Tải bản đầy đủ - 92 (trang)
1 Các chức năng chính

1 Các chức năng chính

Tải bản đầy đủ - 92trang

87

-



Tương tự như Peakflow SP CP nhưng đặt tại phía khách hàng o Peakflow SP

TMS (Threat Management System)



-



Chỉ hoạt động khi CP phát hiện có nguy cơ tấn công



-



Thực hiện chức năng chặn các thông tin không hợp lệ khi có yêu cầu từ

Peakflow SP CP theo thời gian thực



Hình P.2 Xử lý luồng lưu lượng bị tấn công của Peakflow SP



1.2 Đánh giá

Ưu điểm





Hoạt động ở chế độ Flow-based, Passive, không can thiệp vào luồng dữ liệu, không làm ảnh

hưởng đến hiệu năng của hệ thống.







Dễ tương thích với các hệ thống router, đặc biệt là của các Carrier tại các Data Center.



88

Hình P.3 Năng lực làm việc của thiết bị Peakflow SP







Có các chế độ cảnh báo DDoS







Giám sát và phân tích các loại lưu lượng theo giao diện, người dùng.







Phân tích được các luồng lưu lượng theo giao thức (TCP, UDP, ICMP, BGP…)







Phân tích được các luồng lưu lượng theo các kiểu dịch vụ (HTTP, FTP, …)







Cảnh báo DDoS theo thời gian thực







Cảnh báo các loại sâu máy tính







Tự động phát hiện và quét các mã độc bằng TMS khi cần thiết rồi trả về router đích







Đã triển khai thử nghiệm và đánh giá tốt tại Viễn thông thành phố Hồ Chí Minh năm 2006, tại

VDC năm 2007



Peakflow SP sẽ hoạt động theo các bước sau khi được triển khai



89

















Peakflow SP thực hiện học các hoạt động của mạng của toàn bộ hệ thống bằng các luồng

thông tin Flow, SNMP, BGP được gửi đến các đối tượng mạng (Network Object) qua các giao

tiêp M160 Core router

Xây dựng Cơ sở dữ liệu quan hệ và tạo các mẫu lưu lượng (traffic baselines) liên tục trong

hoạt động bình thường của toàn bộ hệ thống từ học dữ liệu. Bên cạnh đó, cơ sở dữ liệu của

Peakflow SP còn được cập nhật liên tục (24x7x365) bằng các dịch vụ gia tăng của nhà cung

cấp.

Giám sát và phát hiện các bất thường (nếu có) của toàn bộ hệ thống dựa trên các traffic

baselines và thực hiện cập nhật cơ sở dữ liệu mới. Cảnh báo người điều hành mạng (Network

Operator) và khuyến nghị các chính sách thích hợp để xử lý các bất thường của toàn bộ hệ

thống. Người điều hành mạng có toàn quyền quyết định chấp nhận hoặc huỷ bỏ các khuyến

nghị đó dựa trên hệ thống thực đang vận hành.

Giúp tạo các báo biểu chi tiết của toàn bộ hệ thống dựa trên các chính sách quản lý (xây dựng

sẵn, định nghĩa mới) qua các kết xuất thông dụng (CVS, PDF, XML,…)



Đối với các nhà cung cấp dịch vụ mạng và Viễn thông, điều quan trọng nhất là cần xây dựng được

tập các chính sách quản lý tài nguyên hạ tầng, chính sách kiểm toán khách hàng. SP cần hiểu rõ

hơn các yêu cầu này để khai thác tối đa năng lực của Peakflow SP.



Nhược điểm





Chưa được triển khai thực tế.







Mới chỉ tập trung vào nguy cơ DoS.



1.3 Peakflow SP với DoS





Peakflow SP hiển thị các dạng DoS đang cảnh báo (Ongoing DoS Alert), cảnh báo gần

đây (Recent DoS Alert).







Peakflow SP phân loại các dạng cảnh báo DoS theo 3 cấp (Cao – High, Trung bình –

Medium và Thấp – Low).











Có 4 giai đoạn cần triển khai để xử lý một tấn công dạng DoS gồm:

o



Phát hiện (Detection). o Phân tích (Analysis).



o



Truy tìm nguồn gốc (Track back). o Đề ra hướng xử lý (Mitigation).



Peakflow SP phát hiện những tấn công DoS và cung cấp thông tin chi tiết của tấn công đó

gồm: phân loại theo mức độ nghiêm trọng, ngày giờ tấn công theo thời gian thực, hướng

tấn công, giao thức mạng dùng để tấn cống và đặc biệt xác định được tầm ảnh hưởng của

tấn công đó.







Sau phân tích là xác định nguồn xuất phát của tấn công DoS, định danh được các giao tiếp

mạng trên router nào tham gia vào tấn công DoS.



90





Chọn và cho phép người quản trị lọc (filtering) những nguồn tham gia tấn công được chỉ

định bằng địa chỉ IP cụ thể.







Tùy hệ thống thiết bị chuyên dụng như router, firewall, filtering đã được thiết lập,

Peakflow SP giúp tạo các ACLs (danh sách quản lý truy nhập), Ratelimits (các bộ lọc định

mức lưu lượng dữ liệu) hoặc theo các cơ chế xử lý chuyên biệt khác nếu được trang bị như

Blackholeing, Sinkholing hoặc thiết bị Delicated Filtering.







Xác định mức độ nghiêm trọng của một cảnh báo mức cao (High), Người quản trị hệ

thống ngay lập tức có thể xác định chi tiết của dạng tấn công DoS đó:

o



Xác định được đặc tính của loại tấn công DoS hiện tại.



o



Thông tin chi tiết của tấn công đó gồm: lớp mạng của nguồn tấn công (Source

Network), lớp mạng đích của tấn công đang nhắm tới (Destination Network). Thông

số cổng giao tiếp nguồn và đích.



o



Giao thức thực hiện tấn công và chi tiết của nó.



o



Đặc biệt Peakflow SP cung cấp biểu đồ thể hiện mức độ lưu lượng của tấn công DoS

hiện hành so với mức lưu lượng mong muốn của hệ thống.







Khả năng nhận định chính xác mức độ nguy hiểm của tấn công DoS sẽ ảnh hưởng đến

thành phần tài nguyên hệ thống o Cho thấy cụ thể lưu lượng ảnh hưởng trên từng thành

phần của hệ thống so với lưu lượng mong muốn của hệ thống trước khi có tấn công DoS.

o



Người quản trị có thể xem chi tiết những ảnh hưởng cụ thể theo thành phần tài nguyên

hệ thống.



o



Giúp xác định hướng và đường đi của tấn công DoS và nhanh chống có giải pháp đáp

ứng kịp thời trước khi tấn công gây ra nhiều tổn thất trên nhiều tài nguyên.







Phản ứng truớc tấn công DoS. Peakflow xác định được các địa chỉ nguồn cụ thể cùng

tham gia vào tấn công các địa chỉ đích cùng các nhóm cổng giao tiếp o Nhóm cổng nguồn

(Source Ports), đích (Destination Ports) o Giao thức (Protocol) và đặc biệt là các giao tiếp

vào / ra trên tấn công DoS (Input/Output Interfaces).

o



Người quản trị cần xác định lượng dữ liệu nào sẽ phải ngăn chặn thông qua tính năng

Filter (một dạng Mitigation) của Peakflow SP. Peakflow SP sẽ giúp tạo ra các ACLs

và Ratelimits thích hợp và khuyến nghị người quản trị sử dụng.







Người quản trị sẽ toàn quyền quyết định (chấp nhận, thay đổi hoặc hủy bỏ các khuyến

nghị của Peakflow SP) và chịu trách nhiệm trước ngữ cảnh của tấn công DoS xác định o

Peakflow SP tự động tạo ra các khuyến nghị (ACL hay Ratelimit) phù hợp với các thiết bị



91

hiện có trên hệ thống đã được học. o Các khuyến nghị sẽ do Người quản trị toàn quyền

quyết định. Peakflow SP không tự động áp đặt các khuyến nghị này vào hệ thống.

o



Đối với một số cách thức xử lý chuyên dụng thông qua các thiết bị chuyên nghiệp như

Blackhole, Sinkhole hay Delicated Filtering cho các tấn công DoS, Peakflow SP hỗ

trợ nhận biết qua cấu hình chỉ định của Người quản trị. Điều này giúp xây dựng hạ

tầng an ninh mạng vững chắc trước các dạng tấn công DoS ngày càng nguy hiểm.



2 Giải pháp eSeries

2.1 Các chức năng chính





Ứng dụng để cung cấp các dịch vụ gia tăng về nội dung và bảo mật







Hoạt động ở chế độ Inline







Phân tích rất nhiều loại lưu lượng vào ra khác nhau để phân loại dữ liệu



2.2 Đánh giá

Ưu điểm





Cho phép ngăn chặn các dữ liệu tiêu tốn tài nguyên băng thông mạng IP







Cho phép cung cấp nhiều dịch vụ gia tăng về nội dung dữ liệu trên mạng IP



Nhược điểm





Làm ảnh hưởng đến hiệu năng của mạng







Nằm phân tán nên có thể chi phí đầu tư cao



92



Hình P.5 Giải pháp tổng thể của Arbor đối với mạng băng rộng



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

1 Các chức năng chính

Tải bản đầy đủ ngay(92 tr)

×