Описание

«РУСКРИН» - RUScreen protection service – разработанный компанией «СБЕ-групп» комплекс по защите от DoS/DDoS-атак мощностью десятки миллионы пакетов в секунду на один порт.

Система является законченным полнофункциональным решением по защите от атак типа DoS/ DDoS-атак на сетевую инфраструктуру Дата-центров (ЦОД), сетевую инфраструктуру точек обмена интернет-трафиком (IX), коммутационное оборудование. Объекты защиты - сервера, сервисы, клиентские сети, сетевое оборудование.

Узел фильтрации, являющийся ядром системы защиты - инновационный центр низкоуровневой скоростной обработки пакетов.

РУСКРИН основана на конвейерном методе обработки сетевого трафика, в процессе поэтапного многоуровневого анализа, с использованием различных механизмов защиты, выполненных в виде отдельных модулей, также реализован автономный модуль самообучения.

Система работает непрерывно, в разрыве канала, фильтрация осуществляется с первого пакета атаки, в отличии от систем защиты основанных на сенсорах и перенаправлении трафика на системы очистки ( со временем реакции на атаку более 20 минут).

«РУСКРИН», в том числе, включает модуль по защите веб-приложений основанный на использовании специализированных решений (WEB Application Firewall) - WAF.

Программный код запатентован и является собственностью ООО "СБЕ-Групп".

Комплекс РУСКРИН соответствует, а по ряду характеристик, превосходит лучшие зарубежные и отечественные аналоги.

Основной функционал системы РУСКРИН

  • Фильтрация до 20Gbit/s (28Mpps) на одном сервере;
  • Работа на предельных скоростях - 14Mpps / 10Gbit/s - узел фильтрации трафика обеспечивает прием, обработку, очистку и передачу пакетов на каждом сетевом интерфейсе на скорости не менее 10 Gbit/s;
  • Узел фильтрации трафика обеспечивает фильтрацию пакетов на скоростях не менее 10 (десяти) миллионов пакетов в секунду (MPPS) на каждом сетевом интерфейсе при условии использования чёрных и белых списков, размером не менее 50 (пятидесяти) миллионов уникальных IP-адресов без использования сетевых масок;

  • Узел фильтрации трафика обеспечивает прием, обработку, очистку и передачу коротких UDP-пакетов на каждом сетевом интерфейсе на скорости не менее 12MPPS при условии, что скорость изменения исходящих IP-адресов в потоке пакетов, не менее 1 (Одного) миллиона адресов в секунду.
  • Потери пакетов узлом фильтрации трафика при передаче коротких пакетов на скорости 11MPPS не более 10% на каждом сетевом интерфейсе;
  • Узел фильтрации трафика обеспечивает прием, обработку, очистку и передачу коротких TCP-пакетов с установленным флагом SYN на каждом сетевом интерфейсе на скорости не менее 11MPPS при условии, что скорость изменения исходящих IP-адресов в потоке пакетов, не менее 1 (Одного) миллиона адресов в секунду;
  • Узел фильтрации трафика обладает возможностью, без потери производительности, устанавливать лимиты PPS и BPS для любого произвольного IP-адреса/адресов в условиях атаки мощностью не менее 10MPPS на каждом из сетевых интерфейсов при условии, что скорость появления новых IP-адресов составляет не менее 1 (Одного) миллиона новых уникальных адресов в секунду;
  • Узел фильтрации трафика обеспечивает возможность идентификации IP адресов посредством использования обратного разрешения DNS или WHOIS;
  • Узел фильтрации трафика поддерживает протокол IPv4;
  • Узел фильтрации трафика должен иметь интерфейс командной строки с доступом по протоколу SSH v.2 (длина ключа не ниже 1024 bit);
  • Интерфейс командной строки модуля фильтрации трафика имеет команды для самодиагностики и для мониторинга работы подсистемы;
  • Синхронизация параметров конфигурации удаленного узла с системой мониторинга выполняется в режиме реального времени;
  • Обмен информацией (статистикой, параметрами конфигурации) между системой мониторинга и удаленными узлами производится с применением шифрования (длина ключа не ниже 1024 bit);

