Решения Cisco для обеспечения безопасности сетей операторов связи и услуг

Михаил Кадер, инженер
mkader@cisco.com
security-request@cisco.com
Решения Cisco для обеспечения
безопасности сетей операторов
связи и услуг

© Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco Public
Программа
Введение
Модели защиты от DDoS
Обнаружение атак
Модели отвода и возврата трафика
BGP flowspec
Использование DPI
SDN – безопасность со скоростью сети
2

Cisco Public
Введение
Риски очевидны
распределенные атаки типа «отказ в обслуживании» (DDoS) привлекательны для злоумышленников;
DDoS-атаки ставят под угрозу бизнес операторов связи (ISP), поставщиков хостинга, предприятий;
каждый может пострадать;
сложность атак растет – и это только начало.
Защита от DDoS-атак – вопрос обеспечения непрерывности деятельности
https://twitter.com/olesovhcom/status/416667262146195456/photo/1

© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Интернет
Введение
DDoS-атаки бывают различных видов:
 Атаки на прикладном уровне
— Обнаруживаются и обрабатываются МСЭ и СОВ, либо на уровне сервера
 Атаки с заполнением полосы пропускания (в том числе атаки на протоколы)
— НЕ могут быть нейтрализованы в ЦОД или на серверной ферме (слишком поздно).
— Подлежат нейтрализации на магистральной или граничной областях.
Главная тема этой презентации
СОПВ
МСЭ
Статистический
фильтр (DPI)
Веб-сервер Веб-кэш
Сервер БД
Граничный
марш-р
Транзитный и
пиринговый
трафик
Магистральный
марш-р
Марш-р
ЦОДа

Cisco Public
Введение: атаки
Различные типы DDoS-атак
–Атаки непрямого воздействия (DrDoS): атаки, усиленные поддельными адресами отправителя
DNS
NTP
CharGen
SNMP
–Атаки на 3–4 уровни
TCP SYN
UDP Frag
ICMP-флудинг
–Атаки на 7 уровень
HTTP-атака (GET/POST)
SIP
SSL
...

Централизованная и распределенная модели защиты

Cisco Public
Способы реагирования Внутренние решения:
Сброс в «черную дыру»
Удаленный запуск «черной дыры» (RTBH)
через BGP объявляется фиктивный маршрут;
трафик перенаправляется на интерфейс Null0 или на аналитические устройства;
фильтрация по адресу отправителя или получателя;
Сбрасывается весь трафик (и легитимный, и нежелательный)
Сопутствующий ущерб ограничивается, но достигается главная цель злоумышленников

Cisco Public
Защита
•Перенаправление на устройства очистки трафика;
•разделение легитимного и вредоносного трафика;
•сервисы «мишени» продолжают работать;
•сопутствующий ущерб отсутствует.
Способы реагирования Внутренние решения:

Модели защиты от DDoS-атак:
централизованная, распределенная или гибридная
Централизованная модель: для защиты от атаки используется выделенная
часть сети – центр очистки трафика.
Источники
транзитного
трафика
Источники
пирингового
трафика
Магистраль
Центр очистки трафика
«Мишень»

Централизованная модель: трафик к «мишени» перенаправляется и
проходит через центр очистки.
Источники
трафика
Источники
трафика
«Мишень»

Распределенная модель: мы устанавливаем центры очистки трафика на
периметре магистральной сети.
Источники
трафика
Источники
трафика
«Мишень»

Гибридная модель: центры очистки трафика на периметре магистральной сети
для основной работы и внутри сети для обработки дополнительной нагрузки.
Источники
трафика
Источники
трафика
«Мишень»

Cisco Public
Модели защиты от DDoS-атак: централизованная или распределенная плюсы и минусы
Централизованная
Распределенная
Cтоимость владения потенциально ниже
Совместно используемые ресурсы
Возможно потребуется больше карт
или устройств
Весь «грязный» трафик передается
на очистку в сеть,
что может переполнить нашу сетевую инфраструктуру
Убирает «грязный» трафик на периметре сети.
Эксплуатационные расходы ниже.
Нужен продуманный механизм туннелирования или виртуальной маршрутизации-коммутации (VRF) для передачи «чистого» трафика
Возможны более простые модели развертывания

