OVH Community, your new community space.

Protezione dagli attacchi DDoS


3cl1ps3
26.06.2013, 14.34
Faremo presente la tua osservazione a chi di dovere, grazie per il feedback veleno

veleno
26.06.2013, 13.18
L'aumento di prezzo è piccolo per singolo server, ma si tratta di diverse centinaia di euro all'anno se si hanno molti server.

Se non ho capito male, avremo l'opzione "best-effort".

Con un aumento di prezzo mi sarei aspettato di avere almeno quella PRO, in modo da poterla usare efficacemente.
Cito: "Infatti, per proteggere in modo adeguato un'infrastruttura da un attacco, è necessario sapere quali servizi svolge il server per scegliere la giusta configurazione della mitigazione."

Questi dati possono essere inseriti nel manager da parte del cliente senza l'intervento di OVH.
Che almeno ci sia la possibilità di usare la versione PRO, ma senza il servizio di assistenza, a fronte di un aumento di prezzo.

Saluti
Oto Tortorella

oles@ovh.net
25.06.2013, 12.56
Ciao a tutti!

In quanto fornitore di infrastrutture internet, OVH si confronta da sempre con attacchi informatici di tipo DDoS,
sia sulle sue infrastrutture che su quelle dei clienti. Dalla fine del 2010 con l'affare Wikileaks, i DDoS sono saliti agli onori
della cronaca e, considerata la diffusione del DNS AMP dall'inizio del 2013, qualsiasi ragazzino può lanciare in rete decine
di Giga e mettere in pericolo un'attività.
Dal canto nostro, nel tempo abbiamo sviluppato degli strumenti di protezione con uno scopo molto semplice:
il servizio di protezione anti-DDoS non può essere opzionale.
Al contrario, i clienti devono approfittare di questo servizio offerto di default!

Da 3-4 mesi lavoriamo su un nuovo tipo di infrastruttura di protezione contro i DDoS che abbiamo chiamato "VAC".
VAC come "vacuum", come il vacuum cleaner, l'aspirapolvere. Mettiamoci un po' di fantasia e immaginiamo di
passare l'aspirapolvere sul traffico proveniente da internet verso i vostri servizi e di aspirare i pacchetti "cattivi"
conservando solo quelli "buoni". :-)
Il VAC1, attualmente in versione Alpha, è stato installato a Roubaix.
Ormai funziona abbastanza bene da consentirci di spiegare quello che OVH proporrà a proposito delle protezioni dai DDoS.
Abbiamo pianificato l'aggiornamento alla versione Beta questa settimana.
Il 16 luglio il servizio VAC verrà descritto sul nostro sito e sarà disponibile un nuovo contratto
concernente questo servizio.
L'obiettivo è di essere chiari e di fornire tutte le garanzie possibili.

Hardware
--------
Il VAC è un'unità di mitigazione che può filtrare fino a 160Gbps / 160Gpps di traffico.

E' composto da due router, un Cisco ASR 9001 e un Cisco Nexus 7009. In totale, su un VAC,
sono presenti 114 porte da 10GB per 1.14 Tbps di capacità di switching/routing. Per la pulizia del traffico
utilizziamo due tipi di hardware: 4 Tilera da 20 Gbps ciascuno (80 Gbps tot) e un TMS 4000 da 30 Gbps.

Lo sviluppo software sui Tilera è assicurato dalle nostre squadre interne. Si tratta di un codice C/C++ a basso livello,
con gestione delle code e degli algoritmi che determina se un pacchetto è legittimo o se non lo è. TMS 4000 è un contenitore di
algoritmi sviluppati da Arbor.
Il traffico viene aspirato all'ingresso di un datacenter, filtrato e poi indirizzato verso i router delle varie sale.
Nel caso di VAC1, aspiriamo il traffico al livello dei due principali router di Roubaix e poi lo facciamo passare attraverso
5 step di pulizia. Ogni step pulisce un tipo di attacco con lo scopo di diminuirne la portata e passare poi allo step successivo.
E' grazie a questi 5 step che siamo in grado di trattare fino a 160Gbps di materiale laddove i nostri concorrenti utilizzano invece
un TMS 4000 Arbor con una scheda da 10 Giga e riescono a filtrare al massimo 10 Giga in totale.
Se ricevete attacchi troppo consistenti il contratto viene sciolto e siete costretti a cercare un altro provider di hosting.
E' in questo momento che interveniamo noi, non essendoci limiti nella dimensione degli attacchi che riusciamo a gestire.

Funzionalità
---------------
Con un VAC, possiamo fornirvi questi servizi:
- firewall di rete
- mitigazione degli attacchi DDoS
- scelta del tipo di mitigazione
- mitigazione permanente
- detection di un attacco e attivazione della mitigazione
- supporto per aiutarvi in caso di attacco

Un VAC si occupa anche dell'aspirazione degli attacchi che il nostro sistema può generare. Infatti, a volte i clienti vengono
infettati dai server utilizzati per lanciare attacchi. Nel momento in cui scopriamo un attacco, li aspiriamo comunque sul VAC,
in modo da pulire tutto nell'attesa di scoprire quali sono i server hackerati, che poi verranno messi in modalità rescue.

Il VAC è utile anche nella lotta contro lo spam.
Il VAC, infatti, aspira e duplica il "traffico email uscente" di un datacenter per farlo analizzare da un anti-spam e da un anti-virus.
Possiamo avere le statistiche del numero di spam da IP SRC nei nostri datacenter e poi bloccare il flusso SMTP
di un IP se sospettato di essere spammer. Un VAC non archivia i dati, è un analizzatore di traffico:
non ci sono delle email archiviate ma soltanto l'analisi in tempo reale di un campione di email che escono dai nostri datacenter.

E in più, oltre a aspirare, il VAC vi stira anche le camicie! ahah... sto scherzando ;-)

Ridondanza
----------
La ridondanza di un VAC è realizzata da un altro VAC. Prima della fine di agosto,
installeremo 3 unità di mitigazione VAC in 3 datacenter:
- a Strasburgo (SBG)
- a Roubaix (RBX)
- a Beauharnois (BHS)

I 3 VAC funzioneranno in parallelo e ogni VAC aspirerà il traffico più vicino per filtrarlo e poi reindirizzarlo sulla rete
interna che abbiamo installato fra tutti i datacenter.
Così, un attacco che arriva da Miami (in Florida) verrà intercettato da Beauharnois, filtrato dal VAC3 e poi il traffico
entrerà nella rete interna per poi passare da Gravelines, Roubaix e arrivare per esempio a Strasburgo verso il server
vittima dell'attacco DDoS.

La capacità totale dei nostri 3 VAC è di 3x160Gbps cioè 480Gbps/480Mpps. E' la più imponente infrastruttura di mitigazione
conosciuta che un fornitore mette a disposizione dei suoi clienti.

Conseguenze
-----------
Il servizio di protezione non è limitato né in termini di taglia, di durata che di tipo di attacco.
Possiamo gestire qualsiasi attacco, il nostro obiettivo è di fornirvi un servizio che vi protegge davvero,
nel caso in cui foste vittima di un attacco.

La questione non è "Ne ho davvero bisogno?" ma, piuttosto, "Mi proteggerà in caso di attacco?"

La settimana scorsa un cliente mi ha contattato d'urgenza perché il suo sito era stato attaccato da un ragazzino.
3 clic più più tardi, l'attacco passava attraverso il VAC1 e il suo sito http://www.prestashop.com tornava disponibile. Ogni giorno riceviamo fino a 1200 attacchi e proteggiamo in media 700 di voi, ovviamente non
sempre gli stessi...

Servizi
-------
Offriremo 3 livelli di servizio:

- di default, incluso nel prezzo, il cui scopo è di proteggere la nostra infrastruttura e il servizio del cliente in modalità "best effort"

Infatti, per proteggere in modo adeguato un'infrastruttura da un attacco, è necessario sapere quali servizi svolge il server per
scegliere la giusta configurazione della mitigazione.
Senza contatto umano con il cliente, non possiamo che attenerci al "best effort". E' il livello di servizio che offriamo di default

- con l'opzione PRO potrete fare un po' di "bricolage" adattando voi stessi la protezione con il vostro manager o l'APIv6.
Vi offriamo questi strumenti:

- firewall di rete da 480Gbps con la possibilità di attivare 100 linee ACL per IP DST, un'innovazione OVH

- scelta tra diverse decine di tipi di mitigazione tra web, smtp, game, teamspeak, streaming etc.

- la mitigazione permanente o l'attivazione della detection di un attacco con passaggio automatico sul VAC

- supporto su mailing list ddos@ml.ovh.net

- con il supporto VIP, avrete a disposizione 24h/24 l'aiuto di una persona sulla configurazione + qualcuno con cui parlare
durante un attacco, per farvi aiutare a configurare rapidamente ed efficacemente la giusta protezione per bloccare l'attacco.
Il team VIP assicura il monitoring dell'attacco 24h/24 e adatta la protezione se l'attacco cambia.

Prezzo
----
Nel periodo in cui sarà disponibile la versione Alpha, abbiamo comunicato che una protezione contro gli attacchi DDoS deve essere un servizio
incluso nel prezzo di un server, di un VPS, di un pCI, di un pCC o di una connessione ADSL.

Siamo stati molto sorpresi nel leggere la domanda "Quanto costa?"

Questo ci ha fatto riflettere... molto.

Dopo aver riflettuto abbiamo avuto 3 scelte:

- fare come tutti, quindi proporre un servizio di mitigazione a un prezzo abbastanza alto,
stabilendo che la capacità della mitigazione dipende dal prezzo e che in tutti i casi c'è un limite di 10 o 20 Gbps (!!!)
Limitare il tutto alla durata dell'attacco (!!!) e far pagare di più se si vuole di più (!!!)
In sostanza un servizio à la carte, non incluso nel prezzo e abbastanza limitato: il modello di business standard dei
nostri concorrenti e dei fornitori di soluzioni di mitigazione.

- fare "il minimo sindacale", investire cioè in una infrastruttura (si parla di 3 milioni di euro) e poi non includere il costo della mitigazione
nel prezzo di ogni servizio. Semplicemente offrire il servizio ma non le infrastrutture che lo sostengono, non mettendo a disposizione
squadre disponibili 24h/24, sperando che sia abbastanza se arrivasse il giorno X

- abbiamo scelto una terza strada: suddividere i costi dei VAC e delle squadre di supporto su tutti i clienti presenti e futuri che ospitiamo
sulle nostre infrastrutture. In questo caso si parla di un'azione obbligatoria per tutti i server dedicati esistenti, tutti i VPS e tutti i pCC.
Ma come spesso capita si tratta di numerosi clienti, quindi l'aumento di prezzo è decisamente limitato:
- VPS: +0.5€/mese
- KS: +1€/mese
- SP: +1€/mese
- EG: +2€/mese
- MG: +2€/mese
- HG: +3€/mese
- pCC: +5€/mese
- housing: +10€/mese

Questo aumento di prezzo di tutti i server esistenti e futuri ci permetterà di continuare a investire nell'infrastruttura e di migliorare
per poter far fronte ai nuovi attacchi.
Sarà applicato a partire dal primo settembre 2013. per i server già in uso. Tuttavia, in caso di pagamento annuale, OVH offrirà la
protezione anti-DDoS, mantenendo il prezzo invariato.

Si va da +0.5€/mese a +10€/mese. Può sembrare poco rispetto ai costi del servizio anti-DDoS che i nostri concorrenti propongono.
Potete anche dire che non possiamo proporre un servizio di protezione contro i DDoS di qualità a un prezzo così basso.
Con il numero di clienti che abbiamo e grazie alla suddivisione dei costi e degli investimenti, ci sentiamo totalmente a nostro agio nel proporci
come punto di riferimento nella lotta agli attacchi e di potervi proteggere se arriverà il fatidico giorno X.

Un saluto da amico,
Octave