একটি এডাব্লুএস নেটওয়ার্ক এসিএল নিয়মের সীমাতে কাজ করছে


12

সর্বোচ্চ, একটি ভিপিসি নেটওয়ার্ক এসিএল 40 টি নিয়ম প্রয়োগ করতে পারে।

আমার কাছে 50 টিরও বেশি আইপি ঠিকানার একটি তালিকা রয়েছে যা আমাদের সিস্টেমগুলিতে, কোনও বন্দর এবং যে কোনও প্রোটোকল জুড়ে স্পষ্টভাবে অ্যাক্সেস ব্লক করতে হবে। এটি কোনও এসিএলের জন্য একটি আদর্শ উদ্দেশ্য, তবে সীমাটি আমাকে এই কাজটি শেষ করতে বাধা দিচ্ছে।

অবশ্যই, আমি প্রতিটি হোস্টের আইপিটিবেলে এটি করতে পারি, তবে আমি ভিপিসির সমস্ত উপাদানগুলিতে যেকোন এবং সমস্ত ট্র্যাফিক ব্লক করতে চাই (উদাহরণস্বরূপ ELB এর কাছে)। তদুপরি প্রতিটি হোস্টের চেয়ে এই নিয়মগুলি এক জায়গায় পরিচালনা করা অনেক বেশি আদর্শ।

আমি আশা করছি এমন কোনও উপায় আছে যা আমি সিস্টেম / প্ল্যাটফর্ম পর্যায়ে এটি বুঝতে বুঝতে পারছি না। সুরক্ষা গোষ্ঠীগুলি কোনও অস্বীকৃত ক্রিয়া ছাড়াই স্পষ্টভাবে অনুমতি দেয়, সুতরাং তারা কৌশলটি করবে না।


Iptables পরিচালনার জন্য জবাবদিহের মতো প্রভিশন সফ্টওয়্যার ব্যবহার করুন এবং আপনার কাজ শেষ। স্পষ্টতই এটি কেবল ইসি 2 উদাহরণগুলিতে কাজ করবে; এলবিএস নয়
কিস্লিক

হ্যাঁ আমি সম্মতি দিচ্ছি যে আইপিটিবেলগুলি করা ইসি 2 এর পক্ষে ঠিক আছে তবে আমার অভ্যন্তরীণ ট্র্যাফিকের 99% আমাদের ELB কাঠামোকে হিট করে। আমাদের জানা এই স্ক্যামারগুলির কাছ থেকে আমরা অনেকগুলি হিটের জন্য অর্থ প্রদান করব with
ইনপুটটির

1
50 টি পৃথক আইপি ব্লক করা একটি বিজোড় প্রয়োজনের মতো বলে মনে হচ্ছে।
ব্যবহারকারী 253751

1
... এবং আপনার স্ক্যামারগুলির কোনওটিরই গতিশীল আইপি নেই?
ব্যবহারকারী 253751

1
কখনও কখনও তাদের উপসাগর এ রাখে, কখনও না। এটি একটি ব্যবসায়িক অনুশীলন যা বেশিরভাগ সময় সত্যই কাজ করার পক্ষে প্রমাণিত হয়েছে তাই আপনার মতামত যাই হোক না কেন আইপি এর ব্লক করা বন্ধ করার কোনও কারণ নেই। এই প্রশ্নটি 16 দিনের মধ্যে 9 টি উপভোটের মতো শব্দগুলি প্রমাণিত করে যে এটি কোনও ক্রেজি অনুরোধ নয়। কিছু কারণে যদিও এই গর্ব ধরে রাখা।
Emmdee

উত্তর:


8

এখানে একটি বাম-ক্ষেত্রের ধারণা .. প্রতিটি আইপি-র জন্য ভিপিসি রুট টেবিলটিতে "ভাঙ্গা" রুট যুক্ত করে আপনি 50 টি অবরুদ্ধ আইপিগুলিকে "নাল-রুট" করতে পারেন।

এটি আপনার অবকাঠামোতে আঘাতকারী আইপিগুলি থেকে ট্র্যাফিককে আটকাতে পারে না (কেবলমাত্র এনএসিএল এবং এসজিরা এটি প্রতিরোধ করবে), তবে এটি প্রতিটি "বাড়ি ফিরে" তৈরি থেকে ফেরার ট্র্যাফিককে আটকাবে ..


আমি দুর্ঘটনাক্রমে ট্রানজিট গেটওয়ে তৈরি করে, রাউটিং স্থাপন করে, এবং পরে ট্রানজিট গেটওয়েটি মোছার মাধ্যমে একবারে ট্র্যাফিকটি বাতিল করে দিয়েছি। যদিও এর চেয়ে সহজ উপায় হতে পারে।
টিম

বুদ্ধিটা খারাপ না. ধন্যবাদ বাক্সের বাইরে খুব ধন্যবাদ। আমি কিছু পরীক্ষা-নিরীক্ষা করবো।
ডাব্লুএএফএর

0

এনএসিএলগুলিতে সীমাবদ্ধতা বাড়ানোর কোনও উপায় নেই এবং এনএসিএল বিধিগুলির একটি উচ্চ সংখ্যা নেটওয়ার্কের কার্যকারিতাকে প্রভাবিত করে।

আপনার সর্বোপরি কোনও স্থাপত্য সংক্রান্ত সমস্যা থাকতে পারে।

  1. আপনার উদাহরণগুলি কি সর্বজনীন সাবনেটগুলিতে থাকতে হবে?
  2. অভ্যন্তরীণ ট্র্যাফিক সীমাবদ্ধ করতে আপনি কি NAT গেটওয়ে স্থাপন করেছেন?
  3. সেই সব দৃষ্টান্তগুলির জন্য যেগুলি অবশ্যই সর্বজনীন সাবনেটগুলিতে থাকতে হবে আপনার কি ন্যূনতম অন্তর্মুখী সুরক্ষা গোষ্ঠী বিধি আছে?
  4. আপনি কি ক্লাউডফ্রন্ট এবং আপনার লোড ব্যালান্সারগুলিতে অযাচিত ট্র্যাফিক আটকাতে AWS WAF আইপি ম্যাচের শর্তগুলি ব্যবহার করছেন ?

আপনি যদি এনএসিএল নিয়মের সীমাটিকে আঘাত করছেন তবে এটি সম্ভবত সম্ভবত কারণ আপনি ভিপিসি আর্কিটেকচারের জন্য এডাব্লুএসের প্রস্তাবিত পদ্ধতির গ্রহণ করছেন না এবং অবাঞ্ছিত ট্র্যাফিক এবং ওভারটেক আক্রমণকে অবরুদ্ধ করতে ডাব্লুএএফ (এবং শিল্ডের জন্য পরিষেবা) ব্যবহার করছেন না services

আপনার উদ্বেগ যদি ডিডোএস আক্রমণ হয়: অ্যামাজন ক্লাউডফ্রন্ট এবং অ্যামাজন রুট ব্যবহার করে ডিডিএস আক্রমণগুলির বিরুদ্ধে ডায়নামিক ওয়েব অ্যাপ্লিকেশনগুলি কীভাবে সুরক্ষিত করতে পারেন


এনএটি গেটওয়েগুলি অন্তর্বাসের চেয়ে বহির্মুখী ট্র্যাফিকের জন্য।
টিম

@ টিমটি সঠিক করুন, সুতরাং আপনার এনটিএস গেটওয়েগুলির পিছনে ব্যক্তিগত সাবনেটগুলিতে উদাহরণগুলি রেখে আউটবাউন্ড কানেক্টিভিটি তাদের অভ্যন্তরীণ আক্রমণগুলিতে না খোলায় এবং এনএসিএলগুলিতে আইপিগুলি ব্লক করার প্রয়োজন নেই

খুব উচ্চ ট্র্যাফিক ওয়েবসাইটের জন্য ডাব্লুএএইচ বেশ ব্যয়বহুল। এ কারণে এড়াতে চেষ্টা করা। সুরক্ষা গোষ্ঠীগুলি ব্লক এবং ওয়েব এসিএলের এই সীমাবদ্ধতা স্পষ্টভাবে প্রকাশ করতে পারে না তা ঠিক একটি বড় নগদ দখলের মতো বলে মনে হয়।
Emmdee

আমার ধারণা এটি ব্যবহারের ক্ষেত্রে নির্ভর করে যা ব্যাখ্যা করা হয়নি। এই আইপিগুলি ব্লক করার কারণ যদি তারা কোনও ওয়েব সার্ভারকে আক্রমণ করে চলেছে তবে সার্ভারগুলিতে এখনও সর্বজনীন অ্যাক্সেস থাকা দরকার, যার অর্থ লোড ব্যালেন্সার বা প্রক্সি। একটি বেসরকারী সাবনেট সে ক্ষেত্রে সহায়তা করবে না।
টিম

আমার ব্যবহারের ক্ষেত্রে 99% ইএলবি অভ্যন্তরীণ ট্র্যাফিক গ্রহণ করছে। ইসি 2 উদাহরণ ইএলবির পিছনে ব্যক্তিগত।
Emmdee

0

এটি আপনি যা চেয়েছিলেন ঠিক তা নয়, তবে কাজটি যথেষ্ট ভালভাবে করতে পারে।

আপনার অবকাঠামোর সামনে ক্লাউডফ্রন্ট সেট আপ করুন। কার্যকরভাবে ট্র্যাফিক অবরোধ করতে আইপি ম্যাচ শর্তাদি ব্যবহার করুন । ক্লাউডফ্রন্ট স্থিতিশীল এবং গতিশীল উভয় সামগ্রীর সাথে কাজ করে এবং গতিশীল সামগ্রীকে ত্বরান্বিত করতে পারে কারণ এটি পাবলিক ইন্টারনেটের চেয়ে এডাব্লুএস ব্যাকবোন ব্যবহার করে। ডক্স যা বলে তা এখানে

আপনি যদি কিছু ওয়েব অনুরোধের অনুমতি দিতে চান এবং অনুরোধগুলি যে আইপি ঠিকানার ভিত্তিতে উত্সাহিত হয়েছে তার ভিত্তিতে অন্যকে অবরুদ্ধ করতে চান, আপনি যে আইপি ঠিকানাগুলি মঞ্জুর করতে চান তার জন্য একটি আইপি ম্যাচ শর্ত তৈরি করুন এবং যে আইপি ঠিকানাগুলিতে আপনি অবরুদ্ধ করতে চান তার জন্য অন্য আইপি ম্যাচের শর্ত তৈরি করুন ।

ক্লাউডফ্রন্ট ব্যবহার করার সময় আপনার সুরক্ষা গোষ্ঠীগুলি ব্যবহার করে যে কোনও জনসাধারণের সংস্থানগুলিতে সরাসরি অ্যাক্সেস ব্লক করা উচিত। ডেস্কটপ AWS আপডেট সিকিউরিটি গোষ্ঠীসমূহ ল্যামডা তারিখ থেকে আপনার নিরাপত্তা গ্রুপ বজায় রাখা হবে CloudFront ট্রাফিকের অনুমতি কিন্তু অন্যান্য ট্রাফিক প্রত্যাখ্যান করার। আপনি যদি ক্লাউডফ্রন্ট ব্যবহার করে এইচটিএমএইচটি https এ পুনর্নির্দেশ করেন তবে HTTPটিকে আপনার অবকাঠামোতে আঘাত করা রোধ করতে আপনি স্ক্রিপ্টগুলি কিছুটা মুছে ফেলতে পারেন। আপনি যে কোনও আইপি সরাসরি অ্যাডমিন অ্যাক্সেস প্রয়োজন হোয়াইটলিস্ট করতে পারেন।

পর্যায়ক্রমে, আপনি ক্লাউডফ্লেয়ারের মতো কোনও তৃতীয় পক্ষের সিডিএন ব্যবহার করতে পারেন। ক্লাউডফ্লেয়ারের একটি কার্যকর ফায়ারওয়াল রয়েছে তবে আপনি যে নিয়মের সংখ্যা চান তা প্রতি মাসে 200 ডলার। এটি ক্লাউডফ্রন্টের তুলনায় সস্তা হতে পারে, এডাব্লুএস ব্যান্ডউইথ মোটামুটি ব্যয়বহুল। নিখরচায় পরিকল্পনা আপনাকে কেবল 5 ফায়ারওয়াল বিধি দেয়।


আমরা ইতিমধ্যে স্থির বিষয়বস্তুর জন্য ক্লাউড ফ্রন্ট ব্যবহার করেছি তবে প্রচুর সাইট গতিশীল ওয়েব সামগ্রী।
Emmdee

ক্লাউডফ্রন্ট গতিশীল বিষয়বস্তু aws.amazon.com/blogs/networking- এবং- কনটেন্ট- ডেলিভারি/…

ক্লাউডফ্রন্ট গতিশীল সামগ্রীকে ত্বরান্বিত করতে পারে, আমি বিশ্বাস করি এটি পাবলিক ইন্টারনেটের চেয়ে এডাব্লুএস ব্যাকবোন ব্যবহার করে। ক্লাউডফ্রন্টের ইসি 2 এর তুলনায় কিছুটা কম ব্যান্ডউইদথ রয়েছে, এবং আমি মনে করি কিছুক্ষণ আগেই আমি একটি ঘোষণা দেখেছি যে ব্যান্ডউইথ ক্লাউডফ্রন্ট ইসি 2 এ ফ্রি রয়েছে।
টিম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.