Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Rola Intrusion Prevention System (IPS) w ochronie usług hostingowych


itomek

Rekomendowane odpowiedzi

Chciałbym podzielić się z Wami ciekawym raportem, który został przygotowany przez naszą spółkę, aby ocenić skalę przydatności Intrusion Prevention System w odniesieniu do ochrony usług hostingowych. Wiadomym jest, ze na poziomie centrów danych firmy hostingowe dysponują (albo powinny dysponować) własnymi systemami ochrony przed atakami DDoS. Z kolei w warstwie aplikacji, często spotykamy WAF. Natomiast dość interesującą, i jak się okazuje bardzo ważną ochroną, która, na przykład w nazwa.pl jest umieszczona między ochroną DDoS a load balancerami, jest właśnie Intrusion Prevention System. 

 

Rozszerzona-ochrona-DDoS-IPS-WAF-w-nazwa.pl_.thumb.png.5302aaac07d1bbf38c03ae1be4d1867b.png

 

Na naszym blogu przedstawiliśmy statystykę ataków zatrzymanych przez IPS w ciągu jednego dnia. Wynika z nich, że tylko w jednym dniu Intrusion Prevention System zapobiega ok. 700 tysiącom prób nadużyć, które są wycelowane w usługi naszych użytkowników. Co istotne, ochrona IPS w nazwa.pl realizowana jest za pomocą urządzeń sieciowych firmy Fortinet, działających w klastrze HA (wysokiej dostępności), który zapewnia nieprzerwaną pracę, a samo opóźnienie w dostępie do usługi, spowodowane działaniem IPS, nie przekracza kilku mikrosekund.

 

Sprzętowy IPS jest dużo bardziej skuteczny niż WAF operujący w warstwie 7 (OSI). WAF działa przed pojedynczym serwerem, zatem "nie wie" co się dzieje na pozostałych serwerach w klastrze. IPS można zatem opisać jako WAF powielony dla setek tysięcy usług hostingowych. Zatem to co dla WAF było pojedynczym incydentem, dla IPS stanowi wyraźny wzorzec umożliwiający identyfikację, i następnie blokadę, jak próbę jakiegoś ataku. 

 

Zachęcam do przeczytania raportu, który, jak wspomniałem, przygotowaliśmy tylko na podstawie tylko  jednego, losowego dnia. Całość jest dostępna na blogu nazwa.pl. 

 

Chciałbym poznać Wasze opinie na temat takiego modelu zabezpieczeń.

Odnośnik do komentarza
Udostępnij na innych stronach

1 godzinę temu, itomek napisał:

Chciałbym podzielić się z Wami ciekawym raportem, który został przygotowany przez naszą spółkę, aby ocenić skalę przydatności Intrusion Prevention System w odniesieniu do ochrony usług hostingowych.


Fajnie, dzięki, tylko gdzie jest ten raport?

Używasz słów "podzielić się raportem" , zatem czy jesteś w stanie podzielić się szczegółami technicznymi, takimi jak:
- Konkretniejszy model szkieletu sieci, uwzględniający wszystkie istotne elementy wpływające na wydajność przedstawianego rozwiązania
- Raport wydajności - jaka została konkretnie osiągnięta - ile żądań maksymalnie jest w stanie obsłużyć "klaster IPS"
 

Niestety, bez tych informacji nie ma mowy o jakimkolwiek "raportowaniu", a znów (jak to w waszym przypadku bywa,) o kolejnej reklamie ( a myślałem, że tak jak pisałeś na tym forum, przyszedłeś tutaj jako techniczny użytkownik ... ).

 

Jeżeli jest to reklama, a na końcu pytasz o opinie, to chętnie przedstawię swoją.

 

Z przedstawionego przez Ciebie modelu wynika, że zawierzacie bardzo wiele, centralnemu punktowi w waszej infrastrukturze. Z własnego doświadczenia wiem, że Fortigate potrafi mocno mijać się w swoich deklaracjach wydajnościowych (w środowiskach hostingowych, z którymi miałem styczność), dlatego też dołączana jest informacja drobnym druczkiem:

Cytat

Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.

 

Jedyny raport świadczący o wydajności jaki na szybko znalazłem nie napawa optymizmem: https://www.fortinet.com/content/dam/fortinet/assets/white-papers/Web-Application-Firewall-Product-Analysis-Fortinet-FortiWeb-1000D.pdf względem chociażby darmowego CloudFlare (którego przypominam, obsługi nie chcecie umożliwić).

 

Oczywiście czym innym jest hardware'owy NIPS od software'owego WAF'a, jednak istnieją korzystniejsze, zarówno pod kątem budżetowym jak i bezpieczeństwa (biorąc pod uwagę ostatnie luki i wpadki tego producenta), rozwiązania umożliwiające lepszą wydajność. Z doświadczenia również wiem, że gdy zarządzamy tak krytycznym wąskim gardłem, to albo jest to rozwiązanie chociaż po części rozwijane u utrzymywane in-house (również ze względu na szybkość reagowania w takim środowisku, bez względu na HA - uptime/reliability), albo jest to sprawa dla prawników - dlatego większość providerów gdy dziś się czymś chwali w zakresie DDoS, (N)I{D/P}S, WAF to są to chociaż po części autorskie, dostosowane rozwiązania, a nie 1:1 gotowce od producentów.

 

Spróbujmy troszkę uzupełnić ten Twój schemat o dalsze, na szybko znalezione informacje: https://www.wirtualnemedia.pl/artykul/nazwa-pl-z-nowym-data-center - przepustowość 150 Gbps, moc DataCenter 41 MW - przy okazji, mógłbyś powiedzieć czym jest ta moc DataCenter 41 MW - przyznam, że brzmi to dość elektryzująco, utopijnie aczkolwiek intrygująco.

