در قسمت اول از سری مقالات BIG-IP Advanced Firewall Manager به بررسی مفهوم این تکنولوژی و برخی از مزایای آن پرداختیم. در این مقاله که قسمت دوم از این سری مقالات میباشد، به بسط بیشتر مزایای BIG-IP AFM از جمله حفاظت از کانال SSH و قابلیت انعطافپذیری و توسعهپذیری بینظیر آن خواهیم پرداخت.
معماری Full-Proxy در BIG-IP AFM تضمین میکند که زیرساخت برنامههای کاربردی توسط قابلیتهای پیشرفتهی کاهش حملات DoS و DDoS تحت محافظت قرار گیرد. عملکرد آمادهبهکار این معماری شامل مجموعهای از Signatureها میباشد که سازمانها را قادر میسازد تا در برابر اینگونه حملات از خود محافظت نموده و نحوه عملکرد حملات معروف شبکهها را ردیابی و گزارشگیری نمایند، همچنین مدیران شبکه قادر خواهند بود تا مقادیر آستانهی تحمل حملات DDoS را بصورت اتوماتیک یا دستی تنظیم نمایند و علاوه بر آن اجازهی پیکربندی مواردی همچون محدودیتPacket ها، درصد افزایش Threshold مربوطه و تنظیم Rate-Limit قطعی شبکه مورد استفاده در حملات را دارا میباشند. BIG-IP AFM با استفاده از پروفایلهای DoS، بررسیهای متنوعی انجام داده و ضمن اینکه از پروتکلهایی همچون SIP و DNS پشتیبانی مینماید، باعث کاهش حملاتی نظیرِ حملات Flood، Sweep، Teardrop و Smurf میشود.
BIG-IP AFM پاکسازی مسیرهای ترافیک ورودی را تضمین نموده و قبل از آن که ترافیک حملات، از شبکه ISP خارج شوند با استفاده از فیلترینگ Remotely Triggered Black Hole یا به اختصار RTBH، موجب توقف آن میشود و زمانیکه BIG-IP AFM فعال میشود عملیات Blacklist نمودن را با استفاده از روترهای ISP مربوطه انجام میدهد تا IPهای مخرب را بصورت خودکار به روترهای Upstream برساند و در نتیجه تضمین کند که فقط ترافیکهای ایمن به شبکه دیتاسنتر و درون برنامههای کاربردی وارد میشوند. BIG-IP AFM توسط RTBH این توانایی را دارد که از این Blacklist دور باشد، این فهرست تا زمانیکه لیستFeed ها به روزرسانی شوند، بصورت منحصر به فردی منبع حملات مخرب لایههای 3 تا 7 در سختافزار را شناسایی و بلاک مینماید. همچنین دفاع ترکیبی به دو صورت Reactive و Proactive برای حملات DDoS، با پیوستن BIG-IP AFM به سرویس F5 Silverline DDoS Protection حاصل میشود که برای کاهش موارد مبتنی بر Cloud، با دور نگهداشتن دیتاسنتر از حملات، موجب تضمین سرویسدهی مداوم میگردد.
BIG-IP AFM با قابلیت Log کردن دقیق و گزارش شناسایی حمله و کاهش آن، نسبت به اکثر راهکارهای دیگر، قابلیت دید و جزئیات بیشتری نسبت به ترافیک و حملات DDoS ارائه میدهد، همچنین موجب افزایش قابلیتهایی مانند حفاظت از کوکیِSYN و پالیسیهای کنترلی دقیق DDoS در هر سرور، هوشمندی IP Reputation، پشتیبانی از Whitelist و Blacklistهای رایج میشود. BIG-IP AFM از راهکار کاهش حملات DDoS مبتنی بر سختافزار استفاده مینماید که مانع از بروز حملات Flood در شبکه بصورت وسیع و هدفمند میگردد.
