• Атаки DDoS и выбор средств противостояния. Построение тестового стенда.

    В предыдущей статье мы познакомились с опасностью, которую представляют DDoS атаки, посмотрели ряд типовых атак и принципы их работы, и увидели основные методы противодействия DDoS. Итак, система противодействия DDoS атакам (а речь всегда должна идти о комплексном решении, иначе злоумышленникам будет проще найти способ атаки) должна обеспечивать решение приведенных ниже задач:

    1. Обеспечение бесперебойной работы без снижения производительности всех легитимных клиентов, независимо от того осуществляется атака или нет.
    2. Защита от всех известных классов атак.
    3. Система отражения должна срабатывать в автоматическом режиме за секунды, не требуя участия администратора.
    4. Система должна обеспечивать защиту не только на основе статических сигнатур, но и использовать модуль поведенческого анализа, позволяющий отразить атаки нулевого дня.
    5. Система должна работать на канальном уровне модели OSI и не иметь присвоенных IP адресов в сети, от узлов которой осуществляется защита.
    6. Для защиты от атак на переполнения канала связи, поставщик решения должен предложить облачный сервис очистки трафика.
    7. Необходимо обеспечить отражение атак внутри SSL трафика.
    8. Система противодействия DDoS атакам должна обладать модулем, которые позволит обеспечить борьбу со сканированием.
    9. Крайне важным является наличие единой системы управления всеми компонентами системы.
    10. Требуется эффективная система мониторинга и отчетности.
    11. Поставщик решения должен иметь в своем составе команду профессионалов, доступную в круглосуточном режиме для помощи во время атаки.

     

    Рассматривая предлагаемые на рынке решения имеет смысл выполнить проверку их работоспособности. Для этого целесообразно выделить тестовый сегмент сети и провести серию атак, чтобы удостовериться в эффективности противодействия. Имеет смысл проводить не только функциональное, но и нагрузочное тестирование. Первое дает возможность удостовериться в том, что система эффективна против определенных атак, второе же позволит проверить насколько эффективно удается справиться с большими объемами. Как же должно выглядеть это тестовое окружение и как провести атаки и проверить эффективность систем противодействия?

     

    Один из вариантов проверки своей инфраструктуры – реальная атака, выполненная настоящими киберпреступниками. Это может быть достаточно интересно, поскольку именно так может действовать любой злоумышленник, тем более, это не потребует от него знаний в области информационной безопасности. С другой стороны, это носит крайне сомнительный характер, ввиду взаимодействия с «темной» стороной в процессе проверки и финансировании киберпреступников, что никак нельзя признать правомерной деятельностью. Автор не рекомендует применять указанный способ проверки ввиду его очевидной нелегальности.

    Второй вариант – законный и основан на использовании независимой компании аудитора, которая проведет проверку защищенности инфраструктуры от разного рода злонамеренных воздействий. При этом такая компания может как иметь представления о системе заказчика, так и ничего о ней не знать. Процесс проверки, как правило, будет включать поиск и анализ уязвимостей, атаку на целевую систему. Разумеется, подобная деятельность также должна быть полностью согласована, и проводится над тестовой средой, которая моделирует реальную. Компании аудиторы ИБ должны обладать соответствующей экспертизой в требуемой области знаний и, в результате проверок, смогут предоставить отчет об уязвимостях системы и рекомендации по защите.

    Наконец третий вариант, самостоятельная проверка наличия уязвимостей в системе и эффективности противостояния атакам. Этот вариант не всегда возможен в виду отсутствия экспертизы в области информационной безопасности внутри компании, и тем не менее, многие тесты вполне можно проделать самостоятельно, пользуясь рекомендациями и средствами независимых сообществ разработчиков, которые предоставляют нам эффективный инструментарий и методики тестирования защищенности систем.

    Мы сможем самостоятельно проверить предлагаемые поставщиком средства защиты и понять насколько они соответствуют нашим ожиданиям и будут ли они эффективны против типовых атак. Еще раз хочу обратить внимание, что проведение проверки на рабочей системе может привести к крайне нежелательным последствиям, вплоть до полного отказа, с соответствующими финансовыми и репутационными потерями для предприятия, что допускать ни при каких условиях нельзя. В этой связи, проводить такое исследование возможно исключительно в рамках тестовой пилотной среды, где и будут осуществляться все испытания.

