ProHoster > Blog > Pangangasiwa > Paano kontrolin ang iyong imprastraktura ng network. Ikatlong Kabanata. Seguridad ng network. Ikalawang bahagi

Paano kontrolin ang iyong imprastraktura ng network. Ikatlong Kabanata. Seguridad ng network. Ikalawang bahagi

Ang artikulong ito ay ang ikaapat sa seryeng “Paano Kontrolin ang Iyong Imprastraktura sa Network.” Ang mga nilalaman ng lahat ng mga artikulo sa serye at mga link ay matatagpuan dito.

В ang unang bahagi Sa kabanatang ito, tiningnan namin ang ilang aspeto ng seguridad ng network sa segment ng Data Center. Ang bahaging ito ay ilalaan sa segment na "Internet Access".

Paano kontrolin ang iyong imprastraktura ng network. Ikatlong Kabanata. Seguridad ng network. Ikalawang bahagi

Internet access

Ang paksa ng seguridad ay walang alinlangan na isa sa mga pinaka kumplikadong paksa sa mundo ng mga network ng data. Tulad ng sa mga nakaraang kaso, nang hindi inaangkin ang lalim at pagkakumpleto, isasaalang-alang ko dito ang medyo simple, ngunit, sa palagay ko, mahahalagang tanong, ang mga sagot kung saan, umaasa ako, ay makakatulong na itaas ang antas ng seguridad ng iyong network.

Kapag sinusuri ang segment na ito, bigyang-pansin ang mga sumusunod na aspeto:

  • disenyo
  • Mga setting ng BGP
  • Proteksyon ng DOS/DDOS
  • pagsala ng trapiko sa firewall

Disenyo

Bilang isang halimbawa ng disenyo ng segment na ito para sa isang enterprise network, inirerekumenda ko pamumuno mula sa Cisco sa loob LIGTAS na mga modelo.

Siyempre, marahil ang solusyon ng iba pang mga vendor ay mukhang mas kaakit-akit sa iyo (tingnan ang. Gartner Quadrant 2018), ngunit nang hindi ka hinihikayat na sundin ang disenyong ito nang detalyado, nakikita ko pa rin na kapaki-pakinabang na maunawaan ang mga prinsipyo at ideya sa likod nito.

Tandaan:

Sa SAFE, ang segment na "Remote Access" ay bahagi ng segment na "Internet Access." Ngunit sa seryeng ito ng mga artikulo ay isasaalang-alang natin ito nang hiwalay.

Ang karaniwang hanay ng mga kagamitan sa segment na ito para sa isang enterprise network ay

  • mga router sa hangganan
  • mga firewall

Pangungusap 1

Sa seryeng ito ng mga artikulo, kapag pinag-uusapan ko ang tungkol sa mga firewall, ang ibig kong sabihin NGFW.

Pangungusap 2

Inalis ko ang pagsasaalang-alang sa iba't ibang uri ng L2/L1 o overlay ng L2 sa mga solusyon sa L3 na kinakailangan upang matiyak ang pagkakakonekta ng L1/L2 at limitahan lamang ang aking sarili sa mga isyu sa antas ng L3 at mas mataas. Bahagyang, L1/L2 isyu ay tinalakay sa kabanata "Paglilinis at Dokumentasyon".

Kung wala kang nakitang firewall sa segment na ito, hindi ka dapat magmadali sa mga konklusyon.

Gawin natin ang katulad ng sa naunang bahagiMagsimula tayo sa tanong: kailangan bang gumamit ng firewall sa segment na ito sa iyong kaso?

Masasabi kong ito ang tila pinaka-makatwirang lugar para gumamit ng mga firewall at maglapat ng mga kumplikadong algorithm sa pag-filter ng trapiko. SA Mga bahagi ng 1 Nagbanggit kami ng 4 na salik na maaaring makagambala sa paggamit ng mga firewall sa segment ng data center. Ngunit narito ang mga ito ay hindi na masyadong makabuluhan.

Halimbawa 1. Pag-antala

Kung tungkol sa Internet, walang saysay na pag-usapan ang tungkol sa mga pagkaantala ng kahit halos 1 millisecond. Samakatuwid, ang pagkaantala sa segment na ito ay hindi maaaring maging salik na naglilimita sa paggamit ng firewall.