حفاظت از کانال SSH
با توجه به اینکه BIG-IP AFM عملیاتها SSH Channel را بصورت منحصر به فرد کنترل مینماید، قادر است از نقضهای امنیتی دادهها، انتشار بدافزارها و بروز مشکل تطبیقپذیری جلوگیری کند. زمانیکه BIG-IP AFM در کنار سرورهای SSH پیادهسازی میشود همانند یک پروکسی SSH بصورت Man-IN-the-Middle عمل میکند، به این صورت که ترافیک SSH را فیلتر کرده و از طریق محدود نمودن عملکرد کاربران، دسترسی به فایلها، دیتابیسها و اطلاعات سیستم را کنترل مینماید. Policyهای SSH، برخلاف فایروالهایی که در لبه شبکه قرار دارند، اقدامات مجاز برای هر کاربر یا هر سرور مجازی را محدود کرده تا امنیت کانالهای SSH را افزایش دهد برای این کار از بررسی ممتد میزان مصرف و جلوگیری از سوءاستفاده از کانالهای SSH توسط کارمندان و پیمانکاران و همچنین متوقف نمودن حملات همه جانبه که در سراسر زیرساخت جابجا میشوند، استفاده مینمایند. علاوه بر اینکه BIG-IP AFM مانع میشود Sessionهای SSH بطور نامحدود بصورت باز باقی بمانند و مدیریت موثر و مداوم کلید SSH را برای امنیت و تطابقپذیری تضمین میکند.
قابلیت انعطافپذیری و توسعه پذیری
عامل اصلی برای به حداقل رساندن خطر حملات غیرمعمول، پاسخگویی سریع میباشد. بسیاری از فایروالها قادر به ایمنسازی Perimeter به هنگام روبرو شدن با حملات غیرمعمول همچون Heartbleed نیستند. BIG-IP AFM به عنوان یکی از اجزاء پلتفرم F5 BIG-IP، دارای قابلیت توسعه پذیری F5 iRules بوده که مدیران را قادر میسازد تا عملکرد را گسترش داده و به منظور مقابله با حملات پیچیده و چندلایه، قواعد سفارشی را پیاده نمایند.
F5 iRules یک زبان اسکریپتی با API باز است که میتواند بطور مستقیم بر روی Payloadها کار کند. iRuleها مدیران شبکه را قادر میسازند تا به منظور کاهش حملات غیرمعمول و بسیار پیچیدهی DDoS که ممکن است به وسیله راهکارهای BIG-IP AFM پشتیبانی نشوند، Ruleهای سفارشی ایجاد نمایند. دامنهی دستورات iRuleها، قابلیت دید عمیق به درون Packetها، بخصوص فیلد هِدر TCP/IP، ارائه Signatureهای موثر DDoS در لایه 2 تا 4 و کنترل جریان ترافیک از طریق Signatureهای iRule را فراهم مینماید.
iRuleها از مزایای پشتیبانی از BIG-IP AFM Anti-DDoS استفاده مینمایند که براساس Signatureها میان ترافیک خوب و بد تمایز قائل میشود و اقدام به Block، Drop، Log، تغییر مسیر و یا توقف ترافیک به منظور بررسی براساس تطابق Signature مینماید. با سفارشیسازی iRuleها، قابلیتهایی از جمله هوشمندی IP، ویژگیهای Geolocation و Sub-Sampling آماری مورد استفاده قرار میگیرند. iRuleهای مورد استفاده توسط F5 DevCentral (جامعهای متشکل از حدود 195000 کاربر) به منظور کاهش تهدیدات غیرمعمول، Ruleهای سفارشی ایجاد مینمایند. این Ruleها به منظور توانمندسازی سایر مدیران به اشتراک گذاشته میشوند.
ــــــــــــــــــــــــــــــــــ
معرفی قابلیتهای BIG-IP Advanced Firewall Manager – قسمت اول
معرفی قابلیتهای BIG-IP Advanced Firewall Manager – قسمت دوم
معرفی قابلیتهای BIG-IP Advanced Firewall Manager – قسمت سوم
معرفی قابلیتهای BIG-IP Advanced Firewall Manager – قسمت چهارم (پایانی)
