ProHoster > Blog > Ma'muriyat > Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Ikkinchi qism

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Ikkinchi qism

Ushbu maqola "Tarmoq infratuzilmangizni qanday nazorat qilish kerak" turkumidagi to'rtinchi maqoladir. Seriyadagi barcha maqolalarning mazmuni va havolalarni topishingiz mumkin shu yerda.

В birinchi qism Ushbu bobda biz Data Center segmentida tarmoq xavfsizligining ba'zi jihatlarini ko'rib chiqdik. Ushbu qism "Internetga kirish" segmentiga bag'ishlangan.

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Ikkinchi qism

Internetga ulanish

Xavfsizlik mavzusi, shubhasiz, ma'lumotlar tarmoqlari olamidagi eng murakkab mavzulardan biridir. Oldingi holatlarda bo'lgani kabi, chuqurlik va to'liqlikni talab qilmasdan, men bu erda juda oddiy, ammo mening fikrimcha, muhim savollarni ko'rib chiqaman, ularning javoblari, umid qilamanki, sizning tarmog'ingiz xavfsizligi darajasini oshirishga yordam beradi.

Ushbu segmentni tekshirishda quyidagi jihatlarga e'tibor bering:

  • dizayni
  • BGP sozlamalari
  • DOS/DDOS himoyasi
  • xavfsizlik devorida trafikni filtrlash

dizayn

Korxona tarmog'i uchun ushbu segment dizayniga misol sifatida men tavsiya qilaman etakchilik ichida Cisco'dan SAFE modellari.

Albatta, boshqa sotuvchilarning echimi sizga yanada jozibador bo'lib tuyulishi mumkin (qarang. Gartner kvadranti 2018), lekin sizni ushbu dizaynga batafsil amal qilishga undamasdan, men uning ortidagi tamoyillar va g'oyalarni tushunishni foydali deb bilaman.

Eslatma:

SAFE-da "Remote Access" segmenti "Internetga kirish" segmentining bir qismidir. Ammo ushbu maqolalar seriyasida biz buni alohida ko'rib chiqamiz.

Korxona tarmog'i uchun ushbu segmentdagi standart uskunalar to'plami

  • chegara marshrutizatorlari
  • xavfsizlik devorlari

Izoh 1

Ushbu maqolalar seriyasida men xavfsizlik devorlari haqida gapirganda, men nazarda tutaman NGFW.

Izoh 2

Men L2/L1 ulanishini ta'minlash uchun zarur bo'lgan L2/L3 yoki L1 ustidagi L2 yechimlarining har xil turlarini ko'rib chiqmayapman va faqat L3 va undan yuqori darajadagi muammolar bilan cheklanaman. Qisman L1/L2 masalalari “bobda muhokama qilindi.Tozalash va hujjatlar".

Agar siz ushbu segmentda xavfsizlik devorini topmagan bo'lsangiz, unda xulosa chiqarishga shoshilmaslik kerak.

Keling, xuddi shunday qilaylik oldingi qismKeling, savol bilan boshlaylik: sizning holatingizda ushbu segmentda xavfsizlik devoridan foydalanish kerakmi?

Aytishim mumkinki, bu xavfsizlik devorlaridan foydalanish va trafikni filtrlashning murakkab algoritmlarini qo'llash uchun eng oqlangan joy. IN 1 -qism Ma'lumotlar markazi segmentida xavfsizlik devorlaridan foydalanishga xalaqit berishi mumkin bo'lgan 4 ta omilni aytib o'tdik. Ammo bu erda ular endi unchalik ahamiyatli emas.

Misol 1. Kechiktirish

Internetga kelsak, hatto taxminan 1 millisekundlik kechikishlar haqida gapirishning ma'nosi yo'q. Shuning uchun ushbu segmentdagi kechikish xavfsizlik devoridan foydalanishni cheklovchi omil bo'la olmaydi.

Misol 2. unumdorlik

Ba'zi hollarda bu omil hali ham muhim bo'lishi mumkin. Shuning uchun, xavfsizlik devorini chetlab o'tish uchun ba'zi trafik (masalan, yuk balanslagichlaridan kelgan trafik) ruxsat berishingiz kerak bo'lishi mumkin.

