Gå til hovedindhold

DDPS

DDPS står for DDoS Protection Service og er et tilbud til autoriserede netværksadministratorer om at kunne lægge deres egne firewall-regler ind i Forskningsnettets centrale routere, som et supplement til institutionens egne firewalls. Dette sker i real tid og der er både en web-baseret brugergrænseflade og en API-adgang som kan kobles sammen med institutionens evt. IDS.
Billede
DDoS Protection Service
Foto: DeiC

Formålet med DDPS

DDoS-angreb er ofte kortvarige og for at gøre en forskel er hurtig reaktion vigtig. Man kan fortsat henvende sig til netdriften og få sat filtre i Forskningsnettets routere, lavet null-routninger og andre tiltag, men det kan, selv i bedste fald, nemt tage en del minutter før den slags manuelle tiltag har virkning. DDPS er Forskningsnettets tilbud om at den, der er ramt af at angreb kan implementere filtre selv, og disse regler har virkning med sekunders varsel.

Sikkerhed

Brugerne på DDPS kan potentielt set med få klik - også ved en fejl - let blokere for hele institutionens internettrafik. Derfor er der en kort introduktionsprocedure, som går ud på at sikre sig at der kan kan blokeres for trafik til net som den pågældende er netværkadministrator for. Der logges ind til tjenesten gennem eduVPN som vi bruger til at sikre os at brugeren stadig har et gyldigt WAYF-login og dermed at brugeren stadig er tilknyttet institutionen.

Vi anbefaler iøvrigt at man sidder fysisk på sin institutions net når man bruger DDPS og ikke på en VPN hjemmefra, da man ellers utilsigtet kan komme til at udelukke sig selv fra adgang til systemet.

Teknik

DDPS virker ved bruge BGP FlowSpec (RFC 5575) til at injicere regler i Forskningsnettets centrale routere. Det er ambitionen på sigt at disse regler også bliver implementeret i NORDUnets routere, men sådan er det ikke lige nu. Reglerne er baseret på IP-adresseblokke, så hvis man ønsker at blokere for et eller flere BGP-prefixes skal man selv oversætte dette til IP-adresser først. Her kan man så få reglerne til at virke på TCP, UDP, ICMP og andre typer af trafik, ligesom man kan specificere portnumre og reglen kan så implementere båndbreddebegrænsning eller sørge for at den pågældende trafik helt droppes.

Der er et begrænset antal regler som samlet set kan rummes i routerne, og derfor vil der også være en grænse for hvor mange regler den enkelte institution kan have aktive på samme tid. Pt er grænsen 500 samtidige regler pr. institution og maksimalt 500 nye regler pr. minut. Disse tal er vi villige til at ændre, hvis det er hensigtsmæssigt. Fra en regel er aktiv i DDPS til den faktisk kan ses at blive blokeret i trafikken, går der mellem 10 og 20 sekunder.

Hvad koster DDPS?

DDPS er kun relevant, hvis man i forvejen er koblet op på Forskningsnettet, og tjenesten er inkluderet i det som institutionen allerede betaler for tilslutning til Forskningsnettet. Tjenesten kræver at institutionen er tilsluttet WAYF, men det er jo også inkluderet i tilslutningen til Forskningsnettet.

Hvordan kommer jeg igang?

Processen med oprettelse og autorisation af brugeren starter med at man sender en mail til ddps-info@deic.dk.

Support

De få autoriserede brugere får relevant dokumentation tilsendt, herunder information om support i drift.

Der er ikke oprettet en kanal vedr DDPS i Serviceinfo, hvor vi indtil videre forventer at sende driftsinformation om DDPS ud Basisnet-kanalen.

Revideret
04 mar 2022