Filtrowanie na masową skalę

Czasami do filtrowania ruchu nie wystarczą zapory sieciowe. Potrzebne są narzędzia, które umożliwią odfiltrowanie ruchu już w sieci operatora, uzupełniając pracę firmowych firewalli.

W czasach coraz silniejszych ataków internetowych pojawiła się konieczność filtrowania ruchu na masową skalę. Ruch związany z rozproszonymi atakami odmowy obsługi jest w stanie całkowicie wysycić łącza do atakowanych instytucji, uniemożliwiając działanie wszystkich usług, które organizacja świadczy w internecie. Jest to duże zagrożenie dla ciągłości działania procesów biznesowych związanych z tymi usługami. Od dawna specjaliści zajmujący się bezpieczeństwem sieci opracowują narzędzia, które mają na celu obronę przed atakami, czyli filtrowanie niepożądanego ruchu. Oczywiście, każdy ruch można próbować odfiltrować na zaporze sieciowej w organizacji, ale przy masowych atakach, które wysycają łącza, jest to praktycznie niemożliwe. Filtrowanie masowego niepożądanego ruchu musi zatem odbywać się jeszcze przed jego wejściem z innych sieci. Takiego zadania zapora sieciowa w docelowej organizacji, na końcu łącza dostępowego, nie zrealizuje, gdyż nie ma dostępu do tego, co dzieje się poza firmową siecią. Podobne możliwości daje jednak blokowanie za pomocą usług sieciowych i dobrze przygotowane trasowanie, wykorzystując do tego celu protokół BGP i kryteria możliwe do zdefiniowania.

Dobra rada: blokuj śmieci

Łukasz Bromirski, dyrektor techniczny działu IP NGN w firmie , twórca projektu BGP Blackholing PL, mówi: "BGP blackholing to jeden z mechanizmów, który może posłużyć do ochrony sieci każdej wielkości. Jeśli mamy więcej niż jeden router, to jest już sens zastanowić się nad implementacją takiej ochrony w firmie. Jest to także jedno z zaleceń. Można zaimplementować zarówno sinkholing, w celu analizy, jak i blackholing, w celu blokowania, jedynym ograniczeniem są dostępne zasoby". Jeśli firma dysponuje zaufanym źródłem informacji podającym kryteria, który ruch ma być poddawany blackholingowi, przy minimalnym nakładzie udaje się wprowadzić filtrowanie. Niekiedy dział IT może od razu samodzielnie określić kryteria filtrowania ruchu. Przykładem jest ruch do nieprzydzielonej przestrzeni adresowej, który może oznaczać fakt spenetrowania sieci i szukania połączenia, a także badania sygnatur urządzeń IPS i przygotowań do potencjalnego ataku na korporacje. Sporo ruchu dociera w ramach skanów i połączeń generowanych przez złośliwe oprogramowanie z zarażonych hostów.

Szybciej niż firewall

Filtrowanie ruchu za pomocą BGP jest bardzo sprawne i działa szybko. Aby uruchomić filtrowanie, nie trzeba modyfikować list kontroli dostępu (ACL) ani reguł na zaporach sieciowych. Wystarczy na wybranym routerze wprowadzić informację, że ruch do lub z danego adresu IP (lub całej sieci) jest niepożądany, by informacja została rozpropagowana przez BGP i niezwłocznie weszła w życie. Łukasz Bromirski mówi: "Jeśli mamy do czynienia z ogromną ilością źródeł ruchu, blackholing jest znacznie szybszy od firewalla. Wprowadzenie 100 tys. adresów IP i rozpropagowanie reguł na wszystkie zapory w firmie jest pracochłonne i trwa dość długo, tymczasem przy blackholingu wystarczy wrzucić adresy do demona routingu pracującego na jednym z i rozpropagować te informacje przez BGP. Blok 200 tys. adresów w typowej sieci gigabitowej propaguje się w czasie rzędu 5 sekund, dając niemal natychmiastowy efekt w całej sieci firmowej. Spadek wydajności spowodowany blackholingiem będzie o wiele mniejszy niż przy wprowadzeniu filtrowania za pomocą list kontroli dostępu. Mimo wszystko, nie stosuje się tej technologii w większej skali niż 200 tys. adresów IP".

Zagadnienia związane z bezpieczeństwem sieci były jednym z tematów konferencji Cisco Forum 2012.

BGP, sinkholing i blackholing

BGP, czyli Border Gateway Protocol, jest protokołem routingu, który nie używa metryk, ale korzysta z algorytmu wyboru oraz atrybutów. Routery zestawiają między sobą sesje BGP, dzięki którym wymieniają się informacjami o trasach i wyznaczają niezapętloną ścieżkę do sieci docelowych. Mechanizm trasowania może być wykorzystany do przekierowania niepożądanego ruchu albo do analizy, albo do pseudourządzenia null, by pakiety zostały odfiltrowane.

Łukasz Bromirski z firmy Cisco Systems Poland wyjaśnia: "Przekierowanie do analizy, czyli sinkholing, umożliwia analizę i klasyfikację ruchu, a blackholing wysyła go do »czarnej dziury« (stąd nazwa), skutecznie filtrując pakiety. Analiza jest możliwa, zarówno wewnątrz, jak i na zewnątrz organizacji, po klasyfikacji można określić reguły blackholingu. Wielu operatorów stosuje oba wymienione podejścia, by wiedzieć, co się dzieje w ich sieci i blokować ataki. Dużym minusem blackholingu jest brak możliwości rozróżnienia warstw wyższych, udaje się blokować tylko adresy IP. Chociaż istnieje specyfikacja FlowSpec, nie jest ona wspierana przez Cisco. Trwają prace nad nowym rozwiązaniem tego problemu".

Podstawowym powodem stosowania technik blackholingu jest ochrona, by ruch nie znalazł się w sieci, powodując m.in. odmowę obsługi. Jeśli organizacja ma większą sieć, jest zainteresowana, by takiego ruchu w ogóle nie transportować - niepożądany ruch generuje koszty, a nie przynosi żadnej korzyści biznesowej. Odfiltrowanie ruchu na punktach styku jest w takiej obronie bardzo pomocne, a BGP blackholing to umożliwia.


TOP 200