KASPERSKY DDOS PREVENTION Евгений Барков DDoS Prevention Project, Инженер предпродажной поддержки DDOS АТАКИ КАК ПРОБЛЕМА • ВЫСОКАЯ СТОИМОСТЬ ПРОСТОЯ СЕРВИСА Интернет-банкинг Продажи онлайн Другие онлайн сервисы • РЕПУТАЦИОННЫЕ РИСКИ • DDOS АТАКА КАК ЧАСТЬ СЛОЖНОЙ ТАРГЕТИРОВАННОЙ АТАКИ ВАРИАНТЫ ЗАЩИТЫ ОТ DDOS HW Appliance • • • Сервис от провайдера (Аrbor Peakflow) • • • Специализированный сервис 3 Arbor Pravail Radware Периметр (МФИ Софт) Ростелеком Мегафон Акадо и пр. Kaspersky DDoS Prevention • Российские аналоги • Prolexic (нет в России) О СИСТЕМЕ KASPERSKY DDOS PREVENTION НАЗНАЧЕНИЕ И ОСОБЕННОСТИ СИСТЕМЫ Kaspersky DDoS Prevention – распределенная система фильтрации трафика, предназначенная для защиты от DDoS-атак всех уровней. Распределенная система центров фильтрации, размещенных на площадках различных операторов связи Собственная технологическая платформа Автоматизированный мониторинг возникновения аномалий Фильтрация на основе множественных критериев Сопровождение квалифицированными инженерами 24х7 5 МЕТОДЫ ОЧИСТКИ ТРАФИКА Распределенная система очистки Атака на полосу пропускания Размещение на ресурсах различных операторов связи Статистические методы Атака на ОС Проверка корректности протокола GEO-фильтрация Атака на приложение Поведенческий анализ 6 РАБОТА СИСТЕМЫ KASPERSKY DDOS PREVENTION Центр Клиентская Управления зона РАБОТА СИСТЕМЫ Администратор Ресурс Центры Очистки 8 Коллектор Веб-портал Сенсор Центр Клиентская Управления зона РАБОТА СИСТЕМЫ Администратор Ресурс Центры Очистки 9 Коллектор Веб-портал Сенсор Центр Клиентская Управления зона РАБОТА СИСТЕМЫ Администратор Ресурс Центры Очистки 10 Коллектор Веб-портал Сенсор ПРОЦЕСС ВНЕДРЕНИЯ У КЛИЕНТА KASPERSKY DDOS PREVENTION Центр Клиентская Управления зона ОСНОВНЫЕ ВОПРОСЫ ВНЕДРЕНИЯ Администратор 3. Установка Сенсора Ресурс Сенсор 2. Доставка и возврат очищенного трафика Центры Очистки 12 Коллектор Веб-портал 1. Перенаправленияе трафика ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА KASPERSKY DDOS PREVENTION 13 Центр Клиентская Управления зона ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА Администратор Ресурс Центры Очистки 14 Коллектор Веб-портал Сенсор 1. Перенаправление трафика РАБОТА ПРОТОКОЛА BGP BGP – РЕЖИМ МОНИТОРИНГА BGP – РЕЖИМ ЗАЩИТЫ DNS – РЕЖИМ МОНИТОРИНГА DNS – РЕЖИМ ЗАЩИТЫ СПОСОБЫ ПЕРЕНАПРАВЛЕНИЯ ТРАФИКА DNS BGP Возможность управления доменной зоной, в которой находятся защищаемые ресурсы Наличие собственной автономной системы Возможность установить время жизни DNS-записи (TTL) не более 300 секунд Выделенные IPv4-адреса для защищаемых ресурсов 20 Возможность выделения под защищаемые ресурсы сети класса С (адрес должен принадлежать к PIблоку адресов) В случае присутствия в выделенной подсети класса С иных ресурсов, следует иметь ввиду, что в режиме защиты доставка трафика от и до них не гарантируется ДОСТАВКА И ВОЗВРАТ ОЧИЩЕННОГО ТРАФИКА KASPERSKY DDOS PREVENTION 21 Центр Клиентская Управления зона ДОСТАВКА И ВОЗВРАТ ОЧИЩЕННОГО ТРАФИКА Администратор Ресурс 2. Доставка и возврат очищенного трафика Центры Очистки 22 Коллектор Веб-портал Сенсор ВАРИАНТЫ ДОСТАВКИ И ВОЗВРАТА ТРАФИКА Независимо от способа перенаправления, очищенный трафик возвращается на защищаемый ресурс одним из двух способов: 1 Проксирование – используется при экстренном подключении При условии, что осуществляется защита протокола HTTP, и защищаемый ресурс может получать исходный адрес не в самом пакете, а в HTTP заголовке. 2 Туннелирование (GRE) – стандартный вариант Если осуществляется защита других протоколов и/или необходимо получение исходных адресов в самих пакетах. 23 ПОЧЕМУ GRE? КРИТЕРИЙ ОЦЕНКИ Простота и скорость конфигурирования для клиента Поддержка любых протоколов Оригинальные IP-адреса отправителя Неограниченное число сессий Поддержка способа перенаправления трафика с использованием BGP 24 PROXY GRE УСТАНОВКА СЕНСОРА KASPERSKY DDOS PREVENTION 25 Центр Клиентская Управления зона УСТАНОВКА СЕНСОРА Администратор 3. Установка Сенсора Ресурс Центры Очистки 26 Коллектор Веб-портал Сенсор МИНИМАЛЬНЫЕ ТРЕБОВАНИЯ К СЕНСОРУ 27 CPU 4 Core, 2 GHz RAM 8 Gb HDD 2 x 500 Gb (RAID 1) 3,5” с поддержкой «горячей» замены LAN 1 interface (Internet) + N interfaces (SPAN) МЕСТО УСТАНОВКИ СЕНСОРА 28 СПАСИБО ЗАО «Лаборатория Касперского» 125212, Москва, Ленинградское шоссе 39A/3 Tel: +7 (495) 797-8700 доб. 1795 E-mail: [email protected] www.kaspersky.com