(i) Υπηρεσία Firewall on Demand (FOD)

(i) Υπηρεσία Firewall on Demand (FOD)

(i) Υπηρεσία Firewall on Demand (FOD)

Η υπηρεσία Firewall on Demand παρέχει τη δυνατότητα στους φορείς του ΕΔΕΤ να αντιμετωπίσουν μια κακόβουλη επίθεση (DoS/DDoS), η οποία στοχεύει είτε στο συνοριακό τους δρομολογητή είτε στο εσωτερικό τους δίκτυο.


Η πρόσβαση στην υπηρεσία γίνεται μέσω της διαδικτυακής πύλης ενώ η πιστοποίηση των χρηστών βασίζεται στο πρωτόκολλο SAML (Shibboleth). Η εξουσιοδότηση που λαμβάνουν οι χρήστες ώστε να χρησιμοποιήσουν την υπηρεσία, βασίζεται τόσο στην παραμετροποίηση του παρόχου ταυτότητας του φορέα (IdP) όσο και στο χώρο των IP διευθύνσεων όπως τις έχει καταγράψει ο χρήστης της υπηρεσίας στη βάση δεδομένων του RIPE.


Η υπηρεσία απευθύνεται αποκλειστικά στους διαχειριστές των δικτύων κορμού (NOCs) των συνεργαζόμενων με την ΕΔΕΤ Α.Ε. Ιδρυμάτων και διατίθεται μέσω της διαδικτυακής πύλης FoD. Η υπηρεσία δίνει τη δυνατότητα στους διαχειριστές των δικτύων των Ιδρυμάτων, από τη στιγμή που έχουν εντοπίσει την επίθεση, να λάβουν οι ίδιοι τα απαραίτητα μέτρα για την αντιμετώπιση της. Από τη στιγμή που ο χρήστης δημιουργήσει τον αντίστοιχο κανόνα στην web-ui της υπηρεσίας FoD, αυτός μεταδίδεται άμεσα στο δίκτυο κορμού του ΕΔΕΤ και η επίθεση αντιμετωπίζεται μέσα σε λίγα δευτερόλεπτα. Τελικά η κακόβουλη κίνηση σταματά στη διεπαφή ΕΔΕΤ-GEANT, ενώ η σύνδεση του φορέα με το ΕΔΕΤ παραμένει ανεπηρέαστη από τον συνολικό όγκο της επίθεσης. Με τον τρόπο που λειτουργεί η υπηρεσίας, δεν απαιτείται κάποια προηγούμενη επικοινωνία του φορέα με το ΕΔΕΤ καθώς η δυνατότητα για την αντιμετώπιση της επίθεσης βρίσκεται πλέον αποκλειστικά στα χέρια του, γεγονός το οποίο μειώνει δραματικά το χρόνο αντιμετώπισης επιθέσεων.


Χαρακτηριστικό της υπηρεσίας είναι ότι οι κανόνες που υλοποιούνται έχουν συγκεκριμένο χρόνο λήξης όπου και απενεργοποιούνται από το δίκτυο ΕΔΕΤ, χωρίς όμως τα χαρακτηριστικά τους να διαγράφονται από την εφαρμογή. Ο χρόνος λήξης μπορεί να καθοριστεί από το χρήστη ενώ δε μπορεί να υπερβεί το μέγιστο όριο των 5 ημερών. Στη πλειονότητα των περιπτώσεων που έχουν ήδη αντιμετωπιστεί με τη χρήση της υπηρεσίας FoD, η επίθεση σταματά από την πηγή της μέσα σε ελάχιστο χρόνο έως και λίγες ώρες από την εφαρμογή του κανόνα, παρόλα αυτά στη περίπτωση που ο κανόνας λήξει και ο χρήστης αντιληφθεί ότι η επίθεση συνεχίζεται μπορεί να τον ενεργοποιήσει εκ νέου από την εφαρμογή. Τελικά στη περίπτωση που ο κανόνας ενεργοποιηθεί εκ νέου από την εφαρμογή, διαδίδεται στο δίκτυο ΕΔΕΤ ακαριαία, ενώ ξεκινά να μετρά αντίστροφα και ο χρόνος λήξης του κανόνα.


Από το 2012 μέχρι σήμερα η υπηρεσία έχει αντιμετωπίσει με επιτυχία ένα μεγάλο αριθμό επιθέσεων, οι οποίες στόχευαν κατά κύριο λόγο στα εσωτερικά δίκτυα των φορέων. Επιπλέον η εφαρμογή των κανόνων, στη διασύνδεση του ΕΔΕΤ με τον παν-Ευρωπαϊκό πάροχο (GÉANT) πλεονεκτεί έναντι παλαιότερων λύσεων, οι οποίες δεν κατάφερναν να αντιμετωπίσουν τον κορεσμό της διασύνδεσης ΕΔΕΤ -Φορέα από την κακόβουλη κίνηση.



Last modified: Tuesday, 19 April 2016, 1:18 PM