Документ посвящен методам защиты корпоративных сервисов от DDoS-атак и сложных угроз, представленных инновационными решениями компании Arbor Networks. Основное внимание уделяется различным подходам к защите TCP, HTTP и SSL сервисов, с акцентом на необходимость комплексной защиты и мониторинга сетевого трафика. В документе также рассмотрены решения Pravail NSI и APS, которые обеспечивают глубинный анализ и быструю реакцию на угрозы в реальном времени.

1. Защита корпоративных
сервисов от DDoS-атак и
сложных угроз
Кирилл Касавченко
Инженер-консультант, Arbor Networks

2. Содержание
1. Актуальные проблемы информационной безопасности в
корпоративном секторе
2. Обзор решения Pravail NSI
3. Обзор решения Pravail APS
4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак

3. Кто такие Arbor Networks?
Процент Tier-1 операторов
90% связи – клиентов Arbor Количество стран, в
107 которых внедрены
решения Arbor
Количество трафика под
24 мониторингом системы ATLAS
Tbps
Количество лет, которые Arbor
12 разрабатывает и предлагает
инновационные решения по защите и
мониторингу
Позиция Arbor на рынке
оборудования защиты от DDoS в Выручка в 2011 по GAAP компании
Carrier, Enterprise и Mobile DDoS Danaher – головной компании
сегментах – 61% всего рынка Arbor Networks
#1 [Infonetics Research Jul 2012] $16B

4. Проблемы корпоративной безопасности
Новые сложные атаки, которые ставят своей целью воровство
конфиденциальных данных. Угрозы могут исходить как из-за
внешнего периметра, так и из внутренней сети
Защита сервисов и данных в Облаке требует расширения
спектра инструментов, знаний и опыта в области
безопасности.
Непрерывная доступность публичных сервисов и защита от
распределенных атак на отказ в обслуживании (DDoS)
Управление рисками корпоративной безопасности
связанными с взрывообразным ростом собственных
пользовательских устройств
4

5. Почему Arbor?
Сложные угрозы сегодняшнего дня не могут
быть остановлены точечными продуктами
обеспечения сетевой безопасности.
Компаниям требуется глобальная
визуализация, глубокий анализ и хирургическая
защита для предотвращения этих угроз.
Arbor Networks – лидер на рынке визуализации
глобальных интернет-угроз с лучшими
решениями для сбора и анализа информации о
сетевой безопасности, а так же обеспечения
доступности. Результаты нашего глобального
мониторинга и проверенные технологии
позволяют останавливать сложные угрозы.

6. Содержание
1. Актуальные проблемы информационной безопасности в
корпоративном секторе
2. Обзор решения Pravail NSI
3. Обзор решения Pravail APS
4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак

7. Корпоративные решения Pravail
Анализ
Защита
безопасности
Pravail NSI Pravail APS
Анализ безопасности корпоративных сетей Постоянная защита сетевого периметра
с детектированием угроз на основе в реальном времени
поведения
•Простая в эксплуатации и в то же время
•Выявляет угрозы во внутренних сетях – эффективная защита от DDoS атак
зараженные хосты, вредоносное ПО
•Динамические обновления информации об
•Подписка Active Threat Feed (ATF) содержит
угрозах на основе глобального мониторинга
обновления о новейших угрозах
ATLAS (AIF)
•Визуализация сети для контроля политики
безопасности
•Координация с системой защиты от DDoS на
стороне оператора связи
•Отслеживание пользователей для
мониторинга доступа и аудита