Halimbawa 2. Pagiging Produktibo

Sa ilang mga kaso, ang salik na ito ay maaaring makabuluhan pa rin. Samakatuwid, maaaring kailanganin mong payagan ang ilang trapiko (halimbawa, trapiko mula sa mga load balancer) na i-bypass ang firewall.

Halimbawa 3. Pagkamaaasahan

Ang salik na ito ay kailangan pa ring isaalang-alang, ngunit gayon pa man, dahil sa hindi pagiging maaasahan ng Internet mismo, ang kahalagahan nito para sa segment na ito ay hindi kasinghalaga ng para sa data center.

Kaya, ipagpalagay natin na ang iyong serbisyo ay nabubuhay sa ibabaw ng http/https (na may maiikling session). Sa kasong ito, maaari kang gumamit ng dalawang independyenteng kahon (walang HA) at kung may problema sa pagruruta sa isa sa mga ito, ilipat ang lahat ng trapiko sa pangalawa.

O maaari mong gamitin ang mga firewall sa transparent na mode at, kung mabigo ang mga ito, payagan ang trapiko na i-bypass ang firewall habang nilulutas ang problema.

Samakatuwid, malamang na lamang presyo maaaring ang kadahilanan na magpipilit sa iyo na iwanan ang paggamit ng mga firewall sa segment na ito.

Mahalaga!

May tukso na pagsamahin ang firewall na ito sa firewall ng data center (gumamit ng isang firewall para sa mga segment na ito). Ang solusyon ay, sa prinsipyo, posible, ngunit kailangan mong maunawaan iyon dahil Ang isang Internet Access firewall ay talagang nangunguna sa iyong depensa at "kumukuha" ng hindi bababa sa ilan sa mga nakakahamak na trapiko, kung gayon, siyempre, kailangan mong isaalang-alang ang mas mataas na panganib na ang firewall na ito ay hindi paganahin. Ibig sabihin, sa pamamagitan ng paggamit ng parehong mga device sa dalawang segment na ito, mababawasan mo nang malaki ang availability ng iyong segment ng data center.

Gaya ng dati, kailangan mong maunawaan na depende sa serbisyong ibinibigay ng kumpanya, ang disenyo ng segment na ito ay maaaring mag-iba nang malaki. Gaya ng nakasanayan, maaari kang pumili ng iba't ibang mga diskarte depende sa iyong mga kinakailangan.

Halimbawa

Kung isa kang content provider, na may CDN network (tingnan, halimbawa, serye ng mga artikulo), pagkatapos ay maaaring hindi mo gustong gumawa ng imprastraktura sa dose-dosenang o kahit na daan-daang mga punto ng presensya gamit ang magkahiwalay na mga device para sa pagruruta at pag-filter ng trapiko. Magiging mahal ito, at maaaring hindi na kailangan.

Para sa BGP hindi mo kailangang magkaroon ng mga dedikadong router, maaari kang gumamit ng mga open-source na tool tulad ng Quagga. Kaya marahil ang kailangan mo lang ay isang server o ilang mga server, isang switch at BGP.

Sa kasong ito, ang iyong server o ilang mga server ay maaaring gumanap ng papel na hindi lamang isang CDN server, kundi pati na rin ng isang router. Siyempre, marami pa ring mga detalye (gaya ng kung paano matiyak ang pagbabalanse), ngunit ito ay magagawa, at ito ay isang diskarte na matagumpay naming ginamit para sa isa sa aming mga kasosyo.

Maaari kang magkaroon ng ilang data center na may ganap na proteksyon (mga firewall, mga serbisyo sa proteksyon ng DDOS na ibinibigay ng iyong mga Internet provider) at dose-dosenang o daan-daang "pinasimple" na mga punto ng presensya na may mga L2 switch at server lamang.

Ngunit ano ang tungkol sa proteksyon sa kasong ito?

Tingnan natin, halimbawa, ang kamakailang sikat Pag-atake ng DDOS ng DNS Amplification. Ang panganib nito ay nakasalalay sa katotohanan na ang isang malaking halaga ng trapiko ay nabuo, na simpleng "barado" 100% ng lahat ng iyong mga uplink.

