DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.

Slides:



Advertisements
Hasonló előadás
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 1/38 Virtual Private Network alapok titkosítás, IPsec Kovács József
Advertisements

3 5 6 Application Services Deployment Services Databinding USER INTERFACE SERVICES XAML Accessibility Property System Input & Eventing BASE SERVICES.
Module 10: Supporting Remote Users távoli felhasználó támogatása.
TCP/IP protokollverem
4. fejezet Hálózati réteg
14. gyakorlat Zelei Dániel.
IP addressing Számítógép networkok gyakorlata ÓBUDAI EGYETEM 2011 TAVASZI FÉLÉV 3. LABORGYAKORLAT PRÉM DÁNIEL.
Hálózatok.
Tester Developer Architect Project Manager Business Analyst Designer Database Professional.
Alap hálózat összerakása Packet Tracerben
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
2 3 4 Connection DataReader Command MapConnection MapCommand MapDataReader Store Providers (e.g. SqlClient) Mapping provider Adattár (pl. SQL Server)
Balla Attila CCIE #7264 BGP optimalizálás Balla Attila CCIE #7264
Hálózati architektúrák
2008. augusztus 6.Budapest New Technology Meetup Group1 Zoltan Kalmar: Hahó Zoltan Kalmar: Hahó Kalmár Zoltán Internet Szolgáltatók.
2 8 Kiadás éve / Platform Server (1000’s of users) Workgroup (Dozens of users) Desktop (Single User) Laptop Tablet PC Windows CE.
BGP routing ISP környezetben
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Bevezetés a tárgyakhoz Tárgyak  Objects are the containers for values of a specified type  Objects are either signals, variables or constants  Once.
Tűzfal beállítása Ubuntuban
Alhálózat számítás Osztályok Kezdő Kezdete Vége Alapértelmezett CIDR bitek alhálózati maszk megfelelője A /8 B
Hálózati Operációs Rendszerek
IP alapú hálózatok tervezése és üzemeltetése II.
IP alapú hálózatok tervezése és üzemeltetése II.
IP alapú hálózatok tervezése és üzemeltetése II.
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Hálózati Operációs Rendszerek
IP alapú hálózatok tervezése és üzemeltetése I.
A TCP/IP cím.
Course Situation and Event Driven Models for Multilevel Abstraction Based Virtual Engineering Spaces Óbuda University John von Neumann Faculty of Informatics.
Gyakorlat 12. Számítógép hálózatok I.
Címszámítás Számítógép hálózatok gyakorlata
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Edge Transport Routing and AV/AS Enterprise Network External SMTP servers Phone system (PBX or VOIP) Client Access Client connectivity Web services.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Windows Server 2008 { PowerShell }
Az ASP.NET programozási modell Ez az előadó neve beosztása vállalata.
Szervező program Pénzügy figyelő, számlázó program Legújabb alkalmazás.NET Framework 2.0 WSE.NET Framework 4.0 WCF Régebbi, jól bevált alkalmazás.
DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.
Internet csatlakozás TCP/IPDNS Domain, TLD Regisztráció ISZT ( Regisztrátor
Hálózati beállítások és szolgáltatások
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks P-GRADE Portal gyakorlat ismertető Gergely.
Tanulni, tanulni, tanulni Értékesítői képességek, a személyzet képzése.
Adatokkal a vásárlók és az eladók nyomában (Mindenhol vár egy jófogás) Kovács Márton.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
- Group Policy - Group Policy Preferences - Group Policy 4x5 - Optimális munkakörnyezet – az első lépcsőfok.
Gyakorlat 3. Számítógép hálózatok I.
*Generic Application-level Protocol Analyzer A lyuk azonosítása Lyuk kutatás Szignatúra fejlesztés Szignatúra tesztelés A szignatúra kiadása 4 óra.
Windows Server 2008 Távoli elérés – I.
© 2013, LogMeIn, Inc. | The Capability Cloud TM Git használata Visual Studio-ból.
Gyakorlat 6. Számítógép hálózatok I.
Gyakorlat 10. Számítógép hálózatok I.
Web Application 1 Web Application 3 Web Application 2 Web Application 4 Shared Service Provider 1 Shared Service Provider 2 Excel Services1 Search1.
Bifrost Anonim kommunikációs rendszer. Bevezetés Egyre több szolgáltatás jelenik meg az interneten, melyek megkövetelik az anonimitiást, pl.: Egészségügyi.
Hálózatok Turócziné Kiscsatári Nóra. Hálózatok kialakulás Az első hatalmas méretű számítógépek csak néhány ember számára voltak elérhetőek. Felmerült.
Automatizálási folyamatok az SQL 2012-ben
Készítette: Pandur Dániel
Kommunikáció a hálózaton Kommunikáció a hálózaton.
Ismerd meg az ellenségedet és magadat, így sikeres leszel a csatában! Milyen támadók vannak?  Script-kiddie  Think-tank  Robotok, automaták.
Spring 2000CS 4611 Hálózatok hálózata Váztal „Legjobb szándék” Szolgáltatási Modell Globális Címzés.
Hivatkozási modellek A TCP/IP hivatkozási modell
IP alálózatok.
Kiss Tibor System Administrator (MCP) ISA Server 2006.
Hálózatmenedzselés Network Monitoring Service Készítette: Nagy István Neptunkód: MCCB2B.
Hálózati rendszerek adminisztrációja JunOS OS alapokon
Hálózatok építése és üzemeltetése
WLAN-ok biztonsága.
IP alapú hálózatok tervezése és üzemeltetése II.
Válasz a hálózatra, biztonságra, meg mindenre: 7
TELE-OPERATOR® UTS v.18 Mobil internet szolgáltatások hálózatsemlegességét ellenőrző mérőrendszer működése Gyártó: COMPU-CONSULT Kft. Ügyvezető: dr.
Előadás másolata:

DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.

Áttekintés n ISP feladatai n Védekezési módszerek n A HBONE felépitése n Lehetséges védelmi stratégiák a HBONE-ban n További lehetőségek

ISP feladatai n Megvédeni önmagát  Internettől, saját usereitől n Segiteni a customernek védeni önmagát  Internettől n Védeni az Internetet  Saját usereitől

ISP feladatai n Tudjuk, hogy meg fognak támadni  Mikor, milyen gyakran, hogyan n Aki felkészül/felkészült az kevésbé sérülékeny  Proaktiv lépések kidolgozása < Hogyan ismerjük fel, keressük meg, mit teszünk ellene?  A routerek védelme < Pld. CPU  A routing protokollok védelme  A hálózat védelme

Proaktiv lépések n Előre megirt access-listák  Characterizing & tracing packet floods < n Hop-by-hop tracing w NetFlow  ip route-cache flow  75k distributed: netflow cache on VIP n IP source tracking  GSR < Minden LC n CAR against DoS <

A routerek védelme n Globalis szervizek < no service finger < no service pad < no service udp-small-servers < no service tcp-small-servers < no ip bootp server < no cdp run n Interfesz specifikus szervizek < no ip redirects < no ip proxy-arp < no ip directed-broadcast < no cdp enabled (publikus, customer i/f)

A routerek védelme n Jelszavak  Enable secret, username < Új: username MD5 hash, nem reverzibilis, CSCds84754 n TCP keepalive  service tcp-keepalives-in n VTY access  xACL, log n SSH  server és kliens < crypto key generate rsa < line vty 0 4  transport input ssh

A routerek védelme n AAA  Authentication < nincs lokálisan tárolt jelszó  Authorization < command, service, …  Accounting < command accounting

A routerek védelme  no ip source-route  icmp unreachable overload – blackhole filter < „régen”  unreachable punted to RP/GRP < „most”  unreachable a VIP/LC által  no ip unreachables (null0 i/f-en is, BGP pull-up!! ) < icmp unreachable, DF rate-limit  Hidden, default: 1/500 ms, javasolt 1/1000msec

A routing protokoll védelme n Route authentication  OSPF, BGP, IS-IS, EIGRP, RIPv2  plain-text, MD5 n Selctive packet discard  bad TTL: process switching < ip spd mode aggressive < show ip spf

A hálózat védelme n route szűrés  distribute-list, prefix-list (csak az egyiket) n csomagszűrés  [eXended|Turbo] access-list, blackhole, uRPF n rate limitek  icmp, tcp syn

Route szűrés n Manning, DSUA <  RFC1918, loop, test-net, default  broadcast, multicast, end-node autoconfig (DHCP) < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /16 le 32 < ip prefix-list dsua deny /24 le 32 < ip prefix-list dsua deny /16 le 32 < ip prefix-list dsua deny /3 le 32 < ip prefix-list dsua permit /0 le 32

Csomagszűrés n Blackhole filter – destination address  Static route to null0 < !! no ip unreachable !! < CEF path-ban dobunk: minimális/nulla CPU igény! n Remotely triggered blackhole filter  ISP DOS/DDOS tool < minden router: ip route „test-net” null0 < trigger: inject bgp, next-hop == test-net  iBGP, eBGP

Csomagszűrés n Ingress filter  BCP 38, RFC2827  access-list, dynamic w AAA profile < Adminisztrációs horror…  uRPF (strict, loose) < ISP-customer: strict < ISP-ISP: loose n Egress  Customer’s ingress uRPF

Csomagszűrés n uRPF  strict mode < ip verify unicast reverse-path < „ott jön” ahol a FIB szerint várjuk < ISP-customer kapcsolatnál  LL-cust, dialup, xDSL, cable, IXP L2 peering: OK  multi-homed customer same ISP –ISP: tweak weight –customer: maximum paths, per-dest load sharing  multi-homed customer different ISP: –ISP: tweak weight –customer

Csomagszűrés n uRPF  loose mode (CSCdr93424) < 72k, 75k, GSR E0, E1: 12.0(14)S < GSR E4+, E3, E2 (nem mind!, 3GE nem) 12.0(19|22|23)S < C6K: 12.1(8)E < exists-only mód  ip verify unicast source reachable-via [ any | rx ] [ allow-default ]  ip verify unicast reverse-path [ allow-self-ping ]  any: real i/f, a Null0 nem „real”! < ISP-ISP, ISP-IPX  IXP L3 peering n Bővebben:  ent.pdf

Csomagszűrés n Loose uRPF – DoS tool  Remotely triggered < via BGP  check destination & source < A blackhole filter csak a destination-t „vizsgálta”

Proaktiv lépések n Hogyan találjuk meg a „támadás forrását  Hop-by-hop vs jump-to-ingress < Hop-by-hop -- Idő  Access-list log-input, NetFlow < Jump-to-ingress -- „belső” támadó?  Access-list log-input, NetFlow  ip source tracking < GSR: minden LC: 12.0(21)S  E0 és E1 perfornance impact for tracked  ”Backscatter” analizis < sink hole: default < drop to null0 with BGP < limit the icmp unreachables

HBONE n Külső kapcsolatok  GSR: Geant, NY, BIX, Sulinet, Kormányzat n Belső kapcsolatok:  GSR  75k RSP/VIP: vh75, vh76  C6K (nativ IOS)  C72k

HBONE n GSR LC:  E0 1*OC12ATM: mod QoS CLI, CAR, turboCAR, IP source tracker, ACL, xACL, tACL, NetFlow, sampled NetFlow  E0 4*OC3POS: mod QoS CLI, CAR, turboCAR, QPPB, uRPF, IP source tracker, [x|t]ACL, NetFlow, sampled NetFlow  E2 3*GE: mod QoS CLI, PIRC, ICMP rate-limit, IP source tracker, std [x|t]ACL, 128/448 [x]ACL (no subif, exclusive w PIRC), sampled NetFlow  E4 4*OC48POS: mod QoS CLI, CAR, IP source tracker, tACL (ingress only, egress is E0, E1, E2) n C72k, C75k  Virtuálisan minden, C75k: distributed szolgáltatások n C6k  Virtuálisan minden, HW-ből (PFC2)