Контакты
Подписка
МЕНЮ
Контакты
Подписка

Средства защиты от DDOS-атак - Форум по вопросам информационной безопасности

Средства защиты от DDOS-атак - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Иван | 106109 28.03.2019 14:26
Здравствуйте!
Интересует вопрос - какие средства защиты для защиты от DDOS-атак для корпоративной сети?
Да, я знаю, что есть различные решения с применением облачных технологий, но тут возникают два вопроса: во-первых, вряд ли кому-то понравится направлять трафик корпоративной сети, который может содержать конфиденциальную информацию (как минимум содержащую коммерческую тайну) через какие-то сервера непонятно где, а во-вторых, в случае с государственными организациями оформить подписку на ресурсы для защиты в силу особенностей госзакупок - мягко говоря не самый подходящий вариант.
Собственно исходя из всего этого, интересует какие средства защиты корпоративной сети от DDOS-атак можно предложить, учитывая специфику государственных учреждений (межсетевые экраны, средства обнаружения вторжений....)? Каким образом тогда организуется защита от DDOS-атак в госу организациях?

Автор: Alex | 106117 29.03.2019 10:22
>защита от DDOS-атак в госу организациях

вопрос обширный, зависит от типа атаки, уровня модели iso/osi, бюджета и квалификации. посему начинать нужно от принципа "нет человека (публичного ресурса) - нет проблемы" и далее через https://habr.com/ru/sandbox/36428/ (аналогичных) до поделок типа positive tech web app firewall

Автор: oko | 106120 29.03.2019 23:16
to Alex
Причем тут bruteforce? А WAF? Denial of Service - отказ сервиса. Неудачный брут позволит положить сервис (RDP в частности), но это для атакующего не главное (даже наоборот, худший вариант, потому что лишает его принципиальной возможности доступа внутрь системы). А использовать WAF для поиска сервисов, потенциально влияющих на отказоустойчивость (подчеркиваю) web-системы в целом, - это расточительство (потому что "позитивный ваф" стоит слишком дорого, "ваф от кота в безопасности" представляет собой желание продать кому-нибудь что-нибудь, а немезида подходит далеко не всем, ага)...

to Иван
Определитесь, что такое "защита корпоративной сети от DDoS". Если защита сервиса, смотрящего "наружу" (тот же web-сервер, мыло или нечто подобное, но критичное для вашего бизнеса или работы сети в целом), то:
- что там за КИ-потоки через него гуляют? почему они гуляют "извне" "внутрь"? почему они надежно не защищены (тем же vpn с динамическим ключом)?
- так ли критичен сервис, что ему требуется DDoS-защита?
- возможно, стоит построить дубль-сервис и дубль-канал связи с ним "извне"? что весьма усложнит задачу атакующим как минимум в организационном и экономическом плане?
Если же в вашем случае нужно защитить внутренние сервисы в сети от падений за счет лавины трафика, нагнетаемой в канале, то:
- почему эти сервисы доступны "извне"?
- почему в них есть уязвимости, влияющие на их отказоустойчивость при лавине трафика "извне"?
- почему бы не забить на доступность этих сервисов "извне"?
- возможно, достаточно хорошей IPS, способной распознать первый поток лавины трафика и надежно заблокировать сервис "извне", оставив его для доступности "изнутри"?
Вариантов, как всегда, масса...

Как бы то ни было, в чистом виде DDoS - это переполнение канала связи. И ничего путного, кроме load-balance (на серверы провайдера связи, в иную распределенную инфраструктуру аля облако) с кучей доп.обвязок (типа "чистый Интернет", доступный далеко не для всех простых смертных), человечество для защиты от этого не придумало, ага...

Автор: Alex | 106144 01.04.2019 10:33
>Denial of Service - отказ сервиса

о!

>но это для атакующего не главное

здесь противоречие. по остальному ждём тов.топикстартера

Автор: oko | 106146 01.04.2019 10:49
to Alex
Вы б хоть собственную ссылку прочитали до конца, а потом с ответом сравнили. Который раз уже на одни и те же грабли - стыдно, товарищ!

*в сторону*
Всюду плюсы: если юзают брут для DDoS, то нам же проще работать; если защищают кого-то от брута, прикрываясь услугой антиDDoS, - тем более (хреновые конкуренты - самое вкусное)...

Автор: Alex | 106148 01.04.2019 11:11
>Который раз уже на одни и те же грабли

согласен, если читать не дальше заголовка

>брут для DDoS

это только один из сложных вариантов, проще зафлудить syn- или udp-пакетами

Автор: malotavr | 106178 03.04.2019 15:38
Зависит от техники DDoS.

От "низкоорбитальной ионной пушки", когда толпа чмошников тупо забивает канал связи мусорными пакетами, самостоятельно защититься не получится. Если канал забит, то он забит. Тут хорошо работают только внешние сервисы.

DDoS атаки прикладного уровня, когда на веб-сервер приходит поток "тяжелых" для него запросов, действительно хорошо останавливается WAFом. Внешние сервисы, наоборот, защищать от такого не любят и не умеют.

Но в целом средств самостоятельной защиты "от DDoS вообще" не существует.

Автор: Егор | 106195 06.04.2019 12:59
Я читал, что можно с помощью брандмауэра веб-приложений Incapsula защитить свой сайт от DDOS-атак https://codeby.net/threads/zaschitite-svoju-korporativnuju-set-ot-kiber-atak-s-pomoschju-moschnogo-brandmauehra-dlja-veb-prilozhenij.65034/ и не только.

Просмотров темы: 635

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*