DDPS DeiC DDoS Prevention System
HVEM ER JEG? HVEM SKULLE I HAVE HØRT? Nicolai Brunvoll Ernst, DeiC Niels Thomas Haugård, DeiC Arbejdet med it siden 1995 Arbejdet med it endnu længere 17 år som it-sikkerhedskonsulent Endnu flere år som it-sikkerhedskonsulent DIKU, 1996-1998 Blev færdig som cand.scient 180 cm. høj Endnu højere 43 år gammel Endnu ældre vi og spaces vi og tabs
BLIV ALLIGEVEL, DET BLIVER VILDT SPÆNDENDE En kort introduktion til DDoS-angreb Hvordan håndteres DDoS-angreb i dag på Forskningsnettet Hvorfor lave et nyt system til DDoS-mitigering? Idéer, ønsker og krav til systemet Implementation Begrænsninger Fremtiden Spørgsmål?
DDOS ANGREB (MEGET KORT)
GRUNDLÆGGENDE FINDES DER 2 KATEGORIER AF DDOS-ANGREB 1. Volumetriske angreb Flood the tubes.. Steget i popularitet de sidste 2-3 år pga. amplifikationsangreb Muligt at forstørre dit angreb med en faktor +200! Laves typisk med stateless protokoller (fx. UDP) med spoofed source-adresser 2. Kirurgiske- og applikationsangreb Målrettet angreb mod bestemt infrastruktur Kræver forhåndsundersøgelse af, hvad man vil angribe og lidt flere skillz Typisk mod applikationer, API er, kerner og andet, hvor man kan dræne I/O
Is it getting better.. U2 - One
ANSVAR (HVEM MIG..?)
ISP KUNDE Håndtere store volumetriske angreb mod kunder Give kunder mulighed for filtrering mod angreb BCP38 filtrering Håndtering af abuse Håndtere kirurgiske angreb og applikationsangreb mod kundens udstyr Sørge for at alle internetvendte services er klar til opgaven Sørge for Firewalls, IDS/IPS til beskyttelse og opdagelse af angreb mod services Anti-ip-spoofing (urpf eller lign.) Udgående DDoS-mitigering Hjælpe ISP en med information i forbindelse med angreb
HVORDAN HÅNDTERES DDOS-ANGREB PÅ FORSKNINGSNETTET I DAG? Detection er (primært) overladt til institutionerne Alarmering ved 90% af linebelastning hos DeiC Kontakt via telefon til netdrift (typisk) Mitigering via Black Hole Routing, og manuelle filtre En forholdsvis tung, langsom og manuel proces fra opdagelse til afværgelse Mulighed for statiske filtre ved kendte (og tilbagevendende) angreb Mulighed for assistance fra NORDUnet ved meget store angreb
ØNSKER OM EN BEDRE LØSNING (HURTIGERE)
HVAD FANDTES PÅ MARKEDET? Kommercielle løsninger for DDoS mitigering Scrubbing-center centralt hos DeiC. Arbor og lignende leverandører: $.$$$.$$$ Cloud-scrubbing. Akamai og lignende: +$.$$$.$$$ Service cloud-scrubbing (CDN). Cloudflare og lignende - ikke en generel løsning Fælles for alle ISP DDoS mitigeringsløsninger på market 100 Gbps core-infrastruktur og kunder med +10 Gbps uplinks var ikke lige fokusgruppen Meget høje indkøbs- og/eller abonnementspriser (typisk begge dele) Ingen værdi, så længe man ikke er under angreb
ÆRMER MÅTTE SMØGES OP..
IDÉ FASEN Commodity hardware + open source (godt til prisen) Fuld opt-out for kunder, som ikke ønsker at være med Automatisk detektion af angreb Automatisk mitigering af opdagede angreb Mulighed for manuel opdatering/oprettelse af regler for institutioner Mulighed for central opdatering/oprettelse af regler for netdrift Overblik over status af systemet her og nu, samt historisk Billigt i drift
Ideas are easy. Implementation is hard. Guy Kawasaki
MEN IKKE HVIS MAN STJÆLER MED ARME OG BEN..
2 VIGTIGE KOMPONENTER, DER KUNNE GØRE IDÉ TIL VIRKELIGHED FastNetMon Community Edition, af Pavel Odintsov DoS/DDoS analyse dæmon med fokus på fart Notify script ved detektion af angreb 10 Gbps, 14 Mpps på én mirror-port (Intel NIC 82599) med netmap BGP FlowSpec - RFC 5575 Kort fortalt; dynamiske filtreringsregler via BGP Muligt at propagere reglerne up-stream via BGP Eneste problem; vores (daværende) udstyr understøttede ikke RFC 5575
MEN VI MANGLEDE STADIG Mulighed for manuel opdatering/oprettelse af regler for institutioner Mulighed for central opdatering/oprettelse af regler for netdrift Overblik over status af systemet her og nu, samt historisk En central database, noget statistik og en Web-UI måttes tilføjes et sted
Developers, developers, developers.. Steve Ballmer
HVORDAN KUNNE VI FÅ EN CENTRAL DATABASE MED I SYSTEMET? Hos institutionen FastNetMon installation med 2 netkort. 1. 10 Gbps kort til én mirrorport i kundens udstyr (monitor-mode) 2. 1 Gbps kort til out-of-band communication med en central database hos DeiC Hos DeiC En central database En Web-UI med adgang til databasen En metode til at exportere regler fra databasen til BGP FlowSpec regler En måde at sende BGP FlowSpec reglerne til vores core-routere
THE BIG PICTURE
Hos institutionen
Hos DeiC
Hos institutionen Hos DeiC Netværksansvarlige
WEB-UI
DESIGN PRINCIPPER
HVAD HAR VI LAGT VÆGT PÅ I DESIGNET AF SYSTEMET Fokus på sikkerhed FastNetMon hos kunden har ingen services der kan nås fra internet Kommunikation mellem FastNetMon og DeiC foregår via OpenVPN Eneste services der kan nås fra internet er OpenVPN, låst ned bag et OpenBSD firewall-cluster Forsigtighedsprincip Validering af input flere gange undervejs Systemet er så vidt muligt designet til at være fail-safe Systemet kan fungere uden automatisk detektion & mitigering - altså uden FastNetMon Modulært opbygget Vi kan skifte vores detection engine ud, eller supplere med nye teknologier Vi kan bruge andet end BGP FlowSpec til blokering Open Source Vi bruger open source, og vi giver selvfølgelig tilbage igen. Alt ligger / kommer til at ligge på GitHub
BEGRÆNSNINGER
BEGRÆNSNINGER I DEN NUVÆRENDE VERSION AF DDPS Systemet håndterer kun indgående DDoS-angreb Udgående DDoS-filtrering er op til kunden Angreb på applikationslaget kan FastNetMon ikke detektere Kunden bør sikre internetvendte applikationer mod I/O drænende angreb Faste værdier i FastNetMon for attacks thresholds Værdier for pps, mbps og flows. Mulighed for forskellige TCP, UDP & ICMP og samlet Ingen IPv6 support i FastNetMon endnu Adgang til Web-UI en fra kunden under et angreb, skal muligvis ske via 3G nettet Meget store +100 Gbps DDoS-angreb
FREMTIDEN? Tangui Coulouarn (DeiC) arbejder på et samarbejde blandt flere NRENs & GÉANT om DDoS-mitigering Håbet er, at DDPS kunne være interessant at bygge videre på i fælleskab Samarbejde med NORDUnet Sende vores BGP FlowSpec regler videre til NORDUnet Selective Blackholing - distance as a vector Selective Blackholing - risk-factor as a vector DKCERT arbejder på et spændende Netflow analyse projekt, som også kunne bruges som input til mitigering Adgang for forskere til data/systemet med fokus på forskning i DDoS-mitigering En frivillig, eller to, som vil teste systemet på deres netværk?
CREDITS
DDPS Anders Mundt Due Ashokaditya Mohanty Kasper Sort Nicolai Brunvoll Ernst Niels Thomas Haugård Tangui Coulouarn OPEN SOURCE Pavel Odintsov - FastNetMon En lang liste af open source projekter fra Linux, OpenBSD, PostgreSQL, InfluxDB, Node.js, OpenVPN, OpenSSH, ExaBGP og mange flere
?