новости
статьи
.бизнес

CiscoExpo’2006

16-18 октября 2006 года в Москве прошла очередная конференция CiscoExpo, проводимая ежегодно компанией Cisco Systems.

Конференции CiscoExpo проходят в таких странах, как Австрия, Словакия, Герамания , Италия, Португалия, Швейцария, Голландия, Польша и др. На постсоветском пространстве конференцию CiscoExpo 2006 принимали помимо Москвы еще два крупных города – Киев и Алматы. Количество участников, посетивших конференцию, превышает 1500 человек в Москве, 1000 человек в Киеве и 400 человек в Алматы.



Рис. 1. В холле конференц-зала, как обычно, многолюдно: коллеги обсуждают доклады, обмениваются мнениями, рассматривают стенды компаний- партнеров.

Конференция проходила в гостинице Radisson SAS Славянская, располагающей весьма внушительными возможностями для проведения разного рода мероприятий. И практически все эти площади были заняты под конференцию и сопутствующую ей экспозицию компаний-партнеров. Открыл конференцию вице- президент компании Cisco Systems по России и странам СНГ Роберт Эйджи.

Семинары проходили одновременно в пяти залах (плюс «Библиотека», которая была задействована под мероприятия для прессы). Лекции были сгруппированы в пять потоков, каждый из которых посвящался определенной теме. Так, в первый день были рассмотрены следующие тематики: безопасность, управление приложениями, SP Video, Unified Communications, беспроводные корпоративные сети. Во второй день работа технических потоков SP Video и Unified Communications была продолжена, а также добавились следующие темы: центры обработки данных, IP Core и инфраструктура корпоративных сетей. В третий день работы конференции были рассмотрены решения для городских Ethernet-сетей, центров обработки вызовов и managed services.

В такой многопоточной системе проведения конференций оказались свои плюсы и минусы. Плюс в том, что в достаточно сжатые сроки можно обсудить широкий круг тем. Минусом оказалось то, что специалисты-универсалы, интересующиеся различными аспектами современных IT-технологий, просто разрывались между техническими потоками, не зная, какой доклад предпочесть в каждый конкретный момент. Благо, все залы располагались рядом, соответственно, была возможность участвовать в конференции в режиме «галопом по Европам». Чем ваша покорная слуга и занималась :).

Вкратце расскажу о некоторых докладах, которые удалось посетить.

магистральные маршрутизаторы и новая IOS

Гвоздем программы, по мнению многих посетителей, стало выступление Ильгара Гасымова, посвященное магистральным маршрутизаторам. В докладе подробно рассматривались системы CRS-1 и XR 12000, а также ОС Cisco IOS XR.

О CRS-1 и XR 12000 после их выхода информации в прессе (в том числе и в «Сетевых Решениях») было достаточно много, а вот новую сетевую ОС как-то незаслуженно забыли. Восполним этот пробел прямо сейчас :)

Итак, IOS XR – это новая модульная операционная система на базе микроядра. Если кто не в курсе, сердцем IOS XR является адаптированное микроядро QNX Neutrino. За счет микроядерной архитектуры значительно повышается доступность и надежность систем, поскольку все прикладные задачи вынесены из ядра и могут быть запущены, остановлены, обновлены без останова системы в целом. Архитектура приложений IOS XR представлена на рисунке 2.



Рис. 2. Архитектура приложений IOS XR.

В принципе основные изменения коснулись внутренней структуры ОС, идеология же и интерфейс пользователя остались, в общем и целом, прежними. Однако в связи с тем, что IOS стала модульной, появились новые для цысковедов понятия.

Так, файлы кода организуются в компоненты (components), которым присваиваются номера версий и которые доступны для инженеров-разработчиков. Более высокий уровень интеграции - пакеты (packages). Это уникальные наборы компонентов, являющиеся единицами поставки. Пакеты видны в базе кода, инфраструктура «сборок» предотвращает «нелегальные» зависимости между пакетами (по всей видимости, система управления пакетами также взята из QNX, по крайней мере, терминология схожа, да и доподлинно известно, что код packaging был предоставлен в распоряжение программистов из Cisco Systems). Для еще большего облегчения поставки пакеты могут группироваться в композиты (composites). Пакеты могут обновляться в процессе эксплуатации.

