Flowmon a F5 spoločne proti DDoS

Rastislav Fukas

Systems Engineer

rastislav.fukas@alef.com

Efektívna ochrana voči DDoS je postavená na prevencii, detekcii a mitigácii.

S príchodom nových IT trendov ako napríklad Internetu vecí (IoT), kde sa zatiaľ nekladie veľký dôraz na zabezpečenie koncových zariadení sa čoraz častejšie začína skloňovať skratka DDoS (Distributed Denial of Service) viď. tiež tento článok. Práve takéto zariadenia, ale aj iné zraniteľnosti protokolov sa čoraz jednoduchšie stávajú prostriedkami na generovanie masívnych DDoS útokov. Potvrdzuje to aj dotazník ARBOR networks, ktorého sa zúčastnilo viac ako 350 bezpečnostných inštitúcii.

Pozn.: Zachytený trend potvrdzuje aj rekordný útok z r. 2016 o sile takmer 1Tbps.

Pri takých masívnych útokoch už nepostačuje lokálna ochrana na strane zákazníka, keďže dochádza k zahlteniu prístupových liniek. Taktiež lokálni ISP s nižšími uplinkovými kapacitami musia riešiť ochranu u svojich dodávateľov internetovej konektivity.

Efektívna ochrana voči DDoS je postavená na prevencii, detekcii a mitigácii

Prevencia

Pri DDoS spočíva prevencia predovšetkým v príprave postupu, ktorý sa bude vykonávať počas útoku (dohoda s upstreamovými poskytovateľmi na signalizácii prefixov pod útokom, príprava detekčných a mitigačných riešení, kontaktovanie zodpovedných organizácií a pod). Proti niektorým typom útokov je účinná aj implementácia odporúčaní podľa RFC2827 (napr. pomocou Reverse Path Forwarding RFP na Cisco smerovačoch)

Detekcia

Najefektívnejším riešením na detekciu DDoS je NETFLOW/IPFIX protokol. Sonda, cez ktorú tečie komunikácia v prípade Cisco smerovačov s podporou NETFLOW (alebo kópia komunikácie v prípade externých Flowmon netflow sond) generuje a posiela netflow data na Flowmon netflow kolektor. Použitie externej Flowmon  sondy „odľahčí“ smerovač od dodatočnej záťaže a poskytuje rýchlejší čas detekcie DDoS (v súčasnosti 30s, plánované 1-ky sekúnd). Flowmon kolektor na základe manuálnych,  alebo adaptívnych thresholdov pre protokoly TCP/UDP/ICMP, alebo In/Out packet rate ratio deteguje DDoS útok a nasleduje mitigácia útoku.

DDoS Defender – zobrazenie detailu útoku

Mitigácia

Cieľom mitigácie je zastaviť, alebo minimalizovať dopad DDoS na zákazníka. Mitigáciu je možné vykonávať na strane ISP, alebo ako bolo vyššie spomenuté u nadradeného ISP (as a Service), poprípade v nadnárodných peeringových centrách (cloud based).

Jednoduchší, ale menej šetrný spôsob mitigácie je priamo blokovať adresy, alebo celé prefixy, ktoré sú pod útokom pomocou BGP Remotely Triggered Black Hole Filtering (RTBH) na hraničných Internetových smerovačoch na smeroch odkiaľ útok prichádza. Po dohode s nadradeným ISP je možné cez BGP tieto informácie signalizovať aj susednému autonómnemu systému (AS) a blokovať signalizované prefixy už tam, čím sa odľahčia uplinkové pripojenia lokálneho ISP. Samotné injektovanie do BGP zabezpečí Flowmon DDoS Defender modul inštalovaný na kolektore.

Ďalšia možnosť reakcie na DDoS útok, je využiť rozšírenie BGP protokolu podľa RFC 5575, BGP flowspec, ktorý umožňuje signalizovať L4 dátové toky s pridelenou akciou (discard, rate-limit ..), ktorú je potrebné vykonať. Flowmon DDoS Defender automaticky po detekcii DDoS útoku takýmto spôsobom injektuje do BGP zoznam agresívnych dátových tokov s príslušnou akciou. Tieto informácie je možné ďalej propagovať na hraničné BGP smerovače, alebo po dohode s nadradeným ISP aj na jeho smerovače a selektívne blokovať, alebo rate limitovať detegované agresívne toky. 

DDOS Mitigácia pomocou BGP flowspec

Podmienkou použitia tejto funkcionality je podpora BGP flowspec aj na samotných smerovačoch. Cisco túto funkcionalitu podporuje napr. na platforme ASR9000.

Jednou z ďalších kategórií riešení DDoS ochrany je použitie scrubingových on-premise (na strane ISP, alebo nadradeného ISP), alebo cloud based riešení, kedy sa celá logika mitigácie presúva na out-of-band systémy. V obidvoch prípadoch sa na presmerovanie tokov využíva BGP protokol, Policy Based Routing, alebo trvalé presmerovanie vybraných prefixov.

Pri on-premise riešení je možné presmerované DDoS toky očistiť na platforme BIG-IP, ktorá sa skladá z viacerých modulov a dokáže blokovať útoky na viacerých vrstvách L3-L7 podľa vektorov útoku.

Pri cloud based riešení je možné použiť F5 cloud-based službu Silverline DDoS Protection, ktorá dokáže detegovať a mitigovať rôzne druhy DDoS útokov o sile stoviek Gbps v reálnom čase. Očistená komunikácie je následne cez tunelovacie mechanizmy presmerovaná do siete zákazníka. Služba Silverline má pokrytie po celom svete s peeringom s Tier 1 operátormi a je nepretržite pod dohľadom F5 security expertov.

Zákazník si môže zvoliť aj kombinované riešenie, podľa požadovaných vlastností a benefitov ktoré jednotlivé scenáre poskytujú. Pre ďalšie informácie sa neváhajte obrátiť na naše obchodné oddelenie.

Promotions