[Linco]

Давно читаю ваш форум, но писать приходится впервые.

Собственно есть идея предоставлять услуги по защите от интернет угроз и атак (это системы IPS и защиты от DDOS атак). Собственно есть уже и реализация, пока только в Москве. Используются системы операторского класса. Стоимость получается порядка 15-20% от цены межоператорского трафика. Технически вся схема L2, подключение через телеком площадки Москвы (M9, M10 и т.п.). Фактически это услуга для провайдеров, которые берут "оптом" и перепродают конечным абонентам.

Собсственно вопрос к сообществу, интересно это будет кому-нибудь?

[nuclearcat]

Уже есть такое, и там все построено гораздо серьезнее. Почитайте по ключевому слов DDoS на форуме.

[Linco]

Ну о серьезности можно конечно поспорить :) Есть услуги защиты от атак кроме ДДОС? Есть услуги без привязки к конкретному хостингу/провайдеру?

[faramund]

На базе какого вендора построено решение, если не секрет? Промышленных решений операторского класса по защите от ддос, да еще работающих на L2 по пальцам пересчитать можно, а в таком варианте как предлагаете вы, на ум приходит только Radware DP. Если так, то не совсем понятно, как операторы купившие услугу будут её перепродавать своим клиентам, т.к. есть лимиты на серверные и сетевые политики.

Изменено 18 апреля, 2012 пользователем faramund

[Linco]

Решение мультивендорное, для ДДОС это IPS для тупой очистки(flood)+Радваре+доочистка периметром. Количество политик мб ограничено, но устройств может быть много.

Просто фишка не только в ДДОС, а в комплексной защите.

Во всех предлагаемых на сегодняшний момент решениях есть недостатки.

Либо услуга только ДДОС, нет защиты от атак, да и услуга оказывается через ДНС перенаправление и трафик гоняется неизвестно куда.

Либо услуга привязана территориально к провайдеру/датацентру, опять же нормальный клиент имеет 2 канала к разным провайдерам, и здесь услуга защиты от атак от одного провайдера не играет, только создает проблемы, поскольку оборудование скорее всего stateful, посему возникают проблемы с асимметричным трафиком.

Либо для ДДОС систем типа арбор и периметр (в классической схеме) устройста не видят всего трафика/всей сессии, а только получают некую выжимку по Нетфлоу, что сказывается на аналитических функциях, а это самая важная часть в борьбе с ДДОС.

Для Радваре систем в инлайн режиме видится весь трафик, однако не очень удобно загонять большой трафик. Например клиент 1 Гб, ставим у клиента, умирает линк, ставим у провайдера - атака 10 Гб, нужно как минимум десятку доводить до очистителя.

Вообще ДДОС у конечного клиента это не очень хороший вариант.

И т.п. ньансов масса, и к сожалению, формат форума не позволяет все расписать :)

Изменено 18 апреля, 2012 пользователем Linco

[bifit]

Не поленитесь, Linco, распишите. Всем миром посмотрим, поучимся и своим опытом поделимся.

[Linco]

Не поленитесь, Linco, распишите. Всем миром посмотрим, поучимся и своим опытом поделимся.

Ну если это ирония, то наверное неуместная, я в курсе что у Вас наверное и опыта побольше и банковкие системы вы дольше защищаете. Мы только разворачиваемся с данной системой, однако опыт защиты у нас тоже есть, только другого сектора. Более того Ваш опыт нам очень интересен. В общем то у меня вопрос был простой, глобально такие услуги востребованы?

 

Что касается расписать, спрашивайте, тут особых секретов нету.

[dignity]

мегафон же продает - значит есть а-клиенты, которым надо...

[Linco]

Ну гиганты могут продавать или не продавать им от этого вообще ни жарко ни холодно, он не на этом деньги делает. К тому же у мегафона до 10 Гб анонсировано и только для своих клиентов. У нас например от флуда сразу 20-30 Гб будет и в планах расширение.

Расчет простой, если нужна безопасность или собираешь ставишь комплекс себе 3-5 лимонов+обслуживание и специалисты, либо платишь вместе с интернетом 20-50 тыс. за гиг. в месяц

Изменено 18 апреля, 2012 пользователем Linco

[faramund]

Решение мультивендорное, для ДДОС это IPS для тупой очистки(flood)+Радваре+доочистка периметром. Количество политик мб ограничено, но устройств может быть много.

