Ako sme sami na seba útočili alebo nové firewally nasadené

V náväznosti na investície do našej sieťovej infraštruktúry v minulom roku zostávala na dokončenie rekonštrukcie obmena firewallov. V priebehu výberového konania na tieto technológie nás zasiahli marcové masívne DoS útoky, preto sme mali možnosť túto skúsenosť premietnuť do zadávacích podmienok výberového konania. Rozhodovanie trvalo pomerne dlho a jeho súčasťou bolo praktické testovanie technológií od dodávateľov oboch potenciálnych technológií (Cisco a Juniper).

V spolupráci s CZ.NIC sme vytvorili testovacie prostredie, v ktorom sme v reále overili chovanie firewallu pri zahltení rôznymi typmi paketov rádovo niekoľko miliónov pps, čo je o radu viac, ako na nás v marci smerovalo. Nie sme žiadnym akreditovaným laboratóriom na prevádzanie testov tohto typu, preto nebudeme zverejňovať čísla s výsledkami, ktoré môžu byť veľmi rozdielne podľa nastavených podmienok a dajú sa rôzne interpretovať. No zarážajúce pre nás bolo, ako ľahko a lacno sa dá útok s takouto silou realizovať. Z jedného jediného servera sa štvorportovou 1Gbps sieťovou kartou (server v cene stoviek €) sa nám podarilo vygenerovať cca 1,2 mil pps. Viac o tom na svojom blogu píše CZ.NIC, ktorým veľmi ďakujeme za poskytnutie šikovného nástroja pre simulovanie útokov a asistenciu pri testoch.

Obaja dodávatelia nám ponúkli firewally, ktoré spĺňali naše požiadavky a nakoniec sme sa z viacerých dôvodov priklonili k novšej rade firewallov, ktoré sme používali doteraz, teda Cisco ASA. Implementácia a migrácia pravidiel prebehla celkom hladko i vďaka veľmi ochotnej a odborne kompetentnej pomoci dodávateľa, ktorým bol Alef0. Firewally sú pripojené cez 10Gbps rozhranie na chrbticu našej siete a už chránia celý náš hosting i zákazníkov managed serverov pred nežiadúcou prevádzkou z internetu.

S investíciami do sieťovej infraštruktúry ale nekončíme. Aktuálne obnovujeme všetky LAN i SAN switche na dvojzdrojové a s viacerými 10Gbps portami a na nasledujúci rok zvažujeme, či investovať do nejakého špecializovaného IPS riešenia.

Príspevok pripravil Tomáš Hála, Vedúci LINUX administrátor ACTIVE 24