    Так как же должна выглядеть эта тестовая среда? Она должна моделировать реальную хотя бы по набору используемых служб. Тестируемые системы защиты должны по очереди включаться в это тестовое окружение, и, разумеется, на них должен проводиться идентичный набор атак. В этом случае можно оценивать системы отражения объективно.

    Конечно, среда тестирования будет существенно зависеть от того, что именно мы хотим протестировать. Если мы оцениваем только функциональные возможности отражения, не обращая внимания на то, что и сам канал связи может быть подвержен атакам, приводящим к его избыточной загрузке и, как следствие неработоспособности, то нам не потребуется включать в тестирование возможности облачной защиты для защиты канала связи. Достаточно будет только базового тестового стенда, иначе нам придется учесть и этот аспект.

    Если нас не интересует защита от атак на WEB приложения, то и модуль WAF на стенде нам не понадобится. Когда же речь идет о комплексной защите, то понадобятся все компоненты для формирования инфраструктуры безопасности.

    Начнем с самого простого варианта. Допустим мы говорим только о DDoS. В предыдущей статье мы уже предложили классификацию DDoS атак. Здесь я ее лишь напомню.

    1. Сетевые флуды;
    2. Атаки на ресурсы приложений;
    3. Сканирование;
    4. Медленные атаки малого объема;
    5. Сложные атаки на веб-приложения;
    6. Атаки под SSL.

    Для проверки систем противодействия этому набору атак предлагается схема тестового стенда, представленная на рис. 1.

    рис. 1.

     

    Выделяется три сетевых сегмента:

    Атакуемая сеть – в ней размещаются серверы, на которые будут осуществляться атаки. Обычно предлагается использовать типовой набор служб (WEB, DNS, Mail, NTP и и т. п.). Обратите внимание, на размещение модуля защиты от WEB атак, модуля WAF. Он всегда должен быть размещен за системой противодействия DDoS, и сам находится под ее защитой.

    Атакующая сеть – сеть для выполнения тестовых атак. Если речь не идет о проверке защиты от воздействия на канал связи, то вопросом облачной защиты можно пренебречь. Для выполнения тестирования можно воспользоваться такими средствами как Kali Linux, Raptor и подобными. В этой же сети имеет смысл создать и легитимного клиента, возможность работы которого мы будем оценивать во время атаки.

    Сеть управления – выделенный сетевой сегмент, предназначенный для размещения систем управления и мониторинга, а также рабочего места администратора безопасности.

    Система противодействия DDoS атакам включается перед пограничным маршрутизатором, при этом важно понимать, что она должна работать на канальном уровне модели OSI, не иметь сетевых адресов в атакующем и атакуемом сегментах.

    Такая схема оказывается вполне жизнеспособной, поскольку позволяет легко заменять DDoS протектор, сравнивая возможности разных поставщиков решения на едином наборе тестовых проверок.

     

    Продолжение следует…

     

    • Атаки DDoS и методы противодействия

      Вряд ли найдется хоть одно предприятие, независимо от его сферы деятельности, где не применяются интернет технологии. Для многих компаний невозможность или трудности работы в сети приводят к катастрофическим последствиям, чем не преминули воспользоваться злоумышленники и конкуренты, проводя целый комплекс атак, приводящих к весьма серьезным неприятностям. Так что же это за атаки и почему они нередко оказываются весьма успешными? Как им противостоять? В качестве примера возьмем интернет-магазин как наиболее простой и понятный вариант. Пусть достигнуты отличные результаты, интернет-магазин имеет успех. Вдруг вы заметили сокращение объема заказов. Стали поступать жалобы от постоянных клиентов, что сайт магазина не отвечает или работает крайне медленно. Эта ситуация начинает повторяться все чаще. Наконец, практически все время к магазину становится невозможно получить доступ. В чем же дело? Вы оказались слишком успешны. Вам объявили кибервойну! Следует иметь в виду, что ни одна из сфер деятельности не осталась без внимания злоумышленников. Атакам подвергаются не только интернет-магазины, но и финансовая сфера, сайты учебных заведений, медицинских учреждений, некоммерческих организаций и многие другие. Надо сказать, что нечестные методы конкурентной борьбы стали гораздо совершеннее, и развитие IT технологий не только предоставило нам новые эффективные инструменты ведения бизнеса, но и создало новое оружие для борьбы с ним. Можно весьма эффективно уничтожать конкурентов, не прибегая к еще недавно столь популярным методам «грубой силы». Теперь на службе у преступников информационные технологии… Здесь речь идет о DDoS атаках, жертвами которых мы и оказались.

      • О волшебной палочке дополнительного образования.

        60504738Раньше я всегда говорил о том, что выбирая информационные технологии, вы выбираете область, где придется учится всю жизнь. Чуть позже я понял, что областей, где не надо учиться всю жизнь, практически нет. Если откинуть механические работы, где важна ловкость рук, то совсем нет.  Юристы, врачи, летчики, режиссеры и легион других профессий учатся не меньше нашего брата.  Получается, что любой, кто имеет профессиональные амбиции и серьезные планы на жизнь, должен воспринимать пожизненное образование, как что-то само собой разумеющееся. Парадокс ситуации в том, что с каждым десятилетием знания становится все проще и дешевле добывать, а иногда они просто бесплатны.  Но при этом в мире нет переизбытка суперквалифицированных специалистов, более того, их всегда стабильный дефицит. Видимо, это связано с тем, что наличие доступного спортзала рядом с домом не делает вас атлетом. Я учусь всю сознательную жизнь и последние 10 лет жизни активно учу, поэтому тема обучения мне близка. В данной статье хотелось бы «без дураков» поговорить об источниках знаний и их особенностях. А так же о том какой источник более эффективен.

        • Розыгрыш: Обучение на курсе за репост!

          O_GSYartjrgКоллеги, день добрый. Как я уже упоминал в других источниках, мы открываем очное живое обучение технических специалистов по целому ряду продуктов и технологий. Обучение будет проходить в центре нашей необъятной Родины в районе метро Бауманская. Расписание уже готово, группы уже набираются, но сейчас мне бы хотелось поделиться радостной новостью о том, что качественно обучение все же живо со всеми, а для этого мы разыграем бесплатное прохождение обучения среди тех, кто поделится новостью в социальных сетях.  Детали розыгрыша ниже.

           

          • Онлайн курсы Udemy со скидкой 50%

            udemyУважаемые студенты, меня зовут Илья Рудь. Я профессиональный технический специалист по направлению Microsoft и действующий инструктор с 7 летним стажем. В данный момент для всех, кто хочет учиться и развиваться в направлении серверных технологий Microsoft, я создаю онлайн-обучение на платформе Udemy. Это качественный, удобный и самое главное дешевый способ расти и развиваться. На данный момент обучение представлено четырьмя курсами, но список постоянно растет. Для тех, кто еще не пробовал онлайн обучение Udemy, я записал небольшое обзорное видео.

            Свежая информация о курсам и актуальные купоны для скидок доступны на моей странице rudilya.ru. Теперь доступна оплата по безналичному расчету.

            cources

            • Рынок обучения в сегменте Microsoft и настоящее завершенное время.

              На тему дополнительного обучения ИТ-специалистов за последние 8 лет написано очень много текста, как толкового, так и откровенно плохого. Я работал в сфере авторизованного обучения Microsoft с 2008 года, нахожусь в теме и вижу, что это сегмент далеко не в лучшем состоянии, более того имеет отрицательную динамику. Причин, которые делают эту динамику довольно много, о том, что было, что будет и чем сердце успокоить, хочу с вами поговорить.

              • Новый курс: “Телефония на базе Skype for Business Server 2015”

                4110 Коллеги, я выпустил новый курс для платформы Udemy “Телефония на базе Skype for Business Server 2015“. За 4,5 часа я постарался рассказать о том как устроена архитектура интеграции Skype for Business с телефонными сетями общего пользования. Дать понимание, что такое маршруты, транки, шлюзы, правила нормализации, IVR  и много другое. Фишкой курса является лабораторная работа, которая включает живой транк до SIP-провайдера, который позволит вам не просто сконфигурировать систему, но и проверить как она работает. Надеюсь вам понравится.

