Linco Опубликовано 18 апреля, 2012 (изменено) · Жалоба Netoptics в точку режиме off-ramp, никакого statefull ммм, а где я собственно писал, что периметр работает инлайн и стэйтфул? stateful вообще для антиддос систем глобально не нужен обратите внимание, что я описывал обе системы: защиты от атак ips и отдельно защита от ДДОС. Проблема с асимметричным трафиком присутствует при наличии стэйтфул очистителя inline и >1 аплинка у клиента А первоначальная схема IPS->DP->MFI является принципиальной схемой как и в каком порядке будет чистится трафик. Изменено 18 апреля, 2012 пользователем Linco Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bifit Опубликовано 18 апреля, 2012 (изменено) · Жалоба как вариант Netoptics xBalancer Linco, faramund, если бы этот Netoptics имел бы 6 40G-портов QSFP+ и 24 10G-порта SFP+, то я еще бы мог представить как влить в эту железку 240G входящего трафика и равномерно размазать по 24-м 10G-портам SFP+, к которым подключено 24 ноды, чистящие от DDoS'а и проверяющие сигнатуры (IPS) на 10G wirespeed каждая. Но что реально можно сделать с этим NetOptics'ом?! Linco, разъясните, пожалуйста, как Вы балансируете 240Гб/с входящего трафика по ХХ нодам с использованием этой железки! Или 240Гбит - это просто манипуляция цифрами дабы клиенты повелись? Ну тогда по аналогии я могу сослаться на использование везде оборудования аж в целых 720Гбит/сек (7600-ые циски)... Но это же фиктивные цифры, не имеющие никакого отношения к реальной производительности центра очистки. Изменено 18 апреля, 2012 пользователем bifit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
faramund Опубликовано 18 апреля, 2012 (изменено) · Жалоба Во всех предлагаемых на сегодняшний момент решениях есть недостатки. Либо услуга только ДДОС, нет защиты от атак, да и услуга оказывается через ДНС перенаправление и трафик гоняется неизвестно куда. Либо услуга привязана территориально к провайдеру/датацентру, опять же нормальный клиент имеет 2 канала к разным провайдерам, и здесь услуга защиты от атак от одного провайдера не играет, только создает проблемы, поскольку оборудование скорее всего stateful, посему возникают проблемы с асимметричным трафиком. Внимательно прочитайте, что сами написали. Указав на недостатки существующих решений и тем самым, намекая на их отсуствие в вашем, вы допускаете ряд ключевых ошибок: 1. Значит в случае с DNS перенаправлением трафик гоняется неизвестно куда, а в вашем? Вы известно кто? 2. У провадеров statefull оборудование и поэтому у них возникают проблемы с асиметричным трафиком? Все ровным счетом наоборот. Почему?! писал выше. А первоначальная схема IPS->DP->MFI А вот в этой схеме сплошь и рядом statefull (exclude MFI), что неверно by design. Пожал бы руку архитектору за хороший пример не соблюдения BCP. Вообще идея построения MSSP мне импонирует, за это плюсую... Linco, faramund, если бы этот Netoptics имел бы 6 40G-портов прошу меня сюда не впутывать:). я лишь указал на потенциального "монстра". если интересно, как на 76-ой балансить на wirespeed? welcome! но уже в приватной беседе) Если Linco не против, попробую угадать ASN с первой попытки? P.S. Недавно на www.trade.su видел тендер на 90 млн руб...очень перекликается с темой данного поста. Изменено 18 апреля, 2012 пользователем faramund Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bifit Опубликовано 18 апреля, 2012 · Жалоба Посмотрел только что количество сигнатур от Radware, по которым проверяется проходящий через DefensePro трафик на защищаемых клиентов. У меня - 4'309 активных сигнатур вендора. Плюс нами написанных еще немного. Актуализация - сегодня вечером. Linco, а сколько у Вас сигнатур проверяется для защищаемого трафика на Вашем отдельно стоящем IPS'е? Какую модель IPS и какого вендора используете? Какую полосу в Gbps и Mpps Ваш IPS держит для Вашего объема сигнатур? В принципе, для корпорэйта, IMHO, Radware DefensePro 4412 на территории заказчика - за глаза. Десятку на вход (в Москве это уже не проблема) и на выходе будет тебе и Stateful файрвол, и защита от SYN-флада, и хардварный IPS в обе стороны, и собственноручно написанные сигнатуры с работой на контекстном процессоре (SME), и шейпинг нужного трафика, и антисканинг, и HTTP-митигатор, и защита DNS'а, и