主持人 > 博客 > 管理 > 如何控制您的網路基礎架構。 第三章。 網路安全。 第二部分

如何控制您的網路基礎架構。 第三章。 網路安全。 第二部分

本文是「如何控製網路基礎設施」系列的第四篇文章。 此系列所有文章內容及連結均可找到 這裡.

В 第一部分 在本章中,我們研究了資料中心領域網路安全的某些方面。 這一部分將專門討論「網路存取」部分。

如何控制您的網路基礎架構。 第三章。 網路安全。 第二部分

互聯網接入

安全主題無疑是資料網路領域最複雜的主題之一。 與先前的案例一樣,在不要求深度和完整性的情況下,我將在這裡考慮非常簡單但在我看來重要的問題,我希望這些問題的答案將有助於提高網路的安全性。

在審計該段時,應注意以下幾個方面:

  • 設計
  • BGP 設定
  • DOS/DDOS防護
  • 防火牆上的流量過濾

設計

作為企業網路此部分的設計範例,我建議 領導 來自思科內部 安全型號.

當然,也許其他供應商的解決方案對您來說似乎更有吸引力(請參閱。 2018 年 Gartner 象限),但在不鼓勵您詳細遵循此設計的情況下,我仍然發現了解背後的原理和想法很有用。

備註

在SAFE中,「遠端存取」部分是「網路存取」部分的一部分。 但在本系列文章中我們將單獨考慮它。

企業網路此部分的標準設備集是

  • 邊界路由器
  • 防火牆

註1

在本系列文章中,當我談論防火牆時,我的意思是 下一代防火牆.

註2

我忽略了確保 L2/L1 連接所需的各種 L2/L3 或覆蓋 L1 到 L2 解決方案的考慮,並將自己僅限於 L3 級別及以上級別的問題。 部分地,L1/L2 問題在章節“清潔和記錄“。

如果您在該網段中沒有發現防火牆,那麼您不應該急於下結論。

讓我們做同樣的事 前一部分讓我們從一個問題開始:在您的情況下,該網段是否有必要使用防火牆?

我可以說,這似乎是最合理使用防火牆和應用複雜流量過濾演算法的地方。 在 第1部分 我們提到了 4 個可能幹擾資料中心部分使用防火牆的因素。 但在這裡它們不再那麼重要了。

例如1。 延遲

就網路而言,談論哪怕1毫秒左右的延遲都是沒有意義的。 因此,該網段的延遲不能成為限制防火牆使用的因素。

例如2。 Производительность

在某些情況下,這個因素可能仍然很重要。 因此,您可能必須允許某些流量(例如,來自負載平衡器的流量)繞過防火牆。

例如3。 可靠性

這個因素仍然需要考慮,但考慮到互聯網本身的不可靠性,它對這一領域的重要性並不像對資料中心那麼重要。

因此,我們假設您的服務位於 http/https 之上(具有短會話)。 在這種情況下,您可以使用兩個獨立的盒子(沒有 HA),如果其中一個盒子有路由問題,則將所有流量轉移到第二個盒子。

或者,您可以在透明模式下使用防火牆,如果防火牆失敗,則允許流量繞過防火牆,同時解決問題。

因此,很可能只是 價格 可能是迫使您放棄在該段使用防火牆的因素。

重要的信息!

人們傾向於將此防火牆與資料中心防火牆結合(對這些網段使用一個防火牆)。 原則上,該解決方案是可能的,但您需要了解這一點,因為網路存取防火牆實際上處於您防禦的最前沿,並「承擔」至少一些惡意流量,那麼,當然,您需要考慮該防火牆被禁用的增加的風險。 也就是說,透過在這兩個部分使用相同的設備,您將顯著降低資料中心部分的可用性。

像往常一樣,您需要了解,根據公司提供的服務,該部分的設計可能會有很大差異。 像往常一樣,您可以根據您的要求選擇不同的方法。

例子

如果您是內容提供者,擁有 CDN 網路(例如, 系列文章),那麼您可能不希望使用單獨的設備來路由和過濾流量,跨數十個甚至數百個存在點創建基礎設施。 它會很昂貴,而且可能根本沒有必要。

對於 BGP,您不一定必須擁有專用路由器,您可以使用開源工具,例如 斑驢。 因此,也許您所需要的只是一台或多台伺服器、一台交換器和 BGP。

這樣的話,你的伺服器或幾台伺服器不只可以起到CDN伺服器的作用,還可以起到路由器的作用。 當然,還有很多細節(例如如何確保平衡),但這是可行的,而且這是我們已經為我們的一個合作夥伴成功使用的一種方法。

您可以擁有多個具有全面保護的資料中心(防火牆、網際網路供應商提供的 DDOS 保護服務)以及數十或數百個僅具有 L2 交換器和伺服器的「簡化」存在點。

但在這種情況下,保護又如何呢?

例如,我們來看看最近流行的 DNS放大DDOS攻擊。 它的危險在於會產生大量流量,這只會「堵塞」您所有上行鏈路的 100%。

就我們的設計而言,我們有什麼。

  • 如果您使用 AnyCast,則流量會在您的存取點之間指派。 如果您的總頻寬為太比特,那麼這本身實際上(但是,最近發生了幾次惡意流量達到太比特數量級的攻擊)可以保護您免受「溢出」上行鏈路的影響
  • 但是,如果某些上行鏈路被阻塞,那麼您只需從服務中刪除該網站(停止廣告前綴)
  • 您還可以增加從「完整」(相應地受保護的)資料中心發送的流量份額,從而消除來自未受保護的存在點的大部分惡意流量

對於這個例子還有一個小註解。 如果您透過 IX 發送足夠的流量,那麼這也會減少您遭受此類攻擊的脆弱性

設定 BGP

這裡有兩個話題。

  • 連接性
  • 設定 BGP

我們已經討論過一些關於連結性的問題 第1部分。 關鍵是要確保客戶的流量遵循最佳路徑。 儘管最優性並不總是僅僅與延遲有關,但低延遲通常是最優性的主要指標。 對某些公司來說,這一點更為重要,而對另一些公司來說,則不那麼重要。 這一切都取決於您提供的服務。

例如1

如果您是一家交易所,並且小於毫秒的時間間隔對您的客戶很重要,那麼當然根本沒有談論任何類型的網路。

例如2

如果你是一家遊戲公司,幾十毫秒對你來說很重要,那麼,當然,連結性對你來說也非常重要。

例如3

您還需要了解,由於 TCP 協定的特性,一個 TCP 會話內的資料傳輸速率也取決於 RTT(往返時間)。 CDN 網路也正在建設中,透過將內容分發伺服器移至更靠近內容消費者的位置來解決此問題。

連結性研究本身就是一個有趣的話題,值得單獨撰寫一篇文章或一系列文章,並且需要充分理解網路的「運作方式」。

有用的資源:

ripe.net
bgp.he.net

例子

我只舉一個小例子。

假設您的資料中心位於莫斯科,並且您有一個上行鏈路 - Rostelecom (AS12389)。 在這種情況下(單宿主),您不需要 BGP,而且您很可能會使用 Rostelecom 的位址池作為公共位址。

假設您提供某種服務,並且您有足夠數量的來自烏克蘭的客戶,並且他們抱怨長時間的延誤。 在您的研究過程中,您發現其中一些IP位址位於37.52.0.0/21網格中。

透過執行追蹤路由,您看到流量正在通過 AS1299 (Telia),透過執行 ping,您得到的平均 RTT 為 70 - 80 毫秒。 您也可以在以下位置查看此內容 鏡子 Rostelecom.

使用 whois 實用程式(在ripe.net 或本機實用程式上),您可以輕鬆確定區塊37.52.0.0/21 屬於AS6849 (Ukrtelecom)。

接下來,透過轉到 bgp.he.net 您會看到 AS6849 與 AS12389 沒有關係(它們既不是客戶端,也不是彼此的上行鏈路,也沒有對等互連)。 但如果你看看 同行名單 例如,對於 AS6849,您將看到 AS29226 (Mastertel) 和 AS31133 (Megafon)。

一旦您找到這些提供者的鏡子,您就可以比較路徑和 RTT。 例如,Mastertel RTT 約為 30 毫秒。

因此,如果80 毫秒和30 毫秒之間的差異對於您的服務來說很重要,那麼您可能需要考慮連接性,從RIPE 取得AS 編號和位址池,並連接其他上行鏈路和/或在IX 上建立存在點。

使用 BGP 時,您不僅有機會改善連接性,而且還可以冗餘地維護 Internet 連線。

這個文件 包含配置 BGP 的建議。 儘管這些建議是根據提供者的「最佳實踐」制定的,但(如果您的 BGP 設定不是很基本)它們無疑是有用的,而且實際上應該成為我們在 第一部分.

DOS/DDOS防護

現在,DOS/DDOS 攻擊已成為許多公司的日常現實。 事實上,您經常受到某種形式的攻擊。 事實上,您還沒有註意到這一點,這僅意味著還沒有針對您組織有針對性的攻擊,並且您使用的保護措施(甚至可能在不知情的情況下)(操作系統的各種內建保護)足以確保為您和您的客戶最大限度地減少所提供服務的品質下降。

有一些網路資源可以根據設備日誌即時繪製漂亮的攻擊圖。

這裡 您可以找到它們的連結。

我的最愛 地圖 來自檢查點。

針對 DDOS/DOS 的防護通常是分層的。 若要了解原因,您需要了解存在哪些類型的 DOS/DDOS 攻擊(例如,請參閱 這裡 這裡)

也就是說,我們有三種類型的攻擊:

  • 體積攻擊
  • 協定攻擊
  • 應用程式攻擊

如果您可以使用防火牆等方式保護自己免受後兩種類型的攻擊,那麼您就無法保護自己免受旨在「壓倒」上行鏈路的攻擊(當然,如果您的網路通道總容量不是以太位元為單位計算的,或者更好,以數十太比特為單位)。

因此,第一道防線是防止“容量攻擊”,您的提供者必須為您提供這種保護。 如果你還沒有意識到這一點,那麼你現在很幸運。

例子

假設您有多個上行鏈路,但只有一個提供者可以為您提供這種保護。 但是,如果所有流量都經過一個提供商,那麼我們之前簡要討論過的連接性又如何呢?

在這種情況下,您將不得不在攻擊期間犧牲部分連接。 但

  • 這僅適用於攻擊持續時間。 如果發生攻擊,您可以手動或自動重新配置 BGP,以便流量僅透過為您提供「保護傘」的提供者。 攻擊結束後,可以將路由恢復到先前的狀態
  • 沒有必要轉移所有流量。 例如,如果您發現某些上行鏈路或對等互連沒有發生攻擊(或流量不大),則可以繼續向這些 BGP 鄰居通告具有競爭屬性的前綴。

您也可以將「協定攻擊」和「應用程式攻擊」的保護委託給您的合作夥伴。
這裡 這裡 你可以閱讀一篇很好的研究(翻譯)。 誠然,這篇文章已有兩年歷史,但它會讓您了解如何保護自己免受 DDOS 攻擊。

原則上,您可以將自己限制於此,完全外包您的保護。 這個決定有優點,但也有一個明顯的缺點。 事實上,我們可以談論(同樣,這取決於您的公司做什麼)企業的生存。 並將這些事情信任給第三者......

因此,讓我們看看如何組織第二道和第三道防線(作為提供者保護的補充)。

因此,第二道防線是網路入口處的過濾和流量限制器(監管器)。

例如1

假設您在其中一個提供者的幫助下為自己提供了抵禦 DDOS 的保護傘。 我們假設該提供者使用 Arbor 來過濾流量並在其網路邊緣進行過濾。

Arbor能夠「處理」的頻寬是有限的,提供者當然不可能不斷地透過過濾設備傳遞所有訂購此服務的合作夥伴的流量。 因此,正常情況下,流量不會被過濾。

我們假設存在 SYN 洪水攻擊。 即使您訂購了在發生攻擊時自動將流量切換到過濾的服務,這種情況也不會立即發生。 在一分鐘或更長時間內,您仍然受到攻擊。 這可能會導致您的設備故障或服務品質下降。 在這種情況下,限制邊緣路由的流量雖然會導致在此期間無法建立某些 TCP 會話,但可以使您的基礎架構免於更大規模的問題。

例如2

異常大量的 SYN 封包可能不僅僅是 SYN Flood 攻擊造成的。 假設您提供的服務可以同時擁有約 100 萬個 TCP 連線(到一個資料中心)。

假設由於您的主要提供者之一出現短期問題,您一半的會話被踢掉。 如果您的應用程式的設計方式是,不假思索地立即(或在所有會話都相同的一段時間間隔後)嘗試重新建立連接,那麼您將收到大約至少 50 個 SYN 資料包同時地。

例如,如果您必須在這些會話之上運行ssl/tls 握手(其中涉及交換證書),那麼從耗盡負載平衡器資源的角度來看,這將是比簡單的“DDOS”更強的“DDOS” . SYN 洪水。 看起來平衡器應該要處理這樣的事件,但是......不幸的是,我們面臨這樣的問題。

當然,在這種情況下,邊緣路由器上的監管器也將拯救您的設備。

針對 DDOS/DOS 的第三級防護是防火牆設定。

在這裡您可以阻止第二種和第三種類型的攻擊。 一般來說,到達防火牆的所有內容都可以在這裡過濾。

評議會

盡量減少防火牆的工作量,盡可能過濾掉前兩道防線。 這就是原因。

您是否曾經遇到過這樣的情況:在生成流量以檢查(例如,伺服器作業系統對 DDOS 攻擊的抵抗力)時,您「殺死」了防火牆,將其加載到 100%,流量處於正常強度? 如果沒有,也許只是因為你還沒試過?

一般來說,正如我所說,防火牆是一個複雜的東西,它可以很好地處理已知的漏洞和經過測試的解決方案,但如果你發送一些不尋常的東西,只是一些垃圾或帶有不正確標頭的資料包,那麼你會遇到一些,而不是有這麼小的機率(根據我的經驗),連最高端的裝備都可以被麻痺。 因此,在第 2 階段,使用常規 ACL(在 L3/L4 層級),僅允許應進入那裡的流量進入您的網路。

在防火牆上過濾流量

讓我們繼續討論防火牆。 您需要了解 DOS/DDOS 攻擊只是網路攻擊的一種類型。

除了 DOS/DDOS 防護之外,我們還可以擁有以下功能:

  • 應用程式防火牆
  • 威脅預防(防毒、反間諜軟體和漏洞)
  • URL過濾
  • 數據過濾(內容過濾)
  • 文件阻止(文件類型阻止)

您可以從該清單中決定需要什麼。

待續

來源: www.habr.com

添加評論