Ano ang mayroon tayo sa kaso ng ating disenyo.

  • kung gumagamit ka ng AnyCast, kung gayon ang trapiko ay ipinamamahagi sa pagitan ng iyong mga punto ng presensya. Kung ang iyong kabuuang bandwidth ay terabits, kung gayon ito mismo (gayunpaman, kamakailan ay may ilang mga pag-atake na may nakakahamak na trapiko sa pagkakasunud-sunod ng mga terabit) ay nagpoprotekta sa iyo mula sa "umaapaw" na mga uplink
  • Kung, gayunpaman, ang ilang mga uplink ay barado, pagkatapos ay alisin mo lamang ang site na ito mula sa serbisyo (itigil ang pag-advertise ng prefix)
  • maaari mo ring dagdagan ang bahagi ng trapiko na ipinadala mula sa iyong "buong" (at, nang naaayon, protektado) na mga sentro ng data, kaya inaalis ang isang makabuluhang bahagi ng nakakahamak na trapiko mula sa mga hindi protektadong punto ng presensya

At isa pang maliit na tala sa halimbawang ito. Kung nagpapadala ka ng sapat na trapiko sa pamamagitan ng mga IX, binabawasan din nito ang iyong kahinaan sa mga naturang pag-atake

Pagse-set up ng BGP

Mayroong dalawang paksa dito.

  • Pagkakakonekta
  • Pagse-set up ng BGP

Napag-usapan na namin ng kaunti ang tungkol sa koneksyon sa Mga bahagi ng 1. Ang punto ay upang matiyak na ang trapiko sa iyong mga customer ay sumusunod sa pinakamainam na landas. Bagama't ang optimality ay hindi palaging tungkol lamang sa latency, ang mababang latency ay kadalasang pangunahing indicator ng optimality. Para sa ilang kumpanya ito ay mas mahalaga, para sa iba ay mas kaunti. Ang lahat ay nakasalalay sa serbisyong ibinibigay mo.

halimbawa 1

Kung ikaw ay isang palitan, at ang mga agwat ng oras na mas mababa sa millisecond ay mahalaga sa iyong mga kliyente, kung gayon, siyempre, hindi maaaring pag-usapan ang anumang uri ng Internet.

halimbawa 2

Kung ikaw ay isang kumpanya ng paglalaro at sampu-sampung millisecond ay mahalaga sa iyo, kung gayon, siyempre, ang pagkakakonekta ay napakahalaga sa iyo.

halimbawa 3

Kailangan mo ring maunawaan na, dahil sa mga katangian ng TCP protocol, ang data transfer rate sa loob ng isang TCP session ay nakadepende rin sa RTT (Round Trip Time). Ginagawa rin ang mga network ng CDN upang malutas ang problemang ito sa pamamagitan ng paglipat ng mga server ng pamamahagi ng nilalaman na mas malapit sa mamimili ng nilalamang ito.

Ang pag-aaral ng koneksyon ay isang kawili-wiling paksa sa sarili nitong karapatan, karapat-dapat sa sarili nitong artikulo o serye ng mga artikulo, at nangangailangan ng mahusay na pag-unawa sa kung paano "gumagana" ang Internet.

Mga kapaki-pakinabang na mapagkukunan:

hinog.net
bgp.he.net

Halimbawa

Magbibigay lang ako ng isang maliit na halimbawa.

Ipagpalagay natin na ang iyong data center ay matatagpuan sa Moscow, at mayroon kang isang uplink - Rostelecom (AS12389). Sa kasong ito (single homed) hindi mo kailangan ng BGP, at malamang na ginagamit mo ang address pool mula sa Rostelecom bilang mga pampublikong address.

Ipagpalagay natin na nagbibigay ka ng isang tiyak na serbisyo, at mayroon kang sapat na bilang ng mga kliyente mula sa Ukraine, at nagrereklamo sila tungkol sa mahabang pagkaantala. Sa iyong pananaliksik, nalaman mo na ang mga IP address ng ilan sa mga ito ay nasa 37.52.0.0/21 grid.

