面對阻斷攻擊(DoS)或分散式阻斷服務(DDoS)的威脅,以往企業只能設法臨時加大頻寬,或用一些多功能網路安全產品來處理,甚至建置價格高昂、選擇性又少的專屬防護產品。

幾年前,市面上開始有一些廠商提供服務形式的DDoS防護方案。好處是企業不須建置或設定相關的產品,也不需要配置專業人力去管理,若出現DoS攻擊或DDoS攻擊,以大量連線或封包襲擊企業的網路設施,會交由服務業者的網路安全基礎架構來處理,再後送到用戶端環境。

我們這次介紹的Clean Pipe,就是這種性質的防護服務,對於突如其來的大量網路連線與封包──看似合法但實質為非法的流量,他們能做到不只是以自身機房的網路頻寬來容納、消化,或用資安設備達到即時阻擋的目的,更強調提供過濾「清洗」流量的效果。這項服務由成立於新加坡的iVisions(精瑞資訊)提供,用戶不須將自家的主機搬到這些業者的機房環境內,也能受到該項服務保護。

以計價方式來說,除了依使用需求,Clean Pipe服務目前有A和C兩種套裝方案,分別依攻擊流量和清洗後的流量而定。A方案是基本套件,計價以1GB的攻擊流量起跳,限制為連續4小時;而C方案是企業套件,也是坊間常見的計費方式,以清洗後的流量5Mbps起跳,限制放寬至連續36小時。

能以服務租用形態保護企業網路,用戶端機房不須建置設備

目前企業要取得防護DoS和DDoS攻擊的功能,大多是附屬在特定網路或安全產品下,例如防火牆、IPS、伺服器負載平衡設備/L4~L7交換器,或是網站應用程式防火牆。

至於專屬DDoS防護產品,也有廠商推出,但選擇不多,而且價格昂貴,如我們曾介紹的RioRey公司推出的設備,而且這系列產品的單一售價往往要百萬元以上,使用門檻相當高。

除此之外,也有一些廠商提供服務形態的DDoS防護。然而,在大部分狀況下,要使用這些ISP業者提供的DDoS防護服務,企業要強化保護的網站、主機,可能必須放在業者的機房,而無法置於原本自己管理的網路環境下,或者不得不被迫新承租該業者的線路。

除了建置架構會受限之外,DoS和DDoS攻擊行為也是持續變化的,不一定都是制式手法,此時,ISP業者能否投入足夠的專業人力去因應,也是關鍵。

相較之下,iVisions的Clean Pipe服務提供了一些建置上的彈性,用戶可以選擇用多種模式來啟動防護服務,而且有些模式下,可在不租用該公司網路或主機不遷移至業者機房的前提下,應用該套服務。這是目前臺灣一些大型ISP業者所未提供的。

此外,這樣的防護服務實作上,iVisions也不是單靠高效能的DDoS防禦專屬設備,來達到阻擋攻擊的目的,而是同時搭配多種層次的網路過濾機制。

例如,從L2到L7層,從網路閘道端到網路通訊協定與封包、應用程式,都在Clean Pipe服務涵蓋的範圍內,iVisions準備了相關的網路安全產品來因應,也結合啟發式過濾,以及流量比例限用的做法,來協助處理突然暴衝的異常網路存取行為。當有人企圖用新的手法,對用戶端網路設備發動攻擊時,他們會隨之調整防禦的部署。

不過,以這樣的服務模式來看,業者並不透露他們實際上運用哪些產品進行過濾,因此用戶只能知道是否奏效,但並無法更具體地得知他們是如何做到。

提供3種部署模式,可因應不同的網路存取環境要求

就建置架構來說,Clean Pipe服務支援代理(Proxy)、通道(Tunnel)與直接連結(Direct Circuit),等3種架設模式。而建置模式差異,也牽涉到對於用戶端網路架構的影響程度高低。

首先是代理模式,亦即DNS重導。用戶需要調整他們的網域名稱服務上的記錄,將網站原先的主機網域名稱所對應的IP位址,改為由iVsions站方所設置的虛擬IP位址,之後經該公司設立的淨化中心(Scrubbing Center)過濾後的安全流量,會再重導回用戶的網路架構上。這麼做的好處是,攻擊者無法直接攻進網站本身使用的真實IP位址,而是必須先突破iVsions的防護服務才行。但這種模式也有缺點,除了用戶必須派人手動修改DNS記錄,該動作要完全生效也需時間,有時甚至要花上一天。

第二種是通道模式,也就是使用BGP(Border Gateway Protocol)的路由協定來進行。用戶須將指定保護的網段通知iVisions,經過他們設定後,即可讓用戶端網路流量繞至該公司的流量處理中心,接著,經清除的流量會用GRE(Generic Routing Encapsulation)的網路通訊協定建立通道,傳回用戶端原本的網路架構。當然,這個介於iVisions與用戶之間的網路通道須事先設定。用BGP來做路由,建置起來,將較快速而有彈性,但這麼做的前提是,用戶端的對外網路閘道設備,必須支援BGP協定。

第三種方式是直接連結模式,意思是在iVisions和用戶之間用實體網路的方式對接,這可以使持續租用模式的保護效果達到最大。

上述是建置模式的差異,用戶另一個要考量的是服務使用方式。Clean Pipe提供持續待命(Always On)和隨選即用(On Demand)等兩種選擇,這兩種方式都可以隨時切換給該公司處理(24/7),流量導引至iVisions端,就立刻開始過濾,再傳回用戶端網路,但差別在於後者在對方發動的攻擊結束時,iVisions會通知用戶將網路設回原本的狀態,等到下次攻擊時再切換給該公司處理。

可結合該公司的網站主機防護服務

除了Clean Pipe,iVisions也推出Clean Web的網站防護服務,可讓企業將網站架設在由iVisions所代管的實體設備或虛擬化平臺上,再搭配他們的流量清理服務,保護企業所屬網站。

無獨有偶,這類型的防護服務在臺灣,除了iVisions,還有另一家公司NexusGuard也提供類似的服務。而且,他們和iVisions一樣,也提供針對DDoS防護的ClearDDoS,以及網站防護ClearWeb服務,但實作方式可能有所不同。

用戶可隨時提交技術支援需求

用戶若需要協助,也可在Ticket Support System提交問題,以便得到IVG全球團隊(iVisionsGlobal)的支援,系統將依照問題內容、緊急程度,派發給適當的人處理

搭配PRTG網路監控系統,提供即時狀態統計圖表

對於受保護主機的即時網路狀態監控,Ticket Support System主要是結合PRTG Network Monitor這套管理軟體呈現,用戶可以從iVisions提供的網頁介面,看到Clean Pipe服務處理的即時的流量,也能自行調閱、查詢流量記錄。

 


產品資訊    
●建議售價:廠商未提供(依攻擊流量或清洗後的流量而定)●原廠:iVisions ●電話:(02)2778-9940 ●網址:www.ivisions.com.tw ●保護模式:Proxy、Tunnel、Direct Circuit ●可防護的攻擊類型:ICMP/UDP/SYN等洪水型攻擊、HTTP/HTTPs/DNS等應用層攻擊、拒絕服務攻擊、畸形封包攻擊、CC攻擊、頻寬耗用攻擊、資源耗用攻擊等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容