Ochrona DDoS w WanGuard – wdrożone i dostrojone przez ITORO
Oprogramowanie WanGuard firmy Andrisoft to system anty-DDoS klasy operatorskiej, który wykrywa ataki w sekundy i mityguje je za pomocą BGP FlowSpec, black-holingu RTBH lub przekierowuje hiperwolumetryczne ataki DDoS do centrum scrubbingu. Jako Andrisoft Gold Partner ITORO instaluje, dostraja i obsługuje go dla ISP / DC oraz przedsiębiorstw na całym świecie.
Powyżej ~65 s łącza uplinki (łącza zagraniczne i peeringi) ulegają wysyceniu – w tym momencie użytkownicy już stracili dostęp. Liczy się wyłącznie szybkość.
Kompletna platforma ochrony przed atakami DDoS
WanGuard łączy szybki monitoring ruchu, wykrywanie anomalii i automatyczną mitygację w jednym systemie on-premise, nad którym masz pełną kontrolę. Możemy włączyć mitygację firm trzecich, taką jak fail-over do scrubbing center, ochronę Web Application Firewall (WAF) lub inne warstwy, aby zbudować ochronę wielowektorową.
WanGuard Sensor
Pobiera pakiety z port-mirror lub NetFlow/sFlow, buduje bazowe profile ruchu per IP i wykrywa ataki wolumetryczne oraz protokołowe w mniej niż 5 sekund.
WanGuard Filter / WanFilter
Filtrowanie pakietów przyspieszane przez DPDK czyści wyłącznie złośliwy ruch – skalując się od 1 Gb/s do 800 Gb/s na port sensora, bez odrzucania czystego ruchu.
WanGuard Console
Centralne zarządzanie, dashboardy, raportowanie i alerty z długoterminową analityką sFlow/IPFIX/NetFlow i planowaniem przepustowości.
Szybka reakcja
FlowSpec rozsyła reguły filtrowania w całej sieci w kilka sekund, zatrzymując ataki, zanim dotrą do celu.
Precyzyjne filtrowanie
Reguły celują w złośliwy ruch według IP, protokołu, portu i cech pakietów – uprawniony i normalny ruch przechodzi bez zakłóceń.
Działa na Twoich routerach
Wykorzystuje istniejące routery z obsługą BGP (Cisco, Juniper, Arista, Huawei, Nokia) – bez konieczności zakupu dedykowanego urządzenia.
Skalowalne
Stosowane globalnie lub na wybranych segmentach sieci; skaluje się wraz z Twoją istniejącą infrastrukturą BGP.
Wdrożenie bez przestojów
ITORO wdraża BGP FlowSpec bez okna serwisowego – bez przerwy w usługach podczas instalacji.
Niższy koszt
Wykorzystuje Twoje routery zamiast dedykowanego sprzętu DDoS, obniżając całkowity koszt posiadania.
Stworzony do ataków, z którymi ISP faktycznie się mierzą
WanGuard, dostrojony przez ITORO, broni przed pełnym zakresem wolumetrycznych i protokołowych ataków DDoS – poniższe kategorie obejmują zdecydowaną większość rzeczywistych incydentów.
Zalewy wolumetryczne
Wysokoprzepustowe zalewy UDP, ICMP i IP, które próbują wysycić Twoje łącza (Uplinki).
Amplifikacja / Odbicie
NTP, DNS, CLDAP, CHARGEN, SSDP, memcached, SNMP i podobne wektory odbite.
Carpet-bomb
Ataki rozproszone na wiele docelowych adresów IP w prefiksie – wykrywane per IP, a nie tylko per usługa.
Fragmentacja
Zalewy fragmentów IP/UDP zaprojektowane tak, by prześlizgnąć się przez systemy oparte na próbkowanym flow.
Wyczerpanie stanu TCP
Ataki SYN, ACK i zalewające dużą ilością połączeń na urządzenia stanowe.
DNS i warstwa aplikacji
Zalewy zapytań DNS są mitygowane (bezpieczeństwo DNS przez DNSdist). Ataki w warstwie aplikacji (L7) odrzucamy lub ograniczamy przepustowością, zamiast całkowicie je zatrzymywać – WanGuard to mitygacja wolumetryczna L3/L4, a nie WAF (firewall aplikacji webowych).
RTBH, BGP FlowSpec i WanFilter – właściwe narzędzie do każdego ataku
Filtrowanie BGP FlowSpec
Granularne filtrowanie z prędkością sprzętową wysyłane wprost do kart liniowych Cisco/Juniper/Arista – odrzuca tylko ruch atakujący, utrzymując usługę online.
Black-holing RTBH
Remotely Triggered Black Hole odrzuca cały ruch do atakowanego adresu IP na Twoich łączach upstream – rozwiązanie awaryjne, gdy atak jest zbyt duży, by filtrować go granularnie.
Scrubbing WanFilter
Chirurgiczny scrubbing pakietów DPDK, wdrażany inline lub jako filtr off-ramp. Użyj go, gdy Twoje routery nie obsługują BGP FlowSpec, lub jako dodatkową warstwę filtrowania na wierzchu FlowSpec – chroniąc konkretne usługi zamiast black-holingu całego adresu IP.
Warstwowa automatyzacja
Najpierw FlowSpec/WanFilter, RTBH jako rozwiązanie awaryjne, gdy łącza uplink zbliżają się do wysycenia – w pełni automatycznie, z alertami do Twojego NOC.
Mitygacja ma granice – i jesteśmy wobec nich szczerzy
Pojemność Twojego łącza uplink to twardy limit – nie możemy filtrować więcej, niż przenosi łącze.
Co mitygujemy
- Wszystko, na co WanGuard + Juniper MX mogą zareagować – w ramach przepustowości Twojego łącza uplink.
- Stale aktywne, bezstanowe filtrowanie MX: anti-spoofing, anti-amplification, rate-limity, CoPP.
- Dynamiczny BGP FlowSpec i RTBH aktywowane w momencie wykrycia ataku.
- Granularne filtrowanie utrzymuje Twojego klienta online – RTBH tylko w ostateczności.
Gdzie eskalujemy – szczerze
- Mitygacja jest ograniczona pojemnością łącza uplink – nie możemy filtrować więcej, niż przenosi łącze.
- BGP FlowSpec blokuje tylko to, co da się wyrazić regułą – niektórych losowych lub adaptacyjnych zalewów DDoS nie da się odfiltrować.
- Gdy ruch przekracza Twoje łącze uplink lub nie da się go odfiltrować, eskalujemy do zewnętrznego centrum scrubbingu o skali terabitowej.
- Z góry mówimy, czego nie jesteśmy w stanie zablokować – to nasza marka, a nie zastrzeżenie prawne.
Andrisoft Gold Partner, który obsługuje WanGuard każdego dnia
- Kompletna instalacja, strojenie BIOS/OS/NIC i szkolenie personelu.
- Realistyczne progi per IP, które wychwytują ataki bez fałszywych alarmów.
- BGP, RTBH i FlowSpec skonfigurowane na Twoich routerach i łączach upstream.
- Wsparcie zarządzane jest zawsze częścią wdrożenia – od pokrycia e-mail w trybie NBD po pełną administrację outsourcingową. Pierwszy rok jest dołączony do produktu.
Wdrożenie od początku do końca
Dokładne kroki, które ITORO wykonuje, aby przeprowadzić Cię od pustych serwerów do dostrojonego, produkcyjnego wdrożenia WanGuard.
Przejrzysty, od 2 500 € jednorazowo
Dwa standardowe scenariusze pokrywają większość wdrożeń. Jednorazowe wdrożenie (pierwszy serwer obejmuje instalację, szkolenie i miesiąc dostrajania); licencje WanGuard są roczne. Zbuduj pełną, wyszczególnioną wycenę w kalkulatorze.
Tylko RTBH – najszybszy i najtańszy sposób na zatrzymanie ataków wolumetrycznych przez black-holing celu.
- Sensor port-mirror 2×10GE, detekcja <5 s
- BGP RTBH na Twoich routerach/łączach upstream
- Mitygacja wyłącznie przez blackhole
RTBH + BGP FlowSpec – granularne filtrowanie, które utrzymuje usługę online, z RTBH jako rozwiązaniem awaryjnym.
- Wszystko ze Scenariusza 1
- Granularne filtrowanie BGP FlowSpec + WanFilter
- Skaluje się do sensorów 40/100/400GE
Najczęstsze pytania
Czy WanGuard jest lepszy od chmurowej ochrony DDoS?
WanGuard działa on-premise: ruch nigdy nie opuszcza Twojej sieci, detekcja jest szybsza, a koszt przewidywalny. Uzupełnia chmurowy scrubbing upstream w przypadku bardzo dużych ataków wolumetrycznych.
Jak szybko WanGuard wykrywa atak DDoS?
Przy detekcji port-mirror zwykle od 2 do 5 sekund; przy NetFlow/sFlow od 35 do 95 sekund, zależnie od interwałów eksportu.
Jaki sprzęt jest potrzebny?
Router z obsługą BGP, switch lub router zdolny eksportować flow (sFlow, NetFlow, IPFIX) lub mirrorować ruch oraz – dla sensora port-mirror – serwer dobrany do prędkości portu, który chcesz mirrorować, od 1 do 400 Gb/s. ITORO rekomenduje dokładną specyfikację.
Czy ITORO może obsługiwać WanGuard za nas?
Tak – nasze poziomy wsparcia Gold/Platinum obejmują monitoring, strojenie progów, zmiany, a nawet pełną administrację.
Czy powinniśmy wdrożyć inline czy out-of-band?
Preferujemy metodę out-of-band (off-ramp) z filtrującym VRF – detekcja i scrubbing nigdy nie znajdują się na stałe w ścieżce danych, więc nie ma czego zawieść. Filtr inline również jest obsługiwany, ale ma jedną wadę: umieszczony w moście lub bezpośrednio w ścieżce danych może, przy restarcie lub zdarzeniu serwisowym, na krótko wpłynąć na ruch. Filtrowanie off-ramp całkowicie tego unika.
Jak długo trwa wdrożenie?
Pierwszy serwer obejmuje instalację, strojenie BIOS/OS/NIC, szkolenie i miesiąc dostrajania. W praktyce większość wdrożeń rusza w ciągu jednego do dwóch tygodni – pod warunkiem, że sprzęt, serwer i BGP są gotowe, a Twój zespół ma czas na szkolenie. Możemy też wdrażać, gdy jesteś pod aktywnym atakiem; czasem oznacza to uruchomienie ochrony przez alternatywną ścieżkę danych (na przykład łącze komórkowe), aby dotrzeć do atakowanego centrum danych lub ISP.
Jak radzi sobie z zaszyfrowanymi atakami (TLS)?
Ataki TLS działają w warstwie 7. WanGuard działa w warstwie 3/4 – BGP FlowSpec, black-holing RTBH i brzegowy FlowSpec. To nie jest firewall aplikacji webowych - WAF; to oprogramowanie do wolumetrycznej mitygacji DDoS, które pochłania zalew (flood) na podstawie zachowania ruchu (przepustowość, źródła, cechy pakietów i protokołów sieciowych).
Czy integruje się z naszą istniejącą infrastrukturą?
Tak. WanGuard steruje Twoimi istniejącymi routerami z obsługą BGP (Juniper, Cisco, Arista, Huawei, Nokia) – bez wymiany całej infrastruktury. Juniper MX doskonale sprawdza się jako stale aktywna brama filtrująca z prędkością łącza, a telemetria strumieniowa Juniper zasila Grafana dla pełnej widoczności – oba dostępne jako produkty dodatkowe w naszym portfolio.
Czy skaluje się wraz ze wzrostem naszej przepustowości?
Sensory skalują się od 2×10GE do 400GE na serwer, możesz dodawać sensory i POP-y, a detekcja flow/sFlow skaluje się do terabitów na wielu routerach. Mitygacja przez BGP FlowSpec działa z prędkością portów Twoich routerów.
Jak koszt wypada w porównaniu z chmurowym scrubbingiem?
WanGuard to jednorazowe wdrożenie plus roczne licencje i koszty wsparcia – bez opłat za scrubbing lub burst naliczanych za Gb/s, które rosną wraz z rozmiarem ataków. Koszty są przewidywalne, a Twój ruch nigdy nie opuszcza sieci.
Jaką widoczność uzyskujemy poza alertami o atakach?
Dashboardy na żywo, raporty per incydent i długoterminowa analityka – a także opcjonalna telemetria Juniper MX do Grafana, dająca widoki brzegu i mitygacji w czasie rzeczywistym, które Twój NOC może obserwować podczas ataku. Raportowanie regulacyjne (NIS2) jest dostosowywane do wymagań Twojego kraju w ramach pakietu awaryjnego ITORO.
Jakie rodzaje ataków DDoS może zatrzymać?
Zalewy wolumetryczne (UDP/ICMP), amplifikacja/refleksja (NTP, DNS, CLDAP, memcached i inne), carpet-bomb, fragmentacja, wyczerpanie stanu TCP (SYN) oraz zalewy DNS. Ruch w warstwie aplikacji (L7) jest odrzucany lub ograniczany przepustowością, a nie całkowicie zatrzymywany. Aby uzyskać więcej informacji, skontaktuj się z działem sprzedaży.
Gotowy, by zatrzymać ataki DDoS, zanim dotrą do celu?
Otrzymaj wdrożenie WanGuard dobrane i dostrojone do Twojej sieci.
Skontaktuj się z ITORO