SlideShare a Scribd company logo

redGuardian Anty-DDoS

Redge Technologies
Redge Technologies

Prezentacja usługi redGuardian Anty-DDoS, wygłoszona podczas konferencji KIKE, listopad 2015 r.

Software
1 of 22
Download to read offline
redGuardian usługa ochrony przed atakami DDoS wykorzystująca autorskie oprogramowanie www.redguardian.eu wersja 2015.11.24b
2 Multimedia Smart Grid Cyberbezpieczeństwo Phoenix-RTOS Phoenix-PRIME Hermes Grupa Kapitałowa Atende Software
Wybrani klienci http://antyweb.pl/odwiedzilismy-atende-software-to-dzieki-nim-mozecie-ogladac-iple-i-player-pl/
DDoS (Distributed Denial of Service)
Czym jest DDoS? • Skoordynowany, rozproszony atak na sieć lub system – Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych komputerów lub innych urządzeń IP (routery, kamery CCTV, drukarki itp.) – Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu – Największe ataki wykorzystują zjawisko odbicia i wzmocnienia (DNS, NTP, SSDP) • Prosty, tani, skuteczny – Dostępny jako usługa (CaaS), nie trzeba być specjalistą – Przystępny cenowo – Cel ataku jest przeciążony i przestaje działać (strona, łącze, systemy) – Nie wiadomo, kto stoi za atakiem 5
Skala zjawiska 6 źródło: „Cybercrime Exposed”, McAfee whitepaper Wg obserwacji CERT-ów oraz globalnych dostawców usług bezpieczeństwa, skala zjawiska rośnie rok do roku • 2013: max. 300Gbps • 2014: max. 400Gbps • 2015Q1: jeden z globalnych dostawców zaobserwował 25 ataków >100Gbps, a typowo 10-60Gbps
Jak się bronić przed atakami DDoS? • Rozbudowa infrastruktury sieciowej i serwerowej • Specjalizowane appliance filtrujące ruch • Wyniesienie części usług do CDN i cloud • Usługa – przeniesienie obciążenie na podmiot, który ma większą pojemność i jest w stanie odfiltrować atak 7
redGuardian – wprowadzenie
Czym jest redGuardian? • Rozproszony filtr pakietów o praktycznie nieograniczonej pojemności • Centra filtrowania (scrubbing centers) uruchomione w kluczowych punktach wymiany ruchu, ochronie podlega sieć minimum /24 (256 adresów IP) • Wygodny panel do samodzielnego zarządzania usługą • Możliwość definiowania własnych reguł filtrowania • Ochrona przed atakami wolumetrycznymi na infrastrukturę (np. NTP reflection, SYN flood, UDP fragments flood) 9
Wygodne zarządzanie przez interfejs webowy Klient może zakładać wiele kont o różnych uprawnieniach Wprowadzane zmiany są zapisywane w audit logu Nieudane próby logowania skutkują tymczasową blokadą 10
Widok na chronione zasoby i przypisane im polityki 11
Zarządzanie listami źródłowych adresów IP Nazwane listy umożliwią budowę blacklist, whitelist Dostępne są gotowe grupy geograficzne 12
Zarządzanie regułami w politykach filtrowania 13
Zasada działania – polityki filtrowania • Polityki ochrony definiują sposób filtrowania ruchu • Klient tworzy własne polityki • Polityki przypisywane są do chronionych adresów IP • Przykład: – zbiór reguł dla serwerówWWW – zbiór reguł dla koncentratoraVPN – zbiór reguł uniwersalnych (include) 14
Zasada działania – reguły w politykach filtrowania 15 • Polityka to zbiór reguł • Reguły są konfigurowalne: – IP źródłowe i docelowe – kryteria geograficzne – protokół – port źródłowy i docelowy – flagiTCP – ICMP code/type – inspekcja NTP – TCP SYN tracking – tylko jedna reguła (first match) pasuje • Akcja: drop, rate-limit • Audyt zmian
Zasada działania – routing 16 Mechanizm włączany „na żądanie” w momencie ataku, wyłączany po ustaniu ataku – decyzja po stronie Klienta (możliwa automatyzacja) Po włączeniu następuje przekierowanie ruchu przychodzącego do scrubbing centers (przy pomocy BGP) Zaaplikowanie reguł polityk filtrujących:ACL, rate-limit Przefiltrowany ruch jest „oddawany” do sieci Klienta przy pomocy tunelu GRE lub dedykowanego łącza w IX
Korzyści • Przyjazny sposób rozliczania – korzystanie tylko w razie potrzeby – wielkość ataku nie ma wpływu na stawkę • Brak nakładów na dodatkowe łącza i specjalizowany sprzęt • Łatwość uruchomienia – brak zmian w sieci klienta – rozwiązanie niezależne od stosowanych ISP • Wsparcie zespołu Security Operations Center – tryb pracy 24/7/365 – analiza trwających ataków 17
Modele wdrożeniowe Ochrona własnych klientów • Brak dokładnej znajomości usług klienta, „ogólne” polityki, rate- limity • Ochrona własnego szkieletu przed przeciążeniem • Ochrona przed rykoszetem dokładniejsza niż blackholing 18 Ochrona własnych usług • Konkretne, dobrze znane usługi do ochrony, „ciasne” polityki • Znajomość profilu użytkownika, skuteczne kryteria geograficzne lub whitelisty • Niezależność od ISP (multihoming)
redGuardian – behind the scenes
Realizacja techniczna Sieć • Zaawansowany przełącznik warstwy 3. z portami 10G i 40G • Peering BGP z IX-ach oraz z operatorami tranzytowymi • Pojemność liczona w setkach Gbps, możliwość rozbudowy 20 Platforma PC z autorskim oprogramowaniem • biblioteka Intel DPDK • aplikacja pomija system operacyjny i bezpośrednio obsługuje pamięć kart sieciowych, co daje ogromną wydajność (switching line-rate 10Gbps/14.8Mpps na 1 rdzeniu CPU)
Realizacja techniczna 21 acl limiter 1 bw 125000000 network 2 acl drop srctag 15 drop udp sport 123 data u8 0x17 0x37 at 0 data u16 0x032a at 2 drop src 1.1.1.1/32 pass dst 192.168.0.7 tcp dport 443 pass tcp dport 22 flags S/SA limit 1 pass frag not-single drop end network exit 11 gre src 1.2.3.4 dst 10.0.0.66 key 123 mtu 1500 fragment drop
Dziękujemy za uwagę

Recommended

Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Pavel Odintsov
 
An Introduction to BGP Flow Spec
An Introduction to BGP Flow SpecAn Introduction to BGP Flow Spec
An Introduction to BGP Flow Spec
ShortestPathFirst
 
DDoS Mitigation Tools and Techniques
DDoS Mitigation Tools and TechniquesDDoS Mitigation Tools and Techniques
DDoS Mitigation Tools and Techniques
Babak Farrokhi
 
Nanog66 vicente de luca fast netmon
Nanog66 vicente de luca fast netmonNanog66 vicente de luca fast netmon
Nanog66 vicente de luca fast netmon
Pavel Odintsov
 
Keeping your rack cool
Keeping your rack cool Keeping your rack cool
Keeping your rack cool
Pavel Odintsov
 
DeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSDeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPS
Pavel Odintsov
 
Lekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flLekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_fl
Pavel Odintsov
 
redGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solutionredGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solution
Redge Technologies
 

Recommended

Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Pavel Odintsov
 
An Introduction to BGP Flow Spec
An Introduction to BGP Flow SpecAn Introduction to BGP Flow Spec
An Introduction to BGP Flow Spec
ShortestPathFirst
 
DDoS Mitigation Tools and Techniques
DDoS Mitigation Tools and TechniquesDDoS Mitigation Tools and Techniques
DDoS Mitigation Tools and Techniques
Babak Farrokhi
 
Nanog66 vicente de luca fast netmon
Nanog66 vicente de luca fast netmonNanog66 vicente de luca fast netmon
Nanog66 vicente de luca fast netmon
Pavel Odintsov
 
Keeping your rack cool
Keeping your rack cool Keeping your rack cool
Keeping your rack cool
Pavel Odintsov
 
DeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSDeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPS
Pavel Odintsov
 
Lekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flLekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_fl
Pavel Odintsov
 
redGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solutionredGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solution
Redge Technologies
 
[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)
Redge Technologies
 
BGP zombie routes
BGP zombie routesBGP zombie routes
BGP zombie routes
Redge Technologies
 
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
Redge Technologies
 
BGP hijacks and leaks
BGP hijacks and leaksBGP hijacks and leaks
BGP hijacks and leaks
Redge Technologies
 
Stress your DUT
Stress your DUTStress your DUT
Stress your DUT
Redge Technologies
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Redge Technologies
 
Spy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platformSpy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platform
Redge Technologies
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?
Redge Technologies
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
Redge Technologies
 
Na froncie walki z DDoS
Na froncie walki z DDoSNa froncie walki z DDoS
Na froncie walki z DDoS
Redge Technologies
 
100 M pps on PC.
100 M pps on PC.100 M pps on PC.
100 M pps on PC.
Redge Technologies
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego.
Redge Technologies
 

More Related Content

More from Redge Technologies

More from Redge Technologies (12)

[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)
 
BGP zombie routes
BGP zombie routesBGP zombie routes
BGP zombie routes
 
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
 
BGP hijacks and leaks
BGP hijacks and leaksBGP hijacks and leaks
BGP hijacks and leaks
 
Stress your DUT
Stress your DUTStress your DUT
Stress your DUT
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
 
Spy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platformSpy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platform
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
 
Na froncie walki z DDoS
Na froncie walki z DDoSNa froncie walki z DDoS
Na froncie walki z DDoS
 
100 M pps on PC.
100 M pps on PC.100 M pps on PC.
100 M pps on PC.
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego.
 

redGuardian Anty-DDoS

  • 1. redGuardian usługa ochrony przed atakami DDoS wykorzystująca autorskie oprogramowanie www.redguardian.eu wersja 2015.11.24b
  • 5. Czym jest DDoS? • Skoordynowany, rozproszony atak na sieć lub system – Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych komputerów lub innych urządzeń IP (routery, kamery CCTV, drukarki itp.) – Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu – Największe ataki wykorzystują zjawisko odbicia i wzmocnienia (DNS, NTP, SSDP) • Prosty, tani, skuteczny – Dostępny jako usługa (CaaS), nie trzeba być specjalistą – Przystępny cenowo – Cel ataku jest przeciążony i przestaje działać (strona, łącze, systemy) – Nie wiadomo, kto stoi za atakiem 5
  • 6. Skala zjawiska 6 źródło: „Cybercrime Exposed”, McAfee whitepaper Wg obserwacji CERT-ów oraz globalnych dostawców usług bezpieczeństwa, skala zjawiska rośnie rok do roku • 2013: max. 300Gbps • 2014: max. 400Gbps • 2015Q1: jeden z globalnych dostawców zaobserwował 25 ataków >100Gbps, a typowo 10-60Gbps
  • 7. Jak się bronić przed atakami DDoS? • Rozbudowa infrastruktury sieciowej i serwerowej • Specjalizowane appliance filtrujące ruch • Wyniesienie części usług do CDN i cloud • Usługa – przeniesienie obciążenie na podmiot, który ma większą pojemność i jest w stanie odfiltrować atak 7
  • 9. Czym jest redGuardian? • Rozproszony filtr pakietów o praktycznie nieograniczonej pojemności • Centra filtrowania (scrubbing centers) uruchomione w kluczowych punktach wymiany ruchu, ochronie podlega sieć minimum /24 (256 adresów IP) • Wygodny panel do samodzielnego zarządzania usługą • Możliwość definiowania własnych reguł filtrowania • Ochrona przed atakami wolumetrycznymi na infrastrukturę (np. NTP reflection, SYN flood, UDP fragments flood) 9
  • 10. Wygodne zarządzanie przez interfejs webowy Klient może zakładać wiele kont o różnych uprawnieniach Wprowadzane zmiany są zapisywane w audit logu Nieudane próby logowania skutkują tymczasową blokadą 10
  • 11. Widok na chronione zasoby i przypisane im polityki 11
  • 12. Zarządzanie listami źródłowych adresów IP Nazwane listy umożliwią budowę blacklist, whitelist Dostępne są gotowe grupy geograficzne 12
  • 13. Zarządzanie regułami w politykach filtrowania 13
  • 14. Zasada działania – polityki filtrowania • Polityki ochrony definiują sposób filtrowania ruchu • Klient tworzy własne polityki • Polityki przypisywane są do chronionych adresów IP • Przykład: – zbiór reguł dla serwerówWWW – zbiór reguł dla koncentratoraVPN – zbiór reguł uniwersalnych (include) 14
  • 15. Zasada działania – reguły w politykach filtrowania 15 • Polityka to zbiór reguł • Reguły są konfigurowalne: – IP źródłowe i docelowe – kryteria geograficzne – protokół – port źródłowy i docelowy – flagiTCP – ICMP code/type – inspekcja NTP – TCP SYN tracking – tylko jedna reguła (first match) pasuje • Akcja: drop, rate-limit • Audyt zmian
  • 16. Zasada działania – routing 16 Mechanizm włączany „na żądanie” w momencie ataku, wyłączany po ustaniu ataku – decyzja po stronie Klienta (możliwa automatyzacja) Po włączeniu następuje przekierowanie ruchu przychodzącego do scrubbing centers (przy pomocy BGP) Zaaplikowanie reguł polityk filtrujących:ACL, rate-limit Przefiltrowany ruch jest „oddawany” do sieci Klienta przy pomocy tunelu GRE lub dedykowanego łącza w IX
  • 17. Korzyści • Przyjazny sposób rozliczania – korzystanie tylko w razie potrzeby – wielkość ataku nie ma wpływu na stawkę • Brak nakładów na dodatkowe łącza i specjalizowany sprzęt • Łatwość uruchomienia – brak zmian w sieci klienta – rozwiązanie niezależne od stosowanych ISP • Wsparcie zespołu Security Operations Center – tryb pracy 24/7/365 – analiza trwających ataków 17
  • 18. Modele wdrożeniowe Ochrona własnych klientów • Brak dokładnej znajomości usług klienta, „ogólne” polityki, rate- limity • Ochrona własnego szkieletu przed przeciążeniem • Ochrona przed rykoszetem dokładniejsza niż blackholing 18 Ochrona własnych usług • Konkretne, dobrze znane usługi do ochrony, „ciasne” polityki • Znajomość profilu użytkownika, skuteczne kryteria geograficzne lub whitelisty • Niezależność od ISP (multihoming)
  • 20. Realizacja techniczna Sieć • Zaawansowany przełącznik warstwy 3. z portami 10G i 40G • Peering BGP z IX-ach oraz z operatorami tranzytowymi • Pojemność liczona w setkach Gbps, możliwość rozbudowy 20 Platforma PC z autorskim oprogramowaniem • biblioteka Intel DPDK • aplikacja pomija system operacyjny i bezpośrednio obsługuje pamięć kart sieciowych, co daje ogromną wydajność (switching line-rate 10Gbps/14.8Mpps na 1 rdzeniu CPU)
  • 21. Realizacja techniczna 21 acl limiter 1 bw 125000000 network 2 acl drop srctag 15 drop udp sport 123 data u8 0x17 0x37 at 0 data u16 0x032a at 2 drop src 1.1.1.1/32 pass dst 192.168.0.7 tcp dport 443 pass tcp dport 22 flags S/SA limit 1 pass frag not-single drop end network exit 11 gre src 1.2.3.4 dst 10.0.0.66 key 123 mtu 1500 fragment drop