Найти в Дзене
Cisco Россия
788 подписчиков

Как Cisco защищает облачные VPN от атак: что такое IKE-троттлинг и зачем он нужен

39
1 мин
DoS-атаки — это как цифровой шторм: тысячи фейковых запросов обрушиваются на серверы, заставляя их «захлёбываться» и не пускать легальных пользователей.
Теперь представьте, что под такой удар попадает ваша корпоративная VPN. Доступ к сети есть у всех… кроме вас. Компания Cisco решила эту проблему — с инженерной точностью. Большинство Cloud-VPN работают через открытые точки IKEv2 — это нужно, чтобы пользователи могли быстро создавать защищённые соединения.
Но именно из-за этой открытости злоумышленники могут завалить систему мусорным трафиком. Результат? Чтобы не тратить силы впустую, Cisco внедрила сетевой троттлинг — механизм, который ограничивает количество новых подключений с одного IP-адреса. Представьте:
К вам в дверь стучат сто человек подряд.
Cisco проверяет — если стучат слишком часто, то пропускает только тех, кто действительно живёт в этом доме. Так система отсекает «лишний» трафик ещё до того, как он дойдёт до приложения. Новая функция встроена в Vector Packet Processor (V
Оглавление

DoS-атаки — это как цифровой шторм: тысячи фейковых запросов обрушиваются на серверы, заставляя их «захлёбываться» и не пускать легальных пользователей.
Теперь представьте, что под такой удар попадает ваша корпоративная VPN. Доступ к сети есть у всех… кроме вас.

Компания Cisco решила эту проблему — с инженерной точностью.

Что происходит при атаке

Большинство Cloud-VPN работают через открытые точки IKEv2 — это нужно, чтобы пользователи могли быстро создавать защищённые соединения.
Но именно из-за этой открытости злоумышленники могут завалить систему мусорным трафиком.

-2

Результат?

  • Сервер тратит ресурсы на «пустые» запросы.
  • Растёт нагрузка на ввод-вывод.
  • Настоящие пользователи не могут подключиться.

Решение Cisco: IKE-троттлинг

Чтобы не тратить силы впустую, Cisco внедрила сетевой троттлинг — механизм, который ограничивает количество новых подключений с одного IP-адреса.

Представьте:
К вам в дверь стучат сто человек подряд.
Cisco проверяет — если стучат слишком часто, то пропускает только тех, кто действительно живёт в этом доме.

Так система отсекает «лишний» трафик ещё до того, как он дойдёт до приложения.

-3

Как это работает

Новая функция встроена в Vector Packet Processor (VPP) — фреймворк, через который проходит весь IKE-трафик.
Система ведёт учёт активных IP-адресов и автоматически снижает частоту запросов от подозрительных источников.

Если кто-то всё же «пострадал» из-за коллизии — не страшно.
Протокол IKEv2 сам попробует ещё раз, а вероятность ошибки быстро снижается благодаря обновлению хеш-таблиц.

Наблюдение и реакция

Cisco добавила аналитику — теперь можно видеть, какие IP-адреса ведут себя аномально, кто создаёт избыточный трафик и как меняются атаки во времени.
Используется лёгкая, но эффективная модель LFU 2-Random, которая быстро выявляет активных злоумышленников и блокирует их.

Зачем это бизнесу

  • Ваши VPN остаются доступными даже во время атак.
  • Минимальная нагрузка на серверы — значит, меньше затрат.
  • Быстрая реакция и защита без ручного вмешательства.

Cisco рекомендует внедрять этот механизм всем, кто использует публичные IKEv2-точки.
Это дешёвый и умный способ повысить устойчивость инфраструктуры — и спать спокойнее.

А вы бы доверили ИИ и автоматике защищать ваши корпоративные сети?
Или считаете, что старый добрый firewall всё ещё справляется лучше?

Гаджеты и электроника
5,73 млн интересуются