 

Świat idzie do przodu, covid pokazał trendy, na które szczepionki jedni mają starsze, drudzy nowsze:
https://cloud.google.com/blog/products/identity-security/identifying-and-protecting-against-the-largest-ddos-attacks
https://securelist.com/ddos-attacks-in-q3-2020/99171/
https://www.wired.com/story/ddosecrets-ransomware-leaks/

 

Moim skromnym zdaniem, nie uważam ażeby korzystanie z dobrze znanych rozwiązań w takiej przepustowości było powodem do chwalenia się, gdyż na rynku są dostępne albo darmowe albo dobrze znane rozwiązania oferujące podobną wydajność.

  • Super! 1
Odnośnik do komentarza
Udostępnij na innych stronach

@itomek notka administracyjna: wyjątkowo zezwalamy na to aby ten temat pozostał w takiej formie w jakiej został założony, natomiast wszystkie kolejne nowe tematy tego typu zostaną potraktowane jako informacja od operatora i scalone do stosownego tematu. 

Odnośnik do komentarza
Udostępnij na innych stronach

Dziękuję za komentarz. Pozwól, że odniosę się kolejno do poruszanych przez Ciebie kwestii:

 

9 minut temu, Spoofy napisał:

Używasz słów "podzielić się raportem" , zatem czy jesteś w stanie podzielić się szczegółami technicznymi

 

Jeżeli oczekujesz szczegółów technicznych związanych z konfiguracją IPS w ramach infrastruktury nazwa.pl, niestety nie mogę tych informacji ze zrozumiałych względów tutaj zaprezentować. Raport, jaki publikujemy na naszym blogu, to zbiór informacji pozwalających zapoznać się ze skalą nadużyć, jakich każdego dnia udaje się uniknąć tylko dzięki Intrusion Prevention System. Tak na koniec tego akapitu, zgodnie z definicją PWN, raport to "relacja o stanie czegoś".

 

14 minut temu, Spoofy napisał:

Jedyny raport świadczący o wydajności jaki na szybko znalazłem nie napawa optymizmem

 

Stosowane przez nas rozwiązania, w odpowiedniej konfiguracji, pozwalają na realizowanie zabezpieczeń sprzętowych IPS, które powodują spowolnienia rzędu kilku mikrosekund. Jest to przez nas sprawdzone, a szybkość pracy naszych serwerów CloudHositngowych możesz samodzielnie zweryfikować testując usługę przez 30 dni. Wówczas będziesz w stanie porównać tę usługę do usługi dowolnego innego usługodawcy, niezależnie od tego czy korzysta z IPS czy też nie.

 

19 minut temu, Spoofy napisał:

to są to chociaż po części autorskie, dostosowane rozwiązania

 

Rozumiem, że niektóre organizacje mogą mieć potrzebę budowania w całości customowych rozwiązań. Skuteczność sprzętowej ochrony IPS jest przez nas weryfikowana każdego dnia, a jej bezpośrednimi beneficjentami są nasi klienci. W raporcie, który został opublikowany na naszym blogu możesz zobaczyć 700.000 zablokowanych ataków tylko jednego dnia, i tylko przez IPS. Nikt nie twierdzi, że stosowanie wyłącznie jednej formy zabezpieczenia stanowi najlepszą formę ochrony usług dla klientów firmy hostingowej. Jeżeli przyglądniesz się grafice, zobaczysz tu na wejściu ochronę DDoS, za nią ochronę IPS, a w warstwie aplikacyjnej także ochronę WAF, o której wspominasz. Zatem cała budowa schematu ochrony usług dla naszych klientów jest po części autorskim rozwiązaniem, które wspomagają jak widać dość skutecznie urządzenia stanowiące barierę IPS.

 

32 minuty temu, Spoofy napisał:

mógłbyś powiedzieć czym jest ta moc DataCenter 41 MW

 

W ujęciu tej wypowiedzi moc DC można rozumieć jako możliwości rozwoju kolokacji, co definiują poniekąd możliwości infrastruktury w danym DC. Artykuł z 2018 roku, obecnie nieaktualny. Sformułowanie zgodzę się, że niefortunne, może elektryzować ;) 

 

27 minut temu, Spoofy napisał:

Świat idzie do przodu, covid pokazał trendy, na które szczepionki jedni mają starsze, drudzy nowsze:

 

W linkach jakie przedstawiasz odnosisz się do ochrony DDoS, która jest u nas realizowana niezależnie od IPS. Być może temu tematowi poświęcimy osobny artykuł, wówczas także nie omieszkam zachęcić Cię do dyskusji w tym temacie. Natomiast w tym wątku chciałbym skupić się na ochronie IPS, której zalety wymieniłem, a za której wadę uważasz opóźnienia rzędu kilku mikrosekund w dostępie do stron. Ten argument rozumiem w całości. Faktycznie tych kilku mikrosekund nie jesteśmy w stanie uratować. To trochę jak z zapinaniem pasów w samochodzie - ten, kto ich nie zapnie, na pewno szybciej ruszy na starcie, ale nie wiadomo, czy dojedzie do mety.

Odnośnik do komentarza
Udostępnij na innych stronach

12 minut temu, itomek napisał:

Jeżeli oczekujesz szczegółów technicznych związanych z konfiguracją IPS w ramach infrastruktury nazwa.pl, niestety nie mogę tych informacji ze zrozumiałych względów tutaj zaprezentować. Raport, jaki publikujemy na naszym blogu, to zbiór informacji pozwalających zapoznać się ze skalą nadużyć, jakich każdego dnia udaje się uniknąć tylko dzięki Intrusion Prevention System. Tak na koniec tego akapitu, zgodnie z definicją PWN, raport to "relacja o stanie czegoś".

 

Wybacz, ale chyba pomyliłeś miejsce - rootnode nie jest i nie będzie wielkim plakatem reklamowym (tak jak smutna historia pewnego forum, na którym bezprawnie zostały moje treści objęte prawem autorskim a konto zablokowane).

 

Nie wiem czy brak Ci doświadczenia technicznego, ale chodziło mi o standard w naszym technicznym (przyp. a nie wyimaginowanym-marketingowym) świecie - o raport techniczno naukowy - definicję możesz sobie sprawdzić w wikipedii, lecz polecam tą (również bliższą na codzień) definicję angielską: https://pl.wikipedia.org/wiki/Raport_naukowo-techniczny , https://en.wikipedia.org/wiki/Technical_report#  . Chyba większość sysadminów wie o czym mówię, także jeżeli nie znasz takiej definicji tego słowa, prawdopodobnie zbłądziłeś w tym miejscu.
 

Dając Ci w poprzeczkę raporty kwartalne czy chociażby dostępne na tym forum wspomniane raporty z bloga CloudFlare, idealnie spełniają tę definicę.

 

19 minut temu, itomek napisał:

Stosowane przez nas rozwiązania, w odpowiedniej konfiguracji, pozwalają na realizowanie zabezpieczeń sprzętowych IPS, które powodują spowolnienia rzędu kilku mikrosekund. Jest to przez nas sprawdzone, a szybkość pracy naszych serwerów CloudHositngowych możesz samodzielnie zweryfikować testując usługę przez 30 dni. Wówczas będziesz w stanie porównać tę usługę do usługi dowolnego innego usługodawcy, niezależnie od tego czy korzysta z IPS czy też nie.

 

 

Jest przez was sprawdzone, ale nie zawarte w raporcie. Nigdzie nie wspomniałem o "spowolnieniu rzędu kilku mikrosekund", bardziej chodzi mi o podstawowy flaw*** w projekcie i schemacie który pokazałeś - stosowane przez was rozwiązanie na podstawie urządzeń fortigate, ma dany limit żądań jakie może obsłużyć, także jest wąskim gardłem w całej waszej infrastrukturze.

 

Wybacz, po raz n'ty odpowiadam, że testuję ja jak i moi klienci waszą usługę, najczęściej migrując usługi od was, gdyż nie spełniają one wielu, podstawowych norm, takich jak np. ochrona przed atakami na aplikacje webowe.

 

21 minut temu, itomek napisał:

Rozumiem, że niektóre organizacje mogą mieć potrzebę budowania w całości customowych rozwiązań. Skuteczność sprzętowej ochrony IPS jest przez nas weryfikowana każdego dnia, a jej bezpośrednimi beneficjentami są nasi klienci. W raporcie, który został opublikowany na naszym blogu możesz zobaczyć 700.000 zablokowanych ataków tylko jednego dnia, i tylko przez IPS. Nikt nie twierdzi, że stosowanie wyłącznie jednej formy zabezpieczenia stanowi najlepszą formę ochrony usług dla klientów firmy hostingowej. Jeżeli przyglądniesz się grafice, zobaczysz tu na wejściu ochronę DDoS, za nią ochronę IPS, a w warstwie aplikacyjnej także ochronę WAF, o której wspominasz. Zatem cała budowa schematu ochrony usług dla naszych klientów jest po części autorskim rozwiązaniem, które wspomagają jak widać dość skutecznie urządzenia stanowiące barierę IPS.

 

 

700.000 zablokowanych ataków w ciągu dnia - super, tylko że to nie daje kompletnie żadnej informacji, oprócz tego że danego dnia mieliście wzmożony ruch "próby ataków", które wyłapały sygnaturki WAF'a - dla przypomnienia, chyba w FortiOS nie ma możliwości dodawania definicji swoich złożonych regułek, prawda? Także raczej wątpię, że dostosowujecie je pod konkretnie środowisko hostingowe, a nie internal który częściej jest chroniony przez takie NIPS'y, właśnie ze względu na o wiele mniejsze wymogi wydajności sieciowej. Takie wartości też mogę pokazać z którejś Kibany, nawet ze zwykłym modsec'iem czy wazuh'em - to nie jest nic szczególnego. Zadałem pytanie konkretne - ile requestów jest w stanie obsłużyć ten WAF na tym waszym IPS? Po swoich doświadczeniach z tym hardware'em, śmiem twierdzić, że zastraszająco mało i może to stanowić realny problem*** na produkcji. Nie jest też prawdą, że budowa schematu ochrony usług jest waszym autorskim rozwiązaniem - opieracie się o gotowce, dobrze znane, w dobrze znanym miejscu, także nie ma tutaj rewolucji a "autorstwa" nie jesteś w stanie dowieść.

 

32 minuty temu, itomek napisał:

W ujęciu tej wypowiedzi moc DC można rozumieć jako możliwości rozwoju kolokacji, co definiują poniekąd możliwości infrastruktury w danym DC. Artykuł z 2018 roku, obecnie nieaktualny. Sformułowanie zgodzę się, że niefortunne, może elektryzować ;) 

 

 

Rozumiem, że obecna wartość jest tak elektryzująca, że wybiła poza skalę? Dalej nie wiem jaka to moc - DataCenter w sensie sprzętu który jest lokowany, agregatorów czy budynku?

 

34 minuty temu, itomek napisał:

W linkach jakie przedstawiasz odnosisz się do ochrony DDoS, która jest u nas realizowana niezależnie od IPS. Być może temu tematowi poświęcimy osobny artykuł, wówczas także nie omieszkam zachęcić Cię do dyskusji w tym temacie. Natomiast w tym wątku chciałbym skupić się na ochronie IPS, której zalety wymieniłem, a za której wadę uważasz opóźnienia rzędu kilku mikrosekund w dostępie do stron. Ten argument rozumiem w całości. Faktycznie tych kilku mikrosekund nie jesteśmy w stanie uratować. To trochę jak z zapinaniem pasów w samochodzie - ten, kto ich nie zapnie, na pewno szybciej ruszy na starcie, ale nie wiadomo, czy dojedzie do mety.

 

W takim układzie nie wiesz czym jest WAF który właśnie promujesz. WAF to m.in. ochrona przed atakami typu (sformułowania ogólnego, którego nie lubię) DDoS - jej realna wartość definiowana jest m.in. w ilości żądań, jakie jest w stanie obsłużyć i/lub odfiltrowywać. W związku z tym że nie podajesz takiej wartości i jak widać, marketingowo zaczynasz mylić pojęcia techniczne (w ulotkach producentów często mylnie określa się dane pojęcia) które mają ze sobą bardzo dużo wspólnego, to potwierdza jedynie to, czego doświadczają klienci których od was migruję. Żałuję tylko, że na łamach tego forum, z którymś już wysłannikiem rzeczonej firmy nazwa.pl, który określał się jako "techniczny", rzeczowo nie można porozmawiać i dalej płyniemy w mętnych obłokach absurdu.

 

Cóż, mimo że nie daję wielkiej szansy takiej ochronie, życzę powodzenia w odpieraniu ataków :)

 


 

Odnośnik do komentarza
Udostępnij na innych stronach

Godzinę temu, Spoofy napisał:

o raport techniczno naukowy

 

Nie wydaje mi się, abym gdziekolwiek użył określenia raport techniczno-naukowy.

 

Godzinę temu, Spoofy napisał:

Jest przez was sprawdzone, ale nie zawarte w raporcie. Nigdzie nie wspomniałem o "spowolnieniu rzędu kilku mikrosekund"

 

Zacytuję fragment, który o tym mówi: "Niezaprzeczalną zaletą jest to, że cały proces dzięki wykorzystaniu wyspecjalizowanych urządzeń dokonuje analizy na ASIC-ach w czasie kilku mikrosekund. Dzięki temu jego działanie jest praktycznie niezauważalne dla działających usług.". Jeżeli oczekiwałeś także tutaj innej konstrukcji zdań, mam nadzieję, że moje wskazanie wyjaśnia wszelkie wątpliwości w tym zakresie.

 

Godzinę temu, Spoofy napisał:

i może to stanowić realny problem*** na produkcji.

 

Nie stanowi żadnego problemu. Być może konfiguracja, jaką testowałeś nie była zoptymalizowana pod kątem tego, jaki ruch był kierowany z sieci do zabezpieczanych serwerów. 

 

1 godzinę temu, Spoofy napisał:

Nie jest też prawdą, że budowa schematu ochrony usług jest waszym autorskim rozwiązaniem

 

Nigdzie nie napisałem, że budowa schematu ochrony usług jest naszym autorskim rozwiązaniem. Gdyby było to zastrzeżone know-how, nie publikowalibyśmy tutaj rysunku pokazującego model układu rozszerzonej ochrony DDoS / IPS / WAF. Natomiast sposób konfiguracji urządzeń i oprogramowania jest już naszym know - how. 

 

1 godzinę temu, Spoofy napisał:

Dalej nie wiem jaka to moc - DataCenter w sensie sprzętu który jest lokowany, agregatorów czy budynku?

 

To określenie dotyczyło tej mocy, którą wyrażamy w MW. Jak sam napisałeś, jesteśmy na forum technicznym  ;)

 

1 godzinę temu, Spoofy napisał:

Żałuję tylko, że na łamach tego forum, z którymś już wysłannikiem rzeczonej firmy nazwa.pl, który określał się jako "techniczny", rzeczowo nie można porozmawiać i dalej płyniemy w mętnych obłokach absurdu.

 

Także żałuję, że zamiast skupić się na ciekawym aspekcie, jakim jest ochrona IPS realizowana sprzętowo, negujesz to rozwiązanie, nie zastanawiając się nad jego realnymi możliwościami. Mamy zgoła odmienne doświadczenia z urządzeniami Fortinet, jakie stosujemy.

 

Warto jest spojrzeć na to zagadnienie z perspektywy tego, jakie zabezpieczenia są powszechnie, które z nich są wdrożone w firmach hostingowych, czy sam WAF będzie w stanie zbliżyć się skutecznością do ataków odpieranych przez IPS? I tutaj dość istotna uwaga - nie napisałem o tym, że IPS jest systemem, który jest remedium na wszystkie ataki aplikacyjne. Jak widzisz w schemacie, który został zaprezentowany, w nazwa.pl masz jeszcze dodatkową ochronę WAF dla tej samej warstwy. Wcześniej natomiast masz dedykowaną ochronę DDoS, skierowaną  przeciwko atakom wolumetrycznym. Owszem, ataki aplikacyjne są typem ataków DDoS, przy czym IPS w schemacie ochrony, jaki został zaprezentowany, już nie zajmuje się warstwą sieciową, ale przejmuje rolę ucznia, który na podstawie pewnych wzorców, jest w stanie wykryć nadużycie, i współpracując z innymi elementami sieci, skutecznie je zablokować, a źródło ataku wyeliminować z dostępu do infrastruktury. Dodatkowa ochrona WAF jest już celowana pod konkretne oprogramowanie. Uzupełnia więc IPS, ale go nie wyręcza. Dlaczego jest to istotne? Bo dzięki takiemu schematowi mamy możliwość zareagowania dużo szybciej na pewne anomalia, niż w przypadku ograniczenia się do firewalli w warstwie sieciowej i oprogramowania w warstwie aplikacyjnej.

 

1 godzinę temu, Spoofy napisał:

Cóż, mimo że nie daję wielkiej szansy takiej ochronie, życzę powodzenia w odpieraniu ataków

 

Dziękuję. Przy czym zwrócę uwagę, że rozszerzona ochrona DDoS / IPS / WAF w nazwa.pl nie jest to rozwiązanie stosowane od dzisiaj. To rozwiązanie stosowane przez nas od dłuższego czasu. Celem tego postu nie jest też promocja, jaką zarzucasz, natomiast naszym zdaniem ciekawie przedstawia się jego skuteczność, a liczby odpartych w ten sposób ataków mogą budować świadomość, z czym w dzisiejszym Internecie wszyscy musimy się mierzyć. Szkoda, że wypowiedź osoby reprezentującej tu na forum firmę, która może powiedzieć coś ciekawego w aspekcie ochrony usług dla użytkowników odbierana jest jako reklama. Natomiast moim celem było zachęcenie innych firm do podzielenia się stosowanymi przez te firmy schematami ochrony usług hostingowych. W końcu w tym konkretnym temacie myślę, że wszyscy gramy do jednej bramki :)

Odnośnik do komentarza
Udostępnij na innych stronach

7 minut temu, itomek napisał:

Nie wydaje mi się, abym gdziekolwiek użył określenia raport techniczno-naukowy.

 

W takim układzie, bezczelnie i z premedytacją przyszedłeś tutaj reklamować - jawnie łamiąc regulamin tego działu.

 

7 minut temu, itomek napisał:

Zacytuję fragment, który o tym mówi: "Niezaprzeczalną zaletą jest to, że cały proces dzięki wykorzystaniu wyspecjalizowanych urządzeń dokonuje analizy na ASIC-ach w czasie kilku mikrosekund. Dzięki temu jego działanie jest praktycznie niezauważalne dla działających usług.". Jeżeli oczekiwałeś także tutaj innej konstrukcji zdań, mam nadzieję, że moje wskazanie wyjaśnia wszelkie wątpliwości w tym zakresie.

 

Mówiłem o tym że "ja" nie wspomniałem - nie ma to większego znaczenia przy ochronie, ale warto byłoby zawrzeć jakieś statystyki porównawcze, lecz niestety - w technicznym raportcie a nie reklamie.
 

9 minut temu, itomek napisał:

Nie stanowi żadnego problemu. Być może konfiguracja, jaką testowałeś nie była zoptymalizowana pod kątem tego, jaki ruch był kierowany z sieci do zabezpieczanych serwerów. 

 

 

3 godziny temu, itomek napisał:

Nikt nie twierdzi, że stosowanie wyłącznie jednej formy zabezpieczenia stanowi najlepszą formę ochrony usług dla klientów firmy hostingowej. Jeżeli przyglądniesz się grafice, zobaczysz tu na wejściu ochronę DDoS, za nią ochronę IPS, a w warstwie aplikacyjnej także ochronę WAF, o której wspominasz. Zatem cała budowa schematu ochrony usług dla naszych klientów jest po części autorskim rozwiązaniem, które wspomagają jak widać dość skutecznie urządzenia stanowiące barierę IPS.


Chętnie poznałbym osobę, która wpadła na arcy-genialny pomysł stawiania takiego składnika, w postaci fw forti przed lb, do znaczącej ilości node'ów. Wnioski opiszę poniżej, ale dla mnie w momencie gdy patrzę na ten schemat, z miejsca zapala się czerwona lampka przy takim projekcie.
 

 

14 minut temu, itomek napisał:

Nigdzie nie napisałem, że budowa schematu ochrony usług jest naszym autorskim rozwiązaniem. Gdyby było to zastrzeżone know-how, nie publikowalibyśmy tutaj rysunku pokazującego model układu rozszerzonej ochrony DDoS / IPS / WAF. Natomiast sposób konfiguracji urządzeń i oprogramowania jest już naszym know - how. 

 

 

Raz jeszcze - opisujesz ochronę IPS w której skład wchodzi WAF, operujący na warstwie L7 (OSI). Na grafice dalej również widać WAF'a, ale IPS co konkretnie robi, hm? Jaka jest jego wydajność?

 

Fajna ochrona - ATM RedGuardian jak i jej możliwości są znane, dalej jest udokumentowany ze wsparciem technicznym od producenta forti - dalej nie widzę który składnik i gdzie jest w tym schemacie sekretne know-how, którym tak jak np. pewien francuski usługodawca się chwali - wy nie możecie.

 

22 minuty temu, itomek napisał:

To określenie dotyczyło tej mocy, którą wyrażamy w MW. Jak sam napisałeś, jesteśmy na forum technicznym  ;)

 

Teraz widzisz i rozumiesz - to jest forum techniczne, jednak dalej nie rozumiem - moc czego w MW?

 

23 minuty temu, itomek napisał:

Także żałuję, że zamiast skupić się na ciekawym aspekcie, jakim jest ochrona IPS realizowana sprzętowo, negujesz to rozwiązanie, nie zastanawiając się nad jego realnymi możliwościami. Mamy zgoła odmienne doświadczenia z urządzeniami Fortinet, jakie stosujemy.

 

 

Być może mamy zgoła odmienne doświadczenie w skali obrony, ochrony i ataków :) Być może nie są wam znane lub oferowane przez handlowców (tak jak fortigate) inne rozwiązania.

 

25 minut temu, itomek napisał:

Warto jest spojrzeć na to zagadnienie z perspektywy tego, jakie zabezpieczenia są powszechnie, które z nich są wdrożone w firmach hostingowych, czy sam WAF będzie w stanie zbliżyć się skutecznością do ataków odpieranych przez IPS? I tutaj dość istotna uwaga - nie napisałem o tym, że IPS jest systemem, który jest remedium na wszystkie ataki aplikacyjne. Jak widzisz w schemacie, który został zaprezentowany, w nazwa.pl masz jeszcze dodatkową ochronę WAF dla tej samej warstwy. Wcześniej natomiast masz dedykowaną ochronę DDoS, skierowaną  przeciwko atakom wolumetrycznym. Owszem, ataki aplikacyjne są typem ataków DDoS, przy czym IPS w schemacie ochrony, jaki został zaprezentowany, już nie zajmuje się warstwą sieciową, ale przejmuje rolę ucznia, który na podstawie pewnych wzorców, jest w stanie wykryć nadużycie, i współpracując z innymi elementami sieci, skutecznie je zablokować, a źródło ataku wyeliminować z dostępu do infrastruktury. Dodatkowa ochrona WAF jest już celowana pod konkretne oprogramowanie. Uzupełnia więc IPS, ale go nie wyręcza. Dlaczego jest to istotne? Bo dzięki takiemu schematowi mamy możliwość zareagowania dużo szybciej na pewne anomalia, niż w przypadku ograniczenia się do firewalli w warstwie sieciowej i oprogramowania w warstwie aplikacyjnej.

 

 

Jeżeli IPS działający w warstwie OSI dla ruchu http nie jest tym samym co WAF - to szczerze nie wiem jaka będzie inna definicja. Sam często stosuję np. różne WAF'y na rożnych poziomach, ale to nie zmienia faktu, że jest dany limit wydajnościowy. Dedykowana ochrona DDoS - trust me, znam ją dość dobrze i nie pomoże w popularnych atakach na warstwę aplikacyjną. Wiem jak działa IPS fortigate, wiem jak działają inne rozwiązania - dlatego pytam - jeżeli autorski jest tutaj projekt i ustawienie tego - to czy zbieranie maksymalnego ruchu circa ~150 Gbps do tego punktu, który musi każdy jeden request obsłużyć i sprawdzić jest serio dobrym pomysłem?

 

Jeżeli tak, oznaczać to będzie że :
a) albo macie bardzo skromną infrastrukturę  do obsłużenia z tyłu

b) albo nie macie doświadczenia z częstymi, większymi atakami


W tym miejscu raz jeszcze powtórzę - zbierany jest cały ruch, wszystkich requestów - atak uniemożliwi działanie całej infrastruktury za IPS'em.

 

36 minut temu, itomek napisał:

Dziękuję. Przy czym zwrócę uwagę, że rozszerzona ochrona DDoS / IPS / WAF w nazwa.pl nie jest to rozwiązanie stosowane od dzisiaj. To rozwiązanie stosowane przez nas od dłuższego czasu.

Jeszcze raz - nie brzmi to znajomo? https://antyweb.pl/awaria-nazwa-pl-padly-wszystkie-uslugi/

 

38 minut temu, itomek napisał:

Celem tego postu nie jest też promocja, jaką zarzucasz, natomiast naszym zdaniem ciekawie przedstawia się jego skuteczność, a liczby odpartych w ten sposób ataków mogą budować świadomość, z czym w dzisiejszym Internecie wszyscy musimy się mierzyć.

Przychodzisz jako pracownik danej firmy, piszesz na forum w danym dziale Bezpieczeństwo, linkując do bloga firmowego, bez podawania technicznych szczegółów. Budowanie świadomości niestety często kończy się na jej zakrzywianiu, dlatego właśnie powstały takie miejsca jak rootnode, które weryfikują prawdziwość takiego bełkotu marketingowego, który nie przedstawia wartości technicznej.

 

40 minut temu, itomek napisał:

Szkoda, że wypowiedź osoby reprezentującej tu na forum firmę, która może powiedzieć coś ciekawego w aspekcie ochrony usług dla użytkowników odbierana jest jako reklama.

Właśnie zaprezentowałeś swój poziom i tyle ile możesz "ciekawego" powiedzieć w aspekcie ochrony pod kątem technicznym.

 

42 minuty temu, itomek napisał:

Natomiast moim celem było zachęcenie innych firm do podzielenia się stosowanymi przez te firmy schematami ochrony usług hostingowych.

 

Mogłeś o tym napisać od początku, natomiast wolałeś zapytać o opinię modelu ochrony waszej firmy - taką otrzymałeś.
 

47 minut temu, itomek napisał:

W końcu w tym konkretnym temacie myślę, że wszyscy gramy do jednej bramki :)


O widzisz - tutaj jest tak, że wszyscy gramy do jednej bramki. Niestety, niektórzy wolą bujać w obłokach, wmawiając innym swoje racje. Tutaj jest miejsca dla ludzi i firm które się wspierają i merytorycznie dyskutują na tematy techniczne. Jeżeli któryś z moich kolegów będzie mieć problem np. w zakresie ataków tego typu - chętnie mu pomogę - tak to tutaj widzisz działa.

 

Generalnie upraszczając temat IPS'ów - oczywiście możesz opowiedzieć o zaletach gotowego rozwiązania, ale serio - producenci z ulotkami trafią lepiej do swojej klienteli. Mógłbyś powiedzieć o tym, jak to całą masę podatności wykrywają wasze własne regułki - ale ich nie macie. WordPress'a czy Prestę czy inny popularny CMS wybronimy całkowicie darmowymi regułkami modsec. Każdy może sobie takie regułki dowolnie dopisywać, modyfikować lub zainstalować masę narzędzi do ochrony tylko swojej aplikacji np. na serwerze VPS - przynajmniej poniekąd limity nie będą ograniczać całości infrastruktury, tak jak w waszym przypadku. Istnieją rozwiązania takie jak np.  https://www.imunify360.com/ , gdzie dobór regułek jest zależny raczej od dużej części branży hostingowej. Dlatego właśnie tylko Ci duzi, posiadający odpowiednie środki, zaplecze, są w stanie budować skuteczną ochronę - bo sami ją rozwijają i wtedy jest się czym pochwalić.

Istnieją też wspomniane darmowe rozwiązania typu CloudFlare, do którego wydajnościowo skromne 150 Gbps ruchu raczej nijak się ma. Nie sądzę że te rozwiązania są lepsze, ale na pewno dają pewną kontrolę nad działaniem mechanizmów obronnych, również dla końcowego klienta.

 

Powiedz mi proszę - gdzie w stosunku do powyższych przykładów rozwiązań, można umieścić  raport Twojej firmy z którym tutaj przyszedłeś? Wysil się i zrób techniczne porównanie, tak ażeby wyszła merytoryczna wartość dla użytkowników forum, a nie marketingowa firmy, którą reprezentujesz.

 

Moglibyśmy podyskutować w tym aspekcie: "WAF działa przed pojedynczym serwerem" vs "korelacja zdarzeń". Otóż tutaj niestety żadne wcześniej wymienionych terminów nie będzie dobre. SIEM - w taki sposób centralizuje się i przekazuje dane zdarzenia a czy warto płacić za to wydajnością?

 

 

Generując dalszy ruch, czy DataCenter z którego korzystacie, niezależnie od ochrony DDoS/IPS/WAF jest odporne na tego typu podatności: 

 ?

  • Lubię 3
Odnośnik do komentarza
Udostępnij na innych stronach

 

7 godzin temu, Spoofy napisał:

czy zbieranie maksymalnego ruchu circa ~150 Gbps do tego punktu, który musi każdy jeden request obsłużyć i sprawdzić jest serio dobrym pomysłem?

 

Jak już wspomniałem, są różne metody, aby to właściwie obsłużyć. Można stosować jedno duże urządzenie, albo partycjonować sieć na podsieci i robić wiele niezależnych systemów IPS w ramach określonego klastra. Na pewno to wiesz.

 

7 godzin temu, Spoofy napisał:

Jeszcze raz - nie brzmi to znajomo? https://antyweb.pl/awaria-nazwa-pl-padly-wszystkie-uslugi/

 

 

Zachęcam po przeanalizowana wyników Google w poszukaniu innych firm, które stawały się celami ataków DDoS. Czy uważasz, że największe europejskie centra danych, które też są jako DC atakowane, nie potrafią ustanowić właściwej ochrony? Czym jest atak trwający i skutecznie odparty w 9 minut? Skoro znasz się na problemie powinieneś takich tanich sensacji nie cytować. Dzisiaj mamy 2021 rok, to co cytujesz to artykuł z 2018 roku, z aktualizacją ze stycznia 2019 roku, czyli najświeższa informacja w nim zawarta jest sprzed.... 2 lat. Świat idzie do przodu, nie warto cały czas oglądać się na to, co było kilka lat temu.

 

7 godzin temu, Spoofy napisał:

Przychodzisz jako pracownik danej firmy, piszesz na forum w danym dziale Bezpieczeństwo, linkując do bloga firmowego

 

Zanim opublikowałem swój post, czytałem inne wątki w tym dziale (w tym inne Twoje wypowiedzi). Rozumiem, że jesteś ekspertem od ochrony DDoS. I super, że taka osoba ma na tyle wolnego czasu na odwiedzanie forum i reklamowanie swojej oferty w odpowiedziach.

 

7 godzin temu, Spoofy napisał:

Niestety, niektórzy wolą bujać w obłokach, wmawiając innym swoje racje.

 

Może to przez późną godzinę, kiedy odpisywałeś, niestety muszę znów Cię rozczarować. Nie wmawiam nikomu żadnych racji. Przedstawiam rozwiązanie, które naszym zdaniem bardzo dobrze się sprawdza. Mamy doświadczenie w tym temacie. Skoro nam się coś sprawdziło, chcemy porozmawiać z innymi firmami, które w podobny sposób codziennie walczą z nadużyciami skierowanymi do ich klientów. Jeżeli codziennie zajmujesz się odpieraniem ataków na podobną infrastrukturę, którą dysponuje nazwa.pl, zamiast pouczać i wysyłać linki do kolejnych coraz ciekawszych materiałów sprzed lat, przedstaw nam swój model ochrony w podobnym schemacie. Chętnie go poznamy. Przedstaw swoje sukcesy w jego działaniu, bez większych szczegółów, wystarczą wykresy i statystyki takie jak zostały przeze mnie zaprezentowane. Ja nie oczekuję od Ciebie raportu techniczno-naukowego, wystarczy rozmowa, którą będzie mogło zrozumieć więcej osób. Bo forum jest dla wszystkich, regulamin na który się powołujesz nie zawiera ostrzeżenia, że tylko najwięksi specjaliści z branży, którzy chcą ogłaszać raporty techniczno-naukowe mogą się zarejestrować i rozmawiać. Ale jak wspomniałem, fajnie, że tacy specjaliści jak Ty rozmawiają tutaj i polecają swoje usługi.

Odnośnik do komentarza
Udostępnij na innych stronach

30 minut temu, itomek napisał:

Jak już wspomniałem, są różne metody, aby to właściwie obsłużyć. Można stosować jedno duże urządzenie, albo partycjonować sieć na podsieci i robić wiele niezależnych systemów IPS w ramach określonego klastra. Na pewno to wiesz.

 

 Wiem, dlatego pytałem o właśnie takie szczegóły, których nie potrafisz wybronić, nawet na przykładzie pokazanego schematu.

 

31 minut temu, itomek napisał:

Zachęcam po przeanalizowana wyników Google w poszukaniu innych firm, które stawały się celami ataków DDoS. Czy uważasz, że największe europejskie centra danych, które też są jako DC atakowane, nie potrafią ustanowić właściwej ochrony? Czym jest atak trwający i skutecznie odparty w 9 minut? Skoro znasz się na problemie powinieneś takich tanich sensacji nie cytować. Dzisiaj mamy 2021 rok, to co cytujesz to artykuł z 2018 roku, z aktualizacją ze stycznia 2019 roku, czyli najświeższa informacja w nim zawarta jest sprzed.... 2 lat. Świat idzie do przodu, nie warto cały czas oglądać się na to, co było kilka lat temu.

