Межсетевой экран spi с защитой от ddos атак
Среди множества производителей маршрутизаторов нельзя не упомянуть Keenetic. До недавнего времени этот бренд был представлен модельной линейкой роутеров известной тайваньской фирмы ZyXEL.
Но затем компании разделились и Keenetic без приставки ZyXEL стал самостоятельным участником рынка. В этой статье мы расскажем о популярных моделях роутеров этого производителя.
Базовая конфигурация межсетевого экрана
Ниже приведены базовые настройки NGFW в соответствии с разработанной схемой стенда, приведенной на рисунке 3. Все настройки показаны в собственном веб-интерфейсе NGFW. На рисунке 4 приведены настройки IP интерфейсов FW в соответствии со схемой приведенной выше.
Настройки IP интерфейсов
Ниже показаны настройки зон безопасности. В стенде для простоты настроено три зоны безопасности – Inside, Outside и VPN.
Настройки зон безопасности
Настройки Destination NAT
Ниже показаны базовые настройки Source NAT. Несколько адресов виртуальных машин транслированы во внешние адреса, чтобы обеспечить их доступ к эмулированным сервисам с вредоносным ПО.
Source NAT
Базовые настройки FW Policy, в соответствии с которыми обрабатывается трафик, показаны на рисунке 8. Для того, чтобы проверить как отрабатывает политика IPS, настроенная по умолчанию, мы пропустим весь трафик через базовые фильтры Statеful FW прозрачно.
FW Policy
Базовые настройки системы противодействия вторжениям (IPS). Все рекомендованные категории фильтрации IPS включены в данном тесте.
Базовые настройки IPS
Настройка порогов для атак типа DDoS. Порог срабатывания IPS на DDoS атаку типа SYN FLOOD – 100 пакетов в секунду.
IPS DDoS
Эмулируем атаку согласно классической схеме, приведенной в части 2 серии и попытаемся защититься от атаки при помощи NGFW. При этом, в реальной DDoS атаке фильтровать по портам/адресам – подход неэффективный, так как заражённые машины разбросаны, как правило, по сети и имеют хаотически разбросанные адреса. Поэтому пропускаем весь трафик на IPS и, как показано выше, настраиваем в IPS правило защиты от DDoS:
1. Чтобы убедиться, что работает именно IPS, выключаем на NGFW правило, по которому трафик хоста-источника сетевой атаки будет блокирован:
2. Запускаем сетевую атаку DDoS и смотрим в логи Wireshark и наблюдаем классическую DoS атаку с зараженной агентом виртуальной машины:
3. Включаем на NGFW IPS правило, блокирующее трафик хоста, с которого идет сетевая атака:
4. Убеждаемся в логах Wireshark, что правило сработало и DoS атака прекращена:
5. Смотрим в логи NGFW и отмечаем, что атака обнаружена и трафик с атакующего хоста закрыт:
Данный пример показывает, как при помощи правил, преднастроенных в системе обнаружения вторжений NGFW, обнаруживаются и предотвращаются классические атаки типа DDoS. В заключение хотелось сказать, что функционал NGFW по отражению подобных угроз не ограничивается встроенными правилами (хотя таких правил в NGFW заложено достаточно для отражения большинства сетевых угроз). В NGFW есть функционал по написанию и реализации в политиках собственных правил, который позволяет гибко реагировать на морфирующие угрозы ИБ. Но об этом в следующий раз.
Я на digital рынке с 2008 года, и за это время видел переход от веб-сайтов на Joomla (помните такую? ) до сегодняшнего Интернета с его mobile-first приложениями и сотнями миллионов IoT устройств, подключенных в сеть.
Атаки в Интернете также за это время неплохо развилиcь :)
Но рынок защиты от DDoS и используемые операторами технологии защиты от атак остаются все еще достаточно сильно закрытым.
Расскажу, что узнал про него, поддерживая веб-сайты и интернет-сервисы, находящиеся под непрерывными атаками несколько последних лет.
Сначала кратко про виды атак.
ASA 5500-X с сервисами FirePOWER
Устройства ASA 5500-X, сочетающие надежное оборудование и функции анализа сложных угроз, подходят для защиты малых и средних организаций и филиалов от новейших угроз.
Универсальный, многофункциональный Wi-Fi-роутер с многообещающим названием «Интернет-центр». Один из основных сценариев использования — подключение к одной из сотовых сетей 3G-4G и последующая раздача интернета по Wi-Fi. На мобильность и сверхкомпактность не претендует, аппарат явно для стационарно-домашнего или офисного использования.
Согласованные политики и мониторинг
Сети становятся все более взаимосвязанными, что затрудняет проведение всестороннего мониторинга угроз и согласованное управление политиками. Упростите управление безопасностью и организуйте мониторинг распределенных и гибридных сетей.
Firepower 9300
Для поставщиков услуг и высокопроизводительных центров обработки данных: эта модульная платформа операторского класса позволяет создавать отдельные логические межсетевые экраны и масштабируемые VPN, анализировать зашифрованный веб-трафик, защищаться от DDoS-атак, группировать устройства в кластеры для повышения производительности и обеспечения высокой доступности, блокировать сетевые вторжения и многое другое.
