33
DDoS ochrana v GTS Milan Petrásek Strategy product manager 5. 12. 2013 Zasedání pracovní skupiny CSIRT.CZ
| Date post: | 26-May-2015 |
| Category: |
Technology |
| Upload: | milan-petrasek |
| View: | 322 times |
| Download: | 4 times |
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
DDoS ochrana v GTS
Milan Petrásek Strategy product manager
5. 12. 2013 Zasedání pracovní skupiny CSIRT.CZ
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Setkání bude zaměřeno na praktické aspekty bezpečnosti z pohledu provozovatelů rozsáhlých sítí.
Zaměříme se na:
ochranu vlastní infrastruktury z pohledu ISP
možnosti ochrany připojených subjektů (sítí) a provozovaných služeb
připravenost a aplikaci mechanismů obrany v případě vzniklého problému (útoku)
ochrana proti DDoS útokům
bezpečnost ve vztahu k uživatelům
apod.
2
Obsah
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Koncept Bezpečná firma
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Topologie – co je třeba chránit
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
5
Úvod – co to je?
Úvod – kde se bere?
6
• Kyberzločin (vydírání, krádeže informací)
• Hacktivism a online protesty
• Konkurenční boj
• Individuální selhání (pomsta …)
Aneb motivace útočníků
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Úvod – proč je to takový problém? 1
Navíc existuje nepřeberné množství nástrojů a návodů případně přímo „poradenských“ firem, které s DDoS útokem „pomohou“.
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Úvod – proč je to takový problém? 2
Existuje obrovský nepoměr mezi cenou útoku a cenou obrany
Týdenní DDoS útok stojí 150$
Strana útočníka Strana cíle
Zdroj TrendMicro Research
Všechny firmy mohou být cílem DDoS útoku.
Zajímavé segmenty:
• Finance (banky, burzy cenných papírů, pojišťovny, úvěrové
firmy atd.)
• Firmy s online obchodem/podnikáním (eshopy, sázkové
kanceláře, hazardní hry, cestovky)
• Média (portály, poskytovatelé obsahu atd.)
• Veřejný sektor (vládní orgány, politické strany)
• Zdravotnictví (farmacie)
• Poskytovatelé (ISP, poskytovatelé aplikací)
• Vzdělávací instituce (univerzity, e-learning)
• Apod.
Motivace - kdo je zákazník (cíl útoku)
DDoS ochrana – GTS konsolidovaná síť (100G síť)
http://zpravy.e15.cz/byznys/technologie-a-media/gts-v-evrope-spousti-rozsahlou-100gb-sit-za-miliony-eur-959286
Cisco CRS-3
11
Základní otázka Života, Vesmíru a vůbec?
Kolik by stál vaši společnost výpadek,
zapříčiněný DDoS útokem, za
- hodinu
- den
- týden ?
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Jak spočítat cenu
Cena ~ F [ Náklady výpadku × Pravděpodobnost ]
12
Náklady výpadku:
• Provozní náklady
• Náklady na obnovu
• Náklady na zpožděná dodání
• Přímé ztráty z nerealizovaných transakcí
• Ztráta potenciálních zákazníků
• Zhoršení reputace, jména značky
• Pokuty placené zákazníkům
Source: Neustar® Insights.
2012 Annual DDoS Attack and Impact Survey
~ 10 000$/h
13
Fiktivní příklady výpočtů ztrát
obrat > 7 mld Kč
výpadek 1 den ~ 2 M Kč (odhad 10% prodejů přes web)
obrat > 2 mld Kč
výpadek 1 den ~ 5 M Kč (100% prodejů přes web)
DDoS Attack Cost Calculator
http://www.neustar.biz/enterprise/resources/ddos-protection/ddos-attack-cost-calculator
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Situace na trhu – Q1 2013
48 Gbps
34,5 hodiny
Průměrná
šířka
pásma
útoků
Průměrná
délka
trvání
útoku
300+ Gbps
Největší
útok
Srovnání Q12013 s Q42012
44% útoků proběhlo v březnu (z celého kvartálu)
Nejběžnější útok měl méně než 1Gbps, celkem se jednalo o 25% všech útoků
15
Situace na trhu Q2 2013 – stále rosteme
49 Gbps
38 hodin
Průměrná šířka pásma
Průměrná délka trvání útoku
• Nejčastější útoky byly v
pásmu 1-5 Gbps, 25% z
celkového množství
• 10% nárůst průměrné
délky trvání útoku
Četnost útoků podle šířky pásma (Gbit/s)
2% 10%
Srovnání Q22013 s Q1
Zdroj: Prolexic Quarterly Global DDoS Attack Report - Q2 2013 + Arbor
• Průměrný DDoS = 2.64Gbps
(nárůst 78% oproti 2012)
• 54% útoků přesahuje 1 Gbps
(nárůst 33% oproti 2012)
• 37% útoků jsou v rozsahu
2-10 Gbps (nárůst 15% oproti 2012)
Rok 2013
16
Situace na trhu – typy útoků
Objemové (volumetrické) útoky (L2-L4)
Navrženy na spotřebování kapacity linky (L2) nebo zdrojů
stavových zařízení (Router/FW/IPS/UTM)
Útoky na aplikační (L7) vrstvě
Pokročilé („nejchytřejší“) útoky, jsou atraktivní pro
útočníky. Nekladou velké nároky na zdroje na straně
botnetů.
Velmi těžká detekce a identifikace.
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Ochrana proti DDoS - perimetry
1. Šířka pásma – útoky na druhé vrstvě (L2) – obrana jen u operátora
2. Router/FW/IPS – útoky na třetí a čtvrté vrstvě (L3, L4)
3. FrontEnd Servery (např. www) – sedmá vrstva (L7)
4. BackEnd Servery (např. databáze) – sedmá vrstva (L7)
18
Metody ochrany + konkurence
Bezpečnostní zařízení na
ochranu perimetru jsou
zaměřená na utajení, vynucení
důvěry apod. nikoliv na
DOSTUPNOST.
Tato zařízení jsou vytvořena na
jiná bezpečnostní rizika.
Firewally a IPS mohou být cíli
DDoS útoků, protože jsou
stavové (stateful).
FW/IPS
Umožňují inline detekci, mitigaci
a reporting
Poskytují automatickou detekci
velké šíře DDoS útoků
Ale…
Vhodné pro útoky s malou
šířkou pásma
Nejsou schopné zpracovat
aktuální útoky dosahující
n × 10Gbps
Specializované zařízení
Operátorem provozovaná detekce
a mitigace úzce specializovaná na
ochranu před DDoS útoky
Podporovaná síťovými
technologiemi vyladěnými na
zpracování velkých objemů
provozu při DDoS útocích
specifics
Ochrana v síti operátora
Obvykle síťově neutrální řešení
poskytované z cloudu
Nabízí rozšířenou ochranu před
DDoS
Běží na vysokokapacitních
rozprostřených centrech
Může být nastavena na čištění
na vyžádání nebo na trvalou
ochranu.
Vyžaduje přesměrování
provozu.
Cloud based DDoS ochrana
Toto není ochrana před DDoS!!! Až 10 Gbps Až n × 10 Gbps Až n × 100 G
Služby nabízené GTS Služby nabízené GTS pro DDoS
Co se děje při útoku
20
Arbor Networks
Leader na trhu
Atlas – Active Threat Level Analysis Systém
Většina internetového provozu je monitorována systémy Arboru (80% = 70 Tbit/s viz další slide)
V GTS
- Všechny vstupní body konsolidované sítě jsou pokryty kolektory CP (NIX, SIX, Frankfurt, Vídeň …)
- Sdílená mitigační platforma TMS
- Portál PI k dispozici zákazníkům služby Bronze a Gold
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Arbor Atlas
21
http://www.slideshare.net/Arbor_Networks/
Arbor Atlas
22
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Prodejem to nekončí
Každá služba DDoS ochrana zahrnuje:
Etapa 1
- Konzultační a analytické služby
- Definice Plánu ochrany a postupů
Etapa 2
- Implementace Plánu ochrany
Etapa 3
- Útoky se neustále vyvíjí, je potřeba aktualizovat plány, procesy
23
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Není to jen o „krabici“
Důležitou součástí je bezpečnostní tým
- Vyškolen na technologii Arbor
- Sleduje aktuálních trendy, události
- Sdílí znalostí napříč GTS CE
- Je dostupný 24×7
24
GTS DDoS ochrana – ukázka portálu
25
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Další informace / zajímavé nástroje
Security Intelligence ATLAS: http://atlas.arbor.net/
Prolexic Patrol: http://www.prolexic.com/plxpatrol/index.html
DDoS attack cost calculator: http://www.neustar.biz/enterprise/resources/ddos-protection/ddos-attack-cost-calculator
Frost & Sullivan: Protecting Against Modern DDoS Threats:
http://www.arbornetworks.com/component/docman/doc_download/378-frost-sullivan-award-overview?Itemid=442
http://www.digitalattackmap.com
(Google & Arbor)
26
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Výhled do budoucnosti
Neusínáme na vavřínech
Varianta Platinum
Varianta Dedicated – Arbor Pravail (CPE based)
…
28
Větší bezpečnost = mnoho vrstev
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Audit Síťová
bezpečnost
Počítačová bezpečnost
Procesní bezpečnost
Komplexní pohled na bezpečnost
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Shrnutí
Konsolidovaná síť (100G)
Sdílení znalostí napříč CE
Bezpečnosti se intenzivně věnujeme, viz:
• Managed Office
• Managed Security
• Bezpečný internet (finalista produkt roku)
• DDoS ochrana
• Zákaznická řešení
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
31
Otázky?
GTS CENTRAL EUROPE
Marynarska 15
02-674 Warsaw, Poland
Tel: +48 22 488 80 00
Fax: +48 22 488 14 21
One Region – One Network – One Offer
GTS Czech, s.r.o.
Přemyslovská 2845/43,
130 00 Praha 3
Tel: +420 2 25 25 25 25
Fax: +420 2 25 25 11 11
GTS Slovakia, a.s
Aupark Tower, Einsteinova 24
851 01 Bratislava
Tel: +421 2 32 487 111
Fax: +421 2 32 487 222
GTS Hungary, a.s
Ipartelep u. 13-15
H-2040 Budaörs
Tel: +36 1 814 40 00
Fax: +36 1 814 44 99
GTS Poland
ul. Marynarska 15
02-674 Warsaw
Tel: +48 22 488 80 00
Fax: +48 22 488 03 01
GTS Telecom LTD
Dimitrie Pompei 10A, modul 2, Conect III
020373 Bucharest
Tel: +40 312 200 200
Fax: +40 312 200 222
www.gtsce.com
●
● ●
●
●
Děkuji za pozornost
247
166
140
148
166
189
136
173
198
255
239
222
153
153
153
123
113
24
70
116
146
237
119
3
194
194
194
219
205
73
Chart
Colours
250
202
186
176
201
217
191
202
215
Additional
Colours
Message
Box / Row
Highlight
253
173
95
Slide
Heading
Body
Text
244
89
19
Main Text
Bullets
254
201
148
231
221
133
214
214
214
Aktuality z ČR (září 2013)
33
http://www.zive.cz/bleskovky/nektere-weby-vcera-nefungovaly-vshosting-celil-velkemu-ddos-utoku/sc-4-a-170705/default.aspx#utm_medium=selfpromo&utm_source=feedly
Více než 100.000 zombie v ČR (2013). Počkejme co se stane až bude upload na ADSL a UPC vyšší (a LTE v budoucnu nevyjímaje)