                Купить курс “Телефония на базе Skype for Business Server 2015

                Илья Рудь

                • Версии серверного ПО: Rus VS Eng

                  Вengопрос о том “какой язык должен использоваться при работе с серверным ПО?” уже настолько приелся, что в приличном обществе давно не обсуждается. Ну сложилось так исторически, что практически  все серверное ПО создано за пределами России и то, что русский не является языком мира. Учитывая скорость с которой меняются и развиваются ит-технологии, говорить о полноценной локализации под все языки стран, где ПО используется не представляется возможным. В лучшем случае локализуется интерфейс конечного пользователя и то далеко не всегда. Но по-прежнему ит-специалисты продолжают искать и разворачивать русские дистрибутивы. Изначально было три причины не использовать ПО на родном языке и недавно появилась еще одна.

                  Начнем с классики:

                  1. Баги исключительно локализованных версий это не миф. Не веду каталог найденных багов, но даже мне за последний год встречалось как минимум три таких, причем два бага были в Exchange Server.
                  2. Локализованные продукты получают пакеты обновлений в последнюю очередь и паузы между выходом обновлений для редакции ENG и RUS становятся все больше и больше.
                  3. Тексты ошибок в в локализованных версиях зачастую абсолютно не несут смысловой нагрузки и приходится думать “как эта ошибка могла бы звучать на английском языке?”, чтобы попытаться составить правильный поисковый запрос.

                  Если компания использует русские версии ПО, то наверно и документацию специалисты этой компании читают на родном языке. Мне кажется это логично и практически всегда справедливо. Надо понимать, что никто из вендоров сейчас на русском языке документацию не пишет и все переводится автоматически. Буквально пару дней назад был любопытный инцидент, когда в статье базы знаний, “переведенной машиной” оказались матерные слова из великого и могучего.

                  microsoft-fuck

                  После вскрытия оказалось, что пользователям разрешается добавлять варианты перевода тех или иных фраз для улучшения качества. Кто-то решил слегка повеселиться, ну а процедура проверки была символической и скорее всего ее осуществлял человек, который вообще не знает русский язык. К чему я это пишу?

                  К тому, что найти слово “хуй” в тексте довольно легко, так-же легко посмеяться и забыть. А вот если в следующий раз кто-то добавит в перевод статьи некорректные инструкции, то пара сотен “джедаев” положит свои данные и сервисы даже не моргнув глазом. И потом компании Microsoft придется ох как невесело в попытке найти оправдание для данного залета.

                  Вывод можно сделать только один –  русских версий серверного ПО нет и быть не может. ИТ это международная тема и должна жить исключительно на международном языке. Локализации должны иметь место исключительно для интерфейсов сотрудников. Все остальное от лукавого.

                   

                  MCT/MCSE Илья Рудь

                • Главная Без рубрики, Карьера, Новое Общее, Пятничная тема
                  • MCSE умер. Да здравствует MCSE!

                    saperБуквально несколько дней назад я получил письмо о том, что мне присвоен статус MCSE: Productivity, хотя никаких экзаменов за последний год я не сдавал. Стало понятно, что Microsoft опять что-то изменил в программе сертификации. Информация не заставила себя долго ждать, на официальном портале borntolearn.mslearn.net появилась заметка с описанием изменений. Главный менеджер по направлению обучения Alison Cunard пояснила, что сертификация опять изменена дабы соответствовать новым реалиям, новым технологиям и новому рынку.  Появились пять новых Microsoft Certified Solutions Expert (MCSE) и Developer (MCSD) сертификаций.

                     

                    Специализация по каждому направлению выглядит так:

                     

                    • MCSE: Cloud Platform and Infrastructure – Windows Server и Microsoft Azure
                    • MCSE: Mobility – Windows Client и Enterprise Mobility Suite
                    • MCSE: Data Management and Analysis – специалисты по базам данных MS SQL
                    • MCSE: Productivity –  Office 365, SharePoint, Exchange, Skype for Business
                    • MCSD: App Builder –  Web и Mobile разработка приложений

                     

                    Путь сертификации для достижения новых MCSE следующий:

                    certpath

                    Для достижения каждого MCSE необходимо получить статус Microsoft Certified Solutions Associate (MCSA) по нужному направлению и сдать ОДИН ДОПОЛНИТЕЛЬНЫЙ ЭКЗАМЕН! Дальше становится еще интересней, новые MCSE не будут устаревать, но будет дата, после которой потребуется обновлять свои знания. Каждый год Microsoft будет предлагать сдать факультативный экзамен, а при успешной его сдаче у специалиста обновится запись MCSE и добавится информация о сдаче обновлений. Это полностью заменит текущую систему, когда сертификация становится неактивной если не обновлять ее каждые три года. Получается, что если вы один раз получите MCSE и не будете сдавать факультативные экзамены на обновление, то статус останется, просто без дополнительных нашивок об обновлениях.

                    Вы можете мне задать вопрос: “Но ведь новые MCSE дублируют имеющиеся?” Действительно так и есть, ситуация в том, что все MCSE, которые были раньше упраздняются. После 31 марта 2017 года все существующие MCSE и MCSD прекратят свою жизнь:

                     

                    • MCSE: Server Infrastructure
                    • MCSE: Private Cloud
                    • MCSE: Data Platform
                    • MCSE: Business Intelligence
                    • MCSE: Enterprise Devices and Apps
                    • MCSE: SharePoint
                    • MCSE: Communication
                    • MCSE: Messaging
                    • MCSD: Application Lifecycle Management
                    • MCSD: Universal Windows Platform
                    • MCSD: Azure Solutions Architect
                    • MCSD: Web Applications
                    • MCSD: SharePoint Applications

                     

                    После этой даты их нельзя будет больше получить. Они останутся в профиле  “до отправки на пенсию” соответствующей технологии. Для тех у кого есть активные MCSE по устареваемым направлениям предусмотрена процедура перехода в новые профили MCSE. Без сдачи экзаменов специалисты получат тот MCSE, который отражает их технологию. Поскольку я был MCSE по направлениям Messaging и Communications, то мне достался MCSE: Productivity.

                     

                    Последнее время Microsoft мне очень напоминает нашу страну, планировать что то дальше чем на три месяца просто невозможно.  Концепции рождаются и умирают с такой скоростью, что просто перестаёшь на них реагировать. Если кто не понял, то Microsoft воспринимает текущую повестку дня не иначе как войну и подход “любой ценой мы достигнем цели или умрем” для них стал основным. Отсюда следуют и все последующие круги по воде. В данном случае идут громкие похороны мирового бизнеса в MS Learning сегменте. И то, что On-Premise сертификации плавно уничтожают это только один шаг. Многие другие, типа саботирования развития Learning-а и сокращения Gold партнеров до минимума просто не видны широкой публике. В общем-то ничего нового в этой новости нет,  больше чем уверен, через 3-4 года сертификация будет сдаваться исключительно через интернет и требованием к ней будет просмотр роликов MVA. Качество специалистов будет соответствующим, а именно такие сейчас и нужны корпорации.

                    Илья Рудь

                     

                    • Программа MVP для меня закончилась.

                      the_endСегодня получил звонок от российских кураторов программы MVP с информацией о том, что меня лишают наградной медали, мол спасибо за все и всего доброго. Даже для России вариант лишения статуса MVP тема не новая, было такое и раньше, но как правило за внутренние войны между членами программы. Поскольку в результате последних статей звонили мне из Microsoft часто, особой новостью  для меня это тоже не стало. По хорошему лишься этого статуса я должен был раньше и как минимум дважды. Первый раз после выноса в открытый эфир информации о том, что можно писать откроенную техническую чушь и получить награду. Тогда скандал сошел на нет и как то все угрозы лишения статуса плавно рассосались. И втрой раз, когда я перестал фиксировать какую либо активность в отчетности для получения награды, но и тут помог случай, Microsoft в прошлом году автоматически всех реноминировала. Но как говорится “Бог троицу любит”. В этот раз официальной причиной стало нарушение NDA в последних статьях, чего именно не спрашивайте, я не знаю.