Способы интеграции MITIGATOR в сеть

В MITIGATOR реализована поддержка множества сценариев встраивания в сеть заказчика. Ниже описаны основные термины и способы внедрения в сеть, а также примеры внедрения.

Внешняя и внутренняя сети

Логически MITIGATOR подключается к двум сетям:

  • Внешняя сеть (external) – сеть, из которой приходит трафик, требующий очистки;
  • Внутренняя сеть (internal) – сеть, в которой расположены защищаемые ресурсы.

  • Трафик из внешней сети – трафик, поступающий в MITIGATOR из внешней сети. Состоит из трафика атаки и легитимного трафика.
  • Пропущенный трафик – трафик, отправленный MITIGATOR во внутреннюю сеть. Состоит из легитимного трафика.
  • Обратный трафик – трафик, который был сгенерирован MITIGATOR и отправлен во внешнюю сеть. Обратный трафик генерируется при работе активных контрмер, например, использующих метод вызов-отклик (challenge-response).
  • Трафик из внутренней сети – трафик, отправляемый во внешнюю сеть защищаемым ресурсом. Этот трафик может проходить через MITIGATOR, но не подвергается очистке.
  • Сброшенный трафик – трафик, сброшенный MITIGATOR при очистке трафика из внешней сети.

Симметричная и асимметричная схема внедрения

MITIGATOR может работать при симметричной и асимметричной маршрутизации трафика.

При симметричной схеме внедрения трафик из внешней сети во внутреннюю и обратно проходит через MITIGATOR.

При асимметричной схеме внедрения через MITIGATOR проходит трафик из внешней сети, а трафик из внутренней сети проходит мимо. При использовании асимметричной схемы внедрения не расходуются ресурсы на обработку трафика внутренней сети.

Способы постановки на защиту

Способы постановки на защиту можно разделить на:

  • «Always-on» – трафик из внешней сети все время проходит через MITIGATOR;
  • «On-demand» – трафик из внешней сети направляется на MITIGATOR только по необходимости, например, посредством BGP-анонса с менеджмент-интерфейса MITIGATOR.

Преимущества способа «Always-on»:

  • Трафик атаки фильтруется сразу же в момент появления.
  • Не происходит сброса ранее установленных сессий.
  • Собирается детальная статистика по трафику.

Недостатки «Always-on»:

  • Работающие контрмеры могут влиять на легитимный трафик.
  • Постоянное перенаправление трафика на защиту может негативно сказываться на оптимальности маршрутов следования трафика.
  • Большой объем легитимного трафика, постоянно проходящего через систему защиты, фоново нагружает ее.

В MITIGATOR для уменьшения влияния на легитимный трафик и фоновой нагрузки каждая контрмера по отдельности может включаться только в момент детектирования аномалии. Скорость активации контрмеры от 1 секунды.

Преимущества способа «On-demand»:

  • Без атаки не оказывается влияние на трафик.
  • Нет постоянной нагрузки на систему защиты.

Недостатки способа «On-demand»:

  • Увеличенный временной интервал между началом атаки и переводом трафика на защиту.
  • Сброс ранее установленных сессий.
  • Отсутствие статистики по трафику, либо неточная собранная по flow-протоколам.

Во избежание сброса ранее установленных сессий при способе «On-demand» в контрмеры MITIGATOR реализован режим мягкого старта.

Интеграция в сеть на физическом уровне

На физическом уровне MITIGATOR может быть подключен в сеть тремя способами:

  • «Inline» – «в разрыв» сети, когда трафик из внешней сети приходит через одни физические сетевые интерфейсы и уходит во внутреннюю сеть через другие.
  • «On-a-stick» – трафик из внешней и внутренней сетей проходит через один и тот же сетевой интерфейс. Принадлежность к внешней или внутренней сети определяется по VLAN ID.
  • «Common LAN» – трафик одного сегмента сети проходит из внешней сети во внутреннюю сеть через одни и те же сетевые интерфейсы. Определение направления и принадлежности кадра сегменту сети производится на основании VLAN ID и MAC-адресов.

Inline

При подключении «Inline» сеть, из которой прибыл кадр, определяется физическим портом, с которого кадр принят: порты «ext» – внешняя сеть, порты «int» – внутренняя сеть. Внутри системы «ext» и «int» порты скоммутированы попарно – кадр отправляется с порта с таким же номером, какой был у порта получения. Обрабатывается как трафик с VLAN ID так и без него.

On-a-stick

При выборе способа подключения «On-a-stick» задается таблица перетэгирования трафика, состоящая из пар внешнего и внутреннего VLAN ID. Принятый с любого физического порта кадр с внешним VLAN ID считается поступившим из внешней сети. Обработанный кадр отправляется во внутреннюю сеть через тот же порт, через который был получен, а его VLAN ID заменяется соответствующим внутренним. Если пришедший кадр содержит VLAN-тэг с внутренним VLAN ID, он заменяется соответствующим ему внешним VLAN ID, и кадр отправляется через тот же порт.

Common LAN

Способ подключения «Common LAN» применяется, когда внешний и внутренний роутеры и экземпляр MITIGATOR находятся в одной L2 и L3 сети. Если принятый с любого физического порта кадр имеет MAC-адрес внешнего роутера, он считается поступившим из внешней сети. MAC-адрес получателя заменяется на MAC-адрес внутреннего роутера, и кадр отправляется через тот же порт. Обратный трафик из внутренней сети может идти через экземпляр MITIGATOR, в этом случае выполняется обратная подстановка MAC-адресов, или следовать напрямую во внешнюю сеть. Поддерживается работа одновременно в нескольких сегментах сети, разделенных при помощи VLAN ID. В этом случае для каждого VLAN ID задаются собственные L3 настройки.

Поддерживается работа с VRRP. Если внешние или внутренние роутеры присылают кадры с указанием реальных MAC-адресов устройств вместо виртуального, следует указать в настройках список реальных IP-адресов роутеров, чтобы MITIGATOR мог определить соответствующие им MAC-адреса. В случае если кадры от всех устройств VRRP приходят с указанием виртуального MAC-адреса, достаточно указать только виртуальный IP-адрес.

Интеграция в сеть на сетевом уровне

На сетевом уровне MITIGATOR может быть L2-прозрачным или выступать как L3-устройство ограниченной функциональности.

L2-прозрачность

В режиме «L2-прозрачность» MITIGATOR невидим для окружающих сетевых устройств и никак не влияет на взаимодействие на сетевом уровне. Кадр, проходящий через MITIGATOR, не изменяется.

L3-роутер

В режиме «L3-роутер» система выполняет ряд базовых функций L3-устройства, что позволяет роутерам в присоединенных сетях использовать MITIGATOR как next-hop и выступать next-hop для MITIGATOR по протоколам IPv4 и IPv6.

Предполагается, что во внешней сети находится роутер, к которому подключен MITIGATOR. Со стороны внутренней сети находится внутренний роутер. Когда прибывает кадр из внешней сети, MAC-адрес отправителя кадра заменяется на MAC-адрес внутреннего интерфейса MITIGATOR, а MAC-адрес получателя — на MAC-адрес внутреннего роутера. Для кадров из внутренней сети производится обратная замена MAC-адресов.

Для каждой пары VLAN ID в режиме «L3-роутер» возможно указать собственные параметры маршрутизации.

Для определения MAC-адресов соседних роутеров в системе реализована поддержка функций протоколов ARP и NDP. Задаются IP-адреса интерфейсов MITIGATOR и IP-адреса внутреннего и внешнего роутеров. Запросы для разрешения MAC-адресов роутеров MITIGATOR отправляет раз в 30 секунд. Параметры опроса задаются в конфигурационном файле dataplane.conf (описание). MAC-адреса внешнего и внутреннего интерфейсов MITIGATOR могут быть заданы вручную. Также обработчик пакетов MITIGATOR может отвечать на ICMP Echo Request.

