رفع ایراد: انتقال فایل و بک آپ گیری با Veeam در شبکه های دارای فایروال های Signature-based
چالش:
انتقال داده ها در یک اتصال که توسط یک فایروال پیشرفته حفاظت می شود امکان پذیر نیست. فایروال از یک روش شناسایی بر پایه Signature استفاده می کند. در این جا feature های مرتبط با این شناسایی ممکن است به شکل Antivirus, Anti-spyware, Intrusion prevention یا application control فعال باشند.
این فرایند می تواند در هر نوع فایروال با ویژگی های مشابه اتفاق بیفتد اما این مورد خاص تا کنون در فایروال های زیر تست و بررسی شده است:
- Dell SonicWALL
- Check Point
- Cisco
- Palo Alto
- Fortinet appliances
در این فرایند ممکن است هر نوعی از انتقال داده اعم از بک آپ، rplication و یا کپی کردن بک آپ تحت تاثیر قرار گیرد. این مشکل می تواند به شکل انواع و اقسام پیام های خطا خود را نشان دهد. این مساله ممکن است به صورت رندوم و یا دائمی اتفاق بیفتد. یکی از رایج ترین شکل های بروز این خطا در مورد خطا در انتقال برخی از دیسک های ماشین مجازی در یک درصد معین رخ می دهد.
متداول ترین پیام های خطا شامل این موارد هستند:
An existing connection was forcibly closed by the remote host.
Unstable connection: unable to transmit data.
بسته به نوع فعالیت و ورژن برنامه Veeam ممکن است این خطا موجب شود تا فرایند انتقال در جا متوقف شود یا این که چندین مرتبه سیستم برای اتصال مجدد تلاش کند. وقتی اتصال در حال تلاش مجدد است ممکن است به نظر برسد که سیستم هنگ کرده است.
دلیل:
در واقع Image هایی که از دیسک ها می گیریم دارای بلوک داده های مختلف و بالقوه نامحدود هستند. به دلیل این که ترافیک در این فرایند به صورت فشرده (و اغلب رمزنگاری شده) است، بلوک داده ها به هنگام آنالیز توسط فایروال متفاوت از داده های موجود بر روی دیسک مجازی هستند. در طولانی مدت این فرایند موجب ورود داده های تصادفی در detector تهدیدات signature-based می شود و بروز False-positive اجتناب ناپذیر خواهد بود.
انتقال داده معمولا به صورت تصادفی نیست: یک بلوک داده معین پس از فشرده سازی و رمزگذاری همیشه دارای یک signature واحد خواهد بود. اگر منبع داده ها تغییر نکند، با هر بار تلاش برای اتصال مجدد همن بلوک داده ها دوباره ارسال خواهد شد. در این حالت فایروال هر بار که Veeam برای انتقال آن بلوک داده ها تلاش می کند این اتصال را در شبکه خواهد بست چرا که به اشتباه یک الگوی داده ای را کشف می کند که در آن بلوک داده مطابق با signature یک تهدید ناشناس است.
راه حل:
باید برای ترافیک داده ها در Veeam یک exclusion تعریف کنید. در اغلب موارد ترافیک مربوطه بین پروکسی ها یا repository ها در یک بازه پیش فرض از پورت های TCP 2500-5000 خواهد بود. این بازه برای هر یک از سرورهای تحت مدیریت در بخش Backup infrastructure settings قابل تغییر خواهد بود.
ارائه دهندگان سرویس های ابری می بایست برای ترافیک داده های ارسالی به gateway های فضای ابری، exclusion را برای پورت 6180 (TCP و UDP) تعریف کنند.
اطلاعلات بیشتر:
برای کشف این نکته که آیا قطعی مورد نظر به خاطر وجود فایروال است یا خیر ابتدا باید تمامی feature های signature-based را در تنظیمات firewall خاموش کنید. برای رسیدن به بهترین نتیجه، خاموش کردن این feature ها بهتر است زمانی انجام شود که فرایند انتقال داده ها متوقف شده است – اگر با خاموش کردن feature ها دوباره انتقال داده ادامه یافت معلوم می شود مساله مربوط به این موضوع است. در برخی موارد فایروال ممکن است به صورت گزینشی امکان غیرفعال کردن برخی سایت ها یا zone ها را بدهد؛ این مساله می تواند راه حلی مفید به شمار آید اما مطلوب نیست چون برخی از این ویژگی ها به سادگی قابل به هم ریختن هستند.
دستور reset هایی که توسط فایروال ارسال می شود به سادگی و به واسطه مدت زمان live مربوط به IP آن ها از ترافیک نرمال قابل شناسایی است. مثلا اگر بیشتر دستورات در یک جریان TCP دارای TTL برابر با 128 باشند اما packet های reset که موجب بستن جریان داده ها می شوند دارای TTL برابر 64 باشند می توان فهمید که اتصال توسط یک فایروال بسته شده است.
آن دسته از feature های فایروال که کلید های رمزگذاری شده تبادل داده ها را بلاک می کنند اغلب اتصالات WAN مورد استفاده توسط Veeam را نیز بلاک خواهند نمود.
منبع:
