Вадим Гарбуз, руководитель проекта “Интернет компании “Воля”
Дмитрий Киселёв, системный администратор “Воля Бродбенд”
По данным организации CERT, основанной в рамках программы Министерства обороны США по борьбе с киберпреступностью, в последние годы наблюдается стабильно высокий уровень количества обнаруженных уязвимостей в программном обеспечении. В прошлом году выявленные в ПО уязвимости достигли рекордного уровня. С каждым годом растет скорость распространения вирусов или червей в глобальной сети: если в конце девяностых на это уходили дни, сейчас эпидемия охватывает мир за минуты.


Схема подключения системы IPS
Схема подключения системы IPS

Например, широко известный червь slammer поразил 75000 серверов за первые 11 минут своего существования, а число инфицированных узлов удваивалось каждые 8,5 секунд. Обычный персональный компьютер, подключенный к интернету, подвергается в среднем 341  атаке в час.

Для рядовых пользователей работа в интернете связана с постоянным риском подвергнуться атаке. Разнообразные вредоносные и шпионские программы, почтовый спам и вирусы могут привести к потере данных, порче программного обеспечения и в итоге — к нанесению значительного ущерба. Для защиты пользователей широкополосного доступа к интернету и для предотвращения распространения вирусов и спама компания “Воля” внедрила аппаратную систему предотвращения вторжений (Intrusion Prevention Systems, IPS) 3Com TippingPoint UnityOne 2400E.

Система установлена между опорной сетью абонентов “Воля Бродбенд” и внешним миром. Она просматривает трафик вплоть до 7-го уровня протокола и осуществляет непрерывную проверку потока пакетов. Система выявляет и нейтрализует различные угрозы (червей, вирусы, троянские и бэкдор-программы, атаки типа “отказ в обслуживании” и др.) до того, как они успеют нанести реальный вред. Фактически система осуществляет нормализацию трафика с целью исключения поддельных или нелегальных пакетов информации. Благодаря этому повышается общая пропускная способность сети и обеспечивается нейтрализация попыток уклонения от обнаружения атак. Установленное оборудование способно защитить как конечных абонентов услуги “Бродбенд” от угроз со стороны интернета, так и интернет от уже инфицированных абонентов. Если до установки системы вирус из сети интернет мог относительно легко проникнуть на компьютер абонента, то теперь трафик, содержащий вредоносный код, отбрасывается еще во время пересечения границы сети компании “Воля”. И наоборот: абонентский трафик, содержащий угрозу, будет отброшен еще до его передачи в интернет, а глобальное распространение вируса или червя будет приостановлено.


Один день из жизни системы IPS/IDS: борьба с новым вирусом Backdoor, который активно распространяется Win32.Agent.ajw. На первый взгляд, блокированных пакетов немного, но каждый из них — потушенная спичка, не дающая разгореться лесному пожару
Один день из жизни системы IPS/IDS: борьба с новым вирусом Backdoor, который активно распространяется Win32.Agent.ajw. На первый взгляд, блокированных пакетов немного, но каждый из них — потушенная спичка, не дающая разгореться лесному пожару
Внедренная система подключена к управляющему серверу, который позволяет проводить анализ выявленных угроз. Например, абонентский отдел получает возможность уведомить или временно отключить от сети абонента, чей компьютер проявляет подозрительную активность.

Когда возник вопрос о внедрении системы защиты от атак, специалисты “Воля” исследовали несколько аппаратных решений. Выбор в пользу системы TippingPoint был сделан по нескольким причинам: высокой производительности, гибкой системе управления, возможности поэтапной модернизации. Система обладает пропускной способностью 2  Гбит/с и способна обрабатывать до1  млн. соединений в минуту.

3Com TippingPoint UnityOne поддерживает набор правил, описывающих действия для нейтрализации пакетов, которые соответствуют какому-либо шаблону. Эти правила разрабатываются в центре 3Com и постоянно обновляются с появлением новых вирусов и уязвимостей.

3Com предлагает гибкую политику модернизации устройства, которое имеет фиксированную конфигурацию и производительность. Но если компании понадобится более производительная модель, то ее можно будет получить, воспользовавшись программой upgrade. Это программа действует во всем мире, в том числе и в Украине. Внедрение системы предотвращения атак позволило компании “Воля” значительно снизить нагрузку на центр технической поддержки, повысить безопасность и лояльность пользователей. После внедрения системы мы констатировали резкое падение количества обращений, связанных с вопросами безопасности, в службу поддержки. По данным проведенных нами исследований, компьютер со “свежеинсталлированной” операционной системой при подключении к нашей сети живет продолжительное время даже без установленных на нем специальных средств защиты. Этого времени достаточно, чтобы абонент мог загрузить необходимые обновления, антивирусные базы и т.п.