[Ivan_83]

Дабы снять вопросы о компетенции я представлюсь - Репан Димитрий, компания "БИФИТ", российский разработчик системы электронного банкинга "iBank2", промышленно эксплуатируемая в более 750 российских банках и филиалах. Подробнее - на www.bifit.com

Было бы просто замечательно, если бы весь банковский софт не требовал для работы прав админа, ибо это дыра в безопасности.

 

 

[Ivan_83]

простите, но откуда у этого специалиста появится необходимый софт и железо?

Придёт какой нибудь выпускник у которого в дипломе специальность ИБ.

Накупит кошек для прикрытия жопы и будет маркетинговым булщитом циски промывать моск начальству.

Самому даже думать не нада :)

 

А так, железо купить не так сложно, как найти/создать и настроить нужный софт.

[kostich]

он в соответствии с должностной инструкцией поступит... и будет прав :)

 

[Agp]

Ну в идеале банк должен иметь специалиста по информационной безопасности, который должен или защищать свою организацию сам или быть достаточно квалифированным чтобы взаимодействовать с соответствующими организациями (бифитом, провайдерами, мвд).

простите, но откуда у этого специалиста появится необходимый софт и железо?

Железо купят. У крупных организаций с покупкой железа проблем нет. Гораздо труднее найти знающего сотрудника.

[Agp]

простите, но откуда у этого специалиста появится необходимый софт и железо?

Придёт какой нибудь выпускник у которого в дипломе специальность ИБ.

Накупит кошек для прикрытия жопы и будет маркетинговым булщитом циски промывать моск начальству.

Самому даже думать не нада :)

 

А так, железо купить не так сложно, как найти/создать и настроить нужный софт.

Не отобьёт атаку - пойдет на ... форумы, рассказывать как он крут.

В готовых решениях железо идёт с софтом. А другими не стоит и заниматься если это не твой бизнес.

[kostich]

Железо купят. У крупных организаций с покупкой железа проблем нет.

Простите, но я пока еще не встречал предожений по продаже железа эмулирующего разные атаки и пригодного для тестирования решений для защиты от ddos. Так что вопрос опять открыт... каким образом банк будет тестировать?

 

 

Гораздо труднее найти знающего сотрудника.

А что знающий сотрудник будет делать? Качать софт для эмуляции атак и собирать стенды для тестирования?

 

Изменено 2 августа, 2010 пользователем kostich

[Agp]

Железо купят. У крупных организаций с покупкой железа проблем нет.

Простите, но я пока еще не встречал предожений по продаже железа эмулирующего разные атаки и пригодного для тестирования решений для защиты от ddos. Так что вопрос опять открыт... каким образом банк будет тестировать?

 

Гораздо труднее найти знающего сотрудника.

А что знающий сотрудник будет делать? Качать софт для эмуляции атак и собирать стенды для тестирования?

Думаю есть открытые инструменты позволяющие генерировать пакеты и эмулировать атаки. В любом случае как говорил Дмитрий, интегратор продающий вам систему продемонстрирует её в действии.

 

Будет эмулировать и собирать стенды. Всё-таки практически для себя собирает.

[kostich]

Думаю есть открытые инструменты позволяющие генерировать пакеты и эмулировать атаки.

Мы тоже так думали... а по факту в паблике есть только школьные атаки с явно выраженной сигнатурой... и то там пока соберешь половину сорцов перепишешь.

 

В любом случае как говорил Дмитрий, интегратор продающий вам систему продемонстрирует её в действии.

Будет эмулировать и собирать стенды. Всё-таки практически для себя собирает.

Подозреваю и у Димитрия нечем тестировать... так же как и у остальных интеграторов.

Изменено 2 августа, 2010 пользователем kostich

[Dimitry_Repan]

Сори всем за задержку с ответом. Не всегда хватает времени - много работы.

 

отправил kostich

Простите, но я пока еще не встречал предожений по продаже железа эмулирующего разные атаки и пригодного для тестирования решений для защиты от ddos.

Тогда для общего развития почитайте хотя бы обзоры NSS Labs.

 

Из общения с R&D вендоров - в лабораториях используют промышленные решения типа IXIA, Spirent и др. + самописные инструменты.

 

Например, Radware для тестирования своих DefensePro предлагает прям готовую компашку с набором утилит для эмулирования различных типов DDoS-атак - Raptor Attack Tools.

 

Подобных утилит в инете предостаточно. Почти все в исходниках - бери и твори.

 

Ферма из шести серверов 2 x Quad-Core Xeon X5670 с 10GbE сетевыми картами на Intel 82598EB, подключенные по CX4 к HP ProCurve 6400cl позволяет формировать высокие нагрузки даже в Mpps'ах. Но такой комплект с собой в банк не потянешь. Да и 10Gb инет-каналов в банках я не видел. А для лаборатории - самое то.

 

Получить честный TCP SYN Flood со спуффингом на всю полосу в 10GbE (а это ~14,8 Mpps), да так, чтобы IPS не срабатывал по сигнатурам - задача непростая, но реализуемая.

 

Было прикольно наблюдать, когда допиленная утилита позволяла обходить аппаратный IPS с большой базой сигнатур, но срабатывала поведенческая защита, и DefensePro довольно качественно начинал чистить SYN-флуд.

Изменено 2 августа, 2010 пользователем Dimitry_Repan

[Dimitry_Repan]

Было бы просто замечательно, если бы весь банковский софт не требовал для работы прав админа, ибо это дыра в безопасности.

А какие у Вас в банке проблемы с запуском iBank'а без рутовых полномочий?!

 

Если мануалы читать лень - обратитесь в наш суппорт, ребята подскажут как это сделать.

 

 

[Dimitry_Repan]

Димитрий, а откуда у банка генераторы тестовых атак?

 

простите, но откуда у этого специалиста появится необходимый софт и железо?

Если банк собрался сам тестировать - значит банк считает, что владеет необходимым уровнем компетенции. Если банк просит - мы помогаем проводить тестирование.

 

Для достижения сетевого флуда с полосой 1Gb и трафиком 1,4Mpps достаточно пары современных серверов на Xeon 5600 с 1GbE сетевыми картами на Intel 82576. Например, допиливаете должным образом synk4, и вперед.

 

Если стоит задача эмулировать прикладной флуд - тогда всё уже зависит от приложения.

[kostich]

Тогда для общего развития почитайте хотя бы обзоры NSS Labs.

там нет ничего интересного. обычный маркетинговый бред.

 

Из общения с R&D вендоров - в лабораториях используют промышленные решения типа IXIA, Spirent и др. + самописные инструменты.

самописных инструментов у банка нет.

 

Например, Radware для тестирования своих DefensePro предлагает прям готовую компашку с набором утилит для эмулирования различных типов DDoS-атак - Raptor Attack Tools.

подозреваю там нет той которая пробьет.

 

Подобных утилит в инете предостаточно. Почти все в исходниках - бери и твори.

Димитрий, подскажите хоть одну грамотную...

 

Получить честный TCP SYN Flood со спуффингом на всю полосу в 10GbE (а это ~14,8 Mpps), да так, чтобы IPS не срабатывал по сигнатурам - задача непростая, но реализуемая.

Ой, а сколько железа надо поставить для фильтрации 14,8Mpps синфлуда?

 

 

[kostich]

Если банк собрался сам тестировать - значит банк считает, что владеет необходимым уровнем компетенции. Если банк просит - мы помогаем проводить тестирование.

а сколько потом успешных атак на банки после установки решения?

Изменено 2 августа, 2010 пользователем kostich

[bifit]

kostich, у Вас какое-то нездоровое желание через демонстрацию Вашей компетенции и через разоблачение опонентов продемонстрировать Ваши достижения.

 

Я искренне рад, что у Вас всё хорошо и Вы или Ваша компания/команда являетесь мировым, ну или как минимум европейским, лидером по защите Web-сайтов от DDoS-атак.

 

Большинство в этом Форуме - за достижения и прогресс. Если Вы - один из двигателей прогресса - это очень позитивно. Еще немного, еще чуточку - и Arbor Networks будет на втором месте.

 

Но дабы всем участникам Форума было всё-таки интересно и полезно читать обмен опытом, предлагаю перейти исключительно в практическую плоскость, чтобы всё было в цифрах, в конкретике.

 

О функционале Raptor Attack Tools от Radware. Вы отчасти правы - ничего сверхуникального и сверхмогучего на этой компашке нет. Банальная сборная солянка с пользовательским интерфейсом дабы корпорэйт в течение нескольких недель мог проверить работоспособность функционала Radware DefensePro.

 

Также вынужден констатировать - почти везде решение Radware соответствует заявленному функционалу и количественным показателям. Где-то чуть больше "выносливость" решения, местами - чуть меньше.

 

Поведенческая защита (Behavioral DDoS Protection) - работает. 12 секунд на анализ атаки - и включение фильтрации. Если не помогает - через 12 секунд еще одно закручивание гаек. Если атака стала меньше нижнего порога - снятие фильтров. Обучение - постоянное. Всё на автомате. Можно задавать периоды обучения - день, неделя, месяц. Можно вручную задавать пороги, соотношение трафика. Далее эти параметры берутся за основу и система сама подстраивается под легитимный трафик.

 

Аппаратный IPS на базе контекстного процессора NETL7 компании Netlogic Microsystems - http://www.netlogicmicro.com/Products/Layer7/Layer7.htm - тоже работает. Сигнатуры обновляются еженедельно, по понедельникам, вечером. Если что-то неординарное - появляется внеплановый Security_Update. Также можно создавать свои реально навороченные сигнатуры, заточенные под конкретное приложение, с поиском нужных подстрок в нужных типах и частях трафика. Если в политику добавить много (несколько тысяч) сигнатур - то работа замедляется и потребление ресурсов StringMatchingEngine возрастает. Поэтому с сигнатурами надо по-бережливее. Если идет HTTP-трафик, то нехрен добавлять от балды сигнатуры для проверок SIP, SMTP или DNS.

 

TCP SYN Flood Protection тоже работает. В параметрах DefensePro 8412 на EZChip'ах с firmwware 5.x заявлено 8Gbps и 10Mpps. Если политик мало - 3..5 - то показатели получаются даже немного выше. В основе –

механизм SYN Cookies, поддерживаемый встроенными в DefensePro 8412 сетевыми процессорами NP-3. В боевых условиях нелегитимный SYN-трафик реально не доходит до жертвы, а легитимные TCP-сессии открываются все.

 

На wirespeed работает BandWidth Management - позволяет управлять полосой пропускания для заданного протокола, защищаемой сети или сетевого сервиса. Настраиваются приоритеты обслуживания, минимально гарантированная и максимально допустимая полоса пропускания. Фактически эксплуатируются возможности NP-3.

 

В дополнение к вышеперечисленным очень полезным на практике оказывается механизм Connection Limit - обеспечивает контроль максимально допустимого количества сессий с IP-адреса отправителя в единицу времени и при превышении пороговых значений блокирует трафик с чрезмерно активных хостов.

 

Очень много всякой мелочи режет механизм Stateful Inspection - проверяет TCP, ICMP, HTTPS, DNS, SMTP, IMAP, POP3, FTP и SSH на полное соответствие спецификациям RFC. В итоге исключаются атаки, основанные на нарушении последовательностей пакетов данных протоколов.

 

Для борьбы с HTTP-флудом в Radware DefensePro реализован механизм HTTP Mitigator. В основе - поведенческая защита HTTP-серверов с функцией обучения. Анализирует HTTP-запросы и собирает статистику индивидуально по каждому URI. На основе отклонений от типовой активности блокирует доступ с чрезмерно активных хостов к заданным URI. Механизм реализован с использованием фич NP-3. На практике - не идеал, но работает. Размер suspend-таблицы - 100K IP-адресов. Требует вдумчивой и аккуратной подстройки. Есть куда совершенствоваться. С простым прикладным DDoS'ом борется на ура. С изощренным - похуже. Для большей эффективности должен обучаться (собирать статистику) как минимум неделю. Лучше - месяц. Среди достоинств - не режет легитимный трафик. Совместно с другими механизмами, реализованными в DefensePro, защита от DDoS-атак типовых Web-сайтов оказывается весьма эффективна.

 

В тоже время, IMHO, ферма из пары десятков двухсокетных блейдов с Xeon'ами X5670 + толковый специализированный софт, заточенный под конкретный Web-сайт + разработчик этого софта смогут сделать явно больше в плане противодействия прикладному HTTP-флуду.

 

Но такую ферму, как авианосец, надо прикрывать от сетевого флуда. Тем же DefensePro 8412 или SRX5800 с полной набивкой SPC :)

 

Ой, а сколько железа надо поставить для фильтрации 14,8Mpps синфлуда?

Возможно это смешно - но двух DefensePro 8412, включенных последовательно через 10GbE, будет достаточно.

 

DP всё, что не осилил очистить - пропускает. Поэтому второй DP дочистит пропущенные остатки флуда. Проверено.

[kostich]

Если 8412тый так хорош, то зачем Синтерра вваливала 70 млн. руб.? Сколько 8412 в рублях стоит?

 

[dvolodin]

2bifit: Пока не видно, чем 8412 лучше того же SRX :)

 

Если выносить SYN Flood как отдельную атаку, то с ним замечательно справляется тот же f5 VIPRION, благо расчет TCP SYN Cookies у него в железе :)

[Dimitry_Repan]

Если 8412тый так хорош, то зачем Синтерра вваливала 70 млн. руб.?

Вопрос к Синтерре, а не ко мне.

 

Сколько 8412 в рублях стоит?

187k$

 

Если выносить SYN Flood как отдельную атаку, то с ним замечательно справляется тот же f5 VIPRION, благо расчет TCP SYN Cookies у него в железе

Я не представляю, как можно только софтверно бороться с SYN Flood. Вернее представляю, но всю софтверную часть правильнее реализовывать на FPGA :)

 

В Radware DefensePro предыдущего поколения хардварная поддержка TCP SYN Cookies была сделан на FPGA.

 

В самом последнем Radware DefensePro 8412 - на EZChip NP-3 и FPGA.

[kostich]

Сколько 8412 в рублях стоит?

187k$

если не брать какой либо специализированный софт, то за эти деньги спокойно собирается 30mpps-ный протекшен.

 

Я не представляю, как можно только софтверно бороться с SYN Flood. Вернее представляю, но всю софтверную часть правильнее реализовывать на FPGA :)

есть алгоритмы для грязной чистки, для которых не принципиально наличие сигнатуры, что на обычных писюках даёт ОЧЕНЬ ХОРОШУЮ производительность. т.е. получить несколько mpps на нескольких серверах можно. сервера ликвиднее и стоят в шесть раз дешевле малотиражных FPGA решений.

 

Изменено 3 августа, 2010 пользователем kostich

[romane]

три года к ряду я повторяю про невозможность защиты SSL без HTTP редиректа, но тем не менее это каким-то образом защищают... каким-то образом банки верят в защиту их SSL сервера с помощью какой-то чудо железки, которая умеет защищать без HTTP редиректа.

Как поможет редирект?

Его бот не cможет отработать?

А если внутри SSL не HTTP?

Вам клиент даст секретный ключ?

[kostich]

Как поможет редирект?

Его бот не cможет отработать?

да, не сможет.

 

А если внутри SSL не HTTP?

Вам клиент даст секретный ключ?

мы не берем у клиента ключ. что внутри SSL не суть важно, т.к. потом это пролетает через GRE к клиенту... +идет мониторинг какой-то tcp активности.

 

 

Изменено 3 августа, 2010 пользователем kostich

[romane]

Также вынужден констатировать - почти везде решение Radware соответствует заявленному функционалу и количественным показателям. Где-то чуть больше "выносливость" решения, местами - чуть меньше.

А что она умеет делать с российским SSL?

[romane]

мы не берем у клиента ключ. что внутри SSL не суть важно, т.к. потом это пролетает через GRE к клиенту... +идет мониторинг какой-то tcp активности.

т.е. как работа с обычной TCP сессией с установлением лимитов по колличеству пакетов с определёнными атрибутами с одного конкретного IP, при привышении лимита блокирование его на таймаут?

[Dimitry_Repan]

kostich, ну что за детсад с любовью к софтовым решениям.

 

Ну не вытяните Вы никакой 10-гигабитной сетевой карточкой 14,8 Mpps. Максимум - 3 Mpps. Как бы Вы фирмваре и драйвера этой карты не перерабатывали.

 

Нужны узко заточенные под эти задачи либо топовые NPU, либо топовые FPGA типа Virtex-6 HXT.

 

 

[kostich]

мы не берем у клиента ключ. что внутри SSL не суть важно, т.к. потом это пролетает через GRE к клиенту... +идет мониторинг какой-то tcp активности.

т.е. как работа с обычной TCP сессией с установлением лимитов по колличеству пакетов с определёнными атрибутами с одного конкретного IP, при привышении лимита блокирование его на таймаут?

там разные механизмы, но в целом Вы правы... правда тупым блокированием лично мы не увлекаемся, т.к. это лишние ложные срабатывания и т.д.. и вот на фоне этого, а я так понял Вы в теме, хотелось бы узнать... а что будут делать железки если кто-то зарядит атаку на https с использованием нормального SSL хендшейка и прочего? мне кажется большая часть интернет-банкинга тупо завалится и будет лежать. есть такая 100%тная уверенность... не смотря на то что над системой защиты работали лучшие умы и ввалено 70 млн. руб. или вот железки по 187k$.

[kostich]

kostich, ну что за детсад с любовью к софтовым решениям.

 

Ну не вытяните Вы никакой 10-гигабитной сетевой карточкой 14,8 Mpps. Максимум - 3 Mpps. Как бы Вы фирмваре и драйвера этой карты не перерабатывали.

 

Нужны узко заточенные под эти задачи либо топовые NPU, либо топовые FPGA типа Virtex-6 HXT.

а где я утверждал что я вытяну одной карточкой? на эти деньги можно собрать ферму из хороших ликвидных серверов, разбалансить трафик на хорошем свиче и радоваться жизни. если мало одной писюковой коробки, то надо ставить две... если мало двух, то можно и десять поставить. всяко ликвиднее и дешевле. Вы же сами говорите что максимум это 3... пускай даже 1mpps... 14 серверов и свич для балансинга всяко дешевле чем 187k$.

 

а про детский сад Вы в корне не правы, т.к. ситуация на рынке сейчас такая, что все кто сидит с сурьезными коробками большую часть времени перед дидосными клиентами разводят руками. мы же тоже коробками сурьезными иногда пользуемся... видим как никак что там пролетает через них. но на сегодняшний день я склоняюсь к тому что какие бы коробки не стояли у клиента, как бы они качественно ему не чистили трафик, а все в итоге упрется в оплату канала загаженного дидосным трафиком.

 

ps. продавайте банкам лучше IPv6... там дидосы еще не скоро будут.

Изменено 3 августа, 2010 пользователем kostich