Embed Size (px)
DESCRIPTION
Дмитрий Карякин – старший системный инженер компании Juniper Networks – о том, как защитить сеть от DDoS-атак при помощи решений Juniper.
Citation preview
2 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Executive Intro Slide
Защищаем сеть от DDoS-атак,
Карякин Дмитрий Системный инженер [email protected]
3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СОДЕРЖАНИЕ
§ DOS и DDoS атаки
§ Решение Junos DDoS Secure
§ Алгоритм CHARM
§ Демонстрация защиты от DDoS атак
§ Интерфейс управления и конфигурации
4 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
МОТИВЫ DDOS АТАК
Шантаж
“Заплатите, чтобы ваш сайт не переставал работать”
Криминальная активность
Другая активность
Политика / протест
Возмездие и “Потому что могу”
Последний оставшийся
Нанять сторонних лиц, чтобы вывести всех конкурентов и направить весь
трафик на свой сайт
Мгновенное переполнение
Резкое увеличение посещаемости
сайтов легитимными пользователями
Протестные флэшмобы
Координация атаки на государственные
ресурсы с применением
социального медиа
Кибер-война
Угроза для национальной безопасности государства
Хулиганство спортивных фанатов
Фанаты атакуют сайты клубов
соперников с целью нарушения продаж
билетов
Индивидуальные игроки
Подвергаются
атакам со стороны других игроков
Диверсионная завеса
DDoS маскирует хищение данных или другую атаку
5 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ВЕКТОРЫ DDOS АТАК
ОБЪЕМНАЯ ЗАГРУЗКА “VOLUMETRIC”
• Легко обнаруживается
• Размер атак увеличивается
• Частота атак увеличивается умеренными темпами
ПЕРЕГРУЗКА РЕСУРСОВ
• Организованные флэшмобы через социальные медиа
• Преимущественно легитимные запросы в момент крупных событий, имеющие ограниченный период действия.
МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ
“LOW AND SLOW”
• Рост атак значительно быстрее, чем volumetric-атаки – 25% от всех атак в 2013 (источник: Gartner)
• Более сложные и трудно детектируемые
• Целью является слабые стороны back-end инфраструктуры
• Небольшой объем запросов может вывести из строя большой веб-сайт
6 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Blank Slide
Junos DDoS Secure
7 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
РЕШЕНИЕ JUNOS DDOS SECURE
Акцент на доступности сервисов § Конфиденциальность § Целостность § Доступность
Приоритезация клиентов § Дифференцирование между DDoS и перегрузкой
Применение stateful inspection для идентификации сессий и очистки трафика
Технология CHARM
8 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРОБЕЛЫ В ЗАЩИТЕ, КОТОРЫЕ JUNOS DDOS SECURE СПОСОБЕН ЗАКРЫТЬ
Автодетектирование и устранение новых векторов атаки
Защита от атак типа low-and-slow
1
2
9 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ
§ Проверка пакетов на предмет соблюдения RFC
§ Пакеты неправильного формата или неверной последовательности отбрасываются
§ Индивидуальным IP-адресам назначается значение CHARM
§ Значение присваивается на основе поведения IP-источника
Механистический трафик
Низкое значение CHARM
Трафик, которого раньше не было
Среднее значение CHARM
Доверенный трафик, поведение, свойственное человеку
Высокое значение CHARM
10 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ
Доступ зависит от порога CHARM для ресурса
§ Ниже порога – трафик сбрасывается
§ Выше порога – доступ разрешается
§ Минимум ложных срабатываний
Порог CHARM изменяется динамически в зависимости от загрузки ресурса
§ Алгоритм с сохранением состояния проверяет время отклика ресурса
§ Серверные агенты не нужны
Применение политики на основе CHARM
11 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDoS SECURE ПРОХОЖДЕНИЕ ПАКЕТА
Сброс пакета
Таблица поведения IP-адресов
Порог CHARM для ресурса
Сброс пакета
Пакет принят
Синтакси-ческий
Screener
Пока что ОК
Генератор CHARM
Добавлено значение CHARM
CHARM Screener
Packet Exits
Проверка пакета § Проверка через фильтры § Соответствие RFC § Проверка порядка следования § Состояние соединения TCP
1
Вычисление значения CHARM для пакета § Обращается к таблице поведения IP-адресов § Функция времени и поведения § Лучше поведение = лучше CHARM
2
Поведение записано § Поддержка до 64M профайлов
§ Старые профайлы устаревают первыми
3 Вычисление порога CHARM Отклик ресурса
4
Тревога или Сброс § Порог CHARM § Значение CHARM
5
Контроль доступа на основе технологии CHARM
12 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDoS SECURE: УПРАВЛЕНИЕ РЕСУРСАМИ
Время отклика Ресурса 2 начало ухудшаться, JDDoS поднял порог CHARM для ограничения трафика атаки. Легитимный трафик проходит без ограничений, в то время как атакующий начинает полагать, что его атака была успешной, т.к. его запросы не проходят.
Resource 1 Resource 2 Resource 3 Resource ‘N’
Трафик атаки на Ресурс 2 снижается и атака переключается на Ресурс3. Junos DDoS Secure реагирует путем динамического увеличения порога для Ресурса 3 ограничивая трафик атаки
Resource Control
13 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ЭВРИСТИЧЕСКАЯ МИНИМИЗАЦИЯ ПОСЛЕДСТВИЙ
Junos DDoS Secure Эвристический анализ Трафик DDoS атаки PC управления
Легитимный трафик
Трафик DDoS атаки
Легитимный трафик
Ресурсы
Легитимный трафик
14 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРЯМОЕ ПРЕИМУЩЕСТВО: УМЕНЬШЕНИЕ ПОСЛЕДСТВИЙ ПЕРЕПОЛНЕНИЯ HTTP-ЗАПРОСАМИ
CHARM распознает быстрые запросы
страниц и соответственно
снижает значение для пакета
CHARM проактивно защищает от
переполнения SYN-запросами и уменьшает последствия
CHARM проактивно защищает исходящий
канал
Web сервер
Время
Использование
ресурсов
Интернет поток
Легитимные пользователи
A A
A A
A A
A
A A
A A
Z Z
A A
A A
A
A A
A A
Z Z
A A
A A
A
A A
A A
Z A
A A
A A
A
A A
A A
A A
A
A A
A
A
A A
A
A A
A
A A A A
A
A A
A
A A
A
A A
A
A A
Attackers
15 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
CHARM СГЛАЖИВАЕТ ТРАФИК
0
10
20
30
40
50
60
70
80
90
100
Time
Res
ourc
e C
HA
RM
Sca
le %
Defended Traffic
Good Traffic Charm
Attack Traffic Charm
Charm Threshold
Traffic if Undefended
Resource Saturated
Good
Bad
Charm
Scale
16 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
DDOS SECURE: ЗАЩИЩАЕМЫЕ УРОВНИ
Application
Presentation
Sessions
Transport
Network
Data Link
Physical
Application
Transport
Internet Network Access
Physical
Layer 2-4 and Application (http / dns / sip) Protection
17 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ЧТО ЗАЩИЩАЕТ JUNOS DDOS SECURE?
§ Servers § Routers § Firewalls § Load Balancers § NAT § Multiple Gateways, asymmetric routes § URL
18 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПОРТАЛЫ – МУЛЬТИАРЕНДНОСТЬ
Виртуализация внутри Virtual Junos DDoS Secure § Каждый портал защищает определенный набор IP-адресов § Множественная аренда
Пользователи / клиенты имеют возможность управлять только своим порталом
§ Аутентификация § Характеристики сервера § Обзор инцидентов § Статистическая информация § Отчеты по email
19 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
РАЗВЕРТЫВАНИЕ JUNOS DDOS SECURE
Работает как L2 мост § Один двунаправленный путь передачи данных через два сетевых интерфейса
§ Нет IP-адресации на сетевых интерфейсах § Включается в существующий Ethernet сегмент § Нет необходимости переконфигурировать других сетевые устройства
§ При установке время прерывания существующего потока данных не превышает нескольких секунд
Управление - out of band, через третий L3 интерфейс
Поддерживается отказоустойчивая конфигурация § Передача состояния между несколькими устройствами JDDS осуществляется через четвертый интерфейс
20 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРИМЕРЫ РАЗВЕРТЫВАНИЯ
Web сервер
Маршрутизатор Коммутатор
Web сервер
Коммутатор
X
21 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРИМЕР КОМПЛЕКСНОГО РАЗВЕРТЫВАНИЯ
Switch
Web Server
Switch
Router Router Router
Router* Router*
Switch** Switch**
Switch Switch
Web Server
* Firewall
** Load Balancer
22 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDOS SECURE ВАРИАНТЫ РЕАЛИЗАЦИИ
§ 1Gbps Virtual Appliance (ESX и KVM)
§ 10Gbps 1U appliance с функцией обхода при сбое § Оптические порты (10G SR/LR)
§ Медные порты (10M/100M/1G)
§ Оба варианта могут разворачиваться обособленно или в составе Active – Standby пары
§ или Active – Active (Asymmetric Routing)
23 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СПЕЦИФИКАЦИЯ АППАРАТНОЙ ПЛАТФОРМЫ
Характеристика J-DDOS-SEC-AP4 J-DDOS-SEC-AP1 J-DDOS-SEC-AP2 J-DDOS-SEC-AP3
Пропускная способность в каждом направлении
1G 10G
Количество защищаемых IP 64 000 64 000
Количество отслеживаемых IP (v4/v6)
32 000 000 64 000 000
Одновременных ТСР сессий 4 000 000 4 000 000
Скорость установки сессий 750 000 в секунду 750 в секунду
Интерфейсы 1G RJ45 10GBASE-T/ SX / LR
Габариты, высота 1RU 1RU
24 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ОДНО БАЗОВОЕ ШАССИ ЧЕТЫРЕ МОДЕЛИ ПЛАТФОРМЫ
Модели и сетевые адаптеры
Процессор 8 Core Xeon @ 2.9GHz
Память 32GB
HDD 2x300GB 10K RPM SAS, RAID-1
Блок питания 2 шт.
Базовое шасси (все модели)
Модель SKU Сетевые адаптеры 1200-C J-DDOS-SEC-AP4 Два порта 1G RJ45 с обходом
1210-SR J-DDOS-SEC-AP2 Два порта 10GASE-SR с обходом
1210-LR J-DDOS-SEC-AP1 Два порта 10GASE-LR с обходом
1210-TX J-DDOS-SEC-AP3 Два порта 10GASE-T с обходом
Сетевые адаптеры не заменяются Замена с случае выхода из строя (RMA и т.д.)
25 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СХЕМА ЛАБОРАТОРНОГО СТЕНДА
Web сервер
Коммутатор
Злоумышленник Пользователь
Режимы работы: • логирование
• защита
Атаки на веб-сервер: • SYN flood
• HTTP stress test
• Slow-rate HTTP GET
• Slow-rate HTTP POST
• Slow-rate HTTP read
Отклик от веб-сервера: • Время отклика пропорционально количеству одновременных соединений
Junos DDoS Secure
Производит регулярные легитимные запросы на веб-сервер
26 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Blank Slide
ВОПРОСЫ
