Категорії

  • Категорії
  • CKC
  • Sophos
  • Remote Ethernet Devices (RED)
  • Secure Wi-Fi
  • Безпека мережі
  • DPI
  • Безопасный удаленный доступ
  • Безпека WAF
  • Запобігання витоку даних DLP
  • Захист від DDoS-атак
  • Захист периметру мережі
  • Мережева інфраструктура
  • Wi-Fi
  • Комутатори
  • Керовані smart-комутатори
  • некеровані комутатори
  • Маршрутизатори
  • Мережеві сховища
  • Сервери
  • Системи зберігання даних
  • Системи відеонагляду
  • IP-камери
  • NVR
  • THD-DVR
  • THD-камери
  • Інше
  • Уніфіковані комунікації
  • АТС на конвергентній платформі
  • Контакт центри
Arbor Pravail APS та DDOS

Добрий всім день!

Не так давно ми проводилипорівняннядекількох систем захисту від DDOS-атак, які нам вдалося «помацати».Як і обіцяли - ми ділимося своїми враженнями від обраного нами пристрою.
Тут ми не будемо розповідати - що таке, звідки і навіщо народжується DDOS-атака, ми впевнені, що ви це вже знаєте.Ми розглянемо практику використання системи на приватному прикладі (картинок буде багато).Отже, зустрічайтеArbor Pravail APS!

Коротка довідка


Arbor Networksбула заснована в 2000 році при Мічиганському університеті, інноваційні розробки якого фінансувалися Міністерством оборони США.З тих пір Arbor і спеціалізується на виявленні та обробці мережевих погроз.

"Він приїхав!

Від моменту замовлення до отримання пройшло близько двох місяців.

Явно бувала коробка, місцями потерта, місцями рвана, місцями розмальована ручкою або чимось ще, але це-ли головне ?!Швидше - відкриваємо!

Відкрили, здалося знайоме шасі Intel 2U з красивою "мордочкою" і ми звичайно полізли дивитися всередину =)

На перевірку - нічого незвичайного, два процесори, пам'ять ... особливість конструкції видавала незвична для нашого ока мережева картаSilicomз великим радіатором, як на GPU, гріється піди , чудо заморське =)

Досить «пустощів», пора в подивитися його в справі!

Підключили ми його до одного з наших тестових роутерів і почали налаштовувати.Кроки стандартні - консоль, адреса на порту управління, установка acl і практично всі.Головне - не забути ключ з ліцензією, фільтрувати НЕ буде =)

У цьому пості ми не будемо вдаватися в особливості налаштувань режимів роботи Pravail, вони досить прості (групи, фільтри, параметри), якщо Хабравчанам буде цікаво - зробимо окремий пост по кожному пункту.Коротко - у Pravail є базові настройки для автоматичного захисту груп, які засновані на декількох типах захищених об'єктів (web, dns, mail, vpn, voip, file, rlogin).У кожного типу є відносно докладна настройка з трьома рівнями захисту.Перемикання між рівнями можна робити за один клік, в один момент часу всі групи можуть захищатися тільки на одному рівні.
Пішли до справи!

Pravail vs DDOS = початок

DDOS-атаки, різні, до нас приходять постійно.Цікаво подивитися на Pravail в справі, дійсно-ли він такий хороший, як про нього говорить виробник, адже всі виробники говорять про свої продукти тільки найкраще, хіба ні?=)
Для прикладу ми візьмемо окремий випадок зі звичайного життя звичайного веб-сервера, який ми поставили на постійний захист «за» Pravail.На цьому сервері ми практикуємо захист сайтів, які атакують всякими не дуже добрими роботами.

початок атаки

День X і годину Y збіглися (чекати довго не довелося).На наших линках ми зафіксували аномалію, сумарно "зайвого" вхідного трафіку було приблизно 3.5Gbit (~ 650kpps), в цілому це не багато за сучасними мірками,spamhaus знає, привіт криво-налаштованим dns серверів = \



Через різні фільтри на до Pravail'a всього «дійшло» порядку 130Mbit і 300k pps, що-ж це за трафік?Трохи нижче ми розберемо в деталях на картинках.

Pravail: Початок

Тут ми розглянемо реакцію системи на атаку, що бачить Pravail і що можна або потрібно робити.Інформація буде відображатися у вигляді картинок інтерфейсу з деяким описом.Картинки досить зрозумілі, будуть питання - задавайте.
Для того, щоб ви могли краще представляти предмет подивіться, будь ласка, на картинку:
Dashboard Pravail APS
Це перше, що ми бачимо потрапляючи в інтерфейс системи.Все чітко і по справі.

Ось, дивіться, дивіться, що я знайшов!

Після входу в інтерфейс Pravail ми потрапляємо в Dashboard.Тут зібрана вся важлива інформація по захищається групи і об'єкти.Звідки і куди йде велика частина трафіку, яке навантаження на інтерфейси і систему.При необхідності ми можемо зробити кілька дій з групами і об'єктами (заблокувати, дізнатися, які пакети або детальну інформацію про трафік країни-джерела).Всі дії робляться в один клік, досить підвести курсор до цікавого для нас об'єкту і вибрати дію.

Найперший і головний графік - поточна ситуація з трафіком в групі.Аномалія на графіку привертає нашу увагу.Ми можемо подивитися заблоковані хости (причину, час, тривалість) і зробити детальний розбір надходять пакетів (packet capture).

TOP-5 хостів джерел і одержувачів трафіку.Тут ми бачимо звідки і куди йде трафік.Доступна блокування хоста (blacklist) і аналіз пакетів.
TOP-5 країн джерел трафіку (згадуємо географію).Є можливість подивитися деталі по трафіку з країни, і заблокувати її для певної групи.

Стан інтерфейсів, наші 10Gb порти на вхід і вихід.Тут ми можемо зробити «packet capture» на кожному інтерфейсі.

Підсумкова зведення по трафіку.Тут нічого зробити не можна.

Навантаження на систему: дивимося, думаємо.Можна побудувати припущення на майбутнє.

Добре, знайшов, а що далі?

Далі ми переносимося в захищається групу, в нашому випадку - в цій групі перераховані ip адреси (можна вказувати і мережі), що захищаються.Всередині ми побачимо інформативні графіки з мінімумом дій щодо об'єктів (ip адреси, країни, посилання, домени).
Захищається група «protos» (ми любимо SC, але ім'я не пов'язане =).Ми бачимо ім'я, опис, захищаються адреси, тип захисту, її тривалість і можливість відредагувати все це справа.Можна вибрати період відображення даних.

Зведення по захищається групі.Трафік в Mbps і pps, поганий і хороший в деталях.

Джерела поганого трафіку.Якщо необхідно - можна подивитися в деталях на «blocked hosts» (заблоковані ip адреси) кожної категорії.«Detail» відкриває нам подробиці, у кожній категорії свої дані.

TOP-запитів до сайтів в хвилину.За адресами.Більше запитів - вище в топі.Можна закривати явно «невалидность» запити.«Blacklist» спрацьовує раніше.

TOP-запитів до доменів в хвилину.Працює по аналогії з TOP-url's.

«Кращі» країни.Визначається по ip адресою.Можна зробити «packet capture» по потрібній країні.Мій найулюбленіший розділ.Хто здогадується чому?=)

TOP-протоколів за типами, інформативний графік.

TOP-сервісів.Теж можна робити «packet capture».

TOP-ip адрес.Можна дивитися причину блокування або розбирати пакети.Якщо трафік з цієї адреси йде в даний час.І, звичайно, «whitelist», якщо потрібні адреси опинилися заблоковані.

В цілому - це все, що дає нам Pravail з моніторингу стану захищається групи.

А що в результаті?

А в результаті ми маємо відмінний пристрій корпоративного класу по захисту від атак на додатки, яке практично працює в автоматичному режимі.Звичайно, складні атаки вимагатимуть ручного налаштування параметрів захисту.
Цей пристрій можна сміливо розміщувати у себе на кордоні корпоративної мережі і \ або превентивно захищати важливі системи.Практика показує, що при деякої адаптації системи під специфіку об'єкта, що захищається - можна домогтися впевнено позитивного результату.Захищається під атакою буде працювати і цілком пристойно.
Можуть-ли його використовувати інтернет-провайдери?Можуть, але для захисту окремих вузлів.
Чому ми вирішили вибрати Pravail?Тому, що з усіх систем, які ми бачили - саме він залишив найприємніші враження від роботи.
І тепер - у нас є чим захистити себе і наших користувачів!

Потрібна консультація