Jak jsme sami na sebe útočili aneb nové firewally nasazeny

V návaznosti na investice do naší síťové infrastruktury v minulém roce zbývala k dokončení rekonstrukce obměna firewallů. V průběhu výběrového řízení na tyto technologie nás zasáhly březnové masivní DoS útoky, proto jsme měli možnost tuto zkušenost promítnout do zadávacích podmínek výběrového řízení. Rozhodování trvalo poměrně dlouho a jeho součástí bylo praktické testování technologií od dodavatelů obou potenciálních technologií (Cisco a Juniper).

Ve spolupráci s CZ.NIC jsme vytvořili testovací prostředí, ve kterém jsme v reálu ověřili chování firewallu při zahlcení různými typy paketů v řádu několika milionů pps, což je o řád více, než kolik na nás v březnu směřovalo. Nejsme žádnou akreditovanou laboratoří na provádění testů tohoto typu, proto nebudeme zveřejňovat čísla s výsledky, které mohou být velmi rozdílné dle nastavených podmínek a dají se různě interpretovat. Nicméně zarážející pro nás bylo, jak snadno a levně se dá útok s takovou silou realizovat. Z jednoho jediného serveru se čtyřportovou 1Gbps síťovou kartou (server v ceně desítek tisíc korun) se nám podařilo vygenerovat cca 1,2 mil pps. Více o tom na svém blogu píše CZ.NIC, kterým velice děkujeme za poskytnutí šikovného nástroje pro simulování útoků a asistenci při testech.
CISCO
Oba dodavatelé nám nabídli firewally, které splňovaly naše požadavky a nakonec jsme se z vícero důvodů přiklonili k novější řadě firewallů, které jsme používali doposud, tedy Cisco ASA. Implementace a migrace pravidel proběhla zcela hladce i díky velice ochotné a odborně kompetentní pomoci dodavatele, kterým byl Alef0. Firewally jsou připojené přes 10Gbps rozhraní na páteř naší sítě a již chrání celý náš hosting i zákazníky managed serverů před nežádoucím provozem z internetu.

S investicemi do síťové infrastruktury ale nekončíme. Aktuálně obnovujeme veškeré LAN i SAN switche na dvouzdrojové a s více 10Gbps porty a na příští rok zvažujeme, jestli investovat do nějakého specializovaného IPS řešení.

 

NAPIŠTE KOMENTÁŘ