SlideShare a Scribd company logo

Flowspec contre les attaques DDoS : l'expérience danoise

Pavel Odintsov
Pavel Odintsov

RÉSUMÉ Au sein de DeiC, le réseau de recherche au Danemark, nous avons développé un service de protection contre les attaques DDoS qui est basé sur la distribution des règles firewall vers les routeurs de bordure par le biais de BGP FlowSpec. Par rapport aux solutions alternatives, cette méthode a un coût très réduit puisqu'elle est basée sur des composants open source uniquement. Dans cette phase du projet la détection des attaques est faite au moyen de FastNetMon, mais grâce aux interfaces ouvertes, d'autres outils IDS peuvent être utilisés. Nous présenterons un retour d'expérience pour ce service qui est actuellement en cours de déploiement au sein de DeIC.

Technology
1 of 40
Download to read offline
P10 January, 2018 1 > FlowSpec contre les attaques DDoS > L'expérience danoise 15 novembre 2017 Head of NREN Martin Bech martin.bech@deic.dk
P10 January, 2018 2 > Vous êtes dans la bonne salle… … si vous voulez écouter quelque chose sur > Les attaques DDoS (brièvement) > Les procédures d’un NREN en cas d’attaques DDoS, aujourd’hui > Ce qui nous a incité à créer un nouveau système de protection contre les attaques DDoS > Les idées sous-jacentes et le cahier des charges de notre système > Sa mise en œuvre > Les limitations > Nos perspectives
P10 January, 2018 3 > La création des attaques DDoS > DDoS = Distributed Denial of Service attacks = Attaque distribué de type déni de service avec le but de mettre la cible hors service > Un client > Quelqu’un qui achète un attaque DDoS anonymement sur l’Internet. Les prix varient entre quelque euros et des milliers d’euros. > Un vendeur > Quelqu’un qui possède d’un botnet (une armée de serveurs sur Internet sous son contrôle) qu’il a acheté ou créé au biais de virus/malware etc. > Des opérateurs de réseaux > Qui permettent que leurs utilisateurs participent aux botnet/attaques DDoS
P10 January, 2018 4 > Les attaques DDoS > On distingue normalement deux types: > 1. Les attaques volumétriques > « Remplir les tuyaux ».. > De plus en plus populaires ces 2-3 dernières années en raison des attaques d’amplification > Il est possible d’amplifier les attaques par un facteur +200 > Les attaques utilisent en général des protocoles sans état (ex : UDP) en usurpant les adresses source (spoofing) > 2. Les attaques chirurgicales ou ciblant des applications > Elles ciblent un infrastructure spécifique > Elles exigent une préparation et davantage de compétences > Typiquement contre des applications, où l’on peut épuiser la capacité E/S
P10 January, 2018 5 > Les attaques DDoS – un problème en croissance En particulier pour les raisons suivantes: > IPv6: Internet grandit et il y a un nombre de plus en plus important d’objets connectés ; > l’Internet des objets (IoT) où le niveau de sécurité est souvent très faible – et il est aisé de prendre contrôle des objets ; > les connexions privées à Internet sont de plus en plus rapide – alors même que les foyers comptent un nombre de plus en plus important d’objets connectés ; > Et bien sûr les Bitcoins : les délinquants informatiques ont désormais leur argent liquide et peuvent exiger des paiements pour leurs services. Source: Arbor Networks special report, vol. XII
P10 January, 2018 6 > Qui peut agir contre les attaques DDoS > FAI > Remédier aux grandes attaques volumétriques contre les clients > Donner la possibilité aux clients de créer des filtres contre les attaques > Filtrage BCP38 > Gestion des abus > Client > Remédier aux attaques chirurgicales ou ciblant des applications contre ses équipements > S’assurer que tous les services exposés à Internet sont préparés > Avoir des systèmes pare-feu, IDS/IPS pour la protection et la détection des attaques contre les services > Système d’anti-usurpation des adresses IP (uRPF par exemple) > Mitigation des attaques DDoS sortantes > Aider le FAI en communiquant lors des attaques
