Подробное описание методов защиты и их настройка Radware
Подробное описание методов защиты и их настройка на Radware Defense Pro
Политики безопасности
Сперва необходимо включить необходимые функции, которые мы хотим использовать для защиты.Для обеспечения эффективного противостояния атакам на web-сайт я включаю по-максимуму:
- Signature Protection
- DoS Shield
- BDoS Protection (Behavioral DoS)
- BDoS Early Blocking
- Anti-Scanning
- SYN Flood Protection
- HTTP Flood Protection
- Packet Anomaly
- Этого будет достаточно, чтобы защитить Web-сервер.
Signature Protection
Сигнатуры защищают от известных уже уязвимостях приложений, распространенных вирусов, троянов, шпионского ПО, червей и DoS. По умолчанию данный вид защиты включен. И он должен быть включен. Но все равно для полной уверенности следует перепроверить, ибо, как говорится, “лучше перебдеть, чем недобдеть”
DoS Shield
Данная фича защищает от флудов нулевого дня, включая SYN-флуды, TCP-флуды, UDP-флуды, ICMP- и IGMP-флуды.
BDoS Protection
Очень важная функция. Она отвечает за обучение самой железки и формирование нормального поведения трафика. Фишка DefensePro в том, что, после обучения, при старте DDoS-атаки (настоящей, никому ещё не известной, на которую нет сигнатуры, не обычные SYN Flood
и HTTP Flood
), железка отслеживает аномальное возрастание траффика и при превышении заданных границ нормально поведения трафика – начинает анализировать на наличие атаки. Регламентированное обнаружение подозрительного трафика – 10 мсек. Далее устройство начинает анализировать подозрительный трафик и при вынесении вердикта о наличии атаки – в режиме реального времени формирует сигнатуру, блокирующею такой трафик. Регламентированное время формирования сигнатуры – 8 мсек. Таким образом, блокировка нового вида DDoS-атаки происходит за 18 мсек. Но не будем верить официальным документам, на моем личном опыте это происходит не меньше чем за минуту.
По-умолчанию время обучения DefensePro составляет неделю.
BDoS Early Blocking
Данная функция, как часть функции BDoS, является очень хорошим дополнением к решению. Она отвечает за раннее блокирование трафика атаки, ещё до того, как он пометится устройством, как подозрительный. Блокировка атаки в таком случае произойдет в интервал до 10 мсек (поэтому она и называется Early Blocking
).Суть данной функции состоит в том, что она проверяет пакеты на нормальное форматирование. И если она видит, что заголовки неправильно расставлены в том или ином протоколе, начинает блокировать такой трафик.
Anti-Scanning
Данная функция защищает от самораспространяющихся червей, горизонтальных и вертикальных TCP и UDP сканов и пингов.
SYN Flood Protection
Тут ничего сложного. От SYN флуда спасает Connection Limit
.
HTTP Flood Protection
Предотвращает новый, ещё неизвестный HTTP-флуд на сайт.
Packet Anomaly
Защищает от аномально форматированных пакетов.После того, как необходимые функции защиты были активированы, пора приступить к объявлению защищенного сервера и писать политики безопасности.
Объявление объекта защиты (сервера) происходит в разделе Classes
-> Networks
Политика безопасности объявляется в разделе Network Protection
И далее начинаем наполнять нашу политику
Задаем имя политики, сеть источника – any
, сеть назначения – наш объявленный ранее сервер. Порт группа – Здесь ничего не задаем, поскольку у нас все завязано через нексусы. На случай если сервер подключается напрямую, то здесь указывается порт группа портов подключения. Direction
, то бишь направление, означает в каком направлении трафик будет инспектироваться заданной политикой. Варианты выбора – One Way
и Two Way
.
One Way
– только входящий трафик.Two Way
– и входящий, и исходящий.
В терминологии Radware это называется smart line
. Теперь приступим непосредственно к наполнению политики. Политика в DefensePro состоит из профайлов ранее активированных нами функций защиты. Профайлы же состоят из правил. Я не буду описывать полностью весь процесс, как я наполнял политику безопасности, так как это займет довольно много места и времени, все можно найти в юзер гайде, да и под каждого клиента требуется индивидуальная настройка.
Для примера возьму BDoS, как одну из самых важных.
Для первой установки рекомендуется выставить все галочки. Также в обязательном порядке выставляем входящую и исходящую скорости канала, который подключен к интерфейсам DefensePro. Мы выставляем скорость в зависимости от скорости требуемые клиенту. Тоесть сколько чистого трафика будет проходить. И также обязательным параметром является выставление процентного содержания протоколов в объявленных входящей и исходящей скоростях. Так как мы можем только предполагать эти проценты, не зная точно, можно поставить квоту по-умолчанию, которые определяет само устройство. Также я рекомендую выставить галочку Packet Trace
для того, чтобы во время атаки и после устройство запоминало IP-адреса атакующих.
Нажимаем ОК
.
Для BDoS задается только профайл защиты. А вот другие функции защиты состоят из профайлов, которые складываются из правил. Например, возьмем функцию защиты Connection Limit
Отдельно хочется остановиться на функции защиты по сигнатурам. Я здесь выбрал All-DoS-Shield
, т.е. входящий трафик сопоставлять со всеми сигнатурами в базе, таким образом максимально защитившись. Но в этом есть свой минус – больше загрузка CPU. Если Вы знаете, какое приложение нужно защищать – достаточно выбрать необходимый набор сигнатур для сравнения с ними входящего трафика. Действие мне пришлось выбрать Block and Report
. Вообще рекомендовано изначально ставить Forward
, для того, чтобы не блокировать легитимный трафик. После того, как политика готова, необходимо её применить на устройстве.