© 2007 Cisco Systems, Inc. All rights reserved. 1 1/128 Контроль поведения абонентов в сетях передачи данных Михаил Кадер Инженер-консультант

© 2007 Cisco Systems, Inc. All rights reserved. 2 2/128 SP Security Содержание Оператор связи и безопасность Контроль поведения абонентов Заключение

© 2007 Cisco Systems, Inc. All rights reserved. 3 3/128 SP Security Требования современного оператора связи в области информационной безопасности

© 2007 Cisco Systems, Inc. All rights reserved. 4 4/128 SP Security 3+ кита безопасности оператора Инфраструктура оператора Защита ядра и сервисов Защита клиентов Защита корпорат. сети Аутсорсинг безопасности

© 2007 Cisco Systems, Inc. All rights reserved. 5 5/128 SP Security Базирующиеся на IP сети увеличивают опасность нанесения ущерба вследствие: недоверенных внешних сетей Увеличения числа соединения из недоверенных внешних сетей, таких как Интернет и пиринг черверй, вирусов и DDoS-атак Роста числа «открытых» сетей, протоколов и приложений и открытости для черверй, вирусов и DDoS-атак Незащищенных пользовательских устройств Незащищенных пользовательских устройств, которые могут стать целью или источником проблем Пиринговых (P2P) приложений Пиринговых (P2P) приложений, которые могут захватить полосу пропускания и снизить доходность платных сервисов Операторский бизнес Рост доходности приводит к росту рисков

© 2007 Cisco Systems, Inc. All rights reserved. 6 6/128 SP Security Разные категории операторов Традиционные Кабельные Мобильные GSM CDMA WiMAX Интернет-провайдеры Хостинговые провайдеры © 2005 Cisco Systems, Inc. All rights reserved.

© 2007 Cisco Systems, Inc. All rights reserved. 7 7/128 SP Security В чем риск? Потеря контроля над трафиком Атаки Denial of Service (DoS)/Distributed Denial of Service (DDoS) влияют на ядро сети или на сети заказчиков Неправильно выделенная полоса пропускания (Quality of Service QoS) для сетевого трафика Трафик, нацеленный на другие сетевые сервисы, например, DNS, NTP и т.д. Отказ от использования платных сервисов в пользу бесплатных, например, Skype Невозможность контролировать сетевые потоки является одной их основных головных болей оператора связи

© 2007 Cisco Systems, Inc. All rights reserved. 8 8/128 SP Security Воздействие атак на бизнес оператора Удар по репутации и снижение лояльности клиентов Привлечение к уголовной или административной ответственности Иски и финансовые претензии со стороны клиентов Простои сетевых узлов и инфраструктуры Снижение курсовой стоимости акций Банкротство

© 2007 Cisco Systems, Inc. All rights reserved. 9 9/128 SP Security Стратегия обеспечения безопасности операторов связи и услуг

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Ключевые направления действий Непрерывность и доступность сервисов Контроль поведения абонентов Защита от вирусов, червей и спама Защита периметра Выполнение законодательных требований Исполнение социальной роли

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Управление Сегодня Фаза 1 Фаза 2 Static Access Lists Layer 3/4 Firewalls Device Hardening Secure Passwords Authentication Authorization User Awareness Data Mining Resource Monitoring Event Correlation Lawful Interception Per Service Policy Control Per User Policy Control Content Filtering DoS Protection Virus Prevention Worm Detection Attack Mitigation Self-Defending Статика Динамика High Availability High Resiliency Guaranteed QoS SLA Assurance New Services + мониторинг + отражение SP Security Framework Поэтапный подход

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Об общего к частному Контроль поведения абонентов

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Средства контроля поведения Видимость – критический элемент безопасности – вы не можете контролировать то, чего не видите… Протокольные анализаторы Специализированные протоколы Специализированные продукты

