SlideShare a Scribd company logo

PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange.

Download as PPTX, PDF
PROIDEA
PROIDEA

Andrzej Karpiński – TBD Temat prezentacji: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange. Język prezentacji: Polski Abstrakt: Orange posiada największą ilość abonentów w Polsce, i w związku z tym największą infrastrukturę sieciową w kraju. Sieć Orange, podobnie jak sieci innych operatorów, jest obiektem ataków DDoS. W naszej prezentacji chcielibyśmy omówić problematykę związaną z atakami DDoS w skali takiego operatora w praktyce, oraz opowiedzieć o tym, jak próbujemy sobie z tym na co dzień radzić. Prezentacja byłaby podzielona na dwie części – w pierwszej zaprezentowalibyśmy przykładowe ataki i ich wpływ na usługi i klientów, z rozbiciem na kategorie: usługi mobilne, usługi szerokopasmowe kablowe i segment klientów premium (biznes, łącza międzyoperatorskie). Parę słów trzebaby także powiedzieć na temat wpływu ataków na samą infrastrukturę sieci (przeciążenia routerów, firewalli, łączy wewnątrz sieci Orange). W drugiej części pokazalibyśmy co operator może z tego typu atakami robić dziś, i jakie są pomysły i oczekiwania w zakresie przyszłości. Prezentacja nie będzie pokazywała żadnego konkretnie komercyjnego produktu sprzedawanego przez Orange, będą to raczej ogólnosieciowo-rynkowe rozważania na temat metod podejścia do takich problemów. Myślę, że ciekawe i ogólnorozwojowe dla dość szerokiego grona słuchaczy.

Internet
1 of 21
MECHANIZMY OCHRONY ANTY-DDOS Andrzej Karpiński Andrzej.Karpinski@orange.com Orange Polska
Agenda  - Kilka przykładów ataków, czyli mamy problem  - Nie wszyscy na sali to eksperci  - Wielkość ataków (2014)  - „Jak nie upaść podczas tańca” - podpowiedzi techniczne, jak sobie z tym problemem próbujemy radzić
2014…
21 stycznia 2012, 22:29 UTC + 01:00, Polska ACTA (2012)
2014… 7 maja 2013, 11:20 UTC + 01:00, Legnica, Polska
NA CZYM TO POLEGA... ISP1 ISP2 ISPn ISP PRZECIĄŻENIE WYSYCENIE ODMOWA SERWISU PRZECIĄŻENIE WARTO ROZUMIEĆ TERMINY: - IP SPOOFING - BOTNET - KONTROLER BOTNETU - AMPLIFIKACJA
7 WIELKOŚĆ ATAKU 2010 2011 2012 400 350 300 250 200 150 100 50 300+ 2013 źródło Arbor Networks 400+ 2014 Gb/s Notowane max wielkości ataków DDoS
8 Raport aktywności ataków źródło Arbor Networks POL 208 Gb/s 38 minut
9 Raport aktywności ataków źródło Arbor Networks 89 Gb/s 21 godzin POL
Czy zatem jesteśmy bezradni? (dekalog operatora telekomunikacyjnego w zakresie ochrony DDoS)
Po pierwsze: obserwujemy sieć i monitorujemy ataki, reagujemy na bieżąco Orange Security Operations Center 24/7/365 SIEM/NBAD/Arbor TP CERT
Po drugie: Trzeba znać swoje słabe strony i mieć świadomość limitów infrastruktury Przeprowadzać cyklicznie stress-testy newralgicznych komponentów infrastruktury Przeprowadzamy testy na życzenie i w porozumieniu z zainteresowanymi klientami Na zdjęciach próbniki Spirent (jeden z nich podłączony do szkieletu TPNET z Security LAB linkami 10Gbit/s)
Po trzecie: Operatorzy operatorom zgotowali ten los! Zapoznajcie się z BCP38 i 84 (RFC 2827 i 3704) Filtrujcie spoofy! Dbajcie o aktualność RIPE-DB Właściwie konfigurujcie urządzenia Ograniczcie ilość usług powszechnych
Po czwarte: Ataki są generowane przez zarażone stacji naszych użytkowników! Operator telekomunikacyjny jest współodpowiedzialny za bezpieczeństwo klientów, ich komputerów i sieci! Blokujmy porty windowsowe, filtrujmy malware, oferujmy rozwiązania AV/PF w pakietach usług dla naszych klientów, monitorujmy sieci usługowe i reagujmy na problemy bezpieczeństwa naszych abonentów! Casus: błąd w oprogramowaniu modemów DSL
Po piąte: Tępimy Botnety! Uruchom i wykorzystuj w sieci mechanizmy typu blackholing (null route) Monitoruj sieć, blokuj zarówno znalezione samemu kontrolery botnetów, jak i adresy IP na podstawie zaufanych źródeł informacji (podpisz umowy o współpracy z dostawcami takiego kontentu!)
Po szóste: Pojemność i rozproszenie! Perspektywa ataków DDoS paradoksalnie może poprawić jakość działania sieci i dostępność usług: najlepszą metodą obrony przed atakami DDoS jest rozpraszanie treści (anycast, CDN, SecureDNS) Zwiększanie pojemności sieci jest skuteczną metodą obrony, o ile dysponujemy nieograniczonymi zasobami finansowymi; jednakże utrzymywanie rozsądnego zapasu (Orange ma zapas w sieci, zamiast overbookingu!) jest skuteczną formą obrony Należy stosować dywersyfikację na każdym poziomie planowania sieci – w tym połączeń zewnętrznych. Wszelkiego rodzaju IX węzły wymiany ruchu) zwiększają naszą szansę na przetrwanie
Po siódme: Filtrowanie ataków! Chronimy główne łącza zewnętrzne i infrastrukturę klientów Warianty rozwiązań: in-line i off-ramp Przykładowe rozwiązania: Arbor, A10, Radware, Fortinet, CheckPoint Orange posiada infrastrukturę do a) ochrony sieci oraz do b) świadczenia odpłatnych usług premium z ochroną Anty-DDoS (np. dla sektora finansowego)
Po ósme: Dostawca treści nie zawsze musi wystawiać kontent na swoich łączach! (ale uwaga na serwisy transakcyjne) Dwa warianty rozwiązań: 1) CDN 2) Proxy Oba warianty możliwe do zastosowania w sieci Orange, według upodobań i potrzeb Światowi liderzy np: CloudFlare, Prolexic, Akamai, ...
Po dziewiąte: Wykorzystujmy dostępne na rynku środki akceleracji, filtrowania na poziomie aplikacji i rate-limitów One-connect Connection persistance Limity sesji Limity na poziomie aplikacji Buforowanie, cacheing Stos TCP/IP zoptymalizowany pod nadawcę/odbiorcę Akceleracja sprzętowa SSL ... Główne serwisy Orange są chronione przez urządzenia Viprion Analogiczne rozwiązania oferujemy naszym klientom
Po dziesiąte: Pracujmy ciągle nad wzbogacaniem sieci usługowych o rozwiązania bezpieczeństwa Flowspec Karty off-ramp do urządzeń sieciowych Doposażenie sieci w rozwiązania in-line DNSSec W perspektywie kilku lat prawdopodobnie każdy router czy dowolne inne urządzenie sieciowe będzie wyposażone w dedykowane komponenty związane z bezpieczeństwem, które będą stanowiły istotną część wartości tego urządzenia i całej sieci
Dziękuję ANDRZEJ.KARPINSKI@ORANGE.COM

Recommended

Zabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychZabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychg4life
 
Co Zrobić By PożąDnie Zabezpieczyć Serwer W Sieci
Co Zrobić By PożąDnie Zabezpieczyć Serwer W SieciCo Zrobić By PożąDnie Zabezpieczyć Serwer W Sieci
Co Zrobić By PożąDnie Zabezpieczyć Serwer W Siecibystry
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
Bpatryczek
 
PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...
PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...
PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...
PROIDEA
 
PLNOG 9: Maciej Stawiarski - GPON na Śląsku - przykład wdrożenia rozwiązania ...
PLNOG 9: Maciej Stawiarski - GPON na Śląsku - przykład wdrożenia rozwiązania ...PLNOG 9: Maciej Stawiarski - GPON na Śląsku - przykład wdrożenia rozwiązania ...
PLNOG 9: Maciej Stawiarski - GPON na Śląsku - przykład wdrożenia rozwiązania ...
PROIDEA
 
PLNOG15: Things in network with no wires - Piotr Chomczyk
PLNOG15: Things in network with no wires - Piotr ChomczykPLNOG15: Things in network with no wires - Piotr Chomczyk
PLNOG15: Things in network with no wires - Piotr Chomczyk
PROIDEA
 
Usługi sieci internet cz i 2014
Usługi sieci internet cz i 2014Usługi sieci internet cz i 2014
Usługi sieci internet cz i 2014
Tańczący Z Kojotami
 
Seminarium 12
Seminarium 12Seminarium 12
Seminarium 12ziemniak121
 

Recommended

Zabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychZabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychg4life
 
Co Zrobić By PożąDnie Zabezpieczyć Serwer W Sieci
Co Zrobić By PożąDnie Zabezpieczyć Serwer W SieciCo Zrobić By PożąDnie Zabezpieczyć Serwer W Sieci
Co Zrobić By PożąDnie Zabezpieczyć Serwer W Siecibystry
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
Bpatryczek
 
PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...
PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...
PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...
PROIDEA
 
PLNOG 9: Maciej Stawiarski - GPON na Śląsku - przykład wdrożenia rozwiązania ...
PLNOG 9: Maciej Stawiarski - GPON na Śląsku - przykład wdrożenia rozwiązania ...PLNOG 9: Maciej Stawiarski - GPON na Śląsku - przykład wdrożenia rozwiązania ...
PLNOG 9: Maciej Stawiarski - GPON na Śląsku - przykład wdrożenia rozwiązania ...
PROIDEA
 
PLNOG15: Things in network with no wires - Piotr Chomczyk
PLNOG15: Things in network with no wires - Piotr ChomczykPLNOG15: Things in network with no wires - Piotr Chomczyk
PLNOG15: Things in network with no wires - Piotr Chomczyk
PROIDEA
 
Usługi sieci internet cz i 2014
Usługi sieci internet cz i 2014Usługi sieci internet cz i 2014
Usługi sieci internet cz i 2014
Tańczący Z Kojotami
 
Seminarium 12
Seminarium 12Seminarium 12
Seminarium 12ziemniak121
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PROIDEA
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PROIDEA
 
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PROIDEA
 
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PROIDEA
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
 
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PROIDEA
 
PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimyPLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
PROIDEA
 
Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne
Paweł Kowalski
 
Trecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obronaTrecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obronaMaciek Szamowski
 
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PROIDEA
 
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PROIDEA
 
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PROIDEA
 
Urządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące InternetUrządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące InternetKatedra Informatyki Ekonomicznej UG
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PROIDEA
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
SecuRing
 
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PROIDEA
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2arkulik
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Fundacja Rozwoju Branży Internetowej Netcamp
 
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PROIDEA
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PROIDEA
 
Bezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowychBezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowych
PHPstokPHPstok
 

More Related Content

Viewers also liked

PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PROIDEA
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PROIDEA
 
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PROIDEA
 
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PROIDEA
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PROIDEA
 
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PROIDEA
 

Viewers also liked (6)

PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
 
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...
 
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
 
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
 

Similar to PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange.

PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimyPLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
PROIDEA
 
Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne
Paweł Kowalski
 
Trecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obronaTrecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obronaMaciek Szamowski
 
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PROIDEA
 
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PROIDEA
 
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PROIDEA
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PROIDEA
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
SecuRing
 
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PROIDEA
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2arkulik
 
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PROIDEA
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PROIDEA
 
Bezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowychBezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowych
PHPstokPHPstok
 
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PROIDEA
 
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacksPLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PROIDEA
 
Sciagamy z netu 2
Sciagamy z netu 2Sciagamy z netu 2
Sciagamy z netu 2Gregolek
 
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data CenterPLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
PROIDEA
 

Similar to PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange. (20)

PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimyPLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
PLNOG 4: Przemysław Frasunek - CDN w Polsce - czyli jak my to robimy
 
Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne
 
Trecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obronaTrecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obrona
 
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
 
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
 
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
 
Urządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące InternetUrządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące Internet
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
 
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
 
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
 
Bezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowychBezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowych
 
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
 
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacksPLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
 
Sciagamy z netu 2
Sciagamy z netu 2Sciagamy z netu 2
Sciagamy z netu 2
 
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data CenterPLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
 

PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange.

  • 1. MECHANIZMY OCHRONY ANTY-DDOS Andrzej Karpiński Andrzej.Karpinski@orange.com Orange Polska
  • 2. Agenda  - Kilka przykładów ataków, czyli mamy problem  - Nie wszyscy na sali to eksperci  - Wielkość ataków (2014)  - „Jak nie upaść podczas tańca” - podpowiedzi techniczne, jak sobie z tym problemem próbujemy radzić
  • 4. 21 stycznia 2012, 22:29 UTC + 01:00, Polska ACTA (2012)
  • 5. 2014… 7 maja 2013, 11:20 UTC + 01:00, Legnica, Polska
  • 6. NA CZYM TO POLEGA... ISP1 ISP2 ISPn ISP PRZECIĄŻENIE WYSYCENIE ODMOWA SERWISU PRZECIĄŻENIE WARTO ROZUMIEĆ TERMINY: - IP SPOOFING - BOTNET - KONTROLER BOTNETU - AMPLIFIKACJA
  • 7. 7 WIELKOŚĆ ATAKU 2010 2011 2012 400 350 300 250 200 150 100 50 300+ 2013 źródło Arbor Networks 400+ 2014 Gb/s Notowane max wielkości ataków DDoS
  • 8. 8 Raport aktywności ataków źródło Arbor Networks POL 208 Gb/s 38 minut
  • 9. 9 Raport aktywności ataków źródło Arbor Networks 89 Gb/s 21 godzin POL
  • 10. Czy zatem jesteśmy bezradni? (dekalog operatora telekomunikacyjnego w zakresie ochrony DDoS)
  • 11. Po pierwsze: obserwujemy sieć i monitorujemy ataki, reagujemy na bieżąco Orange Security Operations Center 24/7/365 SIEM/NBAD/Arbor TP CERT
  • 12. Po drugie: Trzeba znać swoje słabe strony i mieć świadomość limitów infrastruktury Przeprowadzać cyklicznie stress-testy newralgicznych komponentów infrastruktury Przeprowadzamy testy na życzenie i w porozumieniu z zainteresowanymi klientami Na zdjęciach próbniki Spirent (jeden z nich podłączony do szkieletu TPNET z Security LAB linkami 10Gbit/s)
  • 13. Po trzecie: Operatorzy operatorom zgotowali ten los! Zapoznajcie się z BCP38 i 84 (RFC 2827 i 3704) Filtrujcie spoofy! Dbajcie o aktualność RIPE-DB Właściwie konfigurujcie urządzenia Ograniczcie ilość usług powszechnych
  • 14. Po czwarte: Ataki są generowane przez zarażone stacji naszych użytkowników! Operator telekomunikacyjny jest współodpowiedzialny za bezpieczeństwo klientów, ich komputerów i sieci! Blokujmy porty windowsowe, filtrujmy malware, oferujmy rozwiązania AV/PF w pakietach usług dla naszych klientów, monitorujmy sieci usługowe i reagujmy na problemy bezpieczeństwa naszych abonentów! Casus: błąd w oprogramowaniu modemów DSL
  • 15. Po piąte: Tępimy Botnety! Uruchom i wykorzystuj w sieci mechanizmy typu blackholing (null route) Monitoruj sieć, blokuj zarówno znalezione samemu kontrolery botnetów, jak i adresy IP na podstawie zaufanych źródeł informacji (podpisz umowy o współpracy z dostawcami takiego kontentu!)
  • 16. Po szóste: Pojemność i rozproszenie! Perspektywa ataków DDoS paradoksalnie może poprawić jakość działania sieci i dostępność usług: najlepszą metodą obrony przed atakami DDoS jest rozpraszanie treści (anycast, CDN, SecureDNS) Zwiększanie pojemności sieci jest skuteczną metodą obrony, o ile dysponujemy nieograniczonymi zasobami finansowymi; jednakże utrzymywanie rozsądnego zapasu (Orange ma zapas w sieci, zamiast overbookingu!) jest skuteczną formą obrony Należy stosować dywersyfikację na każdym poziomie planowania sieci – w tym połączeń zewnętrznych. Wszelkiego rodzaju IX węzły wymiany ruchu) zwiększają naszą szansę na przetrwanie
  • 17. Po siódme: Filtrowanie ataków! Chronimy główne łącza zewnętrzne i infrastrukturę klientów Warianty rozwiązań: in-line i off-ramp Przykładowe rozwiązania: Arbor, A10, Radware, Fortinet, CheckPoint Orange posiada infrastrukturę do a) ochrony sieci oraz do b) świadczenia odpłatnych usług premium z ochroną Anty-DDoS (np. dla sektora finansowego)
  • 18. Po ósme: Dostawca treści nie zawsze musi wystawiać kontent na swoich łączach! (ale uwaga na serwisy transakcyjne) Dwa warianty rozwiązań: 1) CDN 2) Proxy Oba warianty możliwe do zastosowania w sieci Orange, według upodobań i potrzeb Światowi liderzy np: CloudFlare, Prolexic, Akamai, ...
  • 19. Po dziewiąte: Wykorzystujmy dostępne na rynku środki akceleracji, filtrowania na poziomie aplikacji i rate-limitów One-connect Connection persistance Limity sesji Limity na poziomie aplikacji Buforowanie, cacheing Stos TCP/IP zoptymalizowany pod nadawcę/odbiorcę Akceleracja sprzętowa SSL ... Główne serwisy Orange są chronione przez urządzenia Viprion Analogiczne rozwiązania oferujemy naszym klientom
  • 20. Po dziesiąte: Pracujmy ciągle nad wzbogacaniem sieci usługowych o rozwiązania bezpieczeństwa Flowspec Karty off-ramp do urządzeń sieciowych Doposażenie sieci w rozwiązania in-line DNSSec W perspektywie kilku lat prawdopodobnie każdy router czy dowolne inne urządzenie sieciowe będzie wyposażone w dedykowane komponenty związane z bezpieczeństwem, które będą stanowiły istotną część wartości tego urządzenia i całej sieci