Zadaj pytanie

Odpowiemy na Twoje pytanie z największą przyjemnością!
Wiemy wszystko o bezpieczeństwie informacji i komunikacji IP więc możesz śmiało pisać. Zapraszamy!

Twoje dane

Interesują mnie usługi z zakresu*

Twoja wiadomość*

Ogólne Informacje

Skrót DoS i DDoS zagościł w świadomości administratorów jako jeden z pierwszych terminów związanych z zagrożeniami dla sieci i usług sieciowych oferowanych w Internecie już pod koniec XX wieku. Ataki Ping Of Death, Smurf czy SYN Flood odpowiedzialne były za szereg udanych prób zatrzymania dostępności usług w Internecie. Bo to właśnie oznacza skrót DoS, (Denial-of-service) czyli „odmowa usługi” lub jego wersja realizowana przez wiele źródeł równocześnie, czyli DDoS (distributed denial-of-service).

Dzisiaj ataki (D)DoS są coraz częściej stosowane by zakłócić pracę największych serwisów i stron należących banków, firm telekomunikacyjnych czy portali transakcyjnych. Potrafią nierzadko, zablokować dostęp przez wiele godzin, a nawet kilka dni. Dla firm taka niedostępność to milionowe straty finansowe i nierzadko utrata wizerunku, na który pracować trzeba wiele lat.

Skuteczna walka z nimi to więc nie tylko sprawa oceny strat wynikających z czasowej niedostępności, ale konieczność w celu zapewnienia istnienia firmy.

Skuteczna ochrona przed atakami DDoS wymaga stosowania zróżnicowanych mechanizmów zabezpieczających. Wśród najbardziej popularnych można wymienić:

  • Specjalizowane systemy ochrony przed atakami DDoS – oparte o techniki analizy ruchu oraz wykrywania ataków DDoS. Systemy tego typu posiadają zaimplementowanie mechanizmy pozwalające na wykrywanie anomalii na podstawie analizy statystycznej, sygnatur dostarczanych przez producentów, analizy deformacji pakietów oraz analizy behawioralnej.

  • Systemy oparte o BGP - polegające na konfiguracji protokołu routingu BGP-4 w sposób pozwalający na blokowanie ruchu z Systemów Autonomicznych w których generowany jest ruch w ataku DDoS. Np. w przypadku zmasowanego ataku DDoS pochodzącego w większości z zagranicznych komputerów – można tymczasowo zablokować ruch z zagranicznych sieci, z pozostawieniem dostępu dla klientów polskich operatorów. Jedną z stosowanych technik jest tutaj tzw. BGP Blackholing.

  • Systemy oparte o przekierowania DNS – jest to metoda ochrony stosowana w chmurze. W miejsce docelowych adresów IP w systemie DNS wskazywane są adresy IP dostawcy systemu anty DDoS „w chmurze”. Tego typu dostawca posiada łącza dużej przepustowości oraz dedykowane narzędzia do ochrony DDoS. W przypadku ataku, jest on nakierowany na adresy IP dostawcy usługi. Dostawca dokonuje odfiltrowania ruchu szkodliwego oraz przekazuje do rzeczywistych serwerów jedynie ruch nie związany z atakiem. Znane są jednak ataki, które potrafią w prosty sposób ominąć wiele rozwiązań dostawców bazujących na „chmurze”

Często popełnianym błędem jest przekonanie, że atak DDoS może zostać odparty w oparciu o posiadane systemy typu firewall, IPS czy mechanizmy w routerach. Systemy oparte o mechanizm statefull inspection same w sobie są podatne na ataki DoS – atak ten wyczerpuje zasoby sprzętowe, czego efektem jest zablokowanie urządzenia. Routery nie są często zdolne do przetworzenia dużej ilości małych i zdeformowanych pakietów – atak z wykorzystaniem tego typu pakietów nie tylko wysyca łącze ale w wielu przypadkach kończy się zawieszeniem routera.


Ponieważ ataki DDoS w większości wysycają łącze – optymalnie jest aby część systemu anty DDoS zainstalowana była również po stronie operatora telekomunikacyjnego – tak, aby atak został zatrzymany przed wejściem na łącze do Klienta.

Apius posiada w swojej ofercie następujące propozycje dla Klientów:

  • Audyt odporności na ataki DDoS,

  • Wdrażanie systemów ochrony przed atakami DDoS.


Audyt odporności na Ataki DDoS

W ramach audytu odporności wykonywane są następujące działania:

  • Weryfikacja skuteczności działania wdrożonych mechanizmów (o ile Klient posiada) np. efektywność działania usług zakupionych u zewnętrznych dostawców,

  • Weryfikacja poprawności działania procedur bezpieczeństwa Klienta np. procedury komunikacji wewnętrznej (service desk) i informowaniu o zdarzeniu, procedury eskalacji, procedury zarządzania incydentem,

  • Testy praktyczne skuteczności obrony.

TESTY PRAKTYCZNE

Do przeprowadzenia testów wolumetrycznych wykorzystywany jest profesjonalny generator ruchu. Urządzenie to jest w wstanie wygenerować praktycznie dowolny wolumen ruchu. Generator może symulować zarówno klasyczne ataki sieciowe jak i ataki DDoS/DoS. Podobnie jak w przypadku sieci Botnet atak DDoS może być przeprowadzony z bardzo dużej liczby adresów źródłowych. Poza atakami wykorzystywane urządzenie jest także w wstanie symulować poprawny ruch sieciowy np. generują bardzo dużą liczbę aktywnych sesji lub żądań HTTP. Sesje mogą być kierowane do rzeczywistych serwerów, ale także mogą być terminowane na tym samym urządzeniu (urządzenie może być jednocześnie generatorem jak i odbiornikiem).

Za pomocą opisanego powyżej generatora przeprowadzane są symulacje realnych ataków DoS/DDoS skierowane na testowaną infrastrukturę serwerową, która jest umieszczana w rzeczywistej, produkcyjnej infrastrukturze styku z siecią Internet Klienta. Przeprowadzane testy obejmują symulowane ataki zarówno w warstwie sieciowej, jak i w warstwie aplikacyjnej.

Zazwyczaj testy obejmują 3 scenariusze działania:

  • Test całej infrastruktury styku,

  • Testy z pominięciem urządzenia chroniącego przed atakami DDoS (jeżeli istnieje),

  • Testy poszczególnych elementów styku – routery brzegowe, firewalle, sondy IPS, Load Balancer itp.

Poniżej szczegółowo przedstawiony został uproszczony scenariusz testu całej infrastruktury styku z siecią Internet.

Podczas tego testu urządzenie generujące ruch jest podłączane na styku z Internetem. W teście całości infrastruktury sprawdzona zostanie reakcja całego systemu na atak DDoS.

Poniższy rysunek przedstawia schemat możliwego ataku na zasoby Klienta z wykorzystaniem generatora ruchu.


Aby sprawdzić reakcje systemu na atak DDoS w sposób możliwie najbardziej odzwierciedlający realny atak z Internetu urządzenie generujące ruch powinno zostać zainstalowane na styku z siecią Internet. Tak przeprowadzony atak pozwoli na zweryfikowanie działania całości infrastruktury sieciowej. W czasie generowania ataku sprawdzona zostanie nie tylko odporność samych urządzeń, ale także ich reakcja i sposób alarmowania w przypadku pojawienia się realnego zagrożenia (logi, alerty, komunikacja z innymi systemami).

Należy zaznaczyć, że szczegółowa metodyka każdego audytu jest inna i zawsze jest dostosowywana do indywidualnych potrzeb każdego Klienta.

KORZYŚCI

Audyt odporności na ataki DDoS pozwalają na:

  • Eliminację lub minimalizację czasów niedostępności usług biznesowych w przypadku ataków DDoS,

  • Poprawę skuteczności działania elementów przeznaczonych do ochrony przed atakami DDoS.

  • Eliminację błędów architektury styku z siecią Internet,

PARTNERZY

Produktów naszego partnera używamy dla:

Produktów naszego partnera używamy dla:

Produktów naszego partnera używamy dla:

Produktów naszego partnera używamy dla:

Produktów naszego partnera używamy dla:

Obszary działania

Bezpieczeństwo
Informacji
Efektywne funkcjonowanie firmy wymaga sprawnego i bezpiecznego systemu informatycznego.
zabezpiecz swoją firmę
Apius Technologies
Komunikacja
IP
Bezpieczna i łatwa w obsłudze komunikacja IP to efektywne i mądre zarządzanie.
usprawnij komunikacje w swojej firmie

Zobacz także

Close
Search

Wyszukaj
hasło