Technologie i Firma

Jak innowacyjne zabezpieczenia sprawdzają się w praktyce?

Skąd pochodzi nazwa „VAC”?

Każda infrastruktura o rozmiarze 160 Gbps jest nazwana „VAC”. „VAC” pochodzi od „vacuum”, po angielsku - odkurzacz. Mamy VAC1, VAC2, VAC3 w trzech różnych miejscach: w Europie i Ameryce Północnej. Te trzy infrastruktury działają równolegle i zarządzają wszystkimi atakami skierowanymi na usługi naszych klientów. W sieci dysponujemy 2 Tbps nadmiarowej przepustowości. Posiadamy w produkcji 3 VAC, a więc możemy zarządzać do 480 Gbps/480 Mpps.

W jaki sposób zarządzacie atakami DDoS?

Mamy swój scentralizowany system. Jeśli atak pochodzi z Europy Środkowej lub ze Wschodu (Rosja, Polska, Rumunia, Włochy, Szwajcaria, Niemcy), jest on „wchłaniany” przez VAC2, który znajduje się w Strasburgu. Jeżeli atak pochodzi w Europy Zachodniej lub z Północy (Francja, Belgia, Holandia, Wielka Brytania, Hiszpania), jest on zarządzany przez VAC1 usytuowany w Roubaix. Jeśli atak pochodzi z Ameryki Północnej lub Południowej, z Azji lub Australii - przechodzi on przez VAC3, znajdujący się w strefie Montreal (BHS), w Quebecu.

informacje o DDoS

Jakiego rozmiaru są ataki?

Kwestią zasadniczą nie jest rozmiar ataku, ale konieczność zapewnienia sieci o wystarczającej przepustowości do jego przyjęcia i skierowanie na odpowiedni VAC. Generalnie rzecz biorąc, jeśli atak jest bardzo silny infrastruktura Anty-DDoS zda się na nic, gdy sieć się zapełni, co znacznie obniży poziom usług dla wszystkich naszych klientów. Całe szczęście nie musimy się o nic martwić, dziś dysponujemy przepustowością rzędu 4 Tbps dla połączeń między naszą siecią a internetem, zaś pod koniec bieżącego roku będziemy dysponować przepustowością na poziomie 6,5 Tbps.

Jesteście połączeni z operatorami, jak zapewniacie, że nie mają oni ograniczeń odnośnie przepustowości sieci?

Nadwyżka przepustowości na poziomie 2 Tbps jest rozdzielana na 20 PoP (points of presence - punkty dostępowe) zlokalizowanych w Europie i Ameryce Północnej. Paryż, Frankfurt, Warszawa, Amsterdam, Madryt, Nowy York, Chicago, Los Angeles, Miami... wszędzie tam, gdzie nasza sieć jest fizycznie obecna. W tych punktach dostępowych mamy powiązania z różnymi operatorami. Atak DDoS pochodzący z tysięcy IP źródłowych dociera ze wszystkich stron świata. W przeciwieństwie do naszych konkurentów, nie koncentrujemy ataku na naszej sieci poprzez punkt dostępowy w jakimś mieście. U nas atak DDoS wkracza do naszej sieci najbliżej źródła ataku, to znaczy poprzez Miami, Los Angeles, Toronto, Pragę, Wiedeń, Madryt, Paryż etc. W ten sposób atak czerpie z całej przepustowości sieci rozpostartej na całym świecie, nie blokując ani sieci operatorów, ani naszej. Następnie atak jest wchłaniany i czyszczony przez najbliższy VAC.

Na czym polega czyszczenie ataku?

VAC składa się z kilku rozwiązań sprzętowych, które filtrują każdy pakiet IP. Następnie, w zależności od zawartości pakietu, decydują czy jest on prawidłowy, czy jest powiązany z atakiem lub, czy też trzeba uruchomić algorytm uwierzytelnienia pakietu. W przypadku pakietu prawidłowego, jest on akceptowany i przesyłany do następnego sprzętu, później ostatni w kolejności element VAC kieruje go do serwera klienta. Jeśli pakiet wydaje się być częścią ataku, jest on kasowany. W trzecim przypadku chodzi o pakiety, które wymagają uwierzytelnienia, gdyż może się okazać, że pakiet jest legalny bądź też pochodzi z ataku. VAC uruchamia wtedy algorytm uwierzytelniania, by wiedzieć, jak ma działać.

Używamy na przykład algorytmu nazwanego „Syn Auth”, by blokować ataki typu Synflood, które polegają na wysyłaniu mnóstwa pakietów SYN ze sfałszowanymi źródłowymi adresami IP. Działanie jest następujące: kiedy VAC otrzymuje pakiet SYN usuwa go i wysyła do źródłowego IP pakiet RST, który rozpoczyna połączenie źródłowego IP. Ten standardowy mechanizm polegający na przejęciu połączenia jest interpretowany przez źródłowy adres IP i odpowiada nowym pakietem SYN zawierającym taki sam numer sekwencji SYN jak pierwszy pakiet. VAC przypomina sobie o pierwszym pakiecie i stwierdza, że drugi pakiet przesyła ten sam numer sekwencji. Skutek: źródłowy adres IP dodawany jest do białej listy („white list”) VAC w ciągu godziny. Wszystkie połączenia wychodzące ze źródłowego IP do docelowego IP są automatycznie akceptowane. Jeśli jednak źródłowe IP ponownie wyśle pakiety SYN, które nie ­mają żadnego związku z poprzednimi pakietami, VAC uruchamia dokładnie taki sam algorytm na wszystkie pakiety SYN, a więc wszystkie je usuwa. Atak w ten sposób jest blokowany, a legalne pakiety wciąż są przepuszczane.

Czy w wykorzystaniu tego algorytmu nie pojawiają się fałszywe alerty?

Oprócz klienta „SSH”, który ponownie poprawnie odtwarza sekwencję, ale nie potrafi następnie wykonać automatycznego połączenia, wszyscy pozostali klienci TCP bez problemu radzą sobie z tym algorytmem. Wystarczy ponownie uruchomić klienta „SSH” i następuje połączenie. Jest to cena, którą klient ponosi za dokonany wybór aktywując opcję „nieustannej mitygacji”. W istocie, jeśli klient chce być chroniony 24h/7, mitygacja działa cały czas. Biorąc pod uwagę fakt, że SSH jest używany przez klienta jedynie do zarządzania serwerem, jest to rodzaj kompromisu.

Siedziba OVH

Można wybrać auto-mitygację?

Tak, w przypadku auto-mitygacji OVH wykrywa atak, a następnie aktywuje „czyszczenie” na infrastrukturach VAC. Po zakończeniu ataku OVH odtrzymuje mitygację na kolejne 15 minut. Klient może zmienić czas zakończenia mitygacji na „natychmiast” oraz na  1, 6 lub 26 godzin. W przypadku nieustannej mitygacji klient decyduje się na używanie VAC 24h/7.

Co dzieje się w przypadku ataku przy aktywnej opcji nieustannej mitygacji?

Jeśli klient aktywował opcję nieustannej mitygacji oraz jeśli faktycznie dochodzi do ataku, wykrywamy go oraz włączamy dodatkowo po naszej stronie auto-mitygację. Nie ma żadnych zmian w działaniu, ale jeśli podczas ataku klient dezaktywuje opcję nieustannej mitygacji jest ona kontynuowana dzięki auto-mitygacji. OVH jako jedyny na rynku proponuje opcję nieustannej mitygacji obejmującą całość usług. Opcja ta jest bardzo droga, gdyż zużywa zasoby VAC w trybie 24h/7, nawet jeśli nie dochodzi w danym momencie do ataku. W przypadku auto-mitygacji, klient używa zasoby ochrony Anty-DDoS jedynie podczas ataku.

Jaki jest ciąg dalszy działań OVH w tym zakresie?

Aktualny system VAC jest ochroną jednokierunkową, to znaczy asymetryczną, a niektóre ataki wymagają ochrony dwukierunkowej, a więc symetrycznej. Pracujemy aktualnie nad wdrożeniem ochrony typu L7 WebB oraz DNS, które można by aktywować „w locie”, bez potrzeby rekonfiguracji na serwerze klienta oraz które umożliwiłyby blokowanie ataków aplikacyjnych: na przykład DDoS na URL strony lub slowloris, polegający na utworzeniu maksymalnej ilości połączeń na serwerze, a następnie bardzo powolnym pisaniu zapytania. Umiemy mitygować takie rodzaje ataków na naszej infrastrukturze i jednocześnie umożliwiając dotarcie do serwera tylko dozwolonym połączeniom.

Kiedy ten rodzaj ochrony będzie dostępny?

Testy beta są w trakcie i myślimy, że usługa będzie stabilna pod koniec września oraz dostępna dla wszystkich sieci Web/SSL. Następnie będziemy pracować nad ochroną DNS oraz być może dla innych innych protokłów.

Czy zatem świat dostawców infrastruktury internetu uległ zmianie?

Zmieniamy zasady rynku czyniąc ochronę Anty-DDoS dostępną dla wszystkich klientów, podczas gdy zazwyczaj jest to usługa o mocno zawyżonej cenie. Raz jeszcze wspomnę, że stało się to dzięki podważeniu używanych do tej pory technologii oraz wdrożeniu innowacyjnego rozwiązania technicznego, całkowicie odmiennego i lepiej odpowiadającego na potrzeby naszych klientów w kategoriach ceny oraz możliwości mitygacji.

Jeśli podobał Ci się ten wywiad, zapoznaj się z innymi naszymi rozmowami z przedstawicielami firm:

 

 

Komentarze

0
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.

    Nie dodano jeszcze komentarzy. Bądź pierwszy!