8. Обзор решения Pravail NSI
Pravail NSI обеспечивает визуализацию сетевого трафика и
Сложные угрозы сегодняшнего дня не
могут быть угроз, которые не обнаруживаются пограничными
анализ остановлены точечными
продуктами обеспечения сетевой
устройствами безопасности
безопасности
Визуализация корпоративного уровня
Знайте вашу сеть требуется глобальная
Компаниям Консультант
сторонней
визуализация, глубокий анализ и New unmanaged
Анализ приложений device (BYOD)
организации без
должного контроля Внутренний
Неавторизованный источник атак
хирургическая приложений и трафика для
Классификация защита для предотвращения веб сервер
обнаружения угроз этих угроз calling back to bot
Infected client
Бот пытается
master связаться с центром
Вредоносное ПО
Отслеживание пользователей контроля ботнета
Контроль и Networks – лидер на рынке
Arbor аудит пользователей, анализ их
визуализации глобальных интернет-угроз с
действий Сервер КСПД
вредоносного Неавторизованное
лучшими решениями для сбора и анализа ПО устройство
Детектирование сложных угроз
информации о сетевой безопасности, а так
Профилирование важных систем и
же обеспечения доступности. Результаты
обнаружение аномалий ЦОД DMZ
нашего глобальный мониторинга и
Простой механизм технологии позволяют
проверенные отчетов ИНТЕРНЕТ КСПД
Мощный и легкий в использовании угрозы
останавливать сложные
механизм построения отчетов
сегодняшнего дня

9. Визуализация трафика корпоративного уровня
Визуализация трафика – необходимая основа безопасности
«Вы не можете обезопаситься от того, чего не видите»
Использование технологий IP Flow:
Infected client
•Эффективная визуализация трафика всей to bot
calling back
master
компании
Обеспечение безопасности всей сети, а
не только периметра:
•Анализ трафика по всей сети без границ

10. Анализ приложений
Глубокий анализ трафика и приложений для предотвращения
утечек данных и выявления сложных угроз
Web Summary Report
Предотвращение утечек данных за счет
информации об открываемых ресурсах,
трафике на некорректных портах и типе
передаваемых данных
Аудит использования сайтов и
приложений – полная информация об
использовании приложений и доступе к
ресурсам

11. Контроль действий пользователей
Аудит и обеспечение безопасности не только с точки зрения IP
адресации, но и с применением имен пользователей
Выявляйте пользователей
вредоносного ПО, а не только IP адреса
Выполняйте глубокий аудит всех
соединений, сервисов и устройств
связанных с пользователем.
Интегрируйте NSI с SAN для
длительного хранения данных

12. Глобальный анализ угроз
Использование глобального
операторского мониторинга Arbor
Networks для выявления угроз
С помощью глобального мониторинга Arbor команда Выявляйте пользователей
ASERT создает «сигнатуры поведения» вредоносного ПО, а не только IP
– Подробная информация о поведении известных или адресов
новых угроз. Применяйте взвешенные решения
– Выявление сложного вредоносного ПО, сканирования о политике безопасности с
портов, фишинга, центров контроля ботнетов и проч. учетом особенностей
Поведенческие сигнатуры доступны пользователям пользователей
Pravail NSI через подписку ATF (Active Threat Feed) Глубокий аудит всех соединений,
сервисов и устройств связанных с
С помощью поведенческих сигнатур пользователем. Возможность
администраторы могут: интеграции с SAN для длительного
– Выявить атаку, определить источник, проанализировать хранения данных
особенности поведения и подавить атаку.

13. Архитектура Pravail NSI
Сложные угрозы сегодняшнего дня не
Двухуровневая архитектура для максимальной
могут быть остановлены точечными масштабируемости
продуктами обеспечения сетевой
Контроллер безопасности
Устройство, содержащее БД и
flow log, а также
Компаниям требуется глобальная
предоставляющее GUI для
визуализация, глубокий анализ и
централизованного
хирургическая защита для предотвращения
управления и построения
отчетов этих угроз calling back to bot
Infected client
master
Коллектор Networks – лидер на рынке
Arbor
Устройство, собирающее
визуализации глобальных интернет-угроз с
NetFlow и SNMP с сетевых
лучшими решениями для сбора и анализа
устройств, выполняющее
первоначальный о сетевой безопасности, а так
информации анализ
же обеспечения доступности. Результаты
трафика
нашего глобальный мониторинга и
Устройство, получающее
проверенные технологии позволяют
копию трафика со SPAN порта
и выполняющее L7 анализ сложные угрозы
останавливать
сегодняшнего дня

