DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.

Áttekintés n ISP feladatai n Védekezési módszerek n A HBONE felépitése n Lehetséges védelmi stratégiák a HBONE-ban n További lehetőségek

ISP feladatai n Megvédeni önmagát  Internettől, saját usereitől n Segiteni a customernek védeni önmagát  Internettől n Védeni az Internetet  Saját usereitől

ISP feladatai n Tudjuk, hogy meg fognak támadni  Mikor, milyen gyakran, hogyan n Aki felkészül/felkészült az kevésbé sérülékeny  Proaktiv lépések kidolgozása < Hogyan ismerjük fel, keressük meg, mit teszünk ellene?  A routerek védelme < Pld. CPU  A routing protokollok védelme  A hálózat védelme

Proaktiv lépések n Előre megirt access-listák  Characterizing & tracing packet floods < n Hop-by-hop tracing w NetFlow  ip route-cache flow  75k distributed: netflow cache on VIP n IP source tracking  GSR < Minden LC n CAR against DoS <

A routerek védelme n Globalis szervizek < no service finger < no service pad < no service udp-small-servers < no service tcp-small-servers < no ip bootp server < no cdp run n Interfesz specifikus szervizek < no ip redirects < no ip proxy-arp < no ip directed-broadcast < no cdp enabled (publikus, customer i/f)

A routerek védelme n Jelszavak  Enable secret, username < Új: username MD5 hash, nem reverzibilis, CSCds84754 n TCP keepalive  service tcp-keepalives-in n VTY access  xACL, log n SSH  server és kliens < crypto key generate rsa < line vty 0 4  transport input ssh

A routerek védelme n AAA  Authentication < nincs lokálisan tárolt jelszó  Authorization < command, service, …  Accounting < command accounting

A routerek védelme  no ip source-route  icmp unreachable overload – blackhole filter < „régen”  unreachable punted to RP/GRP < „most”  unreachable a VIP/LC által  no ip unreachables (null0 i/f-en is, BGP pull-up!! ) < icmp unreachable, DF rate-limit  Hidden, default: 1/500 ms, javasolt 1/1000msec

A routing protokoll védelme n Route authentication  OSPF, BGP, IS-IS, EIGRP, RIPv2  plain-text, MD5 n Selctive packet discard  bad TTL: process switching < ip spd mode aggressive < show ip spf

A hálózat védelme n route szűrés  distribute-list, prefix-list (csak az egyiket) n csomagszűrés  [eXended|Turbo] access-list, blackhole, uRPF n rate limitek  icmp, tcp syn

Route szűrés n Manning, DSUA <  RFC1918, loop, test-net, default  broadcast, multicast, end-node autoconfig (DHCP) < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /16 le 32 < ip prefix-list dsua deny /24 le 32 < ip prefix-list dsua deny /16 le 32 < ip prefix-list dsua deny /3 le 32 < ip prefix-list dsua permit /0 le 32

Csomagszűrés n Blackhole filter – destination address  Static route to null0 < !! no ip unreachable !! < CEF path-ban dobunk: minimális/nulla CPU igény! n Remotely triggered blackhole filter  ISP DOS/DDOS tool < minden router: ip route „test-net” null0 < trigger: inject bgp, next-hop == test-net  iBGP, eBGP

Csomagszűrés n Ingress filter  BCP 38, RFC2827  access-list, dynamic w AAA profile < Adminisztrációs horror…  uRPF (strict, loose) < ISP-customer: strict < ISP-ISP: loose n Egress  Customer’s ingress uRPF

Csomagszűrés n uRPF  strict mode < ip verify unicast reverse-path < „ott jön” ahol a FIB szerint várjuk < ISP-customer kapcsolatnál  LL-cust, dialup, xDSL, cable, IXP L2 peering: OK  multi-homed customer same ISP –ISP: tweak weight –customer: maximum paths, per-dest load sharing  multi-homed customer different ISP: –ISP: tweak weight –customer

Csomagszűrés n uRPF  loose mode (CSCdr93424) < 72k, 75k, GSR E0, E1: 12.0(14)S < GSR E4+, E3, E2 (nem mind!, 3GE nem) 12.0(19|22|23)S < C6K: 12.1(8)E < exists-only mód  ip verify unicast source reachable-via [ any | rx ] [ allow-default ]  ip verify unicast reverse-path [ allow-self-ping ]  any: real i/f, a Null0 nem „real”! < ISP-ISP, ISP-IPX  IXP L3 peering n Bővebben:  ent.pdf

Csomagszűrés n Loose uRPF – DoS tool  Remotely triggered < via BGP  check destination & source < A blackhole filter csak a destination-t „vizsgálta”

Proaktiv lépések n Hogyan találjuk meg a „támadás forrását  Hop-by-hop vs jump-to-ingress < Hop-by-hop -- Idő  Access-list log-input, NetFlow < Jump-to-ingress -- „belső” támadó?  Access-list log-input, NetFlow  ip source tracking < GSR: minden LC: 12.0(21)S  E0 és E1 perfornance impact for tracked  ”Backscatter” analizis < sink hole: default < drop to null0 with BGP < limit the icmp unreachables

HBONE n Külső kapcsolatok  GSR: Geant, NY, BIX, Sulinet, Kormányzat n Belső kapcsolatok:  GSR  75k RSP/VIP: vh75, vh76  C6K (nativ IOS)  C72k

HBONE n GSR LC:  E0 1*OC12ATM: mod QoS CLI, CAR, turboCAR, IP source tracker, ACL, xACL, tACL, NetFlow, sampled NetFlow  E0 4*OC3POS: mod QoS CLI, CAR, turboCAR, QPPB, uRPF, IP source tracker, [x|t]ACL, NetFlow, sampled NetFlow  E2 3*GE: mod QoS CLI, PIRC, ICMP rate-limit, IP source tracker, std [x|t]ACL, 128/448 [x]ACL (no subif, exclusive w PIRC), sampled NetFlow  E4 4*OC48POS: mod QoS CLI, CAR, IP source tracker, tACL (ingress only, egress is E0, E1, E2) n C72k, C75k  Virtuálisan minden, C75k: distributed szolgáltatások n C6k  Virtuálisan minden, HW-ből (PFC2)