Linco

Да я в принципе со всем согласен :) Кстати, а кто-нибудь пробовал чистым flowspec отбиваться? вообще без ничего, или с 1 Гб защитой например?

В нашем трафик не гоняется, а фактически чистится у провайдера. У ДНС систем вообще куча недостатков вы же всерьез их не предлагаете? :) ИМХО его используют только потому, что это самый простой способ заполучить трафик. Один из таких "защищалкиных", например, вообще сразу рекламирует, что имеет инфраструктуру в Германии. ЗдОрово, мой трафик на Российскую площадку пойде через Германию с неизвестными характеристиками надежности датацентра и каналов. Давайте все-таки прекратим флейм по поводу stateful. Я четко обозначил проблему это для stateful inline устройств FW/IPS, если Вы мне не верите можно почитать здесь https://my.stonesoft.com/support/document.do?docid=1377 или в гугле. Stonegate, ~20 Гб на ноду, <150 мкс. задержка, я вроде писал уже. Количество сигнатур не помню, можете сами поискать, но много. В принципе да, однако приходим все к тому, же 3-5 лямов на заказчика. DP серьезно проигрывает по фильтрации атак основным игрокам рынка IPS, это Sourcefire, TippingPoint, StoneGate. ИМХО проигрывает и Арбору, т.е. это нечто среднее. К тому же, одна из причин выбора стоуна - софтверное решение, я принципиально против решений, основанных на сетевых процессорах: дорого, сложно, расслабляет мозг разработчика. А обычные процессоры обновляются раз в пол-года. Спасибо за инфу по арбору, тоже будем смотреть. Не выдергивайте из контекста, я ответил на конкретный вопрос faramund и привел характеристики устройства, чтобы легче искать в инете было :) с чем собственно и справились. О том, что мы будем фильтровать именно на таких скоростях я не говорил. Да Вы и не клиенты :) Реально действительно будет меньше, in/out и т.п. Но скажите мне, вот если построить схему, которая хотя бы 50-60 Гб атаки будет реально отфильтровывать неужели этого мало? :) Причем за "копейки". Счатье для всех, даром, и никто не уйдет обиженным. (с) Здесь ИМХО гораздо более важны административно/технические вопросы получения такого количества трафика, и чтобы операторы на аплинках не стонали потом. :) я полностью с Вами согласен, однако просто не существует отдельной железки, которая бы покрыла ВСЕ потребности ИБ хотя бы 1 среднего оператора(и клиентов) (Арбор закроет лишь кусочек), это должен быть действительно центр защиты, набор коммутатров, балансировщиков, куча оборудования защиты и т.п. Здесь важно как построена система, если мы можем увеличивать производительность линейно просто подключением новых устройств к схеме, то флаг в руки. ЗЫ а может это вообще все бред и я просто работу ищу :))

в точку ммм, а где я собственно писал, что периметр работает инлайн и стэйтфул? stateful вообще для антиддос систем глобально не нужен обратите внимание, что я описывал обе системы: защиты от атак ips и отдельно защита от ДДОС. Проблема с асимметричным трафиком присутствует при наличии стэйтфул очистителя inline и >1 аплинка у клиента А первоначальная схема IPS->DP->MFI является принципиальной схемой как и в каком порядке будет чистится трафик.

Не готов пока озвучить, но Вы ведь и клиентом становиться не собираетесь? :) Все технические схемы для клиентов мы соответсвенно предоставим :)

Неа, балансировщик на L2 :)

Собственно смесь 2-х вариантов, только обратный трафик тоже через схему проходит. Ээх видели бы вы этот поток грязи.... Ну если коротко то все атаки и уязвимости, Sql-injection, xss, Conficker, JS, трояны и т.п. - тут очень долго писать, можно почитать профильные статьи зачем это нужно. скорости 1 нода до 20 Gb, 10 Mpps, в данном случае это софт вариант от известного производителя. Задержки <150 микросекунд. Можно давать доступ и клиенту, но мы этого делать пока не планируем, разве что в исключительных случаях, это наша зона ответственности. К сожалению в реале с такими скоростями не сталкивались, ничего сказать не могу. DefencePro нужен не из-за флуда, с флудом справятся куча ips с балансировщиком. Нет, пока не довелось, есть ряд внутренних соображений, можно сказать особенностей системы, по которым использовать ее скорее всего не будем. Хотя система конечно хорошая. Боюсь тоже на больших объемах не тестировали. Глобально система хорошая, но с рядом существенных на наш взгляд недостатков. ИМХО самый главный недостаток слабая аналитика и отсутствие корреляции между аналитикой и очисткой. Методов очистки множество, в принципе зарекомендовала себя система нормально.

Нет, там есть еще балансировщик 240 Гб/с. По устройствам раскидывается трафик. МФИ-Софт "Периметр". Это немного отдельный разговор оно соответственно вне L2 схемы. проблемы есть и мы лично с этим сталкивались и набили шишку перед выборами, если хотите подискутировать, давайте в личку. Проблема в том, что стэйтфул видит только пол сессии, соответственно ее дропит. Об этом пишут все производители и Cisco в том числе, а Вы не верите :) Две составляющие это правильно. Но в том то и дело, что основной вопрос это отделить мух от котлет, а ботов от пользователей, для этого нужна нормальная аналитика, профиль по pps это слишком грубо и ответа на основной вопрос не дает. В том то и дело, что нетфлоу не хватает нужна полная информация о сессии.

Ну гиганты могут продавать или не продавать им от этого вообще ни жарко ни холодно, он не на этом деньги делает. К тому же у мегафона до 10 Гб анонсировано и только для своих клиентов. У нас например от флуда сразу 20-30 Гб будет и в планах расширение. Расчет простой, если нужна безопасность или собираешь ставишь комплекс себе 3-5 лимонов+обслуживание и специалисты, либо платишь вместе с интернетом 20-50 тыс. за гиг. в месяц

Ну если это ирония, то наверное неуместная, я в курсе что у Вас наверное и опыта побольше и банковкие системы вы дольше защищаете. Мы только разворачиваемся с данной системой, однако опыт защиты у нас тоже есть, только другого сектора. Более того Ваш опыт нам очень интересен. В общем то у меня вопрос был простой, глобально такие услуги востребованы? Что касается расписать, спрашивайте, тут особых секретов нету.

Решение мультивендорное, для ДДОС это IPS для тупой очистки(flood)+Радваре+доочистка периметром. Количество политик мб ограничено, но устройств может быть много. Просто фишка не только в ДДОС, а в комплексной защите. Во всех предлагаемых на сегодняшний момент решениях есть недостатки. Либо услуга только ДДОС, нет защиты от атак, да и услуга оказывается через ДНС перенаправление и трафик гоняется неизвестно куда. Либо услуга привязана территориально к провайдеру/датацентру, опять же нормальный клиент имеет 2 канала к разным провайдерам, и здесь услуга защиты от атак от одного провайдера не играет, только создает проблемы, поскольку оборудование скорее всего stateful, посему возникают проблемы с асимметричным трафиком. Либо для ДДОС систем типа арбор и периметр (в классической схеме) устройста не видят всего трафика/всей сессии, а только получают некую выжимку по Нетфлоу, что сказывается на аналитических функциях, а это самая важная часть в борьбе с ДДОС. Для Радваре систем в инлайн режиме видится весь трафик, однако не очень удобно загонять большой трафик. Например клиент 1 Гб, ставим у клиента, умирает линк, ставим у провайдера - атака 10 Гб, нужно как минимум десятку доводить до очистителя. Вообще ДДОС у конечного клиента это не очень хороший вариант. И т.п. ньансов масса, и к сожалению, формат форума не позволяет все расписать :)

Ну о серьезности можно конечно поспорить :) Есть услуги защиты от атак кроме ДДОС? Есть услуги без привязки к конкретному хостингу/провайдеру?

Давно читаю ваш форум, но писать приходится впервые. Собственно есть идея предоставлять услуги по защите от интернет угроз и атак (это системы IPS и защиты от DDOS атак). Собственно есть уже и реализация, пока только в Москве. Используются системы операторского класса. Стоимость получается порядка 15-20% от цены межоператорского трафика. Технически вся схема L2, подключение через телеком площадки Москвы (M9, M10 и т.п.). Фактически это услуга для провайдеров, которые берут "оптом" и перепродают конечным абонентам. Собсственно вопрос к сообществу, интересно это будет кому-нибудь?