Sa pamamagitan ng pagpapatakbo ng traceroute, nakita mong dumadaan ang trapiko sa AS1299 (Telia), at sa pamamagitan ng pagpapatakbo ng ping, nakakuha ka ng average na RTT na 70 - 80 millisecond. Maaari mo ring makita ito sa naghahanap ng salamin Rostelecom.

Gamit ang whois utility (sa ripe.net o isang lokal na utility), madali mong matukoy na ang block 37.52.0.0/21 ay kabilang sa AS6849 (Ukrtelecom).

Susunod, sa pamamagitan ng pagpunta sa bgp.he.net nakikita mo na ang AS6849 ay walang kaugnayan sa AS12389 (hindi sila mga kliyente o mga uplink sa isa't isa, at wala rin silang peering). Pero kung titingnan mo listahan ng mga kapantay para sa AS6849, makikita mo, halimbawa, AS29226 (Mastertel) at AS31133 (Megafon).

Kapag nahanap mo na ang looking glass ng mga provider na ito, maaari mong ihambing ang path at RTT. Halimbawa, para sa Mastertel RTT ay magiging mga 30 milliseconds.

Kaya, kung ang pagkakaiba sa pagitan ng 80 at 30 millisecond ay makabuluhan para sa iyong serbisyo, marahil ay kailangan mong pag-isipan ang tungkol sa pagkakakonekta, kunin ang iyong AS number, ang iyong address pool mula sa RIPE at ikonekta ang mga karagdagang uplink at/o lumikha ng mga punto ng presensya sa mga IX.

Kapag gumamit ka ng BGP, hindi ka lamang magkakaroon ng pagkakataon na mapabuti ang pagkakakonekta, ngunit paulit-ulit mo ring pinapanatili ang iyong koneksyon sa Internet.

Ang dokumentong ito naglalaman ng mga rekomendasyon para sa pag-configure ng BGP. Sa kabila ng katotohanan na ang mga rekomendasyong ito ay binuo batay sa "pinakamahusay na kasanayan" ng mga provider, pa rin (kung ang iyong mga setting ng BGP ay hindi masyadong basic) ang mga ito ay walang alinlangan na kapaki-pakinabang at sa katunayan ay dapat na bahagi ng hardening na aming tinalakay sa ang unang bahagi.

Proteksyon ng DOS/DDOS

Ngayon ang mga pag-atake ng DOS/DDOS ay naging pang-araw-araw na katotohanan para sa maraming kumpanya. Sa katunayan, madalas kang inaatake sa isang anyo o iba pa. Ang katotohanan na hindi mo pa ito napapansin ay nangangahulugan lamang na ang isang naka-target na pag-atake ay hindi pa naayos laban sa iyo, at ang mga tool sa proteksyon na ginagamit mo, kahit na hindi mo alam (iba't ibang built-in na proteksyon ng mga operating system), sapat na upang tiyaking mababawasan ang pagkasira ng serbisyong ibinigay para sa iyo at sa iyong mga kliyente.

May mga mapagkukunan sa Internet na, batay sa mga log ng kagamitan, gumuhit ng magagandang mga mapa ng pag-atake sa real time.

Dito makakahanap ka ng mga link sa kanila.

Aking paboritong mapa mula sa CheckPoint.

Ang proteksyon laban sa DDOS/DOS ay karaniwang layered. Upang maunawaan kung bakit, kailangan mong maunawaan kung anong mga uri ng pag-atake ng DOS/DDOS ang umiiral (tingnan, halimbawa, dito o dito)

Ibig sabihin, mayroon tayong tatlong uri ng pag-atake:

  • volumetric na pag-atake
  • pag-atake ng protocol
  • pag-atake ng application

Kung maaari mong protektahan ang iyong sarili mula sa huling dalawang uri ng pag-atake gamit ang, halimbawa, mga firewall, kung gayon hindi mo mapoprotektahan ang iyong sarili mula sa mga pag-atake na naglalayong "malaki" ang iyong mga uplink (siyempre, kung ang iyong kabuuang kapasidad ng mga channel sa Internet ay hindi kinakalkula sa terabits, o mas mabuti pa, sa sampu-sampung terabit).