ПРОЦЕСС ЗАЩИТЫ ОТ DDОS-АТАК

Cisco Public
Процесс защиты от DDoS-атак
Нейтрализация DDoS-атаки – это процесс, выполняемый в несколько этапов в разных точках сети и с использованием различных продуктов.
–Обнаружение: идентификация аномального поведения в сети и уведомление оператора.
–Отвод (offRamp): перенаправление трафика для «мишени» на устройство очистки трафика.
–Нейтрализация: устройство очистки трафика разделяет легитимный и вредоносный трафик с блокировкой последнего.
–Возврат (onRamp): возврат легитимного трафика в сеть и обеспечение его доставки получателю.
Отвод
(offRamp)
Марш-р
Возврат
(onRamp)
Марш-р
Нейтрализация
Модуль
Отдельное устройство
Обнаружение
Марш-р
Коллектор

Обнаружение
Все граничные маршрутизаторы отправляют данные Netflow к платформе коллектора (CP).
Возможно, граничные маршрутизаторы, маршрутизаторы ЦОД или даже все остальные
маршрутизаторы будут делать то же самое.
Коллектор
Источники
трафика
Источники
трафика
Данные «Мишень»
NetFlow
Данные
NetFlow
Данные NetFlow
Обнаружена
атака

Коллектор
Источники
трафика
Источники
трафика
Отвод
Отвести трафик можно несколькими способами, но цель всегда одна — трафик
перенаправляется к устройству очистки.
Пример:
«Мишень»
BGP
BGP

Коллектор
Источники
трафика
Источники
трафика
Нейтрализация
Опираясь на инструкции от СР, система управления угрозами анализирует пакеты и сбрасывает
вредоносный трафик
Обратная связь с CP осуществляется в режиме реального времени
«Мишень»
HTTPS

Коллектор
Источники
трафика
Источники
трафика
Возврат
Возврат реализуется на базе механизмов (GRE, VRF, ...) транспортировки хороших пакетов к месту назначения,
несмотря на работу механизма отвода на маршрутах.
Пример:
«Мишень»

ОБНАРУЖЕНИЕ АТАК

Cisco Public
Обнаружение атак
Атаки обнаруживаются по данным, отправленным маршрутизаторами в коллектор (СР), а также по SNMP-опросам интерфейсов маршрутизаторов.
CP поддерживает множество форматов данных:
IPfix/UDP
NetFlow v5
NetFlow v9
sFlow
Платформы XR  только NFv9 (RFC3954)
Маршрутизаторы для отбора пакетов следует выбирать тщательно:
лицензии продаются по кол-ву источников данных NetFlow.
Важно правильно определить периодичность выборки  она может повлиять на производительность маршрутизатора и на коллектор

Где использовать NFv9?
Подавляющее большинство DDoS-атак из интернета осуществляются через источники транзитного и
пирингового трафиков. В первую очередь выборка пакетов должна проводиться в этих точках.
Источники
трафика
Источники
трафика
«Мишень»
ЦОД
Граничные
сети
Граничные
сети
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Граничный
марш-р
Граничный
марш-р
Граничный
марш-р
Граничный
марш-р

Чтобы обнаружить внутренние атаки из граничных сетей, нельзя включать NFv9 на всех граничных
маршрутизаторах; и лучше осуществлять мониторинг устройств ближе к сервисной инфраструктуре (ЦОД).
Источники
трафика
Источники
трафика
«Мишень»
ЦОД
Граничные сети Граничные сети
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Граничный
марш-р
Граничный
марш-р
Граничный
марш-р
Граничный
марш-р

Если в сети слишком много источников и маршрутизаторов пирингового или транзитного трафика, то
можно сократить область проверки и осуществлять мониторинг только магистральных
маршрутизаторов.
Источники
трафика
Источники
трафика
«Мишень»
ЦОД
Граничные сети Граничные сети
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Магистр.
марш-р
Граничный
марш-р
Граничный
марш-р
Граничный
марш-р
Граничный
марш-р

