So übernehmen Sie die Netzwerkinfrastruktur. Kapitel drei Netzwerksicherheit Teil zwei

    Dieser Artikel ist der vierte Artikel einer Reihe von Artikeln zum Thema "So übernehmen Sie die Kontrolle über die Netzwerkinfrastruktur". Die Inhalte aller Artikel der Serie und Links finden Sie hier .

    Im ersten Teil dieses Kapitels haben wir einige Aspekte der Netzwerksicherheit des Data Center-Segments untersucht. Dieser Teil wird dem Segment "Internetzugang" gewidmet.

    Bild

    Internetzugang


    Sicherheit ist zweifellos eines der komplexesten Themen in der Welt der Datennetze. Wie in früheren Fällen werde ich hier, ohne die Tiefe und Vollständigkeit vorzugeben, recht einfache, aber meiner Meinung nach wichtige Fragen berücksichtigen, auf deren Antworten ich hoffe, dass das Sicherheitsniveau Ihres Netzwerks erhöht wird.

    Beachten Sie bei der Prüfung dieses Abschnitts die folgenden Aspekte:

    • das Design
    • BGP-Einstellungen
    • DOS / DDOS-Schutz
    • Firewall-Verkehrsfilterung

    Design


    Als Beispiel für das Design dieses Segments für ein Unternehmensnetzwerk würde ich einen Leitfaden von Cisco innerhalb des SAFE-Modells empfehlen .

    Natürlich wird Ihnen die Entscheidung anderer Anbieter vielleicht attraktiver erscheinen (siehe den Gartner-Quadranten für 2018 ), aber ohne Sie zu drängen, diesem Entwurf im Detail zu folgen, finde ich es immer noch nützlich, die zugrunde liegenden Prinzipien und Ideen zu verstehen.
    Hinweis

    In SAFE ist das Segment „Remote Access“ Teil von „Internet Access“. Aber in dieser Artikelserie werden wir es gesondert betrachten.
    Die Standardausrüstung in diesem Segment für ein Unternehmensnetzwerk (Unternehmensnetzwerk) ist

    • Grenzrouter (Grenzrouter)
    • Firewalls

    Anmerkung 1

    Wenn ich in dieser Artikelserie über Firewalls spreche , meine ich NGFW .
    Anmerkung 2

    Ich lasse die Berücksichtigung verschiedener Arten von L2 / L1 oder Überlagerung von L2 über L3-Lösungen, die für die Bereitstellung von L1 / L2-Konnektivität erforderlich sind, aus, und ich beschränke mich nur auf Fragen der Stufe L3 und höher. Teilweise wurden L1 / L2-Fragen im Kapitel „ Reinigung und Dokumentation “ angesprochen .
    Wenn Sie in diesem Segment keine Firewall gefunden haben, sollten Sie nicht zu schnellen Schlussfolgerungen gelangen.

    Lassen Sie uns, wie im vorherigen Teil , mit der Frage beginnen, ob in Ihrem Fall in diesem Segment eine Firewall erforderlich ist.

    Ich kann sagen, dass dies der geeignetste Ort für die Verwendung von Firewalls und für die Anwendung komplexer Verkehrsfilterungsalgorithmen ist. In Teil 1 haben wir vier Faktoren erwähnt, die die Verwendung von Firewalls im Rechenzentrumsegment verhindern können. Aber hier sind sie nicht so bedeutsam.
    Beispiel 1. Verzögerung

    In Bezug auf das Internet macht es keinen Sinn, über Verzögerungen zu sprechen, auch nicht um 1 Millisekunde. Daher kann die Verzögerung in diesem Segment kein Faktor sein, der die Verwendung der Firewall einschränkt.
    Beispiel 2. Leistung

    In einigen Fällen kann dieser Faktor immer noch von Bedeutung sein. Daher ist es möglich, dass Sie die Firewall umgehen müssen, indem Sie den Datenverkehr umgehen (z. B. Traffic Load Balancer).
    Beispiel 3. Zuverlässigkeit

    Dieser Faktor muss noch berücksichtigt werden, aber angesichts der Unzuverlässigkeit des Internets selbst ist seine Bedeutung für dieses Segment nicht so bedeutend wie für das Rechenzentrum.

    Nehmen wir an, Ihr Service läuft über http / https (mit kurzen Sitzungen). In diesem Fall können Sie zwei unabhängige Boxen (ohne HA) verwenden und im Falle eines Problems mit einer von ihnen den gesamten Datenverkehr durch Routing auf die zweite übertragen.

    Oder Sie können Firewalls im Transporter-Modus verwenden und wenn der Fehler nicht behoben werden kann, lassen Sie den Verkehr Firewalls umgehen.
    Daher ist es wahrscheinlicher, dass nur der Preis der Faktor sein kann, der Sie dazu zwingt, die Verwendung von Firewalls in diesem Segment aufzugeben.
    Es ist wichtig!

    Es ist verlockend, diese Firewall mit der Firewall des Rechenzentrums zu kombinieren (verwenden Sie eine Firewall für diese Segmente). Die Entscheidung ist grundsätzlich möglich, aber das muss man verstehen Die "Internet Access" -Firewall steht an vorderster Front Ihrer Verteidigung und "übernimmt" zumindest einen Teil des böswilligen Datenverkehrs. Dann müssen Sie natürlich das erhöhte Risiko berücksichtigen, dass diese Firewall deaktiviert wird. Wenn Sie in diesen beiden Segmenten dieselben Geräte verwenden, wird die Verfügbarkeit Ihres Datencentersegments erheblich reduziert.
    Wie üblich ist zu verstehen, dass dieses Segment je nach Dienstleistung unterschiedlich sein kann. Wie üblich können Sie je nach Ihren Anforderungen unterschiedliche Ansätze wählen.
    Beispiel

    Wenn Sie ein Inhaltsanbieter mit einem CDN-Netzwerk sind (siehe z. B. eine Reihe von Artikeln ), möchten Sie möglicherweise nicht Dutzende oder gar Hunderte von Infrastruktur-Präsenzpunkten mit separaten Geräten zum Routen und Filtern des Datenverkehrs erstellen. Es wird teuer und kann nur überflüssig sein.

    Für BGP müssen Sie gar keine dedizierten Router haben. Sie können Open-Source-Tools wie Quagga verwenden . Daher benötigen Sie vielleicht nur einen Server oder mehrere Server, einen Switch und einen BGP.

    In diesem Fall können Ihr Server oder mehrere Server nicht nur als CDN-Server, sondern auch als Router fungieren. Natürlich gibt es noch viele Details (z. B. wie Sie einen Ausgleich sicherstellen), aber das ist realisierbar, und wir haben diesen Ansatz erfolgreich bei einem unserer Partner angewandt.

    Sie können mehrere Rechenzentren mit vollem Schutz (Firewalls, DDOS-Schutzdienste, die von Ihren Internet-Providern bereitgestellt werden) und Dutzende oder Hunderte von „vereinfachten“ Präsenzpunkten mit nur L2-Switches und -Servern einrichten.

    Aber wie sieht es mit dem Schutz in diesem Fall aus?

    Betrachten wir zum Beispiel den kürzlich populären DDOS-Angriff der DNS-Verstärkung . Ihre Gefahr besteht darin, dass viel Verkehr erzeugt wird, der 100% aller Ihrer Uplinks "blockiert".

    Was haben wir im Fall unseres Designs.

    • Wenn Sie AnyCast verwenden, wird der Verkehr zwischen Ihren Präsenzpunkten verteilt. Wenn die Gesamtbandbreite von Ihnen Terabits ist, dann verhindert dies an sich (in der Tat gab es in letzter Zeit mehrere Angriffe mit böswilligem Datenverkehr der Terabit-Reihenfolge), dass Sie Uplinks überfluten
    • Wenn jedoch einige Uplinks „blockiert“ sind, nehmen Sie diese Site einfach außer Betrieb (stoppen Sie die Ankündigung des Präfixes).
    • Sie können auch den Anteil des Datenverkehrs erhöhen, der von Ihren "vollwertigen" (und dementsprechend geschützten) Datencentern gesendet wird, wodurch ein erheblicher Teil des schädlichen Datenverkehrs von ungeschützten Präsenzpunkten entfernt wird

    Und noch ein kleiner Hinweis zu diesem Beispiel. Wenn Sie über IXs genügend Datenverkehr haben, wird auch das Risiko solcher Angriffe verringert.

    BGP-Setup


    Hier gibt es zwei Themen.

    • Konnektivität
    • BGP-Setup

    Wir haben bereits in Teil 1 etwas über Konnektivität gesprochen . Unter dem Strich geht der Verkehr zu Ihren Kunden am besten. Bei der Optimalität geht es zwar nicht immer um Verzögerungen, aber in der Regel ist es die niedrige Latenz, die den Hauptindikator für die Optimalität darstellt. Für manche Unternehmen ist es wichtiger, für andere weniger. Es hängt alles von der Dienstleistung ab, die Sie anbieten.
    Beispiel 1

    Wenn Sie sich für einen Austausch entscheiden und Zeitintervalle von weniger als Millisekunden für Ihre Kunden wichtig sind, ist von einer Art Internet keine Rede.
    Beispiel 2

    Wenn Sie ein Gaming-Unternehmen sind und Dutzende Millisekunden für Sie wichtig sind, ist Konnektivität für Sie natürlich sehr wichtig.
    Beispiel 3

    Es ist auch zu verstehen, dass aufgrund der Eigenschaften des TCP-Protokolls die Datenübertragungsrate innerhalb einer TCP-Sitzung auch von RTT (Round Trip Time) abhängt. CDN-Netzwerke sind auch dazu ausgelegt, dieses Problem zu lösen, wodurch der Inhaltsverteilungsserver dem Verbraucher dieses Inhalts näher gebracht wird.
    Das Studium der Konnektivität ist ein separates interessantes Thema, das einen eigenen Artikel oder eine Artikelserie verdient und ein gutes Verständnis der Funktionsweise des Internets erfordert.

    Nützliche Ressourcen:

    reif.net
    bgp.he.net
    Ein Beispiel

    möchte ich nur ein kleines Beispiel geben.

    Angenommen, Ihr Rechenzentrum befindet sich in Moskau und Sie haben eine einzige Aufwärtsverbindung - Rostelecom (AS12389). In diesem Fall (single homed) benötigen Sie keinen BGP, und Sie verwenden den Adresspool von Rostelecom höchstwahrscheinlich als öffentliche Adressen.

    Angenommen, Sie bieten einen bestimmten Service an, und Sie haben eine ausreichende Anzahl von Kunden aus der Ukraine, und sie beschweren sich über große Verzögerungen. In der Studie haben Sie festgestellt, dass sich die IP-Adressen einiger von ihnen in der Tabelle 37.52.0.0/21 befinden.

    Durch das Ausführen von Traceroute haben Sie gesehen, dass der Datenverkehr durch AS1299 (Telia) ging, und durch Ping erhielten Sie eine durchschnittliche RTT von 70 - 80 Millisekunden. Sie können es auch auf Rostelecoms Spiegel sehen .

    Mit dem whois-Dienstprogramm (auf mature.net oder einem lokalen Dienstprogramm) können Sie leicht feststellen, dass der Block 37.52.0.0/21 zu AS6849 (Ukrtelecom) gehört.

    Weiter zu bgp.he.net sehen Sie, dass AS6849 keine Beziehungen zu AS12389 hat (sie sind weder Clients noch Uplinks untereinander, noch haben sie Peering). Wenn Sie sich jedoch die Liste der Peers für AS6849 ansehen, werden Sie beispielsweise AS29226 (Mastertel) und AS31133 (Megafon) sehen.

    Durch das Auffinden dieser Anbieter können Sie den Pfad und die RTT vergleichen. Für Mastertel beträgt die RTT beispielsweise etwa 30 Millisekunden.

    Wenn also der Unterschied zwischen 80 und 30 Millisekunden für Ihren Service unerlässlich ist, müssen Sie möglicherweise über Konnektivität nachdenken, Ihre AS-Nummer, Ihren Adresspool in RIPE erhalten und zusätzliche Uplinks hinzufügen und / oder Präferenzen auf IXs erstellen.

    Mit BGP haben Sie nicht nur die Möglichkeit, die Konnektivität zu verbessern, sondern reservieren auch Ihre Internetverbindung.

    Dieses Dokument enthält Richtlinien zur Konfiguration von BGP. Trotz der Tatsache, dass diese Empfehlungen auf der Grundlage der „Best Practices“ von Anbietern entwickelt wurden, sind sie (wenn Ihre BGP-Einstellungen nicht ganz einfach sind) zweifellos nützlich und sollten eigentlich Teil der im ersten Teil besprochenen Härtung sein .

    DOS / DDOS-Schutz


    Inzwischen sind DOS / DDOS-Angriffe für viele Unternehmen zur täglichen Realität geworden. In der einen oder anderen Form werden Sie ziemlich oft angegriffen. Die Tatsache, dass Sie dies noch nicht bemerken, zeigt nur, dass ein gezielter Angriff noch nicht gegen Sie organisiert wurde und dass die Schutzmittel, die Sie verwenden, auch ohne es zu wissen (verschiedene integrierte Schutzfunktionen für Betriebssysteme), genügen, um die Beeinträchtigung des angebotenen Dienstes für Sie und Ihre Kunden zu minimieren.

