Submit Search
Upload
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
•
0 likes
•
634 views
Cisco Russia
Follow
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Read less
Read more
Technology
Report
Share
Report
Share
1 of 102
Download now
Download to read offline
Recommended
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Cisco Russia
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
SkillFactory
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Ontico
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
Cisco Russia
Анализ рынка средств и сервисов защиты от DDoS-атак
Анализ рынка средств и сервисов защиты от DDoS-атак
КРОК
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
SkillFactory
DDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтра
Qrator Labs
Recommended
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Cisco Russia
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
SkillFactory
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Ontico
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
Cisco Russia
Анализ рынка средств и сервисов защиты от DDoS-атак
Анализ рынка средств и сервисов защиты от DDoS-атак
КРОК
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
SkillFactory
DDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтра
Qrator Labs
Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктуры
InfoWatch
Защита и контроль приложений
Защита и контроль приложений
Cisco Russia
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
КРОК
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
Qrator Labs
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
DDoS-атаки: почему они возможны, и как их предотвращать
DDoS-атаки: почему они возможны, и как их предотвращать
Qrator Labs
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
Cisco Russia
Специфика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связи
Cisco Russia
Мегафон - Решения для Бизнеса
Мегафон - Решения для Бизнеса
Expolink
Смотрим в HTTPS
Смотрим в HTTPS
Denis Batrankov, CISSP
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Cisco Russia
Защита от DDos-атак
Защита от DDos-атак
Медведев Маркетинг
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Aleksey Lukatskiy
Использование технологий компании Cisco
Использование технологий компании Cisco
Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
Визуализация взломов в собственной сети
Визуализация взломов в собственной сети
Denis Batrankov, CISSP
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Cisco Russia
Cognitive Threat Analytics
Cognitive Threat Analytics
Cisco Russia
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДа
Expolink
More Related Content
What's hot
Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктуры
InfoWatch
Защита и контроль приложений
Защита и контроль приложений
Cisco Russia
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
КРОК
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
Qrator Labs
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
DDoS-атаки: почему они возможны, и как их предотвращать
DDoS-атаки: почему они возможны, и как их предотвращать
Qrator Labs
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
Cisco Russia
Специфика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связи
Cisco Russia
Мегафон - Решения для Бизнеса
Мегафон - Решения для Бизнеса
Expolink
Смотрим в HTTPS
Смотрим в HTTPS
Denis Batrankov, CISSP
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Cisco Russia
Защита от DDos-атак
Защита от DDos-атак
Медведев Маркетинг
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Aleksey Lukatskiy
Использование технологий компании Cisco
Использование технологий компании Cisco
Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
Визуализация взломов в собственной сети
Визуализация взломов в собственной сети
Denis Batrankov, CISSP
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Cisco Russia
What's hot
(20)
Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктуры
Защита и контроль приложений
Защита и контроль приложений
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
DDoS-атаки: почему они возможны, и как их предотвращать
DDoS-атаки: почему они возможны, и как их предотвращать
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
Специфика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связи
Мегафон - Решения для Бизнеса
Мегафон - Решения для Бизнеса
Смотрим в HTTPS
Смотрим в HTTPS
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Защита от DDos-атак
Защита от DDos-атак
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Использование технологий компании Cisco
Использование технологий компании Cisco
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
алексей лукацкий 1
алексей лукацкий 1
Визуализация взломов в собственной сети
Визуализация взломов в собственной сети
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Similar to Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Cognitive Threat Analytics
Cognitive Threat Analytics
Cisco Russia
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДа
Expolink
Cisco Cyber Threat Defense
Cisco Cyber Threat Defense
Cisco Russia
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
Cisco Russia
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Fwdays
Безопасность современного ЦОДа
Безопасность современного ЦОДа
Aleksey Lukatskiy
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco Secure X
Cisco Secure X
S.E. CTS CERT-GOV-MD
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Cisco Russia
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
Cisco Russia
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Cisco Russia
Kostrov 06.12.11
Kostrov 06.12.11
leonid-mt-mt
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco Russia
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco.
Cisco Russia
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атак
КРОК
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco Russia
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Russia
Similar to Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
(20)
Cognitive Threat Analytics
Cognitive Threat Analytics
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДа
Cisco Cyber Threat Defense
Cisco Cyber Threat Defense
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Безопасность современного ЦОДа
Безопасность современного ЦОДа
Cisco Umbrella
Cisco Umbrella
Cisco Secure X
Cisco Secure X
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Kostrov 06.12.11
Kostrov 06.12.11
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco.
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атак
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угроз
More from Cisco Russia
Service portfolio 18
Service portfolio 18
Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Cisco Russia
More from Cisco Russia
(20)
Service portfolio 18
Service portfolio 18
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco FirePower
Cisco FirePower
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
1.
