نمایش نتایج: از شماره 1 تا 3 از مجموع 3
سپاس ها 3سپاس
  • 1 توسط blackcap
  • 1 توسط EVERAL
  • 1 توسط EVERAL

موضوع: نحوه فعالیت سیستم های نظیر cloudflare

  
  1. #1
    نام حقيقي: uyu

    تازه وارد
    تاریخ عضویت
    Feb 2014
    محل سکونت
    شیراز
    نوشته
    2
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    0

    نحوه فعالیت سیستم های نظیر cloudflare

    سلام دوستان ! نمیدونم جای درستی تاپیک زدم یا نه !
    همین تاپیک رو یک بار امروز هم زدم ولی اینقدر قرق این سوال بودم که بند 6 قوانین رو رعایت نکرده بودم و تاپیک حذف شد . امیدووارم این یکی اوکی باشه .

    من یه تحقیق دارم در مورد سیستم های مثل cloudflare

    نه اینکه بخوام بدونم چیه و چطور باید رو سایت و سرور مچ کرد ! بلکه میخوام بدونج چطور میشه همچین کاری کرد !

    مثلا چطور میشه یه DNS داشت و به بقیه داد تا از اون استفاده کنن و بعد رو سرور اون DNS فایروال ها و انتی دیداس ها و تنظیمات امنیتی اعمال بشه و سایت سرویس گیرنده هم ازش استفاده کنه !

    ایا به این صورته که مثلا رو یه سرور فایروال و WAF و انتی دیداس نصب میکنن و بعد ترافیک رو میفرستند به اون سرور و اون سرور هم از فیلتر های گفته شده عبورش میده و به مقصد میرسونه و برعکس ؟

    خوب این چطوری انجام میشه ؟ با reverse proxy ؟ اخه چطور ترافیک رو میده به WAF ؟

    با کمی تحقیق فهمیدم که یه شرکت ایرانی هم یه جورایی همین کار رو میکنه ! و اتفاقا جدا از DDOS Protection قابلیت WAF هم داره .


    چطوری من میتونم تو سازمان خودمون همچین کاری رو که سیستم های نظیر cloudflare انجام میدن رو انجام بدم ! چطوری میتونم یه سرور که به انواع فایروال و . . .. مجهز هست رو به صورت DNS و نیم سرور مثلا ns1.firewakk.com و ns2.firewall.com به سرویس گیرنده ها بدم تا از امکانات سرور فایروال بتونن استفاده کنن !

    چطور میتونم این حالت رو ایجاد کنم که با ست کردن DNS ها ترافیک رو به سمت سروری که پشت Name Server ها هست ارسال کنم و بعد از یه سری عملیات به سرور مورد درخواست بفرستم !

    1 : ایجاد سروری که waf رو انتی دیداس و ... روش نصب هست یه مبحث هست . مثلا بهتره از چی استفاده بشه ؟ Snort ؟ Waf رو چی ؟ یا شایدم فایروال روتر های مثل pfsense و ipcop یا ipfire

    2 : نحوه ایجاد DNS روی سرور فایروال مثل Cloudflare یه مبحث دیگه . که مثلا این DNS رو بدیم به سرور ها که رو دامینشون ست کنند و از این به بعد ترافیک هاشون از سرور فایروال ما بگذره . و سرور فایروال ما هم یه سری تغییرات رو ترافیک بده و بعد از خودش عبور بده

    3 : اینکه چطور ترافیک بدست اومده از DNS رو به فایروال ها و WAF و . . . بدیم هم یه مبحث .


    ممنون میشم یه توضیحی بدید که برای این کار باید باید در مورد چه چیز هایی مطالعه داشته باشم ؟ یا چه پروتکل هایی رو باید مسلط بشم ! فکر کنم با Bind و این چیزا باشه ! ممنون میشم یه توضیح بدید !

    یه جای دیگه خودنم که با ماژولهای openvpn+snort+squid میشه این کار رو کرد . (اگر میشه ایا میتونم به جای snort یه اسکریپت خودم بنویسم ؟ )


    یه جای دیگه هم خوندم که باید این کار رو با reverse proxy انجام داد . ا(اگر میشه انجام داد چطور رو ایپی reverse proxy نیم سرور ها رو ست کنم و بدم به کاربرا ؟ )


    این بحث رو برای پایانامه کارشناسی ارشدم انتخاب کردم ولی هیچ منبعی براش پیدا نکردم ! حتی نمیدونم از کجا باید شروع کرد . چی رو یاد گرفت ؟ چیکار باید کرد و درکل هیچ نقشه راهی ندارم .

    ممنون میشم یه نقشه راه برای بنده ترسیم کنید برای انجام همچین کاری . یا حداقل هر مطلبی هرچند کم در این زمینه میدونید رو ممنون میشم با بنده به اشتراک بگذارید .

