[bifit]

отправил kostich

если бы занимался ИБ, то вот так клиентов бы слить не решился -> http://www.bifit.ru/ru/company/clients/index.html

Ух и развеселили Вы меня, kostich. Прям до слёз :))))))

 

БИФИТ - более одиннадцати лет на рынке систем электронного банкинга.

 

БИФИТ - первая российская компания-разработчик, которая создала Интернет-Банкинг и внедрила оный в нашем первом банке-заказчике в Питере, в августе далекого 1999-го года.

 

На текущий момент более 800 банков и филиалов в России ПРОМЫШЛЕННО эксплуатируют систему электронного банкинга "iBank2", обслуживая более 500 тысяч корпоративных клиентов.

 

Чтобы было представление - это чуть более одной третьей действующих юриков России.

 

Вся приведенная на нашем сайте информация, в том числе и точки входа клиентов в iBank2 своих банков - публична и доступна через Интернет. Хотя с далекого 2000-го года и до настоящего времени БИФИТ является лицензиатом ФАПСИ/ФСБ, и даже имеет лицензию ФСБ на гостайну :)

 

С момента создания БИФИТа я придерживался и придерживаюсь исключительно честного и открытого подхода в бизнесе. И этим искренне горжусь.

 

да купите уже сразу лямов за пять зелени и получите всё :)

Для меня, технического специалиста, покупать кота в мешке - дикость.

 

Предложенный Вами, kostich, подход - сплошная на...ка.

Изменено 4 августа, 2010 пользователем bifit

[bifit]

за открытостью идите к касперскому

Кстати, а кто и что знает о проекте Касперского в направлении защиты от DDoS-атак? Поделитесь хотя бы слухами.

 

Касперский - серьезный технологический разработчик с недетским R&D и приличными финансовыми возможностями для инвестиций в подобные проекты.

 

Если ещё и государевы мужи, как с ABBYY, замотивируют Касперского в создании решения для государевых интернет-проектов и оборонных нужд - реально может получиться.

[Janus]

Дмитрий! Афигеть!! "Дайте две!!!"

 

Давайте СНАЧАЛА вы осветите фсе указанные выше запросы.

Если не всё чистите сами на своих мощностях, то не только вашу собственную структуру, но и структурку какогонить из клиентов без названия.

Да без напрягов :)

 

Наш проект пока в пилоте. Хотя с полсотни банков в рамках техподдержки уже подключены и их клиенты уже работают через наш Центр очистки трафика.

 

- сколько площадок

Пока две. Ибо пилот.

 

- где расположены, какими каналами включены в Инет

Одна площадка - в Москве на ММТС-9 (Бутлерова, 7, пом. 740). Предоставляем сервис нашим российским банкам-заказчикам.

 

Вторая площадка - в Киеве пока в датацентре украинского оператора Датагруп (Смоленская, 31/33). Предоставляем сервис нашим украинским банкам-заказчикам.

 

Со временем, как придут все тяжелые "железки", украинскую площадку планируется перенести в межоператорский датацентр NewTelco (Киев, ул. Гайдара, 50).

 

- что используете в качестве бордеров, в которые приходят аплинки и пиры

Используем Cisco 7606-S c RSP720-3CXL и WS-X6708-10G-3CXL. Естественно включены в MSK-IX (напрямую) и UA-IX (через Датагруп отдельным линком).

 

Аплинки по ширине пока далеки от идеала, но в рамках пилота хватает с головой. Сейчас занимаемся увеличением количества и ширины каналов. Например, в Москве и в Киеве подключаемся еще и к РЕТНу.

 

Я не буду вдаваться в подробности ответа относительно защиты - ибо не мое.

Но твой ответ по коммуникационной составляющей ну вот никак не вызывает того эффекта, к которому ты призывал Костю.

Степень "демонстрации возможностей Вашего сервиса" не вызывает никакого доверия ибо количество инфы практически равно нулю.

 

К Ретну вы еще не подключились. А к кому подключились? Какими портами? С рейтлимитом или бёрстом?

Скоко у вас десяток - пять или пятнадцать?

Инфа о присутствии на аиксе без указания пиров вообще тождественно равна нулю.

Линк на аикс "через" - ну это вообще где-то за гранью добра и зла :( Достаточно немножко ДГ атаковать в правильное место, которое есть у почти любого прова и нет линка на аикс.

 

Поэтому Костя сразу говорит, что он не будет как настоящий математик давать абслютно верные но нахер никому не нужные ответы.

А ты пытаешься своим "открытым" подходом вызвать больше доверия к себе и вызвать недоверие к Косте.

Расскажи тогда СКОЛЬКО у тебя 76-ых в Киеве и на девятке. А дфс на них стоят?

 

Ну и про пилот я бы тоже много рассказал, гораздо больше чем ты, почти все!

Он на то и пилот - первая система всегда на выброс, ее не жалко.

[bifit]

Janus, спасибо за критику по части коммуникационной составляющей.

 

76-ая на М9 одна - хватает. В Киеве как раз её и ждем - поэтому пока всё в датацентре ДГ.

 

DFC3CXL стоит на всех картах.

 

К аплинкам подключены бёрстом.

 

Пяток десяток это конечно было бы хорошо, но DDoS более 8Gbps мы пока всё равно не выдержим.

 

На MSK-IX'е пиримся со всеми, кто есть на RS.

 

На UA-IX'е - со всеми участниками.

 

Ну и про пилот я бы тоже много рассказал, гораздо больше чем ты, почти все!

Janus, а что Вам мешает рассказать?

Изменено 5 августа, 2010 пользователем bifit

[kostich]

Пяток десяток это конечно было бы хорошо, но DDoS более 8Gbps мы пока всё равно не выдержим.

bifit, а каким образом вы до 8 гигов держите? у вас откуда-то есть 10 гиг транзита?

 

На MSK-IX'е пиримся со всеми, кто есть на RS.

а номер автономочки случаем не подскажете?

 

Janus, а что Вам мешает рассказать?

потому что там очень хорошая тема, палить которую всем страждующим жалко. хотя Вам за очень много коньяка можно, т.к. на зарубежных ix-ах вас еще не будет очень долго.

 

[kostich]

Поэтому Костя сразу говорит, что он не будет как настоящий математик давать абслютно верные но нахер никому не нужные ответы.

Да, когда нам где-то в штатах сделали пир до чайнытелеком и поблочили со стороны чайнателеком ACLями мусор определенного вида, то через какое-то время чайнателеком постучалась и попросила разрешить им продублировать эти ACLи где-то у себя, т.к. у них магистрали до штатов было плохо... Bifit, Janus тут абсолютно прав, т.к. наличие скромного канала до какого-то из магистралов не имеет какого либо значения по сравнению с наличием возможности туда нулить, просить ставить по своей сети ACLки и обсуждать проблему того что в наши префиксы постоянно льёт что-то большое... и надо заметить ACLек на наши префиксы много где стоит, не смотря на отсутствие туда канала. Bifit, что бы магистралы на это шли ваши префиксы для них должны быть реальной систематический проблемой... а так вообще все бы рады этот дидос даже по 1$ за мегабит продавать. Bifit, как Вы думаете, сколько гигабит канального мусора до нас может тупо недолететь?

Изменено 5 августа, 2010 пользователем kostich

[Janus]

На MSK-IX'е пиримся со всеми, кто есть на RS.

а номер автономочки случаем не подскажете?

Константин! Нехорошо так откровенно провоцировать!

Придет к человеку понимание рано или поздно.

И лучше рано - он ведь полезным делом занимается, а не попилом в особо крупных.

[Janus]

Janus, спасибо за критику по части коммуникационной составляющей.

Да не за что.

Критиковать я даже не начинал. И здесь делать это не хочу.

Хочу лишь донести две простых мысли:

1. Страховому бизнесу обязательно нужен перестраховщик.

2. Брутфорс подход еще никто не отменял - хорошая атака на инфраструктуру защищаЮЩЕГО гарантированно обеспечиват отсутствие сервиса у защищаЕМОГО.

 

Т.е. для серьезной работы нужно несколько уровней.

Нет никакого толку с железок в банке, если им перегрузят порты доступа. Или если ненавязчиво прибьют их аплинки.

Или даже если вынудят аплинки "отойти в сторону". Ведь практически у всех провов есть оговорка в контракте, что-то

типа "если поведение сети подключаемого угрожает жизнеспособности сети подключающего, то подключаемый может

быть выключен".

Уж года три прошло, как ЮТКу мочили. А может и 4.

4досом для справочки... В общей сложности более месяца.

За сроком давности можно и вспомнить отдельные мелочи.

Мне вот не очень весело было видеть около 15 гигов входняка на бордах.

Но даже после зачистки лишний гиг магистрали от Ростова до Краснодара пришлось временно задействовать.

Их лепшие кореши по Связьинвесту просто перестали анонсить ЮТК своим аплинкам.

Вот такая была братская помощь :( После которой весь удар по клиенту в своей забугроской части попер через нас.

А потом товарищи из СИ годами удивляются, почему их дочки приказы на отключку от трефовых плохо исполняют ;)

 

Теперь понятнее, что Костя вторую страницу пытается заяснить?

 

76-ая на М9 одна - хватает. В Киеве как раз её и ждем - поэтому пока всё в датацентре ДГ.

Не надо отвечать здесь на такие вопросы.

На них ВООБЩЕ не надо отвечать публично.

Убить 76-ю с одной десяткой в аплинке много ума не надо - неважно какая производительность у шелезяки - достаточно перегрузить порт.

Особенно когда известно, где он находится.

 

DFC3CXL стоит на всех картах.

И то хлеб ;)

 

К аплинкам подключены бёрстом.

Инфа полезная для понимания качества сервиса.

Понятно, что полка будет не в два-три гига, купленных флэтом, а по скорости фейса.

Но это еще и инфа для внешнего мира, не всегда дружественного, - вас можно качественно выставить на бабки.

Или качественно поссорить с аплинком на финансовой почве.

 

Пяток десяток это конечно было бы хорошо, но DDoS более 8Gbps мы пока всё равно не выдержим.

Блин :(

Честность - это хорошая черта.

Но она не должна граничить с наивностью.

Ты только что ответил на вопрос, какие мощности понадобятся атакующему в ближайшие месяц-два, чтобы

не заморачиваться отдельным банком, находящемся под защитой, а походя и не напрягаясь устроить кузькину

мать методом коврового бомбометания. Например повторив то, что было на ЮТК. Токо с тех пор скорости

возросли на порядок :(

 

На MSK-IX'е пиримся со всеми, кто есть на RS.

У присутствующих на РС бывают неочевидные подходы к обмену трафиком.

 

Ну и про пилот я бы тоже много рассказал, гораздо больше чем ты, почти все!

Janus, а что Вам мешает рассказать?

Отсутствие пилота в области защиты :)

На "вы" я обращаюсь токо к Телематику по его настоятельной просьбе.

Ну или к особо упертым товарищам, когда замшелые телефонисты начинают слишком буйствовать :))

 

[telematic]

На "вы" я обращаюсь токо к Телематику по его настоятельной просьбе.

:-)

 

Можно на "ты".

 

[Dimitry_Repan]

а так вообще все бы рады этот дидос даже по 1$ за мегабит продавать

Кто-нибудь из магистралов, кроме РЕТНа, под описанный мною проект готов дать десятку бёрстом на М9 на разумных условиях?

 

Можно мылом на repan@bifit.com и копию (на всякий случай) на bifit@mail.ru

 

[martin74]

хорошо у вас корпоративная почта работает, если для деловой переписки бесплатные почтовики используются.....

[Dimitry_Repan]

Операторы - народ временами шифрующийся. Бывает с помоек пишет. Спам-фильтр такое режет. Чтобы не пропали интересные предложения - вот и дал свой e-mail на Mail.ru

 

А так кроме наших банков-заказчиков нам мало кто по делу пишет. Все же постоянные корреспонденты - в белом списке.

 

Да я могу и свой прямой телефон дать +7 495 784-19-20.

Изменено 5 августа, 2010 пользователем Dimitry_Repan

[kostich]

Например повторив то, что было на ЮТК. Токо с тех пор скорости

возросли на порядок :(

не знаю что было на ЮТК, в плане что там за мусор в каналы лил, но вот видели мы как-то одну очень интересную атаку на базе DNSной темы... стоит значится у людей генератор, спуфинг конечно-же разрешен, мочат они значится открытые резолверы спуфя адрес жертвы. в их исполнении по гигабитам получилось не шибко много, но цифра реально впечатляющая. когда я потом проштудировал RFCшки и взял в руки калькулятор, то пришло понимание источника атак в 50-80 гигов, которыми там весь мир пугали в разных местах... получается что выплевывая соточку с сервера в каком нибудь тугом ДЦ на жертву прилетает гигов 5-6... по нашим расчетам возможно и больше, но это всё надо на практике проверять, что чревато то проблемами с законом. так вот что мне понравилось когда нас таким способом пытались иметь... они могли делать атаку любого размера... они могли организовывать атаку в нужный пир, т.к. рядом с любым пиром есть масса открытых резолверов с хорошими каналами.... и т.д. и т.п... и я к примеру не вижу возможности защиты от таких атак без распределенной по всему миру инфраструктуры.

 

а так вообще все бы рады этот дидос даже по 1$ за мегабит продавать

Кто-нибудь из магистралов, кроме РЕТНа, под описанный мною проект готов дать десятку бёрстом на М9 на разумных условиях?

Janus вот готов и канальный флуд почистить даже... и зачем Вам свои мегациски и радвары держать?

[Agp]

Kostich, расскажите всё что считаете возможным о технических моментах предоставляемого Вами сервиса.

Ясно что от Kostich'a ответов мы не услышим. А теоретическими/маркетинговыми заявами уже сыты.

 

Давайте СНАЧАЛА вы осветите фсе указанные выше запросы.

Давайте задавать тот вопрос на который готовы ответить сами.

 

Kostich, расскажите всё что считаете возможным о технических моментах предоставляемого Вами сервиса.

+1 Или вы господа, Kostich и Janus, говорите конкретику, или завязывайте флудить.

[Janus]

Ты хто?

[kostich]

+1 Или вы господа, Kostich и Janus, говорите конкретику, или завязывайте флудить.

Антиоффтоп: У меня нет 76той циски.

 

Janus: я не понимаю как с конкретными парнями конкурировать в каких либо тендерах. ко мне клиент приходит когда там совсем край, сидит порядка трех месяцев, а потом опять у них там тендер и он уходит опять к конкретным парням. причина кроется в том, что ему там гарантируют защиту там к примеру от 8 гигабит... или вот люди добрые писали что гарантируют защиту от 50 гигабит... но их 50 гигабит это кишка до девятки, а транзита в них всего два гига. Вы же по договору так же клиенту ничего не гарантирует? Как быть с тендерами... врать? Или это лукавством называется?

Изменено 5 августа, 2010 пользователем kostich

[Janus]

Сиди в своей нише и не выпендривайся.

Из уст в уста истории о спасении в жопных ситуациях - не самый худший маркетинг в этом мире.

 

Ты бы лучше с Дмитрием не здесь не понятно чем мерялся, а сходили бы кофейку навернули ;)

Может и найдутся точки соприкосновения.

 

Относительно договоров: теперь не знаю. При мне продать то, чего нет, было невозможно.

[kostich]

Ты бы лучше с Дмитрием не здесь не понятно чем мерялся, а сходили бы кофейку навернули ;)

Может и найдутся точки соприкосновения.

Да, в столицу скоро часто кататься буду... может и не только кофейку навернем.

 

http://www.bifit.ru/ru/antiddos.pdf

 

Центр очистки трафика «ИБАНК2.РУ» расположен в

дата-центре на ММТС-9, имеет интернет-каналы с

подключением 10 Gbps burstable и 1 Gbps commitment,

подключен к точке обмена трафиком MSK-IX.

Димитрий, искренне рекомендую убрать этот текст из презенташки.

[Kusok]

Димитрий,

просто хочу поддержать Вас в Ваших принципах. Вот и все.

 

С Уважением,

Давиденко Илья

ReTN

(495) 663 1640 доб. 5530

(917) 528 7174

http://www.retn.net

 

[kostich]

Димитрий, вот какая-то статистика тестовая.

