Решение проблем

Контентная фильтрация в икс. В россии появится национальная система фильтрации интернета

К 2020 году в России появится Национальная система фильтрации интернет-трафика (НаСФИТ). Она должна будет защитить детей от негативного и опасного контента. Как рассказал «Известиям» глава Лиги безопасного интернета (ЛБИ) Денис Давыдов, несовершеннолетние пользователи сети смогут посещать только доверенные сайты из «белого списка».

Создание Национальной системы фильтрации интернет-трафика при использовании информационных ресурсов детьми предусмотрено госпрограммой «Цифровая экономика», которую 31 июля утвердил премьер-министр России Дмитрий Медведев. Согласно тексту документа, до конца I квартала 2019 года должна быть разработана архитектура и прототип НаСФИТ, определены необходимые ресурсы. До конца I квартала 2020 года система должна быть введена в эксплуатацию.

Основными лоббистами такой системы на протяжении пяти лет выступают Лига безопасного интернета и сенатор Елена Мизулина. Они участвовали в разработке закона «О защите детей от информации, причиняющей вред их здоровью и развитию» (известен как закон «О черных списках»). В 2012 году в Рунете появился единый реестр запрещенной информации, его ведением занимается Роскомнадзор.

Как рассказал «Известиям» Денис Давыдов, сейчас обсуждаются два варианта реализации национальной системы фильтрации. Первый - фильтрация трафика только в образовательных учреждениях. Второй - фильтрация по умолчанию для всех пользователей Рунета. Граждане смогут посещать сайты из «белого списка», а чтобы получить доступ к нефильтрованному контенту, нужно будет написать заявление интернет-провайдеру или снять соответствующую «галочку» в личном кабинете.

У Лиги безопасного интернета есть собственный «белый список» сайтов, в котором более 1 млн ресурсов. Есть у ЛБИ и две системы фильтрации. Первая - надстройка для браузера, показывающая только доверенные сайты из «белого списка». Вторая - программно-аппаратный комплекс, который устанавливается у оператора связи. ЛБИ уже протестировала эту систему в нескольких регионах России, в частности в Костроме.

По словам Дениса Давыдова, «белые списки» не будут эффективны, если организаторы распространения информации не будут самостоятельно выявлять и блокировать запрещенный в России контент. Поэтому лига ждет повторного внесения законопроекта депутатов Сергея Боярского и Андрея Альшевских. Внесенный ими ранее в Госдуму проект был затем отозван. Он устанавливал ответственность администрации соцсетей за отказ удалить противоправный и недостоверный контент. Как пояснил Денис Давыдов, без такой ответственности взрослые пользователи Рунета смогут выключить фильтрацию и дети не будут ограждены от опасного контента

Глава компании «Ашманов и партнеры» Игорь Ашманов рассказал, что принимал участие в работе подгруппы, разрабатывавшей в программе «Цифровая экономика» раздел по информационной безопасности. По его словам, в документе, ушедшем в правительство из Минкомсвязи, не было речи о НаСФИТ.

По всей видимости, этот пункт был добавлен после, - сказал Игорь Ашманов. - Что касается идеи «белых списков», то она нежизнеспособна.

По его мнению, необходима система «умной» фильтрации «на лету», блокирующая уже запрещенный в России контент, который с заблокированных сайтов «переезжает» на новые.

Генеральный директор «ТМТ Консалтинг» Константин Анкилов тоже считает, что инициатива внедрения «белых списков» для всех пользователей неправильна.

В мире ежедневно появляется большое количество сайтов. И что, каждому сайту нужно доказывать, что он хороший и не нарушает закон? - отметил он. - Эта инициатива нарушает презумпцию невиновности. Это мягкая версия северокорейской модели.

Официальный представитель «МегаФона» Юлия Дорохина считает правильным ограничение доступа детей к нежелательному контенту.

Мы поддерживаем идею ограничения доступа детей к нежелательному контенту и уже давно работаем в этом направлении, - заявила она.

Направлена на несовершеннолетних интернет-пользователей, которые, в случае ее внедрения, смогут посещать только доверенные сайты из «белого списка». Таким образом они будут лишены доступа к «опасному» контенту.

Пока не решено, будет ли трафик фильтроваться только в образовательных учреждениях страны или же для всех пользователей Рунета. Во втором случае, чтобы получить доступ в «свободный интернет», нужно будет написать заявление интернет-провайдеру. Лига безопасного интернета уже тестирует систему «белого списка» в ряде регионов России, в частности, в Костроме.

Чьих рук дело?

Создание этой системы предусматривается , которую 31 июля утвердил премьер-министр России Дмитрий Медведев. НаСФИТ должна быть введена в эксплуатацию до конца 2020 года. Почву для появления системы подготовила, в том числе, сенатор , благодаря которой с 2012 года в Рунете ведется единый реестр запрещенной информации Роскомнадзора.

Почему НаСФИТ может нанести вред?

Представитель МТС Дмитрий Солодовников говорит, что оператор ранее ничего не слышал об этом предложении. «Считаем подобные инициативы вредными, способными нанести ущерб абонентам из-за возможного снижения качества доступа в интернет». В первую очередь это может произойти из-за снижения темпов строительства сетей и развития новых сервисов.

Помимо пользователей НаСФИТ может нанести урон всей телеком- и ИТ-отрасли. Провайдерам и операторам придется тратить огромные ресурсы «на реализацию малоэффективных решений по фильтрации трафика вместо того, чтобы инвестировать в цифровую экономику и строительство cетей 5G», cетует пресс-секретарь МТС.

Идея может не сработать

Источник сайт, близкий к одному из операторов, отмечает, что дети не имеют права заключать договоры об оказании услуг связи. Таким образом, фильтровать трафик только для детей невозможно в принципе. Абонент всегда совершеннолетний, то есть с паспортом, напоминает собеседник.

Представитель интернет-провайдера АКАДО Телеком сообщил, что компания поддерживает инициативу, но также сомневается в механизме ее воплощения в жизнь.

«Неясно, по какому принципу сайты будут попадать в "белый список", кто это должен определять. Если речь идет о фильтрации контента только в образовательных учреждениях, то такая мера вряд ли будет действенна, так как при желании дети смогут зайти на сайты из дома. Поэтому проект нуждается в серьезной доработке». Ирина Романникова, пресс-служба АКАДО Телеком.

Как можно фильтровать?

По мнению гендиректора информационно-аналитического агентства TelecomDaily Дениса Кускова, есть два разумных способа фильтрации «вредных» сайтов: собственные инструменты оператора и покупка SIM-карты с оговоркой, что она будет использоваться ребенком. В этом случае оператор сможет включить фильтрацию сразу.

У некоторых операторов уже есть собственные системы для фильтрации трафика. Так, «Ростелеком» предлагает продукт «Контент-фильтрация трафика» для образовательных учреждений, а «ВымпелКом» - рекомендательный сервис интернет-ресурсов «Вебландия», сайты для которого отбирают детские библиотекари.

Напомним, что на днях , касающихся ограничений в интернете: закон, который запрещает поставщикам VPN и другим сервисам пускать российских пользователей на заблокированные ресурсы, иначе сервис заблокируют, а также закон о запрете анонимности в мессенджерах. Первый документ вступит в силу с 1 ноября этого года, второй - с начала 2018 года.

В Интернете много хорошей и полезной информации. Сейчас люди стали чаще заглядывать в Интернет, чтобы узнать актуальные новости, прогноз погоды, посмотреть виде (инструкции, как сделать что-то), рецепты приготовления блюд или просто уточнить, как вкрутить лампочку в люстру. Информации в Интернете много, только успевай вводить в поисковую строку Яндекса или Google всевозможные запросы. Но среди полезной информации, есть вредная и непристойная в виде изображений, нецензурного текста и видео.

Очень важно огородить детей от такого контента, так как в последнее время появилось много информации нарушающую психику ребенка до неузнаваемости. Первым делом, конечно же, нужно следить родителям за ребенком дома, а учителям в школе за тем на какие сайты он заходит в Интернете, проводить беседы и прочее.

Но не всегда, получается, уследить за чадом, поэтому существуют системы контентной фильтрации (СКФ). На сегодняшний день на рынке информационных технологий СКФ предлагается немало, например, один из популярных сервисов SkyDNS – платная и частично бесплатная система контент фильтрации для школ, офисов и дома.

Можно также воспользоваться абсолютно бесплатной системой доступа в Интернет – .

Что такое DNS-сервер Rejector и его функционал

– централизованная система контентной фильтрации и контроля доступа в Интернет, с помощью которой можно создать защиту детям от непристойной информации, изображений, видео и запрещенных сайтов (+18) и плюс защита от вирусов (так как на подобных сайтах довольно часто бывают вредоносные программы). Проще говоря, Rejector - это DNS-сервер с возможностью удаленного и централизованного им управления.

Сервис Rejector обладает следующими функциями:

  • Поддержка статического и динамического IP-адреса (IP адрес, с которого обрабатываются запросы);
  • Категории фильтрации (офисный фильтр, детский фильтр, индивидуальный фильтр);
  • Исключения (черный и белый список);
  • Закладки (можно сохранить под коротким названием длинный URL-адрес сайта);
  • Статистика;
  • Обратная связь администратора с пользователями сети;
  • Временной интервал (можно задать, по каким дня и времени будет действовать фильтрация).

Как работает сервис Rejector: регистрация, настройка и запуск контентной фильтрации

Чтобы воспользоваться всеми функциями сервиса Rejector - блокировки нежелательных сайтов и контента, нужно зарегистрироваться, указав все необходимые данные.

После регистрация вам станет доступна панель управления системы контентной фильтрации. И вы можете приступить к управлению веб-сервисом. Все происходит централизовано, то есть с вашего компьютера.

Раздел «Сети»

Первым делом заходим в раздел «Сети» и внести настройки:

  1. Ввести название вашей сети (любое название, можно использовать кириллицу или латиницу).
  2. Выбираем статус: статический IP адрес или динамический IP адрес. Тут все зависит от настроек вашего провайдера. Нужно уточнить у провайдера, какой у вас адрес.

Пояснение :

Статический IP адрес – это постоянный адрес вашего компьютера без ограничении во времени при подключении к Интернету. Выдается провайдером и в основном прописывается пользователем в настройках компьютера или роутера.

Динамический IP адрес – это непостоянный (изменяемый) адрес компьютера, который назначается автоматически при подключении устройства к сети и используется в течение определенного интервала времени.

Со статическим IP-адресом все просто, он отображается верхнем правом углу. Его нужно скопировать и вставить в поле Ip-адрес или же посмотреть .

С динамическими адресами все предстоит гораздо сложнее, ведь они могут меняться каждый день, а у некоторых провайдеров в настройках прописано, чтобы каждый 3-4 часа.

Для настройки динамического ip-адреса, рекомендуется использовать веб-сервис dyn.com/DNS/ , хотя как я заметил, он стал платным. Также можно поискать бесплатные dyndns в сети. Пользователи операционных систем Windows могут воспользоваться Rejector Agent .

В следующих статьях, постараюсь, написать, как настроить автоматическое определение и обновления динамических адресов.

Раздел «Фильтрация» можно выбрать подходящий для вас белый и черный список по которому будет происходить фильтрация контента. Тут есть готовые: офисный фильтр, детский фильтр, безлопастный фильтр и другие.

Выбрав можно настроить фильтрацию контента по индивидуальным настройкам, то есть выбрать категории сайтов, которые будут блокироваться.

В разделе «Исключения» можно доработать список сайтов, которые нужно блокировать или же наоборот, к которым должен быть обязательно доступ в Интернете. Если проще, доработка белого и черного списка.

Раздел «Закладки»

Раздел «Статистика»

Раздел «Статистика» предназначены для отслеживания за количеством запросов URL-адресов сайтов, заблокированных веб-ресурсов, ошибочных запросов за определенный период времени (пользователь может задать нужный ему период времени).

Раздел «Запросы»

В разделе «Запросы» администратор получает сообщения от пользователей сети, на запрос об открытие (разблокировки сайта). Пользователи могут отправлять запросы со страницы блокировки. Кстати, страницу блокировки можно настроить в разделе «Сети» щелкнув по ссылке Настроить в своей странице запрета.

Раздел «Временный интервал»

Раздел «Временный интервал» посвящен настройкам со временем работы контентной фильтрации в сети. Например, можно настроить чтобы сервис Rejector не блокировал сайты после 17:30 и т.д.

Для очистки кэша в Windows нужно выполнить команду ipconfig /flushdns .

После проделанных действий описанных выше, можно сказать, что большая часть работы сделана для полноценной фильтрации контента.

Остается настроить сетевой адаптер в операционной системе, которая установлена на ваш компьютер или же внести настройки в роутер (маршрутизатор).

Настройка сетевого адаптера и роутера (маршрутизатора)

Осталось совсем ничего, чтобы полностью запустить систему контентной фильтрации Rejector у себя на компьютере или в организации (офис, школа). Нужно прописать DNS-сервера Rejector: 95.154.128.32 и 78.46.36.8. Без этого никак не получится фильтровать запрещенные сайты и контент.

Настройка DNS-серверов для использования Rejector в Windows (Windows XP, Windows Vista и Windows 7) написано . Поэтому писать новую инструкцию не вижу смысла. Там написана пошаговая инструкция со скриншотами.

А вот настройки роутеров под Rejector я не нашел на их сайте. Роутеров существует очень много и поэтому описать каждый роутер нет возможности. На примере представлена инструкция по настройке роутера (маршрутизатора) D- Link DIR-300NRUB5 .

Дальше откроется во всей своей красе административная панель роутера, где можно внести настройки. Если роутера у вас уже настроен вашим провайдером или вами самостоятельно и доступ к интернету есть, то нужно внести изменения в серверы имен (в данном случае). Для этого проходим в раздел меню «Дополнительно» и выбираем «Серверы имен». Далее как показано на скриншотре, вводим DNS сервера Rejector: 95.154.128.32 и 78.46.36.8 .

Сохраняем изменения и перегружаем роутера, чтобы настройки вступили в силу!

Например, недавно настраивал . В панели управления этого роутера нужно зайти в раздел меню «Сеть» , далее WAN и в поля предпочитаемый и альтернативный DNS-сервер ввести соответствующие DNS-сервера Rejector.

Если будут проблемы в настройке роутера, пишите в комментариях ниже, постараемся помочь вам настроить контекстную фильтрацию.

Если Вы не хотите тратить деньги на систему контентной фильтрация для вашего дома, небольшого офиса или школы (образовательной организации), то сервис Rejector станет для Вас подходящим инструментом для блокировки компьютеров от нежелательного контента в Интернете.

Пишите в комментариях, как вы защищаете своих детей и какие средства используете для блокировки нежелательных сайтов на своем компьютере.

Привет всем! Можно много и отвлеченно рассуждать о преимуществах развития всемирной паутины. Но вот о вопросах безопасности большинство пользователей почему-то не задумываются.

Да, развитие операционных систем предполагает установку разработчиками и более совершенных методов защиты. Но, как правило, они не задействованы на самом деле, учитывая тот факт, что большинство пользователей предпочитает «работу из коробки» – то есть на свежеустановленной системе без каких-либо дополнительных настроек.

А уж вопросами безопасности, как показали последние опросы пользователей, озадачивается и совсем малое количество.

В пределах одной статьи достаточно тяжело обозначить и рассмотреть все методы защиты. Но вот на теме хотя бы минимальной фильтрации трафика, а также , стоит и необходимо остановиться подробнее.

Что такое система фильтрации сетевого трафика и зачем она необходима?

Фильтрация трафика предполагает (и реализует) организацию от различного вида web-угроз - начиная от простого «прощупывания» системы до атак, организуемых с целью похищения информации.

Казалось бы - что можно похитить с домашней станции? Да те же данные банковских карт оплаты, ведь все большее количество пользователей совершает покупки в сети, не задумываясь о том, что данные, введенные во время совершения транзакции остаются в системе. А опытному взломщику, проникнув в систему не составит большого труда «слить» их и использовать по своему усмотрению. А еще есть конфиденциальная переписка, фотографии и т. д.

Наличие системы фильтрации трафика обеспечит:

  • защиту от ddos-атак, спуфинга, «нулевого дня», скрытой установки шпионских программ и т.п
  • обнаружение и защиту от слежения за активностью пользователя
  • защиту от посещения зараженных сайтов
  • блокирование посещения нежелательных сайтов или ссылок на них
  • защиту от проникновения извне

Если сравнить страницы сайтов, разработанные, скажем, даже 3-5 лет назад и сейчас, то мы увидим, что количество кода увеличилось и, причем, весьма значительно. Да, расширение и утяжеление страниц необходимо, особенно в свете того, что страницы стали динамическими, ориентированными на работу с различными, в том числе и мобильными устройствами, а также предоставляют большое количество онлайн-сервисов.

Именно наличие массивного кода позволяет злоумышленнику незаметно разместить всего несколько строк (в простых случаях) для атаки, причем работа этого кода может остаться незаметной.

Итак, как видно из всего вышесказанного - фильтрация трафика необходима. Пропуская безопасное содержимое, фильтр отсекает все (или почти все) внешние угрозы.

Организация фильтрации трафика

Есть несколько способов организовать фильтрацию интернет трафика на домашней станции.

Первый и самый простой - используя софт, предоставляемый самой операционной системой.

Пользователям Windows

На этапе установки этой операционной системы пользователю предлагается включить защиту, которую большинство установщиков игнорируют. Именно встроенный брандмауэр Windows позволяет обеспечить почти полную защиту трафика от внешних угроз.

Для включения и настройки фильтрации ip трафика необходимо перейти в само приложение в панели управления и выбрать пункт «Включение и отключение брандмауэра Windows».

О том, как создавать правила при помощи командной строки - тема отдельного разговора. Здесь же рассмотрим минимально необходимую настройку, позволяющую обеспечить минимальный, но действенный уровень безопасности.

Пользователю сразу же предлагается активировать рекомендуемые параметры, а также осуществить более тонкую настройку, например разрешить определенную сетевую активность для списка приложений. Для этого необходимо перейти на вкладку управления программами и отметить те, которым разрешаем обмениваться трафиком в сети.

Если перейти на вкладку дополнительных настроек, то можно дополнительно настроить правила подключения, создать свои правила и включить проверку подлинности.

В большинстве случаев такой настройки достаточно.

Пользователям Nix* и BSD* систем

Сказанное ниже будет полезно не только пользователем открытых ОС, но и тем, кто хочет более подробно разобраться в том как, собственно, происходит организация фильтрации сетевого трафика.

Все открытые ОС имеют в своем составе netfilter, правила фильтрации сетевого трафика которого выполняется либо в командной строке, либо правкой конфигурационных файлов.

Что же можно реализовать при помощи этого приложения?

  • , а также протоколы передачи данных
  • заблокировать или разблокировать определенные хосты, MAC и IP адреса
  • настроить NAT (раздачу интернета в локальной сети)
  • защититься от DdoS атак, брутфорса и спуфинга
  • ограничить сетевую активность приложениям, пользователям и т.д

Как видно, возможностей у пользователя Nix* систем больше и связано это именно с открытостью самого netfilter, а также полного контроля над конфигурационным файлом.

Основной утилитой, которая используется для управления фильтром является iptables и именно на ее примере и рассмотрим настройку.

По умолчанию, правила фильтрации при первом запуске отсутствуют. Примеры с самыми простыми настройками (примерно соответствующими политике безопасности Windows) имеются в дополнительных файлах с расширением, как правило, .example, simple и т. д.

Самый простой пример фильтрации трафика:

A INPUT -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT

Разрешает входящий трафик для уже установленного соединения, но при этом может параллельно пройти и «левый» трафик. Для того, чтобы его отсечь необходимо добавить:

sudo iptables -A INPUT -m conntrack —ctstate INVALID -j DROP

Таким образом создано первое и второе правила фильтрации трафика. Полное описание можно посмотреть в инструкции по настройке iptables или подобного софта.

Настройка фильтрации в роутере

Практически все роутеры имеют подобную, рассмотренной выше, настройку файервола. Плюсом является возможность прописать правила не в конфигурационных файлах, а используя web-интерфейс.

Для того, чтобы поставить защиту на роутер , необходимо найти вкладку «Файервол» и активировать его включение. После чего можно заняться более тонкой настройкой, например, открыв или закрыв определенные порты.

Так для серфинга необходимо оставить открытым 80 порт, для SSL соединения - 443.

Ниже представлен список наиболее востребованных в повседневной работе портов:

20-22 - ftp, pop3

80-83, 443 - браузеры

25, 110, 143 - почта

587, 554 — socks

Стоит отметить, что многие программы используют нестандартные порты, поэтому их открытие необходимо контролировать вручную.

И в заключение список портов, которые можно закрыть:

135-139 - net bios

113, 5000, 5554, 9996, 18350 - наиболее часто атакуемые.

Схема фильтрации шифрованного трафика без раскрытия ключей шифрования.

Часто в дискуссиях мы слышим, что услуга нейтрализации распределённых атак на отказ в обслуживании базирующаяся на постоянной фильтрации трафика, является менее эффективной и более дорогостоящей по сравнению с фильтрацией по-требованию.

Аргументы, использующиеся в подобных диалогах, практически не меняются со временем, когда начинается обсуждение: высокая стоимость постоянной фильтрации против задержки во времени, необходимой на включение специалиста, или оборудования в процесс нейтрализации атаки по требованию.

Qrator Labs хотели бы разъяснить собственную позицию, вынеся на всеобщее обсуждение некоторые аргументы о том, каким образом постоянная фильтрация отличается от фильтрации по запросу и почему первая опция является на самом деле единственной работоспособной.

Одна из ключевых причин заключается в том, что современные атаки развиваются очень быстро - эволюционируют и усложняются в реальном времени. Эволюционирует и сам сервис - сайт и приложение развиваются, поэтому может оказаться, что «нормальное» поведение пользователей во время предыдущей атаки уже не является актуальным.

Техническим специалистам провайдера услуг нейтрализации атак на отказ в обслуживании, в случае ручной фильтрации, в большинстве случаев требуется не только время на осознание происходящего для выработки правильной стратегии поведения и последовательности совершения конкретных действий. Помимо этого, такому специалисту также необходимо точно знать, когда и как меняется вектор атаки, для того чтобы эффективно осуществить её нейтрализацию по запросу клиента.

Подключение под атакой - отдельная сложность, в основном из-за ухудшения доступности для всех пользователей, пытающихся достичь сервис. Если атака прошла успешно и пользователи не получили запрошенный ресурс - они пытаются получить его еще раз, просто обновляя страницу или перезагружая приложение. Это ухудшает сценарий атаки, потому что становится труднее отличить мусорный трафик от легитимного.

Фактическое размещение сервиса нейтрализации атак - в облаке или физически на площадке клиента, в дата-центре партнёра, часто является ключевым требованием к его внедрению. Так как любой из вариантов размещения позволяет осуществлять постоянную автоматическую, либо ручную фильтрацию, а соответственно - детектирование и нейтрализацию атак. Но наличие возможности автоматической фильтрации является ключевым требованием.

Чаще всего облачные сервисы нейтрализации атак фильтруют весь входящий трафик - он становится полностью доступен для анализа. Физическое оборудование, установленное на границе сети, или получающее клонированный трафик, даёт почти такие же возможности мониторинга и нейтрализации атак в реальном времени.

Часть вендоров рекомендует использовать метрику NetFlow для анализа трафика, либо другие метрики, что само по себе уже является компромиссом в худшую сторону с точки зрения результата, так как сторонние либо производные метрики отдают лишь часть информации о данных, заужая, таким образом, возможности для обнаружения и нейтрализации атаки. И наоборот - облачные сервисы не обязаны анализировать 100% входящего трафика, однако чаще всего они это делают по причине того, что подобный подход позволяет наилучшим образом выстраивать модели и обучать алгоритмы.

Ещё одним недостатком использования протокола NetFlow в качестве основного инструмента анализа является то, что он даёт лишь некоторую характеристику потоков данных - их описание, но не сами потоки. Поэтому, конечно, вы заметите атаку основываясь на параметрах, которые отражает NetFlow, но более сложные виды атак, которые должны обнаруживаться с помощью анализа содержимого потока, видны не будут. Поэтому атаки на прикладной уровень (L7) сложно отражать используя только NetFlow метрику, за исключением случаев стопроцентной очевидности атаки внутри транспорта (потому что выше L4 NetFlow откровенно бесполезен).


Общая схема подключения к фильтрационной сети.

1. Почему облачные провайдеры услуг нейтрализации DDoS предлагают «постоянную фильтрацию» даже в том случае, если в настоящий момент атаки не происходит?

Ответ прост: постоянная фильтрация является наиболее эффективным способом нейтрализации атак. Здесь также необходимо добавить, что физическое оборудование размещённое у клиента, не сильно отличается от облачной фильтрации, за тем лишь исключением, что коробка включается и выключается физически где-то в дата-центре. Однако выбор есть в любом случае (работать - то есть включать устройство, всегда либо лишь в случае необходимости) и его придётся сделать.

Говоря, что обратное проксирование сужает возможности фильтрации только до протоколов HTTP и HTTPS (SSL), вы озвучиваете лишь половину правды. HTTP-трафик является неотъемлемой и одной из критически важных частей сложных систем фильтрации, а обратное проксирование - один из самых эффективных способов осуществлять его сбор и анализ.

2. Как мы знаем, распределённые атаки на отказ в обслуживании могут принимать многие формы и модифицироваться, сдвигаясь от HTTP-протокола. Почему облако в данном случае лучше, чем отдельно стоящее оборудование на стороне у клиента?

Перегружение отдельных узлов фильтрационной сети возможно настолько же, насколько это реально совершить и с оборудованием, размещённым в стойке. Не существует железной коробки мощной настолько, чтобы справится с любыми атаками в одиночку - требуется сложная и многосоставная система.

Тем не менее, даже крупнейшие производители оборудования рекомендуют переключаться на облачную фильтрацию в случае наиболее серьёзных атак. Потому что их облака состоят из того же самого оборудования, организованного в кластеры, каждый из которых по-умолчанию мощнее отдельного решения, размещённого в дата-центре. К тому же ваша коробка работает лишь для вас, но большая сеть фильтрации обслуживает десятки и сотни клиентов - дизайн такой сети изначально рассчитан на обработку на порядок больших объёмов данных для успешной нейтрализации атаки.

До атаки невозможно сказать наверняка, что будет проще: вывести из строя отдельно стоящее оборудование (CPE) или узел сети фильтрации. Но подумайте вот о чём - отказ точки всегда является проблемой вашего вендора, а вот кусок оборудования, отказывающийся работать как заявлено, уже после покупки, является только вашей проблемой.

3. Узел сети, выступающий в роли прокси-сервера, должен быть в состоянии получить от ресурса контент и данные. Значит ли это, что любой может обойти облачное решение по нейтрализации атак?

Если между вами и провайдером услуг безопасности не существует выделенной физической линии - да.

Это правда, что без выделенного канала от клиента до провайдера услуг нейтрализации атак на отказ в обслуживании, атакующие могут атаковать нативный IP-адрес сервиса. Далеко не все провайдеры таких услуг в принципе предлагают услуги выделенных линий от себя до клиента.

В общем, переключение на облачную фильтрацию значит объявление соответствующих анонсов с помощью протокола BGP. В таком случае отдельные IP-адреса сервиса, находящегося под атакой, оказываются сокрыты и недоступны для атаки.

4. Порой в качестве аргумента против облачной фильтрации используется соотношение стоимости услуги и затрат на неё со стороны поставщика. Как выглядит эта ситуация в сравнении с оборудованием размещённым на стороне клиента?

Можно с уверенностью утверждать, что насколько бы мала ни была атака на отказ в обслуживании, облачный провайдер услуг по их нейтрализации должен будет обработать их все, даже несмотря на то, что внутренний расход при построении подобных сетей всегда формируется на базе утверждения того, что каждая атака является интенсивной, большой, долгой и умной. С другой стороны, это совсем не значит, что провайдер такой услуги теряет деньги, продавая клиентам защиту от всего, но на деле вынужденный справляться в основном с мелкими и средними атаками. Да, сеть фильтрации может затратить ресурсов чуть больше, чем в «идеальном состоянии», но в случае успешно нейтрализованной атаки никто не будет задавать вопросов. И клиент, и провайдер останутся довольны таким партнёрством и продолжат его с высокой степенью вероятности.

Представьте себе ту же самую ситуацию с оборудованием на месте - единоразово оно стоит на порядки больше, требует квалифицированных рук для обслуживания и… всё так же оно будет вынуждено отрабатывать мелкие и редкие атаки. Когда вы планировали покупку такого оборудования, которое нигде не стоит дёшево, вы задумывались об этом?

Тезис о том, что отдельная коробка, вместе с контрактом на установку, техническую поддержку и оплату работы высококвалифицированных инженеров в конечном счёте будет дешевле в сравнении с покупкой подходящего тарифа в облаке, просто неверен. Конечная стоимость оборудования и часа его работы очень высока - и это основная причина, по которой защита и нейтрализация распределённых атак на отказ в обслуживании стала самостоятельным бизнесом и сформировала индустрию - иначе в каждой IT-компании мы бы видели подразделение по защите от атак.

Исходя из предпосылки, что атака - явление редкое, решение по её нейтрализации должно быть построено соответствующе и быть в состоянии нейтрализовать эти редкие атаки успешно. Но, помимо этого, ещё и стоить адекватных средств, ведь все понимают что большую часть времени ничего страшного не происходит.

Облачные провайдеры проектируют и строят собственные сети в эффективной манере, для того чтобы консолидировать собственные риски и справляться с атаками распределяя трафик между точками фильтрации, являющимися и оборудованием, и программным обеспечением - двух частей системы, созданной с одной целью.

Здесь мы говорим о «Законе больших чисел» , знакомом из теории вероятностей. Это причина, по которой провайдеры интернет-услуг продают большую ёмкость каналов, чем та, которой они фактически обладают. Все клиенты страховой компании, гипотетически, могут попасть в неприятную ситуацию единовременно - но на практике этого никогда не происходило. И даже несмотря на то, что отдельные страховые компенсации могут быть огромны, это не приводит к банкротству страхового бизнеса каждый раз, когда кто-то попадает в аварию.

Люди, профессионально занимающиеся нейтрализацией атак на отказ в обслуживании знают, что самые дешёвые, а потому наиболее распространённые атаки связаны с амплификаторами, и никак не могут быть характеризованы как «маленькие».

В то же время, соглашаясь, что единоразовый платёж за оборудование установленное на физической площадке останется там навсегда - способы атак будут эволюционировать. Нет никакой гарантии, что вчерашнее оборудование справится с завтрашней атакой - это лишь допущение. Поэтому объёмная инвестиция, сделанная в такое оборудование, начинает терять свою ценность ровно с момента установки, не говоря о необходимости его постоянного обслуживания и обновления.

В деле нейтрализации DDoS важно иметь хорошо масштабируемое решение, обладающие высокой связностью, чего очень сложно достичь покупая отдельную коробку оборудования.

Когда происходит серьёзная атака, любое отдельно стоящее оборудование будет пытаться сигнализировать в облако о факте её начала и пытаться распределять трафик по фильтрующим точкам. Однако, никто не говорит о том, что когда канал забит мусором нет никакой гарантии, что он сможет доставить данное сообщение до собственного облака. И снова - потребуется время на переключение потока данных.

Поэтому, единственной реальной ценой, которую клиент может заплатить, помимо денежных средств, за защиту собственной инфраструктуры от атак на отказ в обслуживании, является задержка и ничего кроме неё. Но, как мы уже сказали, правильно построенные облака снижают задержки, улучшая глобальную доступность запрашиваемого ресурса.

Имейте это ввиду, делая выбор между железной коробкой и облаком фильтрации.