Cisco Public
Netflow в маршрутизаторах IOS-XR Основные факты
Тип трафика: IPv4, IPv6, MPLS, MPLS+IPv4, MPLS+IPv6
Режим: случайная выборка, периодичность выборки настраивается до 1:1
Направление: входящий и исходящий трафик
Экспорт: NetFlow v9 через UDP, множество источников
Поддерживается на любом логическом интерфейсе (за исключением туннелей)
Объем кэш-памяти: до 1 млн записей для одного контролера потока
Выделяется один контролер потока для одного типа трафика к одному интерфейсу в одном направлении линейной карты.
Различные типы кэша: обычный или постоянный

Cisco Public
Netflow в маршрутизаторах IOS-XR Когда генерировать пакеты экспорта NetFlow?
Для обычного кэша:
15 с для неактивного таймера (настраивается) для данной записи таблицы пакеты не принимаются
30 мин для активного таймера (настраивается) даже если пакеты до сих пор принимаются, запись существует в таблице слишком долго. При экспорте записи из кэша удаляются.
Рекомендация: устанавливайте активный таймер на 1 мин
Для постоянного кэша:
данные из кэша, экспортированные из обновления, никогда не удаляются;
таймер (настраивается): по умолчанию 30 мин.
Другое:
запущенные пользователем события;
достигнут верхний порог срабатывания (кэш заполнен больше, чем на 95%, нижний порог срабатывания – 80%);
флаги TCP RST/FIN.

Cisco Public
Netflow и другие функции Порядок операций на платформах XR
Выборка данных Netflow отправляется в процессор линейной карты, затем передается на матрицу коммутации или процессор (для входящего трафика) или в среду передачи (для исходящего трафика).
Выборка делается для всех, в т.ч. «служебных», пакетов.
Класс-ция интерфейсов
из среды передачи
Класс-ция безопасности ACL
Класс-ция
QoS
Передача на просмотр
Просмотр iFIB
Действие по списку ACL
Действие по правилам QoS
Пере- запись на L2
Действие iFIB
Netflow ARP
BGP/IGP BFD
Даже если пакеты сбрасываются правилами ACL или QoS, выборка NF все равно направляется в процессор.
Матрица коммутации
Действие QoS
Маркировка/приоритет
Заголовок матрицы коммутации
Поиск заголовка вх. пакета
uRPF
Поиск субинтерфейса, к которому относятся пакеты.
Процессор линейной карты
Выборка пакетов
Процессор RP

Cisco Public
Netflow в маршрутизаторах IOS-XR Ограничение передачи сырых пакетов в процессор линейной карты
Значения ниже выражены для входящего и исходящего трафика NF через одну линейную карту. Если использовать NF только в одном направлении, система будет поддерживать это максимальное число.
CRS, на каждую линейную карту
ASR9000, на каждую линейную карту
CRS-1/CRS-3 (до/после в. 4.1.1)
Карты Trident
MSC-A
70 / 100 KPPS
100 KPPS
MSC-B
125 / 160 KPPS
MSC-140
360 / 750 KPPS
CRS-X
Карты Typhoon
750 KPPS
(В перспективе: 1.5 MPPS)
200 KPPS
Скорость экспорта: 2 тыс. потоков/с через одну линейную карту, настраивается в 5.1.1

Cisco Public
Netflow в маршрутизаторах IOS-XR Влияние на скорость пересылки пакетов и процессоров линейных карт Пример CRS-X
Применение NetFlow снижает скорость пересылки пакетов на 3%, но, пока не будет достигнута очень агрессивная периодичность выборки (<1:10), это влияние останется постоянным
После 1:500 влияние на процессор останется постоянным из-за ограничителя скорости
Периодичность
выборки
NDR
(вход+выход)
Идеальное
влияние
Влияние на процессор линейной карты
Не применяется
222 MPPS
-
nfsvr: 0% / nf_producer: 0% / всего: 0%
1:4500
216 MPPS
3%
1:2000
216 MPPS
3%
1:500
216 MPPS
3%
1:50
216 MPPS
3%
1:10
216 MPPS
3%
1:1
136 MPPS
38%

