Teleyrityksen mahdollisuudet rajoittaa verkkohyökkäyksiä Jorma Mellin Teknologiajohtaja TDC Oy
Palvelunestohyökkäys - periaate Kaapattujen laitteiden verkosto Ohjauskoneet Uhri tai kohde
Hyökkäystyypit - tekniset BoT verkot eli haittaohjelmalla saastutetut laitteet Harmittomia epäaktiivisina Odottavat ohjauskäskyjä kontrollikoneista Web sivustot joille asennettu hyökkäysohjelma Päivittämättömät käyttöjärjestelmät ja sovellukset (SQL, Apache, julkaisujärjestelmät) Usein konesaleissa joissa on kapasiteettia huomattavasti Liikenne Pakettikoot yleensä pieniä ICMP / DNS reflektorit UDP flood TCP syn (3-way handshake), HTTP GET yms Sovellustason liikenne esim. tietokantakyselyt
Hyökkäystyypit tekijät ja uhrit, syyt Uhrit Media (TV, lehdet, foorumit) Politiikka (kampanjat, vaalit, mielipiteet) Finanssisektori, pankit (=edustaa julkista valtaa?) (Uhka)peli sivustot (pokeri) Tekijät Haktivistit (tietoteknisesti orientuneet aktivistit) Rikolliset Militaristiset tahot, tiedusteluorganisaatiot Motivaattorit Näkyvyys, huomion saaminen omalle asialle, protesti Raha suoraan (kiristys) tai välillisesti esim. kilpailuhaittaa tuottamalla Huomion vieminen toisaalle jonkun oleellisen asian sijaan
Teleyrityksen mahdollisuudet rajoittaa Kaikki liikenne tulee ja lähtee teleyrityksen verkoista Kohteet teleyrityksen liittymäasiakkaat tai palvelinsalit Lähteet teleyrityksen yhteenliittämispisteet tai palvelinsalit Tilaajayhteydellä rajoittaminen on karkeaa Rajoitetaan kaikkea liikennettä joko suodattaen tai jonotuksella Estetään (valittu) liikenne kokonaan Televerkoissa rajoittaminen kompleksista Mistä liikenne tulee (kun satoja yhteenliittämispisteitä)? Miten rajoitetaan vain oikeita lähteitä ja kohteita? Kuinka kauan toimenpiteitä jatketaan ja miten seurataan? Miten todennetaan tapahtuma ja tehdyt toimenpiteet?
Tyypilliset rajoittamisen keinot Tilaajayhteydet ja lähiverkkolaitteet Palomuurit, IDS/IPS järjestelmät Palveluiden hajautus eri verkkoihin ja usealle operaattorille Televerkot Rajoitetaan asiakasverkon (kohteen) leviämistä reittitauluissa Liikenteen suodatus mahdollisimman lähellä lähdettä Maantieteellisesti rajaten (maanosa, valtio) Liikennetyypittäin (ml. pakettikoko) Blacklist/whitelist käytäntö Liikenteen ohjaus vaihtoehtoisille reiteille, välimuistien kautta tai roskakoriin Liikenteen ohjaus pakettipesureille (oma verkko tai pilvipalvelu) Liikenteen sormenjäljen jakaminen muille teleyrityksille estämistä varten
case esimerkki TDC DoS Protection
Arbor Atlas Verkonmonitorointi järjestelmä Kerätään näytteitä liikenteestä Näytteet analysoidaan Esitetään graafisesti Verkon käyttötilastoja Maantieteellisesti Operaattoreittain Sovelluksittain, myös haittaliikenne IPv4 / IPv6 Hyökkäysliikenteen torjunta Tunnistaminen ja heikennys (mitigointi) Suodatus Yhdistettävissä pakettipesureihin
TDC DoS Protection Seuranta Pesu Ilmaisu Ohjaus Hälytys! Kontakti! 21.9.2012 TDC DoS Protection 12
TDC DoS Protection - seuranta TDC verkkopesuri TDC probe PAIX (New York, Palo Alto) Equinix (New York, Ashburn) TDC seuraa liikennevuodataa kaikissa internetpeering pisteissään Seuranta voidaan tehdä IPosoitteen tarkkuudella Seurannassa olevan kohteen liikenne ohjataan verkkopesurin kautta heikennystä varten Heikennys vaikuttaa vain saapuvaan liikenteeseen Heikennystä säädetään hyökkäyksen aikana Collector, Command, Control 21.9.2012 TDC DoS Protection 13
TDC DoS Protection Pesu Esimerkki 21.9.2012 TDC DoS Protection 14
TDC DoS Protection Raportointi Objektikohtainen kuukausiraportti Sisältää myös havaitut vähemmän vakavat liikennepiikit Joka heikennyksen jälkeen raportti: Havaittu hyökkäys, sen lähde ja kesto Käytetyt heikennysmekanismit 21.9.2012 TDC DoS Protection 15
AS3292 DDoS 11.9.2012 - esimerkki
Case 497909
Case 497909 lähde
Case 497909 kohde
Yhteenveto ja varautuminen Palvelunestohyökkäykset ovat arkipäiväisiä teleyrityksille Maailmassa tuhansia hyökkäyksiä menossa joka ainoa päivä Gbps aivan normaalia, 100G+ harvinaisempaa (max. >300G) Teleyrityksiä ei kiinnosta < 10Gbps haittaliikenne Teleyritykset eivät suodata liikennettä mielellään, edes pyynnöstä Hyökkäyksiin voi varautua Joissain palomuureissa ja IDS/IPS laitteissa DDoS suodatukset mahdollisia Liikenteen monitorointi ja pakettipesurit teleyrityksiltä Palveluiden hajautus esim. Anycast tekniikalla Asianmukainen suunnittelu ja palveluiden sijoitus Todennäköiset kohteet konesaleihin joissa kapasiteettia VPN yhdyskäytävät ja muut kriittiset erilleen todennäköisistä kohteista Suodata pois liikenne jota et tarvitse