redguardian anty-ddos
TRANSCRIPT
![Page 1: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/1.jpg)
redGuardian usługa ochrony przed atakami DDoS
wykorzystująca autorskie oprogramowanie
www.redguardian.eu
wersja 2015.11.24b
![Page 2: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/2.jpg)
2
Multimedia Smart Grid
Cyberbezpieczeństwo
Phoenix-RTOS Phoenix-PRIME
Hermes
Grupa Kapitałowa Atende Software
![Page 3: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/3.jpg)
Wybrani klienci
http://antyweb.pl/odwiedzilismy-atende-software-to-dzieki-nim-mozecie-ogladac-iple-i-player-pl/
![Page 4: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/4.jpg)
DDoS (Distributed Denial of Service)
![Page 5: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/5.jpg)
Czym jest DDoS?
• Skoordynowany, rozproszony atak na sieć lub system
– Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych komputerów lub innych urządzeń IP (routery, kamery CCTV, drukarki itp.)
– Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu
– Największe ataki wykorzystują zjawisko odbicia i wzmocnienia (DNS, NTP, SSDP)
• Prosty, tani, skuteczny
– Dostępny jako usługa (CaaS), nie trzeba być specjalistą
– Przystępny cenowo
– Cel ataku jest przeciążony i przestaje działać (strona, łącze, systemy)
– Nie wiadomo, kto stoi za atakiem
5
![Page 6: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/6.jpg)
Skala zjawiska
6
źródło: „Cybercrime Exposed”, McAfee whitepaper
Wg obserwacji CERT-ów oraz globalnych dostawców usług bezpieczeństwa, skala zjawiska rośnie rok do roku
• 2013: max. 300Gbps • 2014: max. 400Gbps • 2015Q1: jeden z globalnych dostawców zaobserwował 25
ataków >100Gbps, a typowo 10-60Gbps
![Page 7: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/7.jpg)
Jak się bronić przed atakami DDoS?
• Rozbudowa infrastruktury sieciowej i serwerowej
• Specjalizowane appliance filtrujące ruch
• Wyniesienie części usług do CDN i cloud
• Usługa – przeniesienie obciążenie na podmiot, który ma większą pojemność i jest w stanie odfiltrować atak
7
![Page 8: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/8.jpg)
redGuardian – wprowadzenie
![Page 9: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/9.jpg)
Czym jest redGuardian?
• Rozproszony filtr pakietów o praktycznie nieograniczonej pojemności
• Centra filtrowania (scrubbing centers) uruchomione w kluczowych punktach wymiany ruchu, ochronie podlega sieć minimum /24 (256 adresów IP)
• Wygodny panel do samodzielnego zarządzania usługą
• Możliwość definiowania własnych reguł filtrowania
• Ochrona przed atakami wolumetrycznymi na infrastrukturę (np. NTP reflection, SYN flood, UDP fragments flood)
9
![Page 10: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/10.jpg)
Wygodne zarządzanie przez interfejs webowy
Klient może zakładać wiele kont o różnych uprawnieniach
Wprowadzane zmiany są zapisywane w audit logu
Nieudane próby logowania skutkują tymczasową blokadą
10
![Page 11: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/11.jpg)
Widok na chronione zasoby i przypisane im polityki
11
![Page 12: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/12.jpg)
Zarządzanie listami źródłowych adresów IP
Nazwane listy umożliwią budowę blacklist, whitelist
Dostępne są gotowe grupy geograficzne
12
![Page 13: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/13.jpg)
Zarządzanie regułami w politykach filtrowania
13
![Page 14: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/14.jpg)
Zasada działania – polityki filtrowania
• Polityki ochrony definiują sposób filtrowania ruchu
• Klient tworzy własne polityki
• Polityki przypisywane są do chronionych adresów IP
• Przykład: – zbiór reguł dla serwerów WWW
– zbiór reguł dla koncentratora VPN
– zbiór reguł uniwersalnych (include)
14
![Page 15: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/15.jpg)
Zasada działania – reguły w politykach filtrowania
15
• Polityka to zbiór reguł
• Reguły są konfigurowalne: – IP źródłowe i docelowe
– kryteria geograficzne
– protokół
– port źródłowy i docelowy
– flagi TCP
– ICMP code/type
– inspekcja NTP
– TCP SYN tracking
– tylko jedna reguła (first match) pasuje
• Akcja: drop, rate-limit
• Audyt zmian
![Page 16: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/16.jpg)
Zasada działania – routing
16
Mechanizm włączany „na żądanie” w momencie ataku, wyłączany po ustaniu ataku – decyzja po stronie Klienta (możliwa automatyzacja)
Po włączeniu następuje przekierowanie ruchu przychodzącego do scrubbing centers (przy pomocy BGP)
Zaaplikowanie reguł polityk filtrujących: ACL, rate-limit
Przefiltrowany ruch jest „oddawany” do sieci Klienta przy pomocy tunelu GRE lub dedykowanego łącza w IX
![Page 17: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/17.jpg)
Korzyści
• Przyjazny sposób rozliczania
– korzystanie tylko w razie potrzeby
– wielkość ataku nie ma wpływu na stawkę
• Brak nakładów na dodatkowe łącza i specjalizowany sprzęt
• Łatwość uruchomienia
– brak zmian w sieci klienta
– rozwiązanie niezależne od stosowanych ISP
• Wsparcie zespołu Security Operations Center
– tryb pracy 24/7/365
– analiza trwających ataków
17
![Page 18: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/18.jpg)
Modele wdrożeniowe
Ochrona własnych klientów
• Brak dokładnej znajomości usług klienta, „ogólne” polityki, rate-limity
• Ochrona własnego szkieletu przed przeciążeniem
• Ochrona przed rykoszetem dokładniejsza niż blackholing
18
Ochrona własnych usług
• Konkretne, dobrze znane usługi do ochrony, „ciasne” polityki
• Znajomość profilu użytkownika, skuteczne kryteria geograficzne lub whitelisty
• Niezależność od ISP (multihoming)
![Page 19: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/19.jpg)
redGuardian – behind the scenes
![Page 20: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/20.jpg)
Realizacja techniczna
Sieć
• Zaawansowany przełącznik warstwy 3. z portami 10G i 40G
• Peering BGP z IX-ach oraz z operatorami tranzytowymi
• Pojemność liczona w setkach Gbps, możliwość rozbudowy
20
Platforma PC z autorskim oprogramowaniem
• biblioteka Intel DPDK
• aplikacja pomija system operacyjny i bezpośrednio obsługuje pamięć kart sieciowych, co daje ogromną wydajność (switching line-rate 10Gbps/14.8Mpps na 1 rdzeniu CPU)
![Page 21: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/21.jpg)
Realizacja techniczna
21
acl limiter 1 bw 125000000 network 2 acl drop srctag 15 drop udp sport 123 data u8 0x17 0x37 at 0 data u16 0x032a at 2 drop src 1.1.1.1/32 pass dst 192.168.0.7 tcp dport 443 pass tcp dport 22 flags S/SA limit 1 pass frag not-single drop end network exit 11 gre src 1.2.3.4 dst 10.0.0.66 key 123 mtu 1500 fragment drop
![Page 22: redGuardian Anty-DDoS](https://reader033.vdocuments.net/reader033/viewer/2022052709/58ade1011a28abeb2e8b4a69/html5/thumbnails/22.jpg)
Dziękujemy za uwagę