KASPERSKY DDOS PREVENTION ВЕБИНАР ДЛЯ ПАРТНЕРОВ ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО» Алексей Киселев Менеджер проекта Kaspersky DDoS Prevention Евгений Барков DDoS Prevention Project, Инженер предпродажной поддержки
ПРОБЛЕМА DDOS АТАК
DDOS АТАКИ КАК ПРОБЛЕМА ВЫСОКАЯ СТОИМОСТЬ ПРОСТОЯ СЕРВИСА Интернет-банкинг Продажи онлайн Другие онлайн сервисы РЕПУТАЦИОННЫЕ РИСКИ DDOS АТАКА КАК ЧАСТЬ СЛОЖНОЙ ТАРГЕТИРОВАННОЙ АТАКИ
ТЕНДЕНЦИИ 2013 – 2014 По данным из открытых источников
СТАТИСТИКА ЗА Q1 2014* На 47% увеличилось количество DDoS атак На 9% снизился средний объем атаки На 68% увеличился объем низкоуровневых атак На 133% увеличился средний пиковый объем атаки Зафиксирована самая мощная атака с параметрами 200 Gbps и 53.5 Mpps По данным из открытых источников *По сравнению с Q1 2013
ВАРИАНТЫ ЗАЩИТЫ ОТ DDOS 6 HW Appliance Сервис от провайдера (Аrbor Peakflow) Специализированный сервис Arbor Pravail Radware Периметр (МФИ Софт) Ростелеком Мегафон Акадо и пр. Kaspersky DDoS Prevention Российские аналоги Prolexic (нет в России)
KASPERSKY DDOS PREVENTION (KDP) СОВМЕСТНОЕ ПРОДВИЖЕНИЕ РЕШЕНИЯ С ПАРТНЕРАМИ «ЛАБОРАТОРИИ КАСПЕРСКОГО»
К ЧЕМУ СТРЕМИМСЯ Увеличения доходности Партнеров (и ЛК, соответственно) за счет увеличения продаж KDP Развитие в Партнере компетенций по решению KDP Продвижение Партнерами решения KDP своим Заказчикам, информирование Заказчиков о преимуществах решения Активное участие Партнеров в процессах продажи и подключения Заказчиков к KDP
ВЫГОДЫ ПАРТНЕРА (1/2) Качественное решение от известного производителя для своих Заказчиков Скидки. При «среднем чеке» 1,2-2,7 млн.руб. / год – 10 заказчиков ~ ¼ млн.дол. в год) Возможность продажи решения ТОП – Заказчикам (стоимость значительно превышает сумму «среднего чека») Уникальность предложения при работе в конкурсах
ВЫГОДЫ ПАРТНЕРА (2/2) Отсутствие капитальных и больших логистических затрат (решение поставляется как Лицензия) Возможность сопутствующих услуг / поставок в рамках подготовки инфраструктуры Заказчика к подключению Отсутствие затрат на продление / дозакупку лицензии при высоком (более 95%) проценте продлений Отсутствие затрат на этапе обслуживания Заказчика
О СИСТЕМЕ KASPERSKY DDOS PREVENTION
НАЗНАЧЕНИЕ И ОСОБЕННОСТИ СИСТЕМЫ 12 Kaspersky DDoS Prevention – распределенная система фильтрации трафика, предназначенная для защиты от DDoS-атак всех уровней. Распределенная система центров фильтрации, размещенных на площадках различных операторов связи Собственная технологическая платформа Автоматизированный мониторинг возникновения аномалий Фильтрация на основе множественных критериев Сопровождение квалифицированными инженерами 24 х 7
МЕТОДЫ ОЧИСТКИ ТРАФИКА 13 Атака на полосу пропускания Атака на ОС Атака на приложение Статистические методы Размещение на ресурсах различных операторов связи Проверка корректности протокола Распределенная система очистки GEO-фильтрация Поведенческий анализ
РАБОТА СИСТЕМЫ KASPERSKY DDOS PREVENTION