Samakatuwid, ang unang linya ng depensa ay proteksyon laban sa mga "volumetric" na pag-atake, at dapat ibigay ng iyong provider o provider ang proteksyong ito sa iyo. Kung hindi mo pa ito napagtanto, swerte ka lang sa ngayon.

Halimbawa

Sabihin nating mayroon kang ilang mga uplink, ngunit isa lamang sa mga provider ang makakapagbigay sa iyo ng proteksyong ito. Ngunit kung ang lahat ng trapiko ay dumaan sa isang provider, paano naman ang pagkakakonekta na maikling tinalakay natin kanina?

Sa kasong ito, kakailanganin mong bahagyang isakripisyo ang koneksyon sa panahon ng pag-atake. Pero

  • ito ay para lamang sa tagal ng pag-atake. Sa kaganapan ng isang pag-atake, maaari mong manu-mano o awtomatikong i-reconfigure ang BGP upang ang trapiko ay dumaan lamang sa provider na nagbibigay sa iyo ng "payong". Pagkatapos ng pag-atake, maaari mong ibalik ang pagruruta sa dati nitong estado
  • Hindi kinakailangang ilipat ang lahat ng trapiko. Kung, halimbawa, nakita mong walang mga pag-atake sa pamamagitan ng ilang mga uplink o mga peering (o hindi makabuluhan ang trapiko), maaari kang magpatuloy sa pag-advertise ng mga prefix na may mapagkumpitensyang katangian patungo sa mga kapitbahay na ito ng BGP.

Maaari mo ring italaga ang proteksyon mula sa "mga pag-atake sa protocol" at "mga pag-atake ng application" sa iyong mga kasosyo.
Dito dito makakabasa ka ng magandang pag-aaral (pagsasalin). Totoo, ang artikulo ay dalawang taong gulang, ngunit ito ay magbibigay sa iyo ng ideya ng mga diskarte kung paano mo mapoprotektahan ang iyong sarili mula sa mga pag-atake ng DDOS.

Sa prinsipyo, maaari mong limitahan ang iyong sarili dito, ganap na i-outsourcing ang iyong proteksyon. May mga pakinabang sa desisyong ito, ngunit mayroon ding malinaw na kawalan. Ang katotohanan ay maaari nating pag-usapan (muli, depende sa kung ano ang ginagawa ng iyong kumpanya) tungkol sa kaligtasan ng negosyo. At magtiwala sa mga ganitong bagay sa mga third party...

Samakatuwid, tingnan natin kung paano ayusin ang pangalawa at pangatlong linya ng depensa (bilang karagdagan sa proteksyon mula sa provider).

Kaya, ang pangalawang linya ng depensa ay ang pag-filter at mga limiter ng trapiko (mga pulis) sa pasukan sa iyong network.

halimbawa 1

Ipagpalagay natin na tinakpan mo ang iyong sarili ng payong laban sa DDOS sa tulong ng isa sa mga provider. Ipagpalagay natin na ang provider na ito ay gumagamit ng Arbor upang i-filter ang trapiko at mga filter sa gilid ng network nito.

Ang bandwidth na maaaring "iproseso" ng Arbor ay limitado, at ang provider, siyempre, ay hindi maaaring patuloy na makapasa sa trapiko ng lahat ng mga kasosyo nito na nag-order ng serbisyong ito sa pamamagitan ng kagamitan sa pag-filter. Samakatuwid, sa ilalim ng normal na mga kondisyon, ang trapiko ay hindi na-filter.

Ipagpalagay natin na mayroong SYN flood attack. Kahit na nag-order ka ng isang serbisyo na awtomatikong inililipat ang trapiko sa pag-filter sa kaganapan ng isang pag-atake, hindi ito nangyayari kaagad. Sa loob ng isang minuto o higit pa, mananatili kang inaatake. At ito ay maaaring humantong sa pagkabigo ng iyong kagamitan o pagkasira ng serbisyo. Sa kasong ito, ang paglilimita sa trapiko sa gilid na pagruruta, bagama't hahantong ito sa katotohanan na ang ilang TCP session ay hindi maitatag sa panahong ito, ay magliligtas sa iyong imprastraktura mula sa mas malalaking problema.

halimbawa 2

Ang isang abnormal na malaking bilang ng mga SYN packet ay maaaring hindi lamang resulta ng isang SYN flood attack. Ipagpalagay natin na nagbibigay ka ng serbisyo kung saan maaari kang magkaroon ng halos 100 libong TCP na koneksyon (sa isang data center) nang sabay-sabay.

