Ivan_83 Опубликовано 1 августа, 2010 · Жалоба Дабы снять вопросы о компетенции я представлюсь - Репан Димитрий, компания "БИФИТ", российский разработчик системы электронного банкинга "iBank2", промышленно эксплуатируемая в более 750 российских банках и филиалах. Подробнее - на www.bifit.comБыло бы просто замечательно, если бы весь банковский софт не требовал для работы прав админа, ибо это дыра в безопасности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 августа, 2010 · Жалоба простите, но откуда у этого специалиста появится необходимый софт и железо?Придёт какой нибудь выпускник у которого в дипломе специальность ИБ.Накупит кошек для прикрытия жопы и будет маркетинговым булщитом циски промывать моск начальству. Самому даже думать не нада :) А так, железо купить не так сложно, как найти/создать и настроить нужный софт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 1 августа, 2010 · Жалоба он в соответствии с должностной инструкцией поступит... и будет прав :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agp Опубликовано 2 августа, 2010 · Жалоба Ну в идеале банк должен иметь специалиста по информационной безопасности, который должен или защищать свою организацию сам или быть достаточно квалифированным чтобы взаимодействовать с соответствующими организациями (бифитом, провайдерами, мвд). простите, но откуда у этого специалиста появится необходимый софт и железо? Железо купят. У крупных организаций с покупкой железа проблем нет. Гораздо труднее найти знающего сотрудника. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agp Опубликовано 2 августа, 2010 · Жалоба простите, но откуда у этого специалиста появится необходимый софт и железо?Придёт какой нибудь выпускник у которого в дипломе специальность ИБ.Накупит кошек для прикрытия жопы и будет маркетинговым булщитом циски промывать моск начальству. Самому даже думать не нада :) А так, железо купить не так сложно, как найти/создать и настроить нужный софт. Не отобьёт атаку - пойдет на ... форумы, рассказывать как он крут. В готовых решениях железо идёт с софтом. А другими не стоит и заниматься если это не твой бизнес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 2 августа, 2010 (изменено) · Жалоба Железо купят. У крупных организаций с покупкой железа проблем нет. Простите, но я пока еще не встречал предожений по продаже железа эмулирующего разные атаки и пригодного для тестирования решений для защиты от ddos. Так что вопрос опять открыт... каким образом банк будет тестировать? Гораздо труднее найти знающего сотрудника. А что знающий сотрудник будет делать? Качать софт для эмуляции атак и собирать стенды для тестирования? Изменено 2 августа, 2010 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agp Опубликовано 2 августа, 2010 · Жалоба Железо купят. У крупных организаций с покупкой железа проблем нет. Простите, но я пока еще не встречал предожений по продаже железа эмулирующего разные атаки и пригодного для тестирования решений для защиты от ddos. Так что вопрос опять открыт... каким образом банк будет тестировать? Гораздо труднее найти знающего сотрудника. А что знающий сотрудник будет делать? Качать софт для эмуляции атак и собирать стенды для тестирования? Думаю есть открытые инструменты позволяющие генерировать пакеты и эмулировать атаки. В любом случае как говорил Дмитрий, интегратор продающий вам систему продемонстрирует её в действии. Будет эмулировать и собирать стенды. Всё-таки практически для себя собирает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 2 августа, 2010 (изменено) · Жалоба Думаю есть открытые инструменты позволяющие генерировать пакеты и эмулировать атаки. Мы тоже так думали... а по факту в паблике есть только школьные атаки с явно выраженной сигнатурой... и то там пока соберешь половину сорцов перепишешь. В любом случае как говорил Дмитрий, интегратор продающий вам систему продемонстрирует её в действии.Будет эмулировать и собирать стенды. Всё-таки практически для себя собирает. Подозреваю и у Димитрия нечем тестировать... так же как и у остальных интеграторов. Изменено 2 августа, 2010 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 2 августа, 2010 (изменено) · Жалоба Сори всем за задержку с ответом. Не всегда хватает времени - много работы. отправил kostichПростите, но я пока еще не встречал предожений по продаже железа эмулирующего разные атаки и пригодного для тестирования решений для защиты от ddos. Тогда для общего развития почитайте хотя бы обзоры NSS Labs. Из общения с R&D вендоров - в лабораториях используют промышленные решения типа IXIA, Spirent и др. + самописные инструменты. Например, Radware для тестирования своих DefensePro предлагает прям готовую компашку с набором утилит для эмулирования различных типов DDoS-атак - Raptor Attack Tools. Подобных утилит в инете предостаточно. Почти все в исходниках - бери и твори. Ферма из шести серверов 2 x Quad-Core Xeon X5670 с 10GbE сетевыми картами на Intel 82598EB, подключенные по CX4 к HP ProCurve 6400cl позволяет формировать высокие нагрузки даже в Mpps'ах. Но такой комплект с собой в банк не потянешь. Да и 10Gb инет-каналов в банках я не видел. А для лаборатории - самое то. Получить честный TCP SYN Flood со спуффингом на всю полосу в 10GbE (а это ~14,8 Mpps), да так, чтобы IPS не срабатывал по сигнатурам - задача непростая, но реализуемая. Было прикольно наблюдать, когда допиленная утилита позволяла обходить аппаратный IPS с большой базой сигнатур, но срабатывала поведенческая защита, и DefensePro довольно качественно начинал чистить SYN-флуд. Изменено 2 августа, 2010 пользователем Dimitry_Repan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 2 августа, 2010 · Жалоба Было бы просто замечательно, если бы весь банковский софт не требовал для работы прав админа, ибо это дыра в безопасности.А какие у Вас в банке проблемы с запуском iBank'а без рутовых полномочий?! Если мануалы читать лень - обратитесь в наш суппорт, ребята подскажут как это сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 2 августа, 2010 · Жалоба Димитрий, а откуда у банка генераторы тестовых атак? простите, но откуда у этого специалиста появится необходимый софт и железо? Если банк собрался сам тестировать - значит банк считает, что владеет необходимым уровнем компетенции. Если банк просит - мы помогаем проводить тестирование. Для достижения сетевого флуда с полосой 1Gb и трафиком 1,4Mpps достаточно пары современных серверов на Xeon 5600 с 1GbE сетевыми картами на Intel 82576. Например, допиливаете должным образом synk4, и вперед. Если стоит задача эмулировать прикладной флуд - тогда всё уже зависит от приложения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 2 августа, 2010 · Жалоба Тогда для общего развития почитайте хотя бы обзоры NSS Labs. там нет ничего интересного. обычный маркетинговый бред. Из общения с R&D вендоров - в лабораториях используют промышленные решения типа IXIA, Spirent и др. + самописные инструменты. самописных инструментов у банка нет. Например, Radware для тестирования своих DefensePro предлагает прям готовую компашку с набором утилит для эмулирования различных типов DDoS-атак - Raptor Attack Tools. подозреваю там нет той которая пробьет. Подобных утилит в инете предостаточно. Почти все в исходниках - бери и твори. Димитрий, подскажите хоть одну грамотную... Получить честный TCP SYN Flood со спуффингом на всю полосу в 10GbE (а это ~14,8 Mpps), да так, чтобы IPS не срабатывал по сигнатурам - задача непростая, но реализуемая. Ой, а сколько железа надо поставить для фильтрации 14,8Mpps синфлуда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 2 августа, 2010 (изменено) · Жалоба Если банк собрался сам тестировать - значит банк считает, что владеет необходимым уровнем компетенции. Если банк просит - мы помогаем проводить тестирование. а сколько потом успешных атак на банки после установки решения? Изменено 2 августа, 2010 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bifit Опубликовано 2 августа, 2010 · Жалоба kostich, у Вас какое-то нездоровое желание через демонстрацию Вашей компетенции и через разоблачение опонентов продемонстрировать Ваши достижения. Я искренне рад, что у Вас всё хорошо и Вы или Ваша компания/команда являетесь мировым, ну или как минимум европейским, лидером по защите Web-сайтов от DDoS-атак. Большинство в этом Форуме - за достижения и прогресс. Если Вы - один из двигателей прогресса - это очень позитивно. Еще немного, еще чуточку - и Arbor Networks будет на втором месте. Но дабы всем участникам Форума было всё-таки интересно и полезно читать обмен опытом, предлагаю перейти исключительно в практическую плоскость, чтобы всё было в цифрах, в конкретике. О функционале Raptor Attack Tools от Radware. Вы отчасти правы - ничего сверхуникального и сверхмогучего на этой компашке нет. Банальная сборная солянка с пользовательским интерфейсом дабы корпорэйт в течение нескольких недель мог проверить работоспособность функционала Radware DefensePro. Также вынужден констатировать - почти везде решение Radware соответствует заявленному функционалу и количественным показателям. Где-то чуть больше "выносливость" решения, местами - чуть меньше. Поведенческая защита (Behavioral DDoS Protection) - работает. 12 секунд на анализ атаки - и включение фильтрации. Если не помогает - через 12 секунд еще одно закручивание гаек. Если атака стала меньше нижнего порога - снятие фильтров. Обучение - постоянное. Всё на автомате. Можно задавать периоды обучения - день, неделя, месяц. Можно вручную задавать пороги, соотношение трафика. Далее эти параметры берутся за основу и система сама подстраивается под легитимный трафик. Аппаратный IPS на базе контекстного процессора NETL7 компании Netlogic Microsystems - http://www.netlogicmicro.com/Products/Layer7/Layer7.htm - тоже работает. Сигнатуры обновляются еженедельно, по понедельникам, вечером. Если что-то неординарное - появляется внеплановый Security_Update. Также можно создавать свои реально навороченные сигнатуры, заточенные под конкретное приложение, с поиском нужных подстрок в нужных типах и частях трафика. Если в политику добавить много (несколько тысяч) сигнатур - то работа замедляется и потребление ресурсов StringMatchingEngine возрастает. Поэтому с сигнатурами надо по-бережливее. Если идет HTTP-трафик, то нехрен добавлять от балды сигнатуры для проверок SIP, SMTP или DNS. TCP SYN Flood Protection тоже работает. В параметрах DefensePro 8412 на EZChip'ах с firmwware 5.x заявлено 8Gbps и 10Mpps. Если политик мало - 3..5 - то показатели получаются даже немного выше. В основе – механизм SYN Cookies, поддерживаемый встроенными в DefensePro 8412 сетевыми процессорами NP-3. В боевых условиях нелегитимный SYN-трафик реально не доходит до жертвы, а легитимные TCP-сессии открываются все. На wirespeed работает BandWidth Management - позволяет управлять полосой пропускания для заданного протокола, защищаемой сети или сетевого сервиса. Настраиваются приоритеты обслуживания, минимально гарантированная и максимально допустимая полоса пропускания. Фактически эксплуатируются возможности NP-3. В дополнение к вышеперечисленным очень полезным на практике оказывается механизм Connection Limit - обеспечивает контроль максимально допустимого количества сессий с IP-адреса отправителя в единицу времени и при превышении пороговых значений блокирует трафик с чрезмерно активных хостов. Очень много всякой мелочи режет механизм Stateful Inspection - проверяет TCP, ICMP, HTTPS, DNS, SMTP, IMAP, POP3, FTP и SSH на полное соответствие спецификациям RFC. В итоге исключаются атаки, основанные на нарушении последовательностей пакетов данных протоколов. Для борьбы с HTTP-флудом в Radware DefensePro реализован механизм HTTP Mitigator. В основе - поведенческая защита HTTP-серверов с функцией обучения. Анализирует HTTP-запросы и собирает статистику индивидуально по каждому URI. На основе отклонений от типовой активности блокирует доступ с чрезмерно активных хостов к заданным URI. Механизм реализован с использованием фич NP-3. На практике - не идеал, но работает. Размер suspend-таблицы - 100K IP-адресов. Требует вдумчивой и аккуратной подстройки. Есть куда совершенствоваться. С простым прикладным DDoS'ом борется на ура. С изощренным - похуже. Для большей эффективности должен обучаться (собирать статистику) как минимум неделю. Лучше - месяц. Среди достоинств - не режет легитимный трафик. Совместно с другими механизмами, реализованными в DefensePro, защита от DDoS-атак типовых Web-сайтов оказывается весьма эффективна. В тоже время, IMHO, ферма из пары десятков двухсокетных блейдов с Xeon'ами X5670 + толковый специализированный софт, заточенный под конкретный Web-сайт + разработчик этого софта смогут сделать явно больше в плане противодействия прикладному HTTP-флуду. Но такую ферму, как авианосец, надо прикрывать от сетевого флуда. Тем же DefensePro 8412 или SRX5800 с полной набивкой SPC :) Ой, а сколько железа надо поставить для фильтрации 14,8Mpps синфлуда? Возможно это смешно - но двух DefensePro 8412, включенных последовательно через 10GbE, будет достаточно. DP всё, что не осилил очистить - пропускает. Поэтому второй DP дочистит пропущенные остатки флуда. Проверено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 3 августа, 2010 · Жалоба Если 8412тый так хорош, то зачем Синтерра вваливала 70 млн. руб.? Сколько 8412 в рублях стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvolodin Опубликовано 3 августа, 2010 · Жалоба 2bifit: Пока не видно, чем 8412 лучше того же SRX :) Если выносить SYN Flood как отдельную атаку, то с ним замечательно справляется тот же f5 VIPRION, благо расчет TCP SYN Cookies у него в железе :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 3 августа, 2010 · Жалоба Если 8412тый так хорош, то зачем Синтерра вваливала 70 млн. руб.? Вопрос к Синтерре, а не ко мне. Сколько 8412 в рублях стоит? 187k$ Если выносить SYN Flood как отдельную атаку, то с ним замечательно справляется тот же f5 VIPRION, благо расчет TCP SYN Cookies у него в железе Я не представляю, как можно только софтверно бороться с SYN Flood. Вернее представляю, но всю софтверную часть правильнее реализовывать на FPGA :) В Radware DefensePro предыдущего поколения хардварная поддержка TCP SYN Cookies была сделан на FPGA. В самом последнем Radware DefensePro 8412 - на EZChip NP-3 и FPGA. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 3 августа, 2010 (изменено) · Жалоба Сколько 8412 в рублях стоит? 187k$ если не брать какой либо специализированный софт, то за эти деньги спокойно собирается 30mpps-ный протекшен. Я не представляю, как можно только софтверно бороться с SYN Flood. Вернее представляю, но всю софтверную часть правильнее реализовывать на FPGA :) есть алгоритмы для грязной чистки, для которых не принципиально наличие сигнатуры, что на обычных писюках даёт ОЧЕНЬ ХОРОШУЮ производительность. т.е. получить несколько mpps на нескольких серверах можно. сервера ликвиднее и стоят в шесть раз дешевле малотиражных FPGA решений. Изменено 3 августа, 2010 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romane Опубликовано 3 августа, 2010 · Жалоба три года к ряду я повторяю про невозможность защиты SSL без HTTP редиректа, но тем не менее это каким-то образом защищают... каким-то образом банки верят в защиту их SSL сервера с помощью какой-то чудо железки, которая умеет защищать без HTTP редиректа. Как поможет редирект? Его бот не cможет отработать? А если внутри SSL не HTTP? Вам клиент даст секретный ключ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 3 августа, 2010 (изменено) · Жалоба Как поможет редирект? Его бот не cможет отработать? да, не сможет. А если внутри SSL не HTTP?Вам клиент даст секретный ключ? мы не берем у клиента ключ. что внутри SSL не суть важно, т.к. потом это пролетает через GRE к клиенту... +идет мониторинг какой-то tcp активности. Изменено 3 августа, 2010 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romane Опубликовано 3 августа, 2010 · Жалоба Также вынужден констатировать - почти везде решение Radware соответствует заявленному функционалу и количественным показателям. Где-то чуть больше "выносливость" решения, местами - чуть меньше. А что она умеет делать с российским SSL? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romane Опубликовано 3 августа, 2010 · Жалоба мы не берем у клиента ключ. что внутри SSL не суть важно, т.к. потом это пролетает через GRE к клиенту... +идет мониторинг какой-то tcp активности. т.е. как работа с обычной TCP сессией с установлением лимитов по колличеству пакетов с определёнными атрибутами с одного конкретного IP, при привышении лимита блокирование его на таймаут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 3 августа, 2010 · Жалоба kostich, ну что за детсад с любовью к софтовым решениям. Ну не вытяните Вы никакой 10-гигабитной сетевой карточкой 14,8 Mpps. Максимум - 3 Mpps. Как бы Вы фирмваре и драйвера этой карты не перерабатывали. Нужны узко заточенные под эти задачи либо топовые NPU, либо топовые FPGA типа Virtex-6 HXT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 3 августа, 2010 · Жалоба мы не берем у клиента ключ. что внутри SSL не суть важно, т.к. потом это пролетает через GRE к клиенту... +идет мониторинг какой-то tcp активности.т.е. как работа с обычной TCP сессией с установлением лимитов по колличеству пакетов с определёнными атрибутами с одного конкретного IP, при привышении лимита блокирование его на таймаут? там разные механизмы, но в целом Вы правы... правда тупым блокированием лично мы не увлекаемся, т.к. это лишние ложные срабатывания и т.д.. и вот на фоне этого, а я так понял Вы в теме, хотелось бы узнать... а что будут делать железки если кто-то зарядит атаку на https с использованием нормального SSL хендшейка и прочего? мне кажется большая часть интернет-банкинга тупо завалится и будет лежать. есть такая 100%тная уверенность... не смотря на то что над системой защиты работали лучшие умы и ввалено 70 млн. руб. или вот железки по 187k$. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 3 августа, 2010 (изменено) · Жалоба kostich, ну что за детсад с любовью к софтовым решениям. Ну не вытяните Вы никакой 10-гигабитной сетевой карточкой 14,8 Mpps. Максимум - 3 Mpps. Как бы Вы фирмваре и драйвера этой карты не перерабатывали. Нужны узко заточенные под эти задачи либо топовые NPU, либо топовые FPGA типа Virtex-6 HXT. а где я утверждал что я вытяну одной карточкой? на эти деньги можно собрать ферму из хороших ликвидных серверов, разбалансить трафик на хорошем свиче и радоваться жизни. если мало одной писюковой коробки, то надо ставить две... если мало двух, то можно и десять поставить. всяко ликвиднее и дешевле. Вы же сами говорите что максимум это 3... пускай даже 1mpps... 14 серверов и свич для балансинга всяко дешевле чем 187k$. а про детский сад Вы в корне не правы, т.к. ситуация на рынке сейчас такая, что все кто сидит с сурьезными коробками большую часть времени перед дидосными клиентами разводят руками. мы же тоже коробками сурьезными иногда пользуемся... видим как никак что там пролетает через них. но на сегодняшний день я склоняюсь к тому что какие бы коробки не стояли у клиента, как бы они качественно ему не чистили трафик, а все в итоге упрется в оплату канала загаженного дидосным трафиком. ps. продавайте банкам лучше IPv6... там дидосы еще не скоро будут. Изменено 3 августа, 2010 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...