  • Работа на сетевых картах с чипсетом Intel 82599;
  • Защита 3го уровня: контроль PPS, чёрные, белые списки IP адресов;
  • Защита 4го уровня: контроль TCP-сессий, защита от атак типа SYNFLOOD, UDPFLOOD и т.д.;
  • Защита 6го уровня: защита от атак на SSL;
  • Защита 7го уровня: wirespeed фильтрация по сигнатурам, а также регулярным выражениям;
  • Защита Web-приложений для HTTP: проверка cookie, проверка наличия JavaScript-машины на клиенте, кэширование, балансировка, защита от атак типа множественных GET/POST запросов;
  • Модуль терминирования и декодирования SSL;
  • Модуль анонсирования BGP-маршрутов;
  • Модуль проксирования и балансировки TCP-соединений;

Ключевые характеристики РУСКРИН

  • Разработанное решение использует модульный/кластерный принцип, обеспечивающий достаточно быстрое последующее вертикальное и горизонтальное масштабирование для увеличения пропускной способности системы до 100+Gbit/s;
  • Модульная структура программного кода, модульная структура лицензий;
  • Доступ к консоли управления и мониторинга осуществляется из одного интерфейса;
  • Управление аутентификацией пользователей реализовано через локальную базу данных и LDAP;
  • Интерфейс для взаимодействия с централизованной системой управления Заказчика;
  • Каждый узел фильтрации трафика имеет собственную подсистему управления, предназначенную для настройки узла при потере связи с централизованной системой управления Заказчика;
  • Развитые механизмы мониторинга, контроля и отчётности, включая:
    • обработку и хранение статистики об атаках, инцидентах и активности сетевого трафика с распределенных узлов фильтрации трафика;
    • журнал изменений в конфигурации всех подсистем программно-аппаратного комплекса;
    • предоставление отчетов по атакам, включая отчеты по приложениям и типам атак, загруженности каналов связи;
    • информации об атаках, инцидентах и активности сетевого трафика производится в режиме реального времени;
    • мониторинг активности сетевого трафика на распределенных узлах фильтрации трафика. Включая возможность:
      • просмотр данных мониторинга за прошедшие периоды;
      • просмотр данных мониторинга с детализацией по используемым приложениям, протоколам и портам;
    • мониторинг активности атак, включая возможность просмотра данных мониторинга за прошлые периоды;
    • мониторинг использования системных ресурсов (процессор, оперативная память, сетевые интерфейсы) для распределенных узлов фильтрации трафика и для самой системы мониторинга;
    • просмотр отчетов, выгрузка статистических данных и отчетов;
    • аудит событий, зафиксированных программно-аппаратным комплексом;
    • возможность экспорта статистических данных в следующих форматах: CSV, XML, PDF, Excel (XML), HTML.
    • генерацию и отсылку сообщений электронной почты по протоколу SMTP. В подсистему мониторинга включена возможность настройки и автоматической отправки сообщений о системных событиях и новых инцидентах.
  • Интерфейс для взаимодействия с системой мониторинга Заказчика;

Комплекс РУСКРИН соответствует, а по ряду характеристик превосходит, лучшие зарубежные и отечественные аналоги (Arbor Networks, RedWare, МФИ Софт)

Архитектура системы РУСКРИН

  • Командный центр

    • WEB интерфейс управления всей системой
    • Управление пользователями, на основе групповых политик (Супер пользователь, Администратор, Оператор, Наблюдатель)
    • Управление всеми ПАКами(ПАК- комплекс фильтраторов обрабатывающих один канал данных) на основе систем групп с едиными правилами и настройками
  • Фильтратор

    • Фильтрация потока данных на основе правил заданных для данного канала
    • Ядро самообучения
  • Система мониторинга

    • Сбор всех данных мониторинга и статистики со всех фильтраторов
    • Хранение статистики
    • Генерация, отправка и хранение отчетов
    • Предоставление данных для внешний системы мониторинга (внешние системы заказчика)
  • Система резервного копирования

    • Выполнение резервного копирования и восстановления любого элемента системы, любого сервера или роли
    • Хранение архивных копий

Внутренняя архитектура

Обработка сетевого трафика осуществляется в процессе поэтапного многоуровневого анализа, с использованием различных механизмов защиты, реализованного в отдельных модулях.

Модули:

  • Модуль SRC

    Проводит анализ источников потока входящих данных статистика источника, история по IP-адресам и подсетям, общий запрос к системе, запрос к защищаемому сервису или ресурсу и т.д.), в зависимости от результатов анализа определяет алгоритм и логическую структуру обработки трафика определяет приоритеты обработки информации;
  • Модуль DST

    Определяет, проводя анализ, параметры получателя информации(разрешенные порты, протоколы передачи данных и т.д.), запросы на IP-адреса , не включенные в списки защищаемых систем обрабатываются в соответствии с базовой политикой системы . Модуль хранит и обрабатывает статистику и запросы ко каждой защищаемой системе;
  • Модуль контроля PPS

    производит анализ и обработку трафика данных по источникам прошедшим проверку в модулях SRC и DST, нормализует потоки, контролирует и ограничивает по показателям пакетов, согласно параметров заданных в модулях управления системой ;
  • Модуль геопозиционирования

    определяет принадлежность к стране или региону для всех верифицированных источников данных, формирует и применяет политика контроля данных для различных регионов и стран;
  • Модуль преобразования сетевых адресов + межсетевой экран

    обеспечивает трансляцию сетевых адресов, доступ ко множеству серверов через 1 IP адрес, безопасность и распределенность передачи данных внутри сегмента сети, между внутренними ресурсами.
  • Модуль фильтрации по regexp

    Производит поиск в потоке данных на основе заранее заданных сигнатур или регулярных выражений;
  • Подсистема защиты прикладных протоколов

    позволяет создавать отдельные модули для обработки и контроля данных в рамках отдельного протокола или сервиса. Позволяет максимально детально контролировать на APP-Level все аспекты передачи данных;

В базовой конфигурации предустановлены:

  • DNS protection

    определяет параметры DNS запросов, выявляет аномалии этого типа запросов, амплификации. При необходимости может менять транспортный протокол с UDP на TCP;
  • NTP protection

    контролирует протокол NTP, и все аспекты передачи данных в рамках данного протокола, выявляет и отсекает амплификации;
  • HTTP protection

    может самостоятельно проводить проверки всех подключаемых пользователей, проверять валидность java машины, HTTP JavaScript Cookie, HTTP Redirect, CAPTCHA;
  • Connections

    контроль над установленными соединениями, время жизни соединений, общее количество активных и установленных соединений для каждого пользователя;

Ключевые характеристики РУСКРИН

  • Разработанное решение использует модульный/ кластерный принцип, обеспечивающий достаточно быстрое последующее вертикальное и горизонтальное масштабирование для увеличения пропускной способности системы до 100+Gbit/s;
  • Модульная структура программного кода, модульная структура лицензий;
  • Доступ к консоли управления и мониторинга осуществляется из одного интерфейса;
  • Управление аутентификацией пользователей реализовано через локальную базу данных и LDAP;
  • Интерфейс для взаимодействия с централизованной системой управления Заказчика;
  • Каждый узел фильтрации трафика имеет собственную подсистему управления, предназначенную для настройки узла при потере связи с централизованной системой управления Заказчика;
  • Развитые механизмы мониторинга, контроля и отчётности, включая:
    • обработку и хранение статистики об атаках, инцидентах и активности сетевого трафика с распределенных узлов фильтрации трафика;
    • журнал изменений в конфигурации всех подсистем программно-аппаратного комплекса;
    • предоставление отчетов по атакам, включая отчеты по приложениям и типам атак, загруженности каналов связи;
    • информации об атаках, инцидентах и активности сетевого трафика производится в режиме реального времени;
    • мониторинг активности сетевого трафика на распределенных узлах фильтрации трафика. Включая возможность:
      • просмотр данных мониторинга за прошедшие периоды;
      • просмотр данных мониторинга с детализацией по используемым приложениям, протоколам и портам;
    • мониторинг активности атак, включая возможность просмотра данных мониторинга за прошлые периоды;
    • мониторинг использования системных ресурсов (процессор, оперативная память, сетевые интерфейсы) для распределенных узлов фильтрации трафика и для самой системы мониторинга;
    • просмотр отчетов, выгрузка статистических данных и отчетов;
    • аудит событий, зафиксированных программно-аппаратным комплексом;
    • возможность экспорта статистических данных в следующих форматах: CSV, XML, PDF, Excel (XML), HTML.
    • генерацию и отсылку сообщений электронной почты по протоколу SMTP. В подсистему мониторинга включена возможность настройки и автоматической отправки сообщений о системных событиях и новых инцидентах.
  • Интерфейс для взаимодействия с системой мониторинга Заказчика;
Комплекс РУСКРИН соответствует, а по ряду характеристик превосходит, лучшие зарубежные и отечественные аналоги (Arbor Networks, RedWare, МФИ Софт)

8-495-649-85-48

info@sbe-group.ru

ООО "СБЕ-Групп"
Москва
Лужнецкая набережная 2/4, стр. 19, офис 219
+7-495-649-85-48
info@sbe-group.ru