Михаил Кадер, инженер
mkader@cisco.com security-request@cisco.com Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
2.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Программа Введение Модели защиты от DDoS Обнаружение атак Модели отвода и возврата трафика BGP flowspec Использование DPI SDN – безопасность со скоростью сети 2
3.
ВВЕДЕНИЕ
4.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Введение Риски очевидны распределенные атаки типа «отказ в обслуживании» (DDoS) привлекательны для злоумышленников; DDoS-атаки ставят под угрозу бизнес операторов связи (ISP), поставщиков хостинга, предприятий; каждый может пострадать; сложность атак растет – и это только начало. Защита от DDoS-атак – вопрос обеспечения непрерывности деятельности https://twitter.com/olesovhcom/status/416667262146195456/photo/1
5.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Интернет Введение DDoS-атаки бывают различных видов: Атаки на прикладном уровне — Обнаруживаются и обрабатываются МСЭ и СОВ, либо на уровне сервера Атаки с заполнением полосы пропускания (в том числе атаки на протоколы) — НЕ могут быть нейтрализованы в ЦОД или на серверной ферме (слишком поздно). — Подлежат нейтрализации на магистральной или граничной областях. Главная тема этой презентации СОПВ МСЭ Статистический фильтр (DPI) Веб-сервер Веб-кэш Сервер БД Граничный марш-р Транзитный и пиринговый трафик Магистральный марш-р Марш-р ЦОДа
6.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Введение: атаки Различные типы DDoS-атак –Атаки непрямого воздействия (DrDoS): атаки, усиленные поддельными адресами отправителя DNS NTP CharGen SNMP –Атаки на 3–4 уровни TCP SYN UDP Frag ICMP-флудинг –Атаки на 7 уровень HTTP-атака (GET/POST) SIP SSL ...
7.
Централизованная и распределенная
модели защиты
8.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Способы реагирования Внутренние решения: Сброс в «черную дыру» Удаленный запуск «черной дыры» (RTBH) через BGP объявляется фиктивный маршрут; трафик перенаправляется на интерфейс Null0 или на аналитические устройства; фильтрация по адресу отправителя или получателя; Сбрасывается весь трафик (и легитимный, и нежелательный) Сопутствующий ущерб ограничивается, но достигается главная цель злоумышленников
9.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Защита •Перенаправление на устройства очистки трафика; •разделение легитимного и вредоносного трафика; •сервисы «мишени» продолжают работать; •сопутствующий ущерб отсутствует. Способы реагирования Внутренние решения:
10.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная, распределенная или гибридная Централизованная модель: для защиты от атаки используется выделенная часть сети – центр очистки трафика. Источники транзитного трафика Источники пирингового трафика Магистраль Центр очистки трафика «Мишень»
11.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная, распределенная или гибридная Централизованная модель: трафик к «мишени» перенаправляется и проходит через центр очистки. Источники транзитного трафика Источники пирингового трафика Магистраль Центр очистки трафика «Мишень»
12.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная, распределенная или гибридная Распределенная модель: мы устанавливаем центры очистки трафика на периметре магистральной сети. Источники транзитного трафика Источники пирингового трафика Магистраль «Мишень»
13.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная, распределенная или гибридная Гибридная модель: центры очистки трафика на периметре магистральной сети для основной работы и внутри сети для обработки дополнительной нагрузки. Источники транзитного трафика Источники пирингового трафика Магистраль «Мишень» Центр очистки трафика
14.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная или распределенная плюсы и минусы Централизованная Распределенная Cтоимость владения потенциально ниже Совместно используемые ресурсы Возможно потребуется больше карт или устройств Весь «грязный» трафик передается на очистку в сеть, что может переполнить нашу сетевую инфраструктуру Убирает «грязный» трафик на периметре сети. Эксплуатационные расходы ниже. Нужен продуманный механизм туннелирования или виртуальной маршрутизации-коммутации (VRF) для передачи «чистого» трафика Возможны более простые модели развертывания
15.
ПРОЦЕСС ЗАЩИТЫ ОТ
DDОS-АТАК
16.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Процесс защиты от DDoS-атак Нейтрализация DDoS-атаки – это процесс, выполняемый в несколько этапов в разных точках сети и с использованием различных продуктов. –Обнаружение: идентификация аномального поведения в сети и уведомление оператора. –Отвод (offRamp): перенаправление трафика для «мишени» на устройство очистки трафика. –Нейтрализация: устройство очистки трафика разделяет легитимный и вредоносный трафик с блокировкой последнего. –Возврат (onRamp): возврат легитимного трафика в сеть и обеспечение его доставки получателю. Отвод (offRamp) Марш-р Возврат (onRamp) Марш-р Нейтрализация Модуль Отдельное устройство Обнаружение Марш-р Коллектор
17.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Процесс защиты от DDoS-атак Обнаружение Все граничные маршрутизаторы отправляют данные Netflow к платформе коллектора (CP). Возможно, граничные маршрутизаторы, маршрутизаторы ЦОД или даже все остальные маршрутизаторы будут делать то же самое. Коллектор Источники транзитного трафика Источники пирингового трафика Магистраль Данные «Мишень» NetFlow Данные NetFlow Данные NetFlow Обнаружена атака
18.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Коллектор Источники транзитного трафика Источники пирингового трафика Магистраль Процесс защиты от DDoS-атак Отвод Отвести трафик можно несколькими способами, но цель всегда одна — трафик перенаправляется к устройству очистки. Пример: Центр очистки трафика «Мишень» BGP BGP
19.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Коллектор Источники транзитного трафика Источники пирингового трафика Магистраль Процесс защиты от DDoS-атак Нейтрализация Опираясь на инструкции от СР, система управления угрозами анализирует пакеты и сбрасывает вредоносный трафик Обратная связь с CP осуществляется в режиме реального времени Центр очистки трафика «Мишень» HTTPS
20.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Коллектор Источники транзитного трафика Источники пирингового трафика Магистраль Процесс защиты от DDoS-атак Возврат Возврат реализуется на базе механизмов (GRE, VRF, ...) транспортировки хороших пакетов к месту назначения, несмотря на работу механизма отвода на маршрутах. Пример: Центр очистки трафика «Мишень»
21.
ОБНАРУЖЕНИЕ АТАК
22.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Обнаружение атак Атаки обнаруживаются по данным, отправленным маршрутизаторами в коллектор (СР), а также по SNMP-опросам интерфейсов маршрутизаторов. CP поддерживает множество форматов данных: IPfix/UDP NetFlow v5 NetFlow v9 sFlow Платформы XR только NFv9 (RFC3954) Маршрутизаторы для отбора пакетов следует выбирать тщательно: лицензии продаются по кол-ву источников данных NetFlow. Важно правильно определить периодичность выборки она может повлиять на производительность маршрутизатора и на коллектор
23.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Где использовать NFv9? Подавляющее большинство DDoS-атак из интернета осуществляются через источники транзитного и пирингового трафиков. В первую очередь выборка пакетов должна проводиться в этих точках. Источники транзитного трафика Источники пирингового трафика «Мишень» ЦОД Граничные сети Граничные сети Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Граничный марш-р Граничный марш-р Граничный марш-р Граничный марш-р
24.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Где использовать NFv9? Чтобы обнаружить внутренние атаки из граничных сетей, нельзя включать NFv9 на всех граничных маршрутизаторах; и лучше осуществлять мониторинг устройств ближе к сервисной инфраструктуре (ЦОД). Источники транзитного трафика Источники пирингового трафика «Мишень» ЦОД Граничные сети Граничные сети Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Граничный марш-р Граничный марш-р Граничный марш-р Граничный марш-р
25.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Где использовать NFv9? Если в сети слишком много источников и маршрутизаторов пирингового или транзитного трафика, то можно сократить область проверки и осуществлять мониторинг только магистральных маршрутизаторов. Источники транзитного трафика Источники пирингового трафика «Мишень» ЦОД Граничные сети Граничные сети Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Магистр. марш-р Граничный марш-р Граничный марш-р Граничный марш-р Граничный марш-р
26.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Netflow в маршрутизаторах IOS-XR Основные факты Тип трафика: IPv4, IPv6, MPLS, MPLS+IPv4, MPLS+IPv6 Режим: случайная выборка, периодичность выборки настраивается до 1:1 Направление: входящий и исходящий трафик Экспорт: NetFlow v9 через UDP, множество источников Поддерживается на любом логическом интерфейсе (за исключением туннелей) Объем кэш-памяти: до 1 млн записей для одного контролера потока Выделяется один контролер потока для одного типа трафика к одному интерфейсу в одном направлении линейной карты. Различные типы кэша: обычный или постоянный
27.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Netflow в маршрутизаторах IOS-XR Когда генерировать пакеты экспорта NetFlow? Для обычного кэша: 15 с для неактивного таймера (настраивается) для данной записи таблицы пакеты не принимаются 30 мин для активного таймера (настраивается) даже если пакеты до сих пор принимаются, запись существует в таблице слишком долго. При экспорте записи из кэша удаляются. Рекомендация: устанавливайте активный таймер на 1 мин Для постоянного кэша: данные из кэша, экспортированные из обновления, никогда не удаляются; таймер (настраивается): по умолчанию 30 мин. Другое: запущенные пользователем события; достигнут верхний порог срабатывания (кэш заполнен больше, чем на 95%, нижний порог срабатывания – 80%); флаги TCP RST/FIN.
28.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Netflow и другие функции Порядок операций на платформах XR Выборка данных Netflow отправляется в процессор линейной карты, затем передается на матрицу коммутации или процессор (для входящего трафика) или в среду передачи (для исходящего трафика). Выборка делается для всех, в т.ч. «служебных», пакетов. Класс-ция интерфейсов из среды передачи Класс-ция безопасности ACL Класс-ция QoS Передача на просмотр Просмотр iFIB Действие по списку ACL Действие по правилам QoS Пере- запись на L2 Действие iFIB Netflow ARP BGP/IGP BFD Даже если пакеты сбрасываются правилами ACL или QoS, выборка NF все равно направляется в процессор. Матрица коммутации Действие QoS Маркировка/приоритет Заголовок матрицы коммутации Поиск заголовка вх. пакета uRPF Поиск субинтерфейса, к которому относятся пакеты. Процессор линейной карты Выборка пакетов Процессор RP
29.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Netflow в маршрутизаторах IOS-XR Ограничение передачи сырых пакетов в процессор линейной карты Значения ниже выражены для входящего и исходящего трафика NF через одну линейную карту. Если использовать NF только в одном направлении, система будет поддерживать это максимальное число. CRS, на каждую линейную карту ASR9000, на каждую линейную карту CRS-1/CRS-3 (до/после в. 4.1.1) Карты Trident MSC-A 70 / 100 KPPS 100 KPPS MSC-B 125 / 160 KPPS MSC-140 360 / 750 KPPS CRS-X Карты Typhoon 750 KPPS (В перспективе: 1.5 MPPS) 200 KPPS Скорость экспорта: 2 тыс. потоков/с через одну линейную карту, настраивается в 5.1.1
30.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Netflow в маршрутизаторах IOS-XR Влияние на скорость пересылки пакетов и процессоров линейных карт Пример CRS-X Применение NetFlow снижает скорость пересылки пакетов на 3%, но, пока не будет достигнута очень агрессивная периодичность выборки (<1:10), это влияние останется постоянным После 1:500 влияние на процессор останется постоянным из-за ограничителя скорости Периодичность выборки NDR (вход+выход) Идеальное влияние Влияние на процессор линейной карты Не применяется 222 MPPS - nfsvr: 0% / nf_producer: 0% / всего: 0% 1:4500 216 MPPS 3% nfsvr: 4% / nf_producer: 7% / всего: 11% 1:2000 216 MPPS 3% nfsvr: 5% / nf_producer: 9% / всего: 14% 1:500 216 MPPS 3% nfsvr: 6% / nf_producer: 11% / всего: 17% 1:50 216 MPPS 3% nfsvr: 6% / nf_producer: 11% / всего: 17% 1:10 216 MPPS 3% nfsvr: 6% / nf_producer: 11% / всего: 17% 1:1 136 MPPS 38% nfsvr: 6% / nf_producer: 11% / всего: 17%
31.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Периодичность выборки Netflow Изменение времени обнаружения атаки Изменение периодичности выборки имеет незначительное влияние на способность обнаруживать атаки Для типичной лавинной атаки, начавшейся 1 мин назад: пакеты 84 бит, распределенная атака в 100 Мбит/с на интерфейс маршрутизатора (с поддержкой NF) 1:1000 2,1% ошибок / 1:2000 2,9% ошибок 1:4000 4,1% ошибок / 1:10000 6,5% ошибок Для типичной лавинной атаки UDP, начавшейся 1 мин назад пакеты ≈500 бит, распределенная атака в 100 Мбит/с на интерфейс маршрутизатора 1:1000 5,5% ошибок / 1:2000 7,1% ошибок 1:4000 10,1% ошибок / 1:10000 16% ошибок Для типичной атаки типа SYN-флуд, начавшейся 1 мин назад небольшие пакеты 64 бит, распределенная атака в 100 Мбит/с на интерфейс маршрутизатора 1:1000 1,8% ошибок / 1:2000 2,5% ошибок 1:4000 3,6% ошибок / 1:10000 5,7% ошибок
32.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Netflow для обнаружения DDoS-атак Резюме При настройке Netflow на маршрутизаторах, имейте в виду, что настоятельно рекомендуется изменить время активного ожидания на 60 с; снижение периодичности выборки с 1:1000 до 1:4000 увеличивает ошибки обнаружения только на 2%; в некоторых маршрутизаторах активация NetFlow и определение агрессивной периодичности выборки может повлиять на скорость передачи пакетов; для некоторых линейных карт нужны расширенные лицензии на периодичность выборки <1:1500.
33.
ОТВОД и ВОЗВРАТ
ТРАФИКА
34.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Концепция отвода Механизм для перенаправления трафика, направленного на «мишень», с исходного маршрута на устройство очистки. Достигается при помощи: внедрения более специфического маршрута, обычно через протокол BGP; коммутации на основе меток (LSP) и управления трафиком на основе MPLS; маршрутизации, основанной на политиках (механизм ABF в маршрутизаторах под управлением IOS XR); BGP flowspec программно-определяемого маршрута в архитектуре SDN
35.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Концепция возврата трафика Устройство очистки анализирует трафик — злонамеренный сбрасывает, легитимный пересылает дальше. Механизм возврата трафика необходим для обратного внедрения легитимного трафика в сеть и его гарантированной доставки к «мишени». Механизм возврата напрямую зависит от метода отвода. При этом необходимо: предупредить возникновение петель маршрутизации, вызванных внедрением специфического маршрута; гарантировать передачу маршрута между устройствами VRF.
36.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Настройки отвода и возврата трафика Внедрение специфического маршрута Централизованная модель: если трафик подается на маршрутизатор центра очистки, то —очищенный трафик можно внедрить обратно через устройства VRF в L3 VPN; —очищенный трафик можно внедрить обратно через GRE-туннели. Централизованная модель: если «грязный» трафик «проталкивается» в устройство VRF в L3 VPN, то —очищенный трафик подается обратно на GRT (глобальную таблицу маршрутизации) и далее маршрутизируется как обычно; Централизованная модель: если «грязный» трафик подается на маршрутизатор ЦОТ (центра очистки трафика) с помощью выделенной LSP; —то очищенный трафик использует другую LSP до «мишени», не задействуя в магистрали протокол BGP. Распределенная модель: при помощи технологии VRF-lite на граничных маршрутизаторах. Маршрутизация, основанная на политиках: лучше всего подходит для распределенной модели; может быть запущена при объявлении маршрута по BGP. Расширение BGP FlowSpec маршрутизация на основе политик и правила фильтрации для заданных потоков, объявления маршрутов по BGP. Программно-определяемая сеть (SDN) и внутрисегментная маршрутизация: узел управления трафиком (PCE) определяет маршрут «грязного» и чистого потоков.
37.
ОТВОД и ВОЗВРАТ
ТРАФИКА РАСШИРЕНИЕ BGP FLOWSPEC
38.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Применение RFC5575 для улучшения/упрощения прежней модели ABF. BGP FS позволяет задавать правила соответствия для отдельных потоков (IP/порт отпр./получ., размер пакета, фрагмент, DSCP, значения полей «тип/код» ICMP и т.д.) и применять заданную обработку к соответствующему пакету. BGP FS применяется ко всему маршрутизатору, но может быть активирован или деактивирован на отдельном интерфейсе через конфигурацию. Поддерживается в IOS XR 5.2.0 в CRS и ASR9000 для IPv4 и IPv6. Среди возможных вариантов в контексте DDoS используются: ограничение полосы пропускания и (или) сброс трафика; перенаправление на заданный адрес следующего перехода IPv4/IPv6 или на другой VRF. Свыше 3000 правил на карту одновременно; Очень полезно для защиты от DDoS-атак: BGP FS может быть включено или выключено на каждом интерфейсе отдельно. Расширение BGP FlowSpec
39.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Подобности BGP flowspec (RFC5575) Почему BGP? Легко расширить, добавив новый NLRI с MP_REACH_NLRI и MP_UNREACH_NLRI Уже создана сетевая топология Используется для множества других технологий (IPv4, IPv6, VPN, Multicast, Labels, etc…) Маршрутизация между доменами Активно используемый и хорошо известный протокол
40.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Определен новый NLRI (AFI=1, SAFI=133) 1.Destination IP Address (1 component) 2.Source IP Address (1 component) 3.IP Protocol (+1 component) 4.Port (+1 component) 5.Destination port (+1 component) 6.Source Port (+1 component) 7.ICMP Type 8.ICMP Code 9.TCP Flags 10.Packet length 11.DSCP 12.Fragment Подробности, продолжение …(RFC5575)
41.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Действия BGP Flowspec Действия Flowspec —Extended Community – RFC 4360 RFC5575 Flowspec - возможности
42.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Архитектура RFC5575 Клиент Оператор Website IP=1.2.3.4 CE Интернет PE Transit1 Transit2 UDP DDoS Traffic UDP DDoS Traffic Клиент может использовать community, выданную оператором (например 64500:666), для сброса трафика BGP : 1.2.3.0/24
43.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Клиент Оператор Website IP=1.2.3.4 CE PE Интернет Transit1 Transit2 UDP DDoS Traffic UDP DDoS Traffic BGP : 1.2.3.0/24 IP Destination: 1.2.3.4/32 IP Protocol 17 (UDP) PacketSize <=28 Rate-limit 10M Архитектура RFC5575
44.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Клиент Оператор Website IP=1.2.3.4 CE PE Интернет Transit1 Transit2 UDP DDoS Traffic BGP : 1.2.3.0/24 IP Destination: 1.2.3.4/32 IP Protocol 17 (UDP) PacketSize <=28 Rate-limit 10M Архитектура RFC5575
45.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Клиент Оператор Website IP=1.2.3.4 CE PE Интернет Transit1 Transit2 UDP DDoS Traffic BGP : 1.2.3.0/24 IP Destination: 1.2.3.4/32 IP Protocol 17 (UDP) PacketSize <=28 Rate-limit 10M Legitimate TCP Traffic Архитектура RFC5575
46.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Архитектура в реальности А на самом деле … Оператор не доверяет клиенту Требуется новый набор BGP AFI/SAFI для внедрения между оператором и клиентом Поэтому BGP Flowspec так не внедряется Что реально внедряется? Оператор создает единую точку распространения записей Flowspec и управляет ее сам Только этот узел может распространять правила Flowspec другим маршрутизаторам сети оператора и считается доверенным в сети (no-validate)
47.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Клиент Оператор Website IP=1.2.3.4 CE PE Интернет Transit1 Transit2 UDP DDoS Traffic BGP : 1.2.3.0/24 Flowspec Архитектура RFC5575
48.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Клиент Оператор Website IP=1.2.3.4 CE PE Интернет Transit1 Transit2 UDP DDoS Traffic BGP : 1.2.3.0/24 Legitimate TCP Traffic Flowspec Добавление правил: CLI Customer Webpage SDN/Другое Архитектура RFC5575
49.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Итак, перенаправление трафика Ограничение полосы пропускания и маркирование трафика хорошо для простых атак, но … Перенаправление трафика Позволяет переслать трафик в VRF Позволяет изменить маршрут прохождения потока не изменяя таблицу маршрутизации Хорошо подходит для пересылки трафика на устройства очистки, включая DPI
50.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Поддержка BGP flowspec для IPv4 BGP Flowspec NLRI type QoS match fields Value input method Controller ASR9k CRS Type 1 IPv4 Destination address Prefix length Type 2 IPv4 Source address Prefix length Type 3 IPv4 protocol Multi value range Type 4 IPv4 source or destination port Multi Value range Type 5 IPv4 destination port Multi Value range Type 6 IPv4 Source port Multi Value range Type 7 IPv4 ICMP type Multi value range Type 8 IPv4 ICMP code Multi value range Type 9 IPv4 TCP flags (2 bytes include reserved bits) Bit mask (Reserved and NS bit not supported) (Reserved and NS bit not supported) Type 10 IPv4 Packet length Multi value range Type 11 IPv4 DSCP Multi value range Type 12 IPv4 fragmentation bits Bit mask Only indication of fragment Only indication of fragment
51.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Поддержка BGP flowspec для IPv6 BGP Flowspec NLRI type QoS match fields Value input method Controller ASR9k CRS Type 1 IPv6 Destination address Prefix length Type 2 IPv6 Source address Prefix length Type 3 IPv6 Next header Multi value range . Type 4 IPv6 source or destination port Multi value range Type 5 IPv6 destination port Multi value range Type 6 IPv6 Source port Multi value range Type 7 IPv6 ICMP type Multi value range Type 8 IPv6 ICMP code Multi value range Type 9 IPv6 TCP flags (2 bytes include reserved bits) Bit mask (Reserved and NS bit not supported) (Reserved and NS bit not supported) Type 10 IPv6 Packet length Multi value range Type 11 IPv6 Traffic class Multi value range Type 12 Reserved N/A N/A N /A N/A Type 13 IPv6 flow label (20 bits)(phase-2) Muti value range .
52.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Поддержка действий BGP flowspec BGP ext-community value PBR Action Controller ASR9k CRS 0x8006 Traffic Rate 0 Drop 0x8006 Traffic Rate <rate> Police 0x8007 Traffic Action Terminal Action + Sampling 0x8008 Redirect VRF Redirect VRF 0x8009 Traffic Marking Set DSCP 0x0800 Redirect IP NH Redirect IPv4/v6 Nexthop
53.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public «Мишень» 2.1.1.1 B A C D E F H I J L Атака на «мишень» с адресом 2.1.1.1:80 2.1.1.0/24 объявляется маршрутизатором A Расширение BGP FlowSpec Пример 2.1.1.0/24 м-р A nh:G 2.1.1.0/24 м-р A nh:D 2.1.1.0/24 м-р A nh:B 2.1.1.0/24 Nh:A 2.1.1.0/24 м-р A nh:I 2.1.1.0/24 м-р A nh:H 2.1.1.0/24 м-р A nh:G 2.1.1.0/24 2.1.1.0/24 подкл. K 2.1.1.0/24 м-р A nh:K M G
54.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public «Мишень» 2.1.1.1 B A C D E F G H I K J L M Правила и действия для трафика передаются через BGP Расширение BGP FlowSpec Отвод 2.1.1.0/24 Коллектор Объявление BGP FS M SA1 10.1.1.0/30 .2 SA2 10.1.2.0/30 Te0/0/0/0.1 10.2.1.0/30 .2 Te0/0/0/0,2 10.2.2.0/30 J
55.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Расширение BGP FlowSpec активировано на Te0/0/0/1, «грязный» трафик, направленный на 2.1.1.1:80, перенаправляется на адрес TMS 10.2.1.2. BGP Flowspec деактивирован на порту te0/0/0/0.2; очищенный трафик маршрутизируется в обычном порядке через IGP-маршрут на 2.1.1.0/24 к маршрутизатору I. VRF-lite не нужна Расширение BGP FlowSpec Отвод и возврат трафика J Te0/0/0/0,1 10.2.1.0/30 .2 Te0/0/0/0,2 10.2.2.0/30 I Te0/0/0/1 IP получ.: 2.1.1.1 порт получ.: 80 NH: 10.2.1.2 BGP FlowSpec Te0/0/0/3 2.1.1.0/24 м-р A nh:м-рI M .2 SA1 10.1.1.0/30 SA2 10.1.2.0/30 L K Te0/0/0/1 IP получ.: 2.1.1.1 порт получ.: 80 NH: 10.1.1.2 BGP FlowSpec 2.1.1.0/24 м-р A nh:м-рI
56.
Использование DPI-решений
57.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public DPI как средство борьбы с DDoS-атаками «Глубокий» анализ пакетов (DPI) Устройство следит за всем трафиком без переадресации Анализ обычно является двусторонним Пропускная способность должна составлять несколько Гбит/с Сигнатурный анализ, Статистический анализ, Выявление аномалий Высокая гибкость: выявление аномалий возможно для любых протоколов
58.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Абонент Приложение Блокировать Перенаправить Установить QoS Пометить Процесс контроля поведения Анализ и контроль IP-трафика …Классификация приложений …Связь с состоянием и политикой для каждого абонента …Выбор действия на основе сетевых условий — время дня, превышение лимита, другие параллельные активности …Привести в исполнение Условие сети
59.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Политики Анализ и отчеты Решение Cisco Service Control Engine (SCE) Аккуратная идентификация и профилирование трафика приложений и абонентов Полный анализ на уровнях 4-7 – кто использует сеть и как? Реагирование путем QoS, redirect, mark или drop для отдельных абонентов, приложений, времени суток… Контроль пиринговых приложений, таких как Skype или Kazaa Видимость – критический элемент безопасности – вы не можете контролировать то, чего не видите…
60.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Учет практически любых требований политики безопасности Политики Cisco Service Control Engine Контроль приложений По сессиям или полосе пропускания Контроль по времени Пиковые загрузки и нерабочее время Контекстный контроль Приоритезация трафика важных приложений Контроль абонентов Квоты и лимиты для каждого абонента Контроль получателя Политики для собственного, пирингового и транзитного трафика
61.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Cisco SCE: расположение в сети Абонент Интернет DSLAM BRAS Cisco SCE 6500/7600 Сервер политик SCE встраивается в канал и проверяет весь трафик
62.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Cisco SCE: Обнаружение Спам-боты – выявление на основе анализа SMTP Чрезмерно большое число SMTP-соединений с одного адреса DDoS-атака – выявление по аномалиям трафика Аномальное число соединений от одного внутреннего адреса один внешний адрес Аномальное число соединений от нескольких внутренних адресов один внешний адрес Сканирование/Распространение – выявление по аномалиям трафика Аномальное число соединений от одного хоста на один или несколько других хостов: Несколько портов, один адресат Один порт, несколько адресатов Заражение червями – выявление по сигнатурам Динамическая загрузка сигнатур в SCE посредством редактора сигнатур Сигнатуры создаются вручную – компания Cisco в настоящий момент НЕ предоставляет сигнатуры для SCE
63.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Обнаружение аномалий средствами SCE Трафик хоста классифицируется как аномальный, если скорость установления соединений превышает порог или скорость установления подозрительных (односторонних) соединений превышает порог И доля подозрительных соединений превышает порог Настройка отдельных порогов выполняется на следующих уровнях: Тип аномалии: сканирование, DoS, DDoS Интерфейс (абонент / сеть) Список хостов Протокол IP (контроль групп портов или отдельных портов) Список портов
64.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public «Какова общая картина подозрительной активности в сети?»
65.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public «Какие порты могут являться целями для вредоносного трафика?»
66.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public «Сколько абонентов выполняют вредоносные действия в сети?»
67.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public «Как определить первую десятку нарушителей?»
68.
SDN - Безопасность
со скоростью сети 68
69.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Автоматизация сетей SDN: на скоростях сети ОБНАРУЖЕНИЕ ВОССТАНОВЛЕНИЕ ЗАЩИТА Мониторинг Контроль Анализ угроз
70.
Построение сетей SDN
70
71.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования сети Мониторинг сети Управление пропускной способностью Балансировка нагрузки
72.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования сети Мониторинг сети Управление пропускной способностью Балансировка нагрузки SNMP CLI NetFlow
73.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования сети Мониторинг сети Управление пропускной способностью Балансировка нагрузки SNMP CLI NetFlow Гетерогенные устройства Неоднородные модели данных :-(
74.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования сети Мониторинг сети Управление пропускной способностью Балансировка нагрузки Программные интерфейсы
75.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования сети Мониторинг сети Управление пропускной способностью Балансировка нагрузки Программные интерфейсы Множественные топологические модели Отсутствие сквозных политик
76.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования сети Контроллер Мониторинг сети Управление пропускной способностью Балансировка нагрузки Программные интерфейсы OpenFlow
77.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования сети Контроллер Мониторинг сети Управление пропускной способностью Балансировка нагрузки Программные интерфейсы OpenFlow Осведомленность о топологии Наличие сквозных политик
78.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Контроллеры Cisco Открытый исходный код OpenFlow Контроллер Open Day Light (ODL)
79.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Источник: компания The Open DayLight Project, Inc.
80.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Контроллеры Cisco Открытый исходный код OpenFlow Распределенная архитектура для инфраструктур, ориентированных на приложения Физический, виртуальный и облачный Открытые API-интерфейсы Система OpenStack Контроллер Open Day Light (ODL) Контроллер инфраструктуры политик приложения (APIC)
81.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования множества контроллеров Контроллер ODL Прилож ение Контроллер APIC Прилож ение Центр обработки данных (ЦОД)
82.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможность программирования множества контроллеров Контроллер ODL Прилож ение Контроллер APIC Защита от угроз Политика безопасности Приложение Центр обработки данных (ЦОД)
83.
Возможности сетей SDN
в защите от DDOS-атак 83
84.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Защита от распределенных атак типа «отказ в обслуживании» (DDoS) 84 Контроллер
85.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Защита от распределенных атак типа «отказ в обслуживании» (DDoS) 85 Контроллер Статистика нагрузки
86.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Защита от распределенных атак типа «отказ в обслуживании» (DDoS) 86 Контроллер DDoS-атака Статистика нагрузки
87.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Защита от распределенных атак типа «отказ в обслуживании» (DDoS) 87 Контроллер DDoS-атака Статистика по трафику Перенаправление трафика
88.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Защита от распределенных атак типа «отказ в обслуживании» (DDoS) 88 Контроллер DDoS-атака Статистика по трафику Перенаправление трафика
89.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public 89
90.
Управление мониторингом 90
91.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Коммутатор Nexus 3000 с функциями агрегации и зеркалирования Критичные данные Контроллер ODL SPAN-порт ODL Monitor Manager
92.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Коммутатор Nexus 3000 с функциями агрегации и зеркалирования Критичные данные Контроллер ODL SPAN-порт ODL Monitor Manager
93.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Коммутатор Nexus 3000 с функциями агрегации и зеркалирования Критичная информация Контроллер ODL SPAN Приложение для мониторинга ODL Monitor Manager
94.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Коммутатор Nexus 3000 с функциями агрегации и зеркалирования Критичная информация Контроллер ODL SPAN-порт Приложение для мониторинга ODL Monitor Manager Фильтрация, репликация или тегирование трафика
95.
Расширенные компоненты безопасности
сетей SDN 95
96.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Компоненты безопасности сетей SDN 96 Сторонние приложения Безопасность Идентичность Сетевые службы Уровень абстракции служб Open Flow ONEPK I2RS Подключаемый модуль безопасности pxGrid Инфраструктура безопасности SDN Облачные технологии Cisco для защиты от угроз Приложения безопасности Приложения SDN ISE Сетевые элементы Элементы безопасности Виртуальные машины
97.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Возможности сети Службы защиты от угроз 97 Обзор приложений Адресное блокирование Адресное обследование Адресное ограничение скорости Адресный перехват пакета Адресный перехват файла Адресное ограничение Адресная борьба OpenFlow onePK ASA Plugin VLAN SGT VxLAN ISE
98.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Службы безопасности в сетях SDN 98 Проверка Запись Мониторинг Обследование Ограничение скорости Очистка от DDoS-трафика Карантин Активный межсетевой экран веб-приложений Блокирование
99.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public Сетевой контроллер согласовывает защитные меры в соответствии с потребностями важных приложений. 99 Защитные меры в системе безопасности Требования приложений и сети
100.
ЗАКЛЮЧЕНИЕ
101.
© Cisco и/или
ее дочерние компании, 2014. Все права защищены. Cisco Public От DDoS-атак страдают все. Тонкая настройка источников данных netflow и периодичности выборки повлияет на: производительность маршрутизатора (пересылка, процессор и память), масштабируемость коллектора, лицензирование. Не существует хорошей и плохой моделей развертывания, все зависит от топологии и вложений; Заключение Каждая из моделей имеет свои недостатки и преимущества, но мы рекомендуем распределенную модель с ABF или FlowSpec. SDN предоставляет новые возможности по согласованному противодействию DDoS и внедрению расширенных сервисов безопасности
102.
CiscoRu Cisco CiscoRussia
#CiscoConnectRu Спасибо за внимание! Пожалуйста, используйте код для оценки доклада 9442 Ваше мнение очень важно для нас 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Download now