KASPERSKY DDOS PREVENTION СОДЕРЖАНИЕ ОБЩАЯ ИНФОРМАЦИЯ О РЕШЕНИИ СХЕМА РАБОТЫ KASPERSKY DDOS PREVENTION ТЕХНИЧЕСКОЕ ОПИСАНИЕ РЕШЕНИЯ: ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА ДОСТАВКА ОБРАБОТАННОГО ТРАФИКА СИСТЕМА МОНИТОРИНГА ПРОЦЕСС ВНЕДРЕНИЯ РЕШЕНИЯ ПРОЦЕСС ОТРАЖЕНИЯ АТАКИ КРАТКО.
Download ReportTranscript KASPERSKY DDOS PREVENTION СОДЕРЖАНИЕ ОБЩАЯ ИНФОРМАЦИЯ О РЕШЕНИИ СХЕМА РАБОТЫ KASPERSKY DDOS PREVENTION ТЕХНИЧЕСКОЕ ОПИСАНИЕ РЕШЕНИЯ: ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА ДОСТАВКА ОБРАБОТАННОГО ТРАФИКА СИСТЕМА МОНИТОРИНГА ПРОЦЕСС ВНЕДРЕНИЯ РЕШЕНИЯ ПРОЦЕСС ОТРАЖЕНИЯ АТАКИ КРАТКО.
KASPERSKY DDOS PREVENTION СОДЕРЖАНИЕ 1 ОБЩАЯ ИНФОРМАЦИЯ О РЕШЕНИИ 3 СХЕМА РАБОТЫ KASPERSKY DDOS PREVENTION 6 ТЕХНИЧЕСКОЕ ОПИСАНИЕ РЕШЕНИЯ: ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА ДОСТАВКА ОБРАБОТАННОГО ТРАФИКА СИСТЕМА МОНИТОРИНГА 2 26 ПРОЦЕСС ВНЕДРЕНИЯ РЕШЕНИЯ 28 ПРОЦЕСС ОТРАЖЕНИЯ АТАКИ КРАТКО О РЕШЕНИИ KASPERSKY DDOS PREVENTION KDP существует более 5ти лет Преимущественно enterprise клиенты (коэффициент удержания > 95%) Технологии оттестированные на сложных и больших атаках Мы предлагаем отличный от других способ защиты от DDoS Kaspersky DDoS Prevention – первое и, на данный момент единственное, решение получившее сертификат ФСТЭК удостоверяющий, что «… программное изделие … является средством защиты … от угроз, направленных на отказ в обслуживании…» KDP| КЛЮЧЕВЫЕ ОСОБЕННОСТИ • DDoS защита от мирового лидера рынка в сфере услуг защиты информации • Распределённая система очистки – 4 центра очистки в России и Европе • Под защиту может быть поставлен любой ресурс, вне зависимости от местонахождения • Практически не лимитированный объем отражаемой атаки • Простое бюджетирование – оплата 1 раз согласно выбранному тарифу • Уникальный инструментарий борьбы с атаками • Подключение решения под ключ силами компаний-партнеров ЛК KDP | КОНЦЕПЦИЯ ИНТЕРНЕТ КЛИЕНТСКАЯ СЕТЬ Физический сервер или виртуальная машина Центр очистки SPAN KDP Сенсор DNS или BGP перенаправление трафика Центр очистки Router Switch Защищаемый ресурс Центр очистки DNS или BGP перенаправление трафика Центр очистки ТЕХНИЧЕСКОЕ ОПИСАНИЕ РЕШЕНИЯ ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА Router Switch Защищаемый ресурс ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА | МЕТОДЫ DNS BGP >Перенаправляет трафик одного ресурса >Перенаправляет трафик всей подсети, но не менее чем /24 >Для работы требуется управляемая доменная запись >Для работы требуется наличие AS и подсети с PI адресами >Время переключения зависит от значения TTL >Время переключения около 2-х минут ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА | РАЗРЕШЕНИЕ DNS КЛИЕНТСКАЯ СЕТЬ ДОМЕННЫЙ ХОСТИНГ Доменное имя: http://site.com IP адрес: ПОЛЬЗОВАТЕЛЬ1.1.1.1 TTL = 3600 sec IP = 1.1.1.1 ISP 1 Запрос site.com Доменное имя: http://site.com IP адрес: 1.1.1.1 TTL = 3600 sec Интернет DNS сервер ПРОВАЙДЕР ПОЛЬЗОВАТЕЛЯ Router ISP 2 Switch Доменное имя: http://site.com IP адрес: 1.1.1.1 ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА | ПЕРЕКЛЮЧЕНИЕ ПО DNS ДОМЕННЫЙ ХОСТИНГ Доменное имя: http://site.com IP адрес: 1.1.1.1 TTL = 300 sec КЛИЕНТСКАЯ СЕТЬ 1.1.1.1 IP = 103.51.49.16 Запрос site.com ISP 1 Интернет Router 1.1.1.1 DNS сервер Ожидаю истечение TTL… Доменное имя: http://site.com IP address: адрес: 1.1.1.1 2.2.2.1 TTL = 300 sec ПОЛЬЗОВАТЕЛЬ Switch Доменное имя: http://site.com IP адрес: 1.1.1.1 ISP 2 ПРОВАЙДЕР ПОЛЬЗОВАТЕЛЯ KDP ISP 2.2.2.1 ЦЕНТР ОЧИСТКИ 2.2.2.0/24 GRE тоннель ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА | DNS: ТРЕБОВАНИЯ • Возможность установки значения TTL в 300 сек и оперативного изменения доменной записи • Возможность оперативного блокирования исходного IP адреса защищаемого ресурса у провайдера • Возможность назначения IP адреса ЛК на защищаемом ресурсе ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА |СХЕМА РАБОТЫ BGP Отлично! Я знаю маршрут в сеть 1.1.1.0/24! ISP AS1000 ПОЛЬЗОВАТЕЛЬ Peer 2 AS500 Peer 1 AS300 Peer 3 AS600 ISP 1 AS200 КЛИЕНТСКАЯ СЕТЬ Router ИНТЕРНЕТ Peer 4 AS700 ISP 2 AS100 Peer 5 AS800 Peer 6 AS900 Switch Привет, это AS 100. Пожалуйста, расскажите соседям где меня можно найти Доменное имя http://site.com IP адрес: 1.1.1.1 Сеть 1.1.1.0/24 AS номер 100 ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА |ПЕРЕКЛЮЧЕНИЕ ПО BGP КЛИЕНТСКАЯ СЕТЬ Peer 2 AS500 Peer 1 AS300 ISP 1 Internet Peer 3 AS600 ISP 3 ПОЛЬЗОВАТЕЛЬ Router ISP 1 AS200 ISP 2 ИНТЕРНЕТ KDP ISP AS9002 ЦЕНТР ОЧИСТКИ AS номер 42014 Switch Peer 4 AS700 ISP 2 AS100 Peer 5 AS800 Peer 6 AS900 Доменное имя: http://site.com IP адрес: 1.1.1.1 Сеть 1.1.1.0/24 AS номер 100 ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА |СХЕМА РАБОТЫ BGP КЛИЕНТСКАЯ СЕТЬ Отлично! Теперь я знаю маршрут в сеть 1.1.1.0/24 ISP 1 Internet ISP 2 ISP 3 ПОЛЬЗОВАТЕЛЬ Router KDP ISP AS9002 ЦЕНТР ОЧИСТКИ AS номер 42014 Перед тем как я приму данный … да, все в анонс, я должен порядке! что он убедиться легален… Switch Привет, это AS Доменное имя: Привет, этоhttp://site.com AS 100. IP адрес: 100. 1.1.1.1 Я больше Сеть Пожалуйста, недоступна по 1.1.1.0/24 расскажитеAS номер 100 данному соседям обо мне. маршруту. Расскажите об этом соседям GRE тоннель ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА |BGP: ТРЕБОВАНИЯ • Клиент должен иметь возможность изменять анонсы на пограничном оборудовании 24/7. • Клиент должен обладать собственной или арендуемой AS с внешней сетью размером не менее чем /24. • Требуется изменение списка разрешенных пиров в базе RIPE. Router Switch Защищаемый ресурс ТЕХНИЧЕСКОЕ ОПИСАНИЕ РЕШЕНИЯ ДОСТАВКА ТРАФИКА ДОСТАВКА ТРАФИКА | ТРЕБОВАНИЯ • Для доставки обработанного трафика из Центра Очистки на площадку клиента используются GRE тоннели. • Трафик в тоннеле должен быть симметричным. • В случае переключения трафика с помощью BGP, адреса терминации тоннелей не должны входить в пул переключаемой подсети. Тоннели могут быть размещены как в не переключаемой подсети, так и на PA адресах. ДОСТАВКА ТРАФИКА | ОТКАЗОУСТОЙЧИВОСТЬ • Основной метод подключения– GRE тоннели по схеме KDP ЦЕНТРЫ ОЧИСТКИ BGP сессия устанавливается в каждом тоннеле. Для MED • MED «каждый с каждым» (link*2). построения BGP сессии при переключении по DNS используется номер AS из пула не маршрутизируемых. • Выбор тоннеля для работы осуществляется на базе атрибута MED. • BGP сессия При переключении по BGP тоннели должны быть построены на адресах, не входящих в пул переключаемой подсети. КЛИЕНТСКАЯ СЕТЬ SPAN KDP Сенсор Router Switch Защищаемый ресурс ТЕХНИЧЕСКОЕ ОПИСАНИЕ РЕШЕНИЯ МОНИТОРИНГ МОНИТОРИНГ| СЕНСОР Сенсор • Программный комплекс • Размещается на площадке клиента. • Устанавливается на физический или виртуальный север Механизм анализа трафика NETFLOW SYN rating In\out PPS In\out bits Packet size IP per min SYN per IP SYN per conn IP per conn HTTP count UDP per sec … и 20 других параметров МОНИТОРИНГ | СЕТЕВЫЕ НАСТРОЙКИ СЕНСОРА Используются минимум 2 NIC: 1. Удаленное управление Один из NIC должна иметь публичный IP адрес. Адрес не должен входить в пул переключаемой подсети (BGP) Интерфейс должен быть доступен из интернет по ряду протоколов 2. SPAN На вторую NIC подается симметричная SPAN копия трафика защищаемых ресурсов Internet МОНИТОРИНГ | ТРЕБОВАНИЯ К СЕНСОРУ • Используется 2 NIC. На один из них должна поступать копия симметричного трафика защищаемого ресурса. • На вторую NIC назначается публичный IP адрес. В случае переключения трафика по BGP адрес сенсора не должен находиться в переключаемой подсети. • Требуется обеспечить внешний доступ к сенсору по набору протоколов. • Сенсор может быть развернут как на аппаратной, так и на виртуальной платформе. МОНИТОРИНГ | ЛИЧНЫЙ КАБИНЕТ КЛИЕНТА • Отображение аномалий и атак. • Разбор аномалий и атак. • Управление черным и белыми списками. А так же: • Формирование отчетов о ресурсе и атаках. • Изменение контактной информации для оповещения. KL DDOS INTELLIGENCE Перехват команд на атаку позволяет молниеносно реагировать на угрозу еще до момента ее появления Быстрое время реакции– Помогает избежать падения ресурса Четкое определение типа и направления атаки– Позволяет упредить ложные срабатывания– блокирование легитимных пользователей Анализирование поведения ботов Проактивная реакция на грядущие атаки 23 ПРОЦЕСС ВНЕДРЕНИЯ ПРОЦЕСС ВНЕДРЕНИЯ | СХЕМА Клиент Партнер ЛК Внедрение 1. Определение потребности, сбор технической информации о площадке, коммерческое предложение. n/a 2. Подготовка, настройка и ввод в эксплуатацию сенсора. n/a 3. Настройка сенсора и первоначальный сбор статистики. n/a n/a 4. Построение тоннелей, инициализации BGP сессий. 5. Тестирование подключения Поддержка 1. Переработка схемы подключения 2. Тестирование актуальности настроек на регулярной основе -- Опциональное участие -- Обязательное участие ПРОЦЕСС ОТРАЖЕНИЯ АТАКИ ОТРАЖЕНИЕ АТАКИ| НАЧАЛО АТАКИ ИНТЕРНЕТ КЛИЕНТСКАЯ СЕТЬ Центр Очистки span KDP Сенсор Router Центр Очистки Дежурная смена инженеров Switch Защищаемый ресурс ОТРАЖЕНИЕ АТАКИ| ФИЛЬТРАЦИЯ ИНТЕРНЕТ КЛИЕНТСКАЯ СЕТЬ Центр Очистки span KDP Сенсор Router Центр Очистки Дежурная смена инженеров Switch Защищаемый ресурс ОТРАЖЕНИЕ АТАКИ| КОНЕЦ АТАКИ ИНТЕРНЕТ КЛИЕНТСКАЯ СЕТЬ Центр Очистки span KDP Сенсор Router Центр Очистки Дежурная смена инженеров Switch Защищаемый ресурс ВОПРОСЫ?