    پیشاپیش از تمامی کاربران پرشین نتورک سپاسگذارم .



    موضوعات مشابه:
    parskomak سپاسگزاری کرده است.

  2. #2
    نام حقيقي: Armin Rezaeimehr

    مدیر عمومی شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    695
    سپاسگزاری شده
    572
    سپاسگزاری کرده
    594
    نوشته های وبلاگ
    7
    به طور کلی؛ تجهیزات پیشرفته Cloud-based جهت حفاظت از سامانه‌های مبتنی بر وب که به‌عنوان یک سرویس در Edge شبکه Design می‌شوند، می‌توانند به‌منظور کاهش حملات مبتنی بر DDoS در هر مقیاس از طریق پروتکل‌هایی نظیر UDP، ICMP و همچنین SYN/ACK، مقاوم‌سازی DNS و حملات در سطح لایه ۷ مورداستفاده قرار گیرند.
    Cloudflare یکی از بزرگ‌ترین DDoS Protection ها در جهان بوده که با استفاده از فناوری Anycast نسبت به کاهش حملات با نرخ Gbps 400 مقابله نموده است و با ارسال کل ترافیک از طریق سرویس‌دهنده باعث می‌شود ترافیک به‌صورت امن‌تر به مقصد هدایت (Route) و درصورتی‌که شبکه موردحمله واقع شود مطابق با طراحی صورت پذیرفته تغییر Routing به سمت Provider دیگر Advertise گردد.
    WAF سولوشنی چندلایه برای محافظت از برنامه های کاربردی مبتنی بر Web هست که از Attackها جلوگیری می کند. Fileهایی که می خواهند در Web Srv بارگزاری شوند ابتدا به SandBox ارسال میشوند و مورد تحلیل قرار می گیرند و در صورت آلوده بودن فایل مزبور و فایل های مشابه دیگر مسدود می‌شوند.سیستم احراز هویت WAF قابلیت ادغام با سرویس های احراز هویتی نظیر RSA,RADIUS,KERBEROS,LDAP,NTLM, SECURE ID را دارد. و با کش کردن محتوایی (Content)
    زمان پاسخ دهی برنامه را پایین می‌آورد.