Cisco Public
Периодичность выборки Netflow Изменение времени обнаружения атаки
Изменение периодичности выборки имеет незначительное влияние на способность обнаруживать атаки
Для типичной лавинной атаки, начавшейся 1 мин назад:
пакеты 84 бит, распределенная атака в 100 Мбит/с на интерфейс маршрутизатора (с поддержкой NF)
1:1000 2,1% ошибок / 1:2000 2,9% ошибок
1:4000 4,1% ошибок / 1:10000 6,5% ошибок
Для типичной лавинной атаки UDP, начавшейся 1 мин назад
пакеты ≈500 бит, распределенная атака в 100 Мбит/с на интерфейс маршрутизатора
1:1000  5,5% ошибок / 1:2000 7,1% ошибок
1:4000 10,1% ошибок / 1:10000 16% ошибок
Для типичной атаки типа SYN-флуд, начавшейся 1 мин назад
небольшие пакеты 64 бит, распределенная атака в 100 Мбит/с на интерфейс маршрутизатора
1:1000  1,8% ошибок / 1:2000 2,5% ошибок
1:4000  3,6% ошибок / 1:10000 5,7% ошибок

Cisco Public
Netflow для обнаружения DDoS-атак Резюме
При настройке Netflow на маршрутизаторах, имейте в виду, что
настоятельно рекомендуется изменить время активного ожидания на 60 с;
снижение периодичности выборки с 1:1000 до 1:4000 увеличивает ошибки обнаружения только на 2%;
в некоторых маршрутизаторах активация NetFlow и определение агрессивной периодичности выборки может повлиять на скорость передачи пакетов;
для некоторых линейных карт нужны расширенные лицензии на периодичность выборки <1:1500.

ОТВОД и ВОЗВРАТ ТРАФИКА

Cisco Public
Концепция отвода
Механизм для перенаправления трафика, направленного на «мишень», с исходного маршрута на устройство очистки.
Достигается при помощи:
внедрения более специфического маршрута, обычно через протокол BGP;
коммутации на основе меток (LSP) и управления трафиком на основе MPLS;
маршрутизации, основанной на политиках (механизм ABF в маршрутизаторах под управлением IOS XR);
BGP flowspec
программно-определяемого маршрута в архитектуре SDN

Cisco Public
Концепция возврата трафика
Устройство очистки анализирует трафик — злонамеренный сбрасывает, легитимный пересылает дальше.
Механизм возврата трафика необходим для обратного внедрения легитимного трафика в сеть и его гарантированной доставки к «мишени».
Механизм возврата напрямую зависит от метода отвода.
При этом необходимо:
предупредить возникновение петель маршрутизации, вызванных внедрением специфического маршрута;
гарантировать передачу маршрута между устройствами VRF.

Cisco Public
Настройки отвода и возврата трафика
Внедрение специфического маршрута
Централизованная модель: если трафик подается на маршрутизатор центра очистки, то
—очищенный трафик можно внедрить обратно через устройства VRF в L3 VPN;
—очищенный трафик можно внедрить обратно через GRE-туннели.
Централизованная модель: если «грязный» трафик «проталкивается» в устройство VRF в L3 VPN, то
—очищенный трафик подается обратно на GRT (глобальную таблицу маршрутизации) и далее маршрутизируется как обычно;
Централизованная модель: если «грязный» трафик подается на маршрутизатор ЦОТ (центра очистки трафика) с помощью выделенной LSP;
—то очищенный трафик использует другую LSP до «мишени», не задействуя в магистрали протокол BGP.
Распределенная модель: при помощи технологии VRF-lite на граничных маршрутизаторах.
Маршрутизация, основанная на политиках:
лучше всего подходит для распределенной модели;
может быть запущена при объявлении маршрута по BGP.
Расширение BGP FlowSpec
маршрутизация на основе политик и правила фильтрации для заданных потоков, объявления маршрутов по BGP.
Программно-определяемая сеть (SDN) и внутрисегментная маршрутизация: узел управления трафиком (PCE) определяет маршрут «грязного» и чистого потоков.

