<
  • Главная
Статьи

Огляд Kaspersky DDoS Prevention

  1. Вступ
  2. Схема функціонування Kaspersky DDoS Prevention
  3. Компоненти захисту від DDoS-атак
  4. програмний сенсор
  5. центри очищення
  6. клієнтський портал
  7. Варіанти підключення до ІТ-інфраструктурі
  8. Сповіщення та звітність Kaspersky DDoS Prevention
  9. висновки

1. Введення

2. Схема функціонування Kaspersky DDoS Prevention

3. Компоненти захисту від DDoS-атак

3.1. програмний сенсор

3.2. центри очищення

3.3. клієнтський портал

4. Варіанти підключення до ІТ-інфраструктурі

5. Сповіщення та звітність Kaspersky DDoS Prevention

6. Висновки

Вступ

Ми продовжуємо серію публікацій, присвячену вирішенню Kaspersky DDoS Prevention від «Лабораторії Касперського», яка почалася зі статті « Технології відбиття атак в Kaspersky DDoS Prevention », Де детально розглянута суть застосовуваних в цьому рішенні технологій.

Кількість розподілених атак зростає. як відзначають експерти «Лабораторії Касперського», в першому кварталі 2015 роки кількість атак із застосуванням бот-мереж в порівнянні з попереднім аналогічним періодом зросла і склала в Росії майже 1400, а в світі - більше 23000. Найбільше число атак довелося на ресурси, розташовані в США, Китаї, Канаді. Росія в цьому списку посіла «почесне» 4 місце.

Ці тенденції говорять, по-перше, про те, що подібні атаки стали реальною загрозою великому бізнесу і державних об'єктах інформаційної інфраструктури. Також в зоні ризику знаходяться, наприклад, сайти ЗМІ, сторінки політичних і громадських організацій, популярних персон. DDoS-атаки фактично перетворилися в кіберзброя, і вартість його застосування з часом знижується. По-друге, розподілені атаки стали звичним явищем, тепер в новинах згадують лише про найгучніші. При цьому технічні засоби організації атак сьогодні досить легкодоступні. Наприклад, ними користуються навіть школярі , Які вирішили провести DDoS-атаку на сайт свого навчального закладу, щоб заблокувати його роботу.

З огляду на вищевикладене, від рішення, покликаного протидіяти DDoS-атакам, потрібно миттєва реакція при старті атаки, інформування відповідальних співробітників компанії-клієнта, можливість реакції на нові засоби, застосовані в атаці. При цьому основним результатом відбиття атаки має бути безперервне продовження функціонування веб-ресурсу для користувачів, що складають його цільову аудиторію. Kaspersky DDoS Prevention задовольняє всім цим вимогам, але, щоб переконатися в цьому, розглянемо, як вона влаштована і функціонує.

Схема функціонування Kaspersky DDoS Prevention

Kaspersky DDoS Prevention складається з наступних основних компонентів:

  • додаток-сенсор призначений для фіксації початку і закінчення атак;
  • Центр очищення трафіку відсіває нелегальний трафік, залишаючи лише легальний;
  • співробітники Центру забезпечення безпеки «Лабораторії Касперського» забезпечують ефективну протидію нестандартним атакам;
  • Детальна звітність по відбитим атакам постачає фахівців з ІБ інформацією для аналізу.

Технології, які використовуються в Kaspersky DDoS Prevention, детально розглянуті в статті « Технології відбиття атак в Kaspersky DDoS Prevention », Тому ми не будемо в цьому огляді зупинятися на них докладно.

Уявімо Kaspersky DDoS Prevention у вигляді схеми його функціонування, накладеної на схему інформаційної інфраструктури, в якій знаходиться об'єкт, що захищається веб-ресурс, і розберемо, як це рішення інтегрується з мережею замовника.

Малюнок 1. Схема функціонування Kaspersky DDoS Prevention

Схема функціонування Kaspersky DDoS Prevention

У звичайних умовах трафік між інтернетом і інфраструктурою клієнта проходить в звичайному режимі - безпосередньо через інтернет до провайдера клієнта. Тобто більшу частину часу проводиться лише аналіз вхідного і вихідного трафіку, копія якого подається на сенсор, при цьому в Центр очищення відправляється тільки статистична інформація по трафіку і хеш-суми, необхідні для його аналізу.

