e37e6d4cc3685f50a1fac2a195d63aa9.ppt
- Количество слайдов: 22
X международный форум i. Fin-2010 Стратегия защиты банков от DDo. S-атак. Решения Radware Defense. Pro и Arbor Peakflow SP. Центр очистки трафика «ИБАНК 2. РУ» Москва 2010
DDo. S-атаки - противодействие Стратегии защиты: 1. 2. Самостоятельное приобретение банком оборудования с установкой его у провайдера Подключение к специализированным сервисам, осуществляющим защиту от DDo. S-атак
DDo. S-атаки - противодействие Самостоятельное приобретение оборудования банком Достоинства: • Отсутствие регулярных платежей • Гибкость и оперативность управления Недостатки: • Большие стартовые инвестиции • Потребность в квалифицированных специалистах
DDo. S-атаки - противодействие Использование сервисов провайдера по защите от DDo. S-атак Достоинства: • Отсутствие крупных стартовых расходов Недостатки: • Регулярные платежи от 1 до 10 тыс. USD • Потери легитимного трафика • Недостаточная оперативность управления
Решения по защите от DDo. S-атак Компания «БИФИТ» в июне 2009 г. создала Центр Компетенции по защите от DDo. S-атак Задача Центра – изучение и предложение банкам решений по защите от DDo. S-атак Предлагаемые решения: - Arbor Peakflow SP - Radware Defense. Pro
Решения Arbor Peakflow SP
Решения Arbor Peakflow SP Относятся к операторскому классу (используются 70% мировых провайдеров) Осуществляют сбор информации о сетевом трафике с маршрутизаторов (протоколы Netflow, JFlow и т. д. ) Особенности: - высокая цена (от 250 тыс. USD) - ориентированность на большие объемы трафика
Решения Radware Defense. Pro Линейка решений Radware Defense. Pro • x 016 IPS & Behavioral Protection • x 412 Behavioral Protection Платформа – 2 процессора Dual-Core Opteron, 6. . 10 Gb RAM, сетевые процессоры EZChip Technologies, специализированные ASIC и FPGA для аппаратного ускорения обработки трафика
Решения Radware Defense. Pro Схема подключения Radware Defense. Pro Вариант 1: наличие «толстых» каналов до банка
Решения Radware Defense. Pro Схема подключения Radware Defense. Pro Вариант 2: стандартные каналы до банка
Решения Radware Defense. Pro Схема работы
Radware Defense. Pro – механизмы защиты Behavioral DDo. S Protection • • Deep Packet Inspection (L 7) Накопление и анализ статистики Обучение и построение модели штатного трафика Выявление атак на основе анализа аномалий Динамическая фильтрация с помощью автоматически генерируемых сигнатур (12 сек) Механизм обратной связи Учет качественных параметров трафика
Radware Defense. Pro – механизмы защиты Behavioral DDo. S Protection
Radware Defense. Pro – механизмы защиты TCP SYN Flood Protection Позволяет защищаться от SYN-атак с подменой адреса отправителя (spoofing) Использует механизм SYN Cookies, поддерживаемый встроенными сетевыми процессорами
Radware Defense. Pro – механизмы защиты Signature Protection Построен на базе высокопроизводительного аппаратного IPS Наиболее эффективен для противостояния известным атакам Обновление сигнатур осуществляется с помощью Radware Security Update Service
Radware Defense. Pro – механизмы защиты Stateful Inspection Анализ сетевого трафика на соответствие протоколов спецификациям RFC Bandwidth management Управление шириной полосы пропускания для заданного протокола, сети, сервиса
Услуги по защите от DDo. S-атак В декабре 2009 г. компания БИФИТ создала Центр очистки трафика «ИБАНК 2. РУ» Задача – предоставление банкам, промышленно эксплуатирующим систему «i. Bank 2» , услуг по защите банковских каналов и сервисов от DDo. S-атак
Центр очистки трафика «ИБАНК 2. РУ» ЦОТ «ИБАНК 2. РУ» размещен в Дата-Центре ММТС-9 Для очистки трафика используется решение Radware Defense. Pro Подключен 1 интернет-канал 1 Гбит/сек (flat-rate) через 10 Gb. E Питание от 2 промышленных ИБП Дата-центра + независимый ИБП
Центр очистки трафика «ИБАНК 2. РУ» В январе 2010 г. банкам в режиме опытной эксплуатации предлагается использовать единую резервную точку подключения к Internet-Банкингу От банка требуется наличие резервного канала с «секретным» IP-адресом для взаимодействия с ЦОТ «ИБАНК 2. РУ» В режиме опытной эксплуатации услуга предоставляется бесплатно
Центр очистки трафика «ИБАНК 2. РУ» ЦОТ «ИБАНК 2. РУ» на ход . ru nk 2 a т ib сай ерв В Вход на сай Рез ны й кан ал т банка Клиент Основной к анал DDo. S-атака Злоумышленник Сервер Приложения «i. Bank 2»
Центр очистки трафика «ИБАНК 2. РУ»
X международный форум i. Fin-2010 Стратегия защиты банков от DDo. S-атак. Решения Radware Defense. Pro и Arbor Peakflow SP. Центр очистки трафика «ИБАНК 2. РУ» Шилов Станислав info@bifit. com
e37e6d4cc3685f50a1fac2a195d63aa9.ppt