Co to takiego?
Klienci korzystający z usług operatorów telekomunikacyjnych – zarówno indywidualni, jak i firmy – to atrakcyjny cel cyberataków, szczególnie tych polegających na czasowym zablokowaniu usług.
Ataki DDoS (ang. distributed denial of service) na pojedyncze komputery lub usługę sieciową (np. strona www) potrafią skutecznie zablokować ich normalne funkcjonowanie poprzez zajęcie wszystkich wolnych zasobów.
Wyłączenie infrastruktury i odcięcie klientów od sieci może mieć długofalowe konsekwencje dla dostawcy usług, np. koszty związane z przywracaniem jakości usług, spadek satysfakcji klientów lub nawet utrata reputacji.
Dlatego warto podnieść poziom bezpieczeństwa dostępu do internetu i zabezpieczyć ciągłość świadczenia usługi swoim klientom, wybierając jedną z 5 opcji, zgodnie z własnymi potrzebami i specyfiką – od Blackholing po Flowspec.
Co zyskujesz?
-
Wiele poziomów ochrony
Możliwość wyboru opcji usługi najlepiej dopasowanej do własnych potrzeb i specyfiki -
Ciągłość świadczenia usług własnym klientom
Atak na jednego z Twoich klientów nie wpłynie na jakość usług, które dostarczasz pozostałym klientom -
Monitorowanie bezpieczeństwa
Implementując firewalla uzyskujesz stały monitoring i nadzór nad siecią. Źródło danych do raportów wymaganych przez unijną dyrektywę NIS2 (nieprzestrzeganie wymagań NIS2 będzie mogło skutkować sankcjami administracyjnymi, a nawet dotkliwymi karami finansowymi) -
Szybka reakcja na występujące anomalie
Pozbycie się niepożądanego ruchu IP
Opcje ochrony Anty-DDoS
Podstawowe
Tanie, podstawowe narzędzia ochrony
-
Blackholing
Blokowanie pojedynczych, atakowanych adresów IP dla usunięcia z łącza ruchu DDoS w ich kierunku.
Brak możliwości blokowania ruchu do adresów IP z innych, tranzytowanych ASN. -
Pasmo x 10
Nadmiarowe pasmo dla zakupionego tranzytu do internetu pozwala przyjąć niewielkie ataki bez natłoków i usunąć je na firewall po stronie operatora.
Otwarty port lub VLAN o paśmie burst znacznie przewyższającym commitment i rozliczanie usługi 95 percentylem – 1/10 (commitment/burst). -
Podział ruchu na VLAN
Ograniczanie zasięgu oddziaływania ataku przez podział ruchu na kilka VLAN dedykowanych dla różnych frakcji ruchu: tranzyt do globalnego internetu, który jest najbardziej podatny na DDoS, content CDN nie generujący DDoS oraz open peering generujący DDoS w bardzo małym stopniu. Ochronę trzeba zapewnić tylko dla pierwszego z trzech VLAN.
Zaawansowane
Skuteczne wsparcie sieci Orange dla zwiększenia poziomu ochrony
-
DDoS Protection static
Zestaw reguł konfigurowanych na Twoim porcie w sieci Orange. Ścisły limit ruchu dla tych portów TCP/UDP, które przenoszą najpopularniejsze ataki wolumetryczne.
Sam decydujesz o poziomie limitu dla poszczególnych usług, aby bez przeszkód przenieść ruch danej usługi o ile nie wystąpi atak, podczas którego limit ma się wyczerpać.
Opcja dostępna jest na usługach: Internet.optimum, Internet.world, Internet.access, Internet.tpnet. -
DDoS Protection flowspec
Twój firewall monitoruje ruch, a po wykryciu ataku poprzez BGP flowspec komunikuje się z routerem Orange i poleca mu blokowanie konkretnych wektorów ataku. Dzięki pracy firewall klienta na kopii ruchu działanie jest znacznie szybsze niż firewalli po stronie operatora. Do 20 jednoczesnych reguł: source, destination, protocol, port.
Opcja dostępna jest na usługach: Internet.optimum, Internet.world, Internet.access, Internet.tpnet.
Precyzyjna ochrona Anty-DDoS bez wpływu na legalny ruch
Po wykryciu ataku firewall w protokole BGP wysyła informacje o source, destination, protocol, port, dla ruchu zidentyfikowanego jako szkodliwy. Ruch ten jest usuwany zarówno przez router klienta, jak i routery Orange, co pozwala uniknąć przeciążenia ruchem łącza operatora. Dzięki detekcji ataku na kopii ruchu operatora, może on zareagować znacznie szybciej niż duzi dostawcy tranzytu, którzy detekcję opierają na próbkach ruchu.
Posiadanie własnego firewall przez operatora pozwala na przygotowanie raportów o wykrytych i odpartych atakach dla potrzeb klientów, regulatora itp.
Jak zamówić?
1
Skontaktuj się
z naszą sprzedażą
usług hurtowych
2
Zweryfikujemy
warunki techniczne
3
Otrzymasz ofertę
na wybraną usługę
4
Przekazujemy
do podpisu ramową
umowę DATA
Na bazie tej jednej umowy
możesz uruchamiać kolejne
usługi z zakresu Internet,
Transmisja danych
5
Na koniec
podpisujesz umowę
szczegółową na
wybraną usługę
Zobacz także:
Dostęp do internetu
Internet operatorski, dostęp do TPIX, Premium content
Transmisja danych
Twórz i rozwijaj własną ofertę na bazie największej sieci transmisyjnej w kraju
Bezpieczeństwo sieci
Zabezpiecz swoją sieć i ciągłość usług
Słownik pojęć
CDN
Content delivery network – system dostarczania treści do wielu centrów danych i punktów wymiany ruchu, którego celem jest udostępnianie zawartości o wysokiej jakości i w jak najkrótszym czasie dla użytkowników końcowych.
Open peering
Otwarta wymiana ruchu pomiędzy dostawcami usług internetowych (ISP) na zasadach partnerskich.
Overbooking
Zjawisko tzw. nadsubskrybcji, czyli wykorzystywanie większej ilości pasma niż w rzeczywistości jest dostępne.
MPLS
Multiprotocol Label Switching – technologia opierająca się na wykorzystaniu protokołu IP, oraz stemie routerów, które tym ruchem IP mogą zarządzić.
RTT
Round Trip Time– czas pokonania przez pakiet (IP) drogi z punktu początkowego do docelowego i z powrotem.
BGP
Border Gateway Protocol – usługa routingu dynamicznego na bazie protokołu BGPv4 zdefiniowanego zaleceniem RFC 1771, służąca do wymiany informacji routingowej na temat dostępności publicznej puli adresów IP zgrupowanych w systemy autonomiczne AS.
95 percentyl
Metoda rozliczania faktycznego ruchu na Porcie/Portach w przypadku przekroczenia pasma powyżej wartości zobowiązania (commitment) zamówionego przez Operatora.
TPNET
Sieć dostępowa Orange Polska do Internetu opisana AS 5617.