![Page 2: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/2.jpg)
Agenda
- Kilka przykładów ataków, czyli mamy problem
- Nie wszyscy na sali to eksperci
- Wielkość ataków (2014)
- „Jak nie upaść podczas tańca” - podpowiedzi techniczne, jak sobie z tym problemem próbujemy radzić
![Page 3: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/3.jpg)
2014…
![Page 4: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/4.jpg)
ACTA (2012)
21 stycznia 2012, 22:29 UTC + 01:00, Polska
![Page 5: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/5.jpg)
7 maja 2013, 11:20 UTC + 01:00, Legnica, Polska
2014…
![Page 6: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/6.jpg)
NA CZYM TO POLEGA...
ISP1
ISP2
ISPn
ISP
PRZECIĄŻENIEWYSYCENIE
ODMOWA SERWISU
PRZECIĄŻENIE
WARTO ROZUMIEĆ TERMINY:- IP SPOOFING- BOTNET- KONTROLER BOTNETU- AMPLIFIKACJA
![Page 7: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/7.jpg)
7
2010 2011 2012
WIELKOŚĆ ATAKU
50
100
150
200
250
300
350
400
300+
2013
źródło Arbor Networks
2014
400+Gb/s
Notowane max wielkości ataków DDoS
![Page 8: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/8.jpg)
8
źródło Arbor Networks
POL208 Gb/s
38 minut
Raport aktywności ataków
![Page 9: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/9.jpg)
9
źródło Arbor Networks
Raport aktywności ataków
89 Gb/s21 godzin POL
![Page 10: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/10.jpg)
Czy zatem jesteśmy bezradni?
(dekalog operatora telekomunikacyjnego w zakresie
ochrony DDoS)
![Page 11: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/11.jpg)
Po pierwsze: obserwujemy sieć i monitorujemy ataki, reagujemy
na bieżąco
Orange Security Operations Center
24/7/365SIEM/NBAD/Arbor
TP CERT
![Page 12: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/12.jpg)
Po drugie:
Trzeba znać swoje słabe strony i mieć świadomość limitów infrastruktury
Przeprowadzać cyklicznie stress-testy newralgicznych komponentów infrastruktury
Przeprowadzamy testy na życzenie i w porozumieniu z zainteresowanymi klientami
Na zdjęciach próbniki Spirent (jeden z nich podłączony do szkieletu TPNET z Security LAB linkami 10Gbit/s)
![Page 13: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/13.jpg)
Po trzecie:Operatorzy operatorom zgotowali
ten los!
Zapoznajcie się z BCP38 i 84 (RFC 2827 i 3704)
Filtrujcie spoofy! Dbajcie o aktualność RIPE-DB
Właściwie konfigurujcie urządzeniaOgraniczcie ilość usług
powszechnych
![Page 14: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/14.jpg)
Po czwarte:Ataki są generowane przez zarażone stacji
naszych użytkowników!
Operator telekomunikacyjny jest współodpowiedzialny za bezpieczeństwo
klientów, ich komputerów i sieci!
Blokujmy porty windowsowe, filtrujmy malware, oferujmy rozwiązania AV/PF w pakietach usług dla naszych klientów,
monitorujmy sieci usługowe i reagujmy na problemy bezpieczeństwa naszych
abonentów!
Casus: błąd w oprogramowaniu modemów DSL
![Page 15: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/15.jpg)
Po piąte:Tępimy Botnety!
Uruchom i wykorzystuj w sieci mechanizmy typu blackholing (null route)
Monitoruj sieć, blokuj zarówno znalezione samemu kontrolery botnetów, jak i adresy
IP na podstawie zaufanych źródeł informacji (podpisz umowy o współpracy z
dostawcami takiego kontentu!)
![Page 16: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/16.jpg)
Po szóste:Pojemność i rozproszenie!
Perspektywa ataków DDoS paradoksalnie może poprawić jakość działania sieci i dostępność
usług: najlepszą metodą obrony przed atakami DDoS jest rozpraszanie treści (anycast, CDN,
SecureDNS)
Zwiększanie pojemności sieci jest skuteczną metodą obrony, o ile dysponujemy
nieograniczonymi zasobami finansowymi; jednakże utrzymywanie rozsądnego zapasu
(Orange ma zapas w sieci, zamiast overbookingu!) jest skuteczną formą obrony
Należy stosować dywersyfikację na każdym poziomie planowania sieci – w tym połączeń zewnętrznych. Wszelkiego rodzaju IX węzły wymiany ruchu) zwiększają naszą szansę na
przetrwanie
![Page 17: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/17.jpg)
Po siódme:Filtrowanie ataków!
Chronimy główne łącza zewnętrzne i infrastrukturę klientów
Warianty rozwiązań: in-line i off-ramp
Przykładowe rozwiązania: Arbor, A10, Radware, Fortinet,
CheckPoint
Orange posiada infrastrukturę do a) ochrony sieci oraz do b)
świadczenia odpłatnych usług premium z ochroną Anty-DDoS (np.
dla sektora finansowego)
![Page 18: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/18.jpg)
Po ósme:Dostawca treści nie zawsze musi wystawiać
kontent na swoich łączach! (ale uwaga na serwisy transakcyjne)
Dwa warianty rozwiązań:
1) CDN2) Proxy
Oba warianty możliwe do zastosowania w sieci Orange, według upodobań i potrzeb
Światowi liderzy np: CloudFlare, Prolexic, Akamai, ...
![Page 19: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/19.jpg)
Po dziewiąte:Wykorzystujmy dostępne na rynku środki
akceleracji, filtrowania na poziomie aplikacji i rate-limitów
One-connectConnection persistance
Limity sesjiLimity na poziomie aplikacji
Buforowanie, cacheingStos TCP/IP zoptymalizowany pod
nadawcę/odbiorcęAkceleracja sprzętowa SSL
...
Główne serwisy Orange są chronione przez urządzenia Viprion
Analogiczne rozwiązania oferujemy naszym klientom
![Page 20: PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange](https://reader036.vdocuments.net/reader036/viewer/2022062320/55933ac71a28ab012d8b469e/html5/thumbnails/20.jpg)
Po dziesiąte:Pracujmy ciągle nad wzbogacaniem sieci
usługowych o rozwiązania bezpieczeństwa
FlowspecKarty off-ramp do urządzeń sieciowychDoposażenie sieci w rozwiązania in-line
DNSSec
W perspektywie kilku lat prawdopodobnie każdy router czy dowolne inne urządzenie sieciowe
będzie wyposażone w dedykowane komponenty związane z bezpieczeństwem, które będą
stanowiły istotną część wartości tego urządzenia i całej sieci