Защита корпоративных сервисов от распределенных атак...
Post on 15-Jun-2015
672 Views
Preview:
TRANSCRIPT
Защита корпоративных сервисов от DDoS-атак и сложных угрозКирилл КасавченкоИнженер-консультант, Arbor Networks
Содержание
1. Актуальные проблемы информационной безопасности в корпоративном секторе
2. Обзор решения Pravail NSI3. Обзор решения Pravail APS4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак
Кто такие Arbor Networks?
90% Процент Tier-1 операторов связи – клиентов Arbor
107Количество стран, в которых внедрены решения Arbor
24Tbps
Количество трафика под мониторингом системы ATLAS
#1
Позиция Arbor на рынке оборудования защиты от DDoS в Carrier, Enterprise и Mobile DDoS сегментах – 61% всего рынка[Infonetics Research Jul 2012]
Количество лет, которые Arbor разрабатывает и предлагает инновационные решения по защите и мониторингу
12
$16B
Выручка в 2011 по GAAP компанииDanaher – головной компании Arbor Networks
Проблемы корпоративной безопасности
4
Непрерывная доступность публичных сервисов и защита от распределенных атак на отказ в обслуживании (DDoS)
Управление рисками корпоративной безопасности связанными с взрывообразным ростом собственных пользовательских устройств
Новые сложные атаки, которые ставят своей целью воровство конфиденциальных данных. Угрозы могут исходить как из-за внешнего периметра, так и из внутренней сети
Защита сервисов и данных в Облаке требует расширения спектра инструментов, знаний и опыта в области безопасности.
Почему Arbor?
Сложные угрозы сегодняшнего дня не могут быть остановлены точечными продуктами
обеспечения сетевой безопасности.
Компаниям требуется глобальная визуализация, глубокий анализ и хирургическая
защита для предотвращения этих угроз.
Arbor Networks – лидер на рынке визуализации глобальных интернет-угроз с лучшими
решениями для сбора и анализа информации о сетевой безопасности, а так же обеспечения доступности. Результаты нашего глобального
мониторинга и проверенные технологии позволяют останавливать сложные угрозы.
Содержание
1. Актуальные проблемы информационной безопасности в корпоративном секторе
2. Обзор решения Pravail NSI3. Обзор решения Pravail APS4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак
Корпоративные решения Pravail
Анализ безопасности
Защита
Pravail APSPravail NSI
Анализ безопасности корпоративных сетей с детектированием угроз на основе
поведения•Выявляет угрозы во внутренних сетях –зараженные хосты, вредоносное ПО•Подписка Active Threat Feed (ATF) содержит обновления о новейших угрозах•Визуализация сети для контроля политики безопасности•Отслеживание пользователей для мониторинга доступа и аудита
Постоянная защита сетевого периметра в реальном времени
•Простая в эксплуатации и в то же время эффективная защита от DDoS атак•Динамические обновления информации об угрозах на основе глобального мониторингаATLAS (AIF)•Координация с системой защиты от DDoS на стороне оператора связи
Обзор решения Pravail NSIСложные угрозы сегодняшнего дня не могут быть остановлены точечными
продуктами обеспечения сетевой безопасности
Компаниям требуется глобальная визуализация, глубокий анализ и
хирургическая защита для предотвращения этих угроз
Arbor Networks – лидер на рынке визуализации глобальных интернет-угроз с лучшими решениями для сбора и анализа информации о сетевой безопасности, а так же обеспечения доступности. Результаты
нашего глобальный мониторинга и проверенные технологии позволяют
останавливать сложные угрозы сегодняшнего дня
Pravail NSI обеспечивает визуализацию сетевого трафика и анализ угроз, которые не обнаруживаются пограничными
устройствами безопасности
New unmanaged device (BYOD)
Консультант сторонней организации без должного контроля
Неавторизованный веб сервер
Внутренний источник атак
Infected client calling back to bot
master
Неавторизованное устройство
Бот пытается связаться с центром
контроля ботнета
Визуализация корпоративного уровняЗнайте вашу сеть
Анализ приложенийКлассификация приложений и трафика для обнаружения угроз
Отслеживание пользователейКонтроль и аудит пользователей, анализ их действий
Детектирование сложных угрозПрофилирование важных систем и обнаружение аномалий
Простой механизм отчетовМощный и легкий в использовании механизм построения отчетов
DMZ
КСПД
ЦОД
ИНТЕРНЕТ КСПД
Вредоносное ПО
Сервер вредоносного
ПО
Визуализация трафика корпоративного уровня
Infected client calling back to bot
master
Использование технологий IP Flow:•Эффективная визуализация трафика всей компании
Обеспечение безопасности всей сети, а не только периметра: •Анализ трафика по всей сети без границ
Визуализация трафика – необходимая основа безопасности«Вы не можете обезопаситься от того, чего не видите»
Анализ приложений
Предотвращение утечек данных за счет информации об открываемых ресурсах, трафике на некорректных портах и типе
передаваемых данных
Аудит использования сайтов и приложений – полная информация об
использовании приложений и доступе к ресурсам
Глубокий анализ трафика и приложений для предотвращения утечек данных и выявления сложных угроз
Web Summary Report
Контроль действий пользователей
Аудит и обеспечение безопасности не только с точки зрения IP адресации, но и с применением имен пользователей
Выявляйте пользователей вредоносного ПО, а не только IP адреса
Выполняйте глубокий аудит всех соединений, сервисов и устройств
связанных с пользователем.
Интегрируйте NSI с SAN для длительного хранения данных
Глобальный анализ угроз
Выявляйте пользователей вредоносного ПО, а не только IP
адресовПрименяйте взвешенные решения
о политике безопасности с учетом особенностей
пользователейГлубокий аудит всех соединений, сервисов и устройств связанных с
пользователем. Возможность интеграции с SAN для длительного
хранения данных
С помощью глобального мониторинга Arbor команда ASERT создает «сигнатуры поведения»– Подробная информация о поведении известных или
новых угроз. – Выявление сложного вредоносного ПО, сканирования
портов, фишинга, центров контроля ботнетов и проч.
Поведенческие сигнатуры доступны пользователям Pravail NSI через подписку ATF (Active Threat Feed)
С помощью поведенческих сигнатур администраторы могут: – Выявить атаку, определить источник, проанализировать
особенности поведения и подавить атаку.
Использование глобального операторского мониторинга Arbor
Networks для выявления угроз
Архитектура Pravail NSIСложные угрозы сегодняшнего дня не могут быть остановлены точечными
продуктами обеспечения сетевой безопасности
Компаниям требуется глобальная визуализация, глубокий анализ и
хирургическая защита для предотвращения этих угроз
Arbor Networks – лидер на рынке визуализации глобальных интернет-угроз с лучшими решениями для сбора и анализа информации о сетевой безопасности, а так же обеспечения доступности. Результаты
нашего глобальный мониторинга и проверенные технологии позволяют
останавливать сложные угрозы сегодняшнего дня
Двухуровневая архитектура для максимальной масштабируемости
Infected client calling back to bot
master
КонтроллерУстройство, содержащее БД и flow log, а также предоставляющее GUI для централизованного управления и построения отчетов
КоллекторУстройство, собирающее NetFlow и SNMP с сетевых устройств, выполняющее первоначальный анализ трафикаУстройство, получающее копию трафика со SPAN порта и выполняющее L7 анализ
Устройства Pravail NSIКонтроллеры серии 5100 Контроллеры серии 5200
NSI 5110До 3500 FPS
NSI 5120До 10000 FPS
NSI 5130До 35000 FPS
Замена лицензии
Замена лицензии
NSI 5220До 25,000 FPS
NSI 5230До 80,000 FPS
Замена лицензии
Контроллеры NSI 5200 поддерживают модуль DHM для длительного хранения
информации для аудита на SAN
Коллекторы серии 5000
NSI 5003AIДо 2 Gbps
NSI 5004До 8,000 FPS
NSI 5005До 16,000 FPS
NSI 5006До 35,000 FPS
NSI 5007До 80,000 FPS
Содержание
1. Актуальные проблемы информационной безопасности в корпоративном секторе
2. Обзор решения Pravail NSI3. Обзор решения Pravail APS4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак
Pravail APS – ключевые особенности
Защита «Из коробки»
Моментальный запуск защиты
Глубокая очистка от DDoSДетектирование и подавление DDoS на
уровнях L3-L7
ATLAS Intelligence Feed
Постоянное обновление сигнатур DDoS атак и трафика
ботнетов
Облачная сигнализацияИнформирование оператора связи о
необходимости очистки лавинообразной DDoS атаки
Простое внедрениеЛегко интегрируется с любой
архитектурой ЦОД
Защита «из коробки»
Решение рассчитано на моментальный запуск защиты сразу после инсталляции:
•Преднастроенные параметры противомер
•Сигнатурный анализ
Глубокая очистка от DDoS
• Детектирование DDoS на уровне пакетов
• Отсутствие таблицы сессий
• Очистка от сложных атак при помощи многоуровневых противомер
Общие виды атак
Атаки из одного источника
Распределенный DoS
Атаки от подмененных адресов
Атаки на TCP
Потоки TCP SYN
Некорректные комбинации флагов TCP
Атаки размером окна (например Sockstress)
Медленные TCP соединения
Атаки на HTTP
Медленные HTTP атаки
Потоки HTTP GET / POST
Атаки на DNS
Потоки запросов DNS
Некорректный DNS трафик
Прочие атаки
Потоки UDP / ICMP
Атаки фрагментами IP / TCP / UDP
Атаки на VoIP/SIP шлюзы
Атаки на SSL/TLS инфраструктуру
Блокировка сложных угроз доступности включая DDoS-атаки уровня приложения
и уровня сессий
Множественные противомеры помогают против динамических атак
Простое внедрение
Pravail APS Сеть Ц
ОД
(Также поддерживается неактивный режим работы)
Pravail APS
Сеть Ц
ОД
Link Tap / Port Span
Inline Span/Tap – только детектирование
