بررسی کاربرد Route Summarization در امنیت اطلاعات و شبکه

امروز مي خوايم در مورد يک Best Practice امنيتي ساده صحبت کنيم که بعضي وقتا مي تونه جلوي خيلي از مشکلات امنيتي رو بگیره که متأسفانه خيلي وقت ها بهش توجه نمي شه. Best Practice در رابطه با نحوه استفاده از Route Summarization هست. دقت کنيد که منظورمون فقط Route Summarization در Routing Protocolها نيست، بلکه بحثمون شامل Static Routeهاي بزرگ نوشتن هم مي شه.به شکل زیر توجه کنيد:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

TOSINSO

 آدرس هايي که در داخل ابر نوشته شدند، فضاي آدرس دهي تخصيص داده شده به اون بخش از شبکه و آدرس هايي که در مستطيل نوشته شده اند، Routeهايي هستند که روی Router A نوشته شدند. Routerهاي B و C و D رو روترهاي Branch در نظر بگیرید و بخش Corporate Network رو مثلاْ Server Farm یا Data Center در نظر بگیرید.

در ارتباط Router A با DC از يک خط Route بزرگ (۱۶/) استفاده شده که از لحاظ مسیریابی خيلي بهینه هست و شاید از نظر شما خيلي هم مطلوب باشه. توجه کنید بازم مي گم، اين که اين خط به صورت Static نوشته شده یا با استفاده از راهکارهاي Summarization در Routing Protocolها نوشته شده، برای ما اهميتي نداره.خب، حالا بدون اينکه حتي بدونيم توي DC چه خبره و از چه فضاهاي آدرس دهي استفاده مي شه، ندید میشه دو مطلب رو عنوان کرد:

 

  1. فضاهاي آدرسدهي مختلفي وجو دارند که توي DC استفاده نمي شه ولي توی اون تک خط Route ما شامل شده.
  2. فضاهاي آدرس دهي در DC وجود دارند و زیرمجموعه اون فضاي آدرس دهي ۱۶/ هم هستند، ولي کاربران متصل به روترهاي B و C و D نيازی به اتصال به اون ها ندارند.

اين دو مورد، مخصوصاْ مورد دوم از لحاظ امنيتي خیلی بد هستند. کاربر شعبه هيچ نيازی نداره که Ping سرور vCenter شمارو داشته باشه یا به آدرس هاي لينک هاي لايه سه اي Data Center شما SSH بزنه و يا موارد از اين قبیل. فیلتر کردن اين دسته از آدرس ها با استفاده از Firewall (و راهکارهاي مشابه) هم درصد خطاي بالايي داره و خيلي راحت ممکنه خيلي از آدرس ها یادتون بره که فيلتر شه.پس قبل از اين که به فکر Filtering با استفاده از Firewall باشيم، سعي کنيم اول ساختار Routingمون رو جوري ايجاد کنيم که کاربران مختلف در بخش هاي مختلف شبکه به سرويس هايي که نمي خوان دسترسی نداشته باشن. تکنيک هاي درگير در اين بخش می تونن اين چیزا باشن:

  • نحوه Route نوشتن Static يا Dynamic
  • نحوه به کارگیری Route Summarization
  • Route Filtering
  • نحوه Redistribute کردن Routeها
  • و...

(در ضمن Filter کردن با Firewall در Scaleهاي بزرگ داستان ها و درگيري هاي خودش رو داره که در کل باعث ميشه اين رويکردي که تو اين مقاله داريم صحبت مي کنيم، بسیار بهینه تر باشه) خب، مفهوم ساده بود ولي پياده سازیش شاید نه. فاکتورهاي زیادي وجود دارند که باعث مي شن به کارگیری اين Best Practice امکان پذیر بشه و يا نشه. که مهمترینش نحوه طراحي ساختار آدرس دهي در سطح کل شبکتون هست. شما باید ساختار Routingتون رو به بهينه ترین حالت با اين هدف که دو موردي که در بالا ذکر کردم، پيش نياد، طراحي کنيد.

مه با هدف کم کردن تعداد خط ها در Routing Table تجهيزاتتون. حواستون باشه، اون زمانايي که ميومديم حجم Routing Table رو کم مي کردیم که مشکل Performance نداشته باشیم خيلي وقته که گذشته و تجهيزات امروزي (و يا حتي دیروزي و پریروزی) از لحاظ بازدهي سخت افزاري خيلي قوي تر از اين حرف ها هستند.حالا برگرديم به شکل و يه سوال، با توجه به رويکرد جديدي که مطرح کرديم، Routeهاي نوشته از A به B و از A به D که درسته. حالا از A به C چه طور؟ مشتاقم تا تحليل ها تون رو بشنوم.


مهیار کباری
مهیار کباری

مهیار کباری، حدود 10 سال سابقه کار دارم در سازمان های و نهادهای دولتی، بانک ها و مؤسسات مالي اعتباری، بیمه ها و سازمان فناوری اطلاعات در حوزه های شبکه، امنیت اطلاعات و زیرساخت سرویس در قالب های مشاوره، طراحي، پياده سازی و راهبری. در حوزه های Cisco، Juniper، Fortinet، F5، VMWare، Server&Storage، Linux و Penetration Test به صورت White Hat فعاليت های خوبی داشتم. بیش از ۴ سال مدیر فنی دپارتمان امنيت و کمتر از یک سال مدیر فنی مرکز داده مؤسسه اعتباری نور بودم و الان هم به صورت Free Lancer فعاليت مي ک

نظرات