Misol 3. Ishonchlilik

Bu omil hali ham e'tiborga olinishi kerak, ammo shunga qaramay, Internetning o'zi ishonchsizligini hisobga olsak, uning ushbu segment uchun ahamiyati ma'lumotlar markazidagi kabi muhim emas.

Shunday qilib, sizning xizmatingiz http/https (qisqa seanslar bilan) ustida ishlaydi deb faraz qilaylik. Bunday holda, siz ikkita mustaqil qutini (HA holda) ishlatishingiz mumkin va ulardan biri bilan marshrutlash muammosi mavjud bo'lsa, barcha trafikni ikkinchisiga o'tkazing.

Yoki xavfsizlik devorlarini shaffof rejimda ishlatishingiz mumkin va agar ular muvaffaqiyatsiz bo'lsa, muammoni hal qilishda trafikni xavfsizlik devorini chetlab o'tishga ruxsat bering.

Shuning uchun, ehtimol, shunchaki narxlari ushbu segmentdagi xavfsizlik devorlaridan foydalanishdan voz kechishga majbur qiladigan omil bo'lishi mumkin.

Muhim!

Ushbu xavfsizlik devorini ma'lumotlar markazining xavfsizlik devori bilan birlashtirish vasvasasi mavjud (ushbu segmentlar uchun bitta xavfsizlik devoridan foydalaning). Yechim, printsipial jihatdan, mumkin, lekin buni tushunishingiz kerak, chunki Internetga kirish xavfsizlik devori aslida sizning himoyangizning birinchi qatorida turadi va hech bo'lmaganda zararli trafikning bir qismini "o'z zimmasiga oladi", keyin, albatta, ushbu xavfsizlik devori o'chirib qo'yilishi xavfini hisobga olishingiz kerak. Ya'ni, ushbu ikki segmentda bir xil qurilmalardan foydalanish orqali siz ma'lumotlar markazi segmentining mavjudligini sezilarli darajada kamaytirasiz.

Har doimgidek, kompaniya taqdim etayotgan xizmatga qarab, ushbu segmentning dizayni juda katta farq qilishi mumkinligini tushunishingiz kerak. Har doimgidek, sizning talablaringizga qarab turli yondashuvlarni tanlashingiz mumkin.

misol

Agar siz CDN tarmog'iga ega kontent provayderi bo'lsangiz (masalan, qarang: maqolalar turkumi), unda siz trafikni yo'naltirish va filtrlash uchun alohida qurilmalardan foydalangan holda o'nlab yoki hatto yuzlab mavjud nuqtalarda infratuzilma yaratishni xohlamasligingiz mumkin. Bu qimmat bo'ladi va bu shunchaki keraksiz bo'lishi mumkin.

BGP uchun maxsus marshrutizatorlarga ega bo'lishingiz shart emas, siz kabi ochiq manbali vositalardan foydalanishingiz mumkin Quagga. Shunday qilib, ehtimol sizga server yoki bir nechta serverlar, kalit va BGP kerak bo'ladi.

Bunday holda, sizning serveringiz yoki bir nechta serverlar nafaqat CDN-server, balki router ham rolini o'ynashi mumkin. Albatta, hali ko'p tafsilotlar mavjud (masalan, muvozanatni qanday ta'minlash kerak), lekin buni amalga oshirish mumkin va bu biz hamkorlarimizdan biri uchun muvaffaqiyatli qo'llagan yondashuv.

Sizda to'liq himoyalangan bir nechta ma'lumotlar markazlari (xavfsizlik devorlari, Internet-provayderlaringiz tomonidan taqdim etilgan DDOS himoyasi xizmatlari) va faqat L2 kalitlari va serverlari bilan o'nlab yoki yuzlab "soddalashtirilgan" mavjudlik nuqtalariga ega bo'lishingiz mumkin.

Ammo bu holatda himoya haqida nima deyish mumkin?

Keling, masalan, yaqinda mashhur bo'lganlarni ko'rib chiqaylik DNS Amplification DDOS hujumi. Uning xavfi shundaki, katta miqdordagi trafik hosil bo'ladi, bu sizning barcha ulanishlaringizning 100 foizini "yopib qo'yadi".

Bizning dizaynimizda nima bor.

  • Agar siz AnyCast-dan foydalansangiz, u holda trafik sizning mavjud nuqtalaringiz o'rtasida taqsimlanadi. Agar sizning umumiy o'tkazish qobiliyati terabit bo'lsa, bu o'z-o'zidan (ammo so'nggi paytlarda terabit darajasida zararli trafik bilan bir nechta hujumlar sodir bo'ldi) sizni "to'lib toshgan" yuqoriga ulanishlardan himoya qiladi.
  • Biroq, ba'zi yuqoriga ulanishlar tiqilib qolsa, siz shunchaki ushbu saytni xizmatdan olib tashlaysiz (prefiksni reklama qilishni to'xtating)
  • shuningdek, "to'liq" (va shunga mos ravishda himoyalangan) ma'lumotlar markazlaringizdan yuborilgan trafik ulushini oshirishingiz mumkin, shu bilan zararli trafikning muhim qismini himoyalanmagan mavjud nuqtalardan olib tashlashingiz mumkin.

Va bu misol uchun yana bir kichik eslatma. Agar siz IX orqali yetarlicha trafik yuborsangiz, bu sizning bunday hujumlarga nisbatan zaifligingizni ham kamaytiradi

BGP o'rnatilmoqda

Bu yerda ikkita mavzu bor.

  • Ulanish
  • BGP o'rnatilmoqda

Biz allaqachon ulanish haqida bir oz gaplashdik 1 -qism. Gap shundaki, mijozlaringizga trafik optimal yo'ldan borishini ta'minlash. Optimallik har doim ham faqat kechikish bilan bog'liq bo'lmasa-da, past kechikish odatda optimallikning asosiy ko'rsatkichidir. Ba'zi kompaniyalar uchun bu muhimroq, boshqalari uchun esa kamroq. Bularning barchasi siz ko'rsatadigan xizmatga bog'liq.

misol 1

Agar siz almashinuvchi bo'lsangiz va mijozlaringiz uchun millisekundlardan kamroq vaqt oralig'i muhim bo'lsa, unda, albatta, Internetning hech qanday turi haqida gap bo'lishi mumkin emas.

misol 2

Agar siz o'yin kompaniyasi bo'lsangiz va siz uchun o'nlab millisekundlar muhim bo'lsa, unda, albatta, ulanish siz uchun juda muhim.

misol 3

Bundan tashqari, TCP protokolining xususiyatlaridan kelib chiqqan holda, bitta TCP seansidagi ma'lumotlarni uzatish tezligi RTT (Round Trip Time) ga ham bog'liqligini tushunishingiz kerak. Kontentni tarqatish serverlarini ushbu kontentning iste'molchiga yaqinlashtirish orqali ushbu muammoni hal qilish uchun CDN tarmoqlari ham qurilmoqda.

Ulanishni o'rganish o'ziga xos qiziqarli mavzu bo'lib, o'z maqolasi yoki maqolalar turkumiga loyiqdir va Internet qanday "ishlashini" yaxshi tushunishni talab qiladi.

Foydali manbalar:

ripe.net
bgp.he.net

misol

Men faqat bitta kichik misol keltiraman.

Tasavvur qilaylik, sizning ma'lumotlar markazingiz Moskvada joylashgan va sizda bitta ulanish - Rostelecom (AS12389) mavjud. Bunday holda (yakka tartibdagi uy) sizga BGP kerak emas va siz Rostelekomning manzillar hovuzidan umumiy manzillar sifatida foydalanasiz.

Aytaylik, siz ma'lum bir xizmatni taqdim etasiz va sizda Ukrainadan etarli miqdordagi mijozlar bor va ular uzoq kechikishdan shikoyat qiladilar. Tadqiqotingiz davomida siz ulardan ba'zilarining IP manzillari 37.52.0.0/21 tarmog'ida ekanligini aniqladingiz.

Traceroute-ni ishga tushirish orqali siz trafik AS1299 (Telia) orqali ketayotganini ko'rdingiz va ping-ni ishga tushirish orqali siz o'rtacha 70-80 millisekundlik RTT-ga ega bo'ldingiz. Buni ham ko'rishingiz mumkin Rostelecom oynasi.

Whois yordam dasturidan (ripe.net saytida yoki mahalliy yordam dasturida) foydalanib, siz 37.52.0.0/21 bloki AS6849 (Ukrtelecom) ga tegishli ekanligini osongina aniqlashingiz mumkin.

Keyingi, borish orqali bgp.he.net siz AS6849 ning AS12389 bilan aloqasi yo'qligini ko'rasiz (ular na mijozlar, na bir-biriga bog'langan, na ularda tengdoshlar mavjud). Ammo qarasangiz tengdoshlar ro'yxati AS6849 uchun, masalan, AS29226 (Mastertel) va AS31133 (Megafon) ni ko'rasiz.

Ushbu provayderlarning oynasini topganingizdan so'ng, siz yo'l va RTT ni solishtirishingiz mumkin. Masalan, Mastertel RTT uchun taxminan 30 millisekund bo'ladi.

Shunday qilib, agar 80 va 30 millisekundlar orasidagi farq sizning xizmatingiz uchun muhim bo'lsa, ehtimol siz ulanish haqida o'ylashingiz, AS raqamingizni, RIPE-dan manzillar pulingizni olishingiz va qo'shimcha havolalarni ulashingiz va/yoki IX-larda mavjudligi nuqtalarini yaratishingiz kerak.

BGP-dan foydalanganda siz nafaqat ulanishni yaxshilash imkoniyatiga ega bo'lasiz, balki Internetga ulanishni ham ortiqcha ushlab turasiz.

Ushbu hujjat BGP ni sozlash bo'yicha tavsiyalarni o'z ichiga oladi. Ushbu tavsiyalar provayderlarning "eng yaxshi amaliyoti" asosida ishlab chiqilganiga qaramay (agar sizning BGP sozlamalaringiz juda oddiy bo'lmasa) ular shubhasiz foydalidir va aslida biz muhokama qilgan qattiqlashuvning bir qismi bo'lishi kerak. birinchi qism.

DOS/DDOS himoyasi

Endi DOS/DDOS hujumlari ko'plab kompaniyalar uchun kundalik haqiqatga aylandi. Darhaqiqat, sizga tez-tez u yoki bu shaklda hujum qilinadi. Siz buni hali sezmaganligingiz faqat sizga qarshi maqsadli hujum uyushtirilmaganligini va siz foydalanadigan himoya choralari, hatto buni bilmagan holda ham (operatsion tizimlarning turli xil o'rnatilgan himoyalari) etarli ekanligini anglatadi. Siz va mijozlaringiz uchun taqdim etilayotgan xizmatning yomonlashuvi minimallashtirilganligiga ishonch hosil qiling.

Uskunalar jurnallari asosida real vaqtda chiroyli hujum xaritalarini chizadigan Internet resurslari mavjud.

u ularga havolalarni topishingiz mumkin.

Mening sevimligim karta CheckPoint dan.

DDOS/DOS dan himoya odatda qatlamli bo'ladi. Buning sababini tushunish uchun DOS/DDOS hujumlarining qanday turlari mavjudligini tushunishingiz kerak (masalan, qarang: shu yerda yoki shu yerda)

Ya'ni, bizda uch turdagi hujumlar mavjud:

  • volumetrik hujumlar
  • protokol hujumlari
  • dastur hujumlari

Agar siz o'zingizni so'nggi ikki turdagi hujumlardan, masalan, xavfsizlik devorlari yordamida himoya qila olsangiz, u holda siz o'zingizni yuqoriga ulanishlaringizni "tortib yuborish" ga qaratilgan hujumlardan himoya qila olmaysiz (albatta, agar sizning Internet kanallarining umumiy sig'imi terabitlarda hisoblanmasa, yoki yaxshiroq, o'nlab terabitlarda).

Shuning uchun, birinchi mudofaa chizig'i "hajmli" hujumlardan himoyalanishdir va sizning provayderingiz yoki provayderlaringiz ushbu himoyani sizga taqdim etishlari kerak. Agar buni hali tushunmagan bo'lsangiz, demak, hozircha omadingiz bor.

misol

Aytaylik, sizda bir nechta yuqoriga ulanishlar mavjud, ammo provayderlardan faqat bittasi sizga bu himoyani taqdim etishi mumkin. Ammo agar barcha trafik bitta provayder orqali o'tsa, biz biroz oldinroq muhokama qilgan ulanish haqida nima deyish mumkin?

Bunday holda, siz hujum paytida ulanishni qisman qurbon qilishingiz kerak bo'ladi. Lekin

  • bu faqat hujumning davomiyligi uchun. Hujum sodir bo'lgan taqdirda, siz BGP-ni qo'lda yoki avtomatik ravishda qayta sozlashingiz mumkin, shunda trafik faqat sizni "soyabon" bilan ta'minlaydigan provayder orqali o'tadi. Hujum tugagandan so'ng, marshrutni avvalgi holatiga qaytarishingiz mumkin
  • Barcha trafikni o'tkazish shart emas. Agar, masalan, ba'zi bir yuqoriga ulanishlar yoki peerings orqali hujumlar yo'qligini ko'rsangiz (yoki trafik muhim emas), siz ushbu BGP qo'shnilariga nisbatan raqobatbardosh atributlarga ega prefikslarni reklama qilishni davom ettirishingiz mumkin.

Shuningdek, siz sheriklaringizga "protokol hujumlari" va "ilova hujumlari" dan himoyani topshirishingiz mumkin.
shu yerda shu yerda yaxshi o'qishni o'qishingiz mumkin (tarjima). To'g'ri, maqola ikki yoshga to'lgan, ammo bu sizga o'zingizni DDOS hujumlaridan qanday himoya qilish bo'yicha yondashuvlar haqida fikr beradi.

Printsipial jihatdan, siz o'zingizni himoyangizni butunlay autsorsing qilib, bu bilan cheklashingiz mumkin. Ushbu qarorning afzalliklari bor, ammo aniq bir kamchilik ham bor. Gap shundaki, biz biznesning omon qolishi haqida (yana sizning kompaniyangiz nima qilayotganiga qarab) gaplasha olamiz. Va bunday narsalarni uchinchi shaxslarga ishoning ...

Shuning uchun, keling, ikkinchi va uchinchi mudofaa chiziqlarini qanday tashkil qilishni ko'rib chiqaylik (provayderdan himoya qilish uchun qo'shimcha sifatida).

Shunday qilib, ikkinchi himoya chizig'i tarmoqqa kirishda filtrlash va trafikni cheklovchilar (politsiyachilar).

misol 1

Aytaylik, siz provayderlardan birining yordami bilan o'zingizni DDOS ga qarshi soyabon bilan qopladingiz. Faraz qilaylik, ushbu provayder o'z tarmog'ining chekkasidagi trafik va filtrlarni filtrlash uchun Arbor-dan foydalanadi.

Arborning "qayta ishlay oladigan" tarmoqli kengligi cheklangan va provayder, albatta, filtrlash uskunasi orqali ushbu xizmatga buyurtma bergan barcha sheriklarining trafigini doimiy ravishda o'tkazib yubora olmaydi. Shuning uchun normal sharoitda transport filtrlanmaydi.

Faraz qilaylik, SYN toshqin hujumi bor. Hujum sodir bo'lgan taqdirda trafikni avtomatik ravishda filtrlashga o'tkazadigan xizmatga buyurtma bergan bo'lsangiz ham, bu bir zumda sodir bo'lmaydi. Bir daqiqa yoki undan ko'proq vaqt davomida siz hujum ostida qolasiz. Va bu sizning uskunangizning ishdan chiqishiga yoki xizmatning yomonlashishiga olib kelishi mumkin. Bunday holda, chekka marshrutlashda trafikni cheklash, garchi bu vaqt ichida ba'zi TCP seanslari o'rnatilmasligiga olib kelsa ham, infratuzilmangizni kattaroq muammolardan qutqaradi.

misol 2

SYN paketlarining g'ayritabiiy darajada ko'pligi nafaqat SYN toshqin hujumining natijasi bo'lishi mumkin. Faraz qilaylik, siz bir vaqtning o'zida 100 mingga yaqin TCP ulanishiga ega bo'lishingiz mumkin bo'lgan xizmatni taqdim etasiz (bitta ma'lumotlar markaziga).

Aytaylik, sizning asosiy provayderlaringizdan biri bilan qisqa muddatli muammo natijasida seanslaringizning yarmi bekor qilindi. Agar sizning arizangiz ikki marta o'ylamasdan, darhol (yoki barcha seanslar uchun bir xil bo'lgan vaqt oralig'idan keyin) ulanishni qayta tiklashga harakat qiladigan tarzda ishlab chiqilgan bo'lsa, siz taxminan 50 ming SYN paketini olasiz. bir vaqtning o'zida.

Agar, masalan, sertifikat almashishni o'z ichiga olgan ushbu seanslar ustida ssl/tls handshake-ni ishga tushirishingiz kerak bo'lsa, u holda yuk balanslagichingiz uchun resurslarni yo'qotish nuqtai nazaridan, bu oddiy seanslarga qaraganda ancha kuchli "DDOS" bo'ladi. SYN toshqin. Balanschilar bunday hodisalarni hal qilishlari kerakdek tuyuladi, lekin... afsuski, biz shunday muammoga duch keldik.

Va, albatta, chekka marshrutizatordagi politsiyachi bu holatda ham sizning uskunangizni saqlab qoladi.

DDOS/DOS dan himoyalanishning uchinchi darajasi xavfsizlik devori sozlamalari hisoblanadi.

Bu erda siz ikkinchi va uchinchi turdagi hujumlarni to'xtatishingiz mumkin. Umuman olganda, xavfsizlik devoriga etib boradigan barcha narsalarni bu erda filtrlash mumkin.

kengash

Xavfsizlik devoriga iloji boricha kamroq ish berishga harakat qiling, himoyaning dastlabki ikki chizig'ida imkon qadar ko'proq filtrlang. Va shuning uchun ham.

Tasodifan, masalan, serverlaringizning operatsion tizimi DDOS hujumlariga qanchalik chidamliligini tekshirish uchun trafikni yaratish paytida siz xavfsizlik devoringizni "o'ldirganingiz", uni 100 foizga yuklaganingiz va trafik normal intensivlikda bo'lganmi? ? Agar yo'q bo'lsa, ehtimol siz sinab ko'rmaganingiz uchundir?

Umuman olganda, xavfsizlik devori, men aytganimdek, murakkab narsa bo'lib, u ma'lum zaifliklar va sinovdan o'tgan echimlar bilan yaxshi ishlaydi, lekin agar siz g'ayrioddiy narsalarni, shunchaki bir nechta axlatni yoki noto'g'ri sarlavhali paketlarni yuborsangiz, unda siz bilan emas, balki ba'zilari bilan birgasiz. Bunday kichik ehtimollik (mening tajribamga asoslanib), siz hatto eng yuqori darajadagi uskunani ham ahmoq qilishingiz mumkin. Shuning uchun, 2-bosqichda oddiy ACL-lardan foydalangan holda (L3/L4 darajasida) faqat tarmoqqa kirishi kerak bo'lgan trafikka ruxsat bering.

Xavfsizlik devorida trafikni filtrlash

Keling, xavfsizlik devori haqida suhbatni davom ettiramiz. DOS/DDOS hujumlari kiberhujumning faqat bir turi ekanligini tushunishingiz kerak.

DOS/DDOS himoyasiga qo'shimcha ravishda bizda quyidagi xususiyatlar ro'yxati ham bo'lishi mumkin:

  • dastur xavfsizlik devori
  • tahdidlarning oldini olish (antivirus, josuslarga qarshi dastur va zaiflik)
  • URLni filtrlash
  • ma'lumotlarni filtrlash (kontentni filtrlash)
  • fayllarni bloklash (fayl turlarini bloklash)

Ushbu ro'yxatdan o'zingizga nima kerakligini hal qilishingiz kerak.

Davomi bor

Manba: www.habr.com

a Izoh qo'shish