РАБОТА СИСТЕМЫ 15 Клиентская зона Центр Управления Центры Очистки Коллектор Веб-портал Администратор Ресурс Сенсор
РАБОТА СИСТЕМЫ 16 Клиентская зона Центр Управления Центры Очистки Коллектор Веб-портал Администратор Ресурс Сенсор
РАБОТА СИСТЕМЫ 17 Клиентская зона Центр Управления Центры Очистки Коллектор Веб-портал Администратор Ресурс Сенсор
ПРОЦЕСС ВНЕДРЕНИЯ У КЛИЕНТА KASPERSKY DDOS PREVENTION
ОСНОВНЫЕ ВОПРОСЫ ВНЕДРЕНИЯ 19 Центр Управления Коллектор Веб-портал Администратор Клиентская зона Центры Очистки Ресурс Сенсор 1. Перенаправленияе трафика 2. Доставка и возврат очищенного трафика 3. Установка Сенсора
20 ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА KASPERSKY DDOS PREVENTION
ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА 21 Центр Управления Коллектор Веб-портал Администратор Клиентская зона Ресурс Сенсор Центры Очистки 1. Перенаправление трафика
РАБОТА ПРОТОКОЛА BGP
BGP – РЕЖИМ МОНИТОРИНГА
BGP – РЕЖИМ ЗАЩИТЫ
DNS – РЕЖИМ МОНИТОРИНГА
DNS – РЕЖИМ ЗАЩИТЫ
СПОСОБЫ ПЕРЕНАПРАВЛЕНИЯ ТРАФИКА 27 DNSBGP Возможность управления доменной зоной, в которой находятся защищаемые ресурсы Возможность установить время жизни DNS-записи (TTL) не более 300 секунд Выделенные IPv4-адреса для защищаемых ресурсов Наличие собственной автономной системы Возможность выделения под защищаемые ресурсы сети класса С (адрес должен принадлежать к PI- блоку адресов) В случае присутствия в выделенной подсети класса С иных ресурсов, следует иметь ввиду, что в режиме защиты доставка трафика от и до них не гарантируется
28 ДОСТАВКА И ВОЗВРАТ ОЧИЩЕННОГО ТРАФИКА KASPERSKY DDOS PREVENTION
ДОСТАВКА И ВОЗВРАТ ОЧИЩЕННОГО ТРАФИКА 29 Центр Управления Коллектор Веб-портал Администратор Клиентская зона Сенсор Ресурс 2. Доставка и возврат очищенного трафика Центры Очистки
ВАРИАНТЫ ДОСТАВКИ И ВОЗВРАТА ТРАФИКА 30 Независимо от способа перенаправления, очищенный трафик возвращается на защищаемый ресурс одним из двух способов: Проксирование – используется при экстренном подключении При условии, что осуществляется защита протокола HTTP, и защищаемый ресурс может получать исходный адрес не в самом пакете, а в HTTP заголовке. Туннелирование (GRE) – стандартный вариант Если осуществляется защита других протоколов и/или необходимо получение исходных адресов в самих пакетах. 1 2
ПОЧЕМУ GRE? 31 КРИТЕРИЙ ОЦЕНКИPROXYGRE Простота и скорость конфигурирования для клиента Поддержка любых протоколов Оригинальные IP-адреса отправителя Неограниченное число сессий Поддержка способа перенаправления трафика с использованием BGP
32 УСТАНОВКА СЕНСОРА KASPERSKY DDOS PREVENTION
УСТАНОВКА СЕНСОРА 33 Центр Управления Коллектор Веб-портал Администратор Центры Очистки Клиентская зона Ресурс Сенсор 3. Установка Сенсора
МИНИМАЛЬНЫЕ ТРЕБОВАНИЯ К СЕНСОРУ 34 CPU4 Core, 2 GHz RAM8 Gb HDD 2 x 500 Gb (RAID 1) 3,5 с поддержкой «горячей» замены LAN1 interface (Internet) + N interfaces (SPAN)
МЕСТО УСТАНОВКИ СЕНСОРА 35
СПАСИБО ЗАО «Лаборатория Касперского» , Москва, Ленинградское шоссе 39A/3 Tel: +7 (495) доб