DDoS a IDS/IPS ochrana u WEDOS

Podobné dokumenty
Kdo maže ten jede. Hebké ruce pro všechny ajťáky. aneb. Josef Grill WEDOS Internet, a.s

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

PB169 Operační systémy a sítě

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Lehký úvod do I[DP]S. Ing. Daniel Studený CESNET,

Firewally a iptables. Přednáška číslo 12

Kybernetické hrozby - existuje komplexní řešení?

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Téma bakalářských a diplomových prací 2014/2015 řešených při

Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze červen 2012

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Y36SPS Bezpečnostní architektura PS

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

BEZPEČNOSTNÍ MONITORING SÍTĚ

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

Zabezpečení v síti IP

Virtualizace síťových prvků

FlowGuard 2.0. Whitepaper

Vývoj Internetových Aplikací

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

DoS útoky v síti CESNET2

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Audit bezpečnosti počítačové sítě

Obrana sítě - základní principy

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Y36SPS Bezpečnostní architektura PS

12. Bezpečnost počítačových sítí

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

Bezpečnostní projekt Případová studie

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Flow Monitoring & NBA. Pavel Minařík

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

DEDIKOVANÉ A MANAGED SERVERY GREENHOUSING JEDNODUCHÁ CESTA K PROFESIONÁLNÍMU SERVERHOSTINGU A VIRTUALIZACI

SÍŤOVÁ INFRASTRUKTURA MONITORING

Technická specifikace zařízení

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Technické aspekty zákona o kybernetické bezpečnosti

Detekce volumetrických útoků a jejich mi4gace v ISP

Monitorování datových sítí: Dnes

Koncept BYOD. Jak řešit systémově? Petr Špringl

IPS a IDS. Martin Beránek. 17. března Martin Beránek (SSPŠ) IPS a IDS 17. března / 25

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Budování sítě v datových centrech

Penetrační testování

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Demo: Multipath TCP. 5. října 2013

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Tento článek se zaměřuje na oblast správy systému.

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

VÝZVA. k podání nabídky

FORPSI Cloud Computing Virtuální datacentrum v cloudu

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Datové služby. Písemná zpráva zadavatele

Nasazení a využití měřících bodů ve VI CESNET

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Vysvětlení zadávací dokumentace č. 1

Turris Omnia: jak lovit hackery

WrapSix aneb nebojme se NAT64. Michal Zima.

Základní principy obrany sítě

Síťová bezpečnost I. Základní popis zabezpečení 1. Úvod

Technické podmínky a doporučení provozu OneSoftConnect na infrastruktuře zákazníka

Síťová bezpečnost v projektu státní maturity. GTS Managed Security

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Firewall, IDS a jak dále?

Představení Kerio Control

Co se skrývá v datovém provozu?

Střední průmyslová škola, Mladá Boleslav, Havlíčkova 456 Maturitní otázky z předmětu POČÍTAČOVÉ SÍTĚ

Upřesnění předmětu smlouvy

Bezpečnost sítí útoky

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

Kybernetické hrozby jak detekovat?

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

Hosting a doména. Pavel Urbánek. srovnání providerů a WP požadavky.

Představení společnosti

Co vše přináší viditelnost do počítačové sítě?

SOCIÁLNÍ SLUŽBY MĚSTA HAVÍŘOVA

Architektura připojení pro kritické sítě a služby

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

Transkript:

DDoS a IDS/IPS ochrana u WEDOS Josef Grill WEDOS Internet, a.s. http://www.wedos.cz http://datacentrum.wedos.com 21. 6. 2017 Datacentrum WEDOS Hluboká nad Vltavou a již brzo Datacentrum WEDOS 2 Držitel certifikátů ISO 9001 a ISO 14001 a ISO 27001 od TÜV SÜD

WEDOS není WeDDoS Podle některých komentářů to nevypadá, ale WEDOS je skutečně zkratka WEbhosting, DOmény, Servery a nemá to nic společného s DDoS Dnes žádný marketing, ale reálné zkušenosti :-)

Jak to začalo s DDoS u WEDOS Průběžně malé útoky, v létě 2014 začaly být silnější (desítky Gbps) Většinou řešeno ručně nebo poloautomaticky pomocí iptables na serverech nebo routerech (routovali jsme přes Linux) Úspěchy přinášejí DDoS útoky? Problémy s dodavateli Nutnost okamžitě řešit, ale jak...

Slepé uličky Půjčili jsme si krabičky a výsledek? Možnost rychlého nasazení, ale Cena a neuvěřitelné licenční poplatky (navíc celé x 2) Nulová svoboda Nevěřte PR materiálům dodavatelů Co si nezměříme, tomu nevěříme... WEDOS vždy vlastní cestou

Operace kulový blesk Souběžně s testováním jsme vyvíjeli svoje řešení na Linuxu Důvěra a nedůvěra, změna myšlení je složitá... Jednoho krásného podvečera přišla operace kulový blesk a vytrhl jsem kabel (bez ohledu na vůli techniků) A ono to fungovalo...

Jak to celé máme? Základ je Linux a 11 silných strojů a různé úpravy v routování a nastavení switchů (filtry + mirroring provozu + sflow) 1 server řídí (+ 1 backup), 3 servery jako sondy (celkem měříme 13 míst část online a část přes sflow), 6 serverů (1 online a 5 jako výhybky ) sloužících jako filtry (každý má jiné funkce), plus filtrace na routerech a switchích Vše vyhodnocujeme v reálném čase Pravidla a změny v routingu do 1,3 s Spočítáme 30 Gbps a 7,5 Mpps (důležité pro filtraci) Odfiltrujeme více (záměrně neříkám kolik) + BH v BGP

Jak to funguje? Online měření (vysoce náročné na výkon => hodně úprav Linuxu) a porovnávání s pevně nastavenými hodnotami (pro jednotlivé IP) nebo s běžným provozem (pro danou IP) bps a pps Pokud je něco mimořádného, tak se aktivují změny v routingu a filtry (každý má jinou funkci) Co do provozu nepatří se filtruje a zbytek se vrátí zpět (nezdržujeme ostatní provoz) TCP/IP, TCP, UDP, TCP+SYN, SYN+ACK, ICMP, HTTP, HTTPS + lze TCP-NULL, TCP-RST, TCP-NULL Nové útoky musíme systém vždy naučit Filtrujeme i odchozí provoz a neprovokujeme tak jinde

Výsledky po 31 měsících Kam se útočí? Dříve na WEDOS.cz Rekordy: Postupně na VPS (různé TOR servery) Přes 375.000 útoků Průměrně 387 za den Přes 71,3 Gbps Přes 7 Mpps 37 hodin Nyní převládá webhosting (velké množství webů přes 130.000 aktivních webů) Zajímavosti Chytré automaty na útoky Cca 21% byly útoky od nás

IPv6 a DDoS Od propagátora IPv6 k velmi chladnému přístupu DDoS útok loni v srpnu na VPS, zvenku (sever-jih), zevnitř (východ-západ) U WEDOS máme přidělený rozsah sítě pro IPv6 /32, což je neuvěřitelných 4 294 967 296 podsítí /64, příčemž každá z podsítí /64 má 18 446 744 073 709 551 616 IPv6. Výsledkem je tedy to, že WEDOS má přiděleno 7,922816251 10²⁸ IPv6 adres a všechny k WEDOS směřovaly a teoreticky na jakoukoliv z nich mohl vést útok. Pro takový počet IP adres není v silách žádné technologie počítat pakety proti těmto IP adresám a chránit je před DDoS útoky. Srovnejme to s IPv4, kde máme k dispozici 10 240 IPv4 adres. Jistě chápete, že je rozdíl na jedné straně chránit 7,922816251 10²⁸ nebo 10 240 IP adres a zároveň to chráníte proti jinému počtu útočníků, U IPv6 máte 3,4 1038 potencionálních útočníků a u IPv4 jich máte pouhé cca 4 miliardy (232 adres (cca 4 109 = 4 miliardy adres). To jsou rozdíly. Velké rozdíly. Root VPS jsou zdrojem problémů, útoky uvnitř sítě a tak omezení root věcí ohledně sítového provozu IPv4 za peníze versus následně zdarma Omezení IPv6 na pouze zaregistrované

Napadené weby a co s tím? Webhostingy Přes 130.000 aktivních webů, většina na opensource CMS = možné problémy Přetížené servery versus nudící se servery Denně až desítky napadených webů versus jednotky za měsíc Moc práce a hodně klientů, kteří to nechtěli pochopit Co s tím? IDS/IPS ochrana IDS detekce problémů a průniků IPS reálná ochrana před průniky

IDS a IPS neboli IDS/IPS IDS - Intrusion Detection System Monitoring sítě a hledání podezřelého provozu IPS - Intrusion Prevention System = ochrana před: Přirozeně vypadajícími DoS, které naše DDoS ochrana nemůže detekovat (například zneužití XML-RPC). SQLi útoky Brute force útoky na přihlašovací formuláře. Roboty, kteří schválně přetěžují vaše stránky Roboty, kteří vkládají do komentářů škodlivý kód (XSS) Viry v emailech a i běžném HTML (FTP) provozu Zranitelnostmi ve známých open source CMS a eshopech Útoky zneužívající zero-day exploit (známé i potenciální) Různým skenováním aplikací

(Opět) Slepé uličky u IDS/IPS Sliby Filtrace až 60 Gbps provozu Při DDoS útoku nespadne Možnost vlastních pravidel Rychlé zpracování IPv6 není problém Realita Maximálně 2 Gbps Spadlo téměř při každém útoku Pravidla nemají logiku Zpracování pomalé IPv6 se učili na nás

Opět řešení v linuxu - opensource Suricata Open Source IDS / IPS / NSM engine Vysoký výkon a stabilita 9 měsíců příprav a testů (nejprve jako IDS) PF_RING (stejně jako u DDoS) a AF_PACKET a INTEL síťovky Testovali jsme i další Distribuce IDS/IPS založené na Suricatě Snort, různé placené verze Výsledek je čistá Suricata + Evebox + Logstash + Elasticsearch 384 GB RAM a 40 vláken CPU 300 GB logů/den (logujeme 1 útok za 300 sec)

Co zvládne IDS/IPS Suricata u WEDOS - přes 37.000 útoků na prolomení hesla ve WordPressu, přes 10 pokusů za sekundu - zhruba stejný počet pokusů byl o prolomení dalších hesel (maily nebo jiné redakční systémy) - průměrně přes 1.000.000 různých bezpečnostních problémů, což je přes 279 pokusů za sekundu - z toho přes 183.000 mělo kritickou úroveň, tj. nešlo o varování nebo nízkou úroveň, což je cca 51 pokusů za sekundu, které jsou nebezpečné pro klienty - ze zhruba 100 IP rozsahů z celého světa přicházelo cca 73% závadného provozu IDS a IPS Monitoring a statistiky Zablokovat 40% provozu, který nikomu nechybí Chrání weby před známými hrozbami Používá přes 21.500 pravidel Hodinové aktualizace Chytrá pravidla Skutečně online Zpoždění 3-7 ms

Co chceme ještě nabídnout? Individuální řešení Filtrace dle zemí a regionů (zdroj/cíl) a ASN Filtrace dle protokolů Whitelist a blacklist Individuální pravidla u IDS/IPS IDS/IPS u VPS a Cloudu Filtrace na zakázku pro třetí strany Individuální statistiky DDoS útoků z IDS/IPS

Co řešíme u DDoS a IDS/IPS ochran DDoS Nové hrozby Navyšování výkonu dle potřeby (včetně možné virtualizace) Chytré řešení Nesourodost HW (to u nás není zvykem a bojujeme s tím) Jak to řešit pro 2 budovy IDS/IPS Distribuované řešení versus cluster HTTPS a SSL Jak to řešit pro 2 budovy

Je reálné filtrovat 100 Gbps? Věříme, že ano... 2 datacentra již letos 3x100 Gbps na Hluboké již letos Filtrace přímo na Hluboké Chceme testovat filtraci spolu s CESNET, z.s.p.o. Síť na 100 Gbps Roky řešíme návrh Testujeme HW Letos spustíme navenek 1 budova, služby s vysokou dostupností ve 2 datacentrech Živé migrace Řešíme TIER IV (podepsána smlouva s Uptime Institute)

Děkuji za pozornost Dotazy: datacentrum@wedos.com Nevěříte? Chcete se přesvědčit na vlastní oči?přijeďte! Detaily na: https://datacentrum.wedos.com http://dc.wedos.cz/ Chcete se podílet na projektu? Ozvěte se!

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář