Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Обзор решений по борьбе с DDoS-атаками

2,500 views

Published on

Обзор различных решений Cisco по отражению DDoS-атак

Published in: Technology

Обзор решений по борьбе с DDoS-атаками

  1. 1. Развертывание защиты от DDoS-атак Алексей Лукацкий, бизнес-консультант alukatsk@cisco.com security-request@cisco.com
  2. 2. ВВЕДЕНИЕ
  3. 3. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public §  Риски очевидны –  распределенные атаки типа «отказ в обслуживании» (DDoS) привлекательны для злоумышленников; –  DDoS-атаки ставят под угрозу бизнес операторов связи (ISP), поставщиков хостинга, предприятий; –  каждый может пострадать; –  сложность атак растет – и это только начало. §  Защита от DDoS-атак – вопрос обеспечения непрерывности деятельности Введение https://twitter.com/olesovhcom/status/416667262146195456/photo/1
  4. 4. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Элементы, подверженные DDoS-атакам §  Приложения –  Атаки используют протоколы TCP/HTTP для перегрузки вычислительных ресурсов §  Хосты/серверы –  Попытка перегрузки ресурсов с использованием атак на протоколы—критически важные серверы не ответят на обычный запрос §  Пропускная способность –  Атаки направлены на заполнение пропускной способности IP-сети передачи данных, чтобы ограничить или заблокировать передачу легитимного трафика §  Инфраструктура –  Атаки нацелены на критически важные ресурсы сети, включая маршрутизаторы, DNS/DHCP-серверы и другие устройства, обеспечивающие связность сети §  Побочный ущерб –  Атаки, которые воздействуют на устройства, не являвшиеся целью первоначальной атаки, например, переполнение вычислительных ресурсов устройств, оказавшихся на пути распространения DDoS-атаки
  5. 5. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Интернет §  DDoS-атаки бывают различных видов: –  Атаки на прикладном уровне §  Обнаруживаются и обрабатываются МСЭ и СОВ, либо на уровне сервера –  Атаки с заполнением полосы пропускания (в том числе атаки на протоколы) §  НЕ могут быть нейтрализованы в ЦОД или на серверной ферме (слишком поздно) §  Подлежат нейтрализации на магистральной или граничной областях –  Атаки на сетевые устройства с контролем состояния (МСЭ, балансировщики и т.д.) Введение СОВ МСЭ Статический фильтр (DPI) Веб-сервер Веб-кэш Сервер БД Граничный марш-р Транзитный и пиринговый трафик Магистральный марш-р Марш-р ЦОДа
  6. 6. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Введение: атаки §  Различные типы DDoS-атак –  Атаки непрямого воздействия (DrDoS): атаки, усиленные поддельными адресами отправителя §  DNS §  NTP §  CharGen §  SNMP –  Атаки на 3–4 уровни §  TCP SYN §  UDP Frag §  ICMP-флудинг –  Атаки на 7 уровень §  HTTP-атака (GET/POST) §  SIP §  SSL §  ...
  7. 7. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Требования по защите от DDoS-атак §  Корректное и автоматическое выявление и классификация DDoS-атаки §  Гарантии пропускания легитимных потоков трафика §  Способность противостоять тяжелым атакам, характеризующимся большой нагрузкой как в Mbit/s так и в PPS §  Возможности масштабирования по производительности §  Поддержка бесперебойной работы важнейших бизнес-приложений
  8. 8. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Типичный алгоритм нейтрализации DDoS-атак 1.  Определение «нормального» поведения в сети –  Определение параметров поведения трафика, приложений, узлов –  Определение объектов защиты –  Определение параметров «нормального» поведения для объектов защиты 2.  Обнаружение DDoS-атак –  Анализ данных телеметрии и (или) иных шаблонов, отличающихся от «нормального» поведения 3.  Перенаправление потенциального DDoS-трафика на устройства отражения (очистки) 4.  «Очистка» трафика –  2-4 этапы могут быть объединены в рамках одного устройства –  Не забудьте вернуть очищенный трафик к месту назначения
  9. 9. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Типичные механизмы нейтрализации DDoS-атак §  Сетевое оборудование – корпоративное или операторское –  Access control lists (ACLs) –  BGP Remotely Triggered BackHole (RTBH) §  Коммерческие специализированные решения (например, Arbor TMS) §  Системы мониторинга и обнаружения аномальной активности (NBAD) –  На базе телеметрических данных (NetFlow, DNS, Syslog, SNMP и т.п.) §  Системы обнаружения и предотвращения вторжений (IPS) §  Использование баз репутации (черных списков)
  10. 10. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Варианты реализации DDoS Сетевое оборудование с функциями отражения DDoS Специализированные устройства для борьбы с DDoS Защитные устройства с функциями защиты от DDoS Сервисы от оператора связи или специализированного провайдера услуг •  Лаборатория Касперского •  BIFIT •  QRator •  Group-IB •  Akamai •  Arbor •  Radware •  МФИ-Софт •  Cisco ISR •  Cisco ASR •  Cisco GSR •  Cisco CRS •  Cisco ASA 5500-X •  Cisco CTD •  Cisco SCE •  Cisco Sourcefire NGIPS
  11. 11. Списки контроля доступа
  12. 12. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Access-Control Lists (ACLs) §  Обычно применяются на периметре сети заказчика §  Обеспечивают гибкую фильтрацию по специфичным портам и протоколам §  Могут столкнуться со сложностью в крупных сетях –  Какое количество ACL поддерживается пограничным маршрутизатором? –  Как автоматизировать создание и отмену ACL «на лету»? §  Обычно применяется против эпидемий вредоносных программ (например, SQL/Slammer) “внешний” “внешний” ядро периметр заказчика
  13. 13. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public ACL: Основные положения § ACL широко применяются в качестве первичного средства сдерживания § Предпосылки: идентификация и классификация—необходимо знать, что именно отфильтровывается § Применяйте как можно более подробные ACL § ACL подходит для статических атак и не столь эффективны для быстро изменяющихся профилей нападения § Изучите ограничения производительности ACL до того, как вы подвергнетесь атаке
  14. 14. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Можно ли ограничиться ACL? § Сильные стороны ACL: –  Детализация фильтрации пакетов (порты, протоколы, диапазоны, фрагменты и т.п.) –  Относительно статичная фильтрация окружения –  Четкие правила фильтрации § Недостатки ACL выясняются при рассмотрении: –  Динамических конфигураций атак (разные источники атак, разные начальные точки атак и т.д.) –  Частые изменения –  Быстрое одновременное развертывание на нескольких устройствах
  15. 15. Встроенные в сетевое оборудование механизмы
  16. 16. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Network Foundation Protection Защита инфраструктуры Control Plane Data Plane •  Эшелонированная защиты для протоколов маршрутизации •  Технологии: Receive ACLs, control plane policing, routing protection •  Обнаружение аномалий и реагирование в реальном времени •  Технологии: NetFlow, IP source tracker, ACLs, uRPF, RTBH, QoS tools •  Защита и защищенное управление Cisco IOS •  Технологии: CPU and memory thresholding, dual export syslog, encrypted access, SNMPv3, security audit Management Plane “outside” “outside” telnet snmp Core
  17. 17. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Интернет Пользователи Фильтр CAR уровня 3 Отражение атаки с помощью CAR §  Ограничения по скорости входящего и исходящего трафика L3 - ограничения скорости входящего трафика §  Фильтры защиты используют ограничения скорости входящего трафика для сброса пакетов перед тем, как они будут направлены через сеть §  Обобщенные и детальные ограничения –  Порт, адрес MAC, IP адрес, приложение, приоритет, QOS_ID
  18. 18. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Удаленно включаемый CAR как средство отражения атаки §  CAR или DCAR (distributed CAR) является эффективным средством отражения атак DoS §  Единственной проблемой является быстрое обновление множества маршрутизаторов на входе в сеть — особенно при изменении характера атаки в ответ на ваши контрмеры –  Существует возможность динамических обновлений CAR при использовании BGP; это задействует сетевой протокол для включения ограничений скорости по источнику или точке назначения
  19. 19. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Однонаправленная проверка передачи по обратному маршруту (uRPF) §  Unicast Reverse Path Forwarding §  Проверяется источник входящих IP пакетов для того, чтобы быть уверенным в том, что маршрут обратно к источнику является “действующим” §  Позволяет «отсечь» подмену адресов как из внешних сетей, так и во внутренних сетях §  95% всех DoS-атак использует подмену адресов
  20. 20. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Сброс в «черную дыру» Сброс в «черную дыру» § Удаленный запуск «черной дыры» (RTBH) –  через BGP объявляется фиктивный маршрут; –  трафик перенаправляется на интерфейс Null0 или на аналитические устройства; –  фильтрация по адресу отправителя или получателя; –  в перспективе более четкая детализация благодаря FlowSpec § Сбрасывается весь трафик (и легитимный, и нежелательный) § Сопутствующий ущерб ограничивается, но достигается главная цель злоумышленников
  21. 21. Системы предотвращения вторжений
  22. 22. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Системы обнаружения вторжений §  Системы обнаружения и предотвращения вторжений (IDS/IPS) обладают ограниченной функциональностью по нейтрализации DDoS-атак –  Только при условии наличия сигнатуры –  Только при условии DDoS-атак, не направленных на «забивание» полосы пропускания (volumetric attack) §  Отдельные системы предотвращения вторжения могут обнаруживать и аномалии в сетевом трафике –  Позволяет обнаруживать и блокировать базовые DDoS-атаки
  23. 23. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Системы обнаружения вторжений §  Ряд DDoS-атак имеют вполне конкретные признаки и могут быть описаны шаблонами (сигнатурами), позволяющими блокировать их с помощью IPS, МСЭ, CTD и т.д.
  24. 24. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Платформа FirePOWER для обнаружения вторжений §  Гибкая интеграция в программное обеспечение –  NGIPS,NGFW, AMP –  Все вышеперечисленные (просто выбрать соответствующий размер) §  Гибкая интеграция в аппаратное обеспечение –  Масштабируемость: 50 Мбит/с ->60 Гбит/с –  Стекирование для масштабирования, кластеризация для отказоустойчивости §  Экономичность –  Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs До 320 ядер RISC До 60 Гбит/с (система предотвращения вторжений)
  25. 25. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Производительностьимасштабируемостьсистемыпредотвращениявторжений Центр обработки данных Комплекс зданийФилиал Малый или домашний офис Интернет- периметр FirePOWER 7100 500 Мбит/с – 1 Гбит/с FirePOWER 7120/7125/8120 1 - 2 Гбит/с FirePOWER 8100/8200 2 - 10 Гбит/с FirePOWER серии 8200 и 8300 10 – 60 Гбит/с Платформы и размещение в сети FirePOWER 7000 Series 50 – 250 Мбит/с + Сенсоры и консоль управления в виде ВМ
  26. 26. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Cisco ASA с функциями FirePOWER ►  Межсетевое экранирование Cisco® ASA в сочетании с системой предотвращения вторжений Sourcefire® нового поколения ►  Усиленная защита от вредоносного кода Advanced Malware Protection (AMP) ►  Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и контроля приложений (AVC) и фильтрации URL-адресов Особенности ►  Непревзойденная, многоуровневая защита от угроз ►  Беспрецедентная прозрачность сетевой активности ►  Комплексная защита от угроз на всем протяжении атаки ►  Снижение стоимости и сложности систем Преимущества «С помощью многоуровневой защиты организации смогут расширить возможности для мониторинга, внедрить динамические механизмы безопасности и обеспечить усиленную защиту в течение всего жизненного цикла атаки»
  27. 27. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Варианты исполнения Cisco ASA with FirePOWER FirePOWER Services for 5585-X (модуль) FirePOWER Services for 5500-X (ПО) ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X ASA 5585-X
  28. 28. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public «Черные  списки»  или  использование  репутации  узла   § Что это? –  Сигналы тревоги и правила блокирования: §  Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи §  Источники вредоносного ПО, фишинга и спама –  Возможно создание пользовательских списков –  Загрузка списков от Sourcefire или иных источников § Как это может помочь? –  Блокировать каналы вредоносных коммуникаций –  Непрерывно отслеживать любые несанкционированные и новые изменения
  29. 29. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Контроль беспроводных DDoS-атак с помощью Cisco wIPS / MSE §  Само мобильное устройство не может сказать, что оно «чужое» –  Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного §  Особую сложность представляет контроль 3G/4G доступа, но и он может быть решен
  30. 30. Обнаружение аномалий
  31. 31. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Обнаружение аномалий §  Что такое обнаружение? –  Построение базового профиля является важнейшим мероприятием для поиска осуществляемой атаки –  Аномалия – событие или условие в сети, характеризуемое статистическим отклонением от базового профиля –  Аномалия может быть вызвана не только DDoS-атакой §  Когда выявлена аномалия –  Следующим шагом является уведомление устройств(а), ответственного за разбор трафика на вредоносную и легитимную составляющие
  32. 32. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Обнаружение DDoS-атак по аномалии в трафике
  33. 33. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public A   B   C   C B A CA B Не везде есть IPS, но везде есть NetFlow
  34. 34. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Сеть как сенсор §  NetFlow можно взять из всех критичных и важных точек
  35. 35. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Cisco Cyber Threat Defense (CTD) Обзор StealthWatch FlowCollector* StealthWatch Management Console* Управление StealthWatch FlowReplicator ( Другие анализаторы Cisco ISE StealthWatch FlowSensor* Netflow enabled device Не-Netlow устройство NetFlow NetFlow NetFlow * Виртуальный или физический
  36. 36. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Netflow как инструмент анализа аномалий
  37. 37. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Детали подключений Netflow
  38. 38. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Обнаружение угроз на базе поведения сети • Активность BotNet Command & Control • Обнаружение утечек данных • Целенаправленные угрозы (APT) • Обнаружение Malware, распространяющегося внутри сети • Обнаружение разведки в сети • Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)
  39. 39. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Консоль управления CTD
  40. 40. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Крупным планом Обнаружение разных типов атак, включая DDoS Детальная статистика о всех атаках, обнаруженных в сети
  41. 41. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Визуализация по разным срезам
  42. 42. Использование DPI-решений
  43. 43. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public DPI как средство борьбы с DDoS-атаками § «Глубокий» анализ пакетов (DPI) –  Устройство следит за всем трафиком без переадресации –  Анализ обычно является двусторонним –  Пропускная способность должна составлять несколько Гбит/с –  Сигнатурный анализ, Статистический анализ, Выявление аномалий –  Высокая гибкость: выявление аномалий возможно для любых протоколов
  44. 44. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Абонент Приложение Блокировать Перенаправить Установить QoS Пометить Процесс контроля поведения Анализ и контроль IP-трафика §  …Классификация приложений §  …Связь с состоянием и политикой для каждого абонента §  …Выбор действия на основе сетевых условий — время дня, превышение лимита, другие параллельные активности §  …Привести в исполнение Условиесети
  45. 45. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public ПолитикиАнализ и отчеты Решение Cisco Service Control Engine (SCE) §  Аккуратная идентификация и профилирование трафика приложений и абонентов §  Полный анализ на уровнях 4-7 – кто использует сеть и как? §  Реагирование путем QoS, redirect, mark или drop для отдельных абонентов, приложений, времени суток… §  Контроль пиринговых приложений, таких как Skype или Kazaa Видимость – критический элемент безопасности – вы не можете контролировать то, чего не видите…
  46. 46. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Учет практически любых требований политики безопасности Политики Cisco Service Control Engine §  Контроль приложений –  По сессиям или полосе пропускания §  Контроль по времени –  Пиковые загрузки и нерабочее время §  Контекстный контроль –  Приоритезация трафика важных приложений §  Контроль абонентов –  Квоты и лимиты для каждого абонента §  Контроль получателя –  Политики для собственного, пирингового и транзитного трафика
  47. 47. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Cisco SCE: расположение в сети Абонент Интернет BRASDSLAM Cisco SCE 6500/7600 Сервер политик SCE встраивается в канал и проверяет весь трафик
  48. 48. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Cisco SCE: Обнаружение §  Спам-боты – выявление на основе анализа SMTP –  Чрезмерно большое число SMTP-соединений с одного адреса §  DDoS-атака – выявление по аномалиям трафика –  Аномальное число соединений от одного внутреннего адреса один внешний адрес –  Аномальное число соединений от нескольких внутренних адресов один внешний адрес §  Сканирование/Распространение – выявление по аномалиям трафика –  Аномальное число соединений от одного хоста на один или несколько других хостов: –  Несколько портов, один адресат –  Один порт, несколько адресатов §  Заражение червями – выявление по сигнатурам –  Динамическая загрузка сигнатур в SCE посредством редактора сигнатур –  Сигнатуры создаются вручную – компания Cisco в настоящий момент НЕ предоставляет сигнатуры для SCE
  49. 49. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Обнаружение аномалий средствами SCE § Трафик хоста классифицируется как аномальный, –  если скорость установления соединений превышает порог или –  скорость установления подозрительных (односторонних) соединений превышает порог И доля подозрительных соединений превышает порог §  Настройка отдельных порогов выполняется на следующих уровнях: Тип аномалии: сканирование, DoS, DDoS Интерфейс (абонент / сеть) Список хостов Протокол IP (контроль групп портов или отдельных портов) Список портов
  50. 50. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public «Какова общая картина подозрительной активности в сети?»
  51. 51. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public «Какие порты могут являться целями для вредоносного трафика?»
  52. 52. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public «Сколько абонентов выполняют вредоносные действия в сети?»
  53. 53. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public «Как определить первую десятку нарушителей?»
  54. 54. Передача NetFlow на внешние решения. Сброс в «черную дыру»
  55. 55. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Использование внешних центров очистки Использование центров очистки •  Перенаправление на устройства очистки трафика; •  разделение легитимного и вредоносного трафика; •  сервисы «мишени» продолжают работать; •  сопутствующий ущерб отсутствует.
  56. 56. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public §  Централизованная модель: для защиты от атаки используется выделенная часть сети – центр очистки трафика. Модели защиты от DDoS-атак: централизованная, распределенная или гибридная Источники транзитного трафика Источники пирингового трафика Магистраль Центр очистки трафика «Мишень»
  57. 57. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная, распределенная или гибридная Источники транзитного трафика Источники пирингового трафика Магистраль §  Централизованная модель: трафик к «мишени» перенаправляется и проходит через центр очистки. Центр очистки трафика «Мишень» Примечание: асимметричный трафик и I2O-трафик не проходит через центр очистки
  58. 58. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная, распределенная или гибридная Источники транзитного трафика Источники пирингового трафика Магистраль §  Распределенная модель: мы устанавливаем центры очистки трафика на периметре магистральной сети. «Мишень»
  59. 59. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная, распределенная или гибридная Источники транзитного трафика Источники пирингового трафика Магистраль §  Гибридная модель: центры очистки трафика на периметре магистральной сети для основной работы и внутри сети для обработки дополнительной нагрузки. «Мишень» Центр очистки трафика
  60. 60. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Модели защиты от DDoS-атак: централизованная или распределенная — плюсы и минусы Централизованная Распределенная Cтоимость владения потенциально ниже Совместно используемые ресурсы Возможно потребуется больше карт или устройств Весь «грязный» трафик передается на очистку в сеть, что может переполнить нашу сетевую инфраструктуру Убирает «грязный» трафик на периметре сети. Эксплуатационные расходы ниже. Нужен продуманный механизм туннелирования или виртуальной маршрутизации-коммутации (VRF) для передачи «чистого» трафика Возможны более простые модели развертывания
  61. 61. ПРОЦЕСС ЗАЩИТЫ ОТ DDОS-АТАК
  62. 62. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public §  Нейтрализация DDoS-атаки – это процесс, выполняемый в несколько этапов в разных точках сети и с использованием различных продуктов. Процесс защиты от DDoS-атак –  Обнаружение: идентификация аномального поведения в сети и уведомление оператора. –  Отвод (offRamp): перенаправление трафика для «мишени» на устройство очистки трафика. –  Нейтрализация: устройство очистки трафика разделяет легитимный и вредоносный трафик с блокировкой последнего. –  Возврат (onRamp): возврат легитимного трафика в сеть и обеспечение его доставки получателю. Отвод (offRamp) Марш-р Возврат (onRamp) Марш-р Нейтрализация Модуль CGSEОтдельное устройство Обнаружение Марш-р Коллектор
  63. 63. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Коллектор Источники транзитного трафика Источники пирингового трафика Магистраль §  Отвести трафик можно несколькими способами, но цель всегда одна — трафик перенаправляется к устройству очистки. Пример: Центр очистки трафика «Мишень» Процесс защиты от DDoS-атак Отвод BGP BGP
  64. 64. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Процесс защиты от DDoS-атак Обнаружение Коллектор Источники транзитного трафика Источники пирингового трафика Магистраль §  Все граничные маршрутизаторы отправляют данные Netflow к платформе коллектора (CP). §  Возможно, граничные маршрутизаторы, маршрутизаторы ЦОД или даже все остальные маршрутизаторы будут делать то же самое. «Мишень»Данные NetFlow Данные NetFlow Данные NetFlow Обнаружена атака
  65. 65. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Коллектор Источники транзитного трафика Источники пирингового трафика Магистраль §  Опираясь на инструкции от СР, система управления угрозами (TMS) анализирует пакеты и сбрасывает вредоносный трафик §  Обратная связь с CP осуществляется в режиме реального времени Центр очистки трафика «Мишень» Процесс защиты от DDoS-атак Нейтрализация HTTPS
  66. 66. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Коллектор Источники транзитного трафика Источники пирингового трафика Магистраль §  Возврат реализуется на базе механизмов (GRE, VRF, ...) транспортировки хороших пакетов к месту назначения, несмотря на работу механизма отвода на маршрутах. Пример: Центр очистки трафика «Мишень» Процесс защиты от DDoS-атак Возврат
  67. 67. СОТРУДНИЧЕСТВО С ARBOR
  68. 68. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Решение Arbor Peakflow SP Портфель решений §  Arbor Networks предлагает ряд продуктов для обнаружения и нейтрализации DDoS- атак. Как минимум, два из них обязательны для работы с решением: §  Платформа коллектора (CP) §  Собирает данные Flow; –  обнаруживает аномальное поведение в сети и генерирует предупреждения; –  может влиять на маршрутизацию, объявляя в сети маршруты BGP; –  поддерживает расширение BGP FlowSpec; –  осуществляет удаленную настройку и мониторинг TMS. §  Система управления угрозами (TMS) –  Настраивается в CP, получает перенаправленный трафик и проводит многоуровневый анализ пакетов; –  отбрасывает вредоносные пакеты, передает легитимные; –  предоставляет операторам данные мониторинга в режиме реального времени; §  для дополнительной защиты доступны другие продукты: –  FS, BI, PI
  69. 69. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Arbor TMS в модуле CGSE или устройстве защиты? §  TMS – это продукт от Arbor, можно встраивать в разное оборудование. –  Сервисная плата CRS: модуль СGSE, установленный в маршрутизатор CRS –  Реализация на базе шасси или в виде отдельного устройства Arbor, сопряженного с другим устройством, работающим на 3- м уровне. –  Сервисная плата ASR: модуль, установленный в маршрутизатор ASR
  70. 70. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public §  Поддерживается в –  матрицах коммутации CRS-1 / CRS-3 / CRS-X; –  одиночное или мультишасси на 4 / 8 / 16 слотов; –  до 12 плат в шасси на 16 слотов. §  Многоцелевая сервисная плата: –  CGN; –  Arbor TMS. §  Реализован на дистрибутиве Linux Monte Vista, но настраивается через ОС IOS-XR. §  Предоставляет высокопроизводительную платформу для сторонних приложений, таких как Peakflow SP TMS. Сервисный модуль операторского класса (CGSE)
  71. 71. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Пример экрана: 2 модуля CGSE
  72. 72. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Пример экрана: резюме по отражению атак
  73. 73. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Пример экрана: отражение атак на модуле CGSE
  74. 74. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Пример экрана: отражение атак на модулях CGSE
  75. 75. ЗАКЛЮЧЕНИЕ
  76. 76. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public §  От DDoS-атак страдают все §  Существуют различные технологии обнаружения и отражения DDoS-атак и способы их реализации §  Не существует хороших и плохих технологий или моделей их развертывания, все зависит от топологии и вложений §  До тех пор, пока мы не перейдем на действительно эффективные системы с искусственным интеллектом, защита от DDoS-атак будет задачей сетевых инженеров: –  Понимание топологии и поведения сетевого трафика –  Тонкая настройка NetFlow или иных критериев «нормальности» трафика (для SCE, NGIPS и т.д.) –  Высококвалифицированный персонал с командами быстрого реагирования –  Эффективные процедуры передачи управления, реагирование на инциденты, управление заявками на устранение неисправностей Заключение
  77. 77. © Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public Enterprise or Cloud Global DDoS Detection & Mitigation Centers SP SP SP Applications, Services & Databases Firewall IPS/IDS SP Load Balancer SSL/TLS Termination Web App Firewall Application Delivery Controller (ADC) SP DDoS Detection & Mitigation Center App DDoS Detect & Mitigate DDoS Analyzers and/or Telemetry Aggregators •  Issue redirection and/or local scrubbing instructions to networking infrastructure and DDoS mitigators Redirect, Scrub Redirect, Scrub Peering DDoS Mitigation •  DDoS mitigation close to source •  Simple (L4-based) scrubbing done by routers/switches Несколько уровней защиты от DDoS DDoS Traffic Redirection •  Redirect DDoS suspect traffic to scrubbers (SP or DDoS mitigation provider) •  Highly Delay Senstive traffic may not be redirected Global DDoS Mitigation •  Receives redirected traffic for scrubbing •  Global pool of scrubbing resources with elastic scrubbing capacity •  Scubs traffic to DDoS target; some residual DDoS traffic makes it through (app-specific) Redirect, Scrub Provider Edge Scrubbing •  Local scrubbing of highly delay sensitive traffic App Specific Scrubbing •  Local scrubbing of application specific traffic •  Includes scrubbing of encrypted traffic

×