DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.
Áttekintés n ISP feladatai n Védekezési módszerek n A HBONE felépitése n Lehetséges védelmi stratégiák a HBONE-ban n További lehetőségek
ISP feladatai n Megvédeni önmagát Internettől, saját usereitől n Segiteni a customernek védeni önmagát Internettől n Védeni az Internetet Saját usereitől
ISP feladatai n Tudjuk, hogy meg fognak támadni Mikor, milyen gyakran, hogyan n Aki felkészül/felkészült az kevésbé sérülékeny Proaktiv lépések kidolgozása < Hogyan ismerjük fel, keressük meg, mit teszünk ellene? A routerek védelme < Pld. CPU A routing protokollok védelme A hálózat védelme
Proaktiv lépések n Előre megirt access-listák Characterizing & tracing packet floods < n Hop-by-hop tracing w NetFlow ip route-cache flow 75k distributed: netflow cache on VIP n IP source tracking GSR < Minden LC n CAR against DoS <
A routerek védelme n Globalis szervizek < no service finger < no service pad < no service udp-small-servers < no service tcp-small-servers < no ip bootp server < no cdp run n Interfesz specifikus szervizek < no ip redirects < no ip proxy-arp < no ip directed-broadcast < no cdp enabled (publikus, customer i/f)
A routerek védelme n Jelszavak Enable secret, username < Új: username MD5 hash, nem reverzibilis, CSCds84754 n TCP keepalive service tcp-keepalives-in n VTY access xACL, log n SSH server és kliens < crypto key generate rsa < line vty 0 4 transport input ssh
A routerek védelme n AAA Authentication < nincs lokálisan tárolt jelszó Authorization < command, service, … Accounting < command accounting
A routerek védelme no ip source-route icmp unreachable overload – blackhole filter < „régen” unreachable punted to RP/GRP < „most” unreachable a VIP/LC által no ip unreachables (null0 i/f-en is, BGP pull-up!! ) < icmp unreachable, DF rate-limit Hidden, default: 1/500 ms, javasolt 1/1000msec
A routing protokoll védelme n Route authentication OSPF, BGP, IS-IS, EIGRP, RIPv2 plain-text, MD5 n Selctive packet discard bad TTL: process switching < ip spd mode aggressive < show ip spf
A hálózat védelme n route szűrés distribute-list, prefix-list (csak az egyiket) n csomagszűrés [eXended|Turbo] access-list, blackhole, uRPF n rate limitek icmp, tcp syn
Route szűrés n Manning, DSUA < RFC1918, loop, test-net, default broadcast, multicast, end-node autoconfig (DHCP) < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /8 le 32 < ip prefix-list dsua deny /16 le 32 < ip prefix-list dsua deny /24 le 32 < ip prefix-list dsua deny /16 le 32 < ip prefix-list dsua deny /3 le 32 < ip prefix-list dsua permit /0 le 32
Csomagszűrés n Blackhole filter – destination address Static route to null0 < !! no ip unreachable !! < CEF path-ban dobunk: minimális/nulla CPU igény! n Remotely triggered blackhole filter ISP DOS/DDOS tool < minden router: ip route „test-net” null0 < trigger: inject bgp, next-hop == test-net iBGP, eBGP
Csomagszűrés n Ingress filter BCP 38, RFC2827 access-list, dynamic w AAA profile < Adminisztrációs horror… uRPF (strict, loose) < ISP-customer: strict < ISP-ISP: loose n Egress Customer’s ingress uRPF
Csomagszűrés n uRPF strict mode < ip verify unicast reverse-path < „ott jön” ahol a FIB szerint várjuk < ISP-customer kapcsolatnál LL-cust, dialup, xDSL, cable, IXP L2 peering: OK multi-homed customer same ISP –ISP: tweak weight –customer: maximum paths, per-dest load sharing multi-homed customer different ISP: –ISP: tweak weight –customer
Csomagszűrés n uRPF loose mode (CSCdr93424) < 72k, 75k, GSR E0, E1: 12.0(14)S < GSR E4+, E3, E2 (nem mind!, 3GE nem) 12.0(19|22|23)S < C6K: 12.1(8)E < exists-only mód ip verify unicast source reachable-via [ any | rx ] [ allow-default ] ip verify unicast reverse-path [ allow-self-ping ] any: real i/f, a Null0 nem „real”! < ISP-ISP, ISP-IPX IXP L3 peering n Bővebben: ent.pdf
Csomagszűrés n Loose uRPF – DoS tool Remotely triggered < via BGP check destination & source < A blackhole filter csak a destination-t „vizsgálta”
Proaktiv lépések n Hogyan találjuk meg a „támadás forrását Hop-by-hop vs jump-to-ingress < Hop-by-hop -- Idő Access-list log-input, NetFlow < Jump-to-ingress -- „belső” támadó? Access-list log-input, NetFlow ip source tracking < GSR: minden LC: 12.0(21)S E0 és E1 perfornance impact for tracked ”Backscatter” analizis < sink hole: default < drop to null0 with BGP < limit the icmp unreachables
HBONE n Külső kapcsolatok GSR: Geant, NY, BIX, Sulinet, Kormányzat n Belső kapcsolatok: GSR 75k RSP/VIP: vh75, vh76 C6K (nativ IOS) C72k
HBONE n GSR LC: E0 1*OC12ATM: mod QoS CLI, CAR, turboCAR, IP source tracker, ACL, xACL, tACL, NetFlow, sampled NetFlow E0 4*OC3POS: mod QoS CLI, CAR, turboCAR, QPPB, uRPF, IP source tracker, [x|t]ACL, NetFlow, sampled NetFlow E2 3*GE: mod QoS CLI, PIRC, ICMP rate-limit, IP source tracker, std [x|t]ACL, 128/448 [x]ACL (no subif, exclusive w PIRC), sampled NetFlow E4 4*OC48POS: mod QoS CLI, CAR, IP source tracker, tACL (ingress only, egress is E0, E1, E2) n C72k, C75k Virtuálisan minden, C75k: distributed szolgáltatások n C6k Virtuálisan minden, HW-ből (PFC2)