Mitigácia DDoS útokov – Emergency onboarding

Marek Zacharda

Systems Engineer, F5

marek.zacharda@alef.com

Okamžitá mitigácia DDoS útokov pre ochranu vašej siete a aplikácií.

Frekvencia útokov DDoS (Distributed Denial of Service) sa naďalej zvyšuje či už vo veľkosti alebo sofistikovanosti.  Útočníci majú rôzne zariadenia a mechanizmy na spustenie obrovských objemov dat na cieľ a prekonanie existujúcej ochrany a  kapacity siete. Zlomyseľní aktéri, ktorí spustia útoky DDoS, môžu použiť vektory útokov ako dymové clony na zahmlenie iných, závažnejších útokov zameraných na konkrétne aplikácie, ku ktorým pristupujú legitímni účastníci.

Zákazníci, ktorí prevádzkujú siete a aplikácie na internete, musia zohľadniť útoky DDoS vo svojich plánoch obnovy a kontinuity podnikania.  Úspešne vykonaný masívny, volumetrický DDoS útok, zameraný na brány, smerovače, internetové podsiete a celkovú kapacitu šírky pásma zákazníka, pôsobý, že sieť bude pre účastníkov nedostupná. Samotný útok môže trvať niekoľko minút alebo môže trvať aj niekoľko dní v závislosti od motivácie, finančných prostriedkov a efektívnosti útočníka.  Tieto typy útokov neumožnia bežným zákazníkom prevádzkovať a obchodovať s kritickými aplikáciami, čo spôsobí výrazný pokles príjmov, poškodenie dobrej značky a zvýšenie prevádzkových nákladov v dôsledku úsilia potrebného na zmiernenie útoku.

Obrázok 1: Plánovanie kontinuity činností a obnovy DDoS

Okamžitá reakcia na útoky DDoS

Dobrá príprava organizácie je kľúčom ku rýchlej reakcií na útok a jeho mitigácií. Minimalizujú sa tým poténciálne výpadky.

Dôležitým faktorom v prípade nasadenia DDOS ochrany od F5 je potrebné aby zákazník umožnil F5 XC prievziať príjem prevádzy z internetu a následne očistenú prevádzku z internetu smerom ku zákaznickému smerovaču. Aby to bolo možné urobiť rýchlo, zákazníci by mali dôkladne porozumieť svojej sieti a mali by byť pripravení poskytnúť Emergency tímu potrebné informácie k ROUTED DDOS - PROVISIONING DATA uvedené pod týmto textom:

Zákazníci nemusia mať prístup k týmto údajom okamžite a F5 urobí všetko pre to, aby vykonal núdzový onboarding s aktuálnymi poskytnutými údajmi, avšak nasadenie môže byť obmedzené, ak nie sú k dispozícii minimálne kľúčové parametre.

ROUTED DDOS PROVISIONING DATA - Toto od vás potrebujeme

  • Splnomocnenie (LOA)
  • Počet zákazníckych dátových centier
  • Fyzická adresa dátového centra
  • Počet zákazníckych smerovačov
  • Číslo autonómneho systému zákazníka (ASN)
  • Zákaznícky AS-SET
  • Zákazníkom vlastnené a prevádzkované predpony CIDR (podsiete)
  • 95-ty Percentil zákazníka – spotreba šírky pásma v Mbps
  • Zákazníkom preferovaný spôsob obsluhy a správy
  • Nastavenia automatickej mitigácie
  • Rozšírené nastavenia mitigačných rizík
  • Metóda spätnej prevádzky k zákazníkovi
  • Internetoví operátori
  • Monitorovanie lokálneho smerovača
  • Authoritative Internet Routing Registry
  • Povolenia na pôvod trasy (ROA)
  • Reťazce komunity
  • Predradenú AS-Path
  • Preferencia trasy
  • LACP
  • Rýchlosť LACP

*Zákazníci musia vyhodnotiť svoje potenciálne útočné plochy a pochopiť svoje zraniteľnosti DDoS, ktoré by ich ohrozili

NÚDZOVÝ ONBOARDING

F5 Distributed Cloud DDoS Mitigation - Emergency Onboarding tím bude koordinovať prvý hovor so zákazníkom, aby:

  1. Preskúmal infraštruktúru zákazníka
  2. Získal čo najviac informácií o povahe útoku a určil priority mitigácie
  3. Zhromaždil údaje potrebné na nastavenie nástrojov na zmiernenie útoku
  4. Mitigoval útok

Po mitigácií útoku môžu zákazníci zostať na platforme F5 XC. Následne sa formalizuje záväzok služby.

REALIZÁCIA ONBOARDINGU

V rámci ochrany pred útokom bude prevedeny nasledujúci pracovný postup:

Konfiguračné údaje a špecifikácie projektu

Tím F5 Emergency onboardingu bude spolupracovať so zákazníckym projektovým manažérom a technickým realizačným tímom na nasadení riešenia nasledujúcim spôsobom:

Zákazníci musia F5 odoslať nasledujúce informácie pre onboarding tím:

  • Splnomocnenie na oznámenie sieťových prefixou
  • Zoznam všetkých čísel autonómnych systémov, ktoré sa majú chrániť (BGP)
  • Zoznam predpôn CIDR na ochranu
  • Zoznam všetkých smerovačov na ochranu
  • Fyzické umiestnenie smerovačov a dátových centier
  • Povolenia na pôvod trasy (ROA)
  • Cesta čísla autonómneho systému (ASN)
  • Inzerované komunity (Community String)
  • Hodnoty miestnych preferencií zákazníka (Local preference)
  • Výber preferencií trasy
  • Potvrdiť model nasadenia: Always On - Always Available
  • Potvrďte preferenciu návratu čistej premávky: GRE / Direct peering
  • Pre tunelové konfigurácie uveďte preferovanú veľkosť MTU
  • Tím F5 poskytne pre tunely dosah /31 (IPv4) a /127 (IPv6)
  • Potvrdiť, či sa bude FlowSpec používať na monitorovanie miestnej prevádzky

Špecifikácia projektu - F5 Onboarding Tím:

  • Vytvorenie objektov predpony ASN, AS-SET (voliteľné) a CIDR v prevádzke
  • Vytvorenie tunelov a/alebo priamých spojení. (Zákazník musí pre ukončenie tunela zvoliť Regional Edge)
  • Overenie, či sú trasy zaregistrované v autoritatívnom IRR na propagáciu sieťových blokov
  • Onboardingový tím naprogramuje komunitné reťazce / Predradenú AS-Path  / Výber preferenovanej trasy
  • Zákazník definuje lokálne preferenčné hodnoty pre smerovače vo svojich dátových centrách
  • Zákazník poskytne BGP peer tajomstvo F5 onboardingovému tímu
  • Onboardingový tím aktivuje koncové body tunela / súkromných liniek / eBGP
  • Zákazník otestuje a overí integritu tunelov/súkromných liniek/eBGP (Všetky oznámenia trás budú zamietnuté F5)
  • Zákaznícky a onboarding tím vyberie trasu na oznámenie a propagáciu.
  • Zákazník a onboardingový tím potvrdí, že trasa bola oznámená a neexistujú žiadne úniky trás.
  • Zákazník a onboardingový tím otestuje a potvrdí, že prevádzka prichádza a mitiguje útoky
  • Onboardingový tím skontroluje DDoS upozornenia, udalosti, dashboard, export protokolov, Auto/Pokročilá mitigácia, denné prehľady.

PRECHOD ZÁKAZNÍKA NA ZMLUVNÉ SLUŽBY – TÍMY SECURITY OPERATION CENTER (SOC) A CUSTOMER SUCCESS MANAGER (CSM)

Po ukončení a zmitigovaní útoku budú zákazníci spolupracovať s tímami SOC a CSM na dokončení zostávajúcich úloh riadenia a zabezpečenia. Cieľom je zabezpečiť, aby mali zákazníci jasnú cestu eskalácie a vedeli, ako zapojiť podporu SOC/CSM do akýchkoľvek prebiehajúcich úloh.

Video - Mitigácia DDoS útokov – Emergency onboarding

F5 ARCHITEKTÚRA ZMIERŇOVANIA NÁSLEDKOV DISTRIBUOVANÉHO CLOUDOVÉHO DDOS

Architektúra nižšie zobrazuje potenciálne nasadenie u zákazníkov.  Po oznámení trás prostredníctvom F5 XC bude všetka prevádzka presmerovaná cez čistiace centrá, aby sa útok zmitigoval.  Očisté spojenie sa následne vráti cez tunely GRE alebo prostredníctvom priamych spojení.

Ak sa chcete dozvedieť viac, kontaktujte zástupcu F5 Jakub Sumpich +420736750117 a následne F5 SOC:  +420296182778 alebo navštívte f5.com/attack.

V prípade ak sa chcete dozvedieť viac o procese, neváhajte nás kontaktovať.

kontaktujte nás