защита SIP'а, и много других вкусных плюшек. Причем многие механизмы в тяжелой серии DefensePro x412 (OnDemand Switch 3S2) сделаны на сетевом процессоре EZchip NP-3 + софтварно с эксклюзивным закреплением экземляров VxWorks по ядрам Оптеронов. Но, повторюсь, железка применима только для нужд корпорэйта. Для операторов - маловата будет. Делать на DP-x412 услуги, продаваемые другим операторам - это утопия. Даже просто для защиты пары сотен клиентов DefensePro не хватает. Faramund тестил 4412 и подтвердит мои слова. Хотя с тех пор прошло уже пару лет и хард+софт прилично допилили. Операторам я бы рекомендовал всё-таки Arbor Peakflow SP. CP + хардварный TMS на ATCA-платформе. Да, дорого. Очень. Как самолет. Но дело свое хорошо делает. Кстати, мы в лабу и для демонстрации корпоративным заказчикам (у нас преимущественно банки) Arbor Pravail APS взяли. С двумя 10GbE-портами под SMF и со встроенным оптическим байпасом. Эдакий кастрированный TMS. Очень понравилась железка при первом знакомстве. Всё сделано хоть и софтверно, но на заявленных 10G работает (i82599). Есть поддержка работы в облаке - с операторским Arbor Peakflow SP. Пользовательский интерфейс Pravail'а - через Web, весь на русском языке (а также английский + китайский). Очень удачно и понятно. Прям для имбецилов. Первые отзывы банков - реально нравится. Спасибо Ярославу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Linco Опубликовано 19 апреля, 2012 (изменено) · Жалоба трафик гоняется неизвестно куда, а в вашем? Вы известно кто? В нашем трафик не гоняется, а фактически чистится у провайдера. У ДНС систем вообще куча недостатков вы же всерьез их не предлагаете? :) ИМХО его используют только потому, что это самый простой способ заполучить трафик. Один из таких "защищалкиных", например, вообще сразу рекламирует, что имеет инфраструктуру в Германии. ЗдОрово, мой трафик на Российскую площадку пойде через Германию с неизвестными характеристиками надежности датацентра и каналов. statefull оборудование и поэтому у них возникают проблемы Давайте все-таки прекратим флейм по поводу stateful. Я четко обозначил проблему это для stateful inline устройств FW/IPS, если Вы мне не верите можно почитать здесь https://my.stonesoft.com/support/document.do?docid=1377 или в гугле. модель IPS и какого вендора Stonegate, ~20 Гб на ноду, <150 мкс. задержка, я вроде писал уже. Количество сигнатур не помню, можете сами поискать, но много. IMHO, Radware DefensePro 4412 на территории заказчика В принципе да, однако приходим все к тому, же 3-5 лямов на заказчика. DP серьезно проигрывает по фильтрации атак основным игрокам рынка IPS, это Sourcefire, TippingPoint, StoneGate. ИМХО проигрывает и Арбору, т.е. это нечто среднее. К тому же, одна из причин выбора стоуна - софтверное решение, я принципиально против решений, основанных на сетевых процессорах: дорого, сложно, расслабляет мозг разработчика. А обычные процессоры обновляются раз в пол-года. Спасибо за инфу по арбору, тоже будем смотреть. Или 240Гбит - это просто манипуляция цифрами дабы клиенты повелись Не выдергивайте из контекста, я ответил на конкретный вопрос faramund и привел характеристики устройства, чтобы легче искать в инете было :) с чем собственно и справились. О том, что мы будем фильтровать именно на таких скоростях я не говорил. Да Вы и не клиенты :) Реально действительно будет меньше, in/out и т.п. Но скажите мне, вот если построить схему, которая хотя бы 50-60 Гб атаки будет реально отфильтровывать неужели этого мало? :) Причем за "копейки". Счатье для всех, даром, и никто не уйдет обиженным. (с) Здесь ИМХО гораздо более важны административно/технические вопросы получения такого количества трафика, и чтобы операторы на аплинках не стонали потом. :) Даже просто для защиты пары сотен клиентов DefensePro не хватает я полностью с Вами согласен, однако просто не существует отдельной железки, которая бы покрыла ВСЕ потребности ИБ хотя бы 1 среднего оператора(и клиентов) (Арбор закроет лишь кусочек), это должен быть действительно центр защиты, набор коммутатров, балансировщиков, куча оборудования защиты и т.