Buenos días,
Como proveedor de infraestructuras para Internet, Ovh se ha visto
confrontado a ataques informáticos tipo DDoS, tanto para nuestras
infraestructuras, como los servicios de nuestros clientes. Desde finales de
2010 con el caso de Wikileaks, los DDoS han estado en primera plana y
con el DNS AMP que se ha generalizado desde pricipios de 2013, cualquier
niño puede lanzar un DDoS de varias decenas de Gbps y poner en peligro
una actividad.
Por nuestro lado, hemos evolucionados las herramientas de protección a
través del tiempo con un objetivo sencillo : el servicio de protección
anti-DDoS no puede ser una opción. Al contrario, los clientes deben
disfrutar este servicio por defecto.
Desde hace 3-4 meses trabajamos en un nuevo tipo de infraestructura de
protección contra los DDoS que hemos llamado "VAC". VAC como "vaccum"
es decir aspiradora. La idea es pasar una aspiradora en el tráfico que viene
de Internet hacia su servicio y sacar los paquetes erróneos dejando sólo
los paquetes correctos.
El VAC1, actualmente en ALFA, ha sido instalado en Roubaix. Funciona
suficientemente bien como para que se pueda explicar lo que Ovh va a
proponer sobre la protección contra los ataques DDoS.
Se ha planificado el inicio de la BETA esta semana. El 16 de julio vamos a
explicar el servicio VAC en nuestro sitio web y un nuevo contrato verá la
luz para encuadrar este servicio. El objetivo es ser lo más claro posible y
de proporcionaros mayores garantías.
Hardware
-----------
El VAC es una unidad de mitigación capaz de limpiar
hasta 160Gbps / 160Gpps de tráfico.
Está compuesto de 2 routers : un Cisco ASR 9001 y un Cisco Nexus 7009.
En su totalidad, en un VAC tenemos 114 puertos 10G es decir 1.14Tbps de
capacidad de switching/routing. Para la limpieza del tráfico utilizamos 2
tipos de hardware : 4 Tilera de 20Gbps cada uno (80Gbps) y 1 TMS 4000
de 30Gbps.
El desarrollo software en los Tilera es asegurado por nuestros equipos
internos. Se trata de un código C/C++ de bajo nivel, gestión de colas y
algoritmos que determinan si un paquete es correcto o incorrecto. TMS
4000 es un chasis con los algoritmos desarrollados por Arbor.
El tráfico se aspira a la entrada de un datacenter, limpiado y después
enrutado hacia los routers de las salas. En el caso del VAC1, se aspira el
tráfico al nivel de los 2 principales routers de Roubaix, después se le hace
pasar por 5 niveles de limpieza.
Cada nivel limpia inteligentemente un tipo de ataque con el objetivo de
disminuir el tamaño del ataque de manera significativa antes de pasar el
resto del ataque al nivel siguiente. Y así todo el rato. Es gracias a estos
5 niveles que se puede tratar hasta 160Gbps de ataque donde la
competencia compran un chasis TMS 4000 de Arbor con una tarjeta de 10G
y solo son capaces de filtrar como máximo 10G es decir nada de nada.
Si recibís ataques demasiado grandes, el contrato se rompe y debéis
buscar una nueva empresa de alojamiento : es en ese momento en el que
intervenimos ya que no tenemos límite en el tamaño de los ataque que
sabemos gestionar...
Funcionalidades
------------------
Con un VAC, vamos a poder proporcionar los siguientes servicios :
- un firewall network
- mitigación de ataques DDoS
- elección del tipo de mitigación
- mitigación permanente
- detección de un ataque y activación de la mitigación
- soporte para ayudarle en caso de un ataque
Un VAC también hace la aspiración de ataques que nuestra red pueda
generar. A veces a los clientes les hackean los servidores que son
utilizados para lanzar ataques. Cuando se detectan estos ataques, se
aspiran también en el VAC y se limpia a la espera de detectar los
servidores que están hackeados para ponerlos en rescue.
Un VAC participará también en la lucha contra el spam. En efecto, el VAC
aspirará y duplicará "el tráfico email saliente" de un DC para que sea
analizado por un anti-spam y un anti-virus.
Vamos a a poder hacer estadísticas del número de spam por IP SRC en
nuestros DCs y después bloquear el flujo SMTP de una IP cuando se
estime que se trata de un spamer. Un VAC no hace almacenamiento, es un
analizador de tráfico, no hay por tanto almacenamiento de los emails sino
solo el análisis en tiempo real de una muestra de emails que salen de
nuestros DCs.
Además de pasar la aspiradora, el VAC también también plancha ... estoy
bromeando
Redundancia
-------------
La redundancia de un VAC se realiza por otro VAC. Antes de finales de
Agosto, vamos a instalar 3 uninades de mitigación VAC en 3 lugares en el
mundo:
- en Estrasburgo (SBG)
- en Roubaix (RBX)
- en Beauharnois (BHS)
Los 3 VAC van a funcionar en paralelo y cada VAC aspirará el tráfico más
próximo a él para limpiarlo e inyectarlo en la red interna que hemos
puesto en marcha entre todos nuestros DC. De esta forma, un ataque que
viene desde Miami,Fl pasará por BHS, allí el VAC3 lo limpiará, después el
tráfico entrará en la red interna de BHS pasará por GRA, por RBX para
llegar por ejemplo a SBG hacia el servidor que es victima de un ataque
DDoS.