защита от DoS-атак

Очень интересный доклад «Решение по защите от атак типа «отказ в обслуживании» представил публике Михаил Кадер, инженер-консультант Cisco по системам безопасности. Только благодаря названию доклад привлек внимание рекордного числа слушателей – в зале «Глинка», где проходили все мероприятия в рамках технического потока IP Core, на всех желающих не хватало стульев.
Общая концепция защиты от DoS-атак и подобных угроз представлена на рисунке 3.



Рис. 3. Общая концепция защиты от DoS-атак.

Как видно из рисунка, концепция предполагает три увязанных друг с другом этапа – защита, обнаружение и отражение. Разберем каждый из них более детально.

Защита. Рекомендуется проведение общих защитных мероприятий для обеспечения защиты от известных уязвимостей.

Предлагаемые инструменты защиты, их преимущества и недостатки приведены в таблице.


ИнструментИспользованиеПреимуществаОграничения
ACLВходные и выходные фильтры для запрета явных адресов источников, адресатов, портов, флаговБлокировка вредоносного трафика без изменений топологии, блокирование указанных портов, детальностьМожет запрещать благонадежный трафик, необходимо применять на каждом интерфейса каждого маршрутизатора
Применение «черных дыр» BGPЗапрет источников/приемников в явном видеОграниченные свойства антиспуфинга, эффективное фильтрование по всей сети без изменений топологииНевозможно разграничить благонадежный и вредоносный трафик
Ограничения скоростиПодавление вредоносного трафика для поддержания доступа к услугеБлокировка вредоносного трафика на границе и поддержка услугПрименяется на каждом интерфейсе каждого маршрутизатора, нет возмодности фильтрования по информационной части
Политика QoSМаркировка вредоносного трафика для отбрасывания в случае перегрузкиОсобое внимание наиболее необычному, подозрительному трафикуТребует изменения конфигурирования и топологии
uRPFЗапретить пакеты от имитируемых адресов источниковПроверка адреса источника входящих пакетовНе блокирует атаки с надежных адресов источников
Sinkhole-подсетиПривлекает трафик, предназначенный для теневых и фиктивных IP-адресовВозможность отображения подозрительной сетевой активностиНевозможно обнаружить атаки, направленные на благонадежные адресные пространства


Обнаружение. Чтобы успешно обнаружить атаку, нам необходимо иметь базовые данные (ранее собранный профиль благонадежного трафика). Имея такие данные, мы легко обнаружим аномалию – событие или условие в сети, характеризуемое статистическим отклонением от исходных данных. Следующим шагом будет уведомление устройства, ответственного за анализ трафика/поиск атаки, через внеполосную сеть.

На этапе обнаружения можно использовать устройство Cisco Detector - детектор аномалий трафика, который предназначен для работы совместно с системой защиты Cisco Guard, но может работать и независимо как компонент обнаружения и оповещения об DoS-атаках.

Cisco Detector контролирует пакеты при помощи отражения портов или оптического делителя. Алгоритм работы основан на системе обучения, которая предназначена для изучения трафика зоны, подстраивается под ее конкретные характеристики и поддерживает механизмы обнаружения со ссылками и инструкциями в форме предельных значений и политик. Система фиксирует искажения трафика в системном журнале детектора или удаленно запускает модуль(и) Cisco Guard для инициализации защиты зоны.

Другой вариант для системы обнаружения – использование стандарта NetFlow и программно-аппаратного комплекса Arbor Peakflow SP. Peakflow SP способен обнаружить как известные сетевые аномалии, так и аномалии нулевого дня без необходимости обновления сигнатур, и способен быстро реагировать на возникающие угрозы путем генерации правил доступа, интеграции «черных дыр», sinkhole-подсетей и устройств отражения на одной интегрированной консоли.

Михаил Кадер рекомендует использовать решение на основе Cisco Detector для защиты информационных центров и каналов/оборудования конечных пользователей. А для более «тяжелых» случаев – магистральных сетей и пиринговых центров предлагается использовать Arbor Peakflow SP.

Отражение атаки: очистка/фильтрация, перенаправление и ввод данных. Для этих целей предлагается использовать устройствоCisco Guard или модуль расширения Anomaly Guarg Module (AGM) для Cisco 7600 Cisco Catalyst 6500.