ОТВОД и ВОЗВРАТ ТРАФИКА РАСШИРЕНИЕ BGP FLOWSPEC

Cisco Public
Применение RFC5575 для улучшения/упрощения прежней модели ABF.
BGP FS позволяет задавать правила соответствия для отдельных потоков (IP/порт отпр./получ., размер пакета, фрагмент, DSCP, значения полей «тип/код» ICMP и т.д.) и применять заданную обработку к соответствующему пакету.
BGP FS применяется ко всему маршрутизатору, но может быть активирован или деактивирован на отдельном интерфейсе через конфигурацию.
Поддерживается в IOS XR 5.2.0 в CRS и ASR9000 для IPv4 и IPv6.
Среди возможных вариантов в контексте DDoS используются:
ограничение полосы пропускания и (или) сброс трафика;
перенаправление на заданный адрес следующего перехода IPv4/IPv6 или на другой VRF.
Свыше 3000 правил на карту одновременно;
Очень полезно для защиты от DDoS-атак: BGP FS может быть включено или выключено на каждом интерфейсе отдельно.

Cisco Public
Подобности BGP flowspec (RFC5575)
Почему BGP?
Легко расширить, добавив новый NLRI с MP_REACH_NLRI и MP_UNREACH_NLRI
Уже создана сетевая топология
Используется для множества других технологий (IPv4, IPv6, VPN, Multicast, Labels, etc…)
Маршрутизация между доменами
Активно используемый и хорошо известный протокол

Cisco Public
Определен новый NLRI (AFI=1, SAFI=133)
1.Destination IP Address (1 component)
2.Source IP Address (1 component)
3.IP Protocol (+1 component)
4.Port (+1 component)
5.Destination port (+1 component)
6.Source Port (+1 component)
7.ICMP Type
8.ICMP Code
9.TCP Flags
10.Packet length
11.DSCP
12.Fragment
Подробности, продолжение …(RFC5575)

Cisco Public
Действия BGP Flowspec
Действия Flowspec
—Extended Community – RFC 4360
RFC5575 Flowspec - возможности

Архитектура RFC5575
Клиент Оператор
Website
IP=1.2.3.4
CE Интернет PE
Transit1
Transit2
UDP DDoS
Traffic
UDP DDoS
Traffic
Клиент может использовать community, выданную оператором (например 64500:666), для сброса трафика
BGP : 1.2.3.0/24

Website
IP=1.2.3.4
CE PE Интернет
Transit1
Transit2
UDP DDoS
Traffic
UDP DDoS
Traffic
BGP : 1.2.3.0/24
IP Destination: 1.2.3.4/32
IP Protocol 17 (UDP)
PacketSize <=28
Rate-limit 10M

Website
IP=1.2.3.4
Transit1
Transit2
UDP DDoS
Traffic
BGP : 1.2.3.0/24
PacketSize <=28
Rate-limit 10M

Website
IP=1.2.3.4
Transit1
Transit2
UDP DDoS
Traffic
BGP : 1.2.3.0/24
PacketSize <=28
Rate-limit 10M
Legitimate TCP
Traffic

Cisco Public
Архитектура в реальности
А на самом деле …
Оператор не доверяет клиенту
Требуется новый набор BGP AFI/SAFI для внедрения между оператором и клиентом
Поэтому BGP Flowspec так не внедряется
Что реально внедряется?
Оператор создает единую точку распространения записей Flowspec и управляет ее сам
Только этот узел может распространять правила Flowspec другим маршрутизаторам сети оператора и считается доверенным в сети (no-validate)

Website
IP=1.2.3.4
Transit1
Transit2
UDP DDoS
Traffic
BGP : 1.2.3.0/24
Flowspec

Website
IP=1.2.3.4
Transit1
Transit2
UDP DDoS
Traffic
BGP : 1.2.3.0/24
Legitimate TCP
Traffic
Flowspec
Добавление правил:
CLI
Customer Webpage
SDN/Другое

Cisco Public
Итак, перенаправление трафика
Ограничение полосы пропускания и маркирование трафика хорошо для простых атак, но …
Перенаправление трафика
Позволяет переслать трафик в VRF
Позволяет изменить маршрут прохождения потока не изменяя таблицу маршрутизации
Хорошо подходит для пересылки трафика на устройства очистки, включая DPI

Cisco Public
Поддержка BGP flowspec для IPv4
BGP Flowspec NLRI type
QoS match fields
Value input method
Controller
ASR9k
CRS
Type 1
IPv4 Destination address
Prefix length



Type 2
IPv4 Source address
Prefix length



Type 3
IPv4 protocol
Multi value range



Type 4
IPv4 source or destination port
Multi Value range



Type 5
IPv4 destination port
Multi Value range



Type 6
IPv4 Source port
Multi Value range



Type 7
IPv4 ICMP type
Multi value range



Type 8
IPv4 ICMP code
Multi value range



Type 9
IPv4 TCP flags (2 bytes include reserved bits)
Bit mask


(Reserved and NS bit not supported)

Type 10
IPv4 Packet length
Multi value range



Type 11
IPv4 DSCP
Multi value range



Type 12
IPv4 fragmentation bits
Bit mask

Only indication of fragment
Only indication of fragment

Cisco Public
Поддержка BGP flowspec для IPv6
BGP Flowspec NLRI type
QoS match fields
Value input method
Controller
ASR9k
CRS
Type 1
IPv6 Destination address
Prefix length



Type 2
IPv6 Source address
Prefix length



Type 3
IPv6 Next header
Multi value range

. 

Type 4
IPv6 source or destination port
Multi value range



Type 5
IPv6 destination port
Multi value range



Type 6
IPv6 Source port
Multi value range



Type 7
IPv6 ICMP type
Multi value range



Type 8
IPv6 ICMP code
Multi value range



Type 9
IPv6 TCP flags (2 bytes include reserved bits)
Bit mask



Type 10
IPv6 Packet length
Multi value range



Type 11
IPv6 Traffic class
Multi value range



Type 12
Reserved
N/A
N/A
N /A
N/A
Type 13
IPv6 flow label (20 bits)(phase-2)
Muti value range


. 

Cisco Public
Поддержка действий BGP flowspec
BGP ext-community value
PBR
Action
Controller
ASR9k
CRS
0x8006
Traffic Rate 0
Drop



0x8006
Traffic Rate <rate>
Police



0x8007
Traffic Action
Terminal Action +
Sampling



0x8008
Redirect VRF
Redirect VRF



0x8009
Traffic Marking
Set DSCP



0x0800
Redirect IP NH
Redirect
IPv4/v6 Nexthop




«Мишень»
2.1.1.1
B A
C
D
E
F
H
I
J
L
Атака на «мишень» с адресом 2.1.1.1:80
2.1.1.0/24 объявляется маршрутизатором A
Пример
2.1.1.0/24
м-р A nh:G
2.1.1.0/24
м-р A nh:D
2.1.1.0/24
м-р A nh:B
2.1.1.0/24
Nh:A
2.1.1.0/24
м-р A nh:I
2.1.1.0/24
м-р A nh:H
2.1.1.0/24
м-р A nh:G
2.1.1.0/24
2.1.1.0/24
подкл.
K 2.1.1.0/24
м-р A nh:K
M
G

«Мишень»
2.1.1.1
B A
C
D
E
F
G
H
I
K
J
L
M
Правила и действия для трафика передаются через BGP
Отвод
2.1.1.0/24
Коллектор
Объявление
BGP FS
M
SA1
10.1.1.0/30
.2
SA2
10.1.2.0/30
Te0/0/0/0.1
10.2.1.0/30
.2
Te0/0/0/0,2
10.2.2.0/30
J

Cisco Public
Расширение BGP FlowSpec активировано на Te0/0/0/1, «грязный» трафик, направленный на 2.1.1.1:80, перенаправляется на адрес TMS 10.2.1.2.
BGP Flowspec деактивирован на порту te0/0/0/0.2; очищенный трафик маршрутизируется в обычном порядке через IGP-маршрут на 2.1.1.0/24 к маршрутизатору I.
VRF-lite не нужна
Расширение BGP FlowSpec Отвод и возврат трафика
J
Te0/0/0/0,1 10.2.1.0/30
.2
Te0/0/0/0,2 10.2.2.0/30
I
Te0/0/0/1
IP получ.: 2.1.1.1
порт получ.: 80
NH: 10.2.1.2
BGP FlowSpec
Te0/0/0/3
2.1.1.0/24
м-р A nh:м-рI
M
.2
SA1
10.1.1.0/30
SA2
10.1.2.0/30
L
K
Te0/0/0/1
IP получ.: 2.1.1.1
порт получ.: 80
NH: 10.1.1.2
BGP FlowSpec
2.1.1.0/24
м-р A nh:м-рI

