuia utumiaji wa ngome.
Mfano 2. Uzalishaji
Katika baadhi ya matukio kipengele hiki kinaweza kuwa muhimu. Kwa hivyo, unaweza kuruhusu trafiki fulani (kwa mfano, trafiki kutoka kwa mizani ya mizigo) ili kukwepa ngome.
Mfano 3. Kuegemea
Sababu hii bado inahitaji kuzingatiwa, lakini bado, kutokana na kutokuwa na uhakika wa mtandao yenyewe, umuhimu wake kwa sehemu hii sio muhimu kama kwa kituo cha data.
Kwa hivyo, wacha tuchukue kuwa huduma yako inaishi juu ya http/https (na vipindi vifupi). Katika kesi hii, unaweza kutumia masanduku mawili ya kujitegemea (bila HA) na ikiwa kuna tatizo la uelekezaji na mmoja wao, uhamishe trafiki yote kwa pili.
Au unaweza kutumia ngome katika hali ya uwazi na, ikiwa itashindwa, ruhusu trafiki kupita ngome wakati wa kusuluhisha shida.
Kwa hiyo, uwezekano mkubwa tu bei inaweza kuwa sababu ambayo itakulazimisha kuachana na matumizi ya ngome katika sehemu hii.
Muhimu!
Kuna kishawishi cha kuchanganya ngome hii na ngome ya kituo cha data (tumia ngome moja kwa sehemu hizi). Suluhisho ni, kimsingi, linawezekana, lakini unahitaji kuelewa hilo kwa sababu Firewall ya Ufikiaji wa Mtandao kwa kweli iko mbele ya ulinzi wako na "huchukua" angalau baadhi ya trafiki mbaya, basi, bila shaka, unahitaji kuzingatia hatari iliyoongezeka kwamba firewall hii itazimwa. Hiyo ni, kwa kutumia vifaa sawa katika sehemu hizi mbili, utapunguza kwa kiasi kikubwa upatikanaji wa sehemu ya kituo chako cha data.
Kama kawaida, unahitaji kuelewa kuwa kulingana na huduma ambayo kampuni hutoa, muundo wa sehemu hii unaweza kutofautiana sana. Kama kawaida, unaweza kuchagua mbinu tofauti kulingana na mahitaji yako.
Mfano
Ikiwa wewe ni mtoaji wa maudhui, na mtandao wa CDN (tazama, kwa mfano, ), basi huenda usitake kuunda miundombinu kati ya dazeni au hata mamia ya maeneo ya kuwepo kwa kutumia vifaa tofauti vya kuelekeza na kuchuja trafiki. Itakuwa ghali, na inaweza kuwa sio lazima.
Kwa BGP sio lazima uwe na vipanga njia vilivyojitolea, unaweza kutumia zana huria kama vile . Kwa hivyo labda unachohitaji ni seva au seva kadhaa, swichi na BGP.
Katika kesi hii, seva yako au seva kadhaa zinaweza kucheza nafasi ya seva ya CDN tu, bali pia router. Bila shaka, bado kuna maelezo mengi (kama vile jinsi ya kuhakikisha kusawazisha), lakini inawezekana, na ni mbinu ambayo tumetumia kwa ufanisi kwa mmoja wa washirika wetu.
Unaweza kuwa na vituo kadhaa vya data vilivyo na ulinzi kamili (ngome, huduma za ulinzi za DDOS zinazotolewa na watoa huduma wako wa Intaneti) na dazeni au mamia ya maeneo "iliyorahisishwa" kwa kutumia swichi na seva za L2 pekee.
Lakini vipi kuhusu ulinzi katika kesi hii?
Hebu tuangalie, kwa mfano, maarufu hivi karibuni . Hatari yake iko katika ukweli kwamba idadi kubwa ya trafiki hutolewa, ambayo "hufunga" tu 100% ya viunga vyako vyote.
Tuna nini katika kesi ya muundo wetu.
- ikiwa unatumia AnyCast, basi trafiki inasambazwa kati ya maeneo yako ya uwepo. Ikiwa jumla ya kipimo chako cha data ni terabits, basi hii yenyewe kwa kweli (hata hivyo, hivi karibuni kumekuwa na mashambulizi kadhaa na trafiki mbaya kwa utaratibu wa terabits) inakukinga kutoka kwa viunga vya "kufurika"
- Iwapo, hata hivyo, baadhi ya viungo vya juu vinaziba, basi unaondoa tovuti hii kutoka kwa huduma (acha kutangaza kiambishi awali)
- unaweza pia kuongeza sehemu ya trafiki inayotumwa kutoka kwa vituo vyako vya data "kamili" (na, ipasavyo, kulindwa), na hivyo kuondoa sehemu kubwa ya trafiki hasidi kutoka kwa ufikiaji usio salama.
