OVH Community, your new community space.

Las protecciones activas de servidores


oles@ovh.net
30/10/2008, 12:24
Buenos días,

Hace unos años, instalamos las protecciones de servidores de
nuestros clientes para protegerlos de los ataques provenientes de Internet.
Nos hemos concentrado en los grandes ataques de 500Mbps, 1Gbps o 4 Gbps que
llegan en varios centenares, miles de servidores con destino de un servidor
alojado en OVH. Este tipo de ataque no causaba problemas en los routers
(tenemos mucha capacidad entre Internet y OVH). Sin embargo cuando un ataque
no se filtraba correctamente, el problema aparecía en el rack del servidor
atacado y por tanto sobre 40/50 servidores vecinos.

Hace 2-3 años, en el 99% de los casos, se trataba de guerras entre las
bandas de hackers. Una de las bandas había decidido atacar un servidor
dedicado que alojaba el bot IRC de otra banda para recuperar los accesos
de un canal IRC y resultaba que el bot IRC estaba alojado en OVH en un
servidor dedicado. Cuando se recibió el ataque en un servidor dedicado,
este fue suspendido y se rompió el contrato.

Desde la puesta en marcha del filtrado IRC ( con desbloqueo manual por
parte del cliente en el manager), y la instalación de protección
INPUT/OUTPUT (http://travaux.ovh.com/?do=details&id=1421), vivimos un
tiempo de calma y feliz. Esto funciona muy bien, ya que como se ha
descrito en la task 1421, hemos tenido una protección por conexión
(100Mbps y después a los 32Mb, la conexión pasa a 10Mbps)
sin ninguna limitación en la suma de todas las conexiones.
Si alguien atacaba un servidor, su ataque se limitaba rápidamente a
10Mbps. Y 10Mbps en muchos casos, no es un problema.

A día de hoy, deseamos gestionar los pequeños ataque de 1Mbps,
10Mbps o 20 Mbps. Este tipo de ataque son muchas veces invisibles
para OVH ya que nuestra red tiene una capacidad de 400Gbps. No
podemos ver un ataque de 1Mbps. Pero este tipo de ataques es muy
difícil de gestionar por nuestros clientes. Normalmente aunque
los Mbps no son muchos, el cliente no puede conectarse más a su
servidor y bloquear el ataque en el servidor directamente. Y
aunque lo consiga, solo hay que aumentar el ataque de 20Mbps a
80Mbps para que el cliente pierda de nuevo el control del servidor.

Hemos instalado 4 tipos de protección que el cliente puede o
no activar para proteger su servidor. Estas protecciones tienen
que ser probadas ahora con algunos de vosotros para perfeccionar
los reglajes de las necesidades reales de nuestros clientes.

4 Protecciones :
- Sin protección alguna:
El cliente desea aprovechar al máximo el ancho de banda que
OVH le propone. Hemos quitado la protección del task 1421
(en beta test).
- Protección WWW:
Si el cliente tiene una actividad WWW con los sitios Internet
Web 2.0, puede tener una protección activa de su servidor contra
los ataques. Se trata de límites de ancho de banda entre Internet
y el servidor del cliente, IP por IP y gestionar este ancho de
banda de cada IP de Internet hacia el servidor. Las visitas se
aprovechan plenamente de los sitios web y no hay ninguna degradación
del servicio. En contra no se puede utilizar el servidor para los
backups o transferencia de grandes ficheros de Internet hacia el
servidor. Los routes bloquean automáticamente este tipo de "ataque".
Si el cliente desea utilizar el servidor como backup, solo tiene que
coger una IP fail-over, conectarla al servidor y no protegerla contra
los ataques. Así, la actividad principal del servidor basándose en la
IP del servidor está protegida y sobre la IP fail-over, el cliente
puede poner actividades que necesitan mucho ancho de banda entrante.
- Protección GAME:
Vemos cada vez más pequeños ataques entre jugadores que atacan a otro
jugador para retrasarlo en el juego y ganar la partida... Hemos puesto
en marcha una protección especialmente concebida para los servidores de
juego. Pero hay que mejorarla un poco más.
- Protección TOTAL:
si un servidor recibe un ataque importante, nuestros equipos deben
intervenir en la red y bloquear el ataque de manera rápida y
eficaz. Una vez la protección puesta, el servidor funciona correctamente
y el cliente tiene un control total sobre el servidor. En contra,
no puede transferir nada al servidor. En el momento que tiene demasiados
paquetes que vienen de internet hacia el servidor, los routers protegen
la infraestructura de OVH.

Estas protecciones estarán rápidamente disponibles en el manager y
actibables con un simple clic.

Mientras tanto, buscamos los beta testers para la protección WWW y
GAME. No dudeis a escribirme a oles@ovh.net dando vuestro identificador
(XX0000-OVH) y la IP de vuestro servidor. Si teneis otro tipo de protección
a desarrollar, os agradeceríamos que compartierais vuestra experiencia.

Cordialmente,
Octave