Аппаратный bypass Автоматическая и ручная
работа Различные уровни защиты Визуализация и анализ
пакетов Не требует симметрию
трафика
Подробная информация о каждом заблокированном боте Особая политика
трафика CDN и прокси Отчеты в реальном
времени
Облачная сигнализация
Сервис по защите от DDoS на основе Arbor
Peakflow SP / TMS
Arbor Pravail APS
Сет
ь Ц
ОД
Firewall / IPS / WAF
Пуб
личн
ые
серв
ера
Сеть доступа Сеть доступа
Оператор связи1. Сервис работает
нормально
2. Начинается атака. Pravail APS успешно очищает трафик
3. Атака загружает канал связи (последнюю милю)
4. Запускается облачная сигнализация
5. Клиент полностью защищен!Статус облачной сигнализации
Взаимодействие компаний и операторов связи через облачную
сигнализацию для обеспечения полной защиты
Перегрузка
Перегрузка
Модели устройств Pravail APS
APS 2104До 2 Gbps
APS 2105До 4 Gbps
APS 2107До 8 Gbps
APS 2108До 10 Gbps
Замена лицензии
Замена лицензии
Замена лицензии
Замена лицензии
Только для модернизации
Замена лицензии
APS 2002До 500 Mbps
APS 2003До 1 Gbps
APS 2004До 2 Gbps
Варианты интерфейсов защиты:8 x 10/100/1000 (медь GE)8 x GE Fiber (SX, LX)
Варианты интерфейсов защиты:12 x 10/100/1000 (медьGE)12 x GE Fiber (SX, LX)2 x 10G Interfaces (SR, LR)
Серия 2000 Серия 2100
Содержание
1. Актуальные проблемы информационной безопасности в корпоративном секторе
2. Обзор решения Pravail NSI3. Обзор решения Pravail APS4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак
Атаки на TCP-стек
Основные атаки
SYN-flood (атака на SYN-RECEIVED фазу)
FIN-flood (еще называется FIN-WAIT-2 атака)
некорректные сочетания флагов (Christmas tree)
Защита TCP-стека
TMS/Pravail APS: Invalid packets (против xmas tree)
TCP SYN authentication (против syn-flood)
В обычном режиме – RST/ACK после проверки
(-): возможны проблемы с браузерами и SSL
Out-of-Sequence – проверка неправильным SN
(-): если у клиента есть stateful FW, он не пропустит наш ответ
TCP connection reset (против fin-flood)
На сервере или FW: Увеличить tcp backlog (больше соединений)
Уменьшить syn-received таймер (быстрее очищаем TCB)
Уменьшить fin-wait-2/fin-delay таймер (быстрее закрываем соединение)
Уменьшить количество SYN-ACK retries
SYN-cache/SYN-cookie (не создаем TCB, пока не установилось соединение)
Атаки на HTTP
GET-flood, POST-flood
LOIC, HOIC, RUDY, Good-bye
Медленные атаки
Slowloris, pyloris
Могут запускаться как на одном хосте, так и в составе ботнета.
Защита от HTTP-атак с помощью TMS/APS Против flood-атак:
TCP SYN authentication Application reset – редирект на запрошенный URL
Очень старый браузер может показать connection reset
HTTP Authentication – двойной редирект
• Оба варианта не работают с HTTP/S (!!!)
HTTP rate-limiting Измеряйте в мирное время и устанавливайте с запасом
Malformed HTTP filtering
AIF сигнатуры
Против медленных атак:
Slow request attack prevention
AIF сигнатуры
Защита от HTTP-атак на сервере
Против flood-атак:
Уменьшаем таймауты ожидания данных клиента
Уменьшаем размеры буферов для данных клиента
Уменьшаем количество соединений с одного IP
Против медленных атак:
Использовать как front-end серверы nginx или cherokee Не использовать apache
Ограничить сверху максимальный размер запроса
Поставить таймаут на установление соединения HTTP
Установить минимальную скорость получения данных
Атаки на SSL
SYN-flood на SSL протоколы
Мусорный SSL трафик (Pushdo botnet)
Неправильные SSL client hello сообщения
Мусор в правильном заголовке, мимикрирующий под уже установленное соединение
Исчерпание ресурсов (THC DDoS)
Client Hello с большим количеством cipher suites
Медленная атака
Повторная сигнализация (renegotiation) установленного соединения
Защита от SSL-атак
TMS/APS
SSL negotiation
Для APS – дополнительные параметры настраиваются в CLI
На сервере
Запретите SSL renegotiation
Ограничивайте cipher suites в client hello
Ограничивайте client extensions в client hello
Ограничивайте количество соединений с одного хоста и таймауты
Ограничивайте время, за которое клиент должен пройти SSL handshake и начать передавать шифрованные данные
top related