ТОП-2 лучших роутеров Кeenetic со скоростью до 1 Гбит/с
Виртуальные межсетевые экраны для частного облака
Виртуальные межсетевые экраны защищают данные и приложения, улучшая микросегментацию за счет поддержки обнаружения сложных угроз и организации защиты в средах VMware ESXi, Microsoft Hyper-V и KVM на базе согласованных политик безопасности, расширенного мониторинга и централизованного управления.
ZyXEL Keenetic 4G
Роутер ориентирован в первую очередь на домашнего пользователя, хотя употребить это устройство для раздачи интернета по Wi-Fi в небольшом офисе совершенно не возбраняется. Или даже в большом офисе, так как серьезная, «взрослая» антенна 5 dBi обеспечивает очень неплохое покрытие соседних помещений.
Технические характеристики обнадеживают. Присутствует, в том числе, и поддержка IPTV, что является важным плюсом при использовании роутера в качестве универсальной домашней точки доступа. Декларирована работа в сетях 3G и 4G, на роутере присутствует наклейка Yota Ready. Также присутствует поддержка модемов Скайлинк. По данным Яндекс Маркет «средневзвешенная» цена устройства составляет 1 750 руб., что похоже на правду. USB-модемом не комплектуется, и это правильно: роутер является устройством универсальным.
Цитата из технического описания:
- Встроенная поддержка свыше 25 популярных моделей USB-модемов 2G/3G/4G, работающих в сетях
GSM/EDGE, UMTS, CDMA2000 и Mobile WiMAX - Точка доступа Wi-Fi с защитой WEP/WPA-PSK/WPA2-PSK для подключения беспроводных устройств на скорости до 150 Мбит/с
- Быстрая настройка сети Wi-Fi и подключения беспроводных устройств по технологии Wi-Fi Protected
Setup (WPS) - Три сетевых разъема Ethernet для проводных устройств при подключении к Интернету через USB-модем 3G/4G
- Адаптирован для работы в сетях ведущих российских провайдеров: технология Link Duo для одновременной работы в Интернете через PPTP/L2TP/PPPoE и с ресурсами серверов районной сети, поддержка IEEE 802.1X и VLAN на базе IEEE 802.1Q
- Аппаратная поддержка IP-телевидения TVport для просмотра телепередач на компьютерах и ресиверах IPTV, а также ноутбуках по беспроводной сети Wi-Fi
- Межсетевой экран SPI с защитой от DdoS-атак
Важно: режим резервирования роутер не поддерживает и самостоятельно переключаться на модем в случае пропадания проводного доступа к интернету не умеет. Только вручную через Web-интерфейс.
Устройство действительно Yota Ready, при подключении модема Yota соединение с сетью WiMax запускается автоматически, и настраивать ничего не нужно. Но с сетью Comstar WiMax роутер не работает. Вернее, не работал до самого недавнего времени. По отзывам заинтересованных пользователей, в начале апреля уже появилась «допиленная» прошивка, позволяющая использовать WiMax-сеть и модемы Comstar.
Основные возможности и характеристики напечатаны, слава богу, на защитной пленке, корпус роутера не пострадал. Нейтральный белый цвет, глянцевый пластик, из дизайнерских изысков только скругленные края корпуса.
Все разъемы и кнопка Reset вынесены на заднюю панель, схема традиционная. Три порта LAN, один из которых может использоваться для подключения по выделенной линии Ethernet. При подключении через USB-модем все три порта LAN можно использовать для проводного подключения клиентских устройств. Все аккуратно размещено и отмаркировано цветом, зазоры достаточные для прямого подключения даже «упитанного» модема.
Тема отдельного разговора — удлинительный USB-кабель с присоской. Не знаю, сколько копеек составляет себестоимость этой высокотехнологичной присоски с дыркой под кабель, но WoW-эффект рублей на 100, не меньше. Гениальная придумка и, надо отдать присоске должное, весьма полезный аксессуар.
Как показывает опыт, обычно даже неискушенный пользователь начинает «играться» с поиском оптимального местоположения модема, и верхняя часть окна почти всегда окажется лучшим выбором. А здесь готовое решение вместе с «подсказкой» уже в коробочке. Пользуясь случаем, сравнил эффект от присоски на окне с антеннкой на подоконнике. Чудес не увидел, антенна работает лучше. Но и присоска не подкачала, позволив кое-как зацепить 3G там, где на уровне подоконника эта сеть не ловится вообще.
Полный комплект светодиодных индикаторов на передней панели. Если бы еще их было видно хотя бы на расстоянии сантиметров 40, чтобы не приходилось наклоняться и всматриваться, да. Но ладно, не очень-то они нужны в повседневном общении с роутером.
Отдельное спасибо изготовителям за универсальные двусторонние отверстия для настенного крепления роутера, полезная «немелочь». Также обращаем внимание на напряжение питания 12V, явный намек на возможность запитывания роутера от автомобильного аккумулятора. Интересная мысль, согласитесь.
Межсетевой экран как главный элемент платформы безопасности
Выберите свой межсетевой экран
Интеграция сетей и решений безопасности
Cisco Secure Firewall закладывает основу для интеграции мощных средств предотвращения угроз с существующей сетевой инфраструктурой.
Виртуальные межсетевые экраны для общедоступного облака
Простой перевод центра обработки данных в общедоступное облако и защита данных и приложений в средах Amazon Web Services (AWS) и Microsoft Azure за счет автоматизированного применения согласованных политик безопасности, расширенного мониторинга и централизованного управления.
Минусы
Не могу сказать, что все стало идеально, кое-что по-прежнему раздражает. Например, после самопроизвольного разрыва соединения роутеру не удается переподключиться самостоятельно. И даже вручную через Web-интерфейс восстановить коннект не получается, пишет «ошибка в протоколе передачи». Приходится выдергивать и опять вставлять модем или отключать/включать питание роутера.
Автозапуск подключения 3G предусмотрен, но автоопределения оператора нет, и настройки нужно менять вручную. Правда, необходимые профили уже заведены, и остается только выбрать нужный. Хотя нужно ли менять настройки — вопрос неоднозначный. SIM-карты МегаФона и Билайн у меня нормально заработали с чужими настройками без ошибок в тарификации и всяких «медвежьих услуг» типа «Интернет без настроек».
Про отсутствие резервирования Ethernet-подключения уже писал, это нужно иметь в виду. Сомневаюсь, что такая функция будет реализована в последующих прошивках.
Резюме
Неплохая машинка, отдающая на удивление качественный мобильный интернет. Роутер практически универсален и позволяет использовать любую мобильную сеть при наличии соответствующего модема. Не без недостатков и особенностей, конечно. Главное, сразу же после покупки не полениться залить в него последнюю версию прошивки, это избавит вас от разочарований и сбережет некоторое количество нервных клеток. Которые, в отличие от 3G-коннекта, не восстанавливаются.
Выбор роутера Keenetic
Раньше название моделей роутеров Keenetic выглядели примерно так: Zyxel Keenetic Start III. Римская цифра обозначала к какому поколению относится модель, и сразу было понятно, насколько современной и актуальной она является. Теперь названия выглядят по-другому: Keenetic Start и затем буквенно-циферный артикул, значение которого понятно только специалисту.
Но разделение модельного ряда осталось прежним:
- Start и Lite – бюджетный вариант с немного урезанным функционалом.
- Air и Extra – более продвинутые модели по средней цене.
- Ultra и Giga – вся мощь и производительность от Keenetic, включая гигабитные порты, быстрый Wi-Fi, универсальные USB-порты и прочие опции.
Свои маршрутизаторы Keenetic пафосно именует интернет-центрами. Функциональная операционная система с опцией автоматического обновления и широкие возможности для настройки оправдывают это название.
Правда, автоматическое обновление имеет и свой минус – для него невозможно настроить никакие параметры, например, расписание. Поэтому процесс запускается независимо от пользователя, зачастую некстати, когда как раз нужен доступ в интернет.
Удобно то, что можно назначить функцию WAN порта любому другому сетевому порту. На роутерах других производителей такая возможность не предусмотрена и реализовать её можно только с помощью сторонней прошивки, что, соответственно, лишает пользователя гарантии. Переназначить порт WAN бывает нужно, если штатный вышел из строя.
Настроить роутер можно через мобильное приложение. Чтобы подключиться к устройству, достаточно просто просканировать QR-код на корпусе.
Firepower серии 1000
Для малого и среднего бизнеса, а также филиалов. Упрощенное управление с помощью Cisco Defense Orchestrator экономит время на администрирование, следовательно, у вас остается больше времени на развитие бизнеса.
Keenetic Extra (KN-1710)
Одна из самых продвинутых моделей компаний, предлагающая гигабитное проводное соединение и подключение по воздуху на частоте 5 ГГц.
Но это не все преимущества, из-за которых Wi-Fi роутер от Keenetic получил немаленькую рекомендованную стоимость.
Также маршрутизатор может похвастать дополнительными усилителями Wi-Fi и USB-портом, посредством которого к маршрутизатору можно подключить 4G-модем.
Модель Extra оснащается 4 антеннами с коэффициентом усиления 5 dBi.
В отзывах роутер хвалят за дальнобойность и качество сигнала.
При этом он может одновременно работать в двух диапазонах, а для проводного подключения здесь есть 4 порта LAN.
Маршрутизатор KN-1710 можно поставить на стол или закрепить на стене в любом удобном положении.
Технические характеристики:
- подключение к интернету (WAN): внешний модем, Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 / 5 ГГц (одновременная работа);
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4), ac (Wi-Fi 5);
- функции и особенности: UPnP AV-сервер, поддержка IPv6, режим моста, режим репитера (повторителя), поддержка Mesh Wi-Fi;
- скорость портов: 100 Мбит/с.
