Upload File

cisco

24
© 2007 Cisco Systems, Inc. All rights reserved. 1 1/128 Решение Cisco Clean Pipes по защите от DDoS-атак ПавелАнтонов ТехническийКонсультант [email protected]

Upload: risspa

Post on 19-Nov-2014

1.787 views

Category:

Technology


2 download

Report

DESCRIPTION

 

TRANSCRIPT

Page 1: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1 1/128

РешениеCisco Clean Pipes по защите отDDoS-атак

Павел Антонов

Технический Консультант

[email protected]

Page 2: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 2 2/128SP Security

Что такое DDoS-атака?

Распределенная атака класса “Отказ в обслуживании”(далее – DDoS, Distributed Deny of Service) – это инцидентв сфере информационной безопасности, приводящий кнарушению режима штатного функционирования

информационной системы без нарушения целостности

или конфиденциальности информации.

Page 3: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 3 3/128SP Security

3. Атака

mbehring

Как происходят DDoS-атаки?

ISP CPE Цель

Теперь

“Зомби”

1. Заражение

2. Управление

Обычные

ПК

Хакер

Page 4: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 4 4/128SP Security

Типовые реализации DDoS-атак

� TCP (SYN, ACK, FIN, Established) Flood

� HTTP Get Flood

� DNS Query/Malformed Flood

� UDP Flood – fragmented/random ports

� ICMP Flood

…with source IP spoofing

Page 5: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 5 5/128SP Security

Вариантыпротиводействия

Page 6: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 6 6/128SP Security

Применимы ли традиционные средстваобеспечения ИБ для защиты от DDoS?

� Межсетевой экран / ACL?

� Rate-limit / ограничение кол-ва сессий?

� Сигнатурный анализ - IDS/IPS?

� Black-hole routing?

Page 7: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 7 7/128SP Security

� Производительность – 1Гбит/c, С доп. лицензией - 2 Гбит/c.

� Возможна установка нескольких модулей в одномшасси

� Захват трафика – SPAN, VACL

� Поддерживает до 150 активных зон

� Нет жесткого ограничения числа модулей защитыGuard, которые указываются в списке конфигурации

Модуль Cisco Detector

Page 8: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 8 8/128SP Security

� Производительность – 1Гбит/c, С доп. лицензией - 3 Гбит/c.

� Возможна установка нескольких модулей в одномшасси – 6 в 6509/7609, 10 в 6513/7613.

• Кластеризация 16Гбит/c на одну зону

• До 50 одновременно активных зон

• 4,5 миллиона одновременных соединений (1,5M наинтерфейс)

• Вносимая задержка: < 1 миллисекунды

Модуль Cisco Guard

Page 9: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 9 9/128SP Security

Как это работает

Объявление BGP

Мишень

1. Определение

2. Активация: Авто/Ручная

3. Перенаправлениетрафика мишени

Неатакуемые серверы

Cisco Anomaly Detector

Cisco

Guard

Page 10: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1010/128SP Security

Как это работает

4. Идентификация ифильтрация трафика

DDoS-атаки

6. Трафикне к мишени

проходит

свободноМишень

Очищенный

трафик мишени

5. Передача очищенноготрафика

Трафик мишени

Неатакуемые серверы

Cisco

Guard

Cisco Anomaly Detector

Page 11: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1111/128SP Security

Центр очисткии распределенное детектирование

Центр«очистки»

Пиринговыйпериметр

Ядро SP

AS 234

Out of Band

Management

NBAD

AS 123

AS 234Нижележащие ISP/Клиенты

Пиринговыйпериметр

Операторсвязи

ЭкспортЭкспорт NetFlowNetFlow

Guard Activation Guard Activation SSHSSH

ЧистыйЧистый трафиктрафик

ВесьВесь трафиктрафик

Cisco Detector

КластерCisco Guard

Page 12: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1212/128SP Security

Обнаружение аномалий

� Что такое обнаружение?

Построение базового профиля является важнейшиммероприятием для поиска осуществляемой атаки

Аномалия – событие или условие в сети, характеризуемоестатистическим отклонением от базового профиля

Аномалия может быть вызвана не только DDoS-атакой

� Когда выявлена аномалия

следующим шагом является уведомление устройств(а), ответственного за разбор трафика на вредоносную илегитимную составляющие – Cisco Guard

Page 13: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1313/128SP Security

Параметры, которые анализирует Detector иGuard

Поведение трафика в терминах:

1. Кол-ва пакетов в секунду

2. Соотношения (SYN к FIN)

3. Кол-во активных TCP сессий

4. Кол-во IP адресов, посылающих трафик в зону

С точки зрения:

1. Per destination Port

2. Per destination IP address

3. Per source IP address

4. Globally per Zone

Page 14: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1414/128SP Security

Обнаружение аномалий: мониторинг копиитрафика и/или работа с телеметрией

� Работа с копией трафика

� Синхронизация базовогопрофиля с Cisco Guardповышает эффективностьфильтрации

� Ориентировано наконкретные задачиобнаружение атак назащищаемые зоны(серверные фермы, клиенты)

� Работа с телеметрией

� Возможно применение нетолько для обнаруженияаномалий

� Отсутствие топологическихограничений

� Широкие возможностимасштабирования

Cisco Detector Системы анализа NetFlow

Page 15: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1515/128SP Security

Рекомендации по применениюсистемы обнаружения

� Detector необходимо размещать перед МСЭ и IDS

� Устанавливайте Detector ближе к защищаемой зоне

� Размещайте Detector после Guard

УстройствоПрименение

NetflowSP Peering Edge

NetflowМагистраль SP

Cisco DetectorЗащита клиентов

Cisco DetectorЦОД

Page 16: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1616/128SP Security

Алгоритм работы устройства Guard

Проверка

источника

трафика

Статистический

анализ

Анализ

некорректных

пакетов

Ограничение

полосы

пропускания

Динамические и

Статические фильтры

Обнаружение аномалийи идентификацияподозрительных

потоков

Легитимный трафик + трафик атаки

Page 17: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1717/128SP Security

Применение

механизмов

проверки источника

трафика

Легитимный трафик + трафик атаки

Алгоритм работы устройства Guard

Проверка

источника

трафика

Статистический

анализ

Ограничение

полосы

пропускания

Динамические и

Статические фильтры

Анализ

некорректных

пакетов

Page 18: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1818/128SP Security

Легитимный трафик

Динамическое формирование

фильтров для блокирования

источников вредоносного трафика

Применить rate-limit

Алгоритм работы устройства Guard

Проверка

источника

трафика

Статистический

анализ

Ограничение

полосы

пропусканияДинамические и

Статические фильтры

Анализ

некорректных

пакетов

Page 19: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 1919/128SP Security

Механизмы Cisco Guard

� Защита от TCP SYN FLOOD – SYN Cookie

� Защита от атак на HTTP - Redirect

� Защита от атак на DNS - Truncate

� Защита от UDP Flood – проверка источника по TCP

� Защита от атак на SIP – SIP Options

� Защита от ICMP Flood – rate limit

Page 20: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 2020/128SP Security

Заключение

Page 21: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 2121/128SP Security

Операторы связи и DDoS-атаки

• Крупнейшие операторы связииспользуют устройства Guard длязащиты инфраструктуры иоказания услуг по очистке

• Аутсорсинговые услуги позволяютувеличить объем продаж другихуслуг безопасности

• Цена определяется объемомцентров очистки

• Различные варианты обнаруженияатаки (вручную, Detector, Netflow)

• Активация защиты с согласияабонента

• Стандартные илиперсонализированные политики

• Отчеты об атаках и услугах

Операторы связи

Хостинг-провайдеры

Page 22: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 2222/128SP Security

Cisco protecting Cisco

Background:

Network availability is crucial for business continuity because 93 percent of the company’s revenue — more than US $43,000 in sales per minute — is booked online using Cisco Internet connections and internal networks.

Challenge:

"Our challenge was to distinguish between malicious and legitimate traffic and to block only the former," says John Banner, a Cisco®network engineer.

Result:

"Cisco Guard has been successful in mitigating attacks directed toward Cisco’s e-commerce applications," says William Ku, project manager for the Cisco INS product team.

More “Cisco on Cisco” case studies: http://www.cisco.com/go/ciscoit

Page 23: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 2323/128SP Security

Вопросы и ответы

Page 24: Cisco

© 2007 Cisco Systems, Inc. All rights reserved. 2424/128SP Security


Implementing Cisco Voice Gateways and … Cisco Voice Gateways and ... the Cisco Systems logo, Cisco Unity, ... Cisco Systems, Inc. Implementing Cisco Voice Gateways and Gatekeepers

Giovanni Martinelli, Cisco (*) Moustafa Kattan , Cisco Gabriele Galimberti , Cisco

About Cisco - Cisco

Cisco TelePresence System Troubleshooting Guide · Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital,

Cisco on Cisco - Sharing Cisco IT's Experience

asr 1000 Series Data Sheet - Cisco · and and Cisco ASR 1000 Series Cisco Cisco ASR or Cisco ASR Cisco ASR 1000 Series Cisco ASR 1000 Series

Electronic Hook Switch Solutions - IPN Headsets · 2019-01-22 · Cisco IP 8961 Cisco IP 9951 Cisco IP 9971 Cisco IP 8851 Cisco IP 8865 Cisco DX 70 Cisco DX 80 Cisco DX 650 Cisco

 · o 9 GRAND MILLENNIUM Cisco Cisco Systems Inc. IP , Cisco , Cisco , Cisco , : VPN IPSec DSL ASA5520 PIX , , ASA : Cisco ASA 5500 PIX VPN

Cisco Global Site Selector Administration GuideCertified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity,

Web view... Cisco switch 3500 Cisco switch 3700 Cisco switch 3900 Cisco switch 6500 Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 HP ... RFB 069-13-14.docx

Cisco ASR 1000 Series Aggregation Services Routers · PDF fileCisco ASR Cisco ASR Cisco ASR Cisco ASR Cisco ASR Cisco ASR and The Cisco 1000 Series

Electronic Hook Switch Solutions€¦ · Cisco IP 8961 Cisco IP 9951 Cisco IP 9971 Cisco IP 8851 Cisco IP 8865 Cisco DX 70 Cisco DX 80 Cisco DX 650 Cisco IP 8861 Step 4. In the telephone

CERTIFIED CISCO CISCO ACADEMY CCNA · CISCO AmountE6000PerModule CCNA CERTIFIED COLLABORATION UNISWA CISCO Networking Academy CISCO Networking Academy UNESCO CISCO ACADEMY [email protected]

Cisco Unified Attendant Console Advanced Design Guide ... · CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco Ironport, the Cisco logo, Cisco Lumin, Cisco Nexus, Cisco Nurse

Guía del teléfono IP 7911G de Cisco para Cisco CallManager ... · Cisco, Cisco IOS, Cisco Systems y el logotipo de Cisco Systems son marcas registradas de Cisco Systems, Inc. o

CISCO PRESS CONNECTION - pearsoncmg.comptgmedia.pearsoncmg.com/imprint_downloads/cisco/OctoberConnecti… · CallManager, and Cisco Unity, ... Cisco CallManager Best Practices:A Cisco

Cisco Tech Club Days · Cisco Hybrid Cloud Platform for Google Cloud Cisco HyperFlex Cisco Nexus9K / ACI Cisco CSR1000v Cisco Stealthwatch Cloud Cisco Container Platform Consistent

Cisco CAD 6.0 Installation Guide · CCNA, CCNP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, the Cisco IOS logo, Cisco Press, Cisco Systems, Cisco Systems Capital,

Cisco, Cisco Routers, Cisco Phone, Cisco Telephony - Lab Testing … · 2009-07-26 · Cisco Unified Mobile Cisco Unified IP Communicator Cisco Unified Communications system Release

Cisco 7000 · Cisco 7000 Cisco 7200 Cisco 7500 Cisco 7300 7400 7600 WAN PXF IP PXF ASIC QoS ACL PXF PXF ASIC Cisco 7000 POP IP Cisco 7000 2

Cisco SB101Router Cabling and Setup Quick Start Guide · CCIE, CCIP, CCNA, CCNP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco

Cisco Cable Accessories - Cisco

Cisco Email Security - Cisco

숫자 게임 - Cisco · Cisco, the Cisco logo, Cisco Unified Computing System, Cisco UCS, Cisco Domain Ten, and Cisco ... 무척기쁩니다”라고 Cisco의 Data Center and Virtualization

(P) Cisco Phone 8800 Series Cisco sl.C 11 Cisco PQRS ...(P) Cisco Phone 8800 Series Cisco s...l.C 11 Cisco PQRS Tuv MNO wxyz 8865, Cisco p Phone 8845 cxu.Äl@ e.i.S' Cisco Systems,

Cisco...Cisco UNIX/RISC Cisco B440 Intel@ • Cisco UCS • Cisco Cisco ìWJ> 2011 Cisco EMC 8 TB Oracle Cisco Oracle E-Business Suiteo , EMC Corporation Oracle E-Business Suite (ERP)

Cisco CSR 1000V DRaaS Deploymentlisp.cisco.com/docs/cl2014us/CSR_DRaaS_Paper.pdfCisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems,

Deployment Best Practices Guide for Cisco Unified ... · 7 Best Practices ... Cisco CallManager, Cisco CallManager Express, Cisco Unity, Cisco Unity Express, Cisco IP Contact Center,

Cisco VG202, Cisco VG202XM, Cisco VG204, and Cisco ... Cisco VG202, Cisco VG202XM, Cisco VG204, and Cisco VG204XM Voice Gateways Hardware Installation Guide OL-15959-01 Preface •

Cisco - Cisco CallManager Express/Cisco Unity Express

Cisco Unified Communications€¦ · Portfolio komunikacji IP Cisco Cisco IP Phone 7902G Cisco IP Phone 7941G Cisco IP Phone 7940G Cisco IP Phone 7961G Cisco IP Phone 7960G Cisco

Cisco Catalyst Blade Switch 3120 for HP System Message Guide · Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems

Cisco IOS 12.2.2 Release Notes - Cisco - Cisco - Networking ......Cisco 1700 IOS IP/VOX PLUS IP/VOX PLUS c1700-sv8y-mz 32 MB 96 MB Cisco 1721, Cisco 1751, Cisco 1751-V, and Cisco 1760

Cisco Small Business Pro IP Phone SPA50X User Guide (SIP)...CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco IronPort, the Cisco logo, CiscoLumin, Cisco Nexus, Cisco Nurse

Cisco on Cisco Overvie€¦ · Cisco on Cisco Overview. ... Learning Series • CDs, DVDs. ... - Understand resources to learn more about Cisco on Cisco