PLNOG 13: Przemysław Kolasa: Lifesize – Cloud video Conferences
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej /...
description
Transcript of PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej /...
Agenda
- Kilka przykładów ataków, czyli mamy problem
- Nie wszyscy na sali to eksperci
- Wielkość ataków (2014)
- „Jak nie upaść podczas tańca” - podpowiedzi techniczne, jak sobie z tym problemem próbujemy radzić
2014…
ACTA (2012)
21 stycznia 2012, 22:29 UTC + 01:00, Polska
7 maja 2013, 11:20 UTC + 01:00, Legnica, Polska
2014…
NA CZYM TO POLEGA...
ISP1
ISP2
ISPn
ISP
PRZECIĄŻENIEWYSYCENIE
ODMOWA SERWISU
PRZECIĄŻENIE
WARTO ROZUMIEĆ TERMINY:- IP SPOOFING- BOTNET- KONTROLER BOTNETU- AMPLIFIKACJA
7
2010 2011 2012
WIELKOŚĆ ATAKU
50
100
150
200
250
300
350
400
300+
2013
źródło Arbor Networks
2014
400+Gb/s
Notowane max wielkości ataków DDoS
8
źródło Arbor Networks
POL208 Gb/s
38 minut
Raport aktywności ataków
9
źródło Arbor Networks
Raport aktywności ataków
89 Gb/s21 godzin POL
Czy zatem jesteśmy bezradni?
(dekalog operatora telekomunikacyjnego w zakresie
ochrony DDoS)
Po pierwsze: obserwujemy sieć i monitorujemy ataki, reagujemy
na bieżąco
Orange Security Operations Center
24/7/365SIEM/NBAD/Arbor
TP CERT
Po drugie:
Trzeba znać swoje słabe strony i mieć świadomość limitów infrastruktury
Przeprowadzać cyklicznie stress-testy newralgicznych komponentów infrastruktury
Przeprowadzamy testy na życzenie i w porozumieniu z zainteresowanymi klientami
Na zdjęciach próbniki Spirent (jeden z nich podłączony do szkieletu TPNET z Security LAB linkami 10Gbit/s)
Po trzecie:Operatorzy operatorom zgotowali
ten los!
Zapoznajcie się z BCP38 i 84 (RFC 2827 i 3704)
Filtrujcie spoofy! Dbajcie o aktualność RIPE-DB
Właściwie konfigurujcie urządzeniaOgraniczcie ilość usług
powszechnych
Po czwarte:Ataki są generowane przez zarażone stacji
naszych użytkowników!
Operator telekomunikacyjny jest współodpowiedzialny za bezpieczeństwo
klientów, ich komputerów i sieci!
Blokujmy porty windowsowe, filtrujmy malware, oferujmy rozwiązania AV/PF w pakietach usług dla naszych klientów,
monitorujmy sieci usługowe i reagujmy na problemy bezpieczeństwa naszych
abonentów!
Casus: błąd w oprogramowaniu modemów DSL
Po piąte:Tępimy Botnety!
Uruchom i wykorzystuj w sieci mechanizmy typu blackholing (null route)
Monitoruj sieć, blokuj zarówno znalezione samemu kontrolery botnetów, jak i adresy
IP na podstawie zaufanych źródeł informacji (podpisz umowy o współpracy z
dostawcami takiego kontentu!)
Po szóste:Pojemność i rozproszenie!
Perspektywa ataków DDoS paradoksalnie może poprawić jakość działania sieci i dostępność
usług: najlepszą metodą obrony przed atakami DDoS jest rozpraszanie treści (anycast, CDN,
SecureDNS)
Zwiększanie pojemności sieci jest skuteczną metodą obrony, o ile dysponujemy
nieograniczonymi zasobami finansowymi; jednakże utrzymywanie rozsądnego zapasu
(Orange ma zapas w sieci, zamiast overbookingu!) jest skuteczną formą obrony
Należy stosować dywersyfikację na każdym poziomie planowania sieci – w tym połączeń zewnętrznych. Wszelkiego rodzaju IX węzły wymiany ruchu) zwiększają naszą szansę na
przetrwanie
Po siódme:Filtrowanie ataków!
Chronimy główne łącza zewnętrzne i infrastrukturę klientów
Warianty rozwiązań: in-line i off-ramp
Przykładowe rozwiązania: Arbor, A10, Radware, Fortinet,
CheckPoint
Orange posiada infrastrukturę do a) ochrony sieci oraz do b)
świadczenia odpłatnych usług premium z ochroną Anty-DDoS (np.
dla sektora finansowego)
Po ósme:Dostawca treści nie zawsze musi wystawiać
kontent na swoich łączach! (ale uwaga na serwisy transakcyjne)
Dwa warianty rozwiązań:
1) CDN2) Proxy
Oba warianty możliwe do zastosowania w sieci Orange, według upodobań i potrzeb
Światowi liderzy np: CloudFlare, Prolexic, Akamai, ...
Po dziewiąte:Wykorzystujmy dostępne na rynku środki
akceleracji, filtrowania na poziomie aplikacji i rate-limitów
One-connectConnection persistance
Limity sesjiLimity na poziomie aplikacji
Buforowanie, cacheingStos TCP/IP zoptymalizowany pod
nadawcę/odbiorcęAkceleracja sprzętowa SSL
...
Główne serwisy Orange są chronione przez urządzenia Viprion
Analogiczne rozwiązania oferujemy naszym klientom
Po dziesiąte:Pracujmy ciągle nad wzbogacaniem sieci
usługowych o rozwiązania bezpieczeństwa
FlowspecKarty off-ramp do urządzeń sieciowychDoposażenie sieci w rozwiązania in-line
DNSSec
W perspektywie kilku lat prawdopodobnie każdy router czy dowolne inne urządzenie sieciowe
będzie wyposażone w dedykowane komponenty związane z bezpieczeństwem, które będą
stanowiły istotną część wartości tego urządzenia i całej sieci
Dziękuję