Практика внедрения BGP Flowspec в сети оператора связи

Содержание

Слайд 2

BGP Flowspec

О сервисе:
RFC5575
Позволяет передавать Flow Specification по протоколу BGP
Можно представить как распределенный

BGP Flowspec О сервисе: RFC5575 Позволяет передавать Flow Specification по протоколу BGP
access-list на сети провайдера
Часто используется для предотвращения некоторых видов DDoS атак на четвертом уровне OSI (Amplification/UDP flood).

Слайд 3

Flow Specification

Параметры (передаются как NLRI):
Destination prefix
Source prefix
IP protocol
Port
Destination port
Source port
ICMP

Flow Specification Параметры (передаются как NLRI): Destination prefix Source prefix IP protocol
type
ICMP code
TCP flags
Packet length
DSCP
Fragment
Действия (передаются как extended-community):
Traffic-rate
Traffic-action
Redirect
Traffic-marking

Слайд 4

Типичный сценарий атаки (до ddos)

Типичный сценарий атаки (до ddos)

Слайд 5

Типичный сценарий атаки (ddos)

Типичный сценарий атаки (ddos)

Слайд 6

Типичный сценарий атаки(используем flowspec)

Типичный сценарий атаки(используем flowspec)

Слайд 7

Рассмотренные варианты внедрения

Включение address-family IPv4/IPv6 flowspec на PE маршрутизаторах и клиентских сессиях

Рассмотренные варианты внедрения Включение address-family IPv4/IPv6 flowspec на PE маршрутизаторах и клиентских
:
Валидация правил? (vendor-specific, more-specific, etc)
Возможность «потерять» PE при приеме некорректного правила
Необходима поддержка BGP FS в «железе»
Написание ПО(контроллер BGP FS):
Возможность любого типа валидации
Отделение сети оператора от клиентских сессий BGP FS
Возможность установки правил без аппаратной поддержки у клиента
Возможности масштабирования

Слайд 8

Валидация правил

Обязательное наличие destination prefix
Destination prefix должен быть лучшим маршрутом в

Валидация правил Обязательное наличие destination prefix Destination prefix должен быть лучшим маршрутом
сети оператора, и приниматься с клиентской сессии
Запрет спецификации портов(dst/src) не с протоколами tcp/udp
Запрет указания tcp-flag не в протоколе tcp
Запрет указания icmp-type/code не в протоколе icmp
Ограничения с учетом используемого оборудования на сети (vendor-specific).

Слайд 9

Внедрение BGP Flowspec

Внедрение BGP Flowspec

Слайд 10

Внедрение BGP Flowspec (+ статистика/мониторинг)

Внедрение BGP Flowspec (+ статистика/мониторинг)

Слайд 11

Внедрение BGP Flowspec ( + web requests)

Внедрение BGP Flowspec ( + web requests)

Слайд 12

Статистика и мониторинг

Съем статистики с маршрутизаторов
Отправка метрик в систему статистики
Периодическая

Статистика и мониторинг Съем статистики с маршрутизаторов Отправка метрик в систему статистики
ревалидация правил
Контроль наличия правил в маршрутизаторах

Слайд 13

Web портал

Статистика и управление правилами
Просмотр истории по выставленным правилам
Экспорт счетчиков правил (match/drop)

Web портал Статистика и управление правилами Просмотр истории по выставленным правилам Экспорт
в json
Возможность передавать flowspec:
Для клиентов с маршртутизаторами без поддержки bgp flowspec
В случае отсутствия доступа к сети/маршрутизатору
Просто/быстро/удобно

Слайд 14

Установка flowspec через web

Установка flowspec через web

Слайд 15

Примеры графиков

У клиентов в личном кабинете:

У администраторов ☺ :

Примеры графиков У клиентов в личном кабинете: У администраторов ☺ :

Слайд 16

Rate-limit

В Cisco ASR9K flowspec применяется на входе -> при наличии N линков(на

Rate-limit В Cisco ASR9K flowspec применяется на входе -> при наличии N
разных NP) возможны подобные ситуации.

Слайд 17

Детектирование DDoS

Атаки на полосу(UDP Flood/Amplification):
BGP Flowspec применим практически ко всем случаям
Детектирование

Детектирование DDoS Атаки на полосу(UDP Flood/Amplification): BGP Flowspec применим практически ко всем
достаточно незатратно(Netflow/Sflow), в том числе и на транзите
Атаки на сетевой стек(Syn/Ack flood, conntrack …):
BGP Flowspec применим редко
Детектирование на транзите не всегда возможно
Application-based атаки:
BGP Flowspec неприменим
Простое детектирование на транзите невозможно (без DPI и аналитики)

Слайд 18

Топ 10 типов ddos атак (AKAMAI)

BGP Flowspec применим более чем в 75%

Топ 10 типов ddos атак (AKAMAI) BGP Flowspec применим более чем в 75% случаев
случаев

Слайд 19

Cтатистика (Раском)

Выборка из >5000 реальных правил

Cтатистика (Раском) Выборка из >5000 реальных правил

Слайд 20

Cтатистика (Раском)

Cтатистика (Раском)

Слайд 21

Cтатистика (Раском)

>85% трафика ddos атак, детектированных с помощью BGP Flowspec(клиентские правила)
приходят

Cтатистика (Раском) >85% трафика ddos атак, детектированных с помощью BGP Flowspec(клиентские правила)
с зарубежных стыков (в основном Tier1 операторы)

Слайд 22

Hardware limitation. Не рекомендуется использовать flowspec в качестве перманентных access-list и всегда

Hardware limitation. Не рекомендуется использовать flowspec в качестве перманентных access-list и всегда
убирать неиспользуемые
Bad validation. Не стоит испытывать прочность операторской(вендорной) валидации правил и всегда следовать RFC:
Падение ядра сети Cloudflare (match packet-length >64K)
Во время тестов неккоректными правилами несколько раз потерян Juniper vMX(вылет RPD)
Understanding. Если нет понимания о bgp flowspec и его применениях, то не стоит применять эту услугу.

Рекомендации

Слайд 23

Планы на развитие

Введение второго контроллера на базе GoBGP
Резервирование
Страховка от «багов» ПО
API
Установка/снятие

Планы на развитие Введение второго контроллера на базе GoBGP Резервирование Страховка от
правил
Статистика (raw)
Информирование/снятие правил по которым нет трафика
Интеграция c продуктом детектирования атак на базе netflow/sflow
Доработка web-портала
Имя файла: Практика-внедрения-BGP-Flowspec-в-сети-оператора-связи.pptx
Количество просмотров: 54
Количество скачиваний: 0