Фильтрации сетевого трафика. Как защититься от взлома

Средства фильтрации трафика

Задачами средств фильтрации трафика являются контроль сетевого трафика (содержимого сетевых пакетов) и блокировка (фильтрация) трафика, не отвечающего заданным правилам безопасности. Фильтры трафика проводят контроль и анализ содержимого сетевых пакетов на прикладном уровне, но в отличии от межсетевых экранов, не осуществляют посредническую функцию между двумя узлами для исключения их непосредственного взаимодействие (сетевые экраны и прокси сервера). В отличие от средств IDS/IPS фильтры трафика не обеспечивают выявление и предотвращение сетевых вторжений и атак.

К средствам фильтрации трафика относятся:

• фильтры сетевых протоколов;
• контент-фильтры, в том числе URL-фильтры;
• спам-фильтры;
• фильтры веб-трафика для защиты веб- приложений (Web Security).

Указанные средства фильтрации трафика встроены и применяются в внутри отдельных средства защиты, таких как Firewall, Network Antivirus, Proxy Server, IDS/IPS, UTM, WAF, E-Mail Security, HIPS, с решением различных задач или реализуются в виде отдельных программных и аппаратно-программных средств. Дополнительно средства фильтрации трафика используются в системах биллинга, учет и тарификация трафика; контроля, статистики, мониторинга сетевой активности пользователей в реальном времени и пользования сетью Интернет и др.

Фильтры по сетевым протоколам пропускают трафик по определенным сетевым протоколам и блокируют трафик других протоколов. Данные средства устанавливаются на границе сети, обеспечивая пропуск только необходимого сетевого трафика по определенным протоколам во внутрь сети и/или во внешнюю сеть, т.е. обеспечивают выполнение сетевых политик.

Контент-фильтры

Контент-фильтры (Content Monitoring and Filtering, CMF) блокируют достиуп к нежелательным контентам сети Интернет. Являются фильтрами веб-трафика (протоколы http/https).

Фильтрация веб-трафика производится по URL-адресам сайтов «черного списка» (URL-фильтры), ключевому слову, сигнатуре или типу файла, по содержимому сайтов с использованием морфологического анализа.Контент-фильтры устанавливаются в сетевых шлюзах (сетевые экраны, прокси сервера и др.) или на рабочих станциях в антивирусах (функция «родительский контроль», для защиты от фишинг-сайтов), персональных firewall и т.д. Могут применяться как отдельные программные средства.

Фильтры веб-трафика (Web Security)

Фильтры веб-трафика (Web Security) используют для защиты веб-приложений от различных видов угроз, поступающих по веб-трафику, в том числе от проникновения вредосного кода. Являются фильтрами веб-трафика (протоколы http/https).Функции фильтрации веб-трафика применяются в таких средствах защиты, как WAF. Для того чтобы защитить от угроз, исходящих по веб-трафику, рекомендуется применять специализированные решения класса Web Security.

Основные функции средств Web Security:

• защита веб-трафика от вирусов и вредоносного программного обеспечения;
• блокировка доступа к вредоносным сайтам;
• защита от фишинговых атак;
• контроль доступа пользователей к различным веб-ресурсам;
• URL-фильтрация и категорирование сайтов.

Чтобы пользователь мог безопасно находиться в сети, разработаны специальные программы для фильтрации трафика и веб-контента.

Принципы работы контентной фильтрации

Главная цель контентного фильтра — ограничить доступ к запрещённым или вредоносным ресурсам. Достигается это с помощью списков разрешённых/запрещённых ресурсов.

Защита нужна каждому пользователю, но особенно остро в ней нуждаются дети и подростки. Ведь на многих страницах присутствуют сцены насилия, эротики, реклама вредных веществ и алкоголя. Чтобы оградить детей от подобной информации, необходимо использовать систему контентной фильтрации.

Фильтрация интернет трафика

Наша компания разработала специальный механизм фильтрации интернет-трафика, который не только помогает поддерживать доступ в сеть в рабочем состоянии, но и обеспечивает непрерывность и целостность бизнес-процессов. Веб-фильтр позволяет управлять потоками, входящими в локальную сеть, автоматически снижая её нагрузку. При этом снимаются проблемы нецелевого доступа к посторонним ресурсам, нерационального использования сети и рабочего времени

Система фильтрации интернет-трафика необходима на разных уровнях: для домашнего использования и для корпоративной сети. Она существует в разных формах:

• утилиты;
• приложения;
• дополнения для браузера;
• отдельного сервера.

Компания «А-Реал Консалтинг» активно разрабатывает разные способы обеспечения безопасности сети, предоставляя клиентам комплексное решение. Мы имеем богатый опыт внедрения систем фильтрации интернет контента в школах и организациях.

Наш контентный фильтр работает исходя из данных веб-трафика, которые сообщает модуль прокси-сервера. Затем происходит сверка со списком запрещённых ресурсов. Эта база включает несколько миллионов сайтов, разделённых на категории, что позволяет индивидуально настроить параметры фильтрации web-контента.

Пользователям системы фильтрации от Интернет Контроль Сервера достаточно просто запретить категорию, и все сайты этой тематики автоматически станут недоступными.

Контент-фильтрация включает и антивирусные модули, автоматически проверяя весь входящий трафик на наличие вредоносных программ. Наше решение гарантирует надёжность и безопасность, предоставляя все инструменты для управления доступом в сеть.

Контентная фильтрация в школах и образовательных учреждениях

По статистике более 100 000 образовательных учреждений имеет доступ в интернет, где учащиеся подвергаются потоку агрессивного и потенциально опасного контента. Поэтому была утверждена и одобрена Федеральная Система исключения доступа к Интернет-ресурсам, несовместимым с задачами воспитания и образования обучающихся РФ (СИД).

В соответствии с Федеральным законом № 436 «О защите детей от информации, причиняющей вред их здоровью и развитию»и ФЗ № 139 «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию», установка контентной фильтрации в образовательном учреждении является обязательным требованием.

Возможные варианты

Фильтры для интернета можно настроить 2 способами:

1. обратиться за помощью к своему интернет-провайдеру;
2. установить и настроить специализированное ПО.

Во втором случае придётся самостоятельно скачивать и настраивать контентный фильтр для школы или другой организации. Наша компания предлагает воспользоваться интернет-шлюзом ИКС. Он регулярно обновляется и содержит адреса ресурсов с информацией, распространение которой в Российской Федерации запрещено, т.е. соответствует Федеральному закону № 139 «О чёрных списках».

Функции ИКС для контентной фильтрации

• организация доступа только к надёжным ресурсам;
• безопасность от вредоносных объектов, которые стремятся попасть в локальную сеть, осуществляемая с помощью встроенного межсетевого экрана ;
• контроль доступа пользователей к сети;
• ведение учёта потребляемого трафика.

Преимущества интернет-шлюза ИКС

• возможность предварительной оценки и тестирования с помощью демо-версии в течение 35 дней;
• неограниченный срок лицензионной версии;
• доступное обучение в форме видеороликов;
• бесплатная полная версия Lite до 8 пользователей;

Настройка ИКС

Ещё одно преимущество ИКС — лёгкость установки и настройки. Для этого нужно совершить всего 5 действий:

Вот так просто можно настроить интернет фильтрацию, обеспечив полноценную защиту от внешних угроз.

Тип организации

Выберите тип организации Образовательное учреждение Бюджетное учреждение Коммерческая организация

Цены НЕ РАСПРОСТРАНЯЮТСЯ на частные негосударственные учреждения и учреждения послевузовского профессионального образования

Редакции ИКС

Не требуется ИКС Стандарт ИКС ФСТЭК

Для расчета стоимости ФСТЭК обратитесь в отдел продаж

Тип поставки

ИКС ИКС + SkyDNS ИКС + Kaspersky Web Filtering

Тип лицензии

Новая лицензия Лицензия на обновления

Лицензия на обновления Премиум Расширение лицензии

Количество пользователей

Расширение лицензии

C до пользователей

Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предвари­тельно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности. Поэтому межсетевой экран удобно представлять как последовательность фильтров (рис.А.2), обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем выполнения следующих стадий:

1. Анализа информации по заданным в интерпретируемых правилах крите­риям, например, по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена.

2. Принятия на основе интерпретируемых правил одного из следующих решений:

Не пропустить данные;

Обработать данные от имени получателя и возвратить результат отправителю;

Передать данные на следующий фильтр для продолжения анализа;

Пропустить данные, игнорируя следующие фильтры.

Рис. А.2. Структура межсетевого экрана

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например, преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым с использованием указанных критериев анализа осуществляется:

разрешение или запрещение дальнейшей передачи данных;

выполнение дополнительных защитных функций.

В качестве критериев анализа информационного потока могут использоваться следующие параметры:

служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;

непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;

внешние характеристики потока информации, например, временные,

частотные характеристики, объем данных и т. д.

Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Выполнение функций посредничества

Функции посредничества межсетевой экран выполняет с помощью специальных программ, называемых экранирующими агентами или просто программами-посредниками. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.

При необходимости доступа из внутренней сети во внешнюю сеть или наоборот вначале должно быть установлено логическое соединение с программой-посредником, функционирующей на компьютере экрана. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредника, который может выполнять фильтрацию потока сообщений, а также осуществлять другие защитные функции.

Следует уяснить, что функции фильтрации межсетевой экран может выполнять без применения программ-посредников, обеспечивая прозрачное взаимодействие между внутренней и внешней сетью. Вместе с тем программные посредники могут и не осуществлять фильтрацию потока сообщений. В общем случае экранирующие агенты, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции:

идентификацию и аутентификацию пользователей;

проверку подлинности передаваемых данных;

разграничение доступа к ресурсам внутренней сети;

разграничение доступа к ресурсам внешней сети;

фильтрацию и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;

трансляцию внутренних сетевых адресов для исходящих пакетов сообщений;

регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов;

кэширование данных, запрашиваемых из внешней сети.

Для высокой степени безопасности необходима идентификация и аутентификация пользователей не только при их доступе из внешней сети во внутреннюю, но и наоборот. Пароль не должен передаваться в открытом виде через общедоступные коммуникации. Это предотвратит получение несанкционированного доступа путем перехвата сетевых пакетов, что возможно, например, в случае стандартных сервисов типа Telnet. Оптимальным способом аутентификации является использование одноразовых паролей. Удобно и надежно также применение цифровых сертификатов, выдаваемых доверительными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором. Программы-посредники могут осуществлять проверку подлинности получаемых и передаваемых данных. Это актуально не только для аутентификации электронных сообщений, но и мигрирующих программ (Java,ActiveXCon­trols), по отношению к которым может быть выполнен подлог. Проверка подлинности сообщений и программ заключается в контроле их цифровых подписей. Для этого также могут применяться цифровые сертификаты. Идентификация и аутентификация пользователей при обращении к межсетевому экрану позволяет разграничить их доступ к ресурсам внутренней или внешней сети. Способы разграничения к ресурсам внутренней сети ничем не отличаются от способов разграничения, поддерживаемых на уровне операционной системы. При разграничении доступак ресурсам внешней сети чаще всего используется один из следующих подходов:

разрешение доступа только по заданным адресам во внешней сети;

фильтрация запросов на основе обновляемых списков недопустимых адресов и блокировка поиска информационных ресурсов по нежелательным ключевым словам;

накопление и обновление администратором санкционированных информационных ресурсов внешней сети в дисковой памяти брандмауэра и полный запрет доступа во внешнюю сеть.

Фильтрация и преобразование потока сообщений выполняется посредником на основе заданного набора правил. Здесь следует различать два вида программ посредников:

экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например, FTP,HTTP,Telnet;

универсальные экранирующие агенты, обрабатывающие весь поток сообщений, например, агенты, ориентированные на поиск и обезврежива­ние компьютерных вирусов или прозрачное шифрование данных. Программный посредник анализирует поступающие к нему пакеты данных, и если какой-либо объект не соответствует заданным критериям, то посредник либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например, обезвреживание обнаруженных компьютерных вирусов. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файловые архивы.

Брандмауэры с посредниками позволяют также организовывать защищенные виртуальные сети (VirtualPrivateNetwork-VPN), например, безопасно объединить несколько локальных сетей, подключенных кInternet, в одну виртуальную сеть.VPNобеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче поInternetвозможно шифрование не только данных пользователей, но и служебной информации - конечных сетевых адресов, номеров портов и т. д. Программы-посредники могут выполнять и такую важную функцию, как трансляцию внутренних сетевых адресов. Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов посредник выполняет автоматическое преобразованиеIP-адресов компьютеров-отправителей в один "надежный"IP-адрес, ассоциируемый с брандмауэром, из которого передаются все исходящие пакеты. В результате все исходящие из внутренней сети пакеты оказываются отправленными межсетевым экраном, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью.IP-адрес брандмауэра становится единственным активнымIP-адресом, который попадает во внешнюю сеть.

При таком подходе топология внутренней сети скрыта от внешних пользователей, что усложняет задачу несанкционированного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собствен­ную систему адресации, не согласованную с адресацией во внешней сети, например, в сети Internet. Это эффективно решает проблему расширения адресного пространства внутренней сети и дефицита адресов внешней сети. Важными функциями программ-посредников являются регистрация событий, реагирование на задаваемые события, а также анализ зарегистрирован­ной информации и составление отчетов. В качестве обязательной реакции на обнаружение попыток выполнения несанкционированных действий должно быть определено уведомление администратора, т. е. выдача предупредительных сигналов. Любой брандмауэр, который не способен посылать предупредительные сигналы при обнаружении нападения, не является эффективным средством межсетевой защиты.

Многие межсетевые экраны содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, времени соединений, количеству переданных/принятых данных, действиям администратора и пользователей. Системы учета позволяют произвести анализ статистики и предоставляют администраторам подробные отчеты. За счет использования специальных протоколов посредники могут выполнить удаленное оповещение об определенных событиях в режиме реального времени. С помощью специальных посредников поддерживается также кэширование данных, запрашиваемых из внешней сети. При доступе пользователей внутренней сети к информационным ресурсам внешней сети вся информация накапливается на пространстве жесткого диска брандмауэра, называемого в этом случае proxy-сервером. Поэтому если при очередном запросе нужная информация окажется наproxy-сервере, то посредник предоставляет ее без обращения к внешней сети, что существенно ускоряет доступ. Администратору следует позаботиться только о периодическом обновлении содержимогоproxy-сервера.

Функция кэширования успешно может использоваться для ограничения доступа к информационным ресурсам внешней сети. В этом случае все санкционированные информационные ресурсы внешней сети накапливаются и обновляются администратором на proxy-сервере. Пользователям внутренней сети разрешается доступ только к информационным ресурсамproxy-сервера, а непосредственный доступ к ресурсам внешней сети запрещается. Экранирующие агенты намного надежнее обычных фильтров и обеспечивают большую степень защиты. Однако они снижают производительность обмена данными между внутренней и внешней сетями и не обладают, той степенью прозрачности для приложений и конечных пользователей, которая характерна для простых фильтров.

Особенности межсетевого экранирования на различных уровнях модели OSI

Брандмауэры поддерживают безопасность межсетевого взаимодействия на различных уровнях модели OSI. При этом функции защиты, выполняемые на разных уровнях эталонной модели, существенно отличаются друг от друга. Поэтому комплексный межсетевой экран удобно представить в виде совокупности неделимых экранов, каждый из которых ориентирован на отдельный уровень модели OSI. Чаще всего комплексный экран функционирует на сетевом, сеансовом и прикладном уровнях эталонной модели. Соответственно различают такие неделимые брандмауэры (рис. А.3), как экранирующий маршрутизатор, экранирующий транспорт (шлюз сеансового уровня), а также экранирующий шлюз (шлюз прикладного уровня).

Учитывая, что используемые в сетях протоколы (TCP/IP, SPX/IPX) не однозначно соответствуют модели OSI, то экраны перечисленных типов при выполнении своих функций могут охватывать и соседние уровни эталонной модели. Например, прикладной экран может осуществлять автоматическое зашифровывание сообщений при их передаче во внешнюю сеть, а также автоматическое расшифровывание криптографически закрытых принимаемых данных. В этом случае такой экран функционирует не только на прикладном уровне модели OSI, но и на уровне представления. Шлюз сеансового уровня при своем функционировании охватывает транспортный и сетевой уровни модели OSI. Экранирующий маршрутизатор при анализе пакетов сообщений проверяет их заголовки не только сетевого, но и транспортного уровня.

Межсетевые экраны каждого из типов имеют свои достоинства.и недостатки. Многие из используемых брандмауэров являются либо прикладными шлюзами, либо экранирующими маршрутизаторами, не поддерживая полную безопасность межсетевого взаимодействия. Надежную же защиту обеспечивают только комплексные межсетевые экраны, каждый из которых объединяет экранирующий маршрутизатор, шлюз сеансового уровня, а также прикладной шлюз.

Рис. А.3. Типы межсетевых экранов, функционирующих на отдельных уровнях модели OSI

Схема фильтрации шифрованного трафика без раскрытия ключей шифрования.

Часто в дискуссиях мы слышим, что услуга нейтрализации распределённых атак на отказ в обслуживании базирующаяся на постоянной фильтрации трафика, является менее эффективной и более дорогостоящей по сравнению с фильтрацией по-требованию.

Аргументы, использующиеся в подобных диалогах, практически не меняются со временем, когда начинается обсуждение: высокая стоимость постоянной фильтрации против задержки во времени, необходимой на включение специалиста, или оборудования в процесс нейтрализации атаки по требованию.

Qrator Labs хотели бы разъяснить собственную позицию, вынеся на всеобщее обсуждение некоторые аргументы о том, каким образом постоянная фильтрация отличается от фильтрации по запросу и почему первая опция является на самом деле единственной работоспособной.

Одна из ключевых причин заключается в том, что современные атаки развиваются очень быстро - эволюционируют и усложняются в реальном времени. Эволюционирует и сам сервис - сайт и приложение развиваются, поэтому может оказаться, что «нормальное» поведение пользователей во время предыдущей атаки уже не является актуальным.

Техническим специалистам провайдера услуг нейтрализации атак на отказ в обслуживании, в случае ручной фильтрации, в большинстве случаев требуется не только время на осознание происходящего для выработки правильной стратегии поведения и последовательности совершения конкретных действий. Помимо этого, такому специалисту также необходимо точно знать, когда и как меняется вектор атаки, для того чтобы эффективно осуществить её нейтрализацию по запросу клиента.

Подключение под атакой - отдельная сложность, в основном из-за ухудшения доступности для всех пользователей, пытающихся достичь сервис. Если атака прошла успешно и пользователи не получили запрошенный ресурс - они пытаются получить его еще раз, просто обновляя страницу или перезагружая приложение. Это ухудшает сценарий атаки, потому что становится труднее отличить мусорный трафик от легитимного.

Фактическое размещение сервиса нейтрализации атак - в облаке или физически на площадке клиента, в дата-центре партнёра, часто является ключевым требованием к его внедрению. Так как любой из вариантов размещения позволяет осуществлять постоянную автоматическую, либо ручную фильтрацию, а соответственно - детектирование и нейтрализацию атак. Но наличие возможности автоматической фильтрации является ключевым требованием.

Чаще всего облачные сервисы нейтрализации атак фильтруют весь входящий трафик - он становится полностью доступен для анализа. Физическое оборудование, установленное на границе сети, или получающее клонированный трафик, даёт почти такие же возможности мониторинга и нейтрализации атак в реальном времени.

Часть вендоров рекомендует использовать метрику NetFlow для анализа трафика, либо другие метрики, что само по себе уже является компромиссом в худшую сторону с точки зрения результата, так как сторонние либо производные метрики отдают лишь часть информации о данных, заужая, таким образом, возможности для обнаружения и нейтрализации атаки. И наоборот - облачные сервисы не обязаны анализировать 100% входящего трафика, однако чаще всего они это делают по причине того, что подобный подход позволяет наилучшим образом выстраивать модели и обучать алгоритмы.

Ещё одним недостатком использования протокола NetFlow в качестве основного инструмента анализа является то, что он даёт лишь некоторую характеристику потоков данных - их описание, но не сами потоки. Поэтому, конечно, вы заметите атаку основываясь на параметрах, которые отражает NetFlow, но более сложные виды атак, которые должны обнаруживаться с помощью анализа содержимого потока, видны не будут. Поэтому атаки на прикладной уровень (L7) сложно отражать используя только NetFlow метрику, за исключением случаев стопроцентной очевидности атаки внутри транспорта (потому что выше L4 NetFlow откровенно бесполезен).

Общая схема подключения к фильтрационной сети.

1. Почему облачные провайдеры услуг нейтрализации DDoS предлагают «постоянную фильтрацию» даже в том случае, если в настоящий момент атаки не происходит?

Ответ прост: постоянная фильтрация является наиболее эффективным способом нейтрализации атак. Здесь также необходимо добавить, что физическое оборудование размещённое у клиента, не сильно отличается от облачной фильтрации, за тем лишь исключением, что коробка включается и выключается физически где-то в дата-центре. Однако выбор есть в любом случае (работать - то есть включать устройство, всегда либо лишь в случае необходимости) и его придётся сделать.

Говоря, что обратное проксирование сужает возможности фильтрации только до протоколов HTTP и HTTPS (SSL), вы озвучиваете лишь половину правды. HTTP-трафик является неотъемлемой и одной из критически важных частей сложных систем фильтрации, а обратное проксирование - один из самых эффективных способов осуществлять его сбор и анализ.

2. Как мы знаем, распределённые атаки на отказ в обслуживании могут принимать многие формы и модифицироваться, сдвигаясь от HTTP-протокола. Почему облако в данном случае лучше, чем отдельно стоящее оборудование на стороне у клиента?

Перегружение отдельных узлов фильтрационной сети возможно настолько же, насколько это реально совершить и с оборудованием, размещённым в стойке. Не существует железной коробки мощной настолько, чтобы справится с любыми атаками в одиночку - требуется сложная и многосоставная система.

Тем не менее, даже крупнейшие производители оборудования рекомендуют переключаться на облачную фильтрацию в случае наиболее серьёзных атак. Потому что их облака состоят из того же самого оборудования, организованного в кластеры, каждый из которых по-умолчанию мощнее отдельного решения, размещённого в дата-центре. К тому же ваша коробка работает лишь для вас, но большая сеть фильтрации обслуживает десятки и сотни клиентов - дизайн такой сети изначально рассчитан на обработку на порядок больших объёмов данных для успешной нейтрализации атаки.

До атаки невозможно сказать наверняка, что будет проще: вывести из строя отдельно стоящее оборудование (CPE) или узел сети фильтрации. Но подумайте вот о чём - отказ точки всегда является проблемой вашего вендора, а вот кусок оборудования, отказывающийся работать как заявлено, уже после покупки, является только вашей проблемой.

3. Узел сети, выступающий в роли прокси-сервера, должен быть в состоянии получить от ресурса контент и данные. Значит ли это, что любой может обойти облачное решение по нейтрализации атак?

Если между вами и провайдером услуг безопасности не существует выделенной физической линии - да.

Это правда, что без выделенного канала от клиента до провайдера услуг нейтрализации атак на отказ в обслуживании, атакующие могут атаковать нативный IP-адрес сервиса. Далеко не все провайдеры таких услуг в принципе предлагают услуги выделенных линий от себя до клиента.

В общем, переключение на облачную фильтрацию значит объявление соответствующих анонсов с помощью протокола BGP. В таком случае отдельные IP-адреса сервиса, находящегося под атакой, оказываются сокрыты и недоступны для атаки.

4. Порой в качестве аргумента против облачной фильтрации используется соотношение стоимости услуги и затрат на неё со стороны поставщика. Как выглядит эта ситуация в сравнении с оборудованием размещённым на стороне клиента?

Можно с уверенностью утверждать, что насколько бы мала ни была атака на отказ в обслуживании, облачный провайдер услуг по их нейтрализации должен будет обработать их все, даже несмотря на то, что внутренний расход при построении подобных сетей всегда формируется на базе утверждения того, что каждая атака является интенсивной, большой, долгой и умной. С другой стороны, это совсем не значит, что провайдер такой услуги теряет деньги, продавая клиентам защиту от всего, но на деле вынужденный справляться в основном с мелкими и средними атаками. Да, сеть фильтрации может затратить ресурсов чуть больше, чем в «идеальном состоянии», но в случае успешно нейтрализованной атаки никто не будет задавать вопросов. И клиент, и провайдер останутся довольны таким партнёрством и продолжат его с высокой степенью вероятности.

Представьте себе ту же самую ситуацию с оборудованием на месте - единоразово оно стоит на порядки больше, требует квалифицированных рук для обслуживания и… всё так же оно будет вынуждено отрабатывать мелкие и редкие атаки. Когда вы планировали покупку такого оборудования, которое нигде не стоит дёшево, вы задумывались об этом?

Тезис о том, что отдельная коробка, вместе с контрактом на установку, техническую поддержку и оплату работы высококвалифицированных инженеров в конечном счёте будет дешевле в сравнении с покупкой подходящего тарифа в облаке, просто неверен. Конечная стоимость оборудования и часа его работы очень высока - и это основная причина, по которой защита и нейтрализация распределённых атак на отказ в обслуживании стала самостоятельным бизнесом и сформировала индустрию - иначе в каждой IT-компании мы бы видели подразделение по защите от атак.

Исходя из предпосылки, что атака - явление редкое, решение по её нейтрализации должно быть построено соответствующе и быть в состоянии нейтрализовать эти редкие атаки успешно. Но, помимо этого, ещё и стоить адекватных средств, ведь все понимают что большую часть времени ничего страшного не происходит.

Облачные провайдеры проектируют и строят собственные сети в эффективной манере, для того чтобы консолидировать собственные риски и справляться с атаками распределяя трафик между точками фильтрации, являющимися и оборудованием, и программным обеспечением - двух частей системы, созданной с одной целью.

Здесь мы говорим о «Законе больших чисел» , знакомом из теории вероятностей. Это причина, по которой провайдеры интернет-услуг продают большую ёмкость каналов, чем та, которой они фактически обладают. Все клиенты страховой компании, гипотетически, могут попасть в неприятную ситуацию единовременно - но на практике этого никогда не происходило. И даже несмотря на то, что отдельные страховые компенсации могут быть огромны, это не приводит к банкротству страхового бизнеса каждый раз, когда кто-то попадает в аварию.

Люди, профессионально занимающиеся нейтрализацией атак на отказ в обслуживании знают, что самые дешёвые, а потому наиболее распространённые атаки связаны с амплификаторами, и никак не могут быть характеризованы как «маленькие».

В то же время, соглашаясь, что единоразовый платёж за оборудование установленное на физической площадке останется там навсегда - способы атак будут эволюционировать. Нет никакой гарантии, что вчерашнее оборудование справится с завтрашней атакой - это лишь допущение. Поэтому объёмная инвестиция, сделанная в такое оборудование, начинает терять свою ценность ровно с момента установки, не говоря о необходимости его постоянного обслуживания и обновления.

В деле нейтрализации DDoS важно иметь хорошо масштабируемое решение, обладающие высокой связностью, чего очень сложно достичь покупая отдельную коробку оборудования.

Когда происходит серьёзная атака, любое отдельно стоящее оборудование будет пытаться сигнализировать в облако о факте её начала и пытаться распределять трафик по фильтрующим точкам. Однако, никто не говорит о том, что когда канал забит мусором нет никакой гарантии, что он сможет доставить данное сообщение до собственного облака. И снова - потребуется время на переключение потока данных.

Поэтому, единственной реальной ценой, которую клиент может заплатить, помимо денежных средств, за защиту собственной инфраструктуры от атак на отказ в обслуживании, является задержка и ничего кроме неё. Но, как мы уже сказали, правильно построенные облака снижают задержки, улучшая глобальную доступность запрашиваемого ресурса.

Имейте это ввиду, делая выбор между железной коробкой и облаком фильтрации.

Направлена на несовершеннолетних интернет-пользователей, которые, в случае ее внедрения, смогут посещать только доверенные сайты из «белого списка». Таким образом они будут лишены доступа к «опасному» контенту.

Пока не решено, будет ли трафик фильтроваться только в образовательных учреждениях страны или же для всех пользователей Рунета. Во втором случае, чтобы получить доступ в «свободный интернет», нужно будет написать заявление интернет-провайдеру. Лига безопасного интернета уже тестирует систему «белого списка» в ряде регионов России, в частности, в Костроме.

Чьих рук дело?

Создание этой системы предусматривается , которую 31 июля утвердил премьер-министр России Дмитрий Медведев. НаСФИТ должна быть введена в эксплуатацию до конца 2020 года. Почву для появления системы подготовила, в том числе, сенатор , благодаря которой с 2012 года в Рунете ведется единый реестр запрещенной информации Роскомнадзора.

Почему НаСФИТ может нанести вред?

Представитель МТС Дмитрий Солодовников говорит, что оператор ранее ничего не слышал об этом предложении. «Считаем подобные инициативы вредными, способными нанести ущерб абонентам из-за возможного снижения качества доступа в интернет». В первую очередь это может произойти из-за снижения темпов строительства сетей и развития новых сервисов.

Помимо пользователей НаСФИТ может нанести урон всей телеком- и ИТ-отрасли. Провайдерам и операторам придется тратить огромные ресурсы «на реализацию малоэффективных решений по фильтрации трафика вместо того, чтобы инвестировать в цифровую экономику и строительство cетей 5G», cетует пресс-секретарь МТС.

Идея может не сработать

Источник сайт, близкий к одному из операторов, отмечает, что дети не имеют права заключать договоры об оказании услуг связи. Таким образом, фильтровать трафик только для детей невозможно в принципе. Абонент всегда совершеннолетний, то есть с паспортом, напоминает собеседник.

Представитель интернет-провайдера АКАДО Телеком сообщил, что компания поддерживает инициативу, но также сомневается в механизме ее воплощения в жизнь.

«Неясно, по какому принципу сайты будут попадать в "белый список", кто это должен определять. Если речь идет о фильтрации контента только в образовательных учреждениях, то такая мера вряд ли будет действенна, так как при желании дети смогут зайти на сайты из дома. Поэтому проект нуждается в серьезной доработке». Ирина Романникова, пресс-служба АКАДО Телеком.

Как можно фильтровать?

По мнению гендиректора информационно-аналитического агентства TelecomDaily Дениса Кускова, есть два разумных способа фильтрации «вредных» сайтов: собственные инструменты оператора и покупка SIM-карты с оговоркой, что она будет использоваться ребенком. В этом случае оператор сможет включить фильтрацию сразу.

У некоторых операторов уже есть собственные системы для фильтрации трафика. Так, «Ростелеком» предлагает продукт «Контент-фильтрация трафика» для образовательных учреждений, а «ВымпелКом» - рекомендательный сервис интернет-ресурсов «Вебландия», сайты для которого отбирают детские библиотекари.

Напомним, что на днях , касающихся ограничений в интернете: закон, который запрещает поставщикам VPN и другим сервисам пускать российских пользователей на заблокированные ресурсы, иначе сервис заблокируют, а также закон о запрете анонимности в мессенджерах. Первый документ вступит в силу с 1 ноября этого года, второй - с начала 2018 года.