DDoS en netwerkbeschikbaarheid
Xander Jansen Niels den Otter Seminar Naar een op,male netwerkbeschikbaarheid -‐ 17 April 2014
Voorbereiding is het halve werk !
Bron: NCSC Factsheet Continuïteit van onlinediensten
• Advies 1: stel een baseline vast en monitor uw infrastructuur ! • Advies 2: instrueer de communicatie adviseur van uw organisatie." • Advies 3: maak gebruik van de diensten van uw provider. " • Advies 4: informeer naar de aanpak (weerstand en repressie maatregelen) van uw ISP bij DoS-aanvallen en check de contractuele afspraken hierover. " • Advies 5: denk na over de incident response en fail-over scenario’s van de onlinediensten. " • Advies 6: implementeer de voorgestelde (mitigerende) maatregelen aan het einde van deze factsheet. !
Bestaande dienstverlening • SURFcert – Eerste lijn voor operationele security binnen de SURFnet doelgroep; 24x7 waakzaam in samenwerking met lokale securityteams – Samengesteld uit leden vanuit instellingen en SURFnet – Oudste emergency response team in Nederland
• SCIRT – Community-of-practice incident response teams – Delen operationele ervaring in vertrouwde kring – Bespreken gezamenlijke problematiek – Gefaciliteerd door SURFnet
"
(1)
Bestaande dienstverlening
(2)
• Cybersave Yourself – Awareness campagne rond beveiligingsonderwerpen
• SURFibo – Community of practice voor informatiebeveiliging – Samenwerking op vlak van beleid rond security en privacy
• SURFaudit – Compliance wat betreft informatiebeveiliging (ISO 27001) – Doelgroepbrede aanpak – Momenteel belegd bij SURF; voor 2014 nog niet duidelijk, mogelijk naar SURFnet
"
Nieuw sinds 2014: Security, Privacy & Trust • Innovatie op bestaande securitydiensten en onderzoek naar nieuwe dienstverlening • Toegepast onderzoek op het gebied van Security, Privacy en Trust • Vergroten van de zichtbaarheid, delen van best practices en verdere kennisdeling "
Voorbeeld: denial-of-service • Waarom? – Aantal en hevigheid denial-of-service aanvallen in het algemeen (en dus ook richting de doelgroep) blijft groeien – 2014: ‘zwaarste’ denial-of-service aanval ooit (400Gbit/s)
• Doel: – Beheersen kwetsbaarheid van de doelgroep
• Wat? – Verkenning/dienstontwikkeling “protection/firewall-as-a-service” – Onderzoek denial-of-service detectie met academische groepen – Samenwerking met THTC/Nationale Politie; problemen bij bron aanpakken
"
Incident Response as a Service SURFcert: de helpende hand ‘in the line of fire’
DDoS: twee soorten • ‘Flooding’ van een applicatie of server (of firewall!) - o.a. TCP SYN flood - Veel te verwerken verzoeken
• ‘Flooding’ van de verbinding (of firewall!) - reflectie/amplificatie aanvallen - DNS, SNMP, chargen, NTP amplification (m.n. UDP) - Veel volume
• Alles-in-1 via een handige webinterface - DaaS: booters/stressors/shells
Mitigatie: waar? • Firewall (jullie) – Is niet altijd een oplossing – Helpt niet tegen volle lijnen – Kan helpen bij SYN flooding en meer algemeen aanvallen op applicaties en servers (rate limiting)
• Upstream (wij) – Detectie en analyse – De “wasmachine” voor de eerste hulp – Filters (met name rate limiters) op de core routers
"
“Techniek, processen en mensen” • Niet alleen techniek" – De ‘bron’ zit vaak intern" – Match tijden van aanvallen met roosters" – Samenwerken met het onderwijsproces" – Doe een melding of aangifte bij politie" " ""
"en…" • Niet alles is een (D)DoS !" " "
SURFnet wasmachine Research networks & Internet
SURFcert SURFnet AS1103
connected institute
connected institute connected institute
connected institute
connected institute
connected institute
SURFnet wasmachine - DoS Research networks & Internet
SURFcert SURFnet AS1103
connected institute
connected institute connected institute
connected institute
connected institute
connected institute
SURFnet wasmachine - Detectie Research networks & Internet
Telefoon E-mail Alarm
SURFcert SURFnet AS1103
connected institute
connected institute connected institute
connected institute
connected institute
connected institute
SURFnet wasmachine – Wasprogramma aktiveren Research networks & Internet
SURFcert SURFnet AS1103
connected institute
connected institute connected institute
connected institute
connected institute
connected institute
SURFnet wasmachine – DDoS in de wasmachine Research networks & Internet
SURFcert SURFnet AS1103
connected institute
connected institute connected institute
connected institute
connected institute
connected institute
Voor- en hoofdwas
Beveiliging op klantaansluiting SURFnet Security base • Input packet filter • BGP Prefix filter • Output policer (contracted bandwidth) Incident • ACL (inbound/outbound) op maat Customer network
Protection as a Service ? • Idee is om een dienst te ontwikkelen om instellingen structureel te helpen. • Self Service interface om op netwerkniveau zelf configuraties te kunnen maken • Geen vervanging instellings-firewall
Protection as a Service ? Wat zijn de wensen (en eisen) vanuit de instellingen?
The End