Na noti moja ndogo zaidi kwa mfano huu. Ukituma trafiki ya kutosha kupitia IX, basi hii pia inapunguza uwezekano wako wa mashambulizi kama hayo
Kuanzisha BGP
Kuna mada mbili hapa.
- Muunganisho
- Kuanzisha BGP
Tayari tumezungumza kidogo juu ya unganisho ndani . Jambo kuu ni kuhakikisha kuwa trafiki kwa wateja wako inafuata njia bora. Ingawa hali bora sio tu kuhusu muda wa kusubiri, muda wa kusubiri wa chini huwa ni kiashirio kikuu cha utendakazi bora. Kwa makampuni mengine hii ni muhimu zaidi, kwa wengine ni chini. Yote inategemea huduma unayotoa.
mfano 1
Ikiwa wewe ni kubadilishana, na vipindi vya muda vya chini ya milliseconds ni muhimu kwa wateja wako, basi, bila shaka, hawezi kuwa na mazungumzo ya aina yoyote ya mtandao wakati wote.
mfano 2
Ikiwa wewe ni kampuni ya michezo ya kubahatisha na makumi ya milliseconds ni muhimu kwako, basi, bila shaka, uunganisho ni muhimu sana kwako.
mfano 3
Pia unahitaji kuelewa kwamba, kutokana na sifa za itifaki ya TCP, kiwango cha uhamisho wa data ndani ya kipindi kimoja cha TCP kinategemea RTT (Muda wa Safari ya Kurudi). Mitandao ya CDN pia inajengwa ili kutatua tatizo hili kwa kusogeza seva za usambazaji wa maudhui karibu na mtumiaji wa maudhui haya.
Utafiti wa muunganisho ni mada ya kuvutia yenyewe, inayostahili makala yake au mfululizo wa makala, na inahitaji ufahamu mzuri wa jinsi Mtandao "hufanya kazi."
Rasilimali muhimu:
Mfano
Nitatoa mfano mmoja tu mdogo.
Hebu tufikiri kwamba kituo chako cha data iko Moscow, na una uplink moja - Rostelecom (AS12389). Katika kesi hii (nyumba moja) hauitaji BGP, na uwezekano mkubwa unatumia dimbwi la anwani kutoka Rostelecom kama anwani za umma.
Hebu tuchukue kwamba unatoa huduma fulani, na una idadi ya kutosha ya wateja kutoka Ukraine, na wanalalamika kuhusu kuchelewa kwa muda mrefu. Wakati wa utafiti wako, uligundua kuwa anwani za IP za baadhi yao ziko kwenye gridi ya 37.52.0.0/21.
Kwa kuendesha traceroute, uliona kwamba trafiki ilikuwa ikipitia AS1299 (Telia), na kwa kuendesha ping, ulipata wastani wa RTT wa 70 - 80 milliseconds. Unaweza pia kuona hii kwa .
Kwa kutumia shirika la whois (kwenye ripe.net au shirika la ndani), unaweza kubainisha kwa urahisi kuwa block 37.52.0.0/21 ni ya AS6849 (Ukrtelecom).
Ifuatayo, kwa kwenda unaona kwamba AS6849 haina uhusiano na AS12389 (si wateja wala si waunganisho wa kila mmoja wao, wala hawana rika). Lakini ukiangalia kwa AS6849, utaona, kwa mfano, AS29226 (Mastertel) na AS31133 (Megafon).
Mara tu unapopata kioo cha kuangalia cha watoa huduma hawa, unaweza kulinganisha njia na RTT. Kwa mfano, kwa Mastertel RTT itakuwa karibu 30 milliseconds.
Kwa hivyo, ikiwa tofauti kati ya milisekunde 80 na 30 ni muhimu kwa huduma yako, basi labda unahitaji kufikiria kuhusu muunganisho, pata nambari yako ya AS, anwani yako kutoka kwa RIPE na uunganishe viungo vya juu zaidi na/au uunde sehemu za uwepo kwenye IX.
Unapotumia BGP, huna fursa tu ya kuboresha muunganisho, lakini pia unadumisha muunganisho wako wa Mtandao kwa kiasi kikubwa.
ina mapendekezo ya kusanidi BGP. Licha ya ukweli kwamba mapendekezo haya yalitengenezwa kwa kuzingatia "mazoea bora" ya watoa huduma, hata hivyo (ikiwa mipangilio yako ya BGP sio ya msingi kabisa) bila shaka ni muhimu na kwa kweli inapaswa kuwa sehemu ya ugumu ambao tulijadili katika .
Ulinzi wa DOS/DDOS
Sasa mashambulizi ya DOS/DDOS yamekuwa ukweli wa kila siku kwa makampuni mengi. Kwa kweli, unashambuliwa mara nyingi kwa namna moja au nyingine. Ukweli kwamba bado haujagundua hii inamaanisha kuwa shambulio linalolengwa bado halijapangwa dhidi yako, na kwamba hatua za ulinzi unazotumia, hata labda bila kujua (ulinzi anuwai wa mifumo ya uendeshaji), inatosha hakikisha kwamba uharibifu wa huduma iliyotolewa unapunguzwa kwa ajili yako na wateja wako.
Kuna rasilimali za mtandao ambazo, kulingana na kumbukumbu za vifaa, huchora ramani nzuri za mashambulizi kwa wakati halisi.
unaweza kupata viungo kwao.
Ninapenda kutoka CheckPoint.
Ulinzi dhidi ya DDOS/DOS kawaida huwekwa kwenye tabaka. Ili kuelewa ni kwa nini, unahitaji kuelewa ni aina gani za mashambulizi ya DOS/DDOS zipo (tazama, kwa mfano, au )
Hiyo ni, tuna aina tatu za mashambulizi:
- mashambulizi ya volumetric
- mashambulizi ya itifaki
- mashambulizi ya maombi
Ikiwa unaweza kujikinga na aina mbili za mwisho za shambulio kwa kutumia, kwa mfano, ukuta wa moto, basi huwezi kujikinga na shambulio linalolenga "kuzimia" viunga vyako (bila shaka, ikiwa uwezo wako wa jumla wa chaneli za mtandao haujahesabiwa kwa njia, au bora zaidi, katika makumi ya terabit).
Kwa hiyo, ulinzi wa kwanza ni ulinzi dhidi ya mashambulizi ya "volumetric", na mtoa huduma wako au watoa huduma lazima wakupe ulinzi huu. Ikiwa bado haujatambua hili, basi una bahati kwa sasa.
Mfano
Hebu tuseme una viunga kadhaa, lakini ni mtoaji mmoja tu ndiye anayeweza kukupa ulinzi huu. Lakini ikiwa trafiki yote inapitia mtoa huduma mmoja, basi vipi kuhusu muunganisho ambao tulijadili kwa ufupi mapema kidogo?
Katika kesi hii, italazimika kutoa muunganisho kwa sehemu wakati wa shambulio hilo. Lakini
- hii ni kwa muda wa mashambulizi tu. Katika tukio la shambulio, unaweza kusanidi upya BGP wewe mwenyewe au kiotomatiki ili trafiki ipitie tu kwa mtoa huduma anayekupa "mwavuli". Baada ya shambulio kukamilika, unaweza kurudisha njia kwenye hali yake ya awali
- Sio lazima kuhamisha trafiki yote. Ikiwa, kwa mfano, unaona kwamba hakuna mashambulizi kupitia baadhi ya viungo vya juu au rika (au trafiki si muhimu), unaweza kuendelea kutangaza viambishi awali vyenye sifa za ushindani kuelekea majirani hawa wa BGP.
Unaweza pia kukabidhi ulinzi dhidi ya "mashambulizi ya itifaki" na "mashambulizi ya programu" kwa washirika wako.
Hapa unaweza kusoma masomo mazuri () Ukweli, nakala hiyo ina umri wa miaka miwili, lakini itakupa wazo la njia za jinsi unaweza kujikinga na shambulio la DDOS.
Kimsingi, unaweza kujizuia kwa hili, ukitoa ulinzi wako kabisa. Kuna faida kwa uamuzi huu, lakini pia kuna hasara dhahiri. Ukweli ni kwamba tunaweza kuzungumza (tena, kulingana na kile kampuni yako inafanya) kuhusu maisha ya biashara. Na uamini vitu kama hivyo kwa watu wengine ...
Kwa hivyo, hebu tuangalie jinsi ya kupanga safu ya pili na ya tatu ya ulinzi (kama nyongeza ya ulinzi kutoka kwa mtoaji).
Kwa hivyo, safu ya pili ya ulinzi ni uchujaji na vidhibiti vya trafiki (polisi) kwenye mlango wa mtandao wako.
mfano 1
Hebu tuchukulie kuwa umejifunika kwa mwavuli dhidi ya DDOS kwa usaidizi wa mmoja wa watoa huduma. Hebu tuchukulie kuwa mtoa huduma huyu anatumia Arbor kuchuja trafiki na vichungi kwenye ukingo wa mtandao wake.
Bandwidth ambayo Arbor inaweza "mchakato" ni mdogo, na mtoa huduma, bila shaka, hawezi kupitisha mara kwa mara trafiki ya washirika wake wote wanaoagiza huduma hii kupitia vifaa vya kuchuja. Kwa hiyo, chini ya hali ya kawaida, trafiki haijachujwa.
