Wprowadzenie do rozwiązań Arbor Peakflow SP i Peakflow SP TMS

Rozwiązanie Peakflow SP jest platformą monitorującą ruch sieciowy pod kątem wystąpienia anomalii wskazujących na incydenty bezpieczeństwa.

Dzięki wykorzystaniu technologii bazujących na przepływach pakietów IP (ang.IP flow) takich jak np. NetFlow czy sFlow oraz inspekcji pakietów wykonywanej wyższych warstwach modelu ISO OSI (DPI), rozwiązanie Peakflow SP oferuje optymalny kosztowo i jednocześnie dokładny wgląd w aktywności sieciowe i aplikacyjne użytkowników.

Zbieranie informacji, nawet w infrastrukturach złożonych z setek routerów i tysięcy interfejsów sieciowych, umożliwia rozwiązaniu rozpoczęcie procesu nauki i sprofilowania akceptowalnego poziomu i struktury ruchu sieciowego oraz dopuszczalnych tras sieciowych. Proces ten w efekcie kończy się stworzeniem pełnych logicznych modelów przepływu danych w sieci.

Uzbrojona w tak dokładne informacje platforma Peakflow SP jest w stanie poinformować personel IT o znaczących odchyleniach od sprofilowanego, zaakceptowanego modelu pracy sieci (tzw. anomalie sieciowe), niezależnie od faktu czy zostały one spowodowane przez awarię, błąd w konfiguracji czy rozproszony atak na ciągłość pracy systemów IT (ang. DDOS).

Peakflow SP wykrywa różne typy zagrożeń, w tym przede wszystkim:

1.Ataki na pasmo potrzebne do świadczenia usługi np. zalanie pakietami ICMP/UDP

2.Ataki wyczerpanie zasobów systemu świadczącego usługę np. zalanie datagramami z flagą TCP SYN

3.Ataki na konkretną aplikację wykorzystaną do świadczenia usługi np. ataki z wykorzystaniem protokołu HTTP (duża ilość sesji imitujących sesje przeglądarki użytkownika), DNS czy protokołów aplikacji VOIP.

Z racji faktu, iż większość globalnych operatorów telekomunikacyjnych na świecie używa rozwiązania Peakflow SP, stawiane jest ono za wzorzec systemu spełniającego wymagania najbardziej wymagających środowisk sieciowych w zakresie zwalczania rozmaitych ataków typu DDOS z wręcz chirurgiczną dokładnością.

Dlaczego Arbor Peakflow SP?

Peakflow SP nie posiada tablicy stanu sesji dla wszystkich połączeń w sieci..

W przeciwieństwie do systemów firewall i IPS rozwiązania klasy IDMS nie mogą funkcjonować w oparciu o tablice stanu sesji sieciowych.
Każde z rozwiązań typu "statefull" jest narażone na atak ddos wyczerpujący limit wpisów w tejże tablicy i tylko potęguję problem ewentualnego ataku typu DDOS.

Możliwość wdrożenia "in-line" oraz "out-of-band"..

W przeciwieństwie do systemów firewall i IPS rozwiązanie klasy IDMS (Intelligent DDOS Mitigation System) powinno mieć możliwość wdrożenie w obydwu modelach.
Model "out-of-band" zalecany jest ze względu na brak dodania kolejnego potencjalnego wąskiego gardła które może być wykorzystane podczas ataku typu DDOS.
W trybie "in-line" analizowany powinien być jedynie ruch podejrzany o atak DDOS typu innego niż atak DDOS na pasmo (patrz opis powyżej).

Umiejętność wykrywania i powstrzymywania "rozdystrybuowanych" ataków DDOS..

Rozdystrybuowana natura ataków typu DDOS wymaga takich samych metod ich wykrywania. Bazujące na pracy w pojedynczym segmencie sieci systemy firewall i IPS nie wykryją mniejszych ataków typu DDOS bądź nie poradzą sobie z atakami tego typu na dużą skalę.

Zróżnicowane mechanizmy wykrywania ataków DDOS i ich powstrzymywania...

System klasy IDMS wykrywa ataki wykorzystując szeroki wachlarz mechanizmów. W portfolio rozwiązania Peakflow SP znajdują się:

1.Metoda wykrywania anomalii za pomocą statystycznego profilowania modelu ruchu w sieci

2.Metoda wykrywania anomalii za pomocą wykrywania nieprawidłowego wykorzystania protokołów bądź deformacji pakietów.

3.Metoda wykrywania anomalii za pomocą wykrywania przekroczenia ustalonych akceptowalnych poziomów w ruchu sieciowym, opcjonalnie jednoznaczna z pogwałceniem polityki bezpieczeństwa

4.Metoda wykrywania anomalii za pomocą sygnatur bazujących o wzorce behawioralne, a nie jak w przypadku systemów IPS o wzorce binarne występujące w pakiecie

Skalowalność rozwiązania..

System klasy IDMS powinien skalować się od nisko wolumenowych ataków na aplikacje serwowane w centrach przetwarzania informacji - nie przekraczających 1GB/s, aż do ataków na pasmo
w sieciach operatorskich rzędu 40GB/s.

Z przyjemnością udzielimy Państwu więcej informacji, prosimy o kontakt pod adresem sales@4sync.pl