La capacidad total de nuestros 3 VAC es de 3x160Gbps es de
480Gbps/480Mpps. Es la infraestructura más grande que un proveedor
de infraestructuras pone a disposición de sus clientes.
Consecuencia
---------------
El servicio de protección no está limitado ni en términos del tamaño del
ataque ni en términos de la duración del ataque ni en términos del tipo
de ataque. Vamos a encajar cualquier ataque y el objetivo para nosotros es
de proporcionar un servicio que va a protegeros realmente el día D
cuando se va a recibir un ataque.
La pregunta no es realmente " ¿ Lo necesito ? " sino "¿ El día D me
protegerá ? ". La semana pasada un cliente me contactó de urgencia ya
que su sitio web estaba siendo atacado por un crio no muy contento. 3 clics
más tarde, el ataque pasaba por el VAC1 y su sitio web
www.prestashop.com volvía a estar disponible. Cada día, recibimos hasta
1200 ataques y protegemos una media de 700 entre vosotros, no siempre
los mismos cada día...
Servicio
---------
Vamos a ofrecer 3 niveles de servicio:
--- por defecto, incluido en los precios : el objetivo es proteger nuestra
infraestructura y el servicio del cliente en un modo "best effort". En efecto,
para proteger correctamente una infraestructura contra un ataque, hay que
conocer lo que hay dentro del servidor y después poner en marcha la
configuración correcta de la mitigación.
Sin contacto humano con el cliente, solo podemos hacer un "best effort".
Este es el nivel de servicio que vamos a dar por defecto.
--- con el uso PRO : podréis "chapucear" y adaptar la protección con el
manager o la APIv6. Se os va a ofrecer las siguientes herramientas :
- el firewall network de 480Gbps con la posibilidad de poner 100 lineas ACL
por IP DST. es una innovación OVH.
- la elección entre varias decenas de tipos de mitigación entre web, smtp,
game, teamspeak, streaming, etc
- la mitigación permanente o activación de la detección de un ataque con el
paso automático sobre el VAC
- el soporte se hará en la mailing list
ddos@ml.ovh.net
--- con el soporte VIP, tendréis ayuda humana en la configuración 24/24 +
alguien a quien hablar durante un ataque para que os ayude a configurar
rápidamente y eficazmente la protección correcta que bloquee el ataque.
El equipo VIP se asegurará del monitoring del ataque 24h/24 y adaptará la
protección si el ataque cambia.
Precio
-------
A lo largo de la ALFA, hemos comunicado en el hecho que una protección
contra los ataques DDoS tiene que ser un servicio incluido en el precio de
un servidor, de un VPS, de un pCI o de un pCC.
Hemos estado muy sorprendidos al leer la misma pregunta que volvía en
bucle : "¿ Cuanto va a costar ?"
Esto nos ha hecho pensar mucho ... mucho.
Después de reflexionar hemos tenido 3 elecciones :
- hacer como todo el mundo, es decir proponer un servicio de mitigación a
un precio bastante importante, estipulando que la capacidad de mitigación
depende del precio y que en todos los casos hay un límite de 10Gbps o
20Gbps (!!). Incluso tener una limitación en la duración del ataque (!!)
y después hay que pagar más si se quiere más (!!) Bueno, un servicio a la
carta, fuera de precio y bastante limitado. El negocio modelo estándar del
conjunto de nuestra competencia y proveedores de soluciones de
mitigación.
- hacer "a lo barato/suficiente", es decir invertir en una infraestructura
(estamos hablando de 3M€) y después no incluir el precio de la mitigación
en el precio de cada servicio. Muy simple de ofrecer pero no tiene
beneficios asociado a la mitigación, no poner equipos para ocuparse 24h/24
y esperar que será suficiente el día D.
- hemos elegido una tercera vía : compartir los costes de los VAC y de los
equipos en todos los clientes existentes y futuros que tenemos en nuestras
infraestructuras. En este caso hablamos de una opción obligatoria para
todos los servidores existentes, todos los VPS y todos los pCC. Pero
como se trata de muchos clientes, el aumento de precio del servicio es
muy reducido :
- VPS: +0.5e/mes
- KS: +1e/mes
- SP: +1e/mes
- EG: +2e/mes
- MG: +2e/mes
- HG: +3e/mes
- pCC: +5e/mes
Este aumento de precio de todos los servidores existentes y futuros nos
permitirá continuar a invertir en la infraestructura y mejorar para hacer
frente a nuevos ataques.
Se va a aplicar a partir del 1 septiembre 2013 para el conjunto de los
servidores existentes. En contra en el caso del pago anual, regalamos
la protección anti-DDoS y por tanto el precio no cambia.
Estamos hablando de +0.5e/mes à +5e/mes. Esto puede parecer poco
frente al precio del servicio anti-DDoS que nuestra competencia propone.
Podéis decir que no podemos proporcionar un servicio de protección contra
los DDoS de calidad por un precio tan bajo. Con el número de clientes que
tenemos y gracias a que se compartan los gastos y de las inversiones, nos
sentimos totalmente confiados para afrontar el desafío de ser un
personaje de referencia en la protección contra
los ataques y de poder protegeros el día D.
Cordialmente,
Octave