Использование DPI-решений

Cisco Public
DPI как средство борьбы с DDoS-атаками
«Глубокий» анализ пакетов (DPI)
Устройство следит за всем трафиком без переадресации
Анализ обычно является двусторонним
Пропускная способность должна составлять несколько Гбит/с
Сигнатурный анализ, Статистический анализ, Выявление аномалий
Высокая гибкость: выявление аномалий возможно для любых протоколов

Cisco Public
Абонент
Приложение
Блокировать
Перенаправить
Установить QoS
Пометить
Процесс контроля поведения
Анализ и контроль IP-трафика
…Классификация приложений
…Связь с состоянием и политикой для каждого абонента
…Выбор действия на основе сетевых условий — время дня, превышение лимита, другие параллельные активности
…Привести в исполнение
Условие сети

Cisco Public
Политики
Анализ и отчеты
Решение Cisco Service Control Engine (SCE)
Аккуратная идентификация и профилирование трафика приложений и абонентов
Полный анализ на уровнях 4-7 – кто использует сеть и как?
Реагирование путем QoS, redirect, mark или drop для отдельных абонентов, приложений, времени суток…
Контроль пиринговых приложений, таких как Skype или Kazaa
Видимость – критический элемент безопасности – вы не можете контролировать то, чего не видите…

Cisco Public
Учет практически любых требований политики безопасности
Политики Cisco Service Control Engine
Контроль приложений
По сессиям или полосе пропускания
Контроль по времени
Пиковые загрузки и нерабочее время
Контекстный контроль
Приоритезация трафика важных приложений
Контроль абонентов
Квоты и лимиты для каждого абонента
Контроль получателя
Политики для собственного, пирингового и транзитного трафика

Cisco SCE: расположение в сети
Абонент
Интернет
DSLAM BRAS
Cisco SCE
6500/7600
Сервер
политик
SCE встраивается в
канал и проверяет весь
трафик

Cisco Public
Cisco SCE: Обнаружение
Спам-боты – выявление на основе анализа SMTP
Чрезмерно большое число SMTP-соединений с одного адреса
DDoS-атака – выявление по аномалиям трафика
Аномальное число соединений от одного внутреннего адреса один внешний адрес
Аномальное число соединений от нескольких внутренних адресов один внешний адрес
Сканирование/Распространение – выявление по аномалиям трафика
Аномальное число соединений от одного хоста на один или несколько других хостов:
Несколько портов, один адресат
Один порт, несколько адресатов
Заражение червями – выявление по сигнатурам
Динамическая загрузка сигнатур в SCE посредством редактора сигнатур
Сигнатуры создаются вручную – компания Cisco в настоящий момент НЕ предоставляет сигнатуры для SCE

Cisco Public
Обнаружение аномалий средствами SCE
Трафик хоста классифицируется как аномальный,
если скорость установления соединений превышает порог
или
скорость установления подозрительных (односторонних) соединений превышает порог И доля подозрительных соединений превышает порог
Настройка отдельных порогов выполняется на следующих уровнях: Тип аномалии: сканирование, DoS, DDoS Интерфейс (абонент / сеть) Список хостов Протокол IP (контроль групп портов или отдельных портов) Список портов

Cisco Public
«Какова общая картина подозрительной активности в сети?»

Cisco Public
«Какие порты могут являться целями для вредоносного трафика?»

Cisco Public
«Сколько абонентов выполняют вредоносные действия в сети?»

Cisco Public
«Как определить первую десятку нарушителей?»

SDN - Безопасность со скоростью сети
68

Cisco Public
Автоматизация сетей SDN: на скоростях сети
ОБНАРУЖЕНИЕ
ВОССТАНОВЛЕНИЕ
ЗАЩИТА
Мониторинг
Контроль
Анализ
угроз

Построение сетей SDN
70

Возможность программирования сети
сети
Управление
пропускной
способностью
Балансировка
нагрузки

сети
нагрузки
SNMP
CLI
NetFlow

сети
нагрузки
SNMP
CLI
NetFlow
Гетерогенные устройства
Неоднородные модели данных
:-(

сети
нагрузки
Программные
интерфейсы

сети
нагрузки
Множественные
топологические
модели
Отсутствие
сквозных
политик

Контроллер
сети
нагрузки
OpenFlow

сети
нагрузки
OpenFlow
Осведомленность о
топологии
Наличие сквозных
политик

Cisco Public
Контроллеры Cisco
Открытый исходный код
OpenFlow
Контроллер Open Day Light (ODL)

Cisco Public
Источник: компания The
Open DayLight
Project, Inc.