 

input (em0) output

packets errs bytes packets errs bytes colls

978922 0 72351175 156615 0 10023170 0

980844 0 72491754 156979 0 10040728 0

987092 0 72956500 156495 0 10010046 0

992767 0 73374919 156872 0 10031436 0

985687 0 72851162 156687 0 10023015 0

 

 

вот на em0 синфлуда в перемешку с валидными пакетами на тесте вваливает... тянет реально еще больше, но карточка тут гиговая. проц на тестовой железке E5420 и ядро задействанное драйвером имеет большой запас. модуль под операционку написан своими силами... модуль занимается чисткой исключительно tcp спуфинга, включая спуфленый синфлуд и любой мусор не прошедший валидацию. алгоритм наистарейший, но чуть чуть с нашими видоизменениями... у меня нет задачи показывать на тесте full packet rate, т.к. для валидного трафика надо что-то еще оставить... посчитайте стоимость железа на базе супермикровских твинов с устаревшим E5420, что на самом деле не самый лучший вариант под данную задачу. кол-во валидных сессий до полуляма ваабще легко + без какого либо критичного локинга экспайрится по таймеру. плюс такого решения в том, что это операторский уровень, т.к. для чистки tcp спуфинга достаточно только входящего трафика на абонента.

 

Ps. можно закодить софт в платку и продавать за много денег - раз, можно тупо подарить народу в опенсорце - два, можно продавать как сервис - три. если я это буду продавать как аплайенс без FPGA и т.д., то софт тупо стырят и раздадут народу без каких либо копирайтов. оно срезает практически весь tcp спуф... менее 4% остаётся, что не зависит от алгоритма... точнее зависит от non rfc стеков на кривых хостах по всему инету. для работы решения не нужен весь трафик протектед хоста, т.к. это не синпрокси. достаточно завести на небольшую ферму входящий трафик на жертву.

Изменено 7 августа, 2010 пользователем kostich

[Ivan_83]

А какие у Вас в банке проблемы с запуском iBank'а без рутовых полномочий?!

 

Если мануалы читать лень - обратитесь в наш суппорт, ребята подскажут как это сделать.

Мы клиент и у нас не только iBank. Сберовский клиент к железу вяжется и без прав собрать инфу не может, остальные уже не помню.

[Ivan_83]

не знаю что было на ЮТК, в плане что там за мусор в каналы лил, но вот видели мы как-то одну очень интересную атаку на базе DNSной темы... стоит значится у людей генератор, спуфинг конечно-же разрешен, мочат они значится открытые резолверы спуфя адрес жертвы. в их исполнении по гигабитам получилось не шибко много, но цифра реально впечатляющая. когда я потом проштудировал RFCшки и взял в руки калькулятор, то пришло понимание источника атак в 50-80 гигов, которыми там весь мир пугали в разных местах... получается что выплевывая соточку с сервера в каком нибудь тугом ДЦ на жертву прилетает гигов 5-6... по нашим расчетам возможно и больше, но это всё надо на практике проверять, что чревато то проблемами с законом. так вот что мне понравилось когда нас таким способом пытались иметь... они могли делать атаку любого размера... они могли организовывать атаку в нужный пир, т.к. рядом с любым пиром есть масса открытых резолверов с хорошими каналами.... и т.д. и т.п... и я к примеру не вижу возможности защиты от таких атак без распределенной по всему миру инфраструктуры.

Некоторые открытые резолверы озаботились проблемой и отдают "очищенный" ответ, откуда порезано всё лишнее и дополнительное. Но в корне это не решает проблемы, ибо можно подобрать запрос чтобы ответ был ещё больше, в сравнении с обычным запросом A и вычищенным ответом с одной единственной записью.

 

Вот переход DNS на TCP решит эту проблему, и ещё возможность отравления кеша кеширующего резолвера/клиента, только уже лет 15 никто не чешется.

[kostich]

Вот переход DNS на TCP решит эту проблему, и ещё возможность отравления кеша кеширующего резолвера/клиента, только уже лет 15 никто не чешется.

так DNS так и защищают... если слишком уж много некультурного вваливает, то отрезают UDP и он по TCP счастливо работает.

[vIv]

http://www.bifit.ru/ru/company/clients/index.html

БИФИТ - более одиннадцати лет на рынке систем электронного банкинга.

 

БИФИТ - первая российская компания-разработчик, которая создала Интернет-Банкинг и внедрила оный в нашем первом банке-заказчике в Питере, в августе далекого 1999-го года.

 

На текущий момент более 800 банков и филиалов в России ПРОМЫШЛЕННО эксплуатируют систему электронного банкинга "iBank2", обслуживая более 500 тысяч корпоративных клиентов.

12-го и 13-го числа Банк Москвы разослал по своим клиентам уведомления, что обслуживание через Интернет-Банкинг с 1 декабря прекращается.