Sabihin natin na bilang resulta ng isang panandaliang problema sa isa sa iyong pangunahing provider, kalahati ng iyong mga session ay sinipa. Kung ang iyong aplikasyon ay idinisenyo sa paraang, nang hindi nag-iisip nang dalawang beses, ito kaagad (o pagkatapos ng ilang agwat ng oras na pareho para sa lahat ng mga sesyon) ay sumusubok na muling itatag ang koneksyon, pagkatapos ay makakatanggap ka ng hindi bababa sa 50 libong SYN packet na humigit-kumulang sabay-sabay.

Kung, halimbawa, kailangan mong magpatakbo ng ssl/tls handshake sa ibabaw ng mga session na ito, na kinabibilangan ng pagpapalitan ng mga certificate, kung gayon mula sa punto ng view ng pag-ubos ng mga mapagkukunan para sa iyong load balancer, ito ay magiging mas malakas na "DDOS" kaysa sa isang simpleng SYN baha. Mukhang ang mga balancer ang dapat humawak sa mga ganitong kaganapan, ngunit... sa kasamaang palad, tayo ay nahaharap sa ganoong problema.

At, siyempre, ang isang pulis sa gilid ng router ay magse-save din ng iyong kagamitan sa kasong ito.

Ang ikatlong antas ng proteksyon laban sa DDOS/DOS ay ang iyong mga setting ng firewall.

Dito maaari mong ihinto ang parehong pag-atake ng pangalawa at pangatlong uri. Sa pangkalahatan, lahat ng bagay na umabot sa firewall ay maaaring i-filter dito.

Payo

Subukang bigyan ang firewall ng kaunting trabaho hangga't maaari, i-filter out hangga't maaari sa unang dalawang linya ng depensa. At dahil jan.

Nangyari na ba sa iyo na kung nagkataon, habang lumilikha ng trapiko upang suriin, halimbawa, kung gaano lumalaban ang operating system ng iyong mga server sa mga pag-atake ng DDOS, "pinatay" mo ang iyong firewall, nilo-load ito sa 100 porsiyento, na may trapiko sa normal na intensity ? Kung hindi, marahil ito ay dahil lamang sa hindi mo sinubukan?

Sa pangkalahatan, ang isang firewall, gaya ng sinabi ko, ay isang kumplikadong bagay, at ito ay gumagana nang maayos sa mga kilalang kahinaan at nasubok na mga solusyon, ngunit kung magpadala ka ng isang bagay na hindi karaniwan, ilang basura o packet na may hindi tamang mga header, kung gayon ikaw ay kasama ng ilan, hindi Kasama tulad ng isang maliit na posibilidad (batay sa aking karanasan), maaari mong stupefy kahit top-end na kagamitan. Samakatuwid, sa yugto 2, gamit ang mga regular na ACL (sa antas ng L3/L4), payagan lamang ang trapiko sa iyong network na dapat pumasok doon.

Pag-filter ng trapiko sa firewall

Ipagpatuloy natin ang pag-uusap tungkol sa firewall. Kailangan mong maunawaan na ang mga pag-atake ng DOS/DDOS ay isang uri lamang ng cyber attack.

Bilang karagdagan sa proteksyon ng DOS/DDOS, maaari rin tayong magkaroon ng isang bagay tulad ng sumusunod na listahan ng mga feature:

  • firewall ng application
  • pag-iwas sa pagbabanta (antivirus, anti-spyware, at kahinaan)
  • Pag-filter ng URL
  • pag-filter ng data (pag-filter ng nilalaman)
  • pagharang ng file (pag-block ng mga uri ng file)

Nasa sa iyo na magpasya kung ano ang kailangan mo mula sa listahang ito.

Itutuloy

Pinagmulan: www.habr.com

Magdagdag ng komento