logging in or signing up dos in hbone Lindon Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINTLite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 76 Category: Entertainment License: All Rights Reserved Like it (0) Dislike it (1) Added: October 07, 2007 This Presentation is Public Favorites: 0 Presentation Description No description available. Comments Posting comment... Premium member Presentation Transcript DOS támadások elleni védekezés a HBONE-ban: DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.Áttekintés: Áttekintés ISP feladatai Védekezési módszerek A HBONE felépitése Lehetséges védelmi stratégiák a HBONE-ban További lehetőségekISP feladatai: ISP feladatai Megvédeni önmagát Internettől, saját usereitől Segiteni a customernek védeni önmagát Internettől Védeni az Internetet Saját usereitőlISP feladatai: ISP feladatai Tudjuk, hogy meg fognak támadni Mikor, milyen gyakran, hogyan Aki felkészül/felkészült az kevésbé sérülékeny Proaktiv lépések kidolgozása Hogyan ismerjük fel, keressük meg, mit teszünk ellene? A routerek védelme Pld. CPU A routing protokollok védelme A hálózat védelmeProaktiv lépések: Proaktiv lépések Előre megirt access-listák Characterizing & tracing packet floods www.cisco.com/warp/public/707/22.html Hop-by-hop tracing w NetFlow ip route-cache flow 75k distributed: netflow cache on VIP IP source tracking GSR Minden LC CAR against DoS http://www.cisco.com/warp/public/63/car_rate_limit_icmp.htmlA routerek védelme: A routerek védelme Globalis szervizek no service finger no service pad no service udp-small-servers no service tcp-small-servers no ip bootp server no cdp run Interfesz specifikus szervizek no ip redirects no ip proxy-arp no ip directed-broadcast no cdp enabled (publikus, customer i/f)A routerek védelme: A routerek védelme Jelszavak Enable secret, username Új: username MD5 hash, nem reverzibilis, CSCds84754 TCP keepalive service tcp-keepalives-in VTY access xACL, log SSH server és kliens crypto key generate rsa line vty 0 4 transport input sshA routerek védelme: A routerek védelme AAA Authentication nincs lokálisan tárolt jelszó Authorization command, service, … Accounting command accountingA routerek védelme: A routerek védelme no ip source-route icmp unreachable overload – blackhole filter „régen” unreachable punted to RP/GRP „most” unreachable a VIP/LC által no ip unreachables (null0 i/f-en is, BGP pull-up!! ) icmp unreachable, DF rate-limit Hidden, default: 1/500 ms, javasolt 1/1000msec A routing protokoll védelme: A routing protokoll védelme Route authentication OSPF, BGP, IS-IS, EIGRP, RIPv2 plain-text, MD5 Selctive packet discard bad TTL: process switching ip spd mode aggressive show ip spfA hálózat védelme: A hálózat védelme route szűrés distribute-list, prefix-list (csak az egyiket) csomagszűrés [eXended|Turbo] access-list, blackhole, uRPF rate limitek icmp, tcp synRoute szűrés: Route szűrés Manning, DSUA http://www.ietf.org/intenet-drafts/draft-manning-dsua-06.txt RFC1918, loop, test-net, default broadcast, multicast, end-node autoconfig (DHCP) ip prefix-list dsua deny 0.0.0.0/8 le 32 ip prefix-list dsua deny 10.0.0.0/8 le 32 ip prefix-list dsua deny 127.0.0.0/8 le 32 ip prefix-list dsua deny 169.254.0.0/16 le 32 ip prefix-list dsua deny 192.0.2.0/24 le 32 ip prefix-list dsua deny 192.168.0.0/16 le 32 ip prefix-list dsua deny 224.0.0.0/3 le 32 ip prefix-list dsua permit 0.0.0.0/0 le 32Csomagszűrés: Csomagszűrés Blackhole filter – destination address Static route to null0 !! no ip unreachable !! CEF path-ban dobunk: minimális/nulla CPU igény! Remotely triggered blackhole filter ISP DOS/DDOS tool minden router: ip route „test-net” null0 trigger: inject bgp, next-hop == test-net iBGP, eBGPCsomagszűrés: Csomagszűrés Ingress filter BCP 38, RFC2827 access-list, dynamic w AAA profile Adminisztrációs horror… uRPF (strict, loose) ISP-customer: strict ISP-ISP: loose Egress Customer’s ingress uRPF Csomagszűrés: Csomagszűrés uRPF strict mode ip verify unicast reverse-path „ott jön” ahol