Tải bản đầy đủ
1 Giải pháp Peakflow SP

1 Giải pháp Peakflow SP

Tải bản đầy đủ

87
-

Tương tự như Peakflow SP CP nhưng đặt tại phía khách hàng o Peakflow SP
TMS (Threat Management System)

-

Chỉ hoạt động khi CP phát hiện có nguy cơ tấn công

-

Thực hiện chức năng chặn các thông tin không hợp lệ khi có yêu cầu từ
Peakflow SP CP theo thời gian thực

Hình P.2 Xử lý luồng lưu lượng bị tấn công của Peakflow SP

1.2 Đánh giá
Ưu điểm


Hoạt động ở chế độ Flow-based, Passive, không can thiệp vào luồng dữ liệu, không làm ảnh
hưởng đến hiệu năng của hệ thống.Dễ tương thích với các hệ thống router, đặc biệt là của các Carrier tại các Data Center.

88
Hình P.3 Năng lực làm việc của thiết bị Peakflow SPCó các chế độ cảnh báo DDoSGiám sát và phân tích các loại lưu lượng theo giao diện, người dùng.Phân tích được các luồng lưu lượng theo giao thức (TCP, UDP, ICMP, BGP…)Phân tích được các luồng lưu lượng theo các kiểu dịch vụ (HTTP, FTP, …)Cảnh báo DDoS theo thời gian thựcCảnh báo các loại sâu máy tínhTự động phát hiện và quét các mã độc bằng TMS khi cần thiết rồi trả về router đíchĐã triển khai thử nghiệm và đánh giá tốt tại Viễn thông thành phố Hồ Chí Minh năm 2006, tại
VDC năm 2007

Peakflow SP sẽ hoạt động theo các bước sau khi được triển khai

89
Peakflow SP thực hiện học các hoạt động của mạng của toàn bộ hệ thống bằng các luồng
thông tin Flow, SNMP, BGP được gửi đến các đối tượng mạng (Network Object) qua các giao
tiêp M160 Core router
Xây dựng Cơ sở dữ liệu quan hệ và tạo các mẫu lưu lượng (traffic baselines) liên tục trong
hoạt động bình thường của toàn bộ hệ thống từ học dữ liệu. Bên cạnh đó, cơ sở dữ liệu của
Peakflow SP còn được cập nhật liên tục (24x7x365) bằng các dịch vụ gia tăng của nhà cung
cấp.
Giám sát và phát hiện các bất thường (nếu có) của toàn bộ hệ thống dựa trên các traffic
baselines và thực hiện cập nhật cơ sở dữ liệu mới. Cảnh báo người điều hành mạng (Network
Operator) và khuyến nghị các chính sách thích hợp để xử lý các bất thường của toàn bộ hệ
thống. Người điều hành mạng có toàn quyền quyết định chấp nhận hoặc huỷ bỏ các khuyến
nghị đó dựa trên hệ thống thực đang vận hành.
Giúp tạo các báo biểu chi tiết của toàn bộ hệ thống dựa trên các chính sách quản lý (xây dựng
sẵn, định nghĩa mới) qua các kết xuất thông dụng (CVS, PDF, XML,…)

Đối với các nhà cung cấp dịch vụ mạng và Viễn thông, điều quan trọng nhất là cần xây dựng được
tập các chính sách quản lý tài nguyên hạ tầng, chính sách kiểm toán khách hàng. SP cần hiểu rõ
hơn các yêu cầu này để khai thác tối đa năng lực của Peakflow SP.

Nhược điểm


Chưa được triển khai thực tế.Mới chỉ tập trung vào nguy cơ DoS.

1.3 Peakflow SP với DoS


Peakflow SP hiển thị các dạng DoS đang cảnh báo (Ongoing DoS Alert), cảnh báo gần
đây (Recent DoS Alert).Peakflow SP phân loại các dạng cảnh báo DoS theo 3 cấp (Cao – High, Trung bình –
Medium và Thấp – Low).

Có 4 giai đoạn cần triển khai để xử lý một tấn công dạng DoS gồm:
o

Phát hiện (Detection). o Phân tích (Analysis).

o

Truy tìm nguồn gốc (Track back). o Đề ra hướng xử lý (Mitigation).

Peakflow SP phát hiện những tấn công DoS và cung cấp thông tin chi tiết của tấn công đó
gồm: phân loại theo mức độ nghiêm trọng, ngày giờ tấn công theo thời gian thực, hướng
tấn công, giao thức mạng dùng để tấn cống và đặc biệt xác định được tầm ảnh hưởng của
tấn công đó.Sau phân tích là xác định nguồn xuất phát của tấn công DoS, định danh được các giao tiếp
mạng trên router nào tham gia vào tấn công DoS.

90


Chọn và cho phép người quản trị lọc (filtering) những nguồn tham gia tấn công được chỉ
định bằng địa chỉ IP cụ thể.Tùy hệ thống thiết bị chuyên dụng như router, firewall, filtering đã được thiết lập,
Peakflow SP giúp tạo các ACLs (danh sách quản lý truy nhập), Ratelimits (các bộ lọc định
mức lưu lượng dữ liệu) hoặc theo các cơ chế xử lý chuyên biệt khác nếu được trang bị như
Blackholeing, Sinkholing hoặc thiết bị Delicated Filtering.Xác định mức độ nghiêm trọng của một cảnh báo mức cao (High), Người quản trị hệ
thống ngay lập tức có thể xác định chi tiết của dạng tấn công DoS đó:
o

Xác định được đặc tính của loại tấn công DoS hiện tại.

o

Thông tin chi tiết của tấn công đó gồm: lớp mạng của nguồn tấn công (Source
Network), lớp mạng đích của tấn công đang nhắm tới (Destination Network). Thông
số cổng giao tiếp nguồn và đích.

o

Giao thức thực hiện tấn công và chi tiết của nó.

o

Đặc biệt Peakflow SP cung cấp biểu đồ thể hiện mức độ lưu lượng của tấn công DoS
hiện hành so với mức lưu lượng mong muốn của hệ thống.Khả năng nhận định chính xác mức độ nguy hiểm của tấn công DoS sẽ ảnh hưởng đến
thành phần tài nguyên hệ thống o Cho thấy cụ thể lưu lượng ảnh hưởng trên từng thành
phần của hệ thống so với lưu lượng mong muốn của hệ thống trước khi có tấn công DoS.
o

Người quản trị có thể xem chi tiết những ảnh hưởng cụ thể theo thành phần tài nguyên
hệ thống.

o

Giúp xác định hướng và đường đi của tấn công DoS và nhanh chống có giải pháp đáp
ứng kịp thời trước khi tấn công gây ra nhiều tổn thất trên nhiều tài nguyên.Phản ứng truớc tấn công DoS. Peakflow xác định được các địa chỉ nguồn cụ thể cùng
tham gia vào tấn công các địa chỉ đích cùng các nhóm cổng giao tiếp o Nhóm cổng nguồn
(Source Ports), đích (Destination Ports) o Giao thức (Protocol) và đặc biệt là các giao tiếp
vào / ra trên tấn công DoS (Input/Output Interfaces).
o

Người quản trị cần xác định lượng dữ liệu nào sẽ phải ngăn chặn thông qua tính năng
Filter (một dạng Mitigation) của Peakflow SP. Peakflow SP sẽ giúp tạo ra các ACLs
và Ratelimits thích hợp và khuyến nghị người quản trị sử dụng.Người quản trị sẽ toàn quyền quyết định (chấp nhận, thay đổi hoặc hủy bỏ các khuyến
nghị của Peakflow SP) và chịu trách nhiệm trước ngữ cảnh của tấn công DoS xác định o
Peakflow SP tự động tạo ra các khuyến nghị (ACL hay Ratelimit) phù hợp với các thiết bị

91
hiện có trên hệ thống đã được học. o Các khuyến nghị sẽ do Người quản trị toàn quyền
quyết định. Peakflow SP không tự động áp đặt các khuyến nghị này vào hệ thống.
o

Đối với một số cách thức xử lý chuyên dụng thông qua các thiết bị chuyên nghiệp như
Blackhole, Sinkhole hay Delicated Filtering cho các tấn công DoS, Peakflow SP hỗ
trợ nhận biết qua cấu hình chỉ định của Người quản trị. Điều này giúp xây dựng hạ
tầng an ninh mạng vững chắc trước các dạng tấn công DoS ngày càng nguy hiểm.

2 Giải pháp eSeries
2.1 Các chức năng chính


Ứng dụng để cung cấp các dịch vụ gia tăng về nội dung và bảo mậtHoạt động ở chế độ InlinePhân tích rất nhiều loại lưu lượng vào ra khác nhau để phân loại dữ liệu

2.2 Đánh giá
Ưu điểm


Cho phép ngăn chặn các dữ liệu tiêu tốn tài nguyên băng thông mạng IPCho phép cung cấp nhiều dịch vụ gia tăng về nội dung dữ liệu trên mạng IP

Nhược điểm


Làm ảnh hưởng đến hiệu năng của mạngNằm phân tán nên có thể chi phí đầu tư cao

92

Hình P.5 Giải pháp tổng thể của Arbor đối với mạng băng rộng