Socket সর্বোত্তম অনুশীলন: VLANগুলি বনাম রাউটেড রেঞ্জগুলি

নিচের লেখাটি সেই ঘটনাকে কভার করে যেখানে Cato Socket WAN সংযোগ এবং ফায়ারওয়াল-সার্ভিস উভয়ের জন্য ব্যবহৃত হয়। এই ক্ষেত্রে, নিরাপত্তা হলো বাস্তবায়নের একটি প্রধান লক্ষ্য। এই লেখাটি কম প্রাসঙ্গিক সেই পরিস্থিতির জন্য যেখানে Cato Networks মূলত WAN/ বৈশ্বিক সংযোগের জন্য ব্যবহৃত হয়।

পরিচিতি

সাম্প্রতিক সময় পর্যন্ত অভ্যন্তরীণ VLANগুলি পরিচালনকারী অভ্যন্তরীণ L3 সুইচ সহ একটি টপোলজি থাকা বেশ সাধারণ ছিল। ব্যাকবোন সুইচ প্রতিটি VLAN এর জন্য L3 ইন্টারফেস রাখত, যা ডিফল্ট গেটওয়ে হিসেবে কাজ করত। রাউটিং অভ্যন্তরীণভাবে সুইচে করা হত, অর্থাৎ, VLANগুলির মধ্যে ট্রাফিক ঐ সুইচের ভিতরে থাকত। শুধুমাত্র ইন্টারনেট অথবা WAN এর ট্রাফিক ফায়ারওয়াল পর্যন্ত ঊর্ধ্বগতি পেত। নিচের উদাহরণ দেখুন:

L3Switch.png

উপরে দেখানো টপোলজিতে, অভ্যন্তরীণ VLANগুলির মধ্যে রাউটিং L3 ব্যাকবোন সুইচে সম্পন্ন হয়। শুধু ইন্টারনেট ট্রাফিক L4 পরীক্ষার জন্য ফায়ারওয়ালে যাবে। নিচের কারণগুলির কারণে অভ্যন্তরীণ VLANগুলির মধ্যে ACL (Access Lists) থাকা অস্বাভাবিক:

  1. পরিচালনা করা কঠিন - ACL গুলি CLI ব্যবহার করে তৈরি করতে হবে, যা খুব জটিল।

  2. অবরুদ্ধ ট্রাফিক পর্যালোচনা - ট্রাফিক লগগুলি প্রধানত CLI কমান্ড ব্যবহার করে পর্যালোচনা করা যায় এবং বর্তমানে ফায়ারওয়ালের মত পরিষ্কার GUI নেই।

  3. L3 ACL সক্রিয় করলে সুইচের সিপিইউ ক্ষমতা ব্যবহৃত হবে।

  4. একটি বিচ্ছিন্ন VLAN যার কোনো প্রণামিক অ্যাক্সেস নেই থাকা অতি জটিল।

অবশেষে, অধিকাংশ নেটওয়ার্কের অভ্যন্তরীণ VLANগুলির মধ্যে অসীম সীমাহীন রাউটিং এবং অ্যাক্সেস ছিল। কোনো একটি VLAN-এ ভাইরাসের প্রাদুর্ভাবকে ধরা রাখা অনেক কঠিন (প্রায় অসম্ভব) হতো।

L3 নিরাপত্তা ডিভাইসে স্থানান্তরিত করা

যতক্ষন সাইবার আক্রমণ বৃদ্ধি পাচ্ছে এবং ম্যালওয়্যার বড় আকার নিচ্ছে, নেটওয়ার্ক ডিজাইন একটি নিরাপত্তা ডিভাইসে L3 রাউটিং এর দিকে সরতে শুরু করেছে - ফায়ারওয়াল। উপরের টপোলজির মতো, তবে একটি প্রধান পার্থক্য রয়েছে - সমস্ত সুইচগুলি একটি L2 ডিভাইস হিসেবে কাজ করে, ফায়ারওয়াল ডিভাইসটি অভ্যন্তরীণ VLANগুলির মধ্যে L3 রাউটিং করবে। নিচের উদাহরণ দেখুন:

L2_Switch_and_Firewall_inter-VLAN_routing.png

উপরে দেখানো টপোলজিতে, ফায়ারওয়াল একটি Router-on-a-stick হিসেবে কাজ করে। VLAN 10 PC এবং VLAN 20 PC-এর মধ্যে ট্রাফিক ফায়ারওয়ালের মাধ্যমে যাবে।

স্বাভাবিকভাবে, এই পদ্ধতিগুলি অনেক বেশি নিয়ন্ত্রণ এবং নিরাপত্তা প্রদান করে। একটি সংক্রমিত VLAN নেটওয়ার্ক থেকে আলাদা করা খুব সহজ। শুধুমাত্র ইন্টারনেট অ্যাক্সেস সহ একটি VLAN থাকা খুবই সরল (যেমন অতিথি নেটওয়ার্কের জন্য)।

Cato Socket: VLANগুলি বনাম রাউটেড রেঞ্জগুলি

Cato Socket মূলত দুটি কনফিগারেশনকে সাপোর্ট করেঃ

  • VLAN - ফায়ারওয়ালে L3 রাউটিং এর মতো, সকেটের প্রতিটি VLAN এর জন্য L3 ইন্টারফেস থাকে এবং এটি একটি ডিফল্ট গেটওয়ে হিসেবে কাজ করে।

  • রাউটেড রেঞ্জ - স্থির রাউট। প্রথম টপোলজিতে ব্যবহৃত হয় যেখানে সকেট অভ্যন্তরীণ VLAN-এ L3 সুইচের মাধ্যমে মাপদণ্ড রয়েছে।

যদিও উভয় নেটওয়ার্ক ডিজাইন Cato দ্বারা সমর্থিত হয়, নতুন ডিজাইনের জন্য সর্বোত্তম অনুশীলন হবে VLANগুলি। যতক্ষণ কোনো সীমাবদ্ধতা বা বিশেষ প্রয়োজনীয়তা না থাকে, সকেট কনফিগার করার সর্বোত্তম উপায় হবে ফায়ারওয়াল টপোলজিতে L3 অনুরূপ। নীচের উদাহরণ দেখুন:

L3_switch_catoCloud.png

সকেটে VLANগুলি থাকার সুবিধা

  1. পরিচালনা - সকেট প্রতিটি VLAN এর জন্য ডিফল্ট গেটওয়ে হিসেবে কাজ করতে পারে + প্রতিটি VLAN এর জন্য DHCP পরিসীমা প্রদান করতে পারে। সমস্ত কিছু Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন থেকে পরিচালিত হয়।

  2. নিয়ন্ত্রণ - যদি কোনো VLAN এ ভাইরাসের প্রাদুর্ভাব ঘটে, তাহলে এই VLAN সহজে এবং অবিলম্বে একটি WAN ফায়ারওয়াল নিয়মের মাধ্যমে বা VLAN এর ডিফল্ট গেটওয়ে মুছে ফেলার মাধ্যমে আলাদা করা যেতে পারে।

  3. নিরাপত্তা - যখন অতিথিদের জন্য Wifi এর মতো সম্পূর্ণভাবে বিচ্ছিন্ন VLAN তৈরি করার প্রয়োজন হয়, তখন সেই নেটওয়ার্কের WAN/ কোম্পানির প্রবেশাধিকার সহজেই ব্লক করা যায় এবং শুধুমাত্র ইন্টারনেট অ্যাক্সেসের অনুমতি দেওয়া যেতে পারে।

  • মনোযোগ দিন যে নকশা অনুযায়ী সমস্ত WAN ট্রাফিক PoP এ যায়। এর মধ্যে সাইটের সাথে সাইটের ট্র্যাফিক এবং আন্তঃ-VLAN ট্র্যাফিক অন্তর্ভুক্ত। অর্থাৎ, একই অফিসের VLANগুলির মধ্যে ট্র্যাফিক ডিফল্টভাবে সকেটে রাউট করা হবে না। এই পয়েন্টটি পরবর্তী বিভাগে আলোচনা করা হয়েছে।

