Стратегия защиты банков от DDoS атак. Решения Radware DefensePro и Arbor Peakflow SP. Центр очистки трафика

реклама
X международный форум iFin-2010
Стратегия защиты банков от DDoS-атак.
Решения Radware DefensePro
и Arbor Peakflow SP.
Центр очистки трафика «ИБАНК2.РУ»
Москва
2010
DDoS-атаки - противодействие
Стратегии защиты:
1.
2.
Самостоятельное приобретение банком
оборудования с установкой его у провайдера
Подключение к специализированным сервисам,
осуществляющим защиту от DDoS-атак
DDoS-атаки - противодействие
Самостоятельное приобретение
оборудования банком
Достоинства:
•
Отсутствие регулярных платежей
•
Гибкость и оперативность управления
Недостатки:
•
Большие стартовые инвестиции
•
Потребность в квалифицированных
специалистах
DDoS-атаки - противодействие
Использование сервисов провайдера по
защите от DDoS-атак
Достоинства:
•
Отсутствие крупных стартовых расходов
Недостатки:
•
Регулярные платежи от 1 до 10 тыс. USD
•
Потери легитимного трафика
•
Недостаточная оперативность управления
Решения по защите от DDoS-атак
Компания «БИФИТ» в июне 2009 г. создала Центр
Компетенции по защите от DDoS-атак
Задача Центра – изучение и предложение банкам
решений по защите от DDoS-атак
Предлагаемые решения:
- Arbor Peakflow SP
- Radware DefensePro
Решения Arbor Peakflow SP
Решения Arbor Peakflow SP
Относятся к операторскому классу (используются
70% мировых провайдеров)
Осуществляют сбор информации о сетевом трафике
с маршрутизаторов (протоколы Netflow, JFlow и т.д.)
Особенности:
- высокая цена (от 250 тыс. USD)
- ориентированность на большие объемы трафика
Решения Radware DefensePro
Линейка решений Radware DefensePro
•
x016 IPS & Behavioral Protection
•
x412 IPS & Behavioral Protection
•
x412 Behavioral Protection
Платформа – 2 процессора Dual-Core Opteron,
6..10Gb RAM, сетевые процессоры EZChip Technologies,
специализированные ASIC и FPGA для аппаратного
ускорения обработки трафика
Решения Radware DefensePro
Схема подключения Radware DefensePro
Вариант 1: наличие «толстых» каналов до банка
Решения Radware DefensePro
Схема подключения Radware DefensePro
Вариант 2: стандартные каналы до банка
Решения Radware DefensePro
Схема работы
Radware DefensePro – механизмы защиты
Behavioral DDoS Protection
•
•
•
•
•
•
•
Deep Packet Inspection (L7)
Накопление и анализ статистики
Обучение и построение модели штатного трафика
Выявление атак на основе анализа аномалий
Динамическая фильтрация с помощью
автоматически генерируемых сигнатур (12 сек)
Механизм обратной связи
Учет качественных параметров трафика
Radware DefensePro – механизмы защиты
Behavioral DDoS Protection
Radware DefensePro – механизмы защиты
TCP SYN Flood Protection
Позволяет защищаться от SYN-атак с подменой адреса
отправителя (spoofing)
Использует механизм SYN Cookies, поддерживаемый
встроенными сетевыми процессорами
Radware DefensePro – механизмы защиты
Signature Protection
Построен на базе высокопроизводительного аппаратного IPS
Наиболее эффективен для противостояния известным атакам
Обновление сигнатур осуществляется с помощью
Radware Security Update Service
Radware DefensePro – механизмы защиты
Stateful Inspection
Анализ сетевого трафика на соответствие протоколов
спецификациям RFC
Bandwidth management
Управление шириной полосы пропускания
для заданного протокола, сети, сервиса
Услуги по защите от DDoS-атак
В декабре 2009 г. компания БИФИТ создала
Центр очистки трафика «ИБАНК2.РУ»
Задача – предоставление банкам, промышленно
эксплуатирующим систему «iBank 2», услуг по защите
банковских каналов и сервисов от DDoS-атак
Центр очистки трафика «ИБАНК2.РУ»
ЦОТ «ИБАНК2.РУ» размещен в Дата-Центре ММТС-9
Для очистки трафика используется решение Radware DefensePro
Подключен 1 интернет-канал 1 Гбит/сек (flat-rate) через 10 GbE
Питание от 2 промышленных ИБП Дата-центра + независимый ИБП
Центр очистки трафика «ИБАНК2.РУ»
В январе 2010 г. банкам в режиме опытной
эксплуатации предлагается использовать единую
резервную точку подключения к Internet-Банкингу
От банка требуется наличие резервного канала
с «секретным» IP-адресом для взаимодействия
с ЦОТ «ИБАНК2.РУ»
В режиме опытной эксплуатации услуга
предоставляется бесплатно
Центр очистки трафика «ИБАНК2.РУ»
ЦОТ «ИБАНК2.РУ»
Клиент
DDoS-атака
DDoS-атака
Злоумышленник
Сервер Приложения
«iBank 2»
Центр очистки трафика «ИБАНК2.РУ»
X международный форум iFin-2010
Стратегия защиты банков от DDoS-атак.
Решения Radware DefensePro
и Arbor Peakflow SP.
Центр очистки трафика «ИБАНК2.РУ»
Шилов Станислав
info@bifit.com
Скачать