P10 January, 2018 7 > DeiC (Danish e-Infrastructure Cooperation) > Le réseau de recherche national au Danemark > Notre taille est peut-être comparable aux réseaux régionaux connectés à RENATER > Notre propre infrastructure sur des fibres noires (3800km) louées sous conditions IRU sur 20 ans > Nos propres équipements DWDM (liens 10G et 100G) > Connecté à NORDUnet et à l’Internet au DIX > Environ 100 institutions desservies > Environ 100 000 adresses IP déléguées aux institutions > NOC (Centre de contrôle) à Lyngby, au nord de Copenhague
P10 January, 2018 8 > Normalement, tous les incidents sur le réseau sont réglés par le NOC > Pourquoi n’est-ce pas le cas pour les attaques DDoS? > Peut-on traiter ce problème par surveillance du volume du trafic? > …et installer des filtres dans nos routeurs de bordure – manuellement? > Cela ne peut jamais fonctionner car nos n’avons pas suffisamment d’informations au niveau du NOC > Notre service classique, c’est l’installation – manuellement – de filtres dans les routeurs de bordure (RTBH) après un e-mail au NOC. > Souvent, l’attaque a disparu quand les filtres sont finalement installés ;-)
P10 January, 2018 10 > Un attaque réelle du point de vue de l’utilisateur Basé sur des données netflow
P10 January, 2018 11 > Le même attaque vue du NOC Attaque DDoS ici
P10 January, 2018 12 > Tous les FAI offrent une protection contre les attaques DDoS 19-05-
P10 January, 2018 13 > …basée sur le « scrubbing » de services spécifiques
P10 January, 2018 14
P10 January, 2018 15 > Un service de protetion contre les attaques DDoS > Il faut des outils/équipements speciaux pour répondre a ce problème > Nous avons besoin de communication avec nos utilisateurs en temps réel > Nos utilisateurs attendent de nous un tel service – car ils ne peuvent pas le produire eux-même > Tous les FAI commerciaux ont un service de protection DDoS > Notre réseau de recherche apparaît archaïque sans un tel service C’est pourquoi nous avons lancé un projet pour créer un service de protection contre les attaques DDoS – nommé DDPS.
P10 January, 2018 16 > Nos voeux pour le service > Logiciels libres + open source > Les solutions faites en commun avec autant de participants que possible > Couvrant des blocs entiers d’adresses IP > Pouvant traiter toute notre volume de trafic > Sans policy-routing > Sans changer le DNS pour les services protégés > Sans ”scrubbing” (sans grosses machines à laver le trafic) > Ouvert vers plusieurs systèmes de détection d’attaques > Possibilité de ne pas participer pour les clients qui ne sont pas intéressés > Détection automatique des attaques > Remédiation automatique des attaques détectées > Possibilité pour les institutions de modifier/créer manuellement des règles > Possibilité pour le NOC de modifier/créer manuellement des règles > Possibilité de voir un aperçu des règles actives a tout moment ainsi qu’un historique > Coût réduit
P10 January, 2018 17 > Les deux composants très importants > FastNetMon Community Edition, de Pavel Odintsov > Dæmon pour l’analyse des attaques DoS/DDoS focalisé sur la vitesse > Script de notification en cas de détection d’une attaque > 10 Gbps, 14 Mpps sur port miroir (Intel NIC 82599) avec netmap > BGP FlowSpec - RFC 5575 > Une extension du protocole BGP permettant de distribuer des règles pare-feu entre routeurs > Pour simplifier : règles de filtrage dynamiques via BGP > Possibilité de propager ces règles en amont via BGP > Les règles peuvent être plus détaillées qu’avec black hole routing > Problème initial : notre équipement (au début du projet) n’était pas compatible avec RFC 5575
P10 January, 2018 18 > Il nous restait à développer… > Possibilité pour les institutions de modifier/créer manuellement des règles > Possibilité pour le NOC de modifier/créer manuellement des règles > Possibilité de voir le statut du système ainsi qu’un historique > Une base de données centrale, des statistiques et une interface utilisateur Web étaient également nécessaires
P10 January, 2018 19 Internet sauvage FastNetMon Routeur NORDUnet Routeur DeiC La malheureuse victime Le routeur de la malheureuse victimeNetFlow Base de données avec les règles FlowSpec FlowSpec FlowSpec Gestion manuelle des règles Création automatique des règles
P10 January, 2018 20 > L’architecture > Auprès de l’institution : > Une instance de FastNetMon avec 2 cartes réseaux. > Une carte 10 Gbps vers un port miroir dans l’équipement du client (mode moniteur) > Une carte 1 Gbps pour une communication hors bande avec la base de données centrale à DeIC > À DeiC : > Une base de données centrale > Une interface utilisateur Web avec un accès à la base de données > Une méthode pour exporter les règles de la base de données en règles BGP FlowSpec > Une méthode pour propager les règles BGP FlowSpec à nos routeurs de cœur de réseau
P10 January, 2018 21 > L’architechture…
P10 January, 2018 22 > Au niveau de l’institution
P10 January, 2018 23 > Au niveau du NREN
P10 January, 2018 24 > L’architecture
P10 January, 2018 25 > Une architecture extensible
P10 January, 2018 26 > Interface utilisateur : Login > Login/password simple > Nous travaillons au moment à implémenter aussi l’accès par notre fédération d’identité
P10 January, 2018 27 > Dashboard
P10 January, 2018 28
P10 January, 2018 29 > Règles
P10 January, 2018 30 > Créer une règle > Création d’une règle manuellement > Normalement, les règles sont créés automatiquement > Au moment, nous n’avons pas implémenté tous les protocoles IP – seulement TCP, UDP et ICMP > Supprimer une règle
P10 January, 2018 31 > Notifications
P10 January, 2018 32 > Gestion des utilisateurs
P10 January, 2018 33 > Désactivation d’un utilisateur
P10 January, 2018 34 > Utilisateur inactif
P10 January, 2018 35 > Modifier un client
P10 January, 2018 36 > Ajouter/supprimer des réseaux clients
P10 January, 2018 37 > Nos principes de conception > Attention portée à la sécurité > L’instance de FastNetMon au niveau de l’institution n’a aucun service accessible par Internet > La communication entre FastNetMon et DeiC a lieu via OpenVPN > Les seuls services accessibles par Internet le sont par OpenVPN et protégé par pare-feu redondant OpenBSD > Principe de précaution > Les inputs sont validés plusieurs fois au cours du processus > Le système est conçu pour être aussi fail-safe que possible > Le système peut fonctionner sans la détection et la remédiation automatiques – c’est-à-dire sans FastNetMon > Modularité > Il est possible de changer le système de détection ou de le renforcer par d’autres technologies > Il est possible d’utiliser d’autres méthodes que BGP FlowSpec pour la remédiation > Open Source > Nous utilisons et nous produisons des logiciels Open Source > Tout est accessible sur GitHub
P10 January, 2018 38 > Limitations > Uniquement pour les attaques DDoS entrantes > Le filtrage des attaques DDoS sortantes est à la charge du client > FastNetMon ne peut pas détecter les attaques ciblant la couche applicative > Les valeurs des seuils pour la détection des attaques dans FastNetMon sont fixes > Valeurs pour pps, mbps et flows. > IPv6 n’est pas pris en charge par FastNetMon à l’heure actuelle > L’accès à l’interface utilisateur Web par le client lorsqu’il est attaqué doit peut-être avoir lieu via le réseau 3G > Très grandes attaques DDoS supérieures à 100 Gbps
P10 January, 2018 39 > L’avenir > DeiC espère collaborer avec GÉANT et d’autres NRENs pour continuer à élaborer ce système > Collaboration avec NORDUnet > But : envoyer les règles BGP FlowSpec en amont de DeiC > Blackholing sélectif – avec la distance comme vecteur > Blackholing sélectif – avec le facteur de risque comme vecteur > DKCERT travaille sur un projet d’analyse des données Netflow qui pourrait être utilisé > Nos données sont accessibles aux chercheurs qui s’intéressent aux attaques DDoS et à leur remédiation
P10 January, 2018 40 > Remerciements > DDPS > Anders Mundt Due > Ashokaditya Mohanty > Kasper Sort > Nicolai Brunvoll Ernst > Niels Thomas Haugård > Tangui Coulouarn > Open Source > Pavel Odintsov - FastNetMon > Longue liste de projets Open Source : Linux, OpenBSD, PostgreSQL, InfluxDB, Node.js, OpenVPN, OpenSSH, ExaBGP og mange flere
P10 January, 2018 41 > Nous cherchons des partenaires… > Au niveau régional/national/international : > Participation au développement du service et du logiciel > Un effort pour étendre les bordures au plus loin possible > Institutions utilisatrices : > Expériences avec le service > Intégration avec nouveaux équipements de détection (les IDS etc.) Merci & questions: > Tangui Coulouarn <tangui.coulouarn@deic.dk> > Martin Bech <martin.bech@deic.dk>

Recommended

Vpn
VpnVpn
Vpnkwabo
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
F5 ltm administering big ip v11
F5 ltm administering big ip v11F5 ltm administering big ip v11
F5 ltm administering big ip v11Amine Haddanou
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSECSylvain Maret
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1Al Ousseynou Gueye
 
Nouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudNouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudAlain Ganuchaud
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
MSCS : Hyperconvergence avec Windows Server 2016
MSCS : Hyperconvergence avec Windows Server 2016MSCS : Hyperconvergence avec Windows Server 2016
MSCS : Hyperconvergence avec Windows Server 2016MickaelLOPES91
 

Recommended

Vpn
VpnVpn
Vpnkwabo
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
F5 ltm administering big ip v11
F5 ltm administering big ip v11F5 ltm administering big ip v11
F5 ltm administering big ip v11Amine Haddanou
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSECSylvain Maret
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1Al Ousseynou Gueye
 
Nouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudNouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudAlain Ganuchaud
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
MSCS : Hyperconvergence avec Windows Server 2016
MSCS : Hyperconvergence avec Windows Server 2016MSCS : Hyperconvergence avec Windows Server 2016
MSCS : Hyperconvergence avec Windows Server 2016MickaelLOPES91
 
Les Nouveautés de zabbix 2.2 par Alain Ganuchaud
Les Nouveautés de zabbix 2.2 par Alain GanuchaudLes Nouveautés de zabbix 2.2 par Alain Ganuchaud
Les Nouveautés de zabbix 2.2 par Alain GanuchaudAlain Ganuchaud
 
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...OVHcloud
 
[FR] Les connexions SDSL chez OVH Télécom
[FR] Les connexions SDSL chez OVH Télécom[FR] Les connexions SDSL chez OVH Télécom
[FR] Les connexions SDSL chez OVH TélécomOVHcloud
 
Vpn
VpnVpn
Vpnmalekoff
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpnsara ousaoud
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Vpn
VpnVpn
Vpnmalekoff
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Yassmina AGHIL
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
[FR] C'est quoi une API ?
[FR] C'est quoi une API ?[FR] C'est quoi une API ?
[FR] C'est quoi une API ?OVHcloud
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirLionelTopotam
 
Zabbix
ZabbixZabbix
Zabbixkamiloo2009
 
Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017AFUP_Limoges
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston PostOpenStack Korea Community
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesOVHcloud
 
CD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToCD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToguest3be047
 
Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutionsmouad11
 
IaaS, PaaS : comment sécuriser ses flux
IaaS, PaaS : comment sécuriser ses fluxIaaS, PaaS : comment sécuriser ses flux
IaaS, PaaS : comment sécuriser ses fluxMatthieu Klotz
 

More Related Content

What's hot

Les Nouveautés de zabbix 2.2 par Alain Ganuchaud
Les Nouveautés de zabbix 2.2 par Alain GanuchaudLes Nouveautés de zabbix 2.2 par Alain Ganuchaud
Les Nouveautés de zabbix 2.2 par Alain GanuchaudAlain Ganuchaud
 
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...OVHcloud
 
[FR] Les connexions SDSL chez OVH Télécom
[FR] Les connexions SDSL chez OVH Télécom[FR] Les connexions SDSL chez OVH Télécom
[FR] Les connexions SDSL chez OVH TélécomOVHcloud
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Yassmina AGHIL
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
[FR] C'est quoi une API ?
[FR] C'est quoi une API ?[FR] C'est quoi une API ?
[FR] C'est quoi une API ?OVHcloud
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirLionelTopotam
 
Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017AFUP_Limoges
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston PostOpenStack Korea Community
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesOVHcloud
 
CD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToCD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToguest3be047
 

What's hot (20)

Les Nouveautés de zabbix 2.2 par Alain Ganuchaud
Les Nouveautés de zabbix 2.2 par Alain GanuchaudLes Nouveautés de zabbix 2.2 par Alain Ganuchaud
Les Nouveautés de zabbix 2.2 par Alain Ganuchaud
 
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...
Migrer 3 millions de sites sans maitriser leur code source ? Impossible mais ...
 
[FR] Les connexions SDSL chez OVH Télécom
[FR] Les connexions SDSL chez OVH Télécom[FR] Les connexions SDSL chez OVH Télécom
[FR] Les connexions SDSL chez OVH Télécom
 
Vpn
VpnVpn
Vpn
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Vpn
VpnVpn
Vpn
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
 
[FR] C'est quoi une API ?
[FR] C'est quoi une API ?[FR] C'est quoi une API ?
[FR] C'est quoi une API ?
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossir
 
Zabbix
ZabbixZabbix
Zabbix
 
Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post
[2017년 5월 정기세미나] Network with OpenStack - OpenStack Summit Boston Post
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
CD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToCD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReTo
 

Similar to Flowspec contre les attaques DDoS : l'expérience danoise

Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutionsmouad11
 
IaaS, PaaS : comment sécuriser ses flux
IaaS, PaaS : comment sécuriser ses fluxIaaS, PaaS : comment sécuriser ses flux
IaaS, PaaS : comment sécuriser ses fluxMatthieu Klotz
 
Comment optimiser les performances web des applications en saas
Comment optimiser les performances web des applications en saasComment optimiser les performances web des applications en saas
Comment optimiser les performances web des applications en saasCDNetworks
 
Votre site web en Chine: comment obtenir une performance web rapide et fiable
Votre site web en Chine: comment obtenir une performance web rapide et fiableVotre site web en Chine: comment obtenir une performance web rapide et fiable
Votre site web en Chine: comment obtenir une performance web rapide et fiableCDNetworks
 
2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...
2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...
2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...IMS NETWORKS
 
chap1 intro reseau_client serveur.pdf
chap1 intro reseau_client serveur.pdfchap1 intro reseau_client serveur.pdf
chap1 intro reseau_client serveur.pdfDimerciaLubambo
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0robertpluss
 
