X международный форум iFin-2010 Стратегия защиты банков от DDoS-атак. Решения Radware DefensePro и Arbor Peakflow SP. Центр очистки трафика «ИБАНК2.РУ» Москва 2010 DDoS-атаки - противодействие Стратегии защиты: 1. 2. Самостоятельное приобретение банком оборудования с установкой его у провайдера Подключение к специализированным сервисам, осуществляющим защиту от DDoS-атак DDoS-атаки - противодействие Самостоятельное приобретение оборудования банком Достоинства: • Отсутствие регулярных платежей • Гибкость и оперативность управления Недостатки: • Большие стартовые инвестиции • Потребность в квалифицированных специалистах DDoS-атаки - противодействие Использование сервисов провайдера по защите от DDoS-атак Достоинства: • Отсутствие крупных стартовых расходов Недостатки: • Регулярные платежи от 1 до 10 тыс. USD • Потери легитимного трафика • Недостаточная оперативность управления Решения по защите от DDoS-атак Компания «БИФИТ» в июне 2009 г. создала Центр Компетенции по защите от DDoS-атак Задача Центра – изучение и предложение банкам решений по защите от DDoS-атак Предлагаемые решения: - Arbor Peakflow SP - Radware DefensePro Решения Arbor Peakflow SP Решения Arbor Peakflow SP Относятся к операторскому классу (используются 70% мировых провайдеров) Осуществляют сбор информации о сетевом трафике с маршрутизаторов (протоколы Netflow, JFlow и т.д.) Особенности: - высокая цена (от 250 тыс. USD) - ориентированность на большие объемы трафика Решения Radware DefensePro Линейка решений Radware DefensePro • x016 IPS & Behavioral Protection • x412 IPS & Behavioral Protection • x412 Behavioral Protection Платформа – 2 процессора Dual-Core Opteron, 6..10Gb RAM, сетевые процессоры EZChip Technologies, специализированные ASIC и FPGA для аппаратного ускорения обработки трафика Решения Radware DefensePro Схема подключения Radware DefensePro Вариант 1: наличие «толстых» каналов до банка Решения Radware DefensePro Схема подключения Radware DefensePro Вариант 2: стандартные каналы до банка Решения Radware DefensePro Схема работы Radware DefensePro – механизмы защиты Behavioral DDoS Protection • • • • • • • Deep Packet Inspection (L7) Накопление и анализ статистики Обучение и построение модели штатного трафика Выявление атак на основе анализа аномалий Динамическая фильтрация с помощью автоматически генерируемых сигнатур (12 сек) Механизм обратной связи Учет качественных параметров трафика Radware DefensePro – механизмы защиты Behavioral DDoS Protection Radware DefensePro – механизмы защиты TCP SYN Flood Protection Позволяет защищаться от SYN-атак с подменой адреса отправителя (spoofing) Использует механизм SYN Cookies, поддерживаемый встроенными сетевыми процессорами Radware DefensePro – механизмы защиты Signature Protection Построен на базе высокопроизводительного аппаратного IPS Наиболее эффективен для противостояния известным атакам Обновление сигнатур осуществляется с помощью Radware Security Update Service Radware DefensePro – механизмы защиты Stateful Inspection Анализ сетевого трафика на соответствие протоколов спецификациям RFC Bandwidth management Управление шириной полосы пропускания для заданного протокола, сети, сервиса Услуги по защите от DDoS-атак В декабре 2009 г. компания БИФИТ создала Центр очистки трафика «ИБАНК2.РУ» Задача – предоставление банкам, промышленно эксплуатирующим систему «iBank 2», услуг по защите банковских каналов и сервисов от DDoS-атак Центр очистки трафика «ИБАНК2.РУ» ЦОТ «ИБАНК2.РУ» размещен в Дата-Центре ММТС-9 Для очистки трафика используется решение Radware DefensePro Подключен 1 интернет-канал 1 Гбит/сек (flat-rate) через 10 GbE Питание от 2 промышленных ИБП Дата-центра + независимый ИБП Центр очистки трафика «ИБАНК2.РУ» В январе 2010 г. банкам в режиме опытной эксплуатации предлагается использовать единую резервную точку подключения к Internet-Банкингу От банка требуется наличие резервного канала с «секретным» IP-адресом для взаимодействия с ЦОТ «ИБАНК2.РУ» В режиме опытной эксплуатации услуга предоставляется бесплатно Центр очистки трафика «ИБАНК2.РУ» ЦОТ «ИБАНК2.РУ» Клиент DDoS-атака DDoS-атака Злоумышленник Сервер Приложения «iBank 2» Центр очистки трафика «ИБАНК2.РУ» X международный форум iFin-2010 Стратегия защиты банков от DDoS-атак. Решения Radware DefensePro и Arbor Peakflow SP. Центр очистки трафика «ИБАНК2.РУ» Шилов Станислав info@bifit.com