Download
1 / 20
200 likes | 288 Views
DOS t ámadások elleni védekezés a HBONE-ban. Kinczli Zoltán Synergon Rt. Áttekintés. ISP feladatai Védekezési módszerek A HBONE felépitése Lehetséges védelmi stratégiák a HBONE-ban További lehetőségek. ISP feladatai. Megv édeni önmagát Internettől, saját usereitől
E N D
DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.
Áttekintés • ISP feladatai • Védekezési módszerek • A HBONE felépitése • Lehetséges védelmi stratégiák a HBONE-ban • További lehetőségek
ISP feladatai • Megvédeni önmagát • Internettől, saját usereitől • Segiteni a customernek védeni önmagát • Internettől • Védeni az Internetet • Saját usereitől
ISP feladatai • Tudjuk, hogy meg fognak támadni • Mikor, milyen gyakran, hogyan • Aki felkészül/felkészült az kevésbé sérülékeny • Proaktiv lépések kidolgozása • Hogyan ismerjük fel, keressük meg, mit teszünk ellene? • A routerek védelme • Pld. CPU • A routing protokollok védelme • A hálózat védelme
Proaktiv lépések • Előre megirt access-listák • Characterizing & tracing packet floods • www.cisco.com/warp/public/707/22.html • Hop-by-hop tracing w NetFlow • ip route-cache flow • 75k distributed: netflow cache on VIP • IP source tracking • GSR • Minden LC • CAR against DoS • http://www.cisco.com/warp/public/63/car_rate_limit_icmp.html
A routerek védelme • Globalis szervizek • no service finger • no service pad • no service udp-small-servers • no service tcp-small-servers • no ip bootp server • no cdp run • Interfesz specifikus szervizek • no ip redirects • no ip proxy-arp • no ip directed-broadcast • no cdp enabled (publikus, customer i/f)
A routerek védelme • Jelszavak • Enable secret, username • Új: username MD5 hash, nem reverzibilis, CSCds84754 • TCP keepalive • service tcp-keepalives-in • VTY access • xACL, log • SSH • server és kliens • crypto key generate rsa • line vty 0 4 • transport input ssh
A routerek védelme • AAA • Authentication • nincs lokálisan tárolt jelszó • Authorization • command, service, … • Accounting • command accounting
A routerek védelme • no ip source-route • icmp unreachable overload – blackhole filter • „régen” • unreachable punted to RP/GRP • „most” • unreachable a VIP/LC által • no ip unreachables (null0 i/f-en is, BGP pull-up!! ) • icmp unreachable, DF rate-limit • Hidden, default: 1/500 ms, javasolt 1/1000msec
A routing protokoll védelme • Route authentication • OSPF, BGP, IS-IS, EIGRP, RIPv2 • plain-text, MD5 • Selctive packet discard • bad TTL: process switching • ip spd mode aggressive • show ip spf
A hálózat védelme • route szűrés • distribute-list, prefix-list (csak az egyiket) • csomagszűrés • [eXended|Turbo] access-list, blackhole, uRPF • rate limitek • icmp, tcp syn
Route szűrés • Manning, DSUA • http://www.ietf.org/intenet-drafts/draft-manning-dsua-06.txt • RFC1918, loop, test-net, default • broadcast, multicast, end-node autoconfig (DHCP) • ip prefix-list dsua deny 0.0.0.0/8 le 32 • ip prefix-list dsua deny 10.0.0.0/8 le 32 • ip prefix-list dsua deny 127.0.0.0/8 le 32 • ip prefix-list dsua deny 169.254.0.0/16 le 32 • ip prefix-list dsua deny 192.0.2.0/24 le 32 • ip prefix-list dsua deny 192.168.0.0/16 le 32 • ip prefix-list dsua deny 224.0.0.0/3 le 32 • ip prefix-list dsua permit 0.0.0.0/0 le 32
Csomagszűrés • Blackhole filter – destination address • Static route to null0 • !! no ip unreachable !! • CEF path-ban dobunk: minimális/nulla CPU igény! • Remotely triggered blackhole filter • ISP DOS/DDOS tool • minden router: ip route „test-net” null0 • trigger: inject bgp, next-hop == test-net • iBGP, eBGP
Csomagszűrés • Ingress filter • BCP 38, RFC2827 • access-list, dynamic w AAA profile • Adminisztrációs horror… • uRPF (strict, loose) • ISP-customer: strict • ISP-ISP: loose • Egress • Customer’s ingress uRPF
Csomagszűrés • uRPF • strict mode • ip verify unicast reverse-path • „ott jön” ahol a FIB szerint várjuk • ISP-customer kapcsolatnál • LL-cust, dialup, xDSL, cable, IXP L2 peering: OK • multi-homed customer same ISP • ISP: tweak weight • customer: maximum paths, per-dest load sharing • multi-homed customer different ISP: • ISP: tweak weight • customer
Csomagszűrés • uRPF • loose mode (CSCdr93424) • 72k, 75k, GSR E0, E1: 12.0(14)S • GSR E4+, E3, E2 (nem mind!, 3GE nem) 12.0(19|22|23)S • C6K: 12.1(8)E • exists-only mód • ip verify unicast source reachable-via [ any | rx ][ allow-default ] • ip verify unicast reverse-path [ allow-self-ping ] • any: real i/f, a Null0 nem „real”! • ISP-ISP, ISP-IPX • IXP L3 peering • Bővebben: • http://www.cisco.com/public/cons/isp/documents/uRPF_Enhancement.pdf
Csomagszűrés • Loose uRPF – DoS tool • Remotely triggered • via BGP • check destination & source • A blackhole filter csak a destination-t „vizsgálta”
Proaktiv lépések • Hogyan találjuk meg a „támadás forrását • Hop-by-hop vs jump-to-ingress • Hop-by-hop -- Idő • Access-list log-input, NetFlow • Jump-to-ingress -- „belső” támadó? • Access-list log-input, NetFlow • ip source tracking • GSR: minden LC: 12.0(21)S • E0 és E1 perfornance impact for tracked • ”Backscatter” analizis • sink hole: default • drop to null0 with BGP • limit the icmp unreachables
HBONE • Külső kapcsolatok • GSR: Geant, NY, BIX, Sulinet, Kormányzat • Belső kapcsolatok: • GSR • 75k RSP/VIP: vh75, vh76 • C6K (nativ IOS) • C72k
HBONE • GSR LC: • E0 1*OC12ATM: mod QoS CLI, CAR, turboCAR, IP source tracker, ACL, xACL, tACL, NetFlow, sampled NetFlow • E0 4*OC3POS: mod QoS CLI, CAR, turboCAR, QPPB, uRPF, IP sourcetracker, [x|t]ACL, NetFlow, sampled NetFlow • E2 3*GE: mod QoS CLI, PIRC, ICMP rate-limit, IP source tracker, std [x|t]ACL, 128/448 [x]ACL (no subif, exclusive w PIRC), sampled NetFlow • E4 4*OC48POS: mod QoS CLI, CAR, IP source tracker, tACL (ingress only, egress is E0, E1, E2) • C72k, C75k • Virtuálisan minden, C75k: distributed szolgáltatások • C6k • Virtuálisan minden, HW-ből (PFC2)
