fbpx

Tech

DDoS útok

Co se děje v síti VI: Jak Flowmon krotí DDoS útoky

Není to tak dávno, co představitelé některých bank výpadek internetového bankovnictví zlehčovali tvrzením, že klienti v takovém případě nemají problém udělat potřebné transakce osobně na pobočce. Dnes je tato doba nenávratně pryč.

Banky, internetoví obchodníci, mediální společnosti, i veřejná správa a organizace z mnoha jiných odvětví si uvědomují, že výpadek internetového připojení může v dnešní digitální době přinést rozsáhlé škody.

Není těžké představit si, co znamená odstavení webu kvůli kybernetickým útokům typu DDoS pro velký e-shop, který v nejsilnějším prodejním období vybaví desítky tisíc objednávek denně. Rizikem však nejsou jen přímé finanční ztráty: Výpadek může přinést i jiné nepříjemnosti, například poškodit reputaci značky či loajalitu zákazníků. Pojďme se v dalším díle našeho seriálu podívat na to, jak vypadá nasazení Flowmonu v praxi.

Kdo je SWAN

SWAN je druhým největším poskytovatelem telekomunikačních služeb pro korporátní zákazníky na Slovensku. Jeho podnikoví podnikoví zákazníci v posledních letech stále častěji ptali na možnosti lépe zajistit svou infrastrukturu před rostoucími hrozbami. Ozývaly se také požadavky na zvýšení viditelnosti do sítě: Aby admini mohli identifikovat rozličné anomálie či technické problémy a zefektivnit její provoz.

S dosud používanými technologiemi sice operátor uměl DDoS útoky detekovat, ale jeho možnosti chránit klienty byly velmi omezené. A doplňkové služby, jako je přehled o síťovém provozu zákazníka s možností identifikace jiných bezpečnostních rizik, nedokázal poskytovat vůbec.

Nová služba

Operátor proto začal vyvíjet nový typ služby, která by organizacím umožnila jednoduše monitorovat datové toky v rámci internetové konektivity, analyzovat chování sítě a chránit se před nebezpečnými DDoS útoky. Ty způsobují zahlcení infrastruktury do takové míry, že zpomalí nebo úplné „vypnou“ web, server či datové připojení.

SWAN se při vývoji řešení rozhodl využít technologie společností Flowmon Networks a F5 Networks, které v oblastech monitoringu a analýzy síťového provozu, jakož i zabezpečení před kybernetickými hrozbami, poskytují optimální poměr cena/výkon. Flowmon kolektor sbírá a ukládá statistiky o síťovém provozu a díky pokročilé analýze chráněných segmentů zajišťuje rychlou detekci DDoS útoků. Využívá k tomu statistiky o síťovém provozu (IPFIX/NetFlow), které odhalují, kdo a jak využívá síťové služby. Pokud Flowmon odhalí DDoS útok, pošle informaci konfiguraci BIG IP AFM společnosti F5, která zajistí jeho zmírnění. Zároveň informuje další switche v síti, že provoz pro daný chráněný segment má být přesměrován do mitigačního zařízení F5, které se postará o neutralizaci útoku.

Zrodil se Network Control

Znamená to, že chybný obsah se zahodí a zákazník dostane jen legitimní obsah. Když Flowmon identifikuje konec útoku, zajistí návrat do původního stavu a vymaže konfiguraci ze zařízení F5.

Výsledkem náročného projektu je nová služba Network Control, která umožňuje zákazníkům společnosti SWAN podrobně monitorovat jejich síť, identifikovat bezpečnostní hrozby a odrážet kybernetické útoky, které tradiční ochranné prostředky jako jsou firewall či antivirus nezastaví.

Služba je dostupná ve třech úrovních, přičemž po čtyřech měsících od spuštění ji už využívali dvě desítky zákazníků operátora z různých odvětví: Od bankovnictví, přes mediální společnosti, až po veřejné instituce. Samozřejmě, řešení používá pro účely ochrany a monitoringu i samotný SWAN.

Úrovně služby

  • Basic – základní úroveň služby nabízí síťový monitoring, detekci DDoS útoků, reporting, automatické upozornění a služby dohledového centra. V případě útoku je možné jednoduché přezkoumání pomocí metody RTBH (vzdáleně Triggered Black Hole), která celou komunikaci na zákazníka „zahodí“ – a tím ochrání jeho infrastrukturu před zahlcením.
  • Standard – tato úroveň služby využívá BGP Flowspec a dynamickou signaturu útoku, pomocí které specifikuje chybnou komunikaci a instruuje směrovače, aby ji „zahodily.“ Zákazník tak nepřijde o provoz, který neodpovídal dynamické signatuře útoku. Dynamická signatura je navíc průběžně aktualizována, aby upravila strategii v případě změny charakteristiky útoku.
  • Profi – pokročilá úroveň ochrany kombinuje BGP Flowspec přístup na přesměrování inkriminované komunikace pro precizní vyčištění pomocí F5 BIG IP AFM. Díky nativní integraci mezi Flowmon Networks a F5 Networks umožňuje v případě útoku plnou automatizaci včetně automatické konfigurace mitigačního zařízení pro okamžitou neutralizaci útoku.

Optimalizace díky analýze

SWAN ve své síti díky nasazeným technologiím zaznamenává běžně několik závažných útoků denně. Při specifických událostech, jako jsou volby nebo významné sportovní události, intenzita mnohonásobně narůstá.

Na základě analýzy provozu v síti pak zákazník může podniknout opatření, která povedou k efektivnějšímu využití síťových zdrojů. Přes službu Managed Security, kterou SWAN svým zákazníkům poskytuje, dokáže například regulovat přístup k některým aplikacím či internetovým službám, které nadměrně zatěžují síť.  Případně také ušetřit prostředky na upgrade kapacity linky.

Výhled do budoucna

Na základě poptávek zákazníků, SWAN už nyní pracuje na rozšíření služby Network Control o doplňkovou funkcionalitu. Ta je založena na systému Flowmon ADS pro detekci anomálií a podezřelého chování sítě na základě behaviorálních analýz.

Zákazníkům rozšíření přinese ještě podrobnější pohled do sítě a umožní odhalit i velmi specifické a dosud neznámé hrozby. Například díky identifikaci paketů, které by se v síti vůbec neměly nacházet nebo přenosů dat, které by vůbec neměly být přenášeny. Flowmon ADS zároveň vnáší do procesu identifikace síťových problémů více umělé inteligence i automatizace, což usnadňuje život nejen administrátorům, ale i klientům.

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -
DALŠÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?