a FIB szerint várjuk ISP-customer kapcsolatnál LL-cust, dialup, xDSL, cable, IXP L2 peering: OK multi-homed customer same ISP ISP: tweak weight customer: maximum paths, per-dest load sharing multi-homed customer different ISP: ISP: tweak weight customerCsomagszűrés: Csomagszűrés uRPF loose mode (CSCdr93424) 72k, 75k, GSR E0, E1: 12.0(14)S GSR E4+, E3, E2 (nem mind!, 3GE nem) 12.0(19|22|23)S C6K: 12.1(8)E exists-only mód ip verify unicast source reachable-via [ any | rx ] [ allow-default ] ip verify unicast reverse-path [ allow-self-ping ] any: real i/f, a Null0 nem „real”! ISP-ISP, ISP-IPX IXP L3 peering Bővebben: http://www.cisco.com/public/cons/isp/documents/uRPF_Enhancement.pdfCsomagszűrés: Csomagszűrés Loose uRPF – DoS tool Remotely triggered via BGP check destination & source A blackhole filter csak a destination-t „vizsgálta”Proaktiv lépések: Proaktiv lépések Hogyan találjuk meg a „támadás forrását Hop-by-hop vs jump-to-ingress Hop-by-hop -- Idő Access-list log-input, NetFlow Jump-to-ingress -- „belső” támadó? Access-list log-input, NetFlow ip source tracking GSR: minden LC: 12.0(21)S E0 és E1 perfornance impact for tracked ”Backscatter” analizis sink hole: default drop to null0 with BGP limit the icmp unreachablesHBONE: HBONE Külső kapcsolatok GSR: Geant, NY, BIX, Sulinet, Kormányzat Belső kapcsolatok: GSR 75k RSP/VIP: vh75, vh76 C6K (nativ IOS) C72kHBONE: HBONE GSR LC: E0 1*OC12ATM: mod QoS CLI, CAR, turboCAR, IP source tracker, ACL, xACL, tACL, NetFlow, sampled NetFlow E0 4*OC3POS: mod QoS CLI, CAR, turboCAR, QPPB, uRPF, IP source tracker, [x|t]ACL, NetFlow, sampled NetFlow E2 3*GE: mod QoS CLI, PIRC, ICMP rate-limit, IP source tracker, std [x|t]ACL, 128/448 [x]ACL (no subif, exclusive w PIRC), sampled NetFlow E4 4*OC48POS: mod QoS CLI, CAR, IP source tracker, tACL (ingress only, egress is E0, E1, E2) C72k, C75k Virtuálisan minden, C75k: distributed szolgáltatások C6k Virtuálisan minden, HW-ből (PFC2) You do not have the permission to view this presentation. In order to view it, please contact the author of the presentation.
dos in hbone Lindon Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINTLite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 76 Category: Entertainment License: All Rights Reserved Like it (0) Dislike it (1) Added: October 07, 2007 This Presentation is Public Favorites: 0 Presentation Description No description available. Comments Posting comment... Premium member Presentation Transcript DOS támadások elleni védekezés a HBONE-ban: DOS támadások elleni védekezés a HBONE-ban Kinczli Zoltán Synergon Rt.Áttekintés: Áttekintés ISP feladatai Védekezési módszerek A HBONE felépitése Lehetséges védelmi stratégiák a HBONE-ban További lehetőségekISP feladatai: ISP feladatai Megvédeni önmagát Internettől, saját usereitől Segiteni a customernek védeni önmagát Internettől Védeni az Internetet Saját usereitőlISP feladatai: ISP feladatai Tudjuk, hogy meg fognak támadni Mikor, milyen gyakran, hogyan Aki felkészül/felkészült az kevésbé sérülékeny Proaktiv lépések kidolgozása Hogyan ismerjük fel, keressük meg, mit teszünk ellene? A routerek védelme Pld. CPU A routing protokollok védelme A hálózat védelmeProaktiv lépések: Proaktiv lépések Előre megirt access-listák Characterizing & tracing packet floods www.cisco.com/warp/public/707/22.html Hop-by-hop tracing w NetFlow ip route-cache flow 75k distributed: netflow cache on VIP IP source tracking GSR Minden LC CAR against DoS http://www.cisco.com/warp/public/63/car_rate_limit_icmp.htmlA routerek védelme: A routerek védelme Globalis szervizek no service finger no service pad no service udp-small-servers no service tcp-small-servers no ip bootp server no cdp run Interfesz specifikus szervizek no ip redirects no ip proxy-arp no ip directed-broadcast no cdp enabled (publikus, customer i/f)A routerek védelme: A routerek védelme Jelszavak Enable secret, username Új: username MD5 hash, nem reverzibilis, CSCds84754 TCP keepalive service tcp-keepalives-in VTY access xACL, log SSH server és kliens crypto key generate rsa line vty 0 4 transport input sshA routerek védelme: A routerek védelme AAA Authentication nincs lokálisan tárolt jelszó Authorization command, service, … Accounting command accountingA routerek védelme: A routerek védelme no ip source-route icmp unreachable overload – blackhole filter „régen” unreachable punted to RP/GRP „most” unreachable a VIP/LC által no ip unreachables (null0 i/f-en is, BGP pull-up!! ) icmp unreachable, DF rate-limit Hidden, default: 1/500 ms, javasolt 1/1000msec A routing protokoll védelme: A routing protokoll védelme Route authentication OSPF, BGP, IS-IS, EIGRP, RIPv2 plain-text, MD5 Selctive packet discard bad TTL: process switching ip spd mode aggressive show ip spfA hálózat védelme: A hálózat védelme route szűrés distribute-list, prefix-list (csak az egyiket) csomagszűrés [eXended|Turbo] access-list, blackhole, uRPF rate limitek icmp, tcp synRoute szűrés: Route szűrés Manning, DSUA http://www.ietf.org/intenet-drafts/draft-manning-dsua-06.txt RFC1918, loop, test-net, default broadcast, multicast, end-node autoconfig (DHCP) ip prefix-list dsua deny 0.0.0.0/8 le 32 ip prefix-list dsua deny 10.0.0.0/8 le 32 ip prefix-list dsua deny 127.0.0.0/8 le 32 ip prefix-list dsua deny 169.254.0.0/16 le 32 ip prefix-list dsua deny 192.0.2.0/24 le 32 ip prefix-list dsua deny 192.168.0.0/16 le 32 ip prefix-list dsua deny 224.0.0.0/3 le 32 ip prefix-list dsua permit 0.0.0.0/0 le 32Csomagszűrés: Csomagszűrés Blackhole filter – destination address Static route to null0 !! no ip unreachable !! CEF path-ban dobunk: minimális/nulla CPU igény! Remotely triggered blackhole filter ISP DOS/DDOS tool minden router: ip route „test-net” null0 trigger: inject bgp, next-hop == test-net iBGP, eBGPCsomagszűrés: Csomagszűrés Ingress filter BCP 38, RFC2827 access-list, dynamic w AAA profile Adminisztrációs horror… uRPF (strict, loose) ISP-customer: strict ISP-ISP: loose Egress Customer’s ingress uRPF Csomagszűrés: Csomagszűrés uRPF strict mode ip verify unicast reverse-path „ott jön” ahol a FIB szerint várjuk ISP-customer kapcsolatnál LL-cust, dialup, xDSL, cable, IXP L2 peering: OK multi-homed customer same ISP ISP: tweak weight customer: maximum paths, per-dest load sharing multi-homed customer different ISP: ISP: tweak weight customerCsomagszűrés: Csomagszűrés uRPF loose mode (CSCdr93424) 72k, 75k, GSR E0, E1: 12.0(14)S GSR E4+, E3, E2 (nem mind!, 3GE nem) 12.0(19|22|23)S C6K: 12.1(8)E exists-only mód ip verify unicast source reachable-via [ any | rx ] [ allow-default ] ip verify unicast reverse-path [ allow-self-ping ] any: real i/f, a Null0 nem „real”! ISP-ISP, ISP-IPX IXP L3 peering Bővebben: http://www.cisco.com/public/cons/isp/documents/uRPF_Enhancement.pdfCsomagszűrés: Csomagszűrés Loose uRPF – DoS tool Remotely triggered via BGP check destination & source A blackhole filter csak a destination-t „vizsgálta”Proaktiv lépések: Proaktiv lépések Hogyan találjuk meg a „támadás forrását Hop-by-hop vs jump-to-ingress Hop-by-hop -- Idő Access-list log-input, NetFlow Jump-to-ingress -- „belső” támadó? Access-list log-input, NetFlow ip source tracking GSR: minden LC: 12.0(21)S E0 és E1 perfornance impact for tracked ”Backscatter” analizis sink hole: default drop to null0 with BGP limit the icmp unreachablesHBONE: HBONE Külső kapcsolatok GSR: Geant, NY, BIX, Sulinet, Kormányzat Belső kapcsolatok: GSR 75k RSP/VIP: vh75, vh76 C6K (nativ IOS) C72kHBONE: HBONE GSR LC: E0 1*OC12ATM: mod QoS CLI, CAR, turboCAR, IP source tracker, ACL, xACL, tACL, NetFlow, sampled NetFlow E0 4*OC3POS: mod QoS CLI, CAR, turboCAR, QPPB, uRPF, IP source tracker, [x|t]ACL, NetFlow, sampled NetFlow E2 3*GE: mod QoS CLI, PIRC, ICMP rate-limit, IP source tracker, std [x|t]ACL, 128/448 [x]ACL (no subif, exclusive w PIRC), sampled NetFlow E4 4*OC48POS: mod QoS CLI, CAR, IP source tracker, tACL (ingress only, egress is E0, E1, E2) C72k, C75k Virtuálisan minden, C75k: distributed szolgáltatások C6k Virtuálisan minden, HW-ből (PFC2)