При поддержке
Тарио

Оборудование и ПО для обеспечения сетевой безопасности

Наиболее болезненной атакой для любой телекоммуникационной компании является DoS (DDoS) — атака. Вирусы и черви также могут причинить беспокойство, но вследствие того, что они парализуют работу только электронной почты, ущерб от них не сопоставим с ущербом от атак типа «отказ в доступе».

Несмотря на, казалось бы, неотвратимость DoS-атаки, этому виду угроз можно противостоять. Стоимость решения может быть достаточно высока, однако она может быть оправдана. Особенно в тех случаях, если речь идёт о телекоммуникационных компаниях. Без средств связи невозможно представить современный мир. Поэтому телекоммуникационные объекты считаются стратегически важными ресурсами.

На передовой линии борьбы с «силами зла» (т.е. компьютерными взломщиками) стоят провайдеры доступа в интернет и компании, оказывающие различные услуги в интернете (например, хостинг). Прямая DoS-атака на эти компании нанесет огромный ущерб их бизнесу. Стратегические бизнес-процессы будут парализованы, вследствие чего компания потеряет деньги и репутацию.

Некоторые компании (и таких становится всё больше) осознают серьёзность положения и предпринимают действия, чтобы обезопасить себя. Взгляд на рынок оборудования и ПО для обеспечения сетевой безопасности (в том числе для защиты от DoS-атаки) останавливается на следующих решениях:

  • Cisco Guard.
  • Radware defensePro.
  • Arbor Networks Peakflow SP.
  • Top Layer Attack Mitigator IPS 5500.

Cisco Guard

Представители Cisco считают, что отражение DDoS-атаки требует нового подхода, который базируется не только на своевременном обнаружении атаки, но и на смягчении её последствий.

Решение Cisco основывается на следующих концепциях:

1. Смягчение последствий атаки, а не только её обнаружение.

2. Аккуратное разграничение хорошего трафика и плохого, для поддержания непрерывности бизнес-процессов.

3. Возможность изменения архитектуры решения для быстрого устранения возможных уязвимостей.

4. Надежное и эффективное масштабирование решения.

В итоге, решение Cisco решает одновременно несколько задач по защите компании от сетевых атак. Мгновенно определяет DDoS-атаку. Причем даже в том случае, когда адреса атакующих компьютеров фальсифицированы. На основе поведенческого механизма определяет «плохие» пакеты во входящем трафике. Далее определяет и блокирует фальсифицированные пакеты данных. Включает в себя механизм, который способен «поглощать» большой объем данных в ходе DDoS-атаки.

Radware defensePro

По словам представителей компании Radware, перед оборудованием такого класса стоит задача не только обеспечить отражение и  минимизацию последствий DoS/DDoS атак, но и проверить весь трафик на предмет наличия вредоносных данных. Как пример, известны уязвимости использование которых может привести к «зависанию» сервиса (результат — отказ в  обслуживании) или к получению несанкционированного доступа к системе с  наивысшими привилегиями.

Решение Radware DefensePro обеспечивает защиту сети или ресурса с помощью4-х основных механизмов:

1) Анализ траффика на основаниие сигнатур. Это позволяет блокировать известные типы атак, в том числе и DoS. Это позволяет очистить траффик от нежелательных данных (черви, вирусы, не желательный Р2Р траффик и т.д.), а так же предотвратить попытки использования ошибок в ПО для получения несканционнированного доступа или нарушения работы программного обеспечения оборудования.

2) Использование запатентованной технологии анализа поведения потока данных с помощью специального механизма семплирования трафика позволяет определить «хороший» и «плохой» трафик. После обнаружения «плохого» трафика, производится выделение сигнатуры и  закономерностей, эти данные передаются модулю IPS/DoS и добавляются в базу данных по типам атак, для последующего блокирования. Если определить сигнатуру или закономерности не возможно, то приводится в действие механизм блокирования неизвестных атак.

3) Использование механизма SYN Cookie позволяет блокировать попытки злоумышленника заполнить нелегитимными запросами все ресурсы сервера, тем самым вызвать отказ в обслуживании для запросов легитимного пользователя.

4) Управление полосой пропускания позволяет контроллировать сколько ресурсов канала потребляет тот или иной сервис. Так же в случае возникновения неизвестного типа атаки, данный механизм используется для минимизации или предотвращения последствий для атакуемого и других сервисов расположенных на том же канале.

Особенности оборудования:

- полная «прозрачность» для сети и двунаправленный анализ трафика. DefensePro не имеет ни МАС, ни  IP-адреса, как следствие, злоумышленник не имеет возможности отследить где установлена система защиты.

- Один DefensePro может одновременно обслуживать несколько сегментов сети, путём разделения на несколько виртуальных устройств.

- Анализ трафика в двух направлениях позволяет избежать распространения вирусов и червей в пределах сети, а так же, в случае инфицирования, позволяет блокировать исходящие атаки.

- Производительность до 3Гб/сек.

Так же, механизмы защиты аналогичные Radware DefensePro встроены во все решения компании Radware. Это достигается за счёт унифицированности ПО и позволяет обеспечить необходимый уровень защиты во всех ключевых точках сети.

Arbor Networks Peakflow SP

Решение компании Arvor Networks представляет собой настраиваемый портал или так называемую «приборную доску», задача которой дать пользователю возможность понять с первого взгляда, что происходит у него в сети. Помимо информации о DoS-атаках, пользователь может узнать много интересного о других типах атак. Также пользователь получает сведения о трафике и другие данные.

Кроме этого Peakflow является сетевым анализатором, который позволяет изучить атаку и предпринять ответные действия. В частности, Peakflow генерирует детализированный отчет о трафике, портах, которые подвергаются атаке, протоколе, который используется, а также массу других данных. Эта информация используется ИТ-специалистами для того, чтобы противодействовать атаке.

Top Layer Attack Mitigator IPS 5500

Данное решение, как и все предыдущие, является программно-аппаратным комплексом. Производитель — компания Top Layer Networks — позиционирует своё решение как самое совершенное в своем классе (об этом говорят и другие компании). Покупатели Top Layer Attack Mitigator IPS 5500, по словам представителей компании, приобретают не только устройство, но и большой инструментарий.

  • Упреждающая защита от атаки — всеобъемлющая защита от любых типов атаки, в том числе и неизвестных.
  • Встроенные средства защиты — встроенный механизм инспекции и блокирования атак в режиме реального времени.
  • Встроенный механизм защиты от DDoS-атак — наиболее совершенный механизм защиты от всех типов DoS-атак, в том числе смешанного типа.

Анализ наиболее востребованных программных и аппаратных средств для обеспечения сетевой безопасности показывает, что по многим пунктам решения дублируют друг друга. Выбор того или иного продукта очень часто определяется стоимостью решения, известностью компании, и другими, не связанными с продуктом, характеристиками.

Роман Боровко / CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS