Netia DDoS Protection
Bezpieczeństwo
Kierownik Produktu: Mariusz Nowak
Czym jest atak DDoS?
DDoS (ang. Distributed Denial of Service) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany jednocześnie z wielu komputerów.
Typowy wolumen ruchu fałszywego jest kilkadziesiąt lub kilkaset razy większy niż ruch właściwy.
Symptomy ataku DDoS (co zauważa klient):
- nienaturalna, wysoka ilość zapytań do serwera od wielu klientów (z wielu różnych adresów IP)
- brak możliwości skorzystania z witryny / aplikacji / serwisu związane z wysokim obłożeniem
- otrzymanie informacji od specjalisty Netii, iż prawdopodobnie doszło do ataku
Cel ataku:
- Spowodować niedostępność serwisu.
- Przykryć inne, przeprowadzane równolegle, ataki cybernetyczne.
Skutki ataku DDoS:
- zablokowanie działalności danej instytucji,
- straty finansowe i wizerunkowe,
- kradzież danych wrażliwych.
Opis usługi
Sposób działania usługi DDoS Protection
Usługa przeciwdziałania atakom Distributed Denial of Service (DDoS).
Netia DDoS Protection obejmuje monitorowanie ruchu sieciowego kierowanego do sieci
klienta pod kątem prób ataków DDoS na udostępnione w Internecie treści i usługi.
Jedną z najważniejszych cech Netia DDoS Protection jest niezwłoczne powiadomienie
klienta o pojawieniu się zagrożeń wskazujących na wystąpienie ataku oraz comiesięczne raporty podsumowujące podjęte działania (zgodnie z opcją wykupionej usługi).
W zależności od uzgodnionych procedur, po wykryciu ataku ruch zainfekowany zostaje przekierowany do specjalnego Centrum Przeciwdziałania Atakom DDoS znajdującego się w sieci Netia. Po odfiltrowaniu ruchu z komputerów "zombie", pożądany ruch jest kierowany ponownie do klienta.
Ważne: Usługa jest ściśle powiązania z usługą BDI. Nie ma możliwości uruchomienia Netia DDoS Protection na innym łączu.
Składniki usługi
Monitorowanie ruchu
Usługa opiera się na monitoringu urządzeń aktywnych Netii (służących dostarczaniu Internetu dla Klienta) w celu sporządzenia statystyk ruchu. Używane protokoły:
- NetFlow
- SNMP
- Internal BGP
Wykrywanie zagrożeń
Efektywną identyfikację potencjalnych ataków DDoS zapewniają trzy rodzaje mechanizmów detekcji:
- Sygnatury (system ATLAS),
- Missused detection - przekroczenie progów dla określonych typów pakietów i protokołów,
- Profiled detection - oparty na analizie profilu ruchu Klienta; wykrywanie nieoczekiwanych zmian ruchu w odniesieniu do tego profilu.
Usługa monitoruje ruch do i od chronionej podsieci w czasie rzeczywistym.
- Zapewnia wykrywanie anomalii polegających na przekroczeniu wartości uważanych za normalne w ruchu internetowym, a w szczególności pakietów: TCP SYN, TCP RST, TCP Null, ICMP, IP Null, IP Fragmented, DNS.
- System realizujący usługę na podstawie danych historycznych wyznacza oczekiwaną wartość ruchu do i od chronionej podsieci o danej porze dnia i w danym dniu tygodnia.
- Wykrywa anomalie polegające na znaczącym przekroczeniu wolumenu ruchu w stosunku do wcześniej wyznaczonych wartości oczekiwanego ruchu.
Mitygacja – oczyszczanie ruchu
Uwaga! Włączenie mitygacji może zostać zlecone tylko i wyłącznie przez osobę posiadająca hasło do usługi i wymienioną w umowie na usługę DDoS!
Zasadnicza część usługi polegająca na usuwaniu ataku przy możliwie jak najmniejszym wpływie na ruch uprawniony. Efektywne działanie obejmuje trzy procedury:
- Off-ramping - w przypadku podejrzenia wystąpienia ataku, ruch przekierowany zostanie do Centrum Przeciwdziałania Atakom DDoS w oparciu o funkcjonalność protokołu BGP Flowspec,
- filtrowanie - oparte o wielowarstwową analizę ruchu i mechanizmy przeciwdziałania,
- On-ramping - kierowanie odfiltrowanego ruchu z powrotem do Klienta.
Netia DDoS Protection obejmuje:
- analizę ruchu w celu identyfikacji typu i natury ataku,
- powiadamianie Klienta o podejrzeniu wystąpienia ataku,
- rozpoczęcie usuwania ataku w porozumieniu z Klientem (możliwe jest automatyczne uruchamianie obrony dla alarmów o wysokim poziomie zagrożenia),
- modyfikację zestawu użytych mechanizmów przeciwdziałania tak, by uzyskać maksymalny poziom filtracji ruchu niepożądanego przy minimalnym wpływie na ruch prawidłowy,
- klasyfikację alarmów typu DDoS jako:
- zweryfikowany atak,
- fałszywy alarm,
- nagły ruch – wzrost ruchu spowodowany inną przyczyną niż atak (np. pojawienie się reklamy z promocją).
Zakres mitygacji (oczyszczania) ataków:
- ochrona przed atakami o wolumenie do 50 Gb/sek.
- możliwe jest rozszerzenie ochrony powyżej tego poziomu
- w trakcie mitygacji pakiety nie są przekierowane poza teren Polski
- filtrowanie ruchu z błędnymi nagłówkami IP/TCP/UDP
- odrzucanie lub przepuszczanie, na bazie zdefiniowanych dla każdego z klientów filtrów operujących na informacjach w nagłówkach warstwy 3. i 4. modelu OSI
- możliwe jest rozszerzenie ochrony do warstwy 7.
- filtrowanie ruchu na określonych portach UDP na podstawie zawartości pola danych w oparciu o wyrażenia regularne
- filtrowanie ruchu na określonych portach TCP na podstawie zawartości pola danych w oparciu o wyrażenia regularne
- ochrona przed atakami ze „spoofowanymi” (udawanymi) adresami źródłowymi IP poprzez autentykację sesji TCP, zapytań DNS oraz zapytań HTTP
- filtrowanie nieprawidłowych zapytań DNS
- ograniczenia zapytań DNS do zadanej wartości zapytań na sek.
- usługa zapewnia do 5 filtrów opartych o wyrażenia regularne, definiujących zakres stosowania autentykacji DNS oraz ograniczania liczby zapytań DNS
- filtrowanie nieprawidłowych zapytań HTTP
- blokowanie ruchu od stacji końcowych przekraczających progi dla operacji HTTP na sekundę per serwer lub per URL
- usługa zapewnia do 5 filtrów opartych o wyrażenia regularne, definiujących zakres stosowania autentykacji HTTP lub ograniczania liczby zapytań HTTP
- filtrowanie ruchu w oparciu o wyrażenia regularne dotyczące nagłówków HTTP
- ochrona przez atakami typu „slow Lories”, poprzez resetowanie połączeń, które pozostają nieaktywne przez zadany okres czasu
- ochrona przez atakami typu „slow Lories”, poprzez resetowanie sesji TCP, której opaktywność jest poniżej zadanej liczby bajtów przesyłanej w zadanym okresie czasu
- wykrywanie ruchu kierowanego z serwerów CDN proxy i stosowanie algorytmów filtrowania na podstawie oryginalnego źródła ruchu
- wykrywanie i filtrowanie pakietów z nieprawidłowymi nagłówkami SSL/TLS lub nagłówkami SSL/TLS, które są poza sekwencją
- blokowane sesji, jeżeli podczas negocjacji SSL/TLS klient zażąda nadmiernej ilości metod kryptograficznych lub rozszerzeń użytkownika.; próg dla tych wartości jest konfigurowalny
- wykrywanie i rozłączanie sesji, jeżeli negocjacja SSL/TLS nie zakończy się w zadanym czasie
- blokowanie ruchu ze stacji, dla których występuje nadmierna liczba nieprawidłowych, nadmiarowych lub niekompletnych sesji SSL
- monitorowanie negocjacji SSL dla wszystkich portów, na których mogą być stosowane aplikacje zabezpieczone protokołem TLS: HTTPS, SMTP, IMAP4, POP, LDAP, IRC, NNTP, TELNET, FTP i SIP.
- ochrona przed atakami pochodzącym od sieci botnetowych (komputerów zainfekowanych w sposób umożliwiające zdalne sterowanie przez hackerów) poprzez filtrowanie dzięki na bieżąco aktualizowanym sygnaturom zawierającym listę adresów IP
- ochrona przed atakami pochodzącymi z sieci botnetowych poprzez wykrywanie źródeł ataku o wolumenie przekraczającym zadane wartości; wartości progowe są definiowalne zarówno dla całości ruchu, jak i do części ruchu zdefiniowanego za pomocą filtra
- usługa pozwala na uruchamianie mitygacji w celu nauczenia się systemu wartości typowych ruchu, które następnie mogą być wykorzystywania do właściwego ustawiania progów dla algorytmów mitygacji.
Osoba uprawniona (po stronie klienta) ma możliwość zmiany parametrów mitygacji oraz jej wyłączenia w dowolnym momencie.
System
System ochrony wolumetrycznej w sieci Netii bazuje na zdublowanej wysokodostępnej infrastrukturze Arbor Peakflow SP. System składa się z następujących elementów:
- CP (Collector Platform)
- TMS (Threat Mitigation System)
- UI1 (User Interface)
Urządzenie CP (Collector Platform) pełni rolę urządzenia monitorującego i analizującego przepływający ruch sieciowy. Jego zadaniem jest wykrywanie anomalii w ramach monitorowanego ruchu. Odbywa się to na podstawie informacji o ruchu otrzymywanych z routerów brzegowych za pomocą protokołu NetFlow. Informacja Netflow dodatkowo wzbogacana jest o informacje pochodzące z protokołów BGP oraz SNMP. Wykryte anomalie widoczne są w systemie Arbor SP jako Alerty.
Na podstawie zebranych przez urządzenie CP (Collector Platform) informacji platforma TMS (Threat Mitigation System) tworzy filtry prefiksów, które implementowane są na routerach brzegowych w celu zmitygowania ataków przekraczających jego wydajność. Generowane są automatyczne skrypty realizujące dodatkową ochronę w oparciu o mechanizmy blackholingu geolokalizacyjnego.
Panel WWW
Dedykowany dla administratorów dostęp do portalu www systemu ochrony DDoS.
- dostęp do panelu www w trybie tylko do odczytu poprzez sieć Internet
- dostęp do panelu zabezpieczony w oparciu o technologię IPsec (wymagana usługa Remote Access)
- możliwość tworzenia raportów oraz przeglądania statystyk z analizy ruchu sieciowego
- możliwość wygenerowania i pobrania raportu w formacie pdf lub xml
- możliwość wysłania raportu na wskazany adres email
Raportowanie
Raport miesięczny
Indywidualnie przygotowany raport zawiera następujące statystyki:
- poziom ruchu wchodzącego i wychodzącego,
- maksymalne poziomy ruchu,
- lista zarejestrowanych ataków,
- lista usuniętych ataków.
Raport z incydentu
Raport generowany jest po zakończeniu operacji oczyszczania ruchu po zaistniałym ataku. Sposób inicjowania oraz zakończenia procedury jest uzgadniany z Klientem. Informacja o wystąpieniu zawiera co najmniej następujące statystyki:
- rozmiar ataku, liczniki pakietów, Gb/s oraz procent całości ruchu,
- czas trwania ataku,
- główne źródła ataku,
- typ i natura ataku,
- wdrożone metody eliminacji ataku,
- geograficzna lokalizacja źródeł ataku,
- wielkość oczyszczonego ruchu,
- czasy – w szczególności: początek ataku, powiadomienie, wdrożenie procedur obronnych, zakończenie ataku, przywrócenie normalnej pracy sieci.
Alarmy i sposób powiadomienia klienta
Wykryte w ramach realizacji usługi zdarzenia zostaną przyporządkowane do jednej z trzech grup alarmów. Alarmy opisane są w tabeli poniżej:
| Kategoria alarmu | Opis | Akcja i Czas reakcji | Przykład |
|---|---|---|---|
| KRYTYCZNA (Servity High) | Alarm o największym stopniu zagrożenia dla klienta | Automatycznie rozpoczęcie akcji oczyszczania w sytuacjach uzgodnionych z klientem. Przystąpienie do rozwiązywania problemu przez Netię. | Alarmy w tej kategorii zawierają m. in.: potencjalne ataki DDoS, utratę komunikacji z monitorowanymi zasobami, inne alarmy na podstawie ustaleń z klientem |
| KRYTYCZNA (Servity High) | Alarm o największym stopniu zagrożenia dla klienta | Automatycznie rozpoczęcie akcji oczyszczania w sytuacjach uzgodnionych z Klientem.Przystąpienie do rozwiązywania problemu przez Netię. Do klienta wysłane jest powiadomienie o zaistnieniu potencjalnego ataku DDoS w czasie zdefiniowanym przez SLA. | Alarmy w tej kategorii zawierają m. in.: potencjalne ataki DDoS, utratę komunikacji z monitorowanymi zasobami, inne alarmy na podstawie ustaleń z Klientem |
| WAŻNA (Servity Medium) | Alarm, który w późniejszym czasie może wymagać akcji ze strony Netii lub klienta | Podjęcie działań, jeśli to konieczne. Brak konieczności informowania klienta. | Informacje na temat ruchu niezwiązane z występującymi nieprawidłowościami. |
| INFORMACYJNA (Servity Low) | Zapis informacji o ataku | Brak działania. Brak konieczności informowania klienta. | Zdarzenia związane z działaniami systemu lub jego rekonfiguracją np. planowy update sygnatur w systemie Atlas. |
Kryteria definiujące wystąpienie zdarzeń oraz poziom, jaki zostanie przyporządkowany dla poszczególnych zdarzeń, są uzgadniane z Klientem w fazie tworzenia Dokumentacji Operacyjnej.
Warianty usługi
| Funkcjonalność | wariant Standard | wariant Advanced | wariant Premium |
|---|---|---|---|
| Metoda monitorowania ruchu | Próbkowanie w trybie ciągłym | Próbkowanie w trybie ciągłym | Cały ruch w trybie ciągłym |
| Ochrona przed Atakami wolumetrycznymi | TAK | TAK | TAK |
| Ochrona przed Atakami zaawansowanymi | NIE | NIE | TAK |
| Domyślne Parametry detekcji | TAK | TAK | TAK |
| Dedykowane Parametry detekcji | NIE | Opcja | Opcja |
| Domyślne ustawienie typu Mitygacji | Automitygacja | Automitygacja | Automitygacja |
| Mitygacja na żądanie | NIE | Opcja | Opcja |
| Nielimitowana liczba Mitygacji w Okresie Rozliczeniowym | TAK | TAK | TAK |
| Dostęp do Panelu Użytkownika | Opcja | Opcja | Opcja |
| Dodatkowe dostępy/konta do Panelu Użytkownika | Opcja | Opcja | Opcja |
| Raportowanie zdarzeń | Raz w Okresie Rozliczeniowym | Raz w Okresie Rozliczeniowym oraz po każdym incydencie | Raz w Okresie Rozliczeniowym oraz po każdym incydencie |
| Spersonalizowane raporty zgodne z potrzebami klienta | NIE | Opcja | Opcja |
| Obiekty chronione (MO) | 1 współdzielony MO | Możliwość konfiguracji, 1 serwis = 1 MO | Możliwość konfiguracji, 1 serwis = 1 MO |
| Dodatkowe Obiekty chronione z Dedykowanymi Parametrami detekcji | NIE | Opcja | Opcja |
| Czas Poinformowania o Ataku | Maksymalnie w ciągu 15 minut | Maksymalnie w ciągu 15 minut | Maksymalnie w ciągu 15 minut |
| Czas uruchomienia Automitygacji | Maksymalnie w ciągu 5 minut po przekroczeniu Parametrów detekcji | Maksymalnie w ciągu 5 minut po przekroczeniu Parametrów detekcji | Maksymalnie w ciągu 1 minuty po przekroczeniu Parametrów detekcji |
| Czas uruchomienie Mitygacji na żądanie (opcja) | Nie dotyczy | Maksymalnie w ciągu 5 minut | Maksymalnie w ciągu 5 minut |
| Wykrywanie i blokowanie podejrzanej komunikacji wychodzącej (np. z infrastrukturą zarządzającą sieciami botnet) | Brak | Brak | TAK |