Сенсор є програмним компонентом Kaspersky DDoS Prevention, призначеним для моніторингу та виміру параметрів трафіку, а також для передачі цієї інформації в Центр очищення. Даний компонент знаходиться в безпосередній близькості до прикордонного маршрутизатора клієнта для можливості аналізу безпосередньо одержуваного ззовні трафіку, не перекрученого після проходження через внутрішні вузли мережі. Програмне забезпечення сенсора може бути встановлено на сервер клієнта або віртуальну машину, апаратно-сумісний з архітектурою x86.

Очищення трафіку від шкідливої ​​складової проводиться на боці «Лабораторії Касперського», відповідні компоненти сервісу об'єднуються загальною назвою Центр очищення. У Центрі очищення проводиться аналіз інформації, що надходить від сенсора. При цьому чергові експерти «Лабораторії Касперського» на основі багатовимірного аналізу приймають рішення про інтерпретацію аномалії як DDoS-атаки. Про це оповіщається відповідальний співробітник клієнта, і вже він приймає рішення про необхідність переходу в режим фільтрації. Це вірно для випадків, коли на етапі підключення до вирішення право прийняття рішення клієнт залишає за собою. Якщо право прийняття рішення про переведення ресурсів в режим захисту було делеговано черговій зміні Kaspersky DDoS Prevention, то трафік клієнта в автоматизованому режимі перекладається на Центр очищення Kaspersky DDoS Prevention.

Залежно від обраного варіанту співробітник клієнта здійснює перемикання вхідного трафіку з прямого надходження на вступ через фільтри Kaspersky DDoS Prevention Server, які застосовують до вхідного трафіку фільтри, або ж це відбувається автоматично. Для «легальних» клієнтів, тобто цільової аудиторії захищається ресурсу, все виглядає так, як ніби трафік надходить безпосередньо на веб-ресурс.

Спостерігати за ходом відбиття атаки за допомогою Kaspersky DDoS Prevention клієнт може за допомогою клієнтського порталу, який ми розглянемо в спеціальному розділі нижче.

Після завершення атаки клієнт, якщо не використовується автоматизоване перемикання, знову виробляє перемикання прикордонного маршрутизатора на пряме надходження трафіку. При використанні автоматизованого перемикання по завершенню атаки трафік на пряме надходження переводить чергова зміна Kaspersky DDoS Prevention.

Рішення Kaspersky DDoS Prevention крім цілодобового моніторингу безпосередньо захищаються ресурсів клієнтів використовує і додаткові кошти для моніторингу підозрілої мережевої активності, а саме - систему DDoS Intelligence.

Система Kaspersky DDoS Intelligence призначена для перехоплення і аналізу команд, що надходять ботам з серверів управління та контролю, не вимагає при цьому ні зараження будь-яких призначених для користувача пристроїв, ні реального виконання команд зловмисників. Використання даної системи дозволяє фіксувати початок великої частини DDoS-атак на ранніх стадіях і проактивно реагувати на них.

Компоненти захисту від DDoS-атак

Перейдемо тепер до більш докладного розгляду компонентів Kaspersky DDoS Prevention, що розташовуються на стороні клієнта. Почнемо з сенсора Kaspersky DDoS Prevention.

програмний сенсор

Сенсор є основним інструментом постійного моніторингу стану трафіку на клієнтської майданчику. Цей програмно-апаратний комплекс призначений для того, щоб аналізувати копію симетричного трафіку захищається ресурсу і складати по ньому статистику в режимі реального часу.

Сенсор необхідно розгортати на майданчику клієнта якомога ближче до кордону мережі. Причому він повинен розміщуватися до засобів, які можуть спотворити вхідний трафік ( IPS , Файрволлов і тому подібних).

Платформа для розгортання сенсора може бути як апаратної, так і віртуальної і надається клієнтом.

Сенсор аналізує трафік по всіх протоколах. Розташування комплексу в ІТ-інфраструктурі клієнта і передача в Центр очищення Kaspersky DDoS Prevention тільки статистичної інформації по ньому гарантує конфіденційність інформації, яка відсилається користувачами на захищається веб-ресурс.

Для роботи сенсора на сервері повинно бути мінімум дві мережевих карти. Одна з них використовується для зовнішнього управління з боку Центру очищення, а на іншу надходить SPAN-копія трафіку захищається ресурсу.

Вимоги до апаратного забезпечення сервера для розгортання сенсора:

  • фізична або віртуальна машина, що підтримує роботу під керуванням FreeBSD і Linux;
  • CPU з чотирма і більше процесорними ядрами;
  • 8 ГБ оперативної пам'яті;
  • відмовостійке сховище даних обсягом не менше 200 ГБ;
  • 2 мережевих інтерфейсу.

центри очищення

Ключовий компонент Kaspersky DDoS Prevention - Центри очищення. Вони розташовуються в найбільших точках обміну трафіку в Москві, Франкфурті, Амстердамі та інших географічних розташуваннях. Для розподілу навантаження і забезпечення відмовостійкості в кожному регіоні «Лабораторія Касперського» використовує кілька Центрів очищення. Центри очищення об'єднані в хмарну інформаційну інфраструктуру. Проте трафік, що проходить через них, залишається в межах відповідного регіону. Тому, наприклад, трафік клієнтів з Російської Федерації не покидає територію Росії.

Іншим механізмом боротьби з DDoS-трафіком є ​​фільтрація на стороні провайдера. При цьому «Лабораторія Касперського» полягає в технологічному партнерстві з провайдером, тому Kaspersky DDoS Prevention може ефективно боротися з сміттєвим трафіком на зовнішньому кордоні мережі провайдера. Це знижує навантаження на Центри очищення, де фільтрується трафік, який потребує більш складний аналіз, а також фактично захищає від об'ємних атак весь майданчик клієнта, на якій знаходяться захищаються ресурси.

клієнтський портал

Тепер розглянемо інший компонент, доступний клієнтові для моніторингу трафіку ресурсу і атак, - це веб-клієнт рішення, також званий клієнтським порталом Kaspersky DDoS Prevention.

Портал Kaspersky DDoS Prevention - це веб-додаток, за допомогою якого клієнт взаємодіє з підсистемою управління Kaspersky DDoS Prevention.

Розглянемо інтерфейс цієї веб-консолі і можливості адміністраторів клієнта з управління роботою Kaspersky DDoS Prevention.

На сторінці «Аномалії» клієнт може ознайомитися з зафіксованими сенсором аномаліями у вхідному трафіку захищається ресурсу і ознайомитися з їх параметрами.

Малюнок 2. Сторінка «Аномалії» клієнтського порталу Kaspersky DDoS Prevention

Сторінка «Аномалії» клієнтського порталу Kaspersky DDoS Prevention

Сторінка «Атаки» містить детальну, в тому числі графічну інформацію по зафіксованим і відбитим за допомогою Kaspersky DDoS Prevention атак і навіть їх потужності протягом проведення.

Малюнок 3. Сторінка «Атаки» клієнтського порталу Kaspersky DDoS Prevention

Сторінка «Ресурси» містить детальну статистичну інформацію по вхідному і вихідного трафіку для кожного об'єкта, що захищається ресурсу. Дана сторінка містить кілька вкладок, на яких доступні різні уявлення зібраної статистичної інформації. Зокрема, вкладка «Списки» дозволяє відобразити, експортувати в форматі CSV або змінити вручну складу білих і чорних списків зовнішніх IP-адрес для захищається ресурсу. А на вкладці «Географія» можна ознайомитися з географічним розташуванням IP-адрес, з яких здійснюється DDoS-атака.

Малюнок 4. Сторінка «Ресурси» клієнтського порталу Kaspersky DDoS Prevention

Сторінка «Ресурси» клієнтського порталу Kaspersky DDoS Prevention

Сторінка «Налаштування» призначена для вказівки контактних даних відповідальної особи клієнта, а також параметрів персональних налаштувань оповіщення в разі виявлення аномалій.

Крім того, на клієнтському порталі можна переглянути оповіщення клієнтів Kaspersky DDoS Prevention про тимчасове припинення або зміну в роботі окремих сервісів, що входять до складу рішення, а також задати питання в технічну підтримку «Лабораторії Касперського».

Малюнок 5. Сторінка «Налаштування» клієнтського порталу Kaspersky DDoS Prevention

Сторінка «Налаштування» клієнтського порталу Kaspersky DDoS Prevention

Розглянемо тепер кілька різних варіантів підключення Kaspersky DDoS Prevention до ІТ-інфраструктурі клієнта, а також переваги і недоліки кожного способу.

Варіанти підключення до ІТ-інфраструктурі

У статті " Технології відбиття атак в Kaspersky DDoS Prevention »Ми вже частково розглядали це питання. Зокрема, в ній було розказано про те, що клієнтам необхідно вибрати між двома основними варіантами підключення сервісу Kaspersky DDoS Prevention до своєї інфраструктури за механізмом надання інформації про маршрут трафіку - DNS і BGP. Розглянемо обмеження для кожного з цих варіантів.

При використанні варіанту DNS:

  • перенаправляється трафік одного ресурсу;
  • для роботи потрібно керована доменна запис;
  • час перемикання на режим придушення атаки залежить від параметра TTL.

При використанні варіанту BGP:

  • перенаправляється трафік всієї підмережі;
  • для роботи потрібна наявність власної автономної системи (AS);
  • час перемикання на режим придушення атаки становить близько 2 хвилин;
  • забезпечується захист каналу клієнта від переповнення;
  • можливий автоматизований переклад трафіку клієнта під захист.

Схему роботи при DNS-варіанті надання інформації про маршрут трафіку можна представити в наступному вигляді:

Малюнок 6. Схема відображення атаки при DNS-варіанті надання інформації про маршрут трафіку в Kaspersky DDoS Prevention

При підключенні до Kaspersky DDoS Prevention для кожного об'єкта, що захищається ресурсу клієнта виділяється IP-адреса в Центрі очищення для перенаправлення трафіку. При перемиканні в режим захисту клієнт змінює оригінальний IP-адреса в доменній записи на наданий «Лабораторією Касперського». У процесі підключення до Kaspersky DDoS Prevention клієнт змінює в доменній записи значення параметра TTL на рекомендований фахівцями «Лабораторії Касперського» (5 хвилин). Така зміна не призводить до значного збільшення навантаження на DNS-сервер. Після закінчення TTL, користувачі, що запитують адресу ресурсу, отримують IP-адреса «Лабораторії Касперського», і їх запити потрапляють на Центр очищення Kaspersky DDoS Prevention. Вихідний IP-адресу ресурсу рекомендується заблокувати на час відбиття атаки.

Схема роботи при BGP-варіанті надання інформації про маршрут трафіку така:

Малюнок 7. Схема перемикання трафіку на маршрут захисту при BGP-варіанті надання інформації про маршрут трафіку в Kaspersky DDoS Prevention

Перемикання трафіку на маршрут захисту по протоколу BGP, в силу логіки роботи самого протоколу, переводить в Центри очищення трафік всієї підмережі клієнта. Це є безумовною перевагою, т. К. На додаток до базової захисту критичних для бізнесу ресурсів від будь-яких типів атак клієнт отримує захист каналу від переповнення при атаці на будь-який з ресурсів перемикається підмережі. В силу високої зв'язності і надійності інтернету технічне час для перемикання трафіку на даний момент становить не більше 2 хвилин, а сам процес перекладу ресурсів під захист абсолютно прозорий для кінцевого користувача. Перемикання трафіку здійснюється шляхом відправки анонса маршрутної інформації перемикається підмережі в сторону Центру очищення по заздалегідь підготовленим GRE-тунелях або виділеної лінії. Оригінальні маршрути через провайдерів клієнта на час перемикання під захист ліквідуються.

Для підготовки до перемикання трафіку необхідно авторизувати автономну систему Kaspersky DDoS Prevention для передачі анонсів клієнтської майданчика. Для цього клієнт повинен додати номер автономної системи «Лабораторії Касперського» в базу даних RIPE. BGP-варіант перемикання трафіку на маршрут захисту на відміну від DNS-варіанту дозволяє здійснювати автоматичний перехід в режим захисту. Для перемикання в режим захисту з боку Kaspersky DDoS Prevention анонсується сигнальний префікс (будь-який IP-адреса з маскою підмережі / 32). Після появи інформації про сигнальному префікс в таблиці маршрутизації на обладнанні клієнта спрацьовує скрипт, який переводить трафік під захист Kaspersky DDoS Prevention. Для виходу з режиму захисту автоматично виробляються зворотні дії.

Сповіщення та звітність Kaspersky DDoS Prevention

Сповіщення адміністратора про аномалії (несуттєвих відхиленнях в трафіку захищається ресурсу) здійснюється по електронній пошті або у вигляді SMS-повідомлень, при цьому є можливість налаштувати графік сповіщень. При виявленні атакуючого трафіку, що загрожує ресурсу клієнта, чергова зміна «Лабораторії Касперського» зв'язується з клієнтом по телефону і повідомляє про атаку, її тип і потужності і рекомендує перейти під захист.

На клієнтському порталі є можливість згенерувати звіти про роботу Kaspersky DDoS Prevention. На однойменній сторінці можна експортувати вміст білих і чорних списків IP-адрес, а також сформувати докладний звіт про відображених атаках.

Малюнок 8. Сторінка «Звіти» клієнтського порталу Kaspersky DDoS Prevention

Сторінка «Звіти» клієнтського порталу Kaspersky DDoS Prevention

Звіт про атаку, що генерується Kaspersky DDoS Prevention, експортується в формат Microsoft Word і містить наступні розділи:

  • загальна інформація про атаку;
  • хід атаки;
  • аномалії по вимірюється параметрами;
  • графіки Реальні показники можуть відрізнятися;
  • додаток.

У «Додатку» у вигляді довідки наводиться класифікація атак, прийнята в Kaspersky DDoS Prevention.

Малюнок 9. Звіт Kaspersky DDoS Prevention про атаку в Microsoft Word 2013

Експерти чергової зміни Kaspersky DDoS Prevention також стежать за ситуацією через спеціальний інтерфейс. Якщо атака має нетипові параметри або складну структуру, експерт може змінити правила фільтрації. Персонал, який обслуговує Kaspersky DDoS Prevention, працює в тісній співпраці з розробниками «Лабораторії Касперського», що дозволяє оперативно вносити зміни в алгоритми роботи рішення.

висновки

Ми докладно розглянули компоненти Kaspersky DDoS Prevention і переконалися в тому, що це рішення відповідає вимогам, які пред'являються до сервісів, призначеним для ефективного відображення DDoS-атак.

Серед переваг даного рішення можна відзначити:

  • унікальна технологія виявлення бот-мереж по статичним і поведінкових ознаках - Kaspersky DDoS Intelligence;
  • гнучкість підключення до ІТ-інфраструктурі клієнта в залежності від її організації та розташування ресурсів, що захищаються, наявних у клієнта апаратних ресурсів і можливостей інтернет-провайдера клієнта;
  • розподілена система очищення;
  • зручна система оповіщення відповідальних співробітників клієнта;
  • Детальна звітність про хід атаки;
  • здатність протидіяти новим типам атак за допомогою створення нових правил фільтрації силами співробітників «Лабораторії Касперського»;
  • здатність відбивати атаки потужністю до 500 Гбіт / с;
  • це єдине на поточний момент рішення для захисту від DDoS-атак, сертифіковане ФСТЕК Росії;
  • захист Kaspersky DDoS Prevention може бути підключена навіть після початку атаки;
  • повна незалежність від провайдера клієнта - якщо у клієнта є кілька АПЛІНК, всі вони будуть під захистом в разі DDoS-атаки;
  • простий і зрозумілий прайс-лист і прозора ціна: деякі анти-DDoS-рішення вимагають доплати в залежності від потужності атаки, обсягу пропущеного трафіку і т. д .; параметр потужності DDoS в принципі не прогнозований, відповідно, при атаці великої потужності може знадобитися суттєва доплата один або кілька разів; бюджет Kaspersky DDoS Prevention розраховується один раз на цілий рік; в 2-х з 3-х запропонованих варіантів ліцензії повністю відсутнє поняття про додаткові платежі;
  • фахівці «Лабораторії Касперського» допоможуть виявити зловмисників, які вчинили атаку, і скласти пакет документів, необхідних для звернення в правоохоронні органи.

Слабкі сторони рішення викликані, скоріше, сучасними технічними можливостями організації інтернету і особливостями протоколів, що використовуються для передачі інформації:

  • необхідність ручного перемикання Kaspersky DDoS Prevention в режим захисту після аналізу аномалій трафіку при DNS-перемиканні режимів роботи (при цьому є можливість отримати допомогу від експертів «Лабораторії Касперського» і необхідно враховувати інтеграцію Kaspersky DDoS Prevention з дата-центрами);
  • відносно висока ціна передплати на сервіс
  • додаткові вимоги до інтернет-провайдерам клієнта для уникнення організації атак на вузли альтернативної маршрутизації в захисному режимі роботи.

В цілому ж Kaspersky DDoS Prevention є повноцінним рішенням для ефективного захисту від DDoS-атак. Це підтверджують реальні випадки успішних запобіжників атак на популярні інтернет-ресурси, про які останнім часом повідомляється в пресі.



Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью