Embed Size (px)
DESCRIPTION
DOS t ámadások elleni védekezés a HBONE-ban. Kinczli Zoltán Synergon Rt. Áttekintés. ISP feladatai Védekezési módszerek A HBONE felépitése Lehetséges védelmi stratégiák a HBONE-ban További lehetőségek. ISP feladatai. Megv édeni önmagát Internettől, saját usereitől - PowerPoint PPT Presentation
Citation preview
DOS tDOS támadások elleni védekezés a ámadások elleni védekezés a HBONE-banHBONE-ban
Kinczli ZoltánKinczli Zoltán
Synergon Rt.Synergon Rt.
ÁttekintésÁttekintés
ISP feladatai Védekezési módszerek A HBONE felépitése Lehetséges védelmi stratégiák a HBONE-ban További lehetőségek
ISP feladataiISP feladatai
Megvédeni önmagát Internettől, saját usereitől
Segiteni a customernek védeni önmagát Internettől
Védeni az Internetet Saját usereitől
ISP feladataiISP feladatai
Tudjuk, hogy meg fognak támadni Mikor, milyen gyakran, hogyan
Aki felkészül/felkészült az kevésbé sérülékeny Proaktiv lépések kidolgozása
Hogyan ismerjük fel, keressük meg, mit teszünk ellene?
A routerek védelme Pld. CPU
A routing protokollok védelme A hálózat védelme
Proaktiv lProaktiv lépéseképések
Előre megirt access-listák Characterizing & tracing packet floods
www.cisco.com/warp/public/707/22.html
Hop-by-hop tracing w NetFlow ip route-cache flow 75k distributed: netflow cache on VIP
IP source tracking GSR
Minden LC
CAR against DoS http://www.cisco.com/warp/public/63/car_rate_limit_icmp.html
A routerek védelmeA routerek védelme
Globalis szervizek no service finger no service pad no service udp-small-servers no service tcp-small-servers no ip bootp server no cdp run
Interfesz specifikus szervizek no ip redirects no ip proxy-arp no ip directed-broadcast no cdp enabled (publikus, customer i/f)
A routerek védelmeA routerek védelme
Jelszavak Enable secret, username
Új: username MD5 hash, nem reverzibilis, CSCds84754
TCP keepalive service tcp-keepalives-in
VTY access xACL, log
SSH server és kliens
crypto key generate rsa line vty 0 4
transport input ssh
A routerek védelmeA routerek védelme
AAA Authentication
nincs lokálisan tárolt jelszó
Authorization command, service, …
Accounting command accounting
A routerek védelmeA routerek védelme
no ip source-route icmp unreachable overload – blackhole filter
„régen” unreachable punted to RP/GRP
„most” unreachable a VIP/LC által
no ip unreachables (null0 i/f-en is, BGP pull-up!! )
icmp unreachable, DF rate-limit Hidden, default: 1/500 ms, javasolt 1/1000msec
A routing protokoll védelmeA routing protokoll védelme
Route authentication OSPF, BGP, IS-IS, EIGRP, RIPv2 plain-text, MD5
Selctive packet discard bad TTL: process switching
ip spd mode aggressive show ip spf
A hálózat védelmeA hálózat védelme
route szűrés distribute-list, prefix-list (csak az egyiket)
csomagszűrés [eXended|Turbo] access-list, blackhole, uRPF
rate limitek icmp, tcp syn
Route sRoute szűrészűrés
Manning, DSUA http://www.ietf.org/intenet-drafts/draft-manning-dsua-06.txt
RFC1918, loop, test-net, default broadcast, multicast, end-node autoconfig (DHCP)
ip prefix-list dsua deny 0.0.0.0/8 le 32 ip prefix-list dsua deny 10.0.0.0/8 le 32 ip prefix-list dsua deny 127.0.0.0/8 le 32 ip prefix-list dsua deny 169.254.0.0/16 le 32 ip prefix-list dsua deny 192.0.2.0/24 le 32 ip prefix-list dsua deny 192.168.0.0/16 le 32 ip prefix-list dsua deny 224.0.0.0/3 le 32 ip prefix-list dsua permit 0.0.0.0/0 le 32
CsomagsCsomagszűrészűrés
Blackhole filter – destination address Static route to null0
!! no ip unreachable !! CEF path-ban dobunk: minimális/nulla CPU igény!
Remotely triggered blackhole filter ISP DOS/DDOS tool
minden router: ip route „test-net” null0 trigger: inject bgp, next-hop == test-net
iBGP, eBGP
CsomagszűrésCsomagszűrés
Ingress filter BCP 38, RFC2827 access-list, dynamic w AAA profile
Adminisztrációs horror…
uRPF (strict, loose) ISP-customer: strict ISP-ISP: loose
Egress Customer’s ingress uRPF
CsomagszűrésCsomagszűrés
uRPF strict mode
ip verify unicast reverse-path „ott jön” ahol a FIB szerint várjuk ISP-customer kapcsolatnál
LL-cust, dialup, xDSL, cable, IXP L2 peering: OK
multi-homed customer same ISP
– ISP: tweak weight
– customer: maximum paths, per-dest load sharing
multi-homed customer different ISP:
– ISP: tweak weight
– customer
CsomagsCsomagszűrészűrés
uRPF loose mode (CSCdr93424)
72k, 75k, GSR E0, E1: 12.0(14)S GSR E4+, E3, E2 (nem mind!, 3GE nem) 12.0(19|22|23)S C6K: 12.1(8)E exists-only mód
ip verify unicast source reachable-via [ any | rx ] [ allow-default ] ip verify unicast reverse-path [ allow-self-ping ] any: real i/f, a Null0 nem „real”!
ISP-ISP, ISP-IPX IXP L3 peering
Bővebben: http://www.cisco.com/public/cons/isp/documents/
uRPF_Enhancement.pdf
CsomagszűrésCsomagszűrés
Loose uRPF – DoS tool Remotely triggered
via BGP
check destination & source A blackhole filter csak a destination-t „vizsgálta”
Proaktiv lépésekProaktiv lépések
Hogyan találjuk meg a „támadás forrását Hop-by-hop vs jump-to-ingress
Hop-by-hop -- Idő Access-list log-input, NetFlow
Jump-to-ingress -- „belső” támadó? Access-list log-input, NetFlow
ip source tracking GSR: minden LC: 12.0(21)S
E0 és E1 perfornance impact for tracked
”Backscatter” analizis sink hole: default drop to null0 with BGP limit the icmp unreachables
HBONEHBONE
Külső kapcsolatok GSR: Geant, NY, BIX, Sulinet, Kormányzat
Belső kapcsolatok: GSR 75k RSP/VIP: vh75, vh76 C6K (nativ IOS) C72k
HBONEHBONE
GSR LC: E0 1*OC12ATM: mod QoS CLI, CAR, turboCAR, IP source tracker, ACL,
xACL, tACL, NetFlow, sampled NetFlow E0 4*OC3POS: mod QoS CLI, CAR, turboCAR, QPPB, uRPF, IP source tracker,
[x|t]ACL, NetFlow, sampled NetFlow E2 3*GE: mod QoS CLI, PIRC, ICMP rate-limit, IP source tracker, std [x|t]ACL,
128/448 [x]ACL (no subif, exclusive w PIRC), sampled NetFlow E4 4*OC48POS: mod QoS CLI, CAR, IP source tracker, tACL (ingress only,
egress is E0, E1, E2)
C72k, C75k Virtuálisan minden, C75k: distributed szolgáltatások
C6k Virtuálisan minden, HW-ből (PFC2)