14. Устройства Pravail NSI
Контроллеры серии 5100 Контроллеры серии 5200
NSI 5110 NSI 5220
До 3500 FPS Замена лицензии До 25,000 FPS Замена лицензии
NSI 5120 NSI 5230
До 10000 FPS До 80,000 FPS
Замена лицензии
Контроллеры NSI 5200 поддерживают
NSI 5130 модуль DHM для длительного хранения
До 35000 FPS информации для аудита на SAN
Коллекторы серии 5000
NSI 5003AI NSI 5004 NSI 5005
До 2 Gbps До 8,000 FPS До 16,000 FPS
NSI 5006 NSI 5007
До 35,000 FPS До 80,000 FPS

15. Содержание
1. Актуальные проблемы информационной безопасности в
корпоративном секторе
2. Обзор решения Pravail NSI
3. Обзор решения Pravail APS
4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак

16. Pravail APS – ключевые особенности
Глубокая очистка от DDoS
Детектирование и подавление DDoS на
уровнях L3-L7
Защита «Из ATLAS Intelligence
коробки» Feed
Моментальный запуск Постоянное
защиты обновление сигнатур
DDoS атак и трафика
ботнетов
Простое внедрение Облачная сигнализация
Легко интегрируется с любой Информирование оператора связи о
архитектурой ЦОД необходимости очистки
лавинообразной DDoS атаки

17. Защита «из коробки»
Решение рассчитано на
моментальный запуск
защиты сразу после
инсталляции:
•Преднастроенные
параметры противомер
•Сигнатурный анализ

18. Глубокая очистка от DDoS Общие виды атак
Атаки из одного источника
Распределенный DoS
Блокировка сложных угроз доступности Атаки от подмененных адресов
включая DDoS-атаки уровня приложения Атаки на TCP
и уровня сессий Потоки TCP SYN
Некорректные комбинации флагов TCP
Атаки размером окна (например Sockstress)
• Детектирование DDoS на уровне пакетов
Медленные TCP соединения
• Отсутствие таблицы сессий Атаки на HTTP
Медленные HTTP атаки
• Очистка от сложных атак при помощи Потоки HTTP GET / POST
многоуровневых противомер Атаки на DNS
Потоки запросов DNS
Некорректный DNS трафик
Прочие атаки
Потоки UDP / ICMP
Атаки фрагментами IP / TCP / UDP
Атаки на VoIP/SIP шлюзы
Множественные противомеры помогают против Атаки на SSL/TLS инфраструктуру
динамических атак

19. Простое внедрение
Inline Span/Tap – только детектирование
Pravail APS
Pravail APS
Сеть ЦОД
Link Tap /
Сеть ЦОД
Port Span
(Также поддерживается неактивный режим работы)
 Аппаратный bypass
 Автоматическая и ручная  Подробная информация
работа о каждом
 Различные уровни защиты заблокированном боте
 Визуализация и анализ  Особая политика
пакетов трафика CDN и прокси
 Не требует симметрию  Отчеты в реальном
трафика времени

20. Облачная сигнализация
Взаимодействие компаний и
операторов связи через облачную Сеть доступа Сеть доступа
сигнализацию для обеспечения
полной защиты Оператор связи
1. Сервис работает
Сервис по
нормально
защите от DDoS
на основе Arbor 2. Начинается атака.
Peakflow SP / Pravail APS успешно
TMS очищает трафик
Перегрузка
3. Атака загружает канал связи
(последнюю милю)
4. Запускается
Arbor облачная
Pravail APS
сигнализация
5. Клиент полностью
Firewall / IPS / WAF защищен!
Сеть ЦОД
Перегрузка
Статус облачной сигнализации
Публичные сервера

21. Модели устройств Pravail APS
Серия 2000 Серия 2100
APS 2002 APS 2104
До 2 Gbps Замена лицензии
До 500 Mbps
Замена лицензии
APS 2105
APS 2003 До 4 Gbps Замена лицензии
До 1 Gbps
APS 2107
Замена лицензии До 8 Gbps
Замена лицензии
APS 2004
До 2 Gbps APS 2108
Только для модернизации До 10 Gbps
Варианты интерфейсов защиты: Варианты интерфейсов защиты:
8 x 10/100/1000 (медь GE) 12 x 10/100/1000 (медьGE)
8 x GE Fiber (SX, LX) 12 x GE Fiber (SX, LX)
2 x 10G Interfaces (SR, LR)

22. Содержание
1. Актуальные проблемы информационной безопасности в
корпоративном секторе
2. Обзор решения Pravail NSI
3. Обзор решения Pravail APS
4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак

23. Атаки на TCP-стек
 Основные атаки
 SYN-flood (атака на SYN-RECEIVED фазу)
 FIN-flood (еще называется FIN-WAIT-2 атака)
 некорректные сочетания флагов (Christmas tree)

24. Защита TCP-стека
 TMS/Pravail APS:
 Invalid packets (против xmas tree)
 TCP SYN authentication (против syn-flood)
 В обычном режиме – RST/ACK после проверки
 (-): возможны проблемы с браузерами и SSL
 Out-of-Sequence – проверка неправильным SN
 (-): если у клиента есть stateful FW, он не пропустит наш ответ
 TCP connection reset (против fin-flood)
 На сервере или FW:
 Увеличить tcp backlog (больше соединений)
 Уменьшить syn-received таймер (быстрее очищаем TCB)
 Уменьшить fin-wait-2/fin-delay таймер (быстрее закрываем соединение)
 Уменьшить количество SYN-ACK retries
 SYN-cache/SYN-cookie (не создаем TCB, пока не установилось соединение)

25. Атаки на HTTP
 GET-flood, POST-flood
 LOIC, HOIC, RUDY, Good-bye
 Медленные атаки
 Slowloris, pyloris
Могут запускаться как на одном хосте, так и в составе ботнета.

26. Защита от HTTP-атак с помощью TMS/APS
 Против flood-атак:
 TCP SYN authentication
 Application reset – редирект на запрошенный URL
 Очень старый браузер может показать connection reset
 HTTP Authentication – двойной редирект
• Оба варианта не работают с HTTP/S (!!!)
 HTTP rate-limiting
 Измеряйте в мирное время и устанавливайте с запасом
 Malformed HTTP filtering
 AIF сигнатуры
 Против медленных атак:
 Slow request attack prevention
 AIF сигнатуры

27. Защита от HTTP-атак на сервере
 Против flood-атак:
 Уменьшаем таймауты ожидания данных клиента
 Уменьшаем размеры буферов для данных клиента
 Уменьшаем количество соединений с одного IP
 Против медленных атак:
 Использовать как front-end серверы nginx или cherokee
 Не использовать apache
 Ограничить сверху максимальный размер запроса
 Поставить таймаут на установление соединения HTTP
 Установить минимальную скорость получения данных

28. Атаки на SSL
 SYN-flood на SSL протоколы
 Мусорный SSL трафик (Pushdo botnet)
 Неправильные SSL client hello сообщения
 Мусор в правильном заголовке, мимикрирующий под уже
установленное соединение
 Исчерпание ресурсов (THC DDoS)
 Client Hello с большим количеством cipher suites
 Медленная атака
 Повторная сигнализация (renegotiation) установленного соединения

29. Защита от SSL-атак
 TMS/APS
 SSL negotiation
 Для APS – дополнительные параметры настраиваются в CLI
 На сервере
 Запретите SSL renegotiation
 Ограничивайте cipher suites в client hello
 Ограничивайте client extensions в client hello
 Ограничивайте количество соединений с одного хоста и таймауты
 Ограничивайте время, за которое клиент должен пройти SSL
handshake и начать передавать шифрованные данные

30. Спасибо!
Кирилл Касавченко
kkasavchenko@arbor.net
+7.911.923.46.99
Просим Вас заполнить анкеты.
Ваше мнение очень важно для нас.