Защита от DDoS-Атак

С 2008 года украинские банки стали регулярно подвергаться DDoS-атакам. С тех пор частота и интенсивность атак постоянно возрастает.

Сегодня типичная цель DDoS-атаки – скрыть попытку хищения средств с sиспользованием ДБО. В результате атаки банковский сервер становится недоступен, что делает невозможным своевременное выявление клиентом факта хищения.

DDoS-атака может привести к недоступности Интернет-каналов для связи с филиалами и банкоматами, с участниками корротношений. Результатом DDoS-атаки становится серьезное нарушение операционной деятельности банка, значительные прямые и косвенные убытки.

DDoS-атаки крайне опасны из-за высокой доступности. Стоимость суточной DDoS-атаки – 20..100 $. В Интернете активно предлагаются услуги по их проведению. Часто услуги включают «пробные» DDoS-атаки продолжительностью 5-10 минут, по итогам которых можно заказать полноценную атаку на длительный период.

Стратегии защиты банка от DDoS-атак

У банка существует две стратегии защиты от DDoS-атак:

  • Самостоятельное построение защиты
  • Подключение к специализированным сервисам

При самостоятельной защите банк внедряет специализированный программно-аппаратный комплекс (например, Arbor Peakflow SP, Arbor Pravail APS или Radware DefensePro) и устанавливает его в дата-центре своего провайдера. Настройку и управление банк осуществляет самостоятельно.

Данная стратегия требует от банка крупных стартовых инвестиций. Стоимость промышленных решений по защите от DDoS-атак начинается от 80 тыс. $ и может доходить до 2 млн. $. Настройка и сопровождение таких решений требует участия высококвалифицированных специалистов. В случае DDoS-атаки с помощью сетевого флуда банк может понести большие расходы, если весь объем входящего трафика будет тарифицирован провайдером по стандартным корпоративным тарифам.

Альтернатива – подключение к специализированным сервисам по защите от DDoS-атак. В этом случае весь трафик поступает к провайдеру услуги, очищается от вредоносного трафика и далее передается в банк по защищенным каналам.

Сегодня многие крупные Интернет-провайдеры предлагают такие услуги, причем некоторые декларируют обеспечение защиты с учетом банковской специфики. На практике все не так радужно.

Во-первых, провайдеры используют для защиты от DDoS-атак типовые решения и политики, которые не учитывают особенности систем ДБО. В результате ложных срабатываний легитимный трафик расценивается как вредоносный и подавляется. Следствие – недоступность сервиса ДБО для части клиентов.

Во-вторых, провайдеры в принципе не могут противостоять прикладным DDoS-атакам на системы ДБО. Это связано с тем, что весь ДБО трафик зашифрован. Провайдер не может его расшифровать и не может анализировать содержимое для выявления DDoS-атаки на прикладном уровне.

Услуги БИФИТ'а по защите от DDoS-атак

В связи с ростом угрозы DDoS-атак на банки БИФИТ в 2009 г. приняла решение об открытии нового направления деятельности и создала Центр компетенции по защите от DDoS-атак.

Основная задача Центра компетенции по защите от DDoS-атак – изучение промышленных решений для защиты от DDoS-атак от ведущих мировых вендоров, предложение банкам решений по защите от DDoS-атак, их внедрение и сопровождение.

С 2009 г. Центр компетенции по защите от DDoS-атак поставляет в банки промышленные решения для защиты от DDoS-атак – Arbor Peakflow SP, Arbor Pravail ASP и Radware DefensePro. В Центре работают специалисты, прошедшие обучение и сертификацию в компаниях Arbor Networks и Radware.

По мере работы Центра компетенции по защите от DDoS-атак стала очевидной потребность банков в качественном специализированном сервисе защиты систем ДБО от DDoS-атак. Такой сервис был создан в январе 2010 г. – Центр очистки трафика «ibank2.ua».

Центр очистки трафика«ibank2.ua»

Для защиты системы электронного банкинга «iBank 2 UA» от DDoS-атак БИФИТ предлагает банкам подключиться к Центру очистки трафика «ibank2.ua».

Банкам, эксплуатирующим систему «iBank 2 UA», услуги защиты от DDoS-атак с минимальным уровнем сервиса предоставляются бесплатно.

Для защиты от DDoS-атак весь трафик клиентов системы «iBank 2 UA» направляется в Центр очистки трафика, после чего очищенный легитимный трафик перенаправляется из Центра очистки трафика в банк по выделенному каналу.

Центр очистки трафика осуществляет защиту от DDoSатак двух публичных сервисов системы «iBank 2 UA».

  • HTTPS-сервер «iBank 2 UA». Используется корпоративными клиентами для загрузки стартовых html-страниц, конфигурационных xml-файлов и Java-апплетов. Используется частными клиентами для работы с Internet-Банкингом. Взаимодействие осуществляется по протоколу HTTPS.
  • Сервер Приложения «iBank 2 UA». Используется корпоративными клиентами при работе в PC-Банкинге и Internet-Банкинге. Взаимодействие осуществляется по проприетарным протоколам IBTP и GSL.

Для защиты от DDoS-атак сервисов системы «iBank 2 UA» Центр очистки трафика выделяет банку два IP-адреса – по одному для HTTPS-сервера и Сервера Приложения.

Банк для доменных имен HTTPS-сервера «iBank 2 UA» и Сервера Приложения «iBank 2 UA» добавляет выделенные IP адреса вторыми (первые – основные).

После подключения банка к Центру очистки трафика работа корпоративных и частных клиентов по системе «iBank 2 UA» внешне никак не меняется.

При отсутствии DDoS-атак клиентские приложения подключаются напрямую к банковским сервисам через банковские Интернет-каналы. При недоступности основных IP-адресов банка из-за DDoS-атаки клиентские приложения автоматически начинают работать через Центр очистки трафика со вторыми IP-адресами, указанными в доменных именах защищаемых банковских сервисов.

В такой схеме работы крайне важно обеспечить доступность DNS-серверов банка. При успешной DDoS-атаке на DNS-сервер банка клиентские приложения не смогут получить IP-адреса банковских сервисов и не смогут подключиться через Центр очистки трафика.

Для защиты от такой угрозы в Центре очистки трафика есть дополнительная резервная точка входа, единая для клиентов всех банков.

Единая точка входа

Центр очистки трафика «ibank2.ua» в качестве резерва организовал единую точку входа для всех корпоративных клиентов всех банков - https://ibank2.ua

При подключении к HTTPS-серверу единой точки входа клиент загружает Java-апплет, который автоматически определяет нужный банк по выбранному клиентом персональному ключу ЭЦП.

Механизм автоопределения банка использует идентификатор экземпляра системы, хранящийся вместе с персональным ключом ЭЦП клиента.

По идентификатору экземпляра системы Java-апплет определяет банк, загружает с HTTPS-сервера единой точки входа соответствующие конфигурационные файлы и начинает работать с Сервером Приложения «iBank 2 UA» данного банка через Центр очистки трафика.

В клиентскую компоненту PC-Банкинга также встроен механизм работы через Центр очистки трафика при невозможности определить IP-адрес банковского сервиса по доменному имени.

В этом случае клиентская компонента PC-Банкинга подключается к банковскому сервису по доменному имени <id>.ibank2.ua, где <id> – уникальный идентификатор экземпляра системы «iBank 2 UA». По умолчанию доменное имя <id>.ibank2.ua дублирует доменное имя банковского сервиса PC-Банкинга. Описанный механизм включается банком в настройках при формировании единого клиентского дистрибутива PC-Банкинга.

Клиентские запросы от PC-Банкинга, поступающие в Центр очистки трафика, инспектируются и перенаправляются в банк аналогично другим сервисам.

Технические подробности о Центре очистки трафика «ibank2.ua»

Оборудование Центра очистки трафика «ibank2.ua» расположено на крупнейшей межоператорской площадке Украины в в Киеве (NewTelco).

Центр очистки трафика имеет Интернет-каналы 10 Gbps к нескольким магистральным провайдерам, подключен к точкам обмена трафиком MSK-IX, UA-IX и DTEL-IX.

Ядро Центра очистки трафика «ibank2.ua» построено на маршрутизаторах Cisco 7606-S с RSP720-3CXL и платами DFC3CXL на всех линейных модулях.

Для защиты от DDoS-атак на обеих площадках Центра очистки трафика используются промышленные решения компании Radware с производительностью 14Gbps и 12Mpps – Radware DefensePro 12412 IPS & Behavioral Protection.

Решения Radware DefensePro представляют собой специализированную программно-аппаратную платформу. Обработка сетевого трафика осуществляется поэтапно с использованием различных механизмов защиты:

  • поведенческая защита
  • сигнатурная защита
  • защита от TCP SYN Flood
  • управление шириной полосы пропускания.

Дополнительно в Центре очистки трафика используется решение для защиты от DDoS-атак Arbor Peakflow SP, работающее совместно с маршрутизаторами Cisco.

Для защиты от прикладных атак на банковские экземпляры системы «iBank 2 UA» в Центре очистки трафика используются высокопроизводительные серверы со специализированным ПО разработки компании «БИФИТ Сервис».

Для защиты от DDoS-атак региональных банков БИФИТ арендует у операторов магистральные каналы и организует точки присутствия на региональных межоператорских площадках.

Предоставляются услуги по подключению банков этих регионов к Центру очистки трафика по L2 VPN через местных провайдеров.

Планируется дальнейшее расширение географии точек присутствия Центра очистки трафика.

Варианты организации выделенного канала

На практике есть четыре варианта организации выделенного канала для подключения банка к Центру очистки трафика.

Вариант 1. БИФИТ организует канал L2 VPN от Центра очистки трафика до банка, арендуя L2 VPN у канального провайдера банка по межоператорским ценам.

Для организации канала L2 VPN до регионального банка БИФИТ при необходимости арендует магистральный канал до региональной межоператорской площадки, организует свою точку присутствия, осуществляет межоператорскую кроссировку с канальным провайдером банка и арендует у этого провайдера канал L2 VPN от региональной точки присутствия до офиса банка.

Зона ответственности БИФИТ'а – порт в банке

Вариант 2. Банк самостоятельно организует канал L2 VPN до Центра очистки трафика на NewTelco. Порт 100Mb или 1Gb (UTP, SFP) предоставляется бесплатно.

Зона ответственности БИФИТ'а – порт Центра очистки трафика.

На практике данный вариант предполагает, что банк самостоятельно договаривается со своим канальным провайдером о подключении к порту Центра очистки трафика на NewTelco, об аренде канала L2 VPN. Межоператорскую кроссировку на NewTelco обеспечивает канальный провайдер.

Банку следует учитывать, что на практике цена аренды L2 VPN для конечного корпоративного клиента существенно выше межоператорской цены для этого же канала.

Вариант 3. БИФИТ предоставляет региональному банку в аренду канал L2 VPN от Центра очистки трафика в Москве до точки присутствия на региональной межоператорской площадке и порт 100Mb или 1Gb (UTP, SFP). При этом банк самостоятельно (при участии своего канального провайдера) организует межоператорскую кроссировку с точкой присутствия БИФИТ Сервиса и канал L2 VPN от порта точки присутствия до офиса банка.

Зона ответственности БИФИТ'а – порт точки присутствия на региональной межоператорской площадке.

Вариант 4. Использование банком существующего резервного Интернет-канала для работы с Центром очистки трафика (L3 VPN).

Данный вариант является наиболее простым в реализации, используется для оперативного подключения банка к Центру очистки трафика «ibank2.ua» на начальном этапе и не требует дополнительных финансовых затрат. Типовое время подключения через L3 VPN составляет 30 минут.

При этом банку следует учитывать, что в данном случае сохраняется угроза DDoS-атаки на резервный Интернет-канал банка в обход Центра очистки трафика, если злоумышленникам станут известны IP-адреса резервного канала.

За информацией о решениях для защиты от DDoS-атак и услугах Центра очистки трафика обращайтесь по тел. +38 (044) 585-12-21 и e-mail:

Под Internet Explorer версии до 6ой включительно, отображение сайта невозможно!
Выбранный браузер не поддерживает современные веб-стандарты и представляет угрозу вашей безопасности.