Volumetrisilta palvelunestohyökkäyksiltä suojautuminen konesalissa : Case: Yritys X

Valkama, Olli (2019)
 
Avaa tiedosto
Lataukset: 


Valkama, Olli
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Näytä kaikki kuvailutiedot
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019061016348
Tiivistelmä
Opinnäytetyön tavoitteena oli kartoittaa ja vertailla soveltuvimpia torjuntaratkaisuja volumetristen palvelunestohyökkäysten torjumiseksi palveluntarjoajan konesalissa. Torjuntaratkaisun tarkoituksena on toimia vastakeinona mahdollisten palvelunestohyökkäysten tapahtuessa, jotta konesalin kriittisten komponenttien toimintaa ja asiakkaille tarjottavien palveluiden jatkuvuutta saataisiin turvattua. Työn toimeksiantajana oli konesalikapasiteettipalveluita tarjoava palveluntarjoajayritys, ja työn tuloksia tullaan tulevaisuudessa hyödyntämään konesalin suojauksen parantamisessa ja soveltuvimman ratkaisun käyttöönotossa. Kartoituksen perusteella suurin riski oli tulla verkkoresurssit kuluttavien hyökkäysten kohteeksi, joiden hyökkäysvektoreissa käytetään tyypillisesti yhteydettömiä menetelmiä, kuten UDP- ja ICMP-protokollia. Kartoitettujen hyökkäysvektoreiden torjumiseksi soveltuvin ratkaisu oli hyödyntää BGP Flowspecia, joka on BGP-protokollan standardoitu laajennus. Vertailuun soveltuvia ja tilaajan kriteerit täyttäviä ratkaisuja oli tarjolla hyvin vähän, minkä vuoksi vertailuun päätyi vain kaksi torjuntaratkaisua, joita testattiin tuotannosta eristetyssä, virtuaalisessa laboratorioympäristössä. Torjuntalaitteistoja vertailtiin reagointinopeuden ja tunnistamistarkkuuden perusteella. Vertailussa hyökkäykset tunnistettiin molempien torjuntaratkaisujen osalta, mutta tulokset sekä tunnistamisnopeuksien että -tarkkuuksien osalta erosivat paljon. Torjuntamenestyvyyden lisäksi torjuntaratkaisut erosivat toistaan selkeästi myös skaalautuvuuden ja yritykselle lisäarvoa tuottavien ominaisuuksien perusteella.
 
The objective of the thesis was to find the most suitable countermeasures to mitigate denial of service attacks within a service provider’s data center, by surveying and analyzing the characteristics of Denial of Service attacks. The solution would act as a first line of defense in the event of possible denial-of-service attacks, to secure the critical functionality of the data center and the reachability of the services. The work was commissioned by a managed service provider, and the results of the work would be utilized in the future in implementing the most appropriate mitigation solution for the data center. Based on the results of the survey, the most probable risk was to become a target for volumetric attacks, which would saturate the network perimeter. Typical volumetric attack vectors exploit connectionless methods, such as UDP and ICMP protocol flooding attacks. The most effective solution to mitigate such attacks was to use BGP Flowspec, a standardized extension for protocol BGP. Only two suitable mitigation solutions matching the criteria were found for comparison, and they were tested in a production-isolated virtual laboratory environment. Equipment was compared based on their response speed and detection accuracy against different attack simulations. Both solutions recognized the attacks, but the results for both detection speeds and accuracy differed a lot. In addition, the solutions differed when comparing scalability and business enhancing features of the products.
 
Kokoelmat