3. Атаки в 2013
Год назад атака в 40Мбс (!)
«положила» 5 крупнейших
Российских банков
Атаки на госструктуры, банки,
СМИ, крупные и средние
компании продолжаются
волнами в течении 2014
Последние 2-3 месяца
увеличилось количество атак
на операторов
3
4. Развитие атак
• Бо
’льшее использование серверных атак
• Больше атак на приложения
• Атаки включают много (5+) векторов одновременно
• 201
2–DNS amplification, 2013 –NTP amplification, 2014 –SYN Tsunami
• Атаки меняются каждые 3-5 минут. Успеть
отреагировать в ручном режиме практически нереально
4
5. ОграниченияNetflowBased Mitigation
Возможности
NetflowBased Mitigation
Detection
СетевыеDDoS floodатаки
Практически полное
Mitigation
Время блокировки
Медленно –начиная с 5 минут
Network Operation
Требует BGP announcement, GRE tunneling и (чаще) –несколько детекторов
Сложно
Diversion
Точностьпо траффику
Низкая точность
Cost Effective
Отдельныхдетекторов
Требует центр очистки
Занимает время CPUмаршрутизаторов
Дорого
Медленно
Сложно
Не аккуратно
Дорого
5
7. Представляем–Radware DefenseFlow
Контроллер
DefensePro
SDN Data Plane
SDN Controller
SDN Applications
Приложение управляет SDN сетью для защиты от DDoS
Программируемый интерфейс (API) -
OpenFlow
Программируемый интерфейс (API)
7
8. DefensePro
Internet
“Перенаправление трафика” -Управление
Обнаружение–Анализ и Решение
Сбор– Программируемые коллекторы
Инициализацияуслуг безопасности
Атака!!!
SDN Controller
Изучение статистики для каждого: IP адреса, протокола и приложения
DefenseFlow: Как управлять сетью SDN для защиты от DDoS
Конфигурация DefenseProс учетом изученных данных
Slide 8
9. Application Anti-DoS App
DefenseFlowNetwork Anti-DoS App
Attack detected !!!
vSwitch
Настройки политик безопасности
REST API
Локальные счетчики
Пограничные счетчики
DefensePro
Центр очистки
NBAPI
SDN Driver
L4-L7 Driver
NBAPI
SDN Controller
OpenFlow
BGP FlowSpec
Внедрение Out-Of-Path
Adaptive Anomaly Decision Surface
Зона Атаки
Normal Adapted Area
Параметры трафика
Параметры трафика
Зона подозрительного поведения
Адаптивная модель определения аномалий
DefenseFlow –Network Anti–DoS
10. Application Anti-DoS App
Сигнал и информация о атаке
DefenseFlow
–Application Anti–DoS
DefensePro
REST API
DefenseFlowApplication Anti-DoS App
vSwitch
Детектирована атака прикладного уровня!!!
NBAPI
SDN Driver
L4-L7 Driver
NBAPI
SDN Controller
OpenFlow
BGP FlowSpec
Service Chaining / Service Insertion / OpenFlow
Внедрение“Всегда включено”
Настройки политик безопасности
Slide 10
11. Application Anti-DoS App
DefenseFlow – Application Anti–DoS
DefensePro
REST API
DefenseFlowApplication Anti-DoS App
vSwitch
NBAPI
SDN Driver
L4-L7 Driver
NBAPI
SDN Controller
OpenFlow
BGP FlowSpec
Внедрение“Smart TAP”
Сигнал и информация о атаке
Детектирована атака прикладного уровня!!!
Slide 11
12. Application Anti-DoS App
Работа в традиционной сети
Network Anti-Dos
NBAPI
Application Anti- DoS
Distributed Mitigation (Signaling)
SDN Drivers
vSwitch
DefensePro
Центр очистки
DefenseFlow NBAPI
-Интерфейс для любых систем управления
-Отчетность и мониторинг
-Сигналы безопасности других производителей
L4-L7 Drivers
NetFlow или другой
3rdparty DoS
детектирующее устройство
Обнаружение атаки и детализация
BGP
Детектирована атака сетевого уровня!!!
Slide 12
13. Application Anti-DoS App
Оптимальный путь миграции из традиционной сети в
SDN
Network Anti-Dos
NBAPI
Application Anti- DoS
Distributed Mitigation (Signaling)
SDN Drivers
vSwitch
DefensePro
Центр очистки
L4-L7 Drivers
NetFlow или xFlow
OpenFlow или другой протокол
NBAPI
SDN Controller
OpenFlow
BGP FlowSpec
3rdparty DoS
детектирующее устройство
Slide 13
14. Capability
NetflowBased Mitigation
RadwareDefenseFlow
Detection
СетевыеDDoS floodатаки
Практически полное
Полное
Mitigation
Время блокировки
Медленно –5 Min
Немедленно -сек
Network Operation
Требует BGP announcement, GRE tunneling
Сложно
Просто-на уровне сетевого сервиса
Diversion
Точностьпо траффику
Низкая точность
Переводитсятолько траффик атаки
Cost Effective
Отдельныхдетекторов
Требует центр очистки
Занимает время CPUмаршрутизаторов
Дорого
Дешево
DefenseFlow Vs. Netflow
Медленно
Сложно
Не аккуратно
Дорого
14
15. Summary
•
DDoS атаки –угроза каждому бизнесу
•
Сегодняшние операторские решения на базе NetFlowуже не могут предоставить эффективные и не дорогие операторские решения для борьбы с современными атаками
•
На смену сегодняшним сетям приходят решения на базе SDN
•
DefenseFlow–приложение для SDN сети, обеспечивающее: легкое и быстрое внедрение, быстрый перехват атаки (секунды), низкую стоимость
•
Решение уже имеет реальные внедрения в сетях крупнейших операторов
15