Академический Документы
Профессиональный Документы
Культура Документы
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
План
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Поставщики услуг играют основную роль в обеспечении
безопасности
Возможные риски реального бизнеса, возможности устранения
Потребители
Большие
предприятия
Поставщики услуг
Провайдеры сети
Интернет
(The Internet) Офис
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Модель безопасности изменяется
• Безопасность больше не является предложением ""на на уровне
продукта ", а является бизнес
продукта", -предложением
бизнес-предложением
• Количество серверов и рабочих станций
станций,, повышающее число
уязвимостей до тысяч на больших предприятиях
• Стоимость владения конечных существующих систем безопасности
безопасности,,
требует применения продуктов с высокой скоростью реакции
реакции,, а также
множества программ -агентов и обновления парадигм
программ-агентов
• Проблема ““нулевого
нулевого дня ”
дня”
Быстро распространяющиеся атаки ((черви
черви и вирусы
вирусы)) происходят
слишком быстро по сравнению с реакцией соответствующих
программ
Необходима автоматизированная система безопасности
• Предприятия не имеют возможности решать такие проблемы в
одиночку
Они должны работать совместно с SP для построения и усиления
системы безопасности на основе согласованной политики
безопасности
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Последние тенденции в области атак
DDoS
"Вымогательство становится “обычным”", говорит Эд Аморозо (Ed
Amoroso), начальник отдела информационной безопасности AT&T.
“Это происходит настолько часто, что никто даже бровью не ведет.”
Случаи вымогательства при помощи DDoS участились, Network World, 05/16/05
(http://www.networkworld.com/news/2005/051605-ddos-extortion.html)
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Обзор решения
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Возможности технологии “Clean Pipes” и
определение защиты от атак DDoS
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Защита от атак DDoS – управляемые сервисы
Преимущества для поставщика услуг
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Защита от атак DDoS – управляемые сервисы
выгоды для клиента (Повышение статуса доверенного
лица)
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Тенхнология Clean Pipes - Защита
Точка
обмена
Маршрутизатор
ядра Входящее и
исходящее фильтрование
uRPF
Точка
обмена
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Технология Clean Pipes - Обнаружение
Обнаружение Обнаружение
Безопасность BGP RACL, iACL, CoPP
RTBH, uRPF защита стека,
RTRL / QPPB Netflow Sinkhole-подсети Предприятие
Cisco
Detector
Netflow
Точка Arbor
обмена Netflow контроллер
Маршрутизатор
ядра Входящее и исходящее
фильтрование uRPF
Netflow
Точка
обмена
Netflow Cisco
Detector Поставщик услуг хостинга
Arbor
Netflow контроллер Обнаружение
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Технология Clean Pipes - Отражение
атаки
Обнаружение Обнаружение
Безопасность BGP RACL, iACL, CoPP
RTBH, uRPF защита стека,
RTRL / QPPB Netflow Sinkhole-подсети Предприятие
Cisco
Detector
Netflow
Netflow
Точка
обмена
Netflow Cisco
Detector Поставщик услуг хостинга
Arbor
Проверка и фильтрование контроллер
пакетов Обнаружение
Устройство
защиты Cisco Guard
Повторный ввод
трафика
Центр
фильтрования
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Компоненты схемы
Версии программного /
Основное назначение аппаратного
обеспечения
Устройство защиты
Отражение атаки Версия: > 3.1(2.2)
Cisco Guard XT 5600
AGM (Anomaly Guard Версия: > 4
module - модуль
Отражение атаки 12.2(18)SXD3 (Cat 6K)
устранения аномалий
трафика) 12.2(18)SXE1 (C7600)
Детектор Cisco Detector
Обнаружение Версия: > 3.1(2.2)
XT
Программа сбора
данных: Сбор данных ArbOS 3.3.1/ IOS Netflow
NetFlow
Устройство Arbor
Peakflow SP Программа управления:
Обнаружение аномалий
ArbOS 3.3 / IOS Netflow
при помощи данных
NetFlow
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Модели сервисов
• Управляемая защита сетей от атак DDoS
Защита канала последней мили клиентов SP
• Управляемая защита хостинга от атак DDoS
Защита ресурсов центров обработки данных,
установленных провайдером
• Управляемая защита точки обмена данными от
атак DDoS
Атаки DDoS соединений с другими провайдером
Интернет (ISP)
• Инфраструктура защиты от атак DDoS
Защита инфраструктуры SP для обеспечения
надежного сервиса
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Алгоритм процесса
и изучение
Защита
NFP защиты.
Изучение исходного материала
"Очистка"
Пакет
в отсутствие атак благонадежен? Сброс
Нет
Упреждающий поиск Да
аномалий
Обнаружение
Повторный ввод
Повторный ввод пакета
Нет Обнаружена в зону / к целевому объекту
аномалия?
Да
Перенаправление
Перенаправление трафика в
центр фильтрования
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Защита
Защита:
Рекомендуется проведение
общих защитных
мероприятий для
Отражение
обеспечения защиты от атаки Обнаружение
известных уязвимостей
Ввод Перенаправление
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Защита фундамента сети
Предназначена для защиты инфраструктуры, позволяет
обеспечить непрерывное предоставление услуги
• Предназначена для обнаружения искажений трафика и отражения атак в реальном
Уровень времени
• Технологии: инструменты NetFlow, отслеживание IP источника, ACL, uRPF, RTBH, QoS
данных
• Глубокая защита для обеспечения маршрутизации матрицы управления
Уровень • Технологии: Наиболее эффективными методами являются правила ACL, защита уровня
управления, iACL, опознание соседнего узла, практики применения BGP
управления
• Безопасное и непрерывное управление сетевой инфраструктурой Cisco IOS
Уровень • Технологии: выбор критического уровня производительности процессора и памяти,
администрир- двойное ведение системного журнала, проверка файла OS, SSHv2, SNMPv3, контроль
средств безопасности, управление ролями CLI
ования
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Использование, преимущества и
ограничения NFP
NFP Использование Преимущества Ограничения
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Использование, преимущества и
ограничения NFP
NFP Использование Преимущества Ограничения
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Краткая характеристика технологии NFP
• Свойства NFP формируют базис технологий защиты от
известных уязвимостей сети
• В наибольшей степени предназначены для надежной
защиты инфраструктуры
• Нет упреждающего обнаружения угрозы
• Сложно обеспечить сохранность услуги – весь трафик в
направлении адресата отбрасывается, невозможно
разграничить благонадежный и подозрительный трафик
• Невозможно динамически адаптироваться к новым
угрозам
• Конфигурирование каждого интерфейса каждого
маршрутизатора не масштабируется
• Нет непрерывности услуги для конечного пользователя
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Защита
Обнаружение:
Упреждающий поиск
аномалий трафика Отражение Обнаружение
атаки
Ввод Перена-
правление
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Обнаружение
• Во время обнаружения...
искажения или неправильного использования
следующим шагом является уведомление устройств(а),
ответственного за анализ трафика / поиск атаки – Cisco
Guard, через внеполосную сеть
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Способы обнаружения и классификация
атак DoS
• Звонок клиенту
• SNMP: Перегрузка линии / процессора
• NetFlow: Подсчет потоков “низкая скорость и
ручное управление”
• Журнал выполнения правил ACL
• Эхо
• Уст-ва Cisco Detector и Guard “направленное и
масштабируемое”
• Программа Arbor Peakflow SP Clean Pipes
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Возможно обнаружение различных
типов угроз
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Детектор аномалий трафика
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Cisco Detector – что это?
• Детектор аномалий трафика - это компонент,
разработанный Cisco Systems, и
предназначенный для обнаружения аномалий и
защиты
• Детектор предназначен для работы совместно с
системой защиты Cisco Guard, однако он может
работать независимо, как компонент
обнаружения и оповещения об атаках DDoS
• Контролирует каждый пакет при помощи
отражения портов или оптического делителя
• Непрерывно контролирует трафик и тщательно
контролирует характеристики зоны для
совершенствования шаблонов трафика
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Cisco Detector – Как он работает?
• Алгоритм работы основан на системе обучения,
которая предназначена для изучения трафика
зоны, подстраивается под ее конкретные
характеристики и поддерживает механизмы
обнаружения со ссылками и инструкциями в
форме предельных значений и политик
• Система фиксирует искажения трафика в
системном журнале детектора или удаленно
запускает модуль(и) Cisco Guard для
инициализации защиты зон(ы)
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Что такое "зона"?
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Система обучения детектора Cisco
Detector
Процесс состоит из двух фаз:
Построение политик
Настройка предельных значений
Построение политик:
Выявляет услуги, используемые в зоне. Шаблоны
политики обеспечивают правила, которые используются
для построения политик
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Фильтр детектора и модульная система
Системный
журнал
сервера
Зона серверного
пула в процессе
обнаружения
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Запуск модуля защиты Guard
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Рекомендации по внедрению детектора Cisco
Detector
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
NetFlow
и компоненты решения NetFlow
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Cisco IOS NetFlow
• NetFlow - это стандарт запроса IP-
сети и рабочих данных Разрешить NetFlow
• Данные экспортируются
программой Arbor Peakflow SP для
проведения дальнейшего анализа
• Преимущества
Обнаружение и классификация
инцидентов системы
безопасности
Программа
Снижение затрат на Arbor Peakflow
обслуживание / эксплуатацию SP
IP-сетей и оптимизация
1. Характеристика потоков и понимание
стоимости сети динамики трафика
• Это форма проведения 2. Экспорт информации о потоке
3. Какой ресурс подвергается атаке и
дистанционных измерений источник атаки
трафика на каждом активном 4. Продолжительность атаки
маршрутизаторе NetFlow, 5. Размер пакетов, используемых для
направленного на устройство атаки
считывания
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Поток определяется семью
уникальными ключами
Трафик
• IP-адрес источника
Разрешить NetFlow
Новый
• IP-адрес приемника интерфейс
SNMP MIB
• Порт источника
• Порт приемника Экспорт пакетов
NetFlow
• Протокол уровня Layer 3 Традиционный
Регистратор
экспорт и
коллектор SNMP
• Байт типа услуги (ToS)
(является точкой
разграничения по коду Arbor PeakFlow SP
сервиса ( Differentiated
Services Code Point (DSCP)) Экспорт пакетов
• Примерно 1500 байт
• Входной логический • Обычно содержит 20-50 записей потока
интерфейс (Input logical • Отправляются чаще, если трафик
interface (ifIndex)) возрастает на интерфейсах с
поддержкой NetFlow
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. 38 ‹#›
Типы потоков NetFlow
NetFlow
Произвольный Определенный
Платформы: (Cat 6K, 7600) Платформы: (C12K, Cat 6K)
Контролируемый
по времени
Платформы: (Cat 6K, 7600)
На основе пакетов
Траектория движения
(на основе хеширования)
В разработке
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
NetFlow
Arbor Peakflow SP
Обнаружение искажений
Устройство Свойства системы
в сети
ВСЕ свойства трафика и маршрутизации (TR)
Peakflow|SP обнаруживает как известные MS ВСЕ свойства инфраструктуры безопасности (IS)
сетевые аномалии, так и аномалии
"нулевого дня" без необходимости Управляемые сервисы Функциональность портала
обновления сигнатур и при минимальной
сетевой конфигурации
CP ВСЕ свойства трафика и маршрутизации (TR)
ВСЕ свойства инфраструктуры безопасности (IS)
Конвергентная
Интеллектуальное платформа
управление отражением
TR Формирование отчетов о трафике в масштабе сети
Управление маршрутизацией, обменом между точками,
Peakflow|SP обеспечивает способность Трафик и транзитом
быстро реагировать на возникающие угрозы Аналитика маршрутизации
путем генерации правил доступа, интеграции маршрутизация
"черных дыр", sinkhole-подсетей и устройств
отражения, на одной интегрированной IS Обнаружение искажений в масштабе сети
Классификация, уведомление, диагностика, реакция
консоли управления Безопасность Последующий анализ путем формирования гибкой системы
инфраструктуры отчетов
•Объединяет и устанавливает
соотношение данных атаки и
Характеристики Шасси: Высота в стойке 2RU (3.35”/8,9 см), 36 фунтов/16,3 кг
трафика
•Центральный пользовательский устройства Питание: от -38 до –75 В=, резервный источник питания ~ / =
интерфейс на одном устройстве, Порты: 2 GigE, 1 последовательная консоль, 6
указанном устройством управления дополнительных слотов PCI (медная витая пара или
•Собирает и анализирует данные волоконно-оптический кабель)
трафика Производительность: Настраивается для NetFlow (OC-48) и
•Настраивается для NetFlow пакетов (GigE)
(OC48+) Соответствие стандартам: Сертификат NEBS Level 3 (~ или =),
ETSI
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Масштабирование Arbor Peakflow SP ...
• Одна (1) программа управления Peakflow SP на домен.
Масштабирование / использование дополнительных
программ сбора информации Peakflow SP в каждом
домене в соответствие с лицензией и требованиями
Peakflow SP на PoP
• За информацией о порядке лицензирования обратитесь
в Arbor Networks. Кратко:
Лицензия может зависеть от количества потоков в секунду,
направленных в устройство Peakflow SP ИЛИ
Количества маршрутизаторов, передающих данные NetFlow в
устройство Peakflow SP
Каждое устройство Peakflow SP способно собирать данные
NetFlow со скоростью до 10,000 потоков/с. За информацией о
способах повышения скорости сбора обратитесь в Arbor
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Рекомендации по проектированию
системы обнаружения
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Рекомендации по размещению детектора
Положение Устройство
Информационный центр Cisco Detector
CPE Cisco Detector
Магистраль SP Устройство Arbor Peakflow SP
SP Peering Edge Arbor Peakflow SP
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Резюме системы обнаружения
Cisco Detector Arbor Peakflow SP
Использует архитектуру MVP Основана на стандартах открытых систем NetFlow
Детектор - это воспринимающий элемент Маршрутизатор - это воспринимающий элемент
Принимает копию реального трафика на основе Исследует совокупные данные из
отражения SPAN / порта маршрутизатора, собранные сетью OOB
Обеспечивает в масштабе сети видимость и
Обнаружение может быть основано на целевых
Технология данных только для указанного набора ресурсов
обнаружение характерных для зроны данных,
обнаружения которые должны быть извлечены из
(серверный пул)
совокупности данных
Маршрутизаторам требуется наличие кэша
Независима от маршрутизаторов, но требует
маршрутов через интерфейсы для сбора
дополнительного оборудования обнаружения.
информации NetFlow
Специализированное обнаружение в Нет ограничений топологии. NetFlow хорошо
защищаемой зоне масштабируется
Запуск удаленного Поддерживается при помощи SSH через Поддерживается при помощи SSH через
устройства защиты соединение OOB соединение OOB
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Где задействовать NetFlow …
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Внеполосная (Out of Band - OOB) сеть
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Доля выборки NetFlow
(рекомендации Arbor)
• Ethernet – 1:10
• Fast Ethernet/OC3 – 1:100
• Gig Ethernet – 1:1000
• POS OC12/OC48 – 1:1000
• 10GE/POS OC192 – 1:5000
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Защита
Отражение атаки:
Очистка /
фильтрация, Отражение
перенаправление и атаки Обнаружение
ввод данных
Введение Перенаправление
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
"Очистка" / фильтрование
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
План
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Обзор устройства защиты Cisco Guard
• Отражение атак DDoS, исходящих из сети Интернет, против таких
устройств как веб-серверы, DNS-серверы, почтовые серверы, МСЭ
и других компонентов сетевой инфраструктуры.
• Отражение атаки в зависимости от характера аномалии
Изучение характера потока обычного трафика, начало выполнения
защиты, если обнаружены необычные шаблоны
Преимущество: возможность отражения ранее неизвестных атак
• Цель: фильтрование вредоносного трафика, пропуск всего
благонадежного трафика
• Защита в зависимости от зоны назначения
Зона = IP-адрес, группа IP или подсеть
• Нет линейного устройства. Обработка трафика по требованию
Перенаправление для проведения обработки трафика только той зоны,
которая подверглась атаке. Другой трафик транслируется в прежнем
направлении
• Два варианта устройства: Устройство Guard и модуль расширения
Guard для 7600/CAT6K
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Устройство Cisco Guard XT 5650 и Модуль
расширения Anomaly Guard Module (AGM) для Cisco
7600 и Cisco Catalyst 6500
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Сравнение устройства Guard XT и
модуля Anomaly Guard Module
Guard XT Модуль расширения Anomaly Guard Module
Поддерживаемая версия Версия 3.1. Соответствует версии 4.0 AGM Версия 4.0. Соответствует версии 3.1 устройства
ПО для технологии Clean
Pipes
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Архитектура процесса мультиверификации
(Guard Multi-Verification Process (MVP))
Динамически вставляет
необходимые фильтры для
блокировки потоков и
источников атак Применение ограничений
скоростей
• Точность
ПОЛНАЯ ЗАЩИТА источник
• Если необходим полный антиспуфинг (прокси) аномалии
• Предельное • Динамическое фильтрование "зомби-источников"
повышение
производительности БАЗОВАЯ ЗАЩИТА Аномалия
• Максимальная • Применение базовых средств антиспуфинга проверена
прозрачность • Анализ текущих аномалий
• Автоматическая
реакция АНАЛИЗ
• Изменение направления для проведения более подробного анализа трафика Обнаружена
• Гибкие фильтры, динамические фильтры и обход во время операции атака
• Все потоки пропускаются, но проводится их анализ на наличие аномалий
ОБНАРУЖЕНИЕ
• Пассивная копия контроля трафика
ИЗУЧЕНИЕ
• Периодическое исследование образцов для проведения автоматического обновления базовых профилей
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Типы угроз DDoS, которые можно отражать при
помощи Guard
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Создание базовых данных и изучение
трафика
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Дополнительные возможности версии 5.x
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Непрерывное запоминание - Обзор
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Detector запоминает информацию для
Guard (продолжение)
• Когда Detector посылает конфигурацию новой зоны в Guard?
Когда пользователь вручную вводит команду “sync”.
Периодически, когда непрерывный автоматический процесс
принимает новый набор пороговых значений политики.
В случае выявления атаки, непосредственно перед активацией
защитных ресурсов Guard.
• Когда две последние опции включены, Detector может быть
единственной точкой конфигураций для зон.
• Примечание: также поддерживается обратная синхронизация
конфигурации, если пользователь изменяет в Guard
конфигурацию зоны, определенной в Detector.
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Протоколы коммуникации между Anomaly Guard
и Anomaly Detector
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Анализатор трафика
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Фильтр на базе контента
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Защита по IP
• В предыдущих версиях в команде “protect” Guard пользователь
должен был указывать имя зоны.
• Некоторые устройства выявления могли сообщать только IP
атакуемой цели.
• В R5 добавляется команда “protect <ip-address>”.
• Когда используется эта команда, Guard ищет зону с данным IP-
адресом и активирует ее.
• Может существовать несколько зон с данным IP:
Возможными кандидатами могут быть только зоны с флажком
“activation-interface ip-address”.
Предпочтение отдается зоне с наибольшим соответствующим
префиксом.
• Используйте параметр зоны “activation-extent” , чтобы задать,
как используется зона в индивидуальной защите по каждому
конкретному IP:
entire-zone: защищается вся зона, содержащая данный IP-адрес.
ip-address-only: создается и защищается суб-зона с заданным IP-
адресом.
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Защита по пакетам - обзор
• Некоторые крупные ISP хотят, чтобы
переориентацию трафика инициировали другие
системы, т.е. не Detector, оставляя за
механизмами защиты только функции очистки
трафика.
• Пример: ISP использует инструменты защиты
Arbor Networks и инициирует переориентацию
трафика, используя маршрутизаторы, напрямую
связанные с системой Arbor.
• При этом ожидается, что Guard “всегда готов”
принимать пакеты по всем конфигурированным
зонам и приступить к защите, когда пакеты,
направленные в зону, начнут контактировать с
ним.
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Обоснование защиты VOIP от DDoS
• Вызовы VOIP находятся под Сервисы Прокси-сервер SIP или
контролем прокси-сервера программный
коммутатор или
SIP, программного пограничный
коммутатора и/или Пакетная контроллер сессий
пограничного контроллера сеть
сессий.
• Контроллеры вызовов VOIP SBC
обычно охватывают
несколько городов и сотни
тысяч абонентов. Локальная шлюз
• В самое напряженное время сеть
дня контроллер вызовов города 1
VOIP обрабатывает 50-100 шлюз
вызовов в секунду. шлюз
• Атака DDoS на контроллер Локальная сеть
вызовов VOIP препятствует
формированию новых Телефонный города 2
коммутатор
вызовов; блокируются и рабочий
звонки в экстренные службы
домашний
(911).
Key
• В США о прерываниях в System
работе, длящихся более 30
минут и затрагивающих
более 30000 абонентов,
требуется сообщать в FCC. IP
голос
шантажист сигнал
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены.
атака ‹#›
Подробнее о функциях защиты SIP/RTP
• Аутентификация RTP:
Для аутентификации сессии RTP, которая следует за сессией
SIP, Guard проверяет SIP INVITE или OK на наличие пакетов
INVITE, находит в данных SDP IP-адрес для отправки RTP и
считает этот адрес аутентифицированным для UDP. Эта
аутентификация RTP основывается на предположении о том,
что RTP поступит с того же адреса, который фигурирует в
SDP.
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Устройство защиты Guard Appliance и модуль
AGM
HTTPS (т.н. "Управление при
помощи веб-интерфейса")
Конфигурация и функционирование
Отчеты об атаках
BGP*
Заявленное устройство защиты
Guard является лучшим для
SSH быстрого перехода в зону
Настройка, воздействия атаки
функционирование
Направление потока данных
Изменение направления
"загрязненного"
загрязненного" трафика
FTP Трафик в направлении устройства
Обновление образа, загрузка Guard
и выгрузка конфигураций зон,
Выгрузка отчетов об атаках
Направление потока данных
Повторный ввод "очищенного"
очищенного"
трафика из устройства защиты Guard
SNMP
Состояние системы
Системный журнал
Ведение журнала событий
* Для AGM, устройство управления 7600/Cat6k’s
Supervisor Engine является источником BGP-
сообщений
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Обзор центра фильтрования (Cleaning Center)
• Кластер устройств защиты Guard или AGM, расположенных в
одном месте в сети SP
• Устанавливается как можно ближе к источнику атаки (например,
точки обмена)
• Почему используется CC?
Масштабируемость - Повышение пропускной способности
фильтрования трафика в отличие от единственного
устройства Guard
Отказоустойчивость – Несколько устройств Guard внутри CC
обеспечивают возможность резервирования 1+1 или N+1.
Несколько CC обеспечивают географическое резервирование
Экономичность – Позволяет использовать одно устройство
Guard с максимальной загрузкой для нескольких
пользователей одновременно
Гибкость – Одна и та же атака DDoS из нескольких исходных
точек может быть направлена к ближайшему CC
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Центры фильтрования с использованием
устройств защиты Guard и AGM
Граница
Центр фильтрования AS
10GE/GE/OC48 Ядро SP
DCN/OOB
Устройства Предварительный
защитный
Guard маршрутизатор (12k,
7600 или Cat6K)
Центр фильтрования
10GE/GE/OC48 Ядро SP
DCN/OOB
AGM
Отдельное шасси
(7600 или Cat6K)
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Схема построения центра фильтрации
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Производительность устройства Cisco Guard
Appliance и AGM
• 1 млн пакетов/с для комбинированного чистого и вредоносного
трафика (максимум 1,48 млн пакетов/с для вредоносного трафика)
• Отражает не менее 30 атакуемых "зон" одновременно
• Не менее 1,5 млн соединений одновременно
• До 150,000 динамических фильтров
• < 1 мс период ожидания и флуктуация - FIFO
• На что влияет производительность:
Множество фильтров (20%)
Гибкость фильтров (40%)
2й интерфейс (15%)
Туннельная инкапсуляция GRE (15%)
.1Q тег VLAN (5%)
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Размещение и автономные системы центра
фильтрования (CC)
• Размещение CC
– Ближе к входным точкам сети (как можно ближе к источнику атаки)
– Уменьшите количество переходов для изменения направления и
повторного ввода трафика к / от CC для снижения времени
ожидания
– Убедитесь, что ширина полосы пропускания пути перенаправления
трафика достаточна, чтобы обеспечить загрузку ресурсов
устройств Guard
– Ширина полосы пропускания пути повторного ввода должна быть
не меньше ширины полосы пути перенаправления
– Если CC обрабатывает дополнительный трафик в случае
недоступности другого CC, может понадобиться дополнительная
ширина полосы канала
• Автономная система CC
– В среде SP CC обычно находится под управлением команды
обеспечения безопасности, отдельной от команды обеспечения
работоспособности сети
– CC необходимо настроить как автономную систему, отдельную от
ядра
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Факторы балансировки нагрузки CC
• Обеспечьте мультигигабитную пропускную способность фильтрования для
одной зоны в CC путем объединения нескольких устройств Guard или AGM
• Балансировка нагрузки на нескольких устройствах Guard одного CC
• Необходимо разрешить:
BGP maximum-path на маршрутизаторе, расположенном перед
устройствами Guard
Разделение нагрузки IP CEF между парами IP-адресов источников-
приемников на маршрутизаторе, стоящем перед Guard / AGM, собранных в
едином шасси
• Число устройств Guard, на один предварительный маршрутизатор: 8
Фактор ограничения: BGP maximum-path
• Число устройств AGM в отдельном шасси 7600/Cat6500: (см. таблицу)
Фактор ограничения: число доступных слотов AGM
Шасси Максимальное число Реальное максимальное число
тестируемых AGM AGM
(активные и пассивные
супервизоры, линейная карта)
Выделенное шасси 8 6
7609/Cat6509
Выделенное шасси 10 10
7613/Cat6513
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Схема резервирования CC
• Центр фильтрования с использованием устройств защиты Guard
1. Устройство «горячего» резервирования по принципу N+1
Резервное устройство также доступно, если нет неисправного
устройства
2. Процессоры активного и пассивного маршрутизатора, выполняющего
NSF и SSO на предварительном маршрутизаторе
3. Режим произвольного обращения для обеспечения балансировки
перенаправленного трафика и резервирования среди центров
фильтрования
• Центр фильтрования с AGM
1. Устройство горячего резервирования по принципу N+1
Резервное устройство AGM также доступно, если нет неисправного
устройства AGM
2. Резервный супервизор с NSF и SSO в шасси AGM
Поток не прерывается во время переключения
3. Резервные соединения между шасси AGM и ядром сети
4. Режим произвольного обращения для обеспечения балансировки
нагрузки перенаправленного трафика и резервирования среди
центров фильтрования
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Перенаправление и ввод трафика
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Перенаправление трафика
Процесс повторной маршрутизации всего или некоторого трафика
к целевому объекту через центр фильтрования с намерением
удаления вредоносного трафика и повторный ввод
благонадежного трафика обратно в сеть по направлению к
целевому объекту.
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Динамическое перенаправление трафика
Cisco Detector XT
Обнаружение 1
Целе Перенаправление
Защища вой благонадежного 5
Защищаемая
емая трафика
зона 2: объе
зона 1: Защищаемая зона 3:
Серверы кт
Серверы электронной
Веб имен
Номер сессии коммерции ‹#›
ID презентации © 2005 Cisco Systems, Inc. Все права защищены.
Параметры включения перенаправления
iBGP
Guard XT/AGM
Guard XT/AGM
RR RR
Все характеристики маршрутизации, такие как
Устройства Guard всегда могут находиться в режиме сообщества, локальные предпочтения
защиты, а трафик перенаправляться установить в RR перед отражением
обновлениями от другого
триггерного устройства
Переключ
атель
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Переключатели перенаправления
трафика
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Параметры перенаправления трафика
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Параметры ввода трафика
• Ввод L2
Маршрутизатор ввода и устройство guard в одной и
той же ЛВС
• Ввод GRE: Ядро IP
Туннель GRE исходит из устройства Guard,
замыкается на CPE
• Ввод VRF: Ядро MPLS
Трафик, вводимый в отдельный “вводной” VRF
• Ввод на основе PBR
• Другие технологии туннеллирования
основаны на mGRE, L2TPv3 и VLAN
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Перенаправление и ввод L2
4
R2 R3
Зона
192.168.1.0
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Перенаправление и ввод L2 с AGM
4
Internet
CISCO 7609
SUP 720 .2 192.168.100.0 .1 AGM
VLAN 100
Зона
192.168.1.0/24
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Перенаправление и ввод на тот же
маршрутизатор
Обновление BGP для Guard установлен как следующий
изменения маршрутов трафика ВСЕЙ зоны переход для зоны
к устройству guard NOC
1 2
BGP
R1
Устройство Guard повторно вводит "очищенный"
трафик в направлении зоны
PBR выполняется на интерфейсе R1
R1 для сравнения IP 3
адреса зоны и
устанавливает следующий
R1 пересылает трафик для
переход как R2 192.168.40.1 зоны в R2 на основе
настроек PBR 4
Ip access-list extended zoneA
Permit ip any 192.168.1.0 255.255.255.0
! R2
Route-map injectPBR permit 10
Match ip address zoneA
Set ip next-hop 192.168.40.1
Один и тот же маршрутизатор
Зона
! отведения и ввода
Route-map injectPBR permit 20 192.168.1.0
Interface gigabitethernet3/1/1
Ip policy route-map injectPBR
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Короткое перенаправление и ввод GRE
Internet
R1
1 Устройство Guard повторно вводит "очищенный"
трафик в направлении зоны
Обновление BGP для R2 при помощи настроенного
изменения маршрутов трафика NOC туннеля GRE
ВСЕЙ зоны
к устройству guard
3
Настроенный
R3 туннель GRE в
выходной CPE
Зона
192.168.1.0
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Длинное перенаправление (L3) и ввод
GRE
Атака
3
1
ВЕСЬ трафик к целевому объекту
перенаправляется в устройство guard
Настройка обновления BGP
Следующий переход для целевого объекта
к 192.168.254.1
PE
mbehring
RR NOC
Перераспределение
Guard в ядро 2 IP
(192.168.254.1) Ядро
"Очищенный" трафик вводится в
4 целевой объект по туннелю GRE 5
PE
Возврат трафика от целевого объекта
в интернет проходит в обычном режиме
Настроенный CPE
туннель GRE в
выходной CPE Целевой объект (192.168.1.1)
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Перенаправление и ввод MPLS
Атака
1
BGP: Я - следующий переход
для 192.168.1.1
3
Перенаправление к 192.168.1.1
Guard
Перераспределение
в ядро MPLS 2
4
PE
mbehring
Ядро
"Очистка"
MPLS
VRF: Ввод
5 Повторный ввод очищенного
трафика на отдельном
интерфейсе ввода VRF
PE PE PE
"Очищенный" трафик
транслируется к целевому объекту
6 через входной PE
CPE CPE CPE
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
MPLS перенаправление / ввод –
использование LSP
Атака
Трафик для зоны, BGP обновляет
передается к следующему
узлу IP при помощи
таблицу только для
входных маршрутизаторов
1
MPLS / LSP на границе
2
Ядро MPLS
SUP 720 P
AGM
CC-PE NOC
P
P Маршрутизация зоны, измененной
только во входных точках.
"Очищенный" трафик направляется
P Маршрутизация ядра не меняется
3 обычным путем при помощи CC-PE
192.168.1.1 192.168.3.1
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Перенаправление / ввод MPLS
Режим строгой защиты устройства Guard
Атака
1
Трафик, предназначенный для защищаемого
ресурса, перенаправлен к Возврат трафика от устройства guard в
устройству guard устройство в сети Internet осуществляется
при помощи таблицы глобальной маршрутизации
5
Guard
"Очистка"
PE
mbehring
MPLS
устройства в устройство proxy guard IP
направляется при помощи таблицы
4
Устройство Guard прерывает сессию глобальной маршрутизации
и открывает новую сессию с адресом IP
источника = адресу Proxy
2
PE PE PE
Сессия передачи от устройства guard к Соединение PE-CE
защищаемому устройству проводится на в таблице глобальной маршрутизации
3 интерфейсе ввода и
маршрутизируется при помощи VRF: Ввод
CPE CPE CPE
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Сравнение ядра IP и MPLS
Ядро IP Ядро MPLS
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Обзор режима произвольного
обращения для центров фильтрования
• Определение произвольного обращения (anycast): Технология
адресации, указывающая анонсирование не уникального IP-адреса из
нескольких точек источников с целью обеспечения высокой
доступности, выживаемости и / или балансировки нагрузки
профилирования трафика на основе выбора маршрута
• CC использует произвольный адрес для оповещения о кратчайшем
переходе к атакуемой зоне
• Произвольный (Anycast) адрес присваивается:
Интерфейсу loopback устройства Guard
Интерфейсу loopback Супервизора интегрированного шасси AGM
• Преимущества
Легкость выполнения - использует маршрутизатор переключения для
анонсирования единственного адреса BGP для перенаправления трафика
Балансировка нагрузки – исходящие маршрутизаторы проводят рекурсивный
поиск anycast-адреса для определения ближайшего CC для направления
вредоносного трафика из разных входных точек
Резервирование – исходящие маршрутизаторы автоматически пересчитывают
маршрут к следующему ближайшему CC, если ближайший CC вышел из строя
• Считается, что все CC, использующие anycast-оповещение, защищают
единый набора зон
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Длинное перенаправление с
использованием Anycast-адреса IP
Обмен Обмен
Кратчайший путь к SP1 SP2 Кратчайший путь к
192.168.254.1 192.168.254.1
- CC1 - CC2
ASBR ASBR
RR
CC 1 Следующий CC 2
переход к
192.168.1.1 -
192.168.254.1
NOC
192.168.254.1 192.168.254.1
PE
PE
Туннель CE
GRE
CE Клиент
Целевой
объект
192.168.1.1
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Длинное перенаправление с
использованием Anycast-адреса IP
Точка Точка
обмена обмена
Asia Перенаправление к CC,
EU
ближайшему к точке обмена
192.168.254.1
ASBR
CC-A ASBR 192.168.254.1
NOC
CC-EU
RR
CC-SA
CC-NA
192.168.254.1 ASBR
Избегает обратного
ASBR 192.168.254.1
транзита вредоносного
трафика к ядру Базовое
резервирование
Точка Точка
обмена обмена
SA NA
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Отдельное шасси, несколько AGM, одна зона
Входящий трафик
4
распределен по нагрузке
Internet
между AGM 1 и AGM 2
CISCO 7609
3 SUP 720 AGM 1
Трафик для зоны,
направлен к lo0
2 Lo 0
Статические маршруты, 1
2 статических маршрута
распределенные в в зону установлены
BGP со следующим переходом
для зоны установлены на lo0
AGM 2
GRE
Зона
5
192.168.1.0/24
3 CISCO 7609
Internet
Трафик для зоны 1,
направлен к AGM1SUP 720 AGM 1
2
Статические маршруты,
2 статических маршрута
распределенные в
BGP со следующим переходом 1
в зону установлены
установлен на VLAN IP
AGM 2
GRE
Зона 2 Зона 1
Многоточечный
GRE
Anycast-адрес,
опубликованный как
1
следующий переход в зону
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Несколько зон - несколько центров
фильтрования
Internet
SUP 720 2 SUP 720
Трафик для зоны,
направленный к ближайшему
ресурсу CC
AGM 1 Lo 1 Lo 1 AGM 1
Anycast-адрес,
опубликованный как 1 Anycast-адрес, 1
следующий переход в зону опубликованный как
Многоточечная следующий переход в зону
GRE
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Модели внедрения
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Предложения по отражению атак DDoS
• Значительное увеличение объема обслуживания
Отражение, а не просто обнаружение
Специализированные политики
Отражение широчайшего набора атак
Точность и прозрачность
Автоматизация для обеспечения быстроты реакции
• Дополнительные гарантии
корпорациям непрерывности
бизнес-процессов
• Специализированные отчеты об
Корпорации атаках, выдаваемые
устройством Guard на порталы
SP, такие как Peakflow MS
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Управляемая защита хостинга от атак
DDoS
Ключевые преимущества
и свойства
• Новая модель предоставления
услуг для провайдеров хостинга
• Защищает критические
управляемые веб-серверы и
серверы приложений
• Обнаружение вблизи от
ресурсов, подвергаемых атаке
• Устройства Guard
устанвливаются вблизи точек
входа
• Максимально расширяется
Ядро SP полоса благонадежного
Внеполосное
трафика
Arbor
Peakflow Поставщик
управление
SP услуг • Связка Netflow + Arbor
Peakflow SP обеспечивает
видимость и связность
Торговый сети
Порог обмена
сервис
• Простота входа для
носителей, обладающих
"Загрязненный"
Загрязненный" трафик инфраструктурой защиты
"Очищенный"
Очищенный" трафик
Входящий ISPAS 234 от атак DDoS
Экспорт пакетов NetFlow
Активация Guard
SSH • Снижает количество атак
DDoS в сети internet
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Инфраструктура защиты от атак DDoS
Ключевые преимущества
и свойства
• Защита инфраструктуры от атак
DDoS
Обмен по
транс-океанским • Используется совместно с NFP
для планирования отражения
каналам связи атак, регулирования,
управления и обслуживания
• Снижает количество прямых
атак на жизненно важные места
в сети (точки обмена,
AS 123 AS 234 маршрутизаторы ядра,
Порог обмена периферию провайдеров)
данных SP "Очищенный"
Очищенный" трафик дорогостоящим транс-
Экспорт пакетов NetFlow океанским каналам связи)
Центр обработки данных SP Активация Guard
SSH
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Заключение
• Преступная экономика - все еще
остается и вызывает возрастающую
тревогу
• Технология Clean Pipes - это
упреждающий подход к защите
инфраструктуры, предназначенный для
повышения доступности сетей
• Мы должны снизить время реакции и
уменьшить окно уязвимости для защиты
каналов связи и предоставляемых услуг
• Технология Cisco Clean Pipes
предназначена для защиты болевых
точек сетей клиентов и дает новые
выгоды для поставщиков услуг
• Технология Cisco Clean Pipes - это
ключевой управляемый сервис
безопасности, который должен
укреплять партнерство между
предприятием и SP
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Ссылки CCO
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›