Révolution dans l'analytique et les entrepôts de données à découvrir avec Intel
Révolution dans l'analytique et les entrepôts de données à découvrir avec IntelRévolution dans l'analytique et les entrepôts de données à découvrir avec Intel
Révolution dans l'analytique et les entrepôts de données à découvrir avec IntelMicrosoft Décideurs IT
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hostingrabah yahiaoui
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hostingrabah yahiaoui
 
Webinar Sécurité du 12/12/2017
Webinar Sécurité du 12/12/2017Webinar Sécurité du 12/12/2017
Webinar Sécurité du 12/12/2017Zyxel France
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
une présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de serviceune présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de serviceZaynebMessaoudi1
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge HartmannTelecomValley
 

Similar to Flowspec contre les attaques DDoS : l'expérience danoise (20)

Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutions
 
IaaS, PaaS : comment sécuriser ses flux
IaaS, PaaS : comment sécuriser ses fluxIaaS, PaaS : comment sécuriser ses flux
IaaS, PaaS : comment sécuriser ses flux
 
Comment optimiser les performances web des applications en saas
Comment optimiser les performances web des applications en saasComment optimiser les performances web des applications en saas
Comment optimiser les performances web des applications en saas
 
IOT-1.pdf
IOT-1.pdfIOT-1.pdf
IOT-1.pdf
 
Votre site web en Chine: comment obtenir une performance web rapide et fiable
Votre site web en Chine: comment obtenir une performance web rapide et fiableVotre site web en Chine: comment obtenir une performance web rapide et fiable
Votre site web en Chine: comment obtenir une performance web rapide et fiable
 
2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...
2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...
2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...
 
Snort
SnortSnort
Snort
 
isa serveur
isa serveurisa serveur
isa serveur
 
chap1 intro reseau_client serveur.pdf
chap1 intro reseau_client serveur.pdfchap1 intro reseau_client serveur.pdf
chap1 intro reseau_client serveur.pdf
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0
 
Révolution dans l'analytique et les entrepôts de données à découvrir avec Intel
Révolution dans l'analytique et les entrepôts de données à découvrir avec IntelRévolution dans l'analytique et les entrepôts de données à découvrir avec Intel
Révolution dans l'analytique et les entrepôts de données à découvrir avec Intel
 
fortinet et sécurité.pdf
fortinet et sécurité.pdffortinet et sécurité.pdf
fortinet et sécurité.pdf
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hosting
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hosting
 
Webinar Sécurité du 12/12/2017
Webinar Sécurité du 12/12/2017Webinar Sécurité du 12/12/2017
Webinar Sécurité du 12/12/2017
 
Offre de services
Offre de servicesOffre de services
Offre de services
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
une présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de serviceune présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de service
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
 

More from Pavel Odintsov

DDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentDDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentPavel Odintsov
 
Network telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationNetwork telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationPavel Odintsov
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsPavel Odintsov
 
Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Pavel Odintsov
 
VietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedVietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedPavel Odintsov
 
DDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresDDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresPavel Odintsov
 
FastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolFastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolPavel Odintsov
 
Detectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOSDetectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOSPavel Odintsov
 
DeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSDeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSPavel Odintsov
 
Lekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flLekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flPavel Odintsov
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersPavel Odintsov
 
Implementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkImplementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkPavel Odintsov
 
Janog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiJanog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiPavel Odintsov
 
Protect your edge BGP security made simple
Protect your edge BGP security made simpleProtect your edge BGP security made simple
Protect your edge BGP security made simplePavel Odintsov
 
Keeping your rack cool
Keeping your rack cool Keeping your rack cool
Keeping your rack cool Pavel Odintsov
 
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaDetecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaPavel Odintsov
 
Blackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossBlackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossPavel Odintsov
 
DDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaDDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaPavel Odintsov
 

More from Pavel Odintsov (20)

DDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentDDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environment
 
Network telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationNetwork telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentation
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developments
 
Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points
 
VietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedVietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume Based
 
DDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresDDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP Infrastructures
 
FastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolFastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection tool
 
Detectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOSDetectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOS
 
DeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSDeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPS
 
Lekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flLekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_fl
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
 
Implementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkImplementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit network
 
Janog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiJanog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka Ishizaki
 
Protect your edge BGP security made simple
Protect your edge BGP security made simpleProtect your edge BGP security made simple
Protect your edge BGP security made simple
 
Keeping your rack cool
Keeping your rack cool Keeping your rack cool
Keeping your rack cool
 
Jon Nield FastNetMon
Jon Nield FastNetMonJon Nield FastNetMon
Jon Nield FastNetMon
 
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaDetecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
 
Blackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossBlackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_voss
 
SIG-NOC Tools Survey
SIG-NOC Tools SurveySIG-NOC Tools Survey
SIG-NOC Tools Survey
 
DDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaDDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner Maia
 

Flowspec contre les attaques DDoS : l'expérience danoise

  • 1. P10 January, 2018 1 > FlowSpec contre les attaques DDoS > L'expérience danoise 15 novembre 2017 Head of NREN Martin Bech martin.bech@deic.dk
  • 2. P10 January, 2018 2 > Vous êtes dans la bonne salle… … si vous voulez écouter quelque chose sur > Les attaques DDoS (brièvement) > Les procédures d’un NREN en cas d’attaques DDoS, aujourd’hui > Ce qui nous a incité à créer un nouveau système de protection contre les attaques DDoS > Les idées sous-jacentes et le cahier des charges de notre système > Sa mise en œuvre > Les limitations > Nos perspectives
  • 3. P10 January, 2018 3 > La création des attaques DDoS > DDoS = Distributed Denial of Service attacks = Attaque distribué de type déni de service avec le but de mettre la cible hors service > Un client > Quelqu’un qui achète un attaque DDoS anonymement sur l’Internet. Les prix varient entre quelque euros et des milliers d’euros. > Un vendeur > Quelqu’un qui possède d’un botnet (une armée de serveurs sur Internet sous son contrôle) qu’il a acheté ou créé au biais de virus/malware etc. > Des opérateurs de réseaux > Qui permettent que leurs utilisateurs participent aux botnet/attaques DDoS
  • 4. P10 January, 2018 4 > Les attaques DDoS > On distingue normalement deux types: > 1. Les attaques volumétriques > « Remplir les tuyaux ».. > De plus en plus populaires ces 2-3 dernières années en raison des attaques d’amplification > Il est possible d’amplifier les attaques par un facteur +200 > Les attaques utilisent en général des protocoles sans état (ex : UDP) en usurpant les adresses source (spoofing) > 2. Les attaques chirurgicales ou ciblant des applications > Elles ciblent un infrastructure spécifique > Elles exigent une préparation et davantage de compétences > Typiquement contre des applications, où l’on peut épuiser la capacité E/S
  • 5. P10 January, 2018 5 > Les attaques DDoS – un problème en croissance En particulier pour les raisons suivantes: > IPv6: Internet grandit et il y a un nombre de plus en plus important d’objets connectés ; > l’Internet des objets (IoT) où le niveau de sécurité est souvent très faible – et il est aisé de prendre contrôle des objets ; > les connexions privées à Internet sont de plus en plus rapide – alors même que les foyers comptent un nombre de plus en plus important d’objets connectés ; > Et bien sûr les Bitcoins : les délinquants informatiques ont désormais leur argent liquide et peuvent exiger des paiements pour leurs services. Source: Arbor Networks special report, vol. XII
  • 6. P10 January, 2018 6 > Qui peut agir contre les attaques DDoS > FAI > Remédier aux grandes attaques volumétriques contre les clients > Donner la possibilité aux clients de créer des filtres contre les attaques > Filtrage BCP38 > Gestion des abus > Client > Remédier aux attaques chirurgicales ou ciblant des applications contre ses équipements > S’assurer que tous les services exposés à Internet sont préparés > Avoir des systèmes pare-feu, IDS/IPS pour la protection et la détection des attaques contre les services > Système d’anti-usurpation des adresses IP (uRPF par exemple) > Mitigation des attaques DDoS sortantes > Aider le FAI en communiquant lors des attaques
  • 7. P10 January, 2018 7 > DeiC (Danish e-Infrastructure Cooperation) > Le réseau de recherche national au Danemark > Notre taille est peut-être comparable aux réseaux régionaux connectés à RENATER > Notre propre infrastructure sur des fibres noires (3800km) louées sous conditions IRU sur 20 ans > Nos propres équipements DWDM (liens 10G et 100G) > Connecté à NORDUnet et à l’Internet au DIX > Environ 100 institutions desservies > Environ 100 000 adresses IP déléguées aux institutions > NOC (Centre de contrôle) à Lyngby, au nord de Copenhague
  • 8. P10 January, 2018 8 > Normalement, tous les incidents sur le réseau sont réglés par le NOC > Pourquoi n’est-ce pas le cas pour les attaques DDoS? > Peut-on traiter ce problème par surveillance du volume du trafic? > …et installer des filtres dans nos routeurs de bordure – manuellement? > Cela ne peut jamais fonctionner car nos n’avons pas suffisamment d’informations au niveau du NOC > Notre service classique, c’est l’installation – manuellement – de filtres dans les routeurs de bordure (RTBH) après un e-mail au NOC. > Souvent, l’attaque a disparu quand les filtres sont finalement installés ;-)
  • 9. P10 January, 2018 10 > Un attaque réelle du point de vue de l’utilisateur Basé sur des données netflow
  • 10. P10 January, 2018 11 > Le même attaque vue du NOC Attaque DDoS ici
  • 11. P10 January, 2018 12 > Tous les FAI offrent une protection contre les attaques DDoS 19-05-
  • 12. P10 January, 2018 13 > …basée sur le « scrubbing » de services spécifiques
  • 14. P10 January, 2018 15 > Un service de protetion contre les attaques DDoS > Il faut des outils/équipements speciaux pour répondre a ce problème > Nous avons besoin de communication avec nos utilisateurs en temps réel > Nos utilisateurs attendent de nous un tel service – car ils ne peuvent pas le produire eux-même > Tous les FAI commerciaux ont un service de protection DDoS > Notre réseau de recherche apparaît archaïque sans un tel service C’est pourquoi nous avons lancé un projet pour créer un service de protection contre les attaques DDoS – nommé DDPS.
  • 15. P10 January, 2018 16 > Nos voeux pour le service > Logiciels libres + open source > Les solutions faites en commun avec autant de participants que possible > Couvrant des blocs entiers d’adresses IP > Pouvant traiter toute notre volume de trafic > Sans policy-routing > Sans changer le DNS pour les services protégés > Sans ”scrubbing” (sans grosses machines à laver le trafic) > Ouvert vers plusieurs systèmes de détection d’attaques > Possibilité de ne pas participer pour les clients qui ne sont pas intéressés > Détection automatique des attaques > Remédiation automatique des attaques détectées > Possibilité pour les institutions de modifier/créer manuellement des règles > Possibilité pour le NOC de modifier/créer manuellement des règles > Possibilité de voir un aperçu des règles actives a tout moment ainsi qu’un historique > Coût réduit
  • 16. P10 January, 2018 17 > Les deux composants très importants > FastNetMon Community Edition, de Pavel Odintsov > Dæmon pour l’analyse des attaques DoS/DDoS focalisé sur la vitesse > Script de notification en cas de détection d’une attaque > 10 Gbps, 14 Mpps sur port miroir (Intel NIC 82599) avec netmap > BGP FlowSpec - RFC 5575 > Une extension du protocole BGP permettant de distribuer des règles pare-feu entre routeurs > Pour simplifier : règles de filtrage dynamiques via BGP > Possibilité de propager ces règles en amont via BGP > Les règles peuvent être plus détaillées qu’avec black hole routing > Problème initial : notre équipement (au début du projet) n’était pas compatible avec RFC 5575
  • 17. P10 January, 2018 18 > Il nous restait à développer… > Possibilité pour les institutions de modifier/créer manuellement des règles > Possibilité pour le NOC de modifier/créer manuellement des règles > Possibilité de voir le statut du système ainsi qu’un historique > Une base de données centrale, des statistiques et une interface utilisateur Web étaient également nécessaires
  • 18. P10 January, 2018 19 Internet sauvage FastNetMon Routeur NORDUnet Routeur DeiC La malheureuse victime Le routeur de la malheureuse victimeNetFlow Base de données avec les règles FlowSpec FlowSpec FlowSpec Gestion manuelle des règles Création automatique des règles
  • 19. P10 January, 2018 20 > L’architecture > Auprès de l’institution : > Une instance de FastNetMon avec 2 cartes réseaux. > Une carte 10 Gbps vers un port miroir dans l’équipement du client (mode moniteur) > Une carte 1 Gbps pour une communication hors bande avec la base de données centrale à DeIC > À DeiC : > Une base de données centrale > Une interface utilisateur Web avec un accès à la base de données > Une méthode pour exporter les règles de la base de données en règles BGP FlowSpec > Une méthode pour propager les règles BGP FlowSpec à nos routeurs de cœur de réseau
  • 20. P10 January, 2018 21 > L’architechture…
  • 21. P10 January, 2018 22 > Au niveau de l’institution
  • 22. P10 January, 2018 23 > Au niveau du NREN
  • 23. P10 January, 2018 24 > L’architecture
  • 24. P10 January, 2018 25 > Une architecture extensible
  • 25. P10 January, 2018 26 > Interface utilisateur : Login > Login/password simple > Nous travaillons au moment à implémenter aussi l’accès par notre fédération d’identité
  • 26. P10 January, 2018 27 > Dashboard
  • 28. P10 January, 2018 29 > Règles
  • 29. P10 January, 2018 30 > Créer une règle > Création d’une règle manuellement > Normalement, les règles sont créés automatiquement > Au moment, nous n’avons pas implémenté tous les protocoles IP – seulement TCP, UDP et ICMP > Supprimer une règle
  • 30. P10 January, 2018 31 > Notifications
  • 31. P10 January, 2018 32 > Gestion des utilisateurs
  • 32. P10 January, 2018 33 > Désactivation d’un utilisateur
  • 33. P10 January, 2018 34 > Utilisateur inactif
  • 34. P10 January, 2018 35 > Modifier un client
  • 35. P10 January, 2018 36 > Ajouter/supprimer des réseaux clients
  • 36. P10 January, 2018 37 > Nos principes de conception > Attention portée à la sécurité > L’instance de FastNetMon au niveau de l’institution n’a aucun service accessible par Internet > La communication entre FastNetMon et DeiC a lieu via OpenVPN > Les seuls services accessibles par Internet le sont par OpenVPN et protégé par pare-feu redondant OpenBSD > Principe de précaution > Les inputs sont validés plusieurs fois au cours du processus > Le système est conçu pour être aussi fail-safe que possible > Le système peut fonctionner sans la détection et la remédiation automatiques – c’est-à-dire sans FastNetMon > Modularité > Il est possible de changer le système de détection ou de le renforcer par d’autres technologies > Il est possible d’utiliser d’autres méthodes que BGP FlowSpec pour la remédiation > Open Source > Nous utilisons et nous produisons des logiciels Open Source > Tout est accessible sur GitHub
  • 37. P10 January, 2018 38 > Limitations > Uniquement pour les attaques DDoS entrantes > Le filtrage des attaques DDoS sortantes est à la charge du client > FastNetMon ne peut pas détecter les attaques ciblant la couche applicative > Les valeurs des seuils pour la détection des attaques dans FastNetMon sont fixes > Valeurs pour pps, mbps et flows. > IPv6 n’est pas pris en charge par FastNetMon à l’heure actuelle > L’accès à l’interface utilisateur Web par le client lorsqu’il est attaqué doit peut-être avoir lieu via le réseau 3G > Très grandes attaques DDoS supérieures à 100 Gbps
  • 38. P10 January, 2018 39 > L’avenir > DeiC espère collaborer avec GÉANT et d’autres NRENs pour continuer à élaborer ce système > Collaboration avec NORDUnet > But : envoyer les règles BGP FlowSpec en amont de DeiC > Blackholing sélectif – avec la distance comme vecteur > Blackholing sélectif – avec le facteur de risque comme vecteur > DKCERT travaille sur un projet d’analyse des données Netflow qui pourrait être utilisé > Nos données sont accessibles aux chercheurs qui s’intéressent aux attaques DDoS et à leur remédiation
  • 39. P10 January, 2018 40 > Remerciements > DDPS > Anders Mundt Due > Ashokaditya Mohanty > Kasper Sort > Nicolai Brunvoll Ernst > Niels Thomas Haugård > Tangui Coulouarn > Open Source > Pavel Odintsov - FastNetMon > Longue liste de projets Open Source : Linux, OpenBSD, PostgreSQL, InfluxDB, Node.js, OpenVPN, OpenSSH, ExaBGP og mange flere
  • 40. P10 January, 2018 41 > Nous cherchons des partenaires… > Au niveau régional/national/international : > Participation au développement du service et du logiciel > Un effort pour étendre les bordures au plus loin possible > Institutions utilisatrices : > Expériences avec le service > Intégration avec nouveaux équipements de détection (les IDS etc.) Merci & questions: > Tangui Coulouarn <tangui.coulouarn@deic.dk> > Martin Bech <martin.bech@deic.dk>

Editor's Notes

  1. Mettre le logo JRES sur la 1ère diapo => https://www.jres.org/sites/default/files/Documents/logoJRES2017.zip Là c’est juste une proposition
  2. CG : D’un botnet => un botnet CG : Au biais => par le biais
  3. CG : Attaques d’amplification => attaques par amplification CG : +200 => x200
  4. On peut trouver un grand nombre de graphiques illustrant l’ampleur du problème. Celui-ci montre uniquement les attaques DDoS les plus importantes de ces 15 dernières années. Il y a 15 ans, ce problème n’existait pas. CG : prendre contrôle => prendre le contrôle
  5. On ne voit rien au niveau NOC Ce sont seulement les utilisateurs qui savent quand ils sont victimes d’un attaque DDoS
  6. CG : speciaux => spéciaux CG : eux-même => eux-mêmes
  7. CG : voeux => vœux CG : toute notre volume => tout notre volume CG : ouvert vers => ouvert à CG : a tout moment => à tout moment
  8. Deux choix importants
  9. CG : schéma pas très lisible
  10. CG : schéma pas très lisible
  11. CG : schéma pas très lisible
  12. CG : schéma pas très lisible
  13. CG : ce serait mieux si c’était plus contrasté. Là c’est très pâle
  14. CG : même remarque
  15. CG : même remarque
  16. CG : même remarque
  17. CG : même remarque
  18. CG : même remarque
  19. CG : même remarque