Пока процесс разрешения MAC-адресов соседних роутеров не завершен, все кадры сбрасываются. Кадры, адресованные не внутреннему или внешнему MAC-адресам MITIGATOR, сбрасываются всегда.

Особенности схем

MITIGATOR может быть подключен к сети пятью способами:

Inline L2-прозрачный:

  • Данный режим работы задан по умолчанию.
  • Обрабатывается только трафик протоколов IPv4 и IPv6, весь остальной трафик пропускается без обработки.
  • VLAN не изменяются.
  • Работает LACP между сетевыми устройствами через MITIGATOR.

On-a-stick L2-прозрачный:

  • Обрабатывается только трафик протоколов IPv4 и IPv6, весь остальной трафик пропускается без обработки.
  • VLAN ID перетэгируются.
  • Кадры с VLAN ID не из таблицы перетэгирования сбрасываются.
  • Поддерживается статический LAG.
  • Поддерживается LACP. Ответ на LACP-запрос отправляется в тот же порт, с которого поступил запрос.

Inline L3-роутер:

  • Обрабатываются только кадры, dst MAC которых принадлежит MITIGATOR, остальные сбрасываются.
  • Поддерживается статический LAG. Для внешней и внутренней сети собираются два отдельных LAG.
  • Поддерживается LACP. Все SLOW-frame пропускаются мимо обработчика.

On-a-stick L3-роутер:

  • IP-адреса могут быть заданы для каждой пары VLAN.
  • Обрабатываются только кадры, dst MAC которых принадлежит MITIGATOR, остальные сбрасываются.
  • MAC-адреса внешнего и внутреннего интерфейсов MITIGATOR могут быть заданы вручную.
  • Кадры с VLAN ID не из таблицы перетэгирования сбрасываются.
  • Поддерживается статический LAG.
  • Поддерживается LACP. Ответ на LACP-запрос отправляется в тот же порт, с которого поступил запрос.

Common LAN L3-роутер:

  • Поддерживается работа одновременно в нескольких сегментах сети, разделенных при помощи VLAN.
  • Обрабатываются только кадры, dst MAC которых принадлежит MITIGATOR, остальные сбрасываются.
  • MAC-адреса внешнего и внутреннего интерфейсов MITIGATOR определяются автоматически.
  • Поддерживается статический LAG.
  • Поддерживается LACP. Ответ на LACP-запрос отправляется в тот же порт, с которого поступил запрос.

Горизонтальное масштабирование

Для способа внедрения Inline L2-прозрачный возможна балансировка трафика между экземплярами MITIGATOR за счет LACP между R1 и R2.

Для способа внедрения L3-роутер возможна балансировка трафика между экземплярами MITIGATOR с помощью ECMP.

Во всех случаях балансировка по экземплярам MITIGATOR должна быть настроена так, чтобы пара src_ip + dst_ip всегда попадала на одно и то же устройство.
Централизованное управление множеством экземпляров MITIGATOR возможно в режиме кластера. Принципиальные схемы кластера и настройки описаны в отдельном разделе.

Обеспечение сетевой связности при авариях и плановых работах

Для обеспечения сетевой связности при авариях и плановых работах можно использовать:

  • Схему балансировки L3-роутер с ECMP с анонсированием маршрутов по BGP;
  • Схему балансировки Inline L2-прозрачный с LACP;
  • Схему Inline L2-прозрачный с аппаратным bypass.

MITIGATOR поддерживает сетевые интерфейсы с аппаратным Bypass. Их применение позволяет сохранить сетевую связность в случае отключения питания или возникновения программной ошибки в обработчике пакетов. Для плановых работ можно управлять режимом работы Bypass через Web-интерфейс.

Применение Collector для детектирования атак

Если при отсутствии атаки трафик не проходит через MITIGATOR, то для детектирования требуется получение телеметрии по трафику от сетевого оборудования. Телеметрия с вышестоящего роутера передается на Collector по flow-протоколам. Collector передает статистику по трафику на MITIGATOR. Автодетектирование в MITIGATOR, зафиксировав аномалию, отправляет BGP-анонс для перенаправления трафика на очистку.

Подобное взаимодействие может быть настроено также и с flow-коллекторами сторонних производителей.

Применение GRE-туннелирования

GRE-туннелирование может применяться в MITIGATOR в двух сценариях:

  1. Для поставщика услуги защиты от DDoS-атак.
    Поставщик оказывает услугу потребителю, который находится за пределами его сети, либо доставка очищенного трафика до защищаемого ресурса осложнена особенностями маршрутизации в сети поставщика. В этом случае трафик поступает на MITIGATOR из внешней сети, подвергается очистке, после чего запаковывается в GRE-туннель и отправляется на защищаемый ресурс во внешнюю сеть. Исходящий трафик защищаемого сервера может упаковываться в GRE-туннель

    или направляться напрямую пользователю через Internet.

  2. Для потребителя услуги защиты от DDoS-атак.
    Потребитель не имеет прямого подключения к сети поставщика услуги, либо у поставщика услуги возникают сложности в доставке трафика. В этом случае трафик поступает на MITIGATOR через GRE-туннель, распаковывается и подвергается очистке, после чего отправляется на защищаемый ресурс во внутреннюю сеть. Исходящий трафик защищаемого сервера может упаковываться в GRE-туннель

    или направляться напрямую пользователю через Internet.

Пример внедрения в сеть

Асимметрия + On-demand/Always-on + L3-inline + BGP-анонс

Рассмотрим асимметричную схему внедрения нескольких экземпляров MITIGATOR, при которой одновременно могут использоваться оба сценария нахождения под защитой.

На маршрутизаторе R1 задан маршрут, согласно которому префикс IPs/24 доступен через маршрутизатор R2, включена поддержка ECMP, балансировка настроена так, что пара src_ip + dst_ip попадает на один и тот же next-hop. MITIGATOR собран в кластер. С менеджмент-интерфейса каждого экземпляра MITIGATOR установлена BGP-сессия с R1. На R2 задан маршрут по умолчанию, ведущий на R1.

Таким образом, при отсутствии необходимости защиты трафик на защищаемый ресурс поступает напрямую от R1 к R2, минуя MITIGATOR. В момент, когда необходимо активировать защиту, экземпляры MITIGATOR отправляют на R1 BGP-анонс, сообщающий, что защищаемый префикс IPs1/32 доступен через IPm1 и IPm2. За счет балансировки по ECMP трафик будет распределяться между двумя устройствами.

Такой вариант внедрения позволяет:

  • повысить отказоустойчивость;
  • горизонтально масштабировать кластер для повышения производительности;
  • защищать ресурсы адресно;
  • по необходимости пускать трафик на MITIGATOR в режиме «On-demand», либо снимать трафик с защиты в режиме «Always-on»;
  • упростить процедуру обслуживания и поиска неисправностей.

Применение BFD для быстрого изменения маршрутов

В вышеописанной схеме в случае нештатного отключения сервера с MITIGATOR снятие BGP-анонсов займет некоторое время, в течение которого R1 продолжит отправлять трафик на MITIGATOR, что приведет к потере этого трафика. Для минимизации времени обновления маршрутов можно использовать протокол BFD.

Для этого требуется настроить взаимодействие по BFD между R1 и R2 и установить два BGP-соединения:

  1. BGP-соединение между R1 и R2.
    В рамках этого соединения R2 сообщает R1, что некий IPnh доступен через MITIGATOR;

  2. BGP-соединение между менеджмент-интерфейсом MITIGATOR и R1.
    В рамках этого соединения MITIGATOR сообщает R1, что защищаемый префикс доступен через IPnh.

Малое время опроса линков по протоколу BFD позволит в случае нештатного отключения сервера с MITIGATOR быстро удалить неработающие маршруты из таблицы маршрутизации R1, и трафик защищаемого префикса будет перенаправлен по прямому маршруту от R1 к R2 в случае с одним экземпляром MITIGATOR, или перестанет балансироваться на неработающий экземпляр при работе в кластере.