Teleyrityksen mahdollisuudet rajoittaa verkkohyökkäyksiä. Jorma Mellin Teknologiajohtaja TDC Oy

Transkriptio

1 Teleyrityksen mahdollisuudet rajoittaa verkkohyökkäyksiä Jorma Mellin Teknologiajohtaja TDC Oy

2

3

4

5 Palvelunestohyökkäys - periaate Kaapattujen laitteiden verkosto Ohjauskoneet Uhri tai kohde

6 Hyökkäystyypit - tekniset BoT verkot eli haittaohjelmalla saastutetut laitteet Harmittomia epäaktiivisina Odottavat ohjauskäskyjä kontrollikoneista Web sivustot joille asennettu hyökkäysohjelma Päivittämättömät käyttöjärjestelmät ja sovellukset (SQL, Apache, julkaisujärjestelmät) Usein konesaleissa joissa on kapasiteettia huomattavasti Liikenne Pakettikoot yleensä pieniä ICMP / DNS reflektorit UDP flood TCP syn (3-way handshake), HTTP GET yms Sovellustason liikenne esim. tietokantakyselyt

7 Hyökkäystyypit tekijät ja uhrit, syyt Uhrit Media (TV, lehdet, foorumit) Politiikka (kampanjat, vaalit, mielipiteet) Finanssisektori, pankit (=edustaa julkista valtaa?) (Uhka)peli sivustot (pokeri) Tekijät Haktivistit (tietoteknisesti orientuneet aktivistit) Rikolliset Militaristiset tahot, tiedusteluorganisaatiot Motivaattorit Näkyvyys, huomion saaminen omalle asialle, protesti Raha suoraan (kiristys) tai välillisesti esim. kilpailuhaittaa tuottamalla Huomion vieminen toisaalle jonkun oleellisen asian sijaan

8 Teleyrityksen mahdollisuudet rajoittaa Kaikki liikenne tulee ja lähtee teleyrityksen verkoista Kohteet teleyrityksen liittymäasiakkaat tai palvelinsalit Lähteet teleyrityksen yhteenliittämispisteet tai palvelinsalit Tilaajayhteydellä rajoittaminen on karkeaa Rajoitetaan kaikkea liikennettä joko suodattaen tai jonotuksella Estetään (valittu) liikenne kokonaan Televerkoissa rajoittaminen kompleksista Mistä liikenne tulee (kun satoja yhteenliittämispisteitä)? Miten rajoitetaan vain oikeita lähteitä ja kohteita? Kuinka kauan toimenpiteitä jatketaan ja miten seurataan? Miten todennetaan tapahtuma ja tehdyt toimenpiteet?

9 Tyypilliset rajoittamisen keinot Tilaajayhteydet ja lähiverkkolaitteet Palomuurit, IDS/IPS järjestelmät Palveluiden hajautus eri verkkoihin ja usealle operaattorille Televerkot Rajoitetaan asiakasverkon (kohteen) leviämistä reittitauluissa Liikenteen suodatus mahdollisimman lähellä lähdettä Maantieteellisesti rajaten (maanosa, valtio) Liikennetyypittäin (ml. pakettikoko) Blacklist/whitelist käytäntö Liikenteen ohjaus vaihtoehtoisille reiteille, välimuistien kautta tai roskakoriin Liikenteen ohjaus pakettipesureille (oma verkko tai pilvipalvelu) Liikenteen sormenjäljen jakaminen muille teleyrityksille estämistä varten

10 case esimerkki TDC DoS Protection

11 Arbor Atlas Verkonmonitorointi järjestelmä Kerätään näytteitä liikenteestä Näytteet analysoidaan Esitetään graafisesti Verkon käyttötilastoja Maantieteellisesti Operaattoreittain Sovelluksittain, myös haittaliikenne IPv4 / IPv6 Hyökkäysliikenteen torjunta Tunnistaminen ja heikennys (mitigointi) Suodatus Yhdistettävissä pakettipesureihin

12 TDC DoS Protection Seuranta Pesu Ilmaisu Ohjaus Hälytys! Kontakti! TDC DoS Protection 12

13 TDC DoS Protection - seuranta TDC verkkopesuri TDC probe PAIX (New York, Palo Alto) Equinix (New York, Ashburn) TDC seuraa liikennevuodataa kaikissa internetpeering pisteissään Seuranta voidaan tehdä IPosoitteen tarkkuudella Seurannassa olevan kohteen liikenne ohjataan verkkopesurin kautta heikennystä varten Heikennys vaikuttaa vain saapuvaan liikenteeseen Heikennystä säädetään hyökkäyksen aikana Collector, Command, Control TDC DoS Protection 13

14 TDC DoS Protection Pesu Esimerkki TDC DoS Protection 14

15 TDC DoS Protection Raportointi Objektikohtainen kuukausiraportti Sisältää myös havaitut vähemmän vakavat liikennepiikit Joka heikennyksen jälkeen raportti: Havaittu hyökkäys, sen lähde ja kesto Käytetyt heikennysmekanismit TDC DoS Protection 15

16 AS3292 DDoS esimerkki

17 Case

18 Case lähde

19 Case kohde

20 Yhteenveto ja varautuminen Palvelunestohyökkäykset ovat arkipäiväisiä teleyrityksille Maailmassa tuhansia hyökkäyksiä menossa joka ainoa päivä Gbps aivan normaalia, 100G+ harvinaisempaa (max. >300G) Teleyrityksiä ei kiinnosta < 10Gbps haittaliikenne Teleyritykset eivät suodata liikennettä mielellään, edes pyynnöstä Hyökkäyksiin voi varautua Joissain palomuureissa ja IDS/IPS laitteissa DDoS suodatukset mahdollisia Liikenteen monitorointi ja pakettipesurit teleyrityksiltä Palveluiden hajautus esim. Anycast tekniikalla Asianmukainen suunnittelu ja palveluiden sijoitus Todennäköiset kohteet konesaleihin joissa kapasiteettia VPN yhdyskäytävät ja muut kriittiset erilleen todennäköisistä kohteista Suodata pois liikenne jota et tarvitse

21