Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
1
KASPERSKY DDOS PREVENTION ВЕБИНАР ДЛЯ ПАРТНЕРОВ ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО» Алексей Киселев Менеджер проекта Kaspersky DDoS Prevention Евгений Барков DDoS Prevention Project, Инженер предпродажной поддержки
2
ПРОБЛЕМА DDOS АТАК
3
DDOS АТАКИ КАК ПРОБЛЕМА ВЫСОКАЯ СТОИМОСТЬ ПРОСТОЯ СЕРВИСА Интернет-банкинг Продажи онлайн Другие онлайн сервисы РЕПУТАЦИОННЫЕ РИСКИ DDOS АТАКА КАК ЧАСТЬ СЛОЖНОЙ ТАРГЕТИРОВАННОЙ АТАКИ
4
ТЕНДЕНЦИИ 2013 – 2014 По данным из открытых источников
5
СТАТИСТИКА ЗА Q1 2014* На 47% увеличилось количество DDoS атак На 9% снизился средний объем атаки На 68% увеличился объем низкоуровневых атак На 133% увеличился средний пиковый объем атаки Зафиксирована самая мощная атака с параметрами 200 Gbps и 53.5 Mpps По данным из открытых источников *По сравнению с Q1 2013
6
ВАРИАНТЫ ЗАЩИТЫ ОТ DDOS 6 HW Appliance Сервис от провайдера (Аrbor Peakflow) Специализированный сервис Arbor Pravail Radware Периметр (МФИ Софт) Ростелеком Мегафон Акадо и пр. Kaspersky DDoS Prevention Российские аналоги Prolexic (нет в России)
7
KASPERSKY DDOS PREVENTION (KDP) СОВМЕСТНОЕ ПРОДВИЖЕНИЕ РЕШЕНИЯ С ПАРТНЕРАМИ «ЛАБОРАТОРИИ КАСПЕРСКОГО»
8
К ЧЕМУ СТРЕМИМСЯ Увеличения доходности Партнеров (и ЛК, соответственно) за счет увеличения продаж KDP Развитие в Партнере компетенций по решению KDP Продвижение Партнерами решения KDP своим Заказчикам, информирование Заказчиков о преимуществах решения Активное участие Партнеров в процессах продажи и подключения Заказчиков к KDP
9
ВЫГОДЫ ПАРТНЕРА (1/2) Качественное решение от известного производителя для своих Заказчиков Скидки. При «среднем чеке» 1,2-2,7 млн.руб. / год – 10 заказчиков ~ ¼ млн.дол. в год) Возможность продажи решения ТОП – Заказчикам (стоимость значительно превышает сумму «среднего чека») Уникальность предложения при работе в конкурсах
10
ВЫГОДЫ ПАРТНЕРА (2/2) Отсутствие капитальных и больших логистических затрат (решение поставляется как Лицензия) Возможность сопутствующих услуг / поставок в рамках подготовки инфраструктуры Заказчика к подключению Отсутствие затрат на продление / дозакупку лицензии при высоком (более 95%) проценте продлений Отсутствие затрат на этапе обслуживания Заказчика
11
О СИСТЕМЕ KASPERSKY DDOS PREVENTION
12
НАЗНАЧЕНИЕ И ОСОБЕННОСТИ СИСТЕМЫ 12 Kaspersky DDoS Prevention – распределенная система фильтрации трафика, предназначенная для защиты от DDoS-атак всех уровней. Распределенная система центров фильтрации, размещенных на площадках различных операторов связи Собственная технологическая платформа Автоматизированный мониторинг возникновения аномалий Фильтрация на основе множественных критериев Сопровождение квалифицированными инженерами 24 х 7
13
МЕТОДЫ ОЧИСТКИ ТРАФИКА 13 Атака на полосу пропускания Атака на ОС Атака на приложение Статистические методы Размещение на ресурсах различных операторов связи Проверка корректности протокола Распределенная система очистки GEO-фильтрация Поведенческий анализ
14
РАБОТА СИСТЕМЫ KASPERSKY DDOS PREVENTION
15
РАБОТА СИСТЕМЫ 15 Клиентская зона Центр Управления Центры Очистки Коллектор Веб-портал Администратор Ресурс Сенсор
16
РАБОТА СИСТЕМЫ 16 Клиентская зона Центр Управления Центры Очистки Коллектор Веб-портал Администратор Ресурс Сенсор
17
РАБОТА СИСТЕМЫ 17 Клиентская зона Центр Управления Центры Очистки Коллектор Веб-портал Администратор Ресурс Сенсор
18
ПРОЦЕСС ВНЕДРЕНИЯ У КЛИЕНТА KASPERSKY DDOS PREVENTION
19
ОСНОВНЫЕ ВОПРОСЫ ВНЕДРЕНИЯ 19 Центр Управления Коллектор Веб-портал Администратор Клиентская зона Центры Очистки Ресурс Сенсор 1. Перенаправленияе трафика 2. Доставка и возврат очищенного трафика 3. Установка Сенсора
20
20 ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА KASPERSKY DDOS PREVENTION
21
ПЕРЕНАПРАВЛЕНИЕ ТРАФИКА 21 Центр Управления Коллектор Веб-портал Администратор Клиентская зона Ресурс Сенсор Центры Очистки 1. Перенаправление трафика
22
РАБОТА ПРОТОКОЛА BGP
23
BGP – РЕЖИМ МОНИТОРИНГА
24
BGP – РЕЖИМ ЗАЩИТЫ
25
DNS – РЕЖИМ МОНИТОРИНГА
26
DNS – РЕЖИМ ЗАЩИТЫ
27
СПОСОБЫ ПЕРЕНАПРАВЛЕНИЯ ТРАФИКА 27 DNSBGP Возможность управления доменной зоной, в которой находятся защищаемые ресурсы Возможность установить время жизни DNS-записи (TTL) не более 300 секунд Выделенные IPv4-адреса для защищаемых ресурсов Наличие собственной автономной системы Возможность выделения под защищаемые ресурсы сети класса С (адрес должен принадлежать к PI- блоку адресов) В случае присутствия в выделенной подсети класса С иных ресурсов, следует иметь ввиду, что в режиме защиты доставка трафика от и до них не гарантируется
28
28 ДОСТАВКА И ВОЗВРАТ ОЧИЩЕННОГО ТРАФИКА KASPERSKY DDOS PREVENTION
29
ДОСТАВКА И ВОЗВРАТ ОЧИЩЕННОГО ТРАФИКА 29 Центр Управления Коллектор Веб-портал Администратор Клиентская зона Сенсор Ресурс 2. Доставка и возврат очищенного трафика Центры Очистки
30
ВАРИАНТЫ ДОСТАВКИ И ВОЗВРАТА ТРАФИКА 30 Независимо от способа перенаправления, очищенный трафик возвращается на защищаемый ресурс одним из двух способов: Проксирование – используется при экстренном подключении При условии, что осуществляется защита протокола HTTP, и защищаемый ресурс может получать исходный адрес не в самом пакете, а в HTTP заголовке. Туннелирование (GRE) – стандартный вариант Если осуществляется защита других протоколов и/или необходимо получение исходных адресов в самих пакетах. 1 2
31
ПОЧЕМУ GRE? 31 КРИТЕРИЙ ОЦЕНКИPROXYGRE Простота и скорость конфигурирования для клиента Поддержка любых протоколов Оригинальные IP-адреса отправителя Неограниченное число сессий Поддержка способа перенаправления трафика с использованием BGP
32
32 УСТАНОВКА СЕНСОРА KASPERSKY DDOS PREVENTION
33
УСТАНОВКА СЕНСОРА 33 Центр Управления Коллектор Веб-портал Администратор Центры Очистки Клиентская зона Ресурс Сенсор 3. Установка Сенсора
34
МИНИМАЛЬНЫЕ ТРЕБОВАНИЯ К СЕНСОРУ 34 CPU4 Core, 2 GHz RAM8 Gb HDD 2 x 500 Gb (RAID 1) 3,5 с поддержкой «горячей» замены LAN1 interface (Internet) + N interfaces (SPAN)
35
МЕСТО УСТАНОВКИ СЕНСОРА 35
36
СПАСИБО ЗАО «Лаборатория Касперского» , Москва, Ленинградское шоссе 39A/3 Tel: +7 (495) доб
Еще похожие презентации в нашем архиве:
