Настройка эшелонированной защиты на базе MITIGATOR

Наибольшую эффективность при защите от DDoS-атак показывают схемы эшелонированной обороны, где тонкой очисткой трафика, поступающего в защищаемую сеть, занимается on-premise устройство на границе сети, а защитные механизмы на уровне вышестоящего оператора связи позволяют предотвратить переполнение канала.

Постоянно включенная защита на стороне оператора связи может вызывать проблемы и оказывать негативное влияние на легитимный трафик, поэтому она должна активироваться только по необходимости. Для этого сценария требуется настроить взаимодействие между эшелонами защиты — облачную сигнализацию.

Рассмотрим случай, когда и у оператора связи, и у его клиента для очистки трафика используется MITIGATOR. Для удобства повествования введем термины:

• MITIGATOR CPE — MITIGATOR, установленный у клиента на границе его сети.
• MITIGATOR ISP — MITIGATOR, установленный у оператора связи.

В момент обнаружения атаки MITIGATOR CPE начинает очистку собственными силами. Если объем атаки близок к ширине канала, MITIGATOR CPE отправляет BGP-анонс в сторону MITIGATOR ISP. В анонсе передаются префиксы, трафик на которые MITIGATOR ISP должен принять на очистку. Получив префиксы, MITIGATOR ISP сам начинает рассылать анонсы BGP-соседям, сообщая, что трафик на эти префиксы следует направлять на MITIGATOR ISP для очистки. По завершении атаки BGP-анонсы снимаются, и трафик продолжает движение прежним маршрутом. Желательно настроить BGP-взаимодействие между MITIGATOR CPE и MITIGATOR ISP через альтернативный канал связи, так как при переполнении общего канала сигнал может не отправиться.

Подробно рассмотрим настройку подобного взаимодействия между MITIGATOR CPE и MITIGATOR ISP.

Инструкция по настройке MITIGATOR CPE

Настройка взаимодействия по BGP

1. Разрешить на MITIGATOR CPE установку BGP-соединения.

   

2. Создать BGP-соседа MITIGATOR ISP.

   2.1. В настройках BGP-соседа указать сетевые параметры MITIGATOR ISP, такие как IP-адрес и номер автономной системы. Остальные параметры опциональны и настраиваются по необходимости. Следует указать большое значение TTL IP-пакета, так как MITIGATOR ISP может находиться на удалении.

   

   2.2. Указать в политике анонса данному BGP-соседу один из системных .signaling. списков. Сигнальные списки могут наполняться по различным критериям, выбор списка зависит от сценария использования. В качестве примера будем применять список system.policy.signaling.prefixes. Специальные nexthop и community задаются по необходимости, исходя из требований MITIGATOR ISP.

   

Настройка политик защиты

1. Задать пороги автодетектирования для управления распространением анонсов.

   1.1. На вкладке «Автодетектирование» в политике защиты MITIGATOR CPE задать пороги Policy.BGP.Signaling.Input{Pps,Bps}.On, при превышении которых в system.policy.signaling.prefixes будут заноситься префиксы получателя из правил маршрутизации, ведущих на политику защиты.

   1.2. На вкладке «Автодетектирование» в политике защиты MITIGATOR CPE задать пороги Policy.BGP.Signaling.Input{Pps,Bps}.Off, при падении трафика ниже которых из system.policy.signaling.prefixes будут удаляться значения префиксов получателя из правил маршрутизации, ведущих на политику защиты.

   

2. При необходимости предпринять действия по уменьшению тактования.

После выполнения описанных шагов MITIGATOR CPE готов к взаимодействию с MITIGATOR ISP.

Инструкция по настройке MITIGATOR ISP

Настройка взаимодействия по BGP

1. Разрешить на MITIGATOR ISP установку BGP-соединения.

   

2. Создать BGP-соседа MITIGATOR CPE.

   В настройках BGP-соседа указать сетевые параметры MITIGATOR CPE, такие как IP-адрес и номер автономной системы. Установить чекбокс «Принимать префиксы под защиту», при необходимости задать максимально допустимое число префиксов, которое может сообщить MITIGATOR CPE. Остальные параметры опциональны и настраиваются по необходимости. Следует указать большое значение TTL IP-пакета, так как MITIGATOR CPE может находиться на удалении.

   

3. Создать BGP-соседей, которым MITIGATOR ISP будет отправлять BGP-анонсы для перенаправления трафика на себя.

   3.1. В настройках BGP-соседей указать параметры сетевых устройств.

   3.2. Указать в политике анонса этим BGP-соседям один из системных .protected. списков. В данный список автоматически добавляются префиксы, сообщенные MITIGATOR CPE. Списки для приема префиксов под защиту выбираются в зависимости от сценария использования. В качестве примера будем применять список system.protected.prefixes. Специальные nexthop и community задаются по необходимости.

   

   3.3. Указать в политике анонса этим BGP-соседям системный список system.policy.prefixes. для предотвращения тактования.

Настройка политик защиты

1. В политиках, которые отвечают за трафик MITIGATOR CPE, не требуется указывать пороги для управления анонсированием списка system.protected.prefixes. Он будет автоматически рассылаться всем BGP-соседям, для которых добавлен в политику анонса, пока в политике защиты включено BGP-анонсирование и в списке есть значения.

2. Задать пороги автодетектирования для предотвращения тактования.

   2.1. На вкладке «Автодетектирование» в политике защиты, отвечающей за трафик MITIGATOR CPE задать пороги Policy.BGP.Input{Pps,Bps}.On, при превышении которых в system.policy.prefixes будут заноситься префиксы получателя из правил маршрутизации, ведущих на политику защиты.

   2.2. На вкладке «Автодетектирование» в политике защиты, отвечающей за трафик MITIGATOR CPE задать пороги Policy.BGP.Input{Pps,Bps}.Off, при падении трафика ниже которых из system.policy.prefixes будут удаляться значения префиксов получателя из правил маршрутизации, ведущих на политику защиты.

   

После выполнения описанных шагов MITIGATOR ISP готов к взаимодействию с MITIGATOR CPE.

Тактование

Когда объем трафика на MITIGATOR CPE приближается к ширине полосы, создается BGP-анонс в сторону MITIGATOR ISP. Получив анонс, MITIGATOR ISP перенаправляет трафик на себя. В результате объем трафика на MITIGATOR CPE может упасть ниже порога, и BGP-анонс в сторону MITIGATOR ISP автоматически снимется. MITIGATOR ISP обнаружит, что анонс снят, и прекратит заворот трафика на себя. Трафик снова начнет поступать на MITIGATOR CPE, снова превысит порог и так далее. Этот процесс называется тактованием.

Для снижения влияния тактования на эффективность защиты в MITIGATOR предусмотрено несколько механизмов.

Рекомендации по уменьшению тактования на стороне MITIGATOR CPE

На вкладке «Автодетектирование» в политиках защиты MITIGATOR CPE можно увеличить «Число анализируемых интервалов». В этом случае тактование не будет исключено полностью, но его частота будет снижена за счет большего времени ожидания между снижением уровня трафика ниже порога сигнализации и снятием BGP-анонса в сторону MITIGATOR ISP. Число анализируемых интервалов подбирается опытным путем для конкретной связки MITIGATOR CPE-MITIGATOR ISP и зависит от средней продолжительности наблюдаемых атак.

Рекомендации по уменьшению тактования на стороне MITIGATOR ISP

В момент, когда с MITIGATOR CPE поступил BGP-анонс с префиксами, трафик на которые нужно принять под защиту, эти префиксы автоматически добавляются в список system.protected.prefixes. MITIGATOR ISP рассылает список BGP-соседям, сообщая, что трафик данных префиксов нужно направлять ему. Таким образом трафик попадает в MITIGATOR ISP на политики защиты, отвечающие за защищаемый MITIGATOR CPE, и учитывается счетчиками этих политик.

Чтобы избежать тактования, в MITIGATOR предусмотрен механизм удержания трафика на себе. Для этого в политиках защиты, отвечающих за защищаемый MITIGATOR CPE, следует:

1. Задать пороги автодетектирования Policy.BGP.Input{Pps,Bps}.{On,Off}.

2. В политику анонса BGP-соседям, кроме списка system.protected.prefixes, дополнительно указать system.policy.prefixes.

В этом случае префиксы под атакой будут продолжать рассылаться BGP-соседям, даже когда MITIGATOR CPE прекратит анонсирование, до тех пор пока трафик на MITIGATOR ISP не упадет ниже порога Policy.BGP.Input{Pps,Bps}.Off.

Для того чтобы вручную снять трафик с защиты на MITIGATOR ISP, клиент должен зайти в Web-интерфейс MITIGATOR ISP и отключить BGP-анонсирование в политиках, отвечающих за защиту его сервиса.

Следует учитывать, что часто с MITIGATOR CPE анонсируются префиксы /32, а с MITIGATOR ISP — префиксы более крупных подсетей, например /24. Поэтому пороги автодетектирования Policy.BGP.Signaling.Input{Pps,Bps}.{On,Off} на MITIGATOR CPE и пороги автодетектирования Policy.BGP.Input{Pps,Bps}.{On,Off} на MITIGATOR ISP должны иметь сопоставимые значения. В противном случае, если атака ведется не на всю подсеть, а только на конкретный IP-адрес, пороги могут быть превышены на MITIGATOR CPE, но не на MITIGATOR ISP. Тогда тактование все равно будет происходить.