Назад до блогу Migracja na LiveShield z innego systemu anty-DDoS

Migracja na LiveShield z innego systemu anty-DDoS

Rozmowy o zmianie systemu anty-DDoS prawie zawsze zaczynają się tak samo: obecne rozwiązanie nie spełnia oczekiwań - detekcja jest za wolna, ataki rozproszone przechodzą niezauważone, konfiguracja wymaga ciągłej ręcznej pracy - ale operator waha się przed migracją. Powody są dwa i oba brzmią rozsądnie. Po pierwsze: "mamy opłaconą licencję do przyszłego roku". Po drugie, ważniejsze: "nie możemy sobie pozwolić na okres bez ochrony w trakcie przejścia".

Oba te problemy da się rozwiązać. A drugi z nich w przypadku LiveShield w zasadzie nie istnieje - i wynika to wprost z architektury systemu.


Dlaczego migracja nie wymaga wyłączania obecnej ochrony

LiveShield analizuje kopię ruchu dostarczaną przez mirror z routerów lub switchy brzegowych (port mirror / SPAN). System nie stoi w torze ruchu produkcyjnego i niczego w nim nie zmienia - jedynym aktywnym elementem są rozgłoszenia BGP, które włącza się świadomie, na końcu procesu.

To ma praktyczną konsekwencję: LiveShield może działać równolegle z dotychczasowym systemem na tym samym ruchu. Wystarczy skierować mirror do obu systemów jednocześnie. Dotychczasowa ochrona pracuje bez żadnych zmian, a LiveShield w tym czasie widzi dokładnie te same ataki - i można na żywo porównać, co wykrywa jeden system, a co drugi.

Migracja przestaje być skokiem na głęboką wodę. Staje się kontrolowanym procesem, w którym stary system wyłącza się dopiero wtedy, gdy nowy udowodnił swoją skuteczność na realnym ruchu Twojej sieci.


Jak wygląda migracja etapami

Typowy przebieg wdrożenia równoległego, oparty na naszej praktyce u operatorów ISP:
Ważne: jest to plan przykładowy, każdy ISP jest inny, plan migracji jest zawsze przygotowywany według potrzeb Operatora.
  1. Przygotowanie infrastruktury. Serwer (lub serwery) z kartą sieciową o odpowiedniej przepustowości, Debian 13, dostęp przez sieć zarządzającą. Mirror ruchu przychodzącego kierowany na port serwera - równolegle do źródła danych obecnego systemu. Na tym etapie nic w działającej ochronie się nie zmienia.
  2. Praca pasywna i porównanie detekcji. LiveShield analizuje ruch i wykrywa ataki, ale nie rozgłasza żadnych reguł - sesje BGP mogą być zestawione i zweryfikowane, ale mitygacja pozostaje wyłączona. To okres, w którym zespół NOC ogląda oba systemy obok siebie: czasy detekcji, wykryte wektory, ataki widoczne tylko w jednym z systemów. Jednocześnie dostrajane są progi per-IP i per-subnet pod specyfikę sieci.
  3. Stopniowe przejęcie mitygacji. Zwykle zaczynamy od blackholingu, potem włączany jest FlowSpec na routerach, które go wspierają. Można to robić per prefiks lub per grupa klientów - część sieci chroni już LiveShield, część nadal stary system.
  4. Wyłączenie poprzedniego systemu. Następuje dopiero wtedy, gdy LiveShield przejął pełną mitygację i przepracował okres próbny na realnych incydentach. Bez wielkiego dnia przełączenia i bez okna serwisowego.

Całość konfiguracji możemy przeprowadzić po naszej stronie - łącznie z migracją konfiguracji routerów, jeśli przy okazji wymieniany jest także sprzęt brzegowy.

liveshield-migracja (1).png


Co pokazuje porównanie na żywym ruchu

Praca równoległa ma jeszcze jedną zaletę: zamiast porównywać systemy na podstawie materiałów marketingowych, porównujesz je na atakach w swojej własnej sieci.

Przykład z jednej z takich instalacji równoległych: atak wielowektorowy (IP Fragments + DNS + UDP flood) o wolumenie 6,5 Gbps i 700 kpps. LiveShield wykrył atak i nałożył pierwszą regułę filtrowania w tej samej sekundzie. Działający obok system konkurencyjny wykrył atak 4 sekundy później, a pierwszą regułę wprowadził po 18 sekundach od detekcji LiveShield. Trzeciego wektora - mimo poprawnej konfiguracji - nie odfiltrował wcale.

Kilkanaście sekund różnicy brzmi niewinnie, ale to właśnie w pierwszych sekundach ataku decyduje się, czy klienci odczują incydent. A wektor, którego system nie odfiltrował w ogóle, to różnica między "atak zmitygowany" a telefonami do biura obsługi.


Kwestia licencji: podwójne koszty są mniejsze, niż się wydaje

Zostaje argument "mamy opłaconą licencję". W praktyce rzadko jest on blokujący z dwóch powodów.

Po pierwsze, model licencyjny LiveShield oparty jest wyłącznie o ruch przychodzący - bez opłat za liczbę sensorów, filtrów, interfejsów czy lokalizacji. Nie trzeba dostosowywać architektury sieci do modelu licencjonowania ani dokupować komponentów, żeby uzyskać pełną funkcjonalność: detekcja, filtracja, FlowSpec, blackholing i raportowanie są w jednej licencji.

Po drugie, okres nakładania się licencji można ograniczyć do minimum - wdrożenie równoległe planuje się tak, żeby przejęcie mitygacji zgrało się z końcem bieżącej umowy. Stary system dożywa swojego terminu jako zabezpieczenie, a nowy jest w tym czasie strojony i weryfikowany. W efekcie zamiast podwójnych kosztów operator dostaje coś, czego normalnie nie ma: bezpłatny w praktyce okres testów na własnym ruchu produkcyjnym.


Od czego zacząć

Jeżeli rozważasz zmianę systemu anty-DDoS, najprostszy pierwszy krok nie wymaga żadnych decyzji zakupowych: sprawdź, czy masz możliwość skierowania mirroru ruchu na dodatkowy port, i napisz do nas - office@liveshield.net
Ustalimy wymagania sprzętowe pod Twój wolumen ruchu i zaproponujemy plan wdrożenia równoległego dopasowany do terminu Twojej obecnej umowy.