Embed Size (px)
Citation preview
redGuardian usługa ochrony przed atakami DDoS
wykorzystująca autorskie oprogramowanie
www.redguardian.eu
wersja 2015.11.24b
2
Multimedia Smart Grid
Cyberbezpieczeństwo
Phoenix-RTOS Phoenix-PRIME
Hermes
Grupa Kapitałowa Atende Software
Wybrani klienci
http://antyweb.pl/odwiedzilismy-atende-software-to-dzieki-nim-mozecie-ogladac-iple-i-player-pl/
DDoS (Distributed Denial of Service)
Czym jest DDoS?
• Skoordynowany, rozproszony atak na sieć lub system
– Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych komputerów lub innych urządzeń IP (routery, kamery CCTV, drukarki itp.)
– Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu
– Największe ataki wykorzystują zjawisko odbicia i wzmocnienia (DNS, NTP, SSDP)
• Prosty, tani, skuteczny
– Dostępny jako usługa (CaaS), nie trzeba być specjalistą
– Przystępny cenowo
– Cel ataku jest przeciążony i przestaje działać (strona, łącze, systemy)
– Nie wiadomo, kto stoi za atakiem
5
Skala zjawiska
6
źródło: „Cybercrime Exposed”, McAfee whitepaper
Wg obserwacji CERT-ów oraz globalnych dostawców usług bezpieczeństwa, skala zjawiska rośnie rok do roku
• 2013: max. 300Gbps • 2014: max. 400Gbps • 2015Q1: jeden z globalnych dostawców zaobserwował 25
ataków >100Gbps, a typowo 10-60Gbps
Jak się bronić przed atakami DDoS?
• Rozbudowa infrastruktury sieciowej i serwerowej
• Specjalizowane appliance filtrujące ruch
• Wyniesienie części usług do CDN i cloud
• Usługa – przeniesienie obciążenie na podmiot, który ma większą pojemność i jest w stanie odfiltrować atak
7
redGuardian – wprowadzenie
Czym jest redGuardian?
• Rozproszony filtr pakietów o praktycznie nieograniczonej pojemności
• Centra filtrowania (scrubbing centers) uruchomione w kluczowych punktach wymiany ruchu, ochronie podlega sieć minimum /24 (256 adresów IP)
• Wygodny panel do samodzielnego zarządzania usługą
• Możliwość definiowania własnych reguł filtrowania
• Ochrona przed atakami wolumetrycznymi na infrastrukturę (np. NTP reflection, SYN flood, UDP fragments flood)
9
Wygodne zarządzanie przez interfejs webowy
Klient może zakładać wiele kont o różnych uprawnieniach
Wprowadzane zmiany są zapisywane w audit logu
Nieudane próby logowania skutkują tymczasową blokadą
10
Widok na chronione zasoby i przypisane im polityki
11
Zarządzanie listami źródłowych adresów IP
Nazwane listy umożliwią budowę blacklist, whitelist
Dostępne są gotowe grupy geograficzne
12
Zarządzanie regułami w politykach filtrowania
13
Zasada działania – polityki filtrowania
• Polityki ochrony definiują sposób filtrowania ruchu
• Klient tworzy własne polityki
• Polityki przypisywane są do chronionych adresów IP
• Przykład: – zbiór reguł dla serwerów WWW
– zbiór reguł dla koncentratora VPN
– zbiór reguł uniwersalnych (include)
14
Zasada działania – reguły w politykach filtrowania
15
• Polityka to zbiór reguł
• Reguły są konfigurowalne: – IP źródłowe i docelowe
– kryteria geograficzne
– protokół
– port źródłowy i docelowy
– flagi TCP
– ICMP code/type
– inspekcja NTP
– TCP SYN tracking
– tylko jedna reguła (first match) pasuje
• Akcja: drop, rate-limit
• Audyt zmian
Zasada działania – routing
16
Mechanizm włączany „na żądanie” w momencie ataku, wyłączany po ustaniu ataku – decyzja po stronie Klienta (możliwa automatyzacja)
Po włączeniu następuje przekierowanie ruchu przychodzącego do scrubbing centers (przy pomocy BGP)
Zaaplikowanie reguł polityk filtrujących: ACL, rate-limit
Przefiltrowany ruch jest „oddawany” do sieci Klienta przy pomocy tunelu GRE lub dedykowanego łącza w IX
Korzyści
• Przyjazny sposób rozliczania
– korzystanie tylko w razie potrzeby
– wielkość ataku nie ma wpływu na stawkę
• Brak nakładów na dodatkowe łącza i specjalizowany sprzęt
• Łatwość uruchomienia
– brak zmian w sieci klienta
– rozwiązanie niezależne od stosowanych ISP
• Wsparcie zespołu Security Operations Center
– tryb pracy 24/7/365
– analiza trwających ataków
17
Modele wdrożeniowe
Ochrona własnych klientów
• Brak dokładnej znajomości usług klienta, „ogólne” polityki, rate-limity
• Ochrona własnego szkieletu przed przeciążeniem
• Ochrona przed rykoszetem dokładniejsza niż blackholing
18
Ochrona własnych usług
• Konkretne, dobrze znane usługi do ochrony, „ciasne” polityki
• Znajomość profilu użytkownika, skuteczne kryteria geograficzne lub whitelisty
• Niezależność od ISP (multihoming)
redGuardian – behind the scenes
Realizacja techniczna
Sieć
• Zaawansowany przełącznik warstwy 3. z portami 10G i 40G
• Peering BGP z IX-ach oraz z operatorami tranzytowymi
• Pojemność liczona w setkach Gbps, możliwość rozbudowy
20
Platforma PC z autorskim oprogramowaniem
• biblioteka Intel DPDK
• aplikacja pomija system operacyjny i bezpośrednio obsługuje pamięć kart sieciowych, co daje ogromną wydajność (switching line-rate 10Gbps/14.8Mpps na 1 rdzeniu CPU)
Realizacja techniczna
21
acl limiter 1 bw 125000000 network 2 acl drop srctag 15 drop udp sport 123 data u8 0x17 0x37 at 0 data u16 0x032a at 2 drop src 1.1.1.1/32 pass dst 192.168.0.7 tcp dport 443 pass tcp dport 22 flags S/SA limit 1 pass frag not-single drop end network exit 11 gre src 1.2.3.4 dst 10.0.0.66 key 123 mtu 1500 fragment drop
Dziękujemy za uwagę
