Настройка подсистемы доступа к внешним сетям

До установки операционной системы накопители SSDOCZAgility 2 60GB объединяются в отказоустойчивый массив RAID-1, средствами BIOS встроенного SATA контроллера.

В качестве операционной системы подсистемы доступа к внешним сетям был выбран дистрибутив LinuxCentOS. Установка 64-х битного дистрибутива происходит с 2-х DVD дисков в интерактивном режиме.

При условии, что ОС нашла драйверы для всех устройств на этапе установки можно продолжать настройку, иначе надо установить необходимые для работы оборудования драйверы.

Сервер для подсистемы доступа к внешним сетям имеет 5 сетевых интерфейсов, 4-е из которых будут использованы. Одна пара интерфейсов (которая "смотрит" в сеть ЦОД) будет агрегирована в единый канал 2 Гбит/с (2-е линии). Каждая линия этого канала будет подключена к отдельному маршрутизатору (например, от интерфейсов eth2,eth3).

Процесс агрегации аналогичен тому, как это происходило на гипервизорах (описано ранее). В результате будет создан канал bond0.

Далее надо настроить VLAN для канала связи (bond0), канал надо тегировать. Для этого используется утилита Linux для работы с VLAN "vconfig". Примертегированияканаладля bond0:

ifconfig bond0 0.0.0.0 up

vconfig add bond0 300

ifconfig bond0.300 0.0.0.0 up

Далее для внутреннего канала bond0 надо задать адрес и подсеть, в которой будет расположен шлюз (например, 172.16.0.100/24):

ifconfig bond0 up

ifconfig bond0 172.16.0.100 netmask 255.255.255.0

Интерфейсы eth0 и eth1 настраиваются для связи с шлюзами провайдера. Метод связи может быть любым: как маршрутизация на собственный роутер, так и доступ через pppoe (в случае связи через pppoe будут созданы интерфейсы ppp0 и ppp1 для eth0 и eth1 соответственно. Далее для работы надо использовать именно их). Пример настройки интерфейса eth0 для прямого доступа к шлюзу:

ifconfig eth0 up

ifconfig eth0 10.10.10.254 netmask 255.255.255.252

Важным моментом будет включение маршрутизации пакетов через шлюз (форвардинг). Для этого надо добавить в загрузку (например в /etc/rc.d/rc.local) строку:

echo 1 > /proc/sys/net/ipv4/ip_forward

В обычном режиме работы будет использовано соединение с основным провайдером, для этого надо настроить маршрут по умолчанию до его шлюза, например:

route add default gw 94.100.90.2

В случае если доступ к внешним сетям через основной канал невозможен, интерфейс eth0 выключается (down), вместо него активируется резервный канал в интернет, через интерфейс eth1. В этом случае таблица маршрутизации переписывается (маршрут по умолчанию и подсеть eth1). Фрагмент скрипта (поясняющий суть функционала) приведен ниже:

ping -c 2 ntp0.zenon.net

if [ $? -ne 0 ]; then

sh /home/init.sh;

. /etc/rc.d/rc.firewall_backup;

. /etc/rc.d/rc.if_backup;

fi

Полный скрипт запускается как задание, и в некотором интервале времени стандартным ICMP пакетом проверяет доступность некого стабильного узла в интернет. Если узел недоступен, скрипт запускает вложенные скрипты перезапуска межсетевого экрана с правилами для резервного канала, активирует сам резервный канал (последовательность работы важна) и уведомляет оператора о входе в аварийный режим работы.

Дальнейший функционал подсистемы доступа к внешним сетям реализуется с помощью межсетевого экрана netfilter/iptables. Принцип работы этого брэндмауэра был описан ранее. Все порты за исключением оговоренных ТЗ будут закрыты, для сокрытия адресов используется механизм SNAT, для "проброса" портов используется механизм DNAT (уже в другой цепочке iptables).

Дополнительно может быть реализована защита от DDOS атак, сканирования портов, некоторых типах сетевых атак, основанных на свойствах TCP пакетов и соответствующих типов эксплоитов и многих других атак.

Средствами netfilter может быть создан мощный распределенный защитный барьер, в составе которого могут быть несколько сетевых экранов с балансировкой нагрузки.

Упрощенный файл конфигурации iptables приведен ниже:

#!/bin/sh

EXT=eth0

INT=bond0

##===== standart rules =====

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

##bottom line set: accept all packet for ALL INPUT ESTABLISHED connection

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

##accept all packet for EXTERNAL FORWARD ESTABLISHED connection

iptables -A FORWARD -i $EXT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

##===== DDOS defence =====

## limit NEW connections 50/sec

iptables -A INPUT -m conntrack --ctstate NEW -m limit --limit 50/sec --limit-burst 50 -j ACCEPT

iptables -A FORWARD -m conntrack --ctstate NEW -m limit --limit 50/sec --limit-burst 50 -j ACCEPT

## limit max connections

iptables -A INPUT -m connlimit --connlimit-above 10 -j DROP

##===== bad tcp packets =====

iptables -I INPUT 1 -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP

iptables -I INPUT 2 -p tcp ! --syn -m state --state NEW -j DROP

iptables -I INPUT 3 -m conntrack --ctstate INVALID -j DROP

iptables -I INPUT 4 -m addrtype --src-type LOCAL ! -i lo -j DROP

##===== self and loopback =====

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

##===== internal network forward chain =====

iptables -A FORWARD -i $INT -j ACCEPT

##===== SNAT =====

iptables -t nat -A POSTROUTING -o $EXT -j SNAT --to-source 94.100.87.198

##===== DNAT =====

## FTP services

iptables -t nat -A PREROUTING -d 94.100.87.1 -p tcp --dport 20 -j DNAT --to-destination 172.16.0.5:20

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -d 172.16.0.5 --dport 20 -j ACCEPT

iptables -t nat -A PREROUTING -d 94.100.87.1 -p tcp --dport 21 -j DNAT --to-destination 172.16.0.5:21

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -d 172.16.0.5 --dport 21 -j ACCEPT

## VNC terminal services

iptables -t nat -A PREROUTING -d 94.100.87.1 -p tcp --dport 5900 -j DNAT --to-destination 172.16.0.10:5900

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -d 172.16.0.10 --dport 5900 -j ACCEPT

## SSH terminal services

iptables -t nat -A PREROUTING -d 94.100.87.1 -p tcp --dport 22 -j DNAT --to-destination 172.16.0.10:22

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -d 172.16.0.10 --dport 22 -j ACCEPT

## HTTP services

iptables -t nat -A PREROUTING -d 94.100.87.1 -p tcp --dport 80 -j DNAT --to-destination 172.16.0.15:80

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -d 172.16.0.15 --dport 80 -j ACCEPT

В данном примере 94.100.87.1 - внешний IP адрес, 172.16.0.5 - FTP сервер (порты tcp-20,tcp-21) в серверном сегменте ЦОД, 172.16.0.10 - терминальный сервер (SSHtcp-22 порт,VNC порт tcp-5900), 172.16.0.15 - HTTP сервер (apache, порт tcp-80).

Важно учитывать тот факт, что скрипт с цепочками правил iptables индивидуален для основного и резервного канала и должен быть активирован/деактивирован скриптом при использовании соответствующего подключения.

Еще один важный момент при использовании межсетевого экрана - это порядок включения брэндмауэра/сетевых интерфейсов. Межсетевой экран должен быть активирован до включения канала в интернет.

Физическая защита

Безопасность данных — одна из главных забот любого владельца ЦОД, ведь по сути он представляет не что иное, как один большой банк данных. На обеспечение защищенного доступа к данным и их надежное хранение тратятся десятки тысяч долларов: межсетевые экраны, шлюзы VPN, системы обнаружения вторжений призваны сделать сеть непроницаемой для проникновения извне, а кластеры, резервирование, установка ИБП и дизель-генераторов вместе с другими мерами повышения надежности и готовности — нивелировать последствия от любых технических сбоев.

 

Физическая защита, должна защищать ЦОД от:

1. Огня;

2. Воды и пожаротушащей жидкости;

3. Коррозирующих газов;

4. Электромагнитного излучения

5. Вандализма;

6. Воровства и кражи;

7. Взрыва;

8. Падающих обломков;

9. Пыли;

10. Несанкционированного доступа в помещение.

 

К физической защите, так же относятся:

1. системы видеонаблюдения,

2. системы охраны периметра,

3. системы оповещения,

4. системы охранной сигнализации,

5. системы пожарной сигнализации,

6. автоматические системы пожаротушения,

7. системы активной защиты,

8. средства подавления эфирной (сотовой) связи,

9. системы мониторинга линий связи, распознавания и регистрации,

10. специальные проверки и специальные исследования.

Программная защита

Система обеспечения информационной безопасности при создании и развитии ЦОД, включает в себя ряд подсистем, обеспечивающих многоуровневую эшелонированную защиту наиболее важных внутренних ресурсов дата-центра, таких, как прикладные системы, системы управления базами данных, веб-серверы и пр. Такая защита охватывает следующие области:

 

1. Межсетевое экранирование;

Подсистема межсетевого экранирования предназначена для предотвращения атак на сетевом уровне ЦОД. Она обеспечивает надежную защиту как сетевого периметра, так и сетей управления.

Подсистема межсетевого экранирования реализует следующие функции:

a) сегментация сети передачи данных;

b) контроль доступа на сетевом уровне;

c) регистрация событий информационной безопасности на сетевом уровне.

2. Обнаружение и предотвращение вторжений;

Подсистема обнаружения и предотвращения вторжений обеспечивает полный контроль каналов связи, проактивное предотвращение атак на критически важные серверы и рабочие станции сети, а также возможность глубокой инспекции зашифрованного веб-трафика.

3. Защита веб-серверов и серверов СУБД;

Подсистема защиты веб-приложений обеспечивает противодействие специализированным атакам благодаря применению интеллектуального алгоритма, основанного на поведенческих сигнатурах, а также глубоком анализе и фиксировании эталонной структуры веб-ресурсов и СУБД.

Подсистема защиты веб-приложений и СУБД обеспечивает следующие функции:

a) аудит доступа к данным различных типов пользователей;

b) блокировка при атаках на базу данных или при аномальных запросах к базе данных в реальном времени;

c) обнаружение и исправление уязвимостей базы данных;

d) идентификация превышенных и редко используемых прав доступа пользователей к данным.

4. Защита среды виртуализации и виртуальных машин;

Подсистема защиты виртуализации предназначена для обеспечения безопасности систем виртуализации (гипервизоров) и виртуальных машин.

Компоненты в составе подсистемы защиты среды виртуализации выполняют следующие функции:

a) мандатное управление доступом;

b) усиленная аутентификация;

c) разделение ролей и делегирование полномочий;

d) управление конфигурацией системы безопасности и контроль изменений настроек безопасности;

e) защита от утечек через специфические каналы среды виртуализации;

f) межсетевое экранирование виртуальных машин;

g) обнаружение и предотвращение вторжений;

h) контроль целостности файловой системы и реестра;

i) защита от вредоносных программ, в том числе без использования антивирусного агента.

5. Криптографическая защита каналов связи;

Подсистема криптографической защиты каналов связи обеспечивает защиту критически важного сетевого трафика, проходящего через общедоступные и недоверенные сети передачи данных, например через Интернет.

Для защиты трафика применяются сертифицированные средства криптографической защиты информации, которые позволяют организовать удаленный доступ пользователей к ресурсам ЦОД, используя как стандартный стек протоколов организации VPN (в частности, IPSec), так и инкапсуляцию VPN-трафика в более высокоуровневые протоколы (SSL-VPN).

6. Защита от атак типа DoS и DDoS;

Подсистема защиты от DoS и DDoS предназначена для защиты от атак типа «отказ в обслуживании» за счет применения средств защиты, направленных на исчерпание емкости каналов и аппаратных ресурсов серверов.

Подсистема защиты от DoS и DDoS предназначена для решения следующих задач:

a) сбор сведений, необходимых для определения аномалий трафика, путем анализа информации, поступающей с пограничных маршрутизаторов, и анализа трафика, проходящего через сеть в онлайновом режиме;

b) корреляция полученных данных, выявление отклонений реального профиля трафика от эталонного, рассчитанного на основании математической модели, и принятие решений по противодействию обнаруженным угрозам и сокращению уровня возможных рисков;

c) уведомление операторов о нештатных ситуациях с предоставлением подробной информации о характере аномалии;

d) предоставление руководству и лицам, ответственным за информационную безопасность инфраструктуры, необходимых отчетов и оповещений о деятельности системы.

7. Обнаружение уязвимостей;

Подсистема обнаружения уязвимостей предназначена для выявления уязвимостей критически важных систем и сервисов ЦОД путем их сканирования. Данная подсистема обеспечивает своевременное оповещение об обнаруженных уязвимостях, а также предоставляет расширенные описания и инструкции для их устранения.