    parskomak سپاسگزاری کرده است.
    !It's possible to change your life at any time

  3. #3
    نام حقيقي: Armin Rezaeimehr

    مدیر عمومی شناسه تصویری EVERAL
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    695
    سپاسگزاری شده
    572
    سپاسگزاری کرده
    594
    نوشته های وبلاگ
    7
    ایا به این صورته که مثلا رو یه سرور فایروال و WAF و انتی دیداس نصب میکنن و بعد ترافیک رو میفرستند به اون سرور و اون سرور هم از فیلتر های گفته شده عبورش میده و به مقصد میرسونه و برعکس ؟
    Firewall رو به صورت Device و Asic Base باید بین سرورها و Zone های شبکه نصب و پیکربندی کنید (Firewall های Non Asic توان عملیاتی بالایی نداره)
    WAF رو باید به طوری طراحی کنید که بین Firewall که مثلا تو Edge شبکه Design می کنید و سرورهای تحت وب قرار بدید تا عملیات ssl offloading رو براتون انجام بده.
    سناریو به اینصورت هست که شما یک سامانه تحت وب رو Publish می کنید تو اینترنت وقتی مشتری بخواد از خدمات سامانه استفاده کنه Flow ترافیک به اینصورت میشه که میاد Firewall شما از اونجا به سمت Waf و نهایتاً به Web Server شما میرسه. اینطوری ترافیک رو به نوعی Secure می کنید.
    خوب این چطوری انجام میشه ؟ با reverse proxy ؟ اخه چطور ترافیک رو میده به WAF ؟
    بله - یکی از مودهایی که هنگام طراحی Waf انجام میشه و به نوعی تو سازمان ها Best Practice هست که انجام بشه مود reverse proxy هست نحوه طراحی اون به نسبت سایر مودها آسون تره و در نهایت Tshoot اون مناسب تره.
    ترافیک رو با policy میرسونید دیگه؛ صرفاً ترافیک هایی که با پروتکل 80 - 443 انجام میشه رو با policy بین تجهیزات عبور میدید.
    با کمی تحقیق فهمیدم که یه شرکت ایرانی هم یه جورایی همین کار رو میکنه ! و اتفاقا جدا از DDOS Protection قابلیت WAF هم داره .
    بله - شرکت های ایرانی هم در این حوزه فعالیت می کنند که به نوعی فرآیند ddos Mitigation رو انجام میدهند. تو بحث زیرساخت هم می شه Gateway رو به فیزیک نظری ببرید تا در صورت Attack اول ترافیک به سمت Gateway دیگه ارسال بشه.
    چطوری من میتونم تو سازمان خودمون همچین کاری رو که سیستم های نظیر cloudflare انجام میدن رو انجام بدم !
    از شرکت هایی که تو این قلمرو فعالیت می کنند مشاوره بگیرید؛ شما اول باید طراحی شبکه داخلی رو استاندارد کنید سپس برید دنبال سولوشن های DDOS Mitigation.
    1 : ایجاد سروری که waf رو انتی دیداس و ... روش نصب هست یه مبحث هست . مثلا بهتره از چی استفاده بشه ؟ Snort ؟ Waf رو چی ؟ یا شایدم فایروال روتر های مثل pfsense و ipcop یا ipfire
    WAF یک appliance جدا هست که بر اساس خروجی False Positive هایی که داره دستگاه رو Config کنید. Forti Web راهکار خوبی برای پیاده سازی هست. دنبال سولوشن های امنیتی نرم افزاری یا open source هم نباشید که خودشون bottleneck شبکه هستند.
    Firewall یک روتر Security هست اما فرقش با روتر اینه که Session Base هست روتر صرفا بحث Packet رو می فهمه. بخاطر همین دنبال برندهای آمریکایی باشید. به شخصه Juniper سری Srx رو پیشنهاد می کنم.
    ممنون میشم یه توضیحی بدید که برای این کار باید باید در مورد چه چیز هایی مطالعه داشته باشم ؟ یا چه پروتکل هایی رو باید مسلط بشم ! فکر کنم با Bind و این چیزا باشه ! ممنون میشم یه توضیح بدید !
    شما باید مطالعه در حوزه مفاهیم پایه شبکه و امنیت داشته باشید؛ پروتکل های TCP , UDP و HTTP و HTTPS و Certificate و intermadiate CA
    مطالعه کنید. با انواع Attack ها و مفاهیمی نظیر:
    Risk Assessment / Broken Authentication and Session Managment / Data Validation / Cross Site Script / License and Access Control / Injection / Error Handeling / Security MissConfiguration و ... آشنا بشین و ...
    یه جای دیگه خودنم که با ماژولهای openvpn+snort+squid میشه این کار رو کرد . (اگر میشه ایا میتونم به جای snort یه اسکریپت خودم بنویسم ؟ )
    اگه Antivirus هم اضافه کنید و یک Box سخت افزاری؛ با این ماژول ها شاید بشه یه فایروال درست کنید! اما این کجا و او آن کجا!! دنبال Script نویسی برای چنین راهکاری نباشید که جوابی نخواهید گرفت.
    این بحث رو برای پایانامه کارشناسی ارشدم انتخاب کردم ولی هیچ منبعی براش پیدا نکردم ! حتی نمیدونم از کجا باید شروع کرد . چی رو یاد گرفت ؟ چیکار باید کرد و درکل هیچ نقشه راهی ندارم .
    برای پایان نامه به طور معمول پیشنهاد اینه که تو حوزه ای که تسلط نسبی داشته باشید فعالیت کنید؛ هر چند هنگام دفاع صرفاً فصل 4 و 5 مهمه و اینکه در خصوص روش کار شما سوال پرسیده میشه اینکه با ANP فازی یا MATLAB یا ... کار کردید؛ و توجهی به Concept نمیشه. ولی شما حتماً مطالعه تو سایر فصول داشته باشید.
    موفق باشید

    - - - ادامه - - -

    به طور کلی؛ تجهیزات پیشرفته Cloud-based جهت حفاظت از سامانه‌های مبتنی بر وب که به‌عنوان یک سرویس در Edge شبکه Design می‌شوند، می‌توانند به‌منظور کاهش حملات مبتنی بر DDoS در هر مقیاس از طریق پروتکل‌هایی نظیر UDP، ICMP و همچنین SYN/ACK، مقاوم‌سازی DNS و حملات در سطح لایه ۷ مورداستفاده قرار گیرند.

    Cloudflare یکی از بزرگ‌ترین DDoS Protection ها در جهان بوده که با استفاده از فناوری Anycast نسبت به کاهش حملات با نرخ Gbps 400 مقابله نموده است و با ارسال کل ترافیک از طریق سرویس‌دهنده باعث می‌شود ترافیک به‌صورت امن‌تر به مقصد هدایت (Route) و درصورتی‌که شبکه موردحمله واقع شود مطابق با طراحی صورت پذیرفته تغییر Routing به سمت Provider دیگر Advertise گردد.
    مرتبط با موضوع بالا؛ در وبلاگ سایت یک مقاله مبنی بر پیشگیری از حملات DDOS مبتنی بر DOTS نوشتم؛ در صورتی که علاقه داشتید به لینک زیر مراجعه کنید:
    پیشگیری از حملات DDOS مبتنی بر DOTS - وبلاگ های تخصصی - Persian Networks


    parskomak سپاسگزاری کرده است.
    !It's possible to change your life at any time

کلمات کلیدی در جستجوها:

هیچ کلمه ای ثبت نشده است.

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •