КРОЗ

"Кроз" - это:

• 01

  Активное решение DPI-анализа для встраивания в каналы оператора связи (совместим с оборудованием стандартов Ethernet и STM);

• 02

  Сертифицированный аппаратный комплекс, устанавливающийся в существующие каналы, не требующий изменений и не создающий узких мест в сети. Возможные схемы подключения: в разрыв канала или захват трафика по BGP;

• 03

  Управление трафиком по правилам со 2 по 7 уровень модели OSI;

• 04

  Покупка интересующего функционала и возможности последующего его расширения на существующем оборудовании;

• 05

  Возможности расширения спектра услуг, предоставляемых оператором связи.

Фильтрация запрещенных URL

В соответствии с законом от 28 июля 2012 г. №139-ФЗ "О внесении изменений в ФЗ “О защите детей от информации, причиняющей вред их и здоровью и развитию" и отдельными законодательными актами РФ» об ограничении доступа к ресурсам сети Интернет, содержащим информацию, распространение которой в РФ запрещено, оператор обязан блокировать доступ в соответствии с реестром запрещенных URL, доменов и сайтов. Решение "КРОЗ" разработано в соответствии с: Федеральным закон от 27 июля 2006 года №149-ФЗ "Об информации, информационных технологиях и о защите информации", Приказом Роскомнадзора от 17.07.2014 №103 "Об утверждении Порядка предоставления операторами связи технических средств контроля за соблюдением операторами связи требований Федерального закона от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации"".

• Автоматизированное обновление из реестра (в том числе Реестр РосКомНадзора, ресурсы из списка МинЮста) и блокировка URL;
• Подробная статистика по блокированным URL (по каждой попытке доступа), возможность экспорта;
• Корректная проверка URL, включая все альтернативные формы записи;
• Возможности HTTP-перенаправления или отправка информационной HTML-страницы о блокировании URL.

 Управление трафиком

Межсетевой экран, задание правил по блокированию, разрыву TCP-соединений, перенаправлению, подсчету статистики или пропуску трафика. Правила включают набор элементов:

• Канальный уровень: MPLS, VLAN, длина пакета;
• Сетевой уровень: адреса сетей, географическое положение, протокол, TTL, TOS;
• Транспортный уровень: набор портов, TCP-флаги;
• Уровень приложений: HTTP URL, FTP URL, DNS NAME/CNAME.

 Детектирование аномалий

Детектирование уязвимостей, аномалий и BotNet сетей как на момент их создания, так и функционирования на основе:

• Регулярных выражений;
• Поведенческого и эмпирического анализа;
• Отклонений от статистических показателей;
• Периодических проверок.

 Расширенная статистика

Расширенная статистика подсчитывается как на основе "сырых" пакетов, так и взаимодействия NetFlow, BGP, SNMP. 100% контроль и мониторинг передаваемого трафика по сети. Отображение статистики в реальном времени или за заданный промежуток с широкими возможностями фильтрации.

• Запрашиваемые хосты, URL, имена файлов и т.д.;
• Подсчет тенденций и изменений популярности хостов и URL;
• Выявление dns/http/ftp/prox/mail сервисов и анализ нагрузки на них;
• Статистика по взаимодействию с соседними операторами;
• Взаимодействие с оборудованием оператора: мониторинг загрузки интерфейсов, загруженность CPU, загруженность памяти, нестабильности маршрутов и т.д.;
• Возможности по планированию расширения сети.

 Схема подключения "КРОЗ" в разрыв

Схема захвата трафика с помощью маршрутизации:

Основные преимущества комплексного решения "КРОЗ":

• Комплексное решение обеспечивает развертывание и наращивание полного набора услуг по управлению трафиком и выполнению требований законности от одного поставщика;
• Экономия средств оператора связи на оборудовании за счет объединения функционала в одном устройстве;
• Покупка интересующего функционала и возможности его последующего расширения на существующем оборудовании;

Гарантийное обслуживание и наращивание функционала в соответствии с изменениями законодательства.

КРОЗ («Анализатор DDoS/DoS и аномалий сети») включает функционал обнаружения и блокирования DDOS/DoS атак.

Функциональность

• Фоновый статистический контроль метрик сети с целью обнаружения профиля злоумышленника;
• Автоматическое блокирование трафика злоумышленника во всей контролируемой сети;
• Настраиваемые уровни и режимы контроля для выделенных подсетей, личный кабинет для клиентов оператора;
• Блокирование атак, исходящих от клиентов;
• Специальные функции защиты от сильно распределенных атак;
• Возможность ручного анализа и задания правил;
• Возможность распределения сети зондов;
• Возможность активной защиты WEB-сервисов на уровне прикладных сессий;
• Детектирование широкого спектра DDoS/DoS-атак;
• Отчеты в режиме реальном времени;
• Автоматическая запись дампов трафика атак, ретроспективный анализ.

Базовый список обнаруживаемых атак:

• Сканирование информационно-телекоммуникационных ресурсов;
• Нелегитимный трафик на невостребованный протокол и/или порт (UDP Flood, ICMP Flood);
• Атака фрагментами IP-пакетов с некорректным содержимым;
• Медленные DoS атаки, SlowLoris, SlowPost и их аналоги;
• Инициация соединения на транспортном уровне стека TCP/IP (TCP Syn Flood);
• Установка полноценного TCP-соединения с его дальнейшим сбрасыванием без обмена данными внутри socket (TCP Connection Flood);
• Атака с использованием протокола DNS и генерацией легитимных запросов/ответов, в том числе DNS Amplification;
• Атака с использованием протокола NTP и генерацией легитимных запросов/ответов, включая NTP-Amplification;
• Отправка данных по протоколу HTTP/1.0 или HTTP/1.1 вне спецификации протокола;
• Атака на SIP-сервис;
• Атака на SMTP-сервис;
• Атака на FTP-сервис;
• Spoofing атаки любого уровня сложности, такие как TCP и UDP;
• Широко распределенные атаки TCP, UDP (в том числе HTTP Flood);
• Распределенная атака на специфический сервис Заказчика.

Технические характеристики:

• Зонд 1RU с возможностью обработки до 10 Гбит/с транзитного трафика, включая различные варианты floods;
• Возможность безопасного включения в разрыв канала либо в схему BGP маршрутизации;
• Аппаратные средства включения с функцией отказоустойчивости;
• Возможность аппаратной балансировки нагрузки с каналов 40 Гбит/с и 100 Гбит/c.

Комплекс предназначен для использования в ядре сети оператора связи / Интернет провайдера. Возможна интеграция услуг DDoS-защиты в спектр услуг оператора связи. Компания «НОРСИ-ТРАНС» предлагает для реализации комплексы КРОЗ для сетей 10G-40G-100G-1000G. Для критических приложений компания предоставляет круглосуточную поддержку и участие сотрудников в разработке стратегии защиты сети связи.