Upload
cisco-russia
View
160
Download
5
Embed Size (px)
Citation preview
Nov’14Михаэль СуконникИгорь Концевой
Методы борьбы с современными DDoSатаками с использованием SDN
Radware DefenseFlow
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Актуально?
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
Атаки в 2013
Год назад атака в 40Мбс (!)«положила» 5 крупнейшихРоссийских банков
Атаки на госструктуры, банки,СМИ, крупные и средние компании продолжаются волнами в течении 2014
Последние 2-3 месяца увеличилось количество атак на операторов
3
Развитие атак
• Бо’льшее использование серверных атак• Больше атак на приложения• Атаки включают много (5+) векторов одновременно• 2012 – DNS amplification, 2013 – NTP amplification, 2014
– SYN Tsunami• Атаки меняются каждые 3-5 минут. Успеть
отреагировать в ручном режиме практически нереально
4
Ограничения Netflow Based Mitigation
Возможности Netflow Based Mitigation
Detection Сетевые DDoS flood атаки Практически полное
MitigationВремя блокировки Медленно – начиная с 5
минут
Network OperationТребует BGP announcement, GRE tunneling и (чаще) – несколько детекторов
Сложно
Diversion Точность по траффику Низкая точность
Cost EffectiveОтдельных детекторовТребует центр очисткиЗанимает время CPU маршрутизаторов
Дорого
Медленно
Сложно
Не аккуратно
Дорого
5
DefenseFlow
Отражение атак в SDN сети
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 6
Представляем – Radware DefenseFlow
Контроллер
DefenseProSDN Data Plane
SDN Controller
SDN ApplicationsПриложение управляет SDN сетью для защиты от DDoS
Программируемый интерфейс (API) -OpenFlow
Программируемый интерфейс (API)
7
DefensePro
Internet
“Перенаправление трафика”
- Управление
Обнаружение– Анализ и Решение
Сбор –Программируемые
коллекторы
Инициализация услуг безопасности Атака!!!
SDN Controller
Изучение статистики для каждого: IP адреса,
протокола и приложения
DefenseFlow: Как управлять сетью SDN для защиты от DDoSКонфигурация DefensePro с
учетом изученных
данных
Slide 8
Application Anti-DoS AppDefenseFlowNetwork Anti-DoS App
Attack detected !!!
vSwitch
Настройки политик безопасности
REST API
Локальные счетчики
Пограничные счетчики
DefensePro
Центр очистки
NBAPI
SDN DriverL4-L7 Driver
NBAPI
SDN ControllerOpenFlow BGP FlowSpec
Внедрение Out-Of-Path
Adaptive Anomaly Decision Surface
Зона Атаки
Normal Adapted Area
Параметры трафика Параметры трафика
Зона подозрительного
поведения
Адаптивная модель определения аномалий
DefenseFlow – Network Anti–DoS
Application Anti-DoS App
Сигнал и информация о
атаке
DefenseFlow – Application Anti–DoS
DefensePro
REST API
DefenseFlowApplication Anti-DoS App
vSwitch
Детектирована атака
прикладного уровня !!!
NBAPI
SDN DriverL4-L7 Driver
NBAPI
SDN ControllerOpenFlow BGP FlowSpec
Service Chaining / Service Insertion /
OpenFlow
Внедрение “Всегда включено”
Настройки политик безопасности
Slide 10
Application Anti-DoS App
DefenseFlow – Application Anti–DoS
DefensePro
REST API
DefenseFlowApplication Anti-DoS App
vSwitch
NBAPI
SDN DriverL4-L7 Driver
NBAPI
SDN ControllerOpenFlow BGP FlowSpec
Внедрение “Smart TAP”
Сигнал и информация о
атаке
Детектирована атака
прикладного уровня !!!
Slide 11
Application Anti-DoS App
Работа в традиционной сети
Network Anti-Dos
NBAPIApplicatio
n Anti-DoS
Distributed Mitigation (Signaling)
SDN Drivers
vSwitch
DefenseProЦентр очистки
DefenseFlow NBAPI- Интерфейс для любых
систем управления
- Отчетность и мониторинг
- Сигналы безопасности
других производителей
L4-L7 Drivers
NetFlow или другой
3rd party DoS детектирующее устройство
Обнаружение атаки и детализация
BGPДетектирована атака сетевого
уровня !!!
Slide 12
Application Anti-DoS App
Оптимальный путь миграции из традиционной сети в SDN
Network Anti-Dos
NBAPIApplicatio
n Anti-DoS
Distributed Mitigation (Signaling)
SDN Drivers
vSwitch
DefensePro
Центр очистки
L4-L7 Drivers
NetFlow или xFlow OpenFlow или другой протокол
NBAPISDN Controller
OpenFlow BGP FlowSpec
3rd party DoS детектирующее устройство
Slide 13
Capability Netflow Based Mitigation Radware DefenseFlow
Detection Сетевые DDoS flood атаки Практически полное Полное
Mitigation Время блокировки Медленно – 5 Min Немедленно - сек
Network Operation
Требует BGP announcement, GRE tunneling Сложно
Просто- на уровне сетевого сервиса
Diversion Точность по траффику Низкая точностьПереводится только
траффик атаки
Cost Effective
Отдельных детекторовТребует центр очисткиЗанимает время CPUмаршрутизаторов
Дорого Дешево
DefenseFlow Vs. Netflow
Медленно
Сложно
Не аккуратно
Дорого
14
Summary• DDoS атаки – угроза каждому бизнесу• Сегодняшние операторские решения на базе
NetFlow уже не могут предоставить эффективные и не дорогие операторские решения для борьбы с современными атаками
• На смену сегодняшним сетям приходят решения на базе SDN
• DefenseFlow – приложение для SDN сети, обеспечивающее: легкое и быстрое внедрение, быстрый перехват атаки (секунды), низкую стоимость
• Решение уже имеет реальные внедрения в сетях крупнейших операторов
15
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом#CiscoConnectRu
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
Спасибо
Name Michael Soukonnik
E-mail [email protected]
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.