В двух словах расскажем о том, что за методика заложена в основу решений Cisco для отражения атаки. При подозрении на наличие атаки весь трафик перенаправляется на устройство фильтрации. Что там происходит?

Итак, представьте себе ряд последовательных фильтров, через которые, условно говоря, пропускается трафик. Сначала фильтры грубой очистки – динамические и статические. На этом же этапе работает антиспуфинг для отсечения спуфленого, то есть наверняка вредоносного, трафика. Затем активная верификация – динамически вставляются необходимые фильтры для блокировки потоков и источников атак. Фильтры более тонкой очистки – статистический анализ и анализ на уровне 7. На этом этапе точно определяются направление и источник атаки. После прохождения этих фильтров еще часть трафика будет отсечена. Но и этого иногда оказывается недостаточно: может случиться, что благонадежного (или показавшегося нам таковым) трафика все же слишком много для нормальной работы защищаемого оборудования. Тогда в качестве последнего фильтра (или вентиля – такая ассоциация будет уместней) применяем ограничение скорости – выдаем данные получателю с такой скоростью, с какой он может их «переварить». И с этой скоростью мы вводим данные назад в сеть, дабы они были доставлены законному получателю.

Вот, вкратце, и вся метода. Конечно же, в докладе все эти вещи обсуждались более подробно. Естественно, приводились и конкретные примеры инфраструктуры защиты для сервис-провайдеров, дата-центров, пиринговых узлов и корпоративных сетей. А по большому счету, хороший эффект, особенно если речь идет о распределенных DoS-атаках (DDoS), будет только при тотальном применении подобных методик в мировом масштабе.

законное прослушивание в сетях операторов связи

Большой интерес вызвал и доклад «Обеспечение законного прослушивания в сетях IP операторов связи», представленный публике системным инженером- консультантом Александром Фелижанко. Я так понимаю, среди пришедших послушать доклад были как те, кто по долгу службы ответственен за внедрение такого рода систем, так и просто любопытствующие – мол, интересно же знать, как они все это проворачивают. В общем, тема вечно актуальная – спецслужбы, тайны, X-Files и все такое... :)

В начале доклада было подробно разъяснено, что такое законный перехват (ЗП) информации и какими международными и региональными нормами он регулируется.

Итак, ЗП – это процесс, посредством которого спецслужбы ведут электронный надзор – по судебному или административному распоряжению. В большинстве стран соблюдение норм ЗП является обязательным требованием к поставщикам связи. В России спецслужбы руководствуются законом «Об оперативно-розыскной деятельности» от 1995 г. и приказом Минсвязи России №130 от 2000 г. «О порядке внедрения системы средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования». Небольшой экскурс в историю: в октябре 1994 года Конгресс США принял Закон о содействии правоохранительным органам в области коммуникаций (CALEA); в законе разъясняется обязанность поставщиков телекоммуникационных услуг содействовать перехвату передаваемой информации в целях поддержания правопорядка, а также в иных целях. До 1994 года прослушивающие устройства устанавливали именно правоохранительные органы; CALEA изменил требования, так что теперь поставщик телекоммуникационных услуг обязан позаботиться о том, чтобы его оборудование, средства связи или услуги, которые дают клиенту возможность инициировать, терминировать или маршрутизировать вызовы, соответствовали определенным требованиям. Таким образом, CALEA возложил обязанность соответствовать упомянутым требованиям на самого поставщика связи. К опыту американских коллег вскоре прислушались государственные органы других стран, так что теперь «приобретение головной боли за свои же деньги» стало нормальной практикой в деле ЗП. В 2005 году у американцев дошли руки и до VoIP – федеральная комиссия по связи (FCC) постановила, что поставщики услуг VoIP и широкополосного доступа обязаны соблюдать CALEA.

Общие требования к законному перехвату информации таковы:

- поставщик телекоммуникационных услуг должен быть в состоянии предоставить содержание сеанса связи (ССС) и идентификационную информацию о сеансе связи (ИИСС);

- объект наблюдения не должен обнаружить факт ЗП;

- о наблюдении должно быть известно только уполномоченным лицам;

- должна обеспечиваться возможность корреляции ИИСС с содержимым сеанса связи;

- должны обеспечиваться конфиденциальность, целостность и способ установления подлинности ИИСС;

- должно обеспечиваться соответствие требованиям органов охраны правопорядка разных регионов и стран.

Обобщенная архитектура для ЗП представлена на рисунке 4.



Рис. 4. Обобщенная архитектура для законного прослушивания.

Что представляет собой ИИСС? Это:

- набранные цифры для речевых сеансов связи;

- логин и сетевые адреса для передачи данных;

- доменные имена в формате FDQN, SMTP и смешанные адреса – для VoIP по протоколу SIP.

Соответсвенно, ССС – это:

- звуковое содержание для сеансов передачи речи;

- поток данных для сеансов передачи данных.

Для упрощения внедрения ЗП были разработаны международные стандарты. Над ними работали ведущие мировые организации по стандартизации, в частности, Европейский институт стандартизации электросвязи (ETSI), Альянс за унификацию телекоммуникационных решений (ATIS), Ассоциация телекоммуникационной промышленности США (TIA), форум PacketCable. В этой работе также приняли участие ведущие поставщики телекоммуникационных услуг, продавцы оборудования и правоохранительные органы. Данные стандарты:

- регламентируют интерфейс между поставщиком телекоммуникационных услуг (посредником) и спецслужбами (функцией сбора информации);

- точно определяют, о каких сетевых событиях необходимо уведомлять;

- указывают, какими сообщениями необходимо уведомлять о соответствующих событиях;

- при этом не регламентируют, каким именно образом должна строиться внутренняя сеть поставщика услуг, чтобы отвечать требованиям ЗП. На рисунке 5 приведена эталонная модель ЗП от ETSI.



Рис. 5. Эталонная модель законного прослушивания ETSI.

Для тех, кто интересуется темой, приводим список разрабатываемых ETSI документов:

- технический отчет: разрабатывается проект документа для принятия архитектуры, описанной в RFC 3924. Проект опубликован в сентябре 2006 года как ETSI TR 102 528 V0.1.5 “Interception domain Architecture for IP Networks”;

- базы управляющей информации: ETSI TS 101 909-20-2, к слову, они очень похожи на Cisco TAP2 MIB;

- архитектура передачи сохраненных данных: Хранение идентификационной информации о сеансе связи, на основании директивы EC; разрабатывается Технический отчет DTR/LI-00020.

Компанией Cisco Systems была разработана унифицированная архитектура перехвата речи и данных Cisco Service Independent Intercept. В рамках этой архитектуры:

- управление ЗП выполняется Посредником, а не оборудованием управления сеансами связи;

- отделяется управление ЗП от собственно управления сеансами связи;

- имеется общий интерфейс к Посреднику и устройству управления сеансами связи;

- реализована модульная архитектура, легко приспосабливаемся к региональным требованиям при помощи Посредника.

Архитектура Cisco Service Independent Intercept показана на рисунке 6.



Рис. 6. Архитектура Cisco Service Independent Intercept.

Как вы могли заметить, схема почти полностью повторяет описанную ранее обобщенную архитектуру для ЗП. Разве что конкретизировано, какие именно протоколы и технологии используются при реализации.

Остальная часть доклада была посвящена конкретным примерам реализации перехвата для различных типов операторов и сетевых топологий.

заключение

К сожалению, мы не можем познакомить вас со всеми интересными технологическими новостями, озвученными на CiscoExpo’2006 – не все интересовавшие меня семинары удалось посетить, да и места в журнале на все это не хватит. Сожалею, что не удалось послушать доклады по безопасности Алексея Лукацкого, а также по IP-телефонии и Rich Media Conferencing Solutions – Артема Дрожжина. Их знания и презентационные качества широко известны в кругах IT-специалистов стран СНГ и за рубежом, а замечательные статьи господина Лукацкого, кстати, неоднократно появлялись на страницах нашего журнала и, надеюсь, были полезны многим читателям.

В общем, лучше всего – один раз увидеть, чем сто раз услышать или прочитать. Так что – до встречи на CiscoExpo’2007 :)



Alice D. Saemon, по материалам компании Cisco Systems
обсудить статью
© сетевые решения
.
.