Перейти к содержимому
Калькуляторы

Защита от компьютерных атак (SaaS)

Netoptics

в точку

 

режиме off-ramp, никакого statefull

ммм, а где я собственно писал, что периметр работает инлайн и стэйтфул?

stateful вообще для антиддос систем глобально не нужен

обратите внимание, что я описывал обе системы: защиты от атак ips и отдельно защита от ДДОС. Проблема с асимметричным трафиком присутствует при наличии стэйтфул очистителя inline и >1 аплинка у клиента

А первоначальная схема IPS->DP->MFI является принципиальной схемой как и в каком порядке будет чистится трафик.

Изменено пользователем Linco

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как вариант Netoptics xBalancer

Linco, faramund, если бы этот Netoptics имел бы 6 40G-портов QSFP+ и 24 10G-порта SFP+, то я еще бы мог представить как влить в эту железку 240G входящего трафика и равномерно размазать по 24-м 10G-портам SFP+, к которым подключено 24 ноды, чистящие от DDoS'а и проверяющие сигнатуры (IPS) на 10G wirespeed каждая.

 

Но что реально можно сделать с этим NetOptics'ом?!

 

Linco, разъясните, пожалуйста, как Вы балансируете 240Гб/с входящего трафика по ХХ нодам с использованием этой железки!

 

Или 240Гбит - это просто манипуляция цифрами дабы клиенты повелись?

 

Ну тогда по аналогии я могу сослаться на использование везде оборудования аж в целых 720Гбит/сек (7600-ые циски)... Но это же фиктивные цифры, не имеющие никакого отношения к реальной производительности центра очистки.

Изменено пользователем bifit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во всех предлагаемых на сегодняшний момент решениях есть недостатки.

Либо услуга только ДДОС, нет защиты от атак, да и услуга оказывается через ДНС перенаправление и трафик гоняется неизвестно куда.

Либо услуга привязана территориально к провайдеру/датацентру, опять же нормальный клиент имеет 2 канала к разным провайдерам, и здесь услуга защиты от атак от одного провайдера не играет, только создает проблемы, поскольку оборудование скорее всего stateful, посему возникают проблемы с асимметричным трафиком.

Внимательно прочитайте, что сами написали. Указав на недостатки существующих решений и тем самым, намекая на их отсуствие в вашем, вы допускаете ряд ключевых ошибок:

1. Значит в случае с DNS перенаправлением трафик гоняется неизвестно куда, а в вашем? Вы известно кто?

2. У провадеров statefull оборудование и поэтому у них возникают проблемы с асиметричным трафиком? Все ровным счетом наоборот. Почему?! писал выше.

 

А первоначальная схема IPS->DP->MFI

А вот в этой схеме сплошь и рядом statefull (exclude MFI), что неверно by design. Пожал бы руку архитектору за хороший пример не соблюдения BCP.

 

Вообще идея построения MSSP мне импонирует, за это плюсую...

 

Linco, faramund, если бы этот Netoptics имел бы 6 40G-портов

прошу меня сюда не впутывать:). я лишь указал на потенциального "монстра". если интересно, как на 76-ой балансить на wirespeed? welcome! но уже в приватной беседе)

 

Если Linco не против, попробую угадать ASN с первой попытки?

 

P.S. Недавно на www.trade.su видел тендер на 90 млн руб...очень перекликается с темой данного поста.

Изменено пользователем faramund

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посмотрел только что количество сигнатур от Radware, по которым проверяется проходящий через DefensePro трафик на защищаемых клиентов. У меня - 4'309 активных сигнатур вендора. Плюс нами написанных еще немного. Актуализация - сегодня вечером.

 

Linco, а сколько у Вас сигнатур проверяется для защищаемого трафика на Вашем отдельно стоящем IPS'е?

 

Какую модель IPS и какого вендора используете?

 

Какую полосу в Gbps и Mpps Ваш IPS держит для Вашего объема сигнатур?

 

В принципе, для корпорэйта, IMHO, Radware DefensePro 4412 на территории заказчика - за глаза.

 

Десятку на вход (в Москве это уже не проблема) и на выходе будет тебе и Stateful файрвол, и защита от SYN-флада, и хардварный IPS в обе стороны, и собственноручно написанные сигнатуры с работой на контекстном процессоре (SME), и шейпинг нужного трафика, и антисканинг, и HTTP-митигатор, и защита DNS'а, и защита SIP'а, и много других вкусных плюшек.