Почему стоит выбрать Cisco Secure Firewall?
Cisco Secure Firewall является базой для самой полной и открытой платформы безопасности в отрасли.
ТОП-3 лучших роутеров Кeenetic со скоростью до 100 Мбит/с
Keenetic Extra (KN-1711)
Роутер Wi-Fi с возможностью подключения GSM-модема по USB-интерфейсу станет лучшим решением для организации доступа в интернет смартфонов, компьютеров, ноутбуков и прочих умных устройств.
Вариант с мобильным интернетом может быть очень полезен там, где отсутствует кабельное подключение, например, на даче.
Модель Keenetic Extra (KN-1711) поддерживает диапазоны Wi-Fi 2,4 и 5 ГГц. Общее число LAN портов — четыре.
Роутер отличается компактными размерами и небольшой массой.
Корпус устройства выполнен из высококачественного пластика.
На борту присутствует информативная светодиодная индикация, которую при желании можно отключить.
Технические характеристики:
- подключение к интернету (WAN): ADSL, внешний модем, Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 / 5 ГГц (одновременная работа);
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4), ac (Wi-Fi 5);
- функции и особенности: поддержка IPv6, режим репитера (повторителя), поддержка Mesh Wi-Fi;
- скорость портов: 100 Мбит/с.
Keenetic Lite KN-1311
Маршрутизатор с 5-портовым Smart-коммутатором, переключателями режима «роутер\ретранслятор» и усилителями приема сигнала.
Устройство играючи справится с тарифами до 100 МБит/с, выступая не только как главный интернет-центр, но и как дополнительный ретранслятор.
Даже клиенты со слабыми передатчиками будут вами услышаны за счет добавленных усилителей сигнала и 5 дБи антенны: смартфоны, планшеты, IP-камеры и прочие разнообразные гаджеты — всё это будет работаь без перебоев.
Удивительно, что такая бюджетная модель имеет бесшовный роуминг, VLAN, сегментация сети, VPN-клиентов и серверы.
В комплекте есть адаптер питания, кабель Ethernet и инструкция по применению.
Предусмотрена защита от киберугроз и родительский контроль. Поддерживается 10 VPN-туннелей и MIM.
Технические характеристики:
- подключение к интернету (WAN): Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 ГГц;
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4);
- функции и особенности: поддержка IPv6, поддержка Mesh Wi-Fi;
- скорость портов: 100 Мбит/с.
ТОП-2 лучших бюджетных роутеров Кeenetic
Компания Cisco признана лидером
Компания Cisco признана лидером рынка согласно отчету The Forrester Wave: Enterprise Firewalls, Q3 2020 (Корпоративные межсетевые экраны, третий кв. 2020 г.).
Работа
Немного затянул с написанием этого обзора не только по причине нехватки времени. Роутер работал несколько странно (мягко говоря), а писать откровенно ругательный обзор всегда неприятно. Вот и откладывал написание, текста, пытаясь понять причины нестабильности, «непереваривания» современных модемов и прочих досадных мелочей и не-мелочей.
Вроде, и на скорость соединения жаловаться не приходилось, и модем запускался уверенно, а ощущения от работы были скорее негативные. Периодические, подозрительно частые зависания, долгие паузы при открывании Web-страниц, некорректное автоопределение модели модема и прочие «раздражители».
- Добавлена возможность просмотра данных клиентов Wi-Fi, подключенных к интернет-центру (скорость подключения, режим работы).
- Добавлена поддержка 3G-модемов: ZTE MF-622, MF-631.
- Устранена блокировка 3G-модемов SIM-картами (Билайн).
- Добавлена возможность работы 3G-модемов (Билайн), привязанных к ПО (ранее модем отключался после 2 минут работы).
- Добавлена возможность установки размера MTU в широком диапазоне для подключения по 3G.
- Предусмотрен выбор типа авторизации для всех 3G-операторов.
- Улучшена работа при использовании подключения к Мегафон 3G.
Список поддерживаемых модемов расширился радикально, наверняка добавлены многие другие модели, помимо указанных ZTE MF-622 и MF-631. Во всяком случае, у меня заработал весь зоопарк, включая ранее не работавшие Huawei E173 и E1820.
Перечень не обманул. Например, декларированная возможность просмотра данных клиентов Wi-Fi, подключенных к роутеру, успешно функционирует, хоть мнение роутера о скорости соединения и отличается радикально от мнения Windows XP по тому же вопросу. Но это мелочи. Главное то, что ощущения от мобильного интернета радикальным образом изменились. Волшебным образом исчезли паузы-зависания при открывании тяжелых страниц, интернет стал по-настоящему комфортен. После нескольких дней общения с роутером с «родной» заводской прошивкой разница просто ошарашила. Не знаю, какого шамана из ZyXEL благодарить за работу, но бубен у него качественный, это факт. Рискну утверждать, что Keenetic 4G по ощущениям от Web-серфинга заметно лучше всех перебывавших у меня в руках роутеров. По крайней мере, на сегодняшний день.
