При развертывании балансировщиков нагрузки, шлюзов, брандмауэров или маршрутизаторов в сети, Переадресация IP Играет решающую роль в организации дорожного движения. Но эта гибкость подразумевает и ответственность, особенно когда речь идёт о безопасности.
В этой статье объясняется, что такое IP-пересылка, как она ведет себя в различных сценариях балансировки нагрузки (L4 и L7), а также какие рекомендации по безопасности следует соблюдать, особенно при использовании RELIANOID с несколькими сетевыми интерфейсами.
Что такое IP-переадресация? #
Переадресация IP — это способность системы (например, балансировщика нагрузки на базе Linux) пересылать пакеты с одного сетевого интерфейса на другой, эффективно маршрутизируя пакеты, которые не предназначены для локальной машины.
Включение IP-пересылки в Linux #
Чтобы временно включить:
эхо 1> / proc / sys / net / ipv4 / ip_forward
Чтобы включить навсегда:
# Редактировать /etc/sysctl.conf net.ipv4.ip_forward = 1 # Применить изменения sysctl -p
Отключение IP-пересылки #
Чтобы временно отключить:
эхо 0> / proc / sys / net / ipv4 / ip_forward
Чтобы отключить навсегда:
# Редактировать /etc/sysctl.conf net.ipv4.ip_forward = 0 # Применить изменения sysctl -p
Риски безопасности, позволяющие использовать IP-пересылку #
Включение переадресации IP-адресов в балансировщиках нагрузки (или любом сетевом устройстве на базе Linux) может привести к проблемам безопасности, если не настроить их должным образом. Ниже приведено подробное описание этих проблем и способов их устранения.
Непреднамеренная маршрутизация / бэкдор-доступ #
Если переадресация IP включена без строгих правил брандмауэра, ваша система может непреднамеренно направлять трафик между интерфейсами (например, с внутреннего на внешний), выступая в качестве моста между изолированными сетями.
Подмена исходного IP-адреса #
Если балансировщик нагрузки пересылает пакеты без проверки исходных адресов, злоумышленник может подделывать исходные IP-адреса, вызывая проблемы с ведением журнала, ограничением скорости или обходом списков контроля доступа (ACL) на внутренних системах.
Открытый ретранслятор для пересылки пакетов #
Неправильно настроенная система может пересылать произвольные пакеты между интерфейсами, превращая балансировщик нагрузки в ретранслятор пакетов, пригодный для атак с усилением DDoS или кражи данных.
Подверженность атакам L3 (например, SYN-флудам, Smurf-атакам) #
Балансировщик нагрузки с поддержкой пересылки может использоваться при определенных атаках уровня 3 или 4, особенно если он не защищен ограничением скорости или надлежащей фильтрацией.
Обход устройств безопасности #
Если IP-пересылка направляет трафик в обход вашего брандмауэра или IDS/IPS, вредоносный трафик может обойти проверку.
Как RELIANOID Использует IP-пересылку #
После появления RELIANOID Балансировщик нагрузки настроен с несколько сетевых интерфейсов, IP-пересылка включен по умолчаниюЭто позволяет системе сократить число переходов маршрутизации и выбрать кратчайший путь к внутренним серверам, что повышает производительность в конфигурациях NAT и с несколькими подсетями.
Переадресация IP: когда она необходима (а когда нет) #
| Режим балансировки нагрузки | Требуется ли переадресация IP? |
| L4 (транспортный уровень) | Требуется, если VIP и бэкэнды находятся в разных подсетях (например, топологии NAT/DNAT) |
| L7 (HTTP/S-прокси) | Не требуется, так как прокси-сервер завершает и заново инициирует соединения для каждого перехода. |
Рекомендации по обеспечению безопасности при необходимости включения IP-пересылки #
Если вашей инфраструктуре требуется переадресация IP-адресов, рассмотрите следующие стратегии защиты:
Установите для маршрутизации интерфейсов значение «Неуправляемый» в RELIANOID #
In Сети > Маршрутизация, переключиться с Управляемые в Неуправляемый Режим. Это предотвращает внутреннее управление таблицей маршрутизации и обнаружение боковых путей.
Используйте микросегментацию #
Определите явные правила доступа между конечными точками с помощью межсетевых экранов или групп безопасности. Разрешите трафик только между авторизованными компонентами (например, VIP ↔ бэкэнд).
Внедрение тегов VLAN #
Обеспечьте сегментацию уровня 2 с помощью VLAN для изоляции внутренних/внешних путей трафика и ограничения доступа на аппаратном уровне.
Хотя переадресация IP-трафика может быть необходима, особенно для трафика уровня 4 или многоинтерфейсных конфигураций, она также создаёт риски. RELIANOIDАвтора Неуправляемая маршрутизация Благодаря стратегиям сегментации сети, таким как VLAN и микросегментация, организации могут добиться как производительности, так и надежной безопасности.