 

Причем многие механизмы в тяжелой серии DefensePro x412 (OnDemand Switch 3S2) сделаны на сетевом процессоре EZchip NP-3 + софтварно с эксклюзивным закреплением экземляров VxWorks по ядрам Оптеронов.

 

Но, повторюсь, железка применима только для нужд корпорэйта. Для операторов - маловата будет. Делать на DP-x412 услуги, продаваемые другим операторам - это утопия. Даже просто для защиты пары сотен клиентов DefensePro не хватает. Faramund тестил 4412 и подтвердит мои слова. Хотя с тех пор прошло уже пару лет и хард+софт прилично допилили.

 

Операторам я бы рекомендовал всё-таки Arbor Peakflow SP. CP + хардварный TMS на ATCA-платформе.

 

Да, дорого. Очень. Как самолет. Но дело свое хорошо делает.

 

Кстати, мы в лабу и для демонстрации корпоративным заказчикам (у нас преимущественно банки) Arbor Pravail APS взяли. С двумя 10GbE-портами под SMF и со встроенным оптическим байпасом. Эдакий кастрированный TMS.

 

Очень понравилась железка при первом знакомстве. Всё сделано хоть и софтверно, но на заявленных 10G работает (i82599). Есть поддержка работы в облаке - с операторским Arbor Peakflow SP.

 

Пользовательский интерфейс Pravail'а - через Web, весь на русском языке (а также английский + китайский). Очень удачно и понятно. Прям для имбецилов. Первые отзывы банков - реально нравится. Спасибо Ярославу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

трафик гоняется неизвестно куда, а в вашем? Вы известно кто?

 

В нашем трафик не гоняется, а фактически чистится у провайдера. У ДНС систем вообще куча недостатков вы же всерьез их не предлагаете? :) ИМХО его используют только потому, что это самый простой способ заполучить трафик. Один из таких "защищалкиных", например, вообще сразу рекламирует, что имеет инфраструктуру в Германии. ЗдОрово, мой трафик на Российскую площадку пойде через Германию с неизвестными характеристиками надежности датацентра и каналов.

 

statefull оборудование и поэтому у них возникают проблемы

Давайте все-таки прекратим флейм по поводу stateful. Я четко обозначил проблему это для stateful inline устройств FW/IPS, если Вы мне не верите можно почитать здесь https://my.stonesoft.com/support/document.do?docid=1377 или в гугле.

 

модель IPS и какого вендора

Stonegate, ~20 Гб на ноду, <150 мкс. задержка, я вроде писал уже. Количество сигнатур не помню, можете сами поискать, но много.

 

IMHO, Radware DefensePro 4412 на территории заказчика

В принципе да, однако приходим все к тому, же 3-5 лямов на заказчика.

DP серьезно проигрывает по фильтрации атак основным игрокам рынка IPS, это Sourcefire, TippingPoint, StoneGate. ИМХО проигрывает и Арбору, т.е. это нечто среднее.

К тому же, одна из причин выбора стоуна - софтверное решение, я принципиально против решений, основанных на сетевых процессорах: дорого, сложно, расслабляет мозг разработчика. А обычные процессоры обновляются раз в пол-года.

 

Спасибо за инфу по арбору, тоже будем смотреть.

 

Или 240Гбит - это просто манипуляция цифрами дабы клиенты повелись

Не выдергивайте из контекста, я ответил на конкретный вопрос faramund и привел характеристики устройства, чтобы легче искать в инете было :) с чем собственно и справились. О том, что мы будем фильтровать именно на таких скоростях я не говорил. Да Вы и не клиенты :)

Реально действительно будет меньше, in/out и т.п.

Но скажите мне, вот если построить схему, которая хотя бы 50-60 Гб атаки будет реально отфильтровывать неужели этого мало? :)

Причем за "копейки". Счатье для всех, даром, и никто не уйдет обиженным. (с)

Здесь ИМХО гораздо более важны административно/технические вопросы получения такого количества трафика, и чтобы операторы на аплинках не стонали потом. :)

 

Даже просто для защиты пары сотен клиентов DefensePro не хватает

я полностью с Вами согласен, однако просто не существует отдельной железки, которая бы покрыла ВСЕ потребности ИБ хотя бы 1 среднего оператора(и клиентов) (Арбор закроет лишь кусочек), это должен быть действительно центр защиты, набор коммутатров, балансировщиков, куча оборудования защиты и т.п. Здесь важно как построена система, если мы можем увеличивать производительность линейно просто подключением новых устройств к схеме, то флаг в руки.

 

ЗЫ а может это вообще все бред и я просто работу ищу :))

Изменено пользователем Linco

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но скажите мне, вот если построить схему, которая хотя бы 50-60 Гб атаки будет реально отфильтровывать неужели этого мало?

А что тут строить? Если совсем в лоб - берете обычную Arbor CP5500 + два Arbor TMS 4000 в полной набивке с производительностью 40Gbps каждый и получаете суммарно 80Gbps. Вот только бюджет получится недетский - под 3 ляма грина.

 

И вроде как такое даже было сделано для видео-выборов (у меня информация неподтвержденная).

 

Или же делать, как это делает kostich - силами своей команды разработчиков.

 

Например, до 80G входящего трафика относительно равномерно балансируются на 16 портов 10GBASE-T на очень доступном C4900M. И уже на каждой ноде (Dual Xeon X5690 + i82599) преспокойно бороться со своими 5Gbps входящего трафика.

 

а может это вообще все бред и я просто работу ищу

 

Да не вопрос :) С огромным удовольствием ибо "кадры решают всё" (с)

Присылайте развернутое резюме с демонстрацией квалификации на repan@bifit.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я принципиально против решений, основанных на сетевых процессорах: дорого, сложно

 

Так никто String Matching на сетевых процессорах и не делает. Для этого класса задач используются контекстные процессоры от того же NetLogic'а, LSI И др.

 

Разработчики Radware поступили ОЧЕНЬ правильно - они добавили в состав DefensePro одну плату с интерфейсом PCI-E x4, на которой расположен контекстный процессор NetLogic NLS205 и стали для String Matching'а использовать SDK от NetLogic'а, задействовав в эксклюзивном режиме одно из ядер Оптерона. В итоге дешево и средито.

 

Кстати, в тяжелых TMS'ах Arbor'а для первичной обработки трафика используются сетевые процессоры XLP NetLogic'а, а для String Matching'а - всё те же контекстные процессоры серии NETL7 NetLogic'а.

 

При этом в ATCA-платформу, на которой сделаны старшие Arbor TMS, технически можно повтыкать модули с топовыми Xeon'ами 5600 серии. Но столь же эффективного выхлопа, как при использовании связки XLP + NLS + TCAM, из CPU общего назначения (Xeon) не получается.

Изменено пользователем bifit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да я в принципе со всем согласен :)

 

Кстати, а кто-нибудь пробовал чистым flowspec отбиваться? вообще без ничего, или с 1 Гб защитой например?

Изменено пользователем Linco

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, а кто-нибудь пробовал чистым flowspec отбиваться?

При каждом подходящем случае использую. Очевидно выступлю в роли капитана, но все предельно просто, если паразитный трафик однозначно описывается любым из параметров или их совокопностью, то flowspec вам в помощь:

Type 1 - Destination Prefix

Type 2 - Source Prefix

Type 3 - IP Protocol

Type 4 - Port

Type 5 - Destination port

Type 6 - Source port

Type 7 - ICMP type

Type 8 - ICMP code

Type 9 - TCP flags

Type 10 - Packet length

 

вообще без ничего, или с 1 Гб защитой например?

Не флоуспеком единым...1гб - слишком малый запас прочности. с 10-кой для большинства вполне, несмотря на то, что услышу кучу воплей)).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

День добрый. Да наверное неплохо-бы как-то презентовать хотя-бы функциональную схему этого "мультивендорного решения" и указать на основные его технологические преимущества. Это конечно, если хочется выглядеть "красиво".

Мультивендорные решения они очень разные и очень странные бывают.

Например такие:

bike1-roller-shuttle.jpg

http://habrahabr.ru/post/141700/

 

Ну и оценив приблизительный обьем финансирования по железу которое вы похоже используете, выражу скромную надежду что у вас уже есть "якорный заказчик" который отбил вам этот capex. Поскольку если его нет - через 3-5 лет про ROI можно уже забыть будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.