در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

تکنيک Route Summarization از دیدگاه امنيت

با سلام و عرض خسته نباشید خدمت همه دوستان عزیز

امروز مي خوايم در مورد يک Best Practice امنيتي ساده صحبت کنيم که بعضي وقتا مي تونه جلوي خيلي از مشکلات امنيتي رو بگیره که متأسفانه خيلي وقت ها بهش توجه نمي شه. Best Practice در رابطه با نحوه استفاده از Route Summarization هست. دقت کنيد که منظورمون فقط Route Summarization در Routing Protocolها نيست، بلکه بحثمون شامل Static Routeهاي بزرگ نوشتن هم مي شه.

به شکل زیر توجه کنيد:


TOSINSO آدرس هايي که در داخل ابر نوشته شدند، فضاي آدرس دهي تخصيص داده شده به اون بخش از شبکه و آدرس هايي که در مستطيل نوشته شده اند، Routeهايي هستند که روی Router A نوشته شدند. Routerهاي B و C و D رو روترهاي Branch در نظر بگیرید و بخش Corporate Network رو مثلاْ Server Farm یا Data Center در نظر بگیرید.


در ارتباط Router A با DC از يک خط Route بزرگ (۱۶/) استفاده شده که از لحاظ مسیریابی خيلي بهینه هست و شاید از نظر شما خيلي هم مطلوب باشه. توجه کنید بازم مي گم، اين که اين خط به صورت Static نوشته شده یا با استفاده از راهکارهاي Summarization در Routing Protocolها نوشته شده، برای ما اهميتي نداره.

خب، حالا بدون اينکه حتي بدونيم توي DC چه خبره و از چه فضاهاي آدرس دهي استفاده مي شه، ندید میشه دو مطلب رو عنوان کرد:


1. فضاهاي آدرسدهي مختلفي وجو دارند که توي DC استفاده نمي شه ولي توی اون تک خط Route ما شامل شده.

2. فضاهاي آدرس دهي در DC وجود دارند و زیرمجموعه اون فضاي آدرس دهي ۱۶/ هم هستند، ولي کاربران متصل به روترهاي B و C و D نيازی به اتصال به اون ها ندارند.


اين دو مورد، مخصوصاْ مورد دوم از لحاظ امنيتي خیلی بد هستند. کاربر شعبه هيچ نيازی نداره که Ping سرور vCenter شمارو داشته باشه یا به آدرس هاي لينک هاي لايه سه اي Data Center شما SSH بزنه و يا موارد از اين قبیل. فیلتر کردن اين دسته از آدرس ها با استفاده از Firewall (و راهکارهاي مشابه) هم درصد خطاي بالايي داره و خيلي راحت ممکنه خيلي از آدرس ها یادتون بره که فيلتر شه.

پس قبل از اين که به فکر Filtering با استفاده از Firewall باشيم، سعي کنيم اول ساختار Routingمون رو جوري ايجاد کنيم که کاربران مختلف در بخش هاي مختلف شبکه به سرويس هايي که نمي خوان دسترسی نداشته باشن. تکنيک هاي درگير در اين بخش می تونن اين چیزا باشن:

     -نحوه Route نوشتن Static يا Dynamic

     -نحوه به کارگیری Route Summarization

     -Route Filtering

     -نحوه Redistribute کردن Routeها

     -و...

(در ضمن Filter کردن با Firewall در Scaleهاي بزرگ داستان ها و درگيري هاي خودش رو داره که در کل باعث ميشه اين رويکردي که تو اين مقاله داريم صحبت مي کنيم، بسیار بهینه تر باشه)


خب، مفهوم ساده بود ولي پياده سازیش شاید نه. فاکتورهاي زیادي وجود دارند که باعث مي شن به کارگیری اين Best Practice امکان پذیر بشه و يا نشه. که مهمترینش نحوه طراحي ساختار آدرس دهي در سطح کل شبکتون هست. شما باید ساختار Routingتون رو به بهينه ترین حالت با اين هدف که دو موردي که در بالا ذکر کردم، پيش نياد، طراحي کنيد. مه با هدف کم کردن تعداد خط ها در Routing Table تجهيزاتتون. حواستون باشه، اون زمانايي که ميومديم حجم Routing Table رو کم مي کردیم که مشکل Performance نداشته باشیم خيلي وقته که گذشته و تجهيزات امروزي (و يا حتي دیروزي و پریروزی) از لحاظ بازدهي سخت افزاري خيلي قوي تر از اين حرف ها هستند.


حالا برگرديم به شکل و يه سوال، با توجه به رويکرد جديدي که مطرح کرديم، Routeهاي نوشته از A به B و از A به D که درسته. حالا از A به C چه طور؟ مشتاقم تا تحليل ها تون رو بشنوم.

0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....