    Es gibt Internet-Ressourcen, die auf der Grundlage der Protokolle der Ausrüstung in Echtzeit wunderschöne Angriffskarten zeichnen.

    Hier finden Sie Links zu ihnen.

    Meine Lieblingskarte von CheckPoint.

    Der DDOS / DOS-Schutz ist normalerweise mehrschichtig. Um zu verstehen warum, müssen Sie wissen, welche Arten von DOS / DDOS-Angriffen existieren (siehe zum Beispiel hier oder hier ).

    Das heißt, es gibt drei Arten von Angriffen:

    • volumetrische Angriffe
    • Protokollangriffe
    • Anwendungsangriffe

    Wenn Sie sich beispielsweise mit Firewalls gegen die letzten beiden Arten von Angriffen wehren können, werden Sie sich nicht gegen Angriffe wehren, die darauf abzielen, Ihre Uplinks zu „überfluten“ (natürlich, wenn Ihre Gesamtkapazität der Internet-Kanäle nicht als Terabit berechnet wird, sondern besser als Terabit).

    Daher ist die erste Verteidigungslinie der Schutz vor "volumetrischen" Angriffen, und Ihr Provider oder Provider schulden Ihnen diesen Schutz. Wenn Sie dies noch nicht realisiert haben, haben Sie einfach Glück.
    Beispiel

    Angenommen, Sie haben mehrere Uplinks, aber nur einer der Anbieter kann diesen Schutz bieten. Aber wenn der gesamte Datenverkehr durch einen Anbieter geht, wie sieht es mit der Konnektivität aus, über die wir kurz zuvor gesprochen haben?

    Zum Zeitpunkt des Angriffs müssen Sie in diesem Fall die Konnektivität teilweise aufgeben. Aber

    • Dies gilt nur für die Dauer des Angriffs. Im Falle eines Angriffs können Sie den BGP manuell oder automatisch neu konfigurieren, sodass der Datenverkehr nur durch den Anbieter geht, der Ihnen einen Regenschirm zur Verfügung stellt. Nach dem Ende des Angriffs können Sie das Routing wieder in den vorherigen Zustand versetzen
    • Es ist nicht notwendig, den gesamten Verkehr zu übertragen. Wenn Sie beispielsweise feststellen, dass durch einige Uplinks oder Peering-Angriffe kein Angriff erfolgt (oder der Datenverkehr nicht von Bedeutung ist), können Sie weiterhin Präfixe mit Wettbewerbsattributen in Richtung dieser BGP-Nachbarn ankündigen.

    Schutz vor "Protokollangriffen" und "Anwendungsangriffen" können Sie auch an Partner vergeben.
    Hier hier können Sie eine gute Forschung (lesen Übersetzung ). Der Artikel ist zwar vor zwei Jahren, aber er gibt Ihnen eine Vorstellung von den Ansätzen, wie Sie sich gegen DDOS-Angriffe wehren können.

    Grundsätzlich können Sie sich darauf beschränken, indem Sie Ihren Schutz vollständig vor dem Outsourcing geschützt haben. Diese Entscheidung hat Vorteile, aber auch einen offensichtlichen Nachteil. Tatsache ist, dass wir (wieder abhängig von der Tätigkeit Ihres Unternehmens) über das Überleben der Unternehmen sprechen können. Und um solche Dinge an Drittorganisationen zu vertrauen ...

    Lassen Sie uns daher überlegen, wie Sie die zweite und dritte Verteidigungslinie (als Ergänzung zum Schutz durch den Anbieter) organisieren.

    Die zweite Verteidigungslinie besteht also in der Filterung und Überwachung von Polizisten am Eingang Ihres Netzwerks.
    Beispiel 1

    Angenommen, Sie werden von DDOS mit einem der Provider von einem Dach "geschlossen". Angenommen, dieser Anbieter verwendet Arbor zum Filtern des Datenverkehrs und zum Filtern am Rand seines Netzwerks.

    Die Bandbreite, die Arbor "verarbeiten" kann, ist begrenzt, und der Anbieter kann natürlich nicht ständig den Verkehr aller seiner Partner, die diesen Dienst bestellt haben, durch Filtergeräte weiterleiten. Daher wird der Verkehr unter normalen Bedingungen nicht gefiltert.

    Angenommen, es gibt einen Angriff SYN-Flut. Selbst wenn Sie einen Dienst bestellt haben, bei dem der Verkehr bei einem Angriff automatisch zur Filterung übertragen wird, geschieht dies nicht sofort. Für eine Minute oder länger bleiben Sie angegriffen. Dies kann zum Ausfall Ihrer Ausrüstung oder zur Beeinträchtigung des Services führen. In diesem Fall führt die Einschränkung des Datenverkehrs beim Grenzrouting jedoch dazu, dass einige TCP-Sitzungen in dieser Zeit nicht eingerichtet werden, die Infrastruktur wird jedoch vor größeren Problemen geschützt.
    Beispiel 2

    Eine ungewöhnlich große Anzahl von SYN-Paketen kann nicht nur das Ergebnis eines SYN-Flutangriffs sein. Nehmen wir an, Sie bieten einen Dienst an, in dem Sie ungefähr 100.000 TCP-Verbindungen gleichzeitig haben können (in einem Datencenter).

    Nehmen Sie an, Sie hätten aufgrund eines kurzfristigen Problems mit einem Ihrer Hauptanbieter die Hälfte der Sitzungen "getreten". Wenn Ihre Anwendung so konzipiert ist, dass „ohne zu überlegen“, sofort (oder nach einer bestimmten Zeitspanne für alle Sitzungen) versucht wird, die Verbindung wiederherzustellen, erhalten Sie ungefähr 50.000 SYN-Pakete zur gleichen Zeit.

    Wenn ssl / tls Handshake zum Beispiel auf diesen Sitzungen aufsetzen sollte, was den Austausch von Zertifikaten impliziert, dann ist dies aus Sicht der Ressourcenauslastung Ihres Lastverteilers ein viel stärkeres DDOS als eine einfache SYN-Flut. Es scheint, als müssten die Balancer ein solches Event ausarbeiten, aber ... wir hatten leider ein volles Problem.

    Und natürlich speichert ein Polizist am Grenzrouter auch in diesem Fall Ihre Ausrüstung.
    Die dritte Stufe des DDOS / DOS-Schutzes sind die Einstellungen Ihrer Firewall.

    Hier können Sie beide Angriffe des zweiten und dritten Typs stoppen. Im Allgemeinen kann hier alles gefiltert werden, was die Firewall erreicht.
    Tipp

    Versuchen Sie, die Firewall so wenig wie möglich zu arbeiten, indem Sie in den ersten beiden Verteidigungslinien so viel wie möglich herausfiltern. Und hier ist warum.

    Es ist Ihnen nicht passiert, dass Sie versehentlich Datenverkehr erzeugt haben, um beispielsweise zu prüfen, wie widerstandsfähig das Betriebssystem Ihres Servers gegen DDOS-Angriffe war. Haben Sie Ihre Firewall „beendet“, sie zu 100 Prozent geladen und dabei Datenverkehr mit normaler Intensität verwendet? Wenn nicht, vielleicht nur weil Sie es nicht versucht haben?

    Im Allgemeinen ist die Firewall, wie gesagt, eine knifflige Angelegenheit, und sie funktioniert gut mit bekannten Sicherheitsanfälligkeiten und getesteten Lösungen. Wenn Sie jedoch etwas Ungewöhnliches senden, nur Müll oder Pakete mit falschen Kopfzeilen, dann haben Sie welche so klein (basierend auf meiner erfahrung) kann die wahrscheinlichkeit in eine betäubung und top-ausrüstung gehen. Lassen Sie daher in Stufe 2 mit normalen ACLs (auf Ebene L3 / L4) nur den Datenverkehr zu, der in Ihr Netzwerk gelangen soll.

    Firewall-Verkehrsfilterung


    Wir reden weiter über die Firewall. Es sollte verstanden werden, dass DOS / DDOS-Angriffe nur eine der Arten von Cyberangriffen sind.

    Neben dem DOS / DDOS-Schutz können wir noch folgende Funktionen anbieten:

    • Anwendungsfirewalling
    • Bedrohungsprävention (Antivirus, Anti-Spyware und Schwachstelle)
    • URL-Filterung
    • Datenfilterung (Inhaltsfilterung)
    • Datei blockieren (Dateitypen blockieren)

    Sie entscheiden, was Sie aus dieser Liste benötigen.

    Fortsetzung folgt

    Jetzt auch beliebt: