Организация защиты сети от сетевых угроз

Система защиты Arbor (Peakflow SP, Pravail etc) от американской компании Arbor Networks

Аппаратно-программный комплекс Периметр(Периметр-Ф) российской команды из МФИ-Софт

Израильский продукт Radware (DefensePro|Pipe), защищающий все и вся, от одноименного предприятия.

5.1 Arbor

Компания Arbor Networks является одним из ведущих мировых поставщиков решений по обеспечению безопасности в сетях операторов связи и крупных корпораций. Решения Arbor Networks позволяют осуществлять мониторинг вычислительных сетей и эффективно обнаруживать аномалии и DDoS-атаки. Возможности подавления распределённых атак, высокая производительность и масштабируемость решений, независимость от типа и производителя сетевого оборудования магистральной сети являются ключевыми преимуществами решений Arbor Networks.

Решения Arbor Networks:

Решение Peakflow SP для обеспечения доступности и визуализации сетей крупных компаний

Решение Pravail APS для обеспечения доступности крупных и средних компаний

Решение Pravail NSI для детектирования сетевых аномалий и визуализации сети

Решения Pravail SA для анализа сетевой безопасности компании, обнаружению атак и расследованию инцидентов

Компания предлагает комплексный подход для решения следующих задач:

Обеспечение бесперебойной работы/доступности сетевых сервисов (решения по защите от атак DDOS)

Визуализация сетей компании

Детектирование сетевых аномалий

Решение для расследования и обнаружения атак

5.1.1 Arbor Peakflow SP

Защита от DDoS атак, построенная на применении решений Arbor Peakflow SP, используются у большей части магистральных и средних провайдеров во всём мире, в том числе и в России. Система состоит из нескольких типов устройств: Peakflow CP, Peakflow TMS, Peakflow FS, Peakflow PI, Peakflow BI, но базовая инсталляция системы обычно включает только первые два типа.

Arbor Peakflow SP содержит в себе основные два раздела:

TMS (Threat Management System) - Система управления угрозами

CP (Convergent Platform) - Платформа сбора и анализа информации о маршрутах.

Peakflow CP является основным компонентом системы защиты - этот сервер является центром управления системой защиты и центром мониторинга всей сети провайдера. На Peakflow CP поступает информация о сетевом трафике и маршрутизации в сети, а также о состоянии и загрузке маршрутизаторов. Устройство Peakflow TMS является интеллектуальным сетевым экраном - трафик, содержащий атаку, фильтруется на серверах TMS. При этом TMS может стоять либо в разрыве канала связи, либо «в стороне», в последнем случае зараженный трафик перенаправляется на TMS для очистки с использованием динамической маршрутизации BGP.

Система Arbor Peakflow SP содержит огромное количество настраиваемых шаблонов и контрмер, посредством которых обеспечивается не только эффективная защита от DDoS-атак, но и вообще гибко фильтруется трафик по самым разным признакам: по URL-адресам, по географическому расположению - страна, регион, населенный пункт, по структуре IP-пакетов, по характеру и структуре трафика, и т.д. Система также предоставляет портальный интерфейс - возможность создания «личных кабинетов» для клиентов оператора связи. В «личном кабинете» клиент имеет доступ ко всей информации, относящейся к его защищаемым ресурсам - мониторинг, статистика, информация об атаках и прочее, а также возможность самостоятельно управлять защитой своих ресурсов.

В Arbor Networks функционирует специализированная сетевая лаборатория ASERT (Arbor Security Engineering and Response Team), в задачи которой входят постоянный мониторинг и анализ аномалий и DDoS-атак в сетях операторов связи по всему миру, поддержание базы знаний об атаках и ботнетах, использование этих сведений для эффективного обнаружения и подавления атак системами Arbor. Благодаря механизму обмена информацией Fingerprint Sharing Alliance на все устройства Arbor оперативно доставляется актуальная информация и новые сигнатуры.

Некоторые функции системы Arbor Peakflow SP

обнаружение аномалий и DDoS-атак в сетевом трафике - как с использованием сигнатурного, так и поведенческого методов анализа;

блокирование DDoS-атак в полуавтоматическом или автоматическом режиме;

мониторинг трафика и маршрутизации в сети провайдера;

развитая система отчетов, уведомлений;

высокая масштабируемость решения.

Результат применения решения

глубокий и всесторонний мониторинг трафика и маршрутизации в сети провайдера или крупного предприятия, центра обработки данных;

обнаружение и предотвращение DDoS-атак в ручном или автоматическом режиме;

обеспечение надежности функционирования ИТ-инфраструктуры и непрерывности бизнеса;

снижение вероятности репутационных и финансовых потерь в связи с возможными DDoS-атаками на Интернет-ресурсы.

5.1.2. Arbor Pravail

Решения Arbor Pravail предназначены для организаций различного уровня и Интернет-площадок, для которых актуальна задача защиты от DDoS атак и обеспечения непрерывного функционирования своих Интернет-сайтов и порталов. Arbor Pravail является первым полноценным решением на рынке ИБ в своем классе (защита от DDoS для предприятий, а не провайдеров), был представлен на рынке относительно недавно (в 2011 г.) и аккумулирует в себе весь опыт и технологии Arbor Networks по защите от DDoS-атак, которые производитель накопил за много лет.

Система представляет собой единый аппаратно-программный комплекс, устанавливаемый на внешнем периметре организации между корпоративным межсетевым экраном и операторами связи. Arbor Pravail использует сигнатурный и поведенческий методы анализа для обнаружения атак, позволяет осуществлять их подавление в автоматическом и полуавтоматическом режимах. Системы Arbor Pravail подключены к лаборатории ASERT, что обеспечивает доступ к наиболее полной и актуальной базе знаний о ботнетах и особенностях DDoS-атак, и как следствие - возможности эффективного обнаружения и подавления.

Результат применения решения

обнаружение и предотвращение DDoS-атак;

непрерывность функционирования и постоянная доступность для пользователей Интернет-сайта или портала;

минимизация финансовых и репутационных потерь от простоев сайта или портала;

репутация надежного поставщика услуг и информации;

информация для расследования инцидентов

Для защиты систем создаются группы, к которым применяются соответствующие правила и все. Остается только следить за графиками. Есть типовая настройка и немного более детальная, но как правило -- для работы достаточно базовых значений. Тестирование многими компаниями проходят успешно. Интеграции системы также проходят гладко.

Пожалуй, самый главный минус -- это цена. Pravail дорогой, Peakflow -- космически дорогой

5.2 Периметр

МФИ Софт - инновационная компания из России, создатель систем информационной безопасности (системы DLP, защиты баз данных), фильтрации интернет-трафика и систем легального контроля (СОРМ), антифрод-систем.

Решения МФИ Софт по DDoS:

АПК «Периметр» для защиты сетей крупных интернет-провайдеров и дата-центров от DDoS-атак любого типа

АПК «Периметр-мини» для защиты корпоративной сети и небольших дата-центров

Группа решений «Периметр» -- линейка программно-аппаратных комплексов для фильтрации Интернет-трафика, а также предупреждения, обнаружения и подавления DDoS-атак различного типа в сети передачи данных

Защита от DDoS-атак, фильтр интернет-трафика и получения углубленного анализа состояния сети. АПК «Периметр» предназначен для защиты сетей крупных интернет-провайдеров и дата-центров от DDoS-атак любого типа. Решение «Периметр» обеспечивает непрерывную очистку трафика от вредоносных запросов и пакетов, не преграждая доступ легитимных пользователей

5.2.1 Функциональные возможности

Мониторинг сетевого трафика.

Система проводит анализ по маршрутам прохождения трафика в режиме реального времени.

Обнаружение и подавление атак и аномалий трафика.

«Периметр» позволяет обнаружить огромный спектр событий на устройствах сети, обнаруживать вредоносную активность на значительных скоростях и подавлять ее, используя современные эвристические и алгоритмические способы ослабления атак.

Оптимизация, планирование и контроль структуры сети.

Более подробная информация о маршрутах прохождения трафика позволяет проводить оптимизацию внутренней структуры сети и взаимодействия между операторами: типы трафика, уровень загруженности каналов, размеры передаваемых пакетов по различным маршрутам трафика и статистические данные иного характера.

Возможность анализа «сырого» трафика

Позволяет удостовериться, что фильтруется именно зловредный трафик, а запросы добропорядочных пользователей беспрепятственно пропускаются.

Масштабирование системы защиты

Система "Периметр" является масштабируемой. В частности, можно наращивать мощность по очистке трафика путем кластеризации, увеличивая количество используемых "Очистителей" на отдельных серверных платформах.

Дампинг сырого трафика

Система "Периметр" позволяет администратору сохранять дамп входящего трафика в чистом виде. Записав его на жесткий диск, специалист может проанализировать сетевые пакеты. Это позволяет, например, найти у большого количества вредоносных пакетов общий набор байтов. После этого можно запустить фильтрацию по этому набору, эффективно защитившись от разворачивающейся DDoS-атаки.

Таблица 1 - Сравнительные характеристики стандартных вариантов системы «Периметр»

ПАРАМЕТРЫ	ПЕРИМЕТР	ПЕРИМЕТР-МИНИ
Характеристики серверной платформы	2U, интерфейсы - два 10гбит/с, четыре 1гбит/с.	1U, интерфейсы - шесть 1гбит/с.
Анализ трафика	до 600 Gbps	до 10 Gbps
Анализ BGP	до 5 роутеров (совмещенная конфигурация «Анализатор»+«Очиститель» до 10 роутеров (отдельный «Анализатор»	до 2 роутеров
Очистка трафика	до 10 Gbps/14.8 Mpps	до 1 Gbps/1.48 Mpps

Помимо этого, производитель может осуществлять нестандартные поставки в зависимости от типологии и размера сети клиента. В частности, возможен вариант, в котором «Очиститель» и «Анализатор» установлены на разных серверах.

Цели внедрения:

Повышение лояльности клиентов и инвестиционной привлекательности компании-оператора связи

Снижение рисков репутационных и финансовых потерь

АПК «Периметр», непрерывно следит за входящим трафиком вашего Интернет-ресурса, обнаруживает угрозы, при наличии DDoS-атаки отправляет вам предупреждение по e-mail, а инженер технической поддержки, самостоятельно запускает механизм фильтрации с предварительным согласованием предпринимаемых действий, при необходимости

5.3 Radware

Radware -- компания в области комплексных решений ADC , сетевой безопасности и развертывания программного обеспечения. Radware обеспечивает доступность, производительность и безопасность использования бизнес-приложений для более чем 10,000 предприятий и поставщиков коммуникационных услуг по всему миру.

Решения для обеспечения безопасности сети и приложений в режиме реального времени

Семейство решений Radware для обеспечения безопасности и предотвращения вторжений образует лучшую в своем классе многоуровневую и, в то же время, простую в управлении архитектуру защиты сети и приложений в режиме реального времени. Система отражения атак Radware AMS (Attack Mitigation Systems) является первым в отрасли полностью интегрированным решением для обеспечения защиты от простоев/деградации сетевой инфраструктуры и приложений; закрытия уязвимостей в приложениях; предотвращения распространения вредоносных программ, краж информации и атак на веб-приложения. Radware AMS включает:

DefensePro - Система защиты и предотвращения атак (IPS, DoS/DDoS) в реальном времени, позволяющая отражать атаки без нарушения работы легитимных пользователей, основываясь на поведенческом анализе сети и приложений

DefensePipe - Облачный сервис для предотвращения вторжений и защиты от DDoS-атак

Radware DefensePro - система защиты и предотвращения атак (IPS, DoS/DDoS) в реальном времени, позволяющая отражать атаки без нарушения работы легитимных пользователей, основываясь на поведенческом анализе сети и приложений. DefensePro позволяет исключить простои и деградацию сетевой инфраструктуры, предотвратить распространение вредоносных программ, кражу информации, защитить от атак на уязвимости приложений.

Основной способ проведения DDoS-атаки - флуд (flood) - направлен на превышение системных ресурсов сети и сетевого оборудования: каналов связи, процессора или памяти, - с целью нарушения или полной блокировки работы атакуемых веб-сайтов, сетей и веб-приложений. Флуд атака производится одновременно от большого количества пользователей с использованием зараженных специальными троянскими программами компьютеров.

DefensePro обеспечивает защиту от DDoS-атак путем анализа пользовательского поведения и запросов, накопления и анализ статистики, выявления DDoS-атак на основе отклонений и аномалий по сравнению со штатными условиями работы защищаемых сетей и сетевых сервисов, блокирования нелегитимного трафика методом динамической фильтрации сетевых пакетов с автоматической генерацией сигнатур DDoS-атаки в реальном времени.

DefensePro блокирует DDoS-атаку, не нарушая при этом работу легитимных пользователей.

В DefensePro включены следующие модули безопасности:

Система предотвращения вторжений (IPS): основанная на технологии обнаружения статических сигнатур IPS использует периодические и аварийные обновления для защиты вашей сети.

Поведенческий анализ сети (NBA): этот модуль использует запатентованную, основанную на поведении сигнатур в реальном времени технологию для обнаружения аномального поведения, что может сигнализировать об атаке. Используя эти данные, модуль NBA начинает блокировать атаки.

Защита от отказа в обслуживании: защита от распределенных DоS-атак путем выявления потенциальных угроз в реальном времени для обеспечения безопасности сети.

Репутационный механизм: технология защиты в режиме реального времени от троянов и фишинговых атак, нацеленнных на потенциальные угрозы финансовых мошенничеств, кражи информации, а также распространения вредоносных программ.

DefensePro защищает сеть и приложения от всех видов флудов, включая TCP SYN; TCP Push, Fin и Reset; UDP и DNS; ICMP и IGMP.

DefensePro блокирует DDoS-атаку, не нарушая при этом работу легитимных пользователей.

DefensePro - это специализированная платформа с двумя процессорами Dual-Core Opteron, с 6..10 Гбайт оперативной памяти, со встроенными высокопроизводительными сетевыми процессорами компании EZChip Technologies, со специализированными ASIC и FPGA для аппаратного ускорения обработки сетевого трафика. DefensePro со встроенным IPS содержит также высокопроизводительный контекстный процессор NETL7 компании NetLogic Microsystems для аппаратного ускорения сигнатурного анализа сетевых пакетов.

Обработка сетевого трафика осуществляется поэтапно с использованием различных механизмов защиты. При этом суммарное время задержки сетевого пакета для всех линеек DefensePro не превышает 60 микросекунд.

В DefensePro реализованы следующие механизмы защиты:

Behavioral DDoS Protection

TCP SYN Flood Protection

Signature Protection (IPS)

Connection Limit

Stateful Inspection

BandWidth Management

HTTP Mitigator

Behavioral Server-Cracking Protection

Anti-Scanning Protection

Stateful Firewall (ACL)

Одно из достоинств DefensePro - это возможность увеличения производительности по мере необходимости