п. Здесь важно как построена система, если мы можем увеличивать производительность линейно просто подключением новых устройств к схеме, то флаг в руки. ЗЫ а может это вообще все бред и я просто работу ищу :)) Изменено 19 апреля, 2012 пользователем Linco Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bifit Опубликовано 19 апреля, 2012 · Жалоба Но скажите мне, вот если построить схему, которая хотя бы 50-60 Гб атаки будет реально отфильтровывать неужели этого мало? А что тут строить? Если совсем в лоб - берете обычную Arbor CP5500 + два Arbor TMS 4000 в полной набивке с производительностью 40Gbps каждый и получаете суммарно 80Gbps. Вот только бюджет получится недетский - под 3 ляма грина. И вроде как такое даже было сделано для видео-выборов (у меня информация неподтвержденная). Или же делать, как это делает kostich - силами своей команды разработчиков. Например, до 80G входящего трафика относительно равномерно балансируются на 16 портов 10GBASE-T на очень доступном C4900M. И уже на каждой ноде (Dual Xeon X5690 + i82599) преспокойно бороться со своими 5Gbps входящего трафика. а может это вообще все бред и я просто работу ищу Да не вопрос :) С огромным удовольствием ибо "кадры решают всё" (с) Присылайте развернутое резюме с демонстрацией квалификации на repan@bifit.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bifit Опубликовано 19 апреля, 2012 (изменено) · Жалоба я принципиально против решений, основанных на сетевых процессорах: дорого, сложно Так никто String Matching на сетевых процессорах и не делает. Для этого класса задач используются контекстные процессоры от того же NetLogic'а, LSI И др. Разработчики Radware поступили ОЧЕНЬ правильно - они добавили в состав DefensePro одну плату с интерфейсом PCI-E x4, на которой расположен контекстный процессор NetLogic NLS205 и стали для String Matching'а использовать SDK от NetLogic'а, задействовав в эксклюзивном режиме одно из ядер Оптерона. В итоге дешево и средито. Кстати, в тяжелых TMS'ах Arbor'а для первичной обработки трафика используются сетевые процессоры XLP NetLogic'а, а для String Matching'а - всё те же контекстные процессоры серии NETL7 NetLogic'а. При этом в ATCA-платформу, на которой сделаны старшие Arbor TMS, технически можно повтыкать модули с топовыми Xeon'ами 5600 серии. Но столь же эффективного выхлопа, как при использовании связки XLP + NLS + TCAM, из CPU общего назначения (Xeon) не получается. Изменено 19 апреля, 2012 пользователем bifit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Linco Опубликовано 20 апреля, 2012 (изменено) · Жалоба Да я в принципе со всем согласен :) Кстати, а кто-нибудь пробовал чистым flowspec отбиваться? вообще без ничего, или с 1 Гб защитой например? Изменено 20 апреля, 2012 пользователем Linco Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
faramund Опубликовано 22 апреля, 2012 · Жалоба Кстати, а кто-нибудь пробовал чистым flowspec отбиваться? При каждом подходящем случае использую. Очевидно выступлю в роли капитана, но все предельно просто, если паразитный трафик однозначно описывается любым из параметров или их совокопностью, то flowspec вам в помощь: Type 1 - Destination Prefix Type 2 - Source Prefix Type 3 - IP Protocol Type 4 - Port Type 5 - Destination port Type 6 - Source port Type 7 - ICMP type Type 8 - ICMP code Type 9 - TCP flags Type 10 - Packet length вообще без ничего, или с 1 Гб защитой например? Не флоуспеком единым...1гб - слишком малый запас прочности. с 10-кой для большинства вполне, несмотря на то, что услышу кучу воплей)). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flx Опубликовано 23 апреля, 2012 · Жалоба День добрый. Да наверное неплохо-бы как-то презентовать хотя-бы функциональную схему этого "мультивендорного решения" и указать на основные его технологические преимущества. Это конечно, если хочется выглядеть "красиво". Мультивендорные решения они очень разные и очень странные бывают. Например такие: http://habrahabr.ru/post/141700/ Ну и оценив приблизительный обьем финансирования по железу которое вы похоже используете, выражу скромную надежду что у вас уже есть "якорный заказчик" который отбил вам этот capex. Поскольку если его нет - через 3-5 лет про ROI можно уже забыть будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Exx1 Опубликовано 26 апреля, 2012 · Жалоба это точно=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...