Лукавите...Если вы раскидываете клиентов по устройствам, то максимальная магнитуда отраженной атаки == производительности устройства на которое заведен клиент. В какой последовательности выстроена цепочка очистки? В той последовательности, что вы описали, схема оберечена. "Доочистка периметром" - о чем речь? Об МФИ-Софт "Периметр" или ACL/BGP Flow Spec на бордерах?

 

Либо услуга привязана территориально к провайдеру/датацентру, опять же нормальный клиент имеет 2 канала к разным провайдерам, и здесь услуга защиты от атак от одного провайдера не играет, только создает проблемы, поскольку оборудование скорее всего stateful, посему возникают проблемы с асимметричным трафиком.

Откуда такие предубеждения? Который раз слышу о несуществующих проблемах со statefull.

 

Либо для ДДОС систем типа арбор и периметр (в классической схеме) устройста не видят всего трафика/всей сессии, а только получают некую выжимку по Нетфлоу, что сказывается на аналитических функциях, а это самая важная часть в борьбе с ДДОС.

Надо разбивать задачу борьбы с DDoS на две составляющие: обнаружение и отражение. Для обнаружения netflow вполне достаточно. Для всех атак, кроме Low Rate, будет отклонение от профиля по pps или bps. Обнаружить Low Rate перечисленное вами оборудование тоже не поможет. Для этого есть иные механизмы. ИМХО, аналитические функции больше важны на этапе отражения.

[bifit]

Ирония безусловно есть, но самую малость, ибо не всё оказывается так просто, как при поверхностном знакомстве.

 

Я знаю историю разведчиков, когда по задаваемым вопросам формируется картина о задающем :) И понимаю, что задавая вопросы, раскрываю часть наших "достижений". Но если Вы, Linco, действительно хотите рассказать и поделиться техническими подробностями, а иначе ОПЕРАТОРЫ не будут покупать Ваши услуги, то давайте начнем:

 

1. Интернет-каналы.

 

Вы предлагаете операторам делать с Вами кроссировку (например, на М9 одной десяткой), заводить на Вас весь входящий трафик защищаемых клиентов, и назад отдавать операторам очищенный трафик, который операторы передают клиентам? То есть Вы чистите трафик только входящий? А как быть с исходящим трафиком от защищаемого клиента?

 

В такой схеме у Вас нет расходов на Интернет-каналы и Вы лишь предоставляете услуги своего Центра очистки. Тут свои плюсы и минусы.

 

Или же, Linco, Вы всё-таки имеете свои Интернет-каналы (тогда номер AS в студию) и весь входящий грязный трафик идет через Ваши каналы к Вам?

 

Если у Вас, Linco, свои Интернет-каналы для входящего грязного трафика, то как реализован Ваш Центр очистки - централизовано (всё стоит в одном месте) или децентрализовано?

 

Второй случай - это когда Вы завязаны на одного большого оператора-магистрала уровня РЕТН, и на каждой точке присутствия Вашего оператора-магистрала (AMS-IX, DE-CIX, LINX и пр.) рядом с его бордером стоит частичка Вашего Центра очистки (эдакий митигатор), которая чистит весь трафик, входящий с аплинков и пиров оператора-магистрала прямо там, не загружая мусором сеть оператора-магистрала.

 

2. IPS.

 

Зачем? Что Вы им чистите? От чего реально защищаете? Как часто и кто поставляет актуальные сигнатуры? Сколько сигнатур может одновременно применяться к входящему трафику на wirespeed'е? Решение для IPS софтверно или хардварно? Если второй случай - какие контекстные процессоры используете? Или всё сделано на FPGA+TCAM? Какие Gbps и Mpps обеспечивает используемый Вами IPS? Какие задержки вносит? Можно ли защищаемому клиенту или как минимум Оператору, покупающему Ваши услуги очистки трафика, дать возможность писать свои регулярные выражения для Вашего IPS? Пример навороченной сигнатуры можете привести дабы понять возможности Вашего IPS?

 

3. Radware DefensePro.

 

Какой конкретно и зачем используете? Тяжелый ODS 3S2 (DP-12412) с четырьмя десятками из-за хардварного механизма защиты от TCP SYN Foold'а на EZсhip NP-3 ? Вы видели что происходит при превышении 10Mpps SYN-флуда? Используете ли IPS, встроенный в Radware DP-12412? Результатами тестов РЕАЛЬНОЙ РАБОТЫ встроенного IPS'а на NetLogic'е с 4'000 сигнатур готовы поделиться публично? Сколько политик на DefensePro у Вас одновременно работало и при какой нагрузке? Деградацию производительности в разы при росте количества политик от 5 до 50 наблюдали?

 

4. Arbor Peakflow SP используете?

 

Какую TMS'ку в какой конфигурации? Общие впечатления? Используемая Вами схема включения TMS? Какие контрмеры по Вашему опыту оказываются наиболее эффективны? CP'шка есть? Сколько TMS'ок к ней подключено? RegExp на TMS'ках используете часто и какова эффективность?

 

5. Периметр от МФИ-Софта

 

В Вашем посте слово "периметр" встречается. Конфигурация Вашего железа. Какая Tilera стоит? Общие впечатления - плюсы, минусы. Какие основные механизмы очистки используете на Периметре? До скольких Gbps и Mpps грузили Периметр в боевых условиях?

 

6. Клиенты.

 

Кого из крупных клиентов уже удалось позащищать? Отзывы операторов и клиентов? Максимальные DDoS-атаки из Вашей практики - Gbps, Mpps, продолжительность?

 

Ну для начала, по-скромному, пока хватит :)

 

Сейчас подтянутся Тимашков Константин (aka kostich) и Лямин Александр (aka flx) и накидают говна на вентилятор еще вопросов дабы оживить дискуссию :)

Изменено 18 апреля, 2012 пользователем bifit

[Linco]

Лукавите...

Нет, там есть еще балансировщик 240 Гб/с. По устройствам раскидывается трафик.

МФИ-Софт "Периметр". Это немного отдельный разговор оно соответственно вне L2 схемы.

 

о несуществующих проблемах со statefull.

проблемы есть и мы лично с этим сталкивались и набили шишку перед выборами, если хотите подискутировать, давайте в личку. Проблема в том, что стэйтфул видит только пол сессии, соответственно ее дропит. Об этом пишут все производители и Cisco в том числе, а Вы не верите :)

 

 

Для обнаружения netflow вполне достаточно

Две составляющие это правильно. Но в том то и дело, что основной вопрос это отделить мух от котлет, а ботов от пользователей, для этого нужна нормальная аналитика, профиль по pps это слишком грубо и ответа на основной вопрос не дает. В том то и дело, что нетфлоу не хватает нужна полная информация о сессии.

[bifit]

мегафон же продает - значит есть а-клиенты, которым надо...

 

Продавать услуги - это еще не значит, что услуги РЕАЛЬНО покупают.

 

Ведь еще есть Маркетинг, Пиар...

 

Faramund, у РТ-Кома много клиентов на DDoS-защите акромя государевых? Ну хотя бы порядок.

[faramund]

Faramund, у РТ-Кома много клиентов на DDoS-защите акромя государевых? Ну хотя бы порядок.

bifit, не поверишь...комерческих в разы больше госов...из последних, 3/4-ых пришли после успешно отраженной атаки, а не в результате выигранного конкурса.

[bifit]

Нет, там есть еще балансировщик 240 Гб/с.

 

Это какой у Вас балансировщик на 240Гб/с используется?!

 

Или это на обычном многопортовом 10G-коммутаторе раскидываете 240Гб?

[Linco]

1. Интернет-каналы.

 

Вы предлагаете операторам делать с Вами кроссировку (например, на М9 одной десяткой), заводить на Вас весь входящий трафик защищаемых клиентов, и назад отдавать операторам очищенный трафик, который операторы передают клиентам? То есть Вы чистите трафик только входящий? А как быть с исходящим трафиком от защищаемого клиента?

Второй случай - это когда Вы завязаны на одного большого оператора-магистрала уровня РЕТН, и на каждой точке присутствия Вашего оператора-магистрала (AMS-IX, DE-CIX, LINX и пр.) рядом с его бордером стоит частичка Вашего Центра очистки (эдакий митигатор), которая чистит весь трафик, входящий с аплинков и пиров оператора-магистрала прямо там, не загружая мусором сеть оператора-магистрала.

Собственно смесь 2-х вариантов, только обратный трафик тоже через схему проходит.

 

 

 

2. IPS.

 

Зачем? Что Вы им чистите? От чего реально защищаете? Как часто и кто поставляет актуальные сигнатуры? Сколько сигнатур может одновременно применяться к входящему трафику на wirespeed'е? Решение для IPS софтверно или хардварно? Если второй случай - какие контекстные процессоры используете? Или всё сделано на FPGA+TCAM? Какие Gbps и Mpps обеспечивает используемый Вами IPS? Какие задержки вносит? Можно ли защищаемому клиенту или как минимум Оператору, покупающему Ваши услуги очистки трафика, дать возможность писать свои регулярные выражения для Вашего IPS? Пример навороченной сигнатуры можете привести дабы понять возможности Вашего IPS?

Ээх видели бы вы этот поток грязи.... Ну если коротко то все атаки и уязвимости, Sql-injection, xss, Conficker, JS, трояны и т.п. - тут очень долго писать, можно почитать профильные статьи зачем это нужно. скорости 1 нода до 20 Gb, 10 Mpps, в данном случае это софт вариант от известного производителя. Задержки <150 микросекунд. Можно давать доступ и клиенту, но мы этого делать пока не планируем, разве что в исключительных случаях, это наша зона ответственности.

 

Radware DefensePro.

К сожалению в реале с такими скоростями не сталкивались, ничего сказать не могу. DefencePro нужен не из-за флуда, с флудом справятся куча ips с балансировщиком.

 

Arbor Peakflow SP используете?

Нет, пока не довелось, есть ряд внутренних соображений, можно сказать особенностей системы, по которым использовать ее скорее всего не будем. Хотя система конечно хорошая.

 

Периметр от МФИ-Софта

Боюсь тоже на больших объемах не тестировали. Глобально система хорошая, но с рядом существенных на наш взгляд недостатков. ИМХО самый главный недостаток слабая аналитика и отсутствие корреляции между аналитикой и очисткой. Методов очистки множество, в принципе зарекомендовала себя система нормально.

[bifit]

Ну значит не в рынке я, отстал от жизни, если у Вас ТАК поперло. Faramund, я же больше по банкам :)

 

Искренне рад за РТ-Комм и столь положительный тренд.

[Linco]

Или это на обычном многопортовом 10G-коммутаторе раскидываете 240Гб

Неа, балансировщик на L2 :)

[bifit]

Linco, что с AS'кой? Озвучите? Или только став Вашим клиентом, можно узнать через кого будет литься DDoS и хватит ли каналов?

[Linco]

Не готов пока озвучить, но Вы ведь и клиентом становиться не собираетесь? :) Все технические схемы для клиентов мы соответсвенно предоставим :)

[faramund]

Проблема в том, что стэйтфул видит только пол сессии, соответственно ее дропит. Об этом пишут все производители и Cisco в том числе, а Вы не верите :)

Arbor TMS, МФИ "Очиститель", Cisco Guard (как модуль, так и эплаенс) работают в режиме off-ramp, никакого statefull. Благо со всем приходиться работать ежедневно, плюс DP покрутили в своё время на реальных атаках.

[bifit]

L2 => Etherchannel => до 8 линков по 10G

 

Откуда берется балансировка входящего трафика в 240Гб/с?

 

Или это производительность L2-коммутатора?

[faramund]

Ну значит не в рынке я, отстал от жизни, если у Вас ТАК поперло.

Нифига, тренд правильно описал. "Поперло" слишком громко, просто планомерная долговременная работа. Клиенты скопом не бегут, в основном те, кто столкнулись, либо у кого намечается, либо кто считает риски (это как раз ваша категория клиентов). Чаще всего клиенты бегут после инфоповода, а это в свою очередь и есть маркетинг и пиар. И так у всех кого я знаю.

[Дятел]

Чаще всего клиенты бегут после инфоповода, а это в свою очередь и есть маркетинг и пиар.

Достаточно давно одна кавказская контора закупила совершенно недорого задние фонари для Тойоты Камри. Много. Но что-то никто не торопилися их массово раскупать. Тогда они раздали группе пацанов молотки и отправили их создавать спрос на рынке. Маркетинг и пиар )))

[faramund]

L2 => Etherchannel => до 8 линков по 10G

 

Откуда берется балансировка входящего трафика в 240Гб/с?

 

Или это производительность L2-коммутатора?

как вариант Netoptics xBalancer http://www.netoptics.com/products/load-balancing/xbalancer-10g-load-balancer

там же и ips...