সকেটে L3 রাউটিংয়ের জন্য সাধারণ উদ্বেগ এবং পরামর্শক সমাধান

  1. অভ্যন্তরীণ VLANগুলির মধ্যে নিরাপত্তা নিয়ম তৈরি করুন এবং পরিচালনা করুন - আসলে VLAN এর মধ্যে ট্র্যাফিকের জন্য শত শত অনন্য নিয়ম থাকা সবচেয়ে গুরুত্বপূর্ণ নয়। আরও গুরুত্বপূর্ণ ক্ষমতা হল সংক্রমিত VLAN কে অবিলম্বে আলাদা করার উপায় থাকা। Cato এর উন্নত নিরাপত্তা সেবাসমূহ যেমন এন্টি-ম্যালওয়্যার এবং IPS দ্বারা কার্যকর সুরক্ষা প্রতিরক্ষা প্রদান করা হবে। এন্টি-ম্যালওয়্যার এবং IPS অভ্যন্তরীণ এবং বাহ্যিক উভয় ট্রাফিকের জন্য প্রকৃত L7 পরিদর্শন প্রদান করবে।

  2. পারফরম্যান্স - যখন আন্তঃ-VLAN রাউটিংকে নিরাপত্তা ডিভাইসে স্থানান্তর করা হয়, তখন অবিলম্বে উদ্বেগ আসে ব্যান্ডউইথ ক্ষমতা। পুরানো L3 স্যুইচগুলির নিরাপত্তা ছিল না, কিন্তু পরিষ্কারভাবে উচ্চ পারফরম্যান্স ছিল। এই পয়েন্টের সমাধানের জন্য আমরা কিছু তথ্য প্রদান করতে চাই:

    • ডাটা সেন্টার ছাড়াও, সাধারণ অফিসগুলিতে হার্ডলি কিছু VLAN থাকে যেমন ব্যবহারকারীরা, প্রিন্টারগুলি এবং অতিথিদের জন্য Wifi। যখন আপনি এটি সম্পর্কে চিন্তা করেন, তখন সেই VLANগুলির মধ্যে ট্র্যাফিক অনুমোদিত করার আসলে কোনো কারণ নেই। তাদের প্রধানত ডাটা সেন্টারের কর্পোরেট সম্পদে অ্যাক্সেসের প্রয়োজন বা এমনকি শুধুমাত্র Office 365, Skype এবং সেলসফোর্সের মতো ক্লাউড সার্ভিসের অ্যাক্সেসের প্রয়োজন।

    • ছোট ভলিউমের ট্রাফিক যেমন ব্যবহারকারীদের থেকে প্রিন্টারগুলিতে, PoP ঘুরে সকেটে ফিরে এসে পুরোপুরি কাজ করতে পারে। ব্যবহারকারীরা যখন প্রিন্টিংয়ের কাজের জন্য অতিরিক্ত 20ms বিলম্ব থাকবে কোনো পার্থক্য লক্ষ্য করবে না, কিন্তু অ্যাডমিনিস্ট্রেটররা অনেক ভালো নিরাপত্তা এবং নিয়ন্ত্রণ পাবেন।

    • যদি উচ্চ-গতির 1Gbps রাউটিং এখনও প্রয়োজন হয়ে থাকে, তাহলে Cato সকেট লোকাল রাউটিং ক্ষমতা সমর্থন করে। লোকাল রাউটিং সকেটের মধ্যে রাউটিংকে অনুমতি দেয়, অর্থাৎ, একটি VLAN জোড়ার মধ্যে ট্র্যাফিক সকেটের মধ্যে থাকবে। তবে, এই ধরনের কনফিগারেশন Cato এর L7 সুরক্ষা সেবাসমূহ (এন্টি-ম্যালওয়্যার এবং IPS) বাইপাস করে। যাইহোক, যদি কোনো সংক্রমিত ওয়ার্ক স্টেশন থাকে, একবার এটি কোনো বাহ্যিক C&C বা ক্ষতিকারক প্রক্সির সাথে যোগাযোগ করবে, এটি সনাক্ত করা হবে এবং সতর্কতা দেওয়া হবে।

Was this article helpful?

13 out of 13 found this helpful

0 comments