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Политики Анализ и отчеты Аккуратная идентификация и профилирование трафика приложений и абонентов Полный анализ на уровнях 4-7 – кто использует сеть и как? Реагирование путем QoS, redirect, mark или drop для отдельных абонентов, приложений, времени суток… Обнаружение и предотвращение DoS- атак, червей и SPAM-зомби Контроль пиринговых приложений, таких как Skype или Kazaa Видимость и контроль – ключевые аспекты безопасности… Детальный анализ трафика абонентов

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Учет практически любых требований политики безопасности Контроль приложений По сессиям или полосе пропускания Контроль по времени Пиковые загрузки и нерабочее время Контекстный контроль Приоритезация трафика важных приложений Контроль абонентов Квоты и лимиты для каждого абонента Контроль получателя Политики для собственного, пирингового и транзитного трафика Профилирование трафика абонентов

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Предустановленные шаблоны и политики для распространенных требований по безопасности Механизм поиска по образцу снижает число ложных срабатываний Высокопроизводительный механизм TLS позволяет обеспечить защиту передаваемой почты Контроль утечки информации

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security База данных 52 категории, 21M+ сайтов, ~3.5B web-страниц 1/3 БД - международная Гибкое управление политикой По пользователям, по группам Множественные действия, включая только мониторинг Видимость Простые для понимания отчеты Регистрация и сигнализация Мониторинг 24 x 7 Регулярные автоматические обновления Фильтрация URL

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Adware System Monitors Pharming Tracking Cookies Browser Hijackers Rootkits Browser Helper Objects Keyloggers Trojans Phishing & more… Автоматизированная система исследований угроз (Phileas) Проактивное обнаружение угроз Поддерживается командой экспертов Webroot

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Логическая архитектура Абонент Интернет BRAS DSLAM Service Control Engine Content Gateway 6500/7600 Dispatcher External 10G interface Connects SCE cluster via Etherchannel Load-balances and ensures session stickiness across SCEs Connects VAS value-added servers Service Control Engine Service Creation Usage-based billing Intelligent subscriber/L4-based forwarding to VAS servers e.g. Content Gateway or IPS appliances Network Security e.g. worm, DDoS, outbound SPAM protection Шлюз контроля контента Высокая производительность и масштабируемость Фильтрация URL Антивирус (почта, вэб) Aити-Spyware/Adware Антиспам/Антифишинг

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Сервер VAS Абонент 1 Удаленный сервер Интернет X Входящий трафик Исходящий трафик X Заблокированный трафик SCE Сеть Ethernet MPLS/IP Абонент 1 хочет получить почту с сервера или загрузить файл с сервера Вэб и т.п. SCE определяет, что трафик абонента соответствует описанию вируса. Сервер VAS получает трафик от SCE с тагом виртуальной локальной сети, который использовался между пользователем и сервером Сервер передает файл, который содержит вредоносное программное обеспечение. Сервер VAS обнаруживает вредоносное ПО и блокирует передачу файла Защита от вредоносного ПО Блокирование вредоносного ПО для пользователя

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Карантин: Управление персональными сервисами защиты AAA Сервер политик Упраление адресами База политик Портал Представ- ление Видео Голос Абонент/Управление сервисами Приложения и сервисы Интернет 1.Обнаружение инцидента (SCE SPAM match, DDoS match, 7600 IDS, VAS complex) 2.Менеджер политик выдает по DHCP адрес из карантинной сети 3.ISG или SCE перенаправляют трафик пользователя в карантинный VRF на сервисные приложения Parent 2 1 Карантин Серверы обновлений 2 3

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Выводы

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Безопасность исходящих сервисов Снижение затрат в процессе эпидемий Servers Internet Service Control Dear Valued Subscriber: We are advising you that your PC may have become infected with an " zombie" generating spam mail and could potentially cause additional security issues for you. Click here for technical assistance: Значение для оператора связи Снижение числа заражений абонентов и нагрузки на Call Center Рост лояльности пользователей и снижение текучести абонентов Возможность продаж дополнительных сервисов по защите Сохранение пропускной способности сети

© 2007 Cisco Systems, Inc. All rights reserved /128 SP Security Вопросы и ответы