 

Gdzie powiedziałem że "największe europejskie centra danych, które też jako DC atakowane, nie potrafią ustanowić własnej ochrony"? Tak jest w wielu przypadkach, natomiast przypadek przytoczony przeze mnie przypadek, o ile pamięć mnie nie myli tyczył się tylko waszych usług w danej lokacji - sąsiedzi raczej nie odczuwali skutków. Oczywiście - świat poszedł do przodu, tak samo jak technologie (właściwie to nawet o całą generację w tym zakresie). Tutaj mogłeś powiedzieć, kiedy dane rozwiązanie było wdrażane i czy było to przed czy po tym przypadku.

 

35 minut temu, itomek napisał:

Zanim opublikowałem swój post, czytałem inne wątki w tym dziale (w tym inne Twoje wypowiedzi). Rozumiem, że jesteś ekspertem od ochrony DDoS. I super, że taka osoba ma na tyle wolnego czasu na odwiedzanie forum i reklamowanie swojej oferty w odpowiedziach.

 

I już zaczyna się ad-persona. Niestety, mylisz się - ze względu na kompletny brak czasu, również w tym miejscu spędzam go bardzo mało, czego nie można powiedzieć o Twojej aktywności promującej usługi nazwa.pl.

 

38 minut temu, itomek napisał:

Mamy doświadczenie w tym temacie.

Właśnie to wasze doświadczenie nie daje wam takiego pola marketingowego działania, jak pewnego niebieskiego francuskiego usługodawcy - rozumiem, że brak jednoznacznych publicznych sukcesów na tym polu musi być jak zawsze w takim przypadku - rekompensowany takimi działaniami.

 

40 minut temu, itomek napisał:

Jeżeli codziennie zajmujesz się odpieraniem ataków na podobną infrastrukturę,

Znacznie mniejszą, ale nad podobnymi wielkościowo również zdarzało się majstrować, również w tych samych miejscach.

 

41 minut temu, itomek napisał:

którą dysponuje nazwa.pl, zamiast pouczać i wysyłać linki do kolejnych coraz ciekawszych materiałów sprzed lat, przedstaw nam swój model ochrony w podobnym schemacie.

Widzisz, nie jestem zobligowany by w danym imieniu reprezentować dany podmiot i przedstawiać tutaj czy to ofertę czy upubliczniać szczegóły, dlatego tego (jeszcze) nie robię w przeciwieństwie do Ciebie. Miejmy nadzieję że pojawi się publikacja dogłębnie opisująca jedno ze stosowanych przeze mnie rozwiązań w środowisku hostingowym (bardzo na to liczę :) ), lecz niestety nie jest to zależne tylko ode mnie.

 

46 minut temu, itomek napisał:

Przedstaw swoje sukcesy w jego działaniu, bez większych szczegółów, wystarczą wykresy i statystyki takie jak zostały przeze mnie zaprezentowane.

j/w aczkolwiek kusi mnie, aby zerknąć w ulotkę reklamowanego wykorzystywanego przez was rozwiązania i publicznie porównać to z moim, bo różnice są ogromne, no ale zależy to oczywiście od zastosowanego konkretnego modelu :) Uściślimy - chodzi o działanie fortigate w trybie IPS.

 

47 minut temu, itomek napisał:

Ja nie oczekuję od Ciebie raportu techniczno-naukowego, wystarczy rozmowa, którą będzie mogło zrozumieć więcej osób.

Jeżeli oczekujesz przykładowo autorskiego rozwiązania SIEM, o którym wspomniałem czy oczekujesz pełnej prezentacji danego rozwiązania to są dwa sposoby:
a) zapraszam do kontaktu - podam namiary do odpowiedniego działu

b) meeting rootnode - z którego większość osób z tego grona mnie zna i wie, że chętnie dzielę się informacjami na temat stosowanych przeze mnie rozwiązań i projektach w których biorę udział.

 

52 minuty temu, itomek napisał:

Bo forum jest dla wszystkich, regulamin na który się powołujesz nie zawiera ostrzeżenia, że tylko najwięksi specjaliści z branży, którzy chcą ogłaszać raporty techniczno-naukowe mogą się zarejestrować i rozmawiać. 

 

Oczywiście - forum jest dla wszystkich, lecz zawiera punkt:
 

Cytat

6. Niedozwolone jest również umieszczanie wypowiedzi zawierających wyłącznie przekaz reklamowy, chyba że dział w którym następuje publikacja na to zezwala, lub informacja reklamowa znajduje się w sygnaturze i jest w niej zamieszczona w sposób nie zmniejszający czytelności forum.

 

Informacja w stylu: "hej, zrobiliśmy nie-techniczny raport w którym podajemy wartość odpartych ataków przez gotowe rozwiązanie. tutaj jest link do naszego bloga, co wy sądzicie na temat takiego modelu ochrony" - w tym dziale, raczej brzmi dla mnie jak reklama a nie dyskusja z której ktoś może coś mądrego wyłuskać.

 

59 minut temu, itomek napisał:

Ale jak wspomniałem, fajnie, że tacy specjaliści jak Ty rozmawiają tutaj i polecają swoje usługi.

 

Ah, musiał na koniec prztyczek dać, a merytorycznego porównania z istniejącymi i stosowanymi na rynku hostingowym rozwiązań WAF - to już za dużo pisania. Otóż nie iTomku - nie muszę polecać swoich usług - świetnie robi to za mnie m.in. mój pracodawca, ja mogę oferować jedynie pomoc ;)

 

  • Lubię 3
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.