Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.

KiadtaKrisztina Borbélyné Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt."— Előadás másolata:

1 DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.

2 Áttekintés n ISP feladatai n Védekezési módszerek n A HBONE felépitése n Lehetséges védelmi stratégiák a HBONE-ban n További lehetőségek

3 ISP feladatai n Megvédeni önmagát  Internettől, saját usereitől n Segiteni a customernek védeni önmagát  Internettől n Védeni az Internetet  Saját usereitől

4 ISP feladatai n Tudjuk, hogy meg fognak támadni  Mikor, milyen gyakran, hogyan n Aki felkészül/felkészült az kevésbé sérülékeny  Proaktiv lépések kidolgozása < Hogyan ismerjük fel, keressük meg, mit teszünk ellene?  A routerek védelme < Pld. CPU  A routing protokollok védelme  A hálózat védelme

5 Proaktiv lépések n Előre megirt access-listák  Characterizing & tracing packet floods < www.cisco.com/warp/public/707/22.html www.cisco.com/warp/public/707/22.html n Hop-by-hop tracing w NetFlow  ip route-cache flow  75k distributed: netflow cache on VIP n IP source tracking  GSR < Minden LC n CAR against DoS < http://www.cisco.com/warp/public/63/car_rate_limit_icmp.html

6 A routerek védelme n Globalis szervizek < no service finger < no service pad < no service udp-small-servers < no service tcp-small-servers < no ip bootp server < no cdp run n Interfesz specifikus szervizek < no ip redirects < no ip proxy-arp < no ip directed-broadcast < no cdp enabled (publikus, customer i/f)

7 A routerek védelme n Jelszavak  Enable secret, username < Új: username MD5 hash, nem reverzibilis, CSCds84754 n TCP keepalive  service tcp-keepalives-in n VTY access  xACL, log n SSH  server és kliens < crypto key generate rsa < line vty 0 4  transport input ssh

8 A routerek védelme n AAA  Authentication < nincs lokálisan tárolt jelszó  Authorization < command, service, …  Accounting < command accounting

9 A routerek védelme  no ip source-route  icmp unreachable overload – blackhole filter < „régen”  unreachable punted to RP/GRP < „most”  unreachable a VIP/LC által  no ip unreachables (null0 i/f-en is, BGP pull-up!! ) < icmp unreachable, DF rate-limit  Hidden, default: 1/500 ms, javasolt 1/1000msec

10 A routing protokoll védelme n Route authentication  OSPF, BGP, IS-IS, EIGRP, RIPv2  plain-text, MD5 n Selctive packet discard  bad TTL: process switching < ip spd mode aggressive < show ip spf

11 A hálózat védelme n route szűrés  distribute-list, prefix-list (csak az egyiket) n csomagszűrés  [eXended|Turbo] access-list, blackhole, uRPF n rate limitek  icmp, tcp syn

12 Route szűrés n Manning, DSUA < http://www.ietf.org/intenet-drafts/draft-manning-dsua-06.txt http://www.ietf.org/intenet-drafts/draft-manning-dsua-06.txt  RFC1918, loop, test-net, default  broadcast, multicast, end-node autoconfig (DHCP) < ip prefix-list dsua deny 0.0.0.0/8 le 32 < ip prefix-list dsua deny 10.0.0.0/8 le 32 < ip prefix-list dsua deny 127.0.0.0/8 le 32 < ip prefix-list dsua deny 169.254.0.0/16 le 32 < ip prefix-list dsua deny 192.0.2.0/24 le 32 < ip prefix-list dsua deny 192.168.0.0/16 le 32 < ip prefix-list dsua deny 224.0.0.0/3 le 32 < ip prefix-list dsua permit 0.0.0.0/0 le 32

13 Csomagszűrés n Blackhole filter – destination address  Static route to null0 < !! no ip unreachable !! < CEF path-ban dobunk: minimális/nulla CPU igény! n Remotely triggered blackhole filter  ISP DOS/DDOS tool < minden router: ip route „test-net” null0 < trigger: inject bgp, next-hop == test-net  iBGP, eBGP

14 Csomagszűrés n Ingress filter  BCP 38, RFC2827  access-list, dynamic w AAA profile < Adminisztrációs horror…  uRPF (strict, loose) < ISP-customer: strict < ISP-ISP: loose n Egress  Customer’s ingress uRPF

15 Csomagszűrés n uRPF  strict mode < ip verify unicast reverse-path < „ott jön” ahol a FIB szerint várjuk < ISP-customer kapcsolatnál  LL-cust, dialup, xDSL, cable, IXP L2 peering: OK  multi-homed customer same ISP –ISP: tweak weight –customer: maximum paths, per-dest load sharing  multi-homed customer different ISP: –ISP: tweak weight –customer

16 Csomagszűrés n uRPF  loose mode (CSCdr93424) < 72k, 75k, GSR E0, E1: 12.0(14)S < GSR E4+, E3, E2 (nem mind!, 3GE nem) 12.0(19|22|23)S < C6K: 12.1(8)E < exists-only mód  ip verify unicast source reachable-via [ any | rx ] [ allow-default ]  ip verify unicast reverse-path [ allow-self-ping ]  any: real i/f, a Null0 nem „real”! < ISP-ISP, ISP-IPX  IXP L3 peering n Bővebben:  http://www.cisco.com/public/cons/isp/documents/uRPF_Enhancem ent.pdf

17 Csomagszűrés n Loose uRPF – DoS tool  Remotely triggered < via BGP  check destination & source < A blackhole filter csak a destination-t „vizsgálta”

18 Proaktiv lépések n Hogyan találjuk meg a „támadás forrását  Hop-by-hop vs jump-to-ingress < Hop-by-hop -- Idő  Access-list log-input, NetFlow < Jump-to-ingress -- „belső” támadó?  Access-list log-input, NetFlow  ip source tracking < GSR: minden LC: 12.0(21)S  E0 és E1 perfornance impact for tracked  ”Backscatter” analizis < sink hole: default < drop to null0 with BGP < limit the icmp unreachables

19 HBONE n Külső kapcsolatok  GSR: Geant, NY, BIX, Sulinet, Kormányzat n Belső kapcsolatok:  GSR  75k RSP/VIP: vh75, vh76  C6K (nativ IOS)  C72k

20 HBONE n GSR LC:  E0 1*OC12ATM: mod QoS CLI, CAR, turboCAR, IP source tracker, ACL, xACL, tACL, NetFlow, sampled NetFlow  E0 4*OC3POS: mod QoS CLI, CAR, turboCAR, QPPB, uRPF, IP source tracker, [x|t]ACL, NetFlow, sampled NetFlow  E2 3*GE: mod QoS CLI, PIRC, ICMP rate-limit, IP source tracker, std [x|t]ACL, 128/448 [x]ACL (no subif, exclusive w PIRC), sampled NetFlow  E4 4*OC48POS: mod QoS CLI, CAR, IP source tracker, tACL (ingress only, egress is E0, E1, E2) n C72k, C75k  Virtuálisan minden, C75k: distributed szolgáltatások n C6k  Virtuálisan minden, HW-ből (PFC2)

Letölteni ppt "DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt."

Hasonló előadás

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 1/38 Virtual Private Network alapok titkosítás, IPsec Kovács József

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 1/38 Virtual Private Network alapok titkosítás, IPsec Kovács József
3 5 6 Application Services Deployment Services Databinding USER INTERFACE SERVICES XAML Accessibility Property System Input & Eventing BASE SERVICES.

3 5 6 Application Services Deployment Services Databinding USER INTERFACE SERVICES XAML Accessibility Property System Input & Eventing BASE SERVICES.
Module 10: Supporting Remote Users távoli felhasználó támogatása.

Module 10: Supporting Remote Users távoli felhasználó támogatása.
TCP/IP protokollverem

TCP/IP protokollverem
4. fejezet Hálózati réteg

4. fejezet Hálózati réteg
14. gyakorlat Zelei Dániel.

14. gyakorlat Zelei Dániel.
IP addressing Számítógép networkok gyakorlata ÓBUDAI EGYETEM 2011 TAVASZI FÉLÉV 3. LABORGYAKORLAT PRÉM DÁNIEL.

IP addressing Számítógép networkok gyakorlata ÓBUDAI EGYETEM 2011 TAVASZI FÉLÉV 3. LABORGYAKORLAT PRÉM DÁNIEL.
Hálózatok.

Hálózatok.
Tester Developer Architect Project Manager Business Analyst Designer Database Professional.

Tester Developer Architect Project Manager Business Analyst Designer Database Professional.
Alap hálózat összerakása Packet Tracerben

Alap hálózat összerakása Packet Tracerben
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.

Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
2 3 4 Connection DataReader Command MapConnection MapCommand MapDataReader Store Providers (e.g. SqlClient) Mapping provider Adattár (pl. SQL Server)

2 3 4 Connection DataReader Command MapConnection MapCommand MapDataReader Store Providers (e.g. SqlClient) Mapping provider Adattár (pl. SQL Server)
Balla Attila CCIE #7264 balla.attila@synergon.hu BGP optimalizálás Balla Attila CCIE #7264 balla.attila@synergon.hu.

Balla Attila CCIE #7264 BGP optimalizálás Balla Attila CCIE #7264
Hálózati architektúrák

Hálózati architektúrák
2008. augusztus 6.Budapest New Technology Meetup Group1 Zoltan Kalmar: Hahó Zoltan Kalmar: Hahó Kalmár Zoltán Internet Szolgáltatók.

2008. augusztus 6.Budapest New Technology Meetup Group1 Zoltan Kalmar: Hahó Zoltan Kalmar: Hahó Kalmár Zoltán Internet Szolgáltatók.
2 8 Kiadás éve / Platform Server (1000’s of users) Workgroup (Dozens of users) Desktop (Single User) Laptop Tablet PC Windows CE.

2 8 Kiadás éve / Platform Server (1000’s of users) Workgroup (Dozens of users) Desktop (Single User) Laptop Tablet PC Windows CE.
BGP routing ISP környezetben

BGP routing ISP környezetben
Jogában áll belépni?! Détári Gábor, rendszermérnök.

Jogában áll belépni?! Détári Gábor, rendszermérnök.
Bevezetés a tárgyakhoz Tárgyak  Objects are the containers for values of a specified type  Objects are either signals, variables or constants  Once.

Bevezetés a tárgyakhoz Tárgyak  Objects are the containers for values of a specified type  Objects are either signals, variables or constants  Once.
Tűzfal beállítása Ubuntuban

Tűzfal beállítása Ubuntuban

Hasonló előadás

Google Hirdetések