НАЗАД

Построение системы информационной безопасности

Данная статья (ряд статей) носит оценочный и демонстрационный характер.
В данной статье приведены решения, которые позволяют реализовать построение системы информационной безопасности.
В качестве примера используется модель банка, для которой создается система информационной безопасности.
Настоящая статья подготовлена на основании общедоступных маркетинговых и технических материалов, находящихся в открытом доступе.
Все рисунки и cтатьи могут распространяться свободно и безвозмездно.


Часть 3. Система защиты от DoS/DDoS атак.

Предлагаем реализовать систему защиты от Dos/DDoS атак с помощью системы Kaspersky DDoS Prevention.
В качестве объекта защиты в рамках настоящего предложения выступают ресурсы моделируемого нами банка: DNS сервера, сервера приложений, сервера электронной почты, WEB- сайт банка и система «Банк-Клиент».
Взаимодействие легитимных пользователей с ресурсом производится на базе стека протоколов TCP/IP.
Текущая организация узла доступа в сеть Интернет, реализованная на объекте, представлена на рисунке ниже.
Kaspersky DDoS Prevention представляет собой мощную систему распределенной фильтрации трафика, состоящую из высокопроизводительных серверов, распределенных по сети Интернет и подключенных к Сети по высокоскоростным каналам связи.
За счет распределенности компонент, Kaspersky DDoS Prevention позволяет выдержать DDoS-атаку практически любой мощности.

Архитектура системы

Решение состоит из нескольких типов компонентов, объединенных в следующую структуру:

  1. Сенсоры, которые собирают информацию о трафике направленному к ресурсу клиента, агрегирует ее для предоставления Коллектору;
  2. Коллекторы (входят в подсистему управления), предназначенные для сбора информации о трафике от Сенсоров и фильтрующих маршрутизаторов и обработка полученной информации. Коллекторы строят статистические профили легитимного трафика, формируют правила фильтрации для Центров очистки;
  3. Центры очистки, представляющие из себя связку из двух компонент:
    • Фильтрующего маршрутизатора, принимающего решение по пропуску того или иного трафика на основании данных, переданных с Коллектора
    • Проксирующего сервера, производящего финишную очистку трафика и снижение нагрузку на ресурс клиента.

Ниже на рисунке показана схема работы системы Kaspersky DDoS Prevention.

На рисунке красными линиями определены обращения с целью проведения DoS/DDoS атаки. Синими линиями определены обращения легитимных пользователей. Зелеными пунктирными линиями определены управляющие связи.
Управление работой Kaspersky DDoS Prevention, в ходе ее эксплуатации, осуществляют сотрудники Центра безопасности – одного из компонентов Системы. ЦБ находится в «Лаборатории Касперского» и предназначен для обеспечения работоспособности и координации работы всех компонентов Kaspersky DDoS Prevention и обеспечивает распределение нагрузки между её компонентами.
Средством взаимодействия Kaspersky DDoS Prevention и пользователей является Портал. Портал представляет собой WEB-ресурс, который информирует пользователя о статистике происходящих событий, а также обеспечивает оповещение пользователей об определенных событиях, например, таких как возникновение аномалий в трафике.

Методы очистки трафика

Kaspersky DDoS Prevention реализует следующие методы очистки трафика:


Описание механизма очистки трафика

Вне атаки, работа системы с трафиком клиента направлена на сбор статистической информации и отслеживание аномалий. Обе задачи могут решаться либо локально, когда на ресурсах клиента устанавливается специализированный модуль, либо удаленно, когда трафик клиента проходит через сервера программного комплекса. В обоих случаях на трафик не оказывается никакого влияния, и он доходит от пользователя до ресурса в неизмененном виде.
Для составления индивидуального профиля анализируется нормальный трафик клиента. Построение профиля осуществляется, в среднем, в течение двух недель. Сбор статистики (без фильтрации) может осуществляться Сетевым сенсором, через который перенаправляется пользовательский трафик, или с использованием Локального сенсора, размещаемого непосредственно около ресурса клиента.
Собираемая статистика (профиль клиента) хранится в базе данных Коллектора. Клиент имеет возможность отслеживать процесс фильтрации в ходе атаки через web-интерфейс Клиентского портала, а так же формировать «черные» и «белые» списки фильтрации и т.п.
После того как сформирован профиль клиента, на его основе может осуществляться отслеживание аномалий в трафике. В случае обнаружения существенных отклонений трафика от профиля, клиенту направляется уведомление, содержащее подробную информацию о зафиксированных аномалиях, на основе которого клиент принимает решение о начале фильтрации. Функция отслеживания аномалий выполняется Коллектором.



Николай Ткаченко, 2015 г.