Возможно, причина, в том числе, и в появившейся возможности установки размера MTU в диапазоне 300 — 1500 байт, после перепрошивки значение по умолчанию установлено на 1400.
Не знаю, была ли предусмотрена ступенчатая регулировка мощности Wi-Fi-передатчика в первой «родной» прошивке, но такая функция есть. Для домашнего/офисного роутера мало кому полезная «фишка», но мало ли. Например, в автомобильном варианте использования пригодится.
Keenetic Ultra (KN-1810)
Устройство Keenetic Ultra (KN-1810) поддерживает ряд актуальных на сегодняшний день стандартов — IPoE, PPPoE, PPTP, L2TP, 802.1X, VLAN 802.1Q, IPv4/IPv6.
Проводная связь осуществляется посредством четырех LAN-портов и одного интерфейса WAN.
Пара портов USB 2.0 и 3.0 дают возможность подключения USB-модема.
В режиме точки доступа оборудование поддерживает облачный сервис SkyDNS, незаменимый для организации родительского контроля.
Технические характеристики:
- подключение к интернету (WAN): внешний модем, Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 / 5 ГГц (одновременная работа);
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4), ac (Wi-Fi 5);
- функции и особенности: UPnP AV-сервер, поддержка IPv6, режим моста, режим репитера (повторителя), поддержка Mesh Wi-Fi;
- скорость портов: 1 Гбит/с.
Связаться с Cisco
Рейтинг ТОП-10 лучших роутеров Кeenetic на 2022 год
ТОП-3 лучших роутеров Кeenetic по цене/качеству на 2022 года | ||
1 | Keenetic Giga (KN-1011) | Узнать цену |
2 | Keenetic 4G (KN-1210) | Узнать цену |
3 | Keenetic Extra (KN-1710) | Узнать цену |
ТОП-3 лучших роутеров Кeenetic со скоростью до 100 Мбит/с | ||
1 | Keenetic Air (KN-1611) | Узнать цену |
2 | Keenetic Extra (KN-1711) | Узнать цену |
3 | Keenetic Duo (KN-2110) | Узнать цену |
ТОП-2 лучших роутеров Кeenetic со скоростью до 1 Гбит/с | ||
1 | Keenetic Viva (KN-1910) | Узнать цену |
2 | Keenetic Ultra (KN-1810) | Узнать цену |
ТОП-2 лучших бюджетных роутеров Кeenetic | ||
1 | Keenetic Start (KN-1111) | Узнать цену |
2 | Keenetic Lite KN-1311 | Узнать цену |
Firepower серии 2100
Для крупных филиалов, коммерческих и промышленных предприятий. Выберите вариант управления, который соответствует вашей среде и рабочим процессам.
Firepower серии 4100
Для крупных комплексов зданий и центров обработки данных: создание логических межсетевых экранов для гибкого развертывания, анализ зашифрованного веб-трафика, защита от DDoS-атак, кластеризация устройств для повышения производительности и обеспечения высокой доступности, масштабирование VPN, блокировка сетевых вторжений и многое другое.
Keenetic Giga (KN-1011)
Роутер KN-1011 качественный, мощный и очень простой в управлении аппарат, цена которого не «ударит по карману».
В каждую модель устанавливается Mesh Wi-Fi 6 AX1800 (лучший вариант для подключения беспроводных клиентов Wi-Fi 6 с высокой скоростью).
После выхода обновления 3.6.11 пользователи перестали мучатся с основной проблемой — «умирающий» WiFi после каждой смены ключей (по умолчанию каждые 24 часа).
Внешний диск, который ранее ощущался как бесплатный файлообменник, теперь выступает в роли полноценного диска.
Тащит IPTV (Билайн ТВ) по WiFi (и не нужно тянуть провод от роутера до приставки).
«Пробивает» капитальные стены (без арматуры), скорость увеличивается даже там, где присутствует очень низкий уровень сигнала.
Объем оперативной памяти удвоенный, есть встроенный торрент-клиент.
Аппарат подходит для подключения по активной оптике через дополнительный SFP-модуль.
Бесшовный роуминг дарит возможность бродить по Интернету из любой точки дома.
Некоторые мелкие недочеты — исключительно внешние — не портят общего впечатления.
Технические характеристики:
- подключение к интернету (WAN): SFP, внешний модем, Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 / 5 ГГц (одновременная работа);
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4), ac (Wi-Fi 5), ax (Wi-Fi 6);
- функции и особенности: UPnP AV-сервер, поддержка IPv6, поддержка Mesh Wi-Fi;
- скорость портов: 1 Гбит/с.
Кто есть кто на рынке защиты от DDoS
(мой личный взгляд)
Защита на уровне L3/L4
Чтобы отбивать атаки с SYN/ACK флудом, фрагментацией пакетов, етс, необходимо оборудование или софтверные системы для детекции и отсекания таких атак.
Из известных игроков более-менее эффективно L3/L4 DDoS отбивать умеют все. Я сейчас не скажу, у кого больше максимальная емкость канала (это инсайдерская информация), но обычно это не так важно, и разница только в том, насколько быстро срабатывает защита (мгновенно или через несколько минут даунтайма проекта, как в Hetzner).
Вопрос в том, насколько качественно это делается: атаку с амплификацией можно отбить, заблокировав трафик из стран с наибольшим количеством вредного трафика, а можно отбрасывать только действительно лишний трафик.
Но при этом, исходя из моего опыта, все серьезные игроки на российском рынке с этим справляются без проблем: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (бывший SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
С зарубежными операторами защиты компании в России работают редко, за исключением Cloudflare. Про Cloudflare напишу отдельно.
С защитой от операторов типа Ростелеком, Мегафон, ТТК, Билайн не сталкивался, по отзывам коллег они эти услуги оказывают достаточно качественно, но пока периодически сказывается недостаток опыта: иногда нужно что-нибудь докрутить через поддержку оператора защиты.
У некоторых операторов есть отдельная услуга «защита от атак на уровне L3/L4», или «защита каналов», она стоит намного дешевле защиты на всех уровнях.
Оператор защиты может подключиться к любому из крупных провайдеров и отбивать атаки «за его счет». За канал придется платить, но все эти сотни Гбит будут утилизированы далеко не всегда, есть варианты значительного снижения стоимости каналов в этом случае, поэтому схема остается работоспособной.
Вот такие отчеты от вышестоящей L3/L4 защиты я регулярно получал, поддерживая системы хостинг-провайдера.
Защита на уровне L7 (уровень приложения)
Атаки на уровне L7 (уровень приложения) стабильно и качественно умеют отбивать единицы.
У меня есть реальный достаточно большой опыт с
Качественная и стабильная защита есть и у других операторов. Многие сервисы на нашей поддержке (в т.ч. очень известные в стране!) стоят под защитой от DDoS-Guard, G-Core Labs, и вполне довольны получаемым результатом, могу их рекомендовать.
Атаки, отбитые Qrator
CloudFlare
CloudFlare — это отдельное явление. Это уже огромная компания, которая стоит несколько миллиардов долларов, их клиенты — половина трафикогенераторов мира, а услуга защиты от DDoS просто самая известная среди их услуг. Мы ими также постоянно пользуемся для DNS хостинга, CDN, в качестве сервиса проксирования трафика.
Для сайта/сервиса, на который не обрушиваются сложные атаки, Cloudflare вполне ок, но при серьезных атаках (когда не просто «заваливают» канал, а комбинируют много видов атак) их Business plan за 200 долларов нас никогда не спасал, а говорить про их Enterprise защиту для России нет смысла, дешевле и эффективнее обратиться к другим игрокам.
Почему так? Думаю, сложно делать массовый почти бесплатный сервис очень качественным.
Кстати, в CF работает много русскоязычных инженеров :)
Зарубежные операторы защиты
В чем сложность отражения атак на уровне L7?
Все приложения уникальны, и нужно разрешать полезный для них трафик и блокировать вредный. Однозначно отсеять ботов удается не всегда, поэтому приходится использовать много, реально МНОГО степеней очистки трафика.
Увы, атаки стали сложнее. testcookie использует проверки на ботов на базе JS, а многие современные боты умеют их успешно проходить.
В сумме на уровне защиты каналов, специализированного оборудования для очистки трафика, спец софта, дополнительных настроек фильтрации для каждого клиента могут быть десятки и сотни уровней фильтрации.
Чтобы правильно управляться с этим и корректно тюнить настройки фильтрации под разных пользователей, нужен большой опыт и квалифицированные кадры. Даже крупный оператор, решивший оказывать услуги защиты, не может «тупо закидать проблему деньгами»: опыт придется набивать на лежащих сайтах и ложных срабатываниях на легитимном трафике.
Для оператора защиты нет кнопки «отбить DDoS», есть большое число инструментов, ими нужно уметь пользоваться.
И еще один бонусный пример.
Сервер без защиты был заблокирован хостером при атаке емкостью в 600 мбит
(«Пропадание» трафика не заметно, т.к. атакован был только 1 сайт, его на время убрали с сервера и блокировка была снята в пределах часа).
Этот же сервер под защитой. Атакующие “сдались” после суток отбитых атак. Cама атака оказалась не самой сильной.
Атаки L3/L4 и защита от них более тривиальны, в основном, они зависят от толщины каналов, алгоритмов детекции и фильтрации атак.
Атаки L7 сложнее и оригинальнее, они зависят от атакуемого приложения, возможностей и фантазии атакующих. Защита от них требует больших знаний и опыта, причем результат может быть не сразу и не стопроцентный. Пока Гугл не придумал для защиты очередную нейросеть.
Интеллектуальные точки контроля доступа с единой политикой и мониторингом угроз.
Keenetic Air (KN-1611)
Wi-Fi роутер с возможностью управления посредством веб-интерфейса или мобильного приложения быстро и просто обеспечит стабильным интернет-подключением даже не слишком опытного пользователя.
Модель Keenetic Air (KN-1611)поддерживает два диапазона Wi-Fi — 2,4 и 5 ГГц, что весьма полезно при сильной загруженности сети.
Имеется возможность проводного подключения с максимальной скоростью 100 Мбит/с.
Общее число портов вместе с WAN — пять.
В комплекте роутера имеется патч-корд для подключения к сети провайдера, блок питания, руководство пользователя.
Технические характеристики:
- подключение к интернету (WAN): Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 / 5 ГГц (одновременная работа);
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4), ac (Wi-Fi 5);
- функции и особенности: UPnP AV-сервер, поддержка IPv6, режим репитера (повторителя), поддержка Mesh Wi-Fi;
- скорость портов: 100 Мбит/с.
Виды DDoS атак с точки зрения выбора оператора защиты
Атаки на уровне L3 / L4 (по модели OSI)
- UDP flood с ботнета (напрямую с зараженных устройств на атакуемый сервис отправляется много запросов, серверам заваливают канал);
- DNS/NTP/etc amplification (с зараженных устройств отправляется много запросов на уязвимые DNS/NTP/etc, адрес отправителя подделывается, туча пакетов с ответом на запросы заваливает канал тому, кого атакуют; так выполняются самые массовые атаки в современном интернете);
- SYN / ACK flood (на атакуемые серверы отправляется много запросов на установление соединения, происходит переполнение очереди соединений);
- атаки с фрагментацией пакетов, ping of death, ping flood (погуглите плз);
- и т.п.
Атаки на L7 (уровень приложения)
Почему 2 группы?
Потому что есть много тех, кто умеет хорошо отбивать атаки на уровне L3 / L4, но или вообще не берется за защиту на уровне приложения (L7), или пока справляется с ними слабее альтернатив.
Keenetic 4G (KN-1210)
Как понятно из названия, этот маршрутизатор предназначен для подключения к сетям третьего и четвёртого поколения через USB-модемы.
Данный маршрутизатор поддерживает свыше 150 моделей модемов.
Для беспроводного подключения в маршрутизаторе предусмотрено две антенны с усилением 5 дБи (работа исключительно в диапазоне 2,4 ГГц).
Для защиты от киберугроз маршрутизатор поддерживает SkyDNS и Яндекс.DNS.
Крайне удобно, что производитель предусмотрел возможность управления домашней сетью при помощи фирменного мобильного приложения.
Конечно, при желании в KN-1210 можно найти и минусы.
Но стоит учитывать, что при аналогичном ценнике не многие конкуренты предлагают достойную альтернативу.
Технические характеристики:
- подключение к интернету (WAN): внешний модем, Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 ГГц;
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4);
- функции и особенности: WDS, поддержка IPv6, режим моста, режим репитера (повторителя), поддержка Mesh Wi-Fi;
- скорость портов: 100 Мбит/с.
Средства управления безопасностью мирового класса
Для защиты сетей от усложняющихся угроз требуются лучшая в отрасли аналитика и согласованная защита. Повысьте свой статус безопасности уже сегодня с помощью Cisco Secure Firewall.
ТОП-3 лучших роутеров Кeenetic по цене/качеству на 2022 года
Keenetic Viva (KN-1910)
Оборудованный процессором MT 7621 AT и двумя USB-портами с опциональным использованием 3G и 4G модемов, позволяет организовать точку для подключения к интернету нескольких проводных и беспроводных гаджетов.
Встроенные USB-разъемы маршрутизатора Keenetic Viva (KN-1910) позволяют эксплуатировать маршрутизатор в качестве файлового, DLNA или принт-сервера.
Представленное сетевое оборудование поддерживает частотные диапазоны 2,4 и 5 ГГц со скоростью соединения 400 и 867 МБит/с соответственно.
За безопасность соединения отвечают встроенные протоколы WEP, WPA и WPA2.
Четыре наружные несъемные антенны имеют коэффициент усиления в 5 dBi.
Технические характеристики:
- подключение к интернету (WAN): внешний модем, Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 / 5 ГГц (одновременная работа);
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4), ac (Wi-Fi 5);
- функции и особенности: UPnP AV-сервер, поддержка IPv6, режим моста, режим репитера (повторителя), поддержка Mesh Wi-Fi;
- скорость портов: 1 Гбит/с.
Лирика «в тему»
Уже и не помню, сколько роутеров перебывало в руках, популярное нынче устройство. Самый главный, обобщающий вывод — почти не бывает объективно плохих роутеров. По крайней мере, мне из таких попадался только один, да и тот был из самых простеньких, без сотового модуля и не умеющий работать с модемами. И объективно-тотально хороших тоже не бывает, у всех свои недостатки. У каждого роутера свой набор положительных и отрицательных качеств, и почти у каждого есть своя «изюминка», которая может оказаться ключевым преимуществом для определенного пользователя. И наоборот, какой-то недостаток или даже особенность может стать ключевым дефектом для конкретного потребителя. Я это к тому, что бесполезно искать «хороший» роутер, это как просить «подключите меня к самому лучшему тарифу!». Нужно смотреть на свой профиль использования устройства и искать совпадения в конструкции и характеристиках девайса. При таком подходе с недостатками будет легко смириться или вы их просто не заметите.
Второе «замечание на полях» - совсем разонравились мне модемы. Охотно их признаю в качестве устройств для добывания интернета из воздуха, но вставлять их напрямую в USB-порт ноутбука не хочется. Вместо размышлений о чем-нибудь высоком в процессе ваяния очередной «нетленки», только и думаешь о том, как бы случайно не выворотить из бука этот чужеродный отросток вместе с USB-портом. А если об этом не думать, то как раз и выворотишь, проверено на личном опыте. Да еще аппетит у этих девайсов будь здоров какой, кушают аккумулятор заметно быстрее, чем Wi-Fi-соединение. И если «дорожный» вариант модем + ноутбук еще выглядит разумным и оправданным (как минимум ценой), то в домашне-дачных условиях связка роутер + модем однозначно привлекательнее.
Отзывы покупателей
Keenetic Duo (KN-2110)
Wi-Fi Mesh роутер с технологией ADSL и возможностью использования модемов 3G/4G позволяет организовать интернет-доступ в домашних условиях, на даче или работе.
USB-интерфейс, используемый для подключения модема, также дает возможность использовать соответствующие внешние накопители.
Устройство Keenetic Duo (KN-2110) оборудовано четырьмя портами LAN с базовой скоростью передачи данных 100 Мбит/с.
Беспроводный интерфейс работает в двух диапазонах, его использование полезно при сильной загруженности сети.
Управление аппаратом осуществляется по протоколу Telnet и посредством веб-интерфейса.
Технические характеристики:
- подключение к интернету (WAN): ADSL, внешний модем, Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 / 5 ГГц (одновременная работа);
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4), ac (Wi-Fi 5);
- функции и особенности: UPnP AV-сервер, поддержка IPv6, режим моста, режим репитера (повторителя), поддержка Mesh Wi-Fi;
- скорость портов: 100 Мбит/с.
Полезное видео
Из видео вы ознакомитесь с обзором лучших роутеров Кeenetic:
Атаки типа распределённый отказ в обслуживании (DDoS) атак по-прежнему находятся в верхних строках анти-рейтинга. DDoS-атаки против коммерческих организаций доказали свою эффективность в срыве бизнеса и привлечения внимания компании. Например, за счет использования массивных бот-сетей, собранных из скомпрометированных компьютеров, хакеры запустили ряд получивших широкую огласку и весьма разрушительных DDoS-атак против американских банков.
Ниже представлен пример защиты от атак типа отказ в обслуживании с использованием заражённых вредоносным ПО компьютеров при помощи HP NGFW. Для тестирования этой возможности межсетевого экрана был собран стенд, представленный на рисунке ниже.
Схема стенда
Стенд состоит из трёх основных частей:
- Виртуальная среда на базе VMWare, имитирующая локальную сеть + ЦОД (слева на схеме)
- Межсетевой экран HP NGFW
- Виртуальная среда, имитирующая сегмент сети Интернет (справа на схеме)
Межсетевой экран установлен в разрыв между сегментом Интернет и локальной сетью и в данном стенде представляет собой устройство третьего уровня, маршрутизирующее трафик между сегментами. Базовые правила и настройки межсетевого экрана показаны на схеме выше.
Виртуальная среда, имитирующая сегмент Интернет, представляет собой набор виртуальных машин на базе операционной системы Linux c установленном на них специализированным ПО – в числе прочего, веб-сервер Apache, сервер баз данных MySQL, интерпретатор языка PHP версии 5, сканер безопасности Nessus, утилита сканирования сети nmap.
Keenetic Start (KN-1111)
Зачем вам соглашаться на меньшее, если вы можете получить больше с маршрутизатором Keenetic Start (KN-1111).
Полезного функционала в нем целый список: это и гостевая сеть, и родительский контроль (что актуально, если в вашей семье есть дети), и бесшовный роуминг, и сегментация данных, и многое-многое другое.
Есть возможность резервирование интернета, VLAN’ы, облачное управление, а также VPN-серверы/клиенты по всем протоколам.
Служить такой маршрутизатор будет не менее 3-х лет (естественно, при соблюдении условий эксплуатации, указанных производителем).
Гарантия АСЦ дается на 2 года, но можно получить дополнительную гарантию от производителя на год.
Технические характеристики:
- подключение к интернету (WAN): Ethernet RJ-45;
- частотный диапазон устройств Wi-Fi: 2.4 ГГц;
- стандарт Wi-Fi 802.11: b (Wi-Fi 1), a (Wi-Fi 2), g (Wi-Fi 3), n (Wi-Fi 4);
- функции и особенности: WDS, UPnP AV-сервер, поддержка IPv6, режим моста, режим репитера (повторителя), поддержка Mesh Wi-Fi;
- скорость портов: 100 Мбит/с.
Читайте также: