Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Архитектура ЦОТ: решения уровня оператора связи и компании-специалиста<br />Александр Лямин <la@highloadlab.com>, <br />Му...
А помнишь как все начиналось?!<br /><ul><li>DDoSна ЮТК летом 2007 года – без интернета остался весь ЮФО
Продолжительность – больше месяца
Цель - все подсети ЮТК
Результат – затопление внешних каналов
РТКомм принимал непосредственное участие в отражении
NetFlow не использовался – не было картины происходящего</li></ul>Итог: Операторы связи задумались о защите собственной се...
Решение: логическая схема<br />
Описание архитектура<br />Первый эшелон – система фильтрации трафика промышленного класса<br />wirespeedфильтрация атакна ...
Архитектура: функциональные блоки <br />Application DDoS & Intrusion Activities<br />Чистый трафик<br />Network & Applicat...
Сеть РТКомм<br />
Подключение<br />Direct connect (BGP, static)<br />Collocation или Dedicated Server в ДЦ РТКомм<br />www.oblacom.ru – обла...
Масштабируемость<br />Увеличение пропускной способности внешних каналов<br />Установка дополнительных устройств очисткина ...
История.<br />2008 – идея<br />2009 – открытый тест в ЦииТ МГУ<br />2010 – Qrator Networks<br />
Зачем?<br />Быстрое обучение фильтров.<br />Анализируем семантику протоколов.<br />Не изменяем user experience. <br />Легк...
Как ?<br />Весь стек - собственные разработки.<br />Развитой классификатор.<br />Моделирование.<br />Qrator API.<br />Допо...
Узел фильтрации<br />
Сеть фильтрации.<br />
Сеть фильтрации.<br />
Другая сеть фильтрации.<br />
Подключение<br />BGP анонс<br />DNS  анонс (emergency proxy)<br />Тunnel(GRE/IPIP/MPLS VPN)<br />
Масштабируемость.<br />(ПРОСТО)<br />Добавлением узлов.<br />
Чем защищаем ?<br />Собственные разработки<br />VS<br />Решения от вендоров<br />
Cобственные разработки vs решения от вендоров<br />Промышленные решения операторского класса отлично подходят для защиты с...
Как строимся?<br />Cеть оператора<br />VS<br />Специализированная сеть<br />
Mitsubishi или BMW ?<br />Специализация <br />vs<br />интеграция<br />
Способы подключения и оперативность<br />Административные мероприятия<br />Технические мероприятия<br />Скорость обучения ...
Что защищаем ?<br />Защита Сети<br />VS<br />Защита Приложения <br />
Upcoming SlideShare
Loading in …5
×

Архитектура центра очистки трафика (Александр Лямин, Муслим Меджлумов)

991 views

Published on

  • Be the first to comment

  • Be the first to like this

Архитектура центра очистки трафика (Александр Лямин, Муслим Меджлумов)

  1. 1. Архитектура ЦОТ: решения уровня оператора связи и компании-специалиста<br />Александр Лямин <la@highloadlab.com>, <br />Муслим Меджлумов <m.medzhlumov@rtcomm.ru ><br />
  2. 2.
  3. 3. А помнишь как все начиналось?!<br /><ul><li>DDoSна ЮТК летом 2007 года – без интернета остался весь ЮФО
  4. 4. Продолжительность – больше месяца
  5. 5. Цель - все подсети ЮТК
  6. 6. Результат – затопление внешних каналов
  7. 7. РТКомм принимал непосредственное участие в отражении
  8. 8. NetFlow не использовался – не было картины происходящего</li></ul>Итог: Операторы связи задумались о защите собственной сетевой инфраструктуры от DDoSатак. <br />
  9. 9. Решение: логическая схема<br />
  10. 10. Описание архитектура<br />Первый эшелон – система фильтрации трафика промышленного класса<br />wirespeedфильтрация атакна сетевом уровне (SYN flood, UDP flood, ICMP flood)<br />wirespeedфильтрация по RegExpна уровне приложений (HTTP, DNS, SIP)<br />Второй эшелон – система предотвращения вторжений (IPS)<br />Выявление атак на раннем этапе<br />Защита приложения от эксплуатации уязвимостей<br />Третий эшелон – собственная разработка<br />Частотный анализ<br />Дерево переходов<br />
  11. 11. Архитектура: функциональные блоки <br />Application DDoS & Intrusion Activities<br />Чистый трафик<br />Network & Application DDoS & Intrusion Activities<br />3-ий эшелон<br />2-ой эшелон<br />1-ый эшелон<br />Application DDoS<br />
  12. 12. Сеть РТКомм<br />
  13. 13. Подключение<br />Direct connect (BGP, static)<br />Collocation или Dedicated Server в ДЦ РТКомм<br />www.oblacom.ru – облачный хостинг на базе платформы Parallels<br />Размещение защищаемого ресурса на серверах любого хостера подключенного к сети РТКомм и выдающего IP адреса из адресного пространства РТКомм (eServer, Jino, Majordomo и т.д.)<br />DNS анонс<br />
  14. 14. Масштабируемость<br />Увеличение пропускной способности внешних каналов<br />Установка дополнительных устройств очисткина новые каналы<br />Увеличение количества node в Proxy/NAT кластере<br />
  15. 15. История.<br />2008 – идея<br />2009 – открытый тест в ЦииТ МГУ<br />2010 – Qrator Networks<br />
  16. 16. Зачем?<br />Быстрое обучение фильтров.<br />Анализируем семантику протоколов.<br />Не изменяем user experience. <br />Легко и быстро масштабируемся.<br />Интеграция с приложением.<br />
  17. 17. Как ?<br />Весь стек - собственные разработки.<br />Развитой классификатор.<br />Моделирование.<br />Qrator API.<br />Дополнительные возможности ;-)<br />
  18. 18. Узел фильтрации<br />
  19. 19. Сеть фильтрации.<br />
  20. 20. Сеть фильтрации.<br />
  21. 21. Другая сеть фильтрации.<br />
  22. 22. Подключение<br />BGP анонс<br />DNS анонс (emergency proxy)<br />Тunnel(GRE/IPIP/MPLS VPN)<br />
  23. 23. Масштабируемость.<br />(ПРОСТО)<br />Добавлением узлов.<br />
  24. 24. Чем защищаем ?<br />Собственные разработки<br />VS<br />Решения от вендоров<br />
  25. 25. Cобственные разработки vs решения от вендоров<br />Промышленные решения операторского класса отлично подходят для защиты сети, но не достаточны для защиты приложений:<br />Arbor Peakflow SP + TMS<br />RadwareDefensePro<br />МФИ СОФТ «Периметр»<br />Cisco Guard<br />Плюсы:<br />Мониторинг огромного числа защищаемых объектов<br />Анализ и очистка трафика на 10+ Gbit/sскоростях<br />Минусы:<br />Отсутствие анализа поведения пользователей на прикладном уровне в исторической перспективе.<br />
  26. 26. Как строимся?<br />Cеть оператора<br />VS<br />Специализированная сеть<br />
  27. 27. Mitsubishi или BMW ?<br />Специализация <br />vs<br />интеграция<br />
  28. 28. Способы подключения и оперативность<br />Административные мероприятия<br />Технические мероприятия<br />Скорость обучения фильтров<br />
  29. 29. Что защищаем ?<br />Защита Сети<br />VS<br />Защита Приложения <br />
  30. 30. SLA и ценовая политика.<br />
  31. 31. SLA и ценовая политика<br />* объект – это IP адрес или подсеть<br />L1 – время реакции 15 минут; время реализации параметров фильтрации р.в. 2 часа, ост. время 4 часа<br />L2 – время реакции р.в. - 15 минут, ост. время - 2 часа; время реализации параметров фильтрации р.в. 4 часа, ост. время 8 часа<br />
  32. 32. Статистика 1.01 – 01.09.2011<br />
  33. 33. Разбиение по дням<br />
  34. 34. Вопросы ?<br />«А все на своем конкретном месте должны каждый день, как святой Франциск, мотыжить свой участок»<br />В.В. Путин<br />

×