Cisco Public
Контроллеры Cisco
Открытый исходный код
OpenFlow
Распределенная архитектура для инфраструктур, ориентированных на приложения
Физический, виртуальный и облачный
Открытые API-интерфейсы
Система OpenStack
Контроллер Open Day Light (ODL)
Контроллер инфраструктуры
политик приложения (APIC)

Возможность программирования множества
контроллеров
Контроллер ODL
Прилож
ение
Контроллер APIC
Прилож
ение
Центр обработки данных (ЦОД)

Возможность программирования множества
контроллеров
Прилож
ение
Контроллер APIC
Защита от угроз
Политика безопасности
Центр обработки данных (ЦОД)

Возможности сетей SDN в защите от DDOS-атак
83

Защита от распределенных атак типа «отказ в
обслуживании» (DDoS)
84

85
Статистика
нагрузки

86
DDoS-атака
нагрузки

87
DDoS-атака
по трафику
Перенаправление
трафика

88
DDoS-атака
по трафику Перенаправление
трафика

Cisco Public
89

Управление мониторингом
90

Коммутатор Nexus 3000 с функциями
агрегации и зеркалирования
Критичные данные
SPAN-порт
ODL Monitor Manager

Критичная информация
SPAN
для
мониторинга
ODL Monitor Manager

Критичная информация
SPAN-порт
для
мониторинга
ODL Monitor Manager
Фильтрация, репликация или
тегирование трафика

Расширенные компоненты безопасности сетей SDN
95

Компоненты безопасности сетей SDN
96
Сторонние
приложения
Безопасность Идентичность
Сетевые
службы
Уровень абстракции служб
Open
Flow
ONEPK I2RS
Подключаемый
модуль
безопасности
pxGrid
Инфраструктура
SDN
Облачные
технологии Cisco
для защиты от угроз
Приложения
Приложения
SDN
ISE
Сетевые элементы
Элементы безопасности
Виртуальные машины

Cisco Public
Возможности сети
Службы защиты от угроз
97
Обзор приложений
Адресное
блокирование
Адресное
обследование
Адресное
ограничение скорости
Адресный
перехват пакета
Адресный
перехват
файла
Адресное
ограничение
Адресная
борьба
OpenFlow
onePK
ASA Plugin
VLAN
SGT
VxLAN
ISE

Cisco Public
Службы безопасности в сетях SDN
98
Проверка
Запись
Обследование
Ограничение скорости
Очистка от DDoS-трафика
Карантин
Активный межсетевой экран веб-приложений
Блокирование

Cisco Public
Сетевой контроллер согласовывает защитные меры в соответствии с потребностями важных приложений.
99
Защитные меры
в системе
Требования
приложений
и сети

Cisco Public
От DDoS-атак страдают все.
Тонкая настройка источников данных netflow и периодичности выборки повлияет на:
производительность маршрутизатора (пересылка, процессор и память),
масштабируемость коллектора,
лицензирование.
Не существует хорошей и плохой моделей развертывания, все зависит от топологии и вложений;
Заключение
Каждая из моделей имеет свои недостатки и преимущества, но мы рекомендуем распределенную модель с ABF или FlowSpec.
SDN предоставляет новые возможности по согласованному противодействию DDoS и внедрению расширенных сервисов безопасности

CiscoRu
Cisco
CiscoRussia
#CiscoConnectRu
Спасибо за внимание!
Пожалуйста, используйте код для оценки доклада
9442
Ваше мнение очень важно для нас
25.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.

Решения Cisco для обеспечения безопасности сетей операторов связи и услуг

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Решения Cisco для обеспечения безопасности сетей операторов связи и услуг

Similar to Решения Cisco для обеспечения безопасности сетей операторов связи и услуг (20)

More from Cisco Russia

More from Cisco Russia (20)

Решения Cisco для обеспечения безопасности сетей операторов связи и услуг