5.3.1 О механизмах защиты

Behavioral DDoS Protection. Самый действенный и самый ресурсоемкий механизм защиты от DDoS-атак. В основе поведенческой защиты - глубокая инспекция пакетов вплоть до 7-го уровня (Deep Packet Inspection), накопление и анализ статистики, обучение и адаптив- ное построение многомерной модели распределения трафика для штатных условий работы защищаемых сетей и сетевых сервисов, выявление DDoS-атак на основе отклонений и аномалий, блокирование нелеги- тимного трафика методом динамической фильтрации сетевых пакетов с автоматической генерацией сигнатур DDoS-атаки в реальном времени (модуль Fuzzy Logic). Механизм поведенческой защиты имеет большое количество настраиваемых параметров, поддерживает периоды обучения длительностью день, неделя и месяц, позволяет создавать отдельные политики для каждой защищаемой сети и для каждого сетевого сервиса. При обнаружении признаков DDoS-атаки время на принятие решения, построение динамических фильтров и генерацию сигнатур DDoS-атаки составляет 12 секунд. В процессе подавления DDoS-атаки механизм поведенческой защиты отслеживает количественные и качественные параметры трафика и при снижении сетевой активности ниже критических порогов снимает динамические фильтры и деактивирует сигнатуры. Если же применение построенных динамических фильтров и сгенерированных сигнатур не привело к снижению нелегитимного трафика ниже пороговых значений, то DefensePro осуществляет анализ дополнительных параметров трафика с последующим ужесточением фильтрации и перегенерацией сигнатур. Одно из важных преимуществ механизма поведенческой защиты DefensePro - противодействие атакам «нулевой минуты», для которых еще не созданы статические сигнатуры и не может быть применен IPS.

TCP SYN Flood Protection. Высокопроизводительный (до 10 Mpps) механизм защиты от атак TCP SYN flood с подменой IP-адреса отправителя (спуфинг). В основе - механизм SYN Cookies, поддерживаемый встроенными в DefensePro сетевыми процессорами EZChip и FPGA.

Signature Protection. Классический IPS с аппаратной поддержкой статических сигнатур, разработанных и постоянно обновляемых компанией Radware, а также сигнатур пользователя. Присутствует только в двух линейках DefensePro. Высокопроизводительный аппаратный IPS является оптимальным методом противодействия известным уязвимостям в ПО и DDoS-атакам, реализуемым на базе широко распространенных утилит и конструкторов. Использование DefensePro со встроенным IPS позволит банку исключить риски проникновения «сетевых червей», детектировать работу «ботов» на компьютерах банковских сотрудников, защитить сетевые сервисы от атак на выявленные, но еще не закрытые уязвимости в серверном ПО, противодействовать типовым DDoS-атакам.

Connection Limit. Данный механизм для защищаемого сервиса обеспечивает контроль максимально допустимого количества сессий с IP-адреса отправителя в единицу времени и при превышении пороговых значений блокирует трафик с чрезмерно активных хостов.

Stateful Inspection. Данный механизм проверяет протоколы TCP, ICMP, DNS, HTTPS, SMTP, IMAP, POP3, FTP и SSH на полное соответствие спецификациям RFC. Механизм предотвращает атаки, основанные на нарушении последовательностей пакетов указанных протоколов.

BandWidth Management. Данный механизм позволяет банку для заданного протокола, защищаемой сети или сетевого сервиса выделить минимально гарантированную полосу пропускания и, при необходимости, ограничить полосу максимально допустимым значением.

DefensePro содержит гибкие механизмы онлайнового мониторинга трафика, оперативного информирования об инцидентах, построения развернутых отчетов.

Таблица 2 - Сравнительные характеристики стандартных вариантов системы «DefensePro»

Характеристики	DefensePro x016 IPS & Behavloral Protection	DefensePro x412 IPS & Behavloral Protection	DefensePro x412 Behavloral Protection
	1016	2016	3016	4412	8412	4412	8412	12412
Платформа	OnDemand Switch 2S1	OnDemand Switch 3S2	OnDemand Switch 3S1
Производительность	1 Gpbs	2 Gpbs	3 Gpbs	4 Gpbs	8 Gpbs	4 Gpbs	8 Gpbs	13 Gpbs
Максимальное количество конкурентных сессий	2*10^6	3.2*10^6	4*10^6
Максимальное количество пакетов в секунду	1*10^6 pps	10*10^6 pps
Порты для инспекции трафика	4*1Gb SFP + 12*1Gb UTP	4*10Gb XFP + 4*1Gb SFP + 8*1Gb UTP

Решения компания Radware имеют преимущества именно в аппаратной части. Так разрабатывается специализированное оборудование для различных программных средств. Пропускная способность также различается.

DefensePro x4420 Series

Предназначен для:

Носители / очистка центры ищут единую платформу для обработки очень высокой громкости атаки

Услуги / облако хостинг-провайдеров, желающих защитить больше клиентов с единой платформой

Большие e-commercy и онлайн-бизнеса ищут платформу для защиты от крупномасштабных и сложных атак

DefensePro 504420 (up to 50Gbps)

DefensePro 1004420 (up to 100Gbps)

DefensePro 2004420 (up to 200Gbps)

DefensePro 3004420 (up to 300Gbps)

DefensePro x420 Series

Предназначен для защиты больших центров обработки данных развернуты крупными предприятиями, электронной коммерции и поставщиков услуг

DefensePro 40420 (up to 40Gbps)

DefensePro 30420 (up to 30Gbps)

DefensePro 20420 (up to 20Gbps)

DefensePro 10420 (up to 10Gbps)

Обновление опции доступны модели 10420 и до 40420

DefensePro x412 Series

Предназначен для защиты больших центров обработки данных развернуты крупными предприятиями, электронной коммерции и поставщиков услуг

DefensePro 12412 (up to 12Gbps)

DefensePro 8412 (up to 8Gbps)

DefensePro 4412 (up to 4Gbps)

Обновление опции доступны модели 4412 и до 12412

DefensePro x016 Series

Предназначен для защиты средних центров обработки данных развернуты крупными предприятиями, электронной коммерции и поставщиков услуг

DefensePro 3016 (up to 3Gbps)

DefensePro 2016 (up to 2Gbps)

DefensePro 1016 (up to 1Gbps)

Обновление опции доступны модели 1016 и до 3016

DefensePro x06 Series

Предназначен для малой и средней защиты центров обработки данных и интернет-шлюзов

DefensePro 2006 (up to 2Gbps)

DefensePro 1006 (up to 1Gbps)

DefensePro 506 (up to 500Mbps)

DefensePro 206 (up to 200 Mbps)

Обновление опции доступны для всех моделей - от 206 до 2006



6. Критерии выбора средств защиты сети от ddos

Для обеспечения защиты нашей сети мы выберем продукт, который нам больше подойдет по определенным критериям.

Продукты мы будем брать из предыдущей главы, а критерии мы осветим ниже в таблице. Приоритетным окажется тот комплекс, который подойдет под указанные критерии. И так перейдем непосредственно к таблице:

Таблица 3 - Выбранные критерии для определение наилучшего решения, представленного на рынке

Представленные решения Критерии Отбора	ARBOR	ПЕРИМЕТР	RADWARE
Специализированная аппаратная платформа	+	+	+
Анализ трафика большого объема (более 500Гб/с)	+	+	+
Очистка трафика большого объема (более 500Гб/с)	+	+	-
Подавление атак на уровне приложений (HTTP, DNS, SIP и т.д.)	+	+	+
Быстрая фильтрация (до 5 мин)	+	+	-
Мощная аппаратная структура	-	-	+
Принцип кластеризации	+	+	+
Применение BGP-offramp в схеме включения	+	+	-
Круглосуточная техническая поддержка	-	+	-
Центр компетенций в России	-	+	-
Составление отчетов	+	+	+
Управление через web-интерфейс	+	+	+

Очевидно, из полученных данных в таблице о возможностях АПК, наш выбор пал на средство защиты от компании МФИ Софт - АПК «Периметр».

Далее схематично мы опишем, как можно применить данный продукт на нашей сети.



7. Схема организация защиты сети

Для интеграции программного комплекса следует, согласно архитектуры сети провайдера, разработать необходимую схему по защите от атак.