Цитата с сайта Банка Москвы:

Услуги Internet-Банкинга для частных клиентов предоставляются с использованием системы электронного банкинга «iBank 2» компании «БИФИТ».

[bifit]

12-го и 13-го числа Банк Москвы разослал по своим клиентам уведомления, что обслуживание через Интернет-Банкинг с 1 декабря прекращается.

В понедельник всё уточню сам лично, но скорее всего речь идет о переходе физиков с Java-вского Internet-Банкинга "iBank2" на новый Web-овский Internet-Банкинг "iBank2".

 

Исторически так сложилось, что Internet-Банкинг для физиков системы "iBank2" был создан как средство только предоставления услуг. Сделан был по аналогии с Internet-Банкингом "iBank2" для юриков - тот же Java-апплет, также взрослые ЭЦП физиков как у юриков с российскими ГОСТами и сертифицированной ФСБ криптографией.

 

И всё сначала (2002 - 2005 года) было очень хорошо, буквально каждый третий наш банк, купивший iBank2 для юриков, внедрял и начинал эксплуатировать iBank2 для физиков.

 

Как правило, физики в ТО время для БОЛЬШИНСТВА банков не были одним из основных ПРИБЫЛЬНЫХ направлений бизнеса, и внедрение Internet-Банкинга для физиков рассматривалось банками ни как средство зарабатывания денег, а как производственная необходимость, дабы руководству и акционерам любимых юриков также предоставлять услуги Internet-Банкинга.

 

В итоге внедрений Internet-Банкинга iBank2 для физиков оказалось много. Но количество физиков в банках на Internet-Банкинге измерялось сотнями. В лучшем случае - единицами тысяч. Причем подавляющее большинство физиков были именно VIP'ы.

 

А вот с массовым физиков у банков оказались проблемы. У меня куча живых примеров, когда банки выходили в чистое поле с бесплатными услугами Internet-Банкинга для физиков, пиарились, предлагали удобство расчетов, но физики не пёрли потоками в эти банки.

 

Ибо физиками, в отличие от юриков, банки оказались не шибко нужны.

 

Понимание пришло в 2005 году, когда возникла идея продвигать услуги Internet-Банкинга в нагрузку к основным банковским услугам-локомотивам, за которыми физики действительно приходят в банки.

 

Как следствие изменилось фундаментальные требования к Internet-Банкингу.

 

Современный Internet-Банкинг для физиков должен обеспечивать ПРОДВИЖЕНИЕ и ПРЕДОСТАВЛЕНИЕ услуг. Причем на 90% - продвижение услуг (фактически впаривание), и только на 10% - предоставление услуг.

 

С предоставлением услуг всё оказалось очень просто. Функционала много не придумаешь - кредиты и депозиты, карты и счета, платежи и переводы, долгосрочные распоряжения и оплата счетов. Для особо продвинутых физиков - ПИФы, брокерское обслуживание. Всё. Дальше только вариации.

 

Главное было - именно в продвижении.

 

В общем так у нас в рамках iBank2 был создан модуль Web-Банкинг для физиков. Который изначально не имел ЭЦП, ограничивался более простыми средствами аутентификации клиентов и обеспечения аутентичности распоряжений клиентов.

 

Но эволюционирую, в Web-Банкинг перекочевал ВЕСЬ функционал Internet-Банкинга, потом появился функционал, которого уже не было в Internet-Банкинге, а потом в Web-Банкинг ко всему многообразию средств аутентификации физиков, обеспечения аутентичности документов, антифишингу, профилям безопасности и лимитам физиков была добавлена еще и ЭЦП физиков.

 

Так Internet-Банкинг стал не нужным. Его полностью заменил Web-Банкинг, который мы и переименовали опять в Internet-Банкинг. С версии 2.0.22 iBank2 старого Java-овского Internet-Банкинга для физиков нету. Есть только новый Web-овский Internet-Банкинг.

 

Банке Москвы - консервативный банк. И по всей видимости только сейчас начал перевод физиков на новый Web-овский Internet-Банкинг системы iBank2.

 

Поэтому и сообщение о прекращении эксплуатации старого Java-вского Internet-Банкинга для физиков с 01.12.2010г.

 

Хотя конечно же прикольно узнавать такие новости не от банка ;-)