Wacha tuchukue kuwa kuna shambulio la mafuriko la SYN. Hata kama uliagiza huduma ambayo hubadilisha trafiki kiotomatiki hadi kuchuja tukio la shambulio, hii haifanyiki mara moja. Kwa dakika moja au zaidi unabaki chini ya mashambulizi. Na hii inaweza kusababisha kushindwa kwa vifaa vyako au uharibifu wa huduma. Katika kesi hii, kupunguza trafiki kwenye uelekezaji wa ukingo, ingawa itasababisha ukweli kwamba baadhi ya vikao vya TCP havitaanzishwa wakati huu, itaokoa miundombinu yako kutokana na matatizo makubwa zaidi.
mfano 2
Idadi kubwa isiyo ya kawaida ya pakiti za SYN inaweza kuwa sio tu matokeo ya shambulio la mafuriko la SYN. Wacha tufikirie kuwa unatoa huduma ambayo unaweza wakati huo huo kuwa na viunganisho vya TCP elfu 100 (kwa kituo kimoja cha data).
Wacha tuseme kwamba kama matokeo ya shida ya muda mfupi na mmoja wa watoa huduma wako wakuu, nusu ya vipindi vyako hupigwa. Ikiwa programu yako imeundwa kwa njia ambayo, bila kufikiria mara mbili, mara moja (au baada ya muda fulani ambayo ni sawa kwa vikao vyote) inajaribu kuanzisha tena muunganisho, basi utapokea angalau pakiti elfu 50 za SYN takriban. kwa wakati mmoja.
Ikiwa, kwa mfano, unapaswa kukimbia ssl/tls handshake juu ya vikao hivi, ambayo inahusisha kubadilishana vyeti, basi kutoka kwa mtazamo wa kupunguza rasilimali kwa usawa wako wa mzigo, hii itakuwa "DDOS" yenye nguvu zaidi kuliko rahisi. mafuriko ya SYN. Inaweza kuonekana kuwa wasawazishaji wanapaswa kushughulikia matukio kama haya, lakini ... kwa bahati mbaya, tunakabiliwa na shida kama hiyo.
Na, bila shaka, polisi kwenye router ya makali atahifadhi vifaa vyako katika kesi hii pia.
Kiwango cha tatu cha ulinzi dhidi ya DDOS/DOS ni mipangilio yako ya ngome.
Hapa unaweza kuacha mashambulizi yote ya aina ya pili na ya tatu. Kwa ujumla, kila kitu kinachofikia firewall kinaweza kuchujwa hapa.
Kidokezo
Jaribu kufanya ngome ifanye kazi kidogo iwezekanavyo, ukichuja iwezekanavyo kwenye mistari miwili ya kwanza ya ulinzi. Na ndiyo maana.
Imewahi kukutokea kwamba kwa bahati, wakati unazalisha trafiki kuangalia, kwa mfano, jinsi mfumo wa uendeshaji wa seva zako unavyostahimili mashambulizi ya DDOS, "uliua" firewall yako, ukiyapakia hadi asilimia 100, na trafiki kwa kiwango cha kawaida. ? Ikiwa sivyo, labda ni kwa sababu haujajaribu?
Kwa ujumla, firewall, kama nilivyosema, ni jambo ngumu, na inafanya kazi vizuri na udhaifu unaojulikana na suluhisho zilizojaribiwa, lakini ikiwa utatuma kitu kisicho cha kawaida, takataka au pakiti zilizo na vichwa visivyo sahihi, basi uko pamoja na wengine, sio Na. uwezekano mdogo kama huu (kulingana na uzoefu wangu), unaweza kushtua hata vifaa vya juu. Kwa hivyo, katika hatua ya 2, kwa kutumia ACL za kawaida (katika kiwango cha L3/L4), ruhusu tu trafiki kwenye mtandao wako ambayo inapaswa kuingia hapo.
Kuchuja trafiki kwenye ngome
Wacha tuendelee na mazungumzo kuhusu firewall. Unahitaji kuelewa kwamba mashambulizi ya DOS/DDOS ni aina moja tu ya mashambulizi ya mtandao.
Mbali na ulinzi wa DOS/DDOS, tunaweza pia kuwa na kitu kama orodha ifuatayo ya vipengele:
- maombi ya firewalling
- kuzuia tishio (antivirus, anti-spyware, na mazingira magumu)
- Uchujaji wa URL
- kuchuja data (kuchuja yaliyomo)
- kuzuia faili (kuzuia aina za faili)
Ni juu yako kuamua unachohitaji kutoka kwenye orodha hii.
Kuendelea
Chanzo: mapenzi.com