Детектирование атак производится на основе анализа трафика по протоколам NetFlow, SNMP, BGP. С помощью полученных данных, АПК Периметр получает статистику по проходящему трафику со всех маршрутизаторов, на которых локализованы основные апстрим и пиринговые стыки (Европа и Россия), а так же с ключевых маршрутизаторов, размещенных в центрах филиалов.

Анализ производится по следующим метрикам:

Маршрутная информация о текущей связности сети провайдера на основе данных BGP,

Объем переданного трафика на основе данных SNMP, аналогично стандартным системам сбора статистики с сетевых интерфейсов,

Информация о портах и протоколах на основе глубоко анализа пакетов, полученных по NetFlow с каждого магистрального маршрутизатора. При этом собираются для анализа пакеты с частотой опроса 1: 2000 - 5000 шт. в зависимости от утилизации CPU маршрутизатора.

На основе полученной статистики для каждого объекта мониторинга строится профиль трафика. Относительно данного профиля автоматически настраиваются пороговые значения, после превышения которых в Периметре формируются аварийные сообщения о выявленных аномалиях по заведенным объектам мониторинга. По необходимости пороги корректируются в ручном режиме. Всем аномалиям по определенному алгоритму присваивается уровень критичности. Активности с высокой степенью опасности, а также попадающие под определенные ключевые слова, попадают в event list инженеров по защите от DDoS, выводятся на видеостену для мониторинга. При преднастроенном шаблоне включается автоподавление атаки.

Собственно, АПК Периметр состоит из 2-х основных модулей:

Анализатора, который производит анализ NetFlow, BGP, SNMP статистики,

Очистителя, позволяющего фильтровать до 80Gbps (8 серверов с 10G сетевыми картами) пораженного трафика.

После детектирования атаки входящий пораженный трафик перенаправляется на модули очистителя Периметра, расположенные в серверной провайдера. Перенаправление трафика может производится автоматически, при настройке определенных правил в Периметре, либо вручную инженером, если шаблон автоподавления не настроен (бывает, если жертва не является клиентом услуги, либо клиент требует согласования способа фильтрации в момент атаки). В Очистителе производится очистка трафика либо по заранее сформированным шаблонам, содержащим необходимые фильтры, либо, если атака нетиповая или есть требование клиента, производится предварительный анализ проходящего трафика средствами АПК, после чего производится настройка необходимых фильтров. Изменение шаблона фильтрации корректируется также при изменении характера атаки или для повышения эффективности очистки.

Рис.12 Схема организации связи защиты сети предприятия

Очищенный трафик из интернета передается к клиенту в заранее настроенном VPN, при этом трафик от клиента в интернет проходит без изменений по основному каналу (отмечено на рисунке синим цветом). Наличие дополнительного VPN для клиентов-операторов является обязательным условием при текущей реализации схемы, для того чтобы исключить возможные проблемы с маршрутизацией интернет трафика. Для остальных клиентов, при необходимости оперативно поставить его на очистку, это не требуется (используются преднастроенные VPN с каждым сетевым доменом). В настоящий момент реализуется техническое решение с использованием технологии BGP Labeled Unicast, которая позволит упростить оперативную постановку на очистку новых клиентов отказавшись от VPN.

Кроме фильтрации трафика с помощью Очистителя АПК Периметр, противодействие DDoS атакам так же можно осуществлять непосредственно на сети IP/MPLS:

Blackhole на сети оператора - входящий трафик до атакуемых IP адресов отбрасывается на маршрутизаторах, через которые поступает (используется клиентом самостоятельно),

Blackhole community - входящий трафик до атакуемых IP адресов отбрасывается на маршрутизаторах вышестоящих операторов, через которые детектировано прохождение вредоносного трафика,

BGP Flowspec - настройка детальных фильтров на портах пограничных маршрутизаторов, когда блокируется трафик не только по IP адресам, но и по конкретным логическим портам или протоколам.

Эти методы используются в случае, когда возникает потребность защитить собственную сеть от перегрузок в случае атаки большой емкости.

7.1 Проведенный расчет, применяемой схемы

Возьмем нагрузку, поступающую на сети 3G - V3G = 24.3 Gbps



Также нагрузку, поступающую на сети 4G - V4G = 58.1 Gbps

Соединение между PE/BGW и оборудованием мобильной сети осуществляется по Ethernet-интерфейсам. В основном, 10Gigabit Ethernet(GE).

Также, учтем, что необходим резерв корректной установки соединения. Как правило, примерно 20% от общей нагрузки.

Попробуем рассчитать - сколько потребуется 10GE интерфейсов на нашем маршрутизаторе (SGE) для прохождения трафика и защиты с помощью АПК Периметр.

Vобщ = V3G + V4G = 24.3 Gbps + 58.1 Gbps = 82.4 Gbps

SGE = Vобщ * 1.2 / 10GE = 82.4 Gbps * 1.2 / 10 Gbps ~ 9.89 = 10 шт

Итого, мы получаем, что защиты мобильной сети нам необходимо примерно 10 интерфейсов 10GE. 

Заключение

В ходе решения проблемы в выбранной теме удалось получить необходимые выводы нашего исследования.

На рассматриваемой сети и возможным атакам, которые мы также рассмотрели удалось выявить наиболее актуальные продукты/решения на рынке ИБ по защите от атак, типа DDoS

Критерии, которые были использованы и освещены в работе помогли выбрать самый оптимальное и эффективное решения

Смоделировано и внедрено выбранное решение успешно, а также получены результаты защиты нашей сети

Как мы видим, в системе "Периметр" реализован весьма разнообразный набор инструментов фильтрации входящего трафика от аномалий и сетевых пакетов, используемых злоумышленниками для организации DDoS-атак. Принцип действия некоторых из них будет понятен большинству пользователей, с другими же знакомы опытные специалисты.

На первый взгляд такое функциональное наполнение может показаться даже избыточным. Но если вникнуть в тему, то становиться понятно, что простые методы могут помочь защититься лишь от примитивных DDoS-атак, когда атакуемый сервер пытаются просто завалить массой запросов. Для защиты от таких воздействий действительно достаточно несложной фильтрации.

Таким образом, атаку на удаленный сервер можно сравнить с противостоянием двух сторон. С одной стоит хакер, имеющий под управлением различных размеров бот-сеть. С другой находится администратор, стремящийся всеми доступными методами сохранить работоспособность вверенных серверов. Ему также нужен инструмент, который позволит достичь поставленных целей. Именно таким инструментом и является "Периметр". В решении реализованы достаточные для отражения любых DDoS-атак фильтры. Однако эффективность их использования может зависеть от администратора.

Таким образом, рассмотренный сегодня комплекс может использоваться как крупными проектами и организациями для защиты своих собственных ресурсов, так и интернет/хостинг-провайдерами, дата-центрами и другими операторами для защиты ресурсов клиентов.



Список использованных источников

1. Лукацкий А. Обнаружение атак. // Санкт-Петербург, БХВ, 2001

2. Медведовский И.Д., Семьянов П.В., Леонов Д.Г. Атака на Internet. // Москва, ДМК, 2000

3. Пол Б. DDoS: Интернет-оружие массового уничтожения. // Пер. с англ.: Сети и системы связи. - 2001 - № 4

4. http://radware.pro/

5. http://www.mfisoft.ru/

6. https://www.arbornetworks.com/

7. Крис Касперски: Техника сетевых атак. -- М.: СОЛОН-Р. -- 2001.

8. Стивен Норткатт, Джуди Новак: Обнаружение вторжений в сеть (настольная книга специалиста по системному анализу). -- М.: ЛОРИ. -- 2001.

9. https://habrahabr.ru/

10. https://xakep.ru/

Размещено на Allbest.ru

...