TIL DEG SOM NY KUNDE AV TELIA DDOS PROTECTION

SAMME BESKYTTELSE – ENDA BEDRE SERVICE

Som et resultat av sammenslåingen av Telia og TDC, vil din nåværende DDoS-tjenesten bli overført til Telia DDoS Protection. Denne tjenesten vil fortsatt bli levert med den markedsledende Arbor-løsningen, men plattformen vil være lokalisert i Norge og ressursene som administrerer plattformen har over 20 års erfaring med DDoS-beskyttelse. Dette betyr at du vil få den samme beskyttelsen, men nå med enda bedre service. 

Hva får jeg som kunde:

Funksjoner TDC Telia Small Telia Standard
Teknisk plattform Arbor Arbor Arbor
Max båndbredde 10 Gbps 300 Mbps Ubegrenset
Inkluderte Managed objects (MO’s) 5 2 5
Ekstra MO’s tilgjengelig Ja, i pakker på 5 Ja, enkeltvis Ja, enkeltvis
IPv4 Ja Ja Ja
IPv6 Ja Ja Ja
Automitigering Opsjon Standard Standard
Manuell mitigering Standard Nei Opsjon
Rapportering Månedlig samt etter hver mitigering Begrenset månedsrapport Fullstendig månedsrapport
Leverandør ringer kunde ved angrep? ja Nei Ja

Tidligere TDC DDoS Protection tilsvarer mest Telia Standard DDoS Protection. Untakk blir avtalt med enkelte kunder.

Viktig å merke seg:

  • For å gi deg riktig beskyttelse for din bedrift, vil vi gi deg muligheten til å delta i et møte med våre DDoS-eksperter for å fullføre konfigurasjonsmalen etter deres ønske.
  • Hvis du velger å ikke delta, vil en standard beskyttelse bli konfigurert generelt for dine servere / tjenester.
  • Etter at løsningen er satt opp har du 5 dager til å komme med endringer, hvis ikke anses avtalen som akseptert etter dette.

 

Vanlige spørsmål

 

Oppdager Telias DDoS-beskyttelse alle DDoS-angrep?
For volumetriske DDoS-angrep (angrep som er store med hensyn til bits per sekund eller pakker per sekund), blir så godt som alle angrep oppdaget ettersom det er det tjenesten/plattformen er konstruert for. Langsomme / lave nivåer og/eller angrep på applikasjonsnivå (f.eks. http-forespørsler, e-postspam, SQL-spørsmål) er vanskeligere å oppdage, men kan oppdages ved store volumer.
Selv om plattformen vår ikke har registrert et applikasjonsbasert angrep på lavt nivå, kan vi som regel hjelpe til med å avverge det hvis kunden kontakter Telia support.


Vasker man alle DDoS-angrep?
For volumetriske DDoS-angrep er vår erfaring at resultatet blir veldig bra. Ved langsomme angrep / lave nivåer og/eller angrep på applikasjonsnivå, er resultatet litt mer varierende, men ofte fungerer det bra å vaske også disse typer angrep hvis kunden kontakter Telia support.


Hva innebærer «best effort »?
«Best effort» betyr at vi ikke kan garantere sluttresultatet, men at man oppnår det beste resultatet som plattformen og tjenesten kan yte.
Ikke alle angrepstyper/-nivåer kan registreres/mitigeres. Dessuten er det alltid en viss sannsynlighet for at noe legitim trafikk filtreres ut, og at man ikke kan filtrere bort 100% av angrepstrafikken. Samtidig vil dette utgjøre lav risiko i en akutt angrepssituasjon.


Må det være det mobiltelefonnummeret som er angitt for kontaktpersonen som har rett til å aktivere/deaktivere beskyttelsen?
Ja, delvis for å være tilgjengelig døgnet rundt, og for å kunne sende ut en kontroll-ID til den utpekte tekniske kontaktpersonen.

 

Hva er mitigering?
Mitigering er at innkommende trafikk til en eller flere IP-adresser innen DDoS Protection, kundens definerte beskyttelsesobjekter, styres til en «DDoS- vaskemaskin» der de evalueres og vaskes i henhold til forhåndsdefinerte algoritmer og funksjoner. Trafikk som vurderes som legitim, rutes inn i kundens miljø mens øvrig trafikk filtreres bort.
Kun innkommende trafikk til definerte angrepsverter rutes til DDoS-vaskemaskinen. Annen innkommende trafikk rutes den vanlige veien.


Tar vasken alle angrep når den startes, eller må man justere manuelt?
Vaskeprofilene er designet for å i så stor grad som mulig kun tillate legitim trafikk, men ettersom en viss angrepstrafikk er vanskelig å automatisk identifisere/skille fra legitim trafikk, kan det i enkelte tilfeller kreve manuelle justeringer. Det påvirker naturligvis vasketiden. Telia support ringer til kunder som har Standard-pakken og bekrefter at mitigeringen fungerer som den skal. Hvis ikke, kan ulike justeringsverktøy brukes.


Hvordan dirigeres/rutes innkommende trafikk til kundens angrepne IP-adresse/vert slik at den passerer/vaskes gjennom Telias DDoS-plattform?
Etter aktivering av vasking (manuelt startet av overvåkingspersonale eller automatisk av overvåkingssystemet), sendes et BGP-varsel for den aktuell IP-adressen fra vaskeplattformen, som deretter spres i Telias nett. Dette gjør at all trafikk rettet mot den aktuelle IP-adressen, umiddelbart blir sendt til nærmeste vaskenode. Deretter sendes trafikken videre til kundens tilkobling.


Hvor mye mitigeringstid inngår i tjenesten?
I tjenesten vår inngår all vasketid, forutsatt at kunden har automitigering. Med automitigering håndterer plattformen selv aktivering og deaktivering helt automatisk.
Forebyggende beskyttelse der vasken alltid er aktivert, inngår ikke!


Hvor mange mitigeringer kan være aktivert samtidig?
Hver kunde kan ha alle IP-adresser i vask samtidig, avhengig av pakke. Dette gjelder bare under angrep og for adresser som er under angrep.
Kunden kan ha flere mitigeringer i gang samtidig hvis flere angrep pågår mot ulike MO-verter.


Hvor raskt fungerer Telia med manuell mitigering?
Manuell aktivering

  • Det er litt avhengig av hvor tidlig alarmen genereres og hvor lang tid det tar å få en godkjenning av kunden. Normal aktiveringstid er 15 minutter.


Kan man velge ulike alarmnivåer?
Det finnes tre ulike terskelnivåer for å utløse DDoS-alarmer: Lav, medium og høy. Medium er verdier som varsler om relativt små angrep, men uten å generere for mange falske alarmer. Dette alternativet er del av pakken standard.
Alarmer som detekteres til Høy, innebærer også at mitigering startes.


Automitigering: Hvor lang tid tar det før en automitigering starter?
Automitigering

  • For verter som er konfigurert i en av de spesifikke MO-gruppene, er normal aktiveringstid i løpet av 30–60 sekunder.
  • For verter som er konfigurert i felles MO og ikke finnes i noen spesifikk MO-gruppe, er aktiveringstiden normalt 2–3 minutter.


Automitigering: Hva er forskjellen på en manuelt aktivert mitigering og en automitigering?
En manuell mitigering startes av førstelinjesupporten etter en kundesamtale eller en DDoS-alarm. Automitigering innebærer at hvis man har valgt dette, kan vasken startes automatisk basert på en DDoS-alarm hvor alarmnivået er registrert som Høyt.


Automitigering: Hva er det som utløses ved angrep?
Det finnes en rekke terskelverdier som er definert for ulike typer datatrafikk og som utløser en Høy-alarm som aktiverer automitigeringen. Med mindre annet er avtalt og implementert, gjelder terskelverdiene for alarm i henhold til nivået Medium.


Automitigering: Slås vasken/mitigeringen også av automatisk?
Ja, når trafikken går ned under den aktuelle terskelen over en viss periode, mener systemet at angrepet er over og mitigeringen stopper automatisk.


Autentisering: Hva skjer hvis en uautorisert person prøver å starte/stoppe en mitigering?
Kontaktperson hos kunde informeres omgående (kontaktperson = person hos kunde som er autorisert til å starte/stoppe vask, se kundegrunnlag).


Autentisering: Hvem kan aktivere en mitigering?
Personer/funksjoner oppført på DDoS-skjemaet kan be om at manuell mitigering startes/stoppes. Godkjenning gjøres enten ved at kunden oppgir kontroll-ID eller ved at Telia gjør et motanrop til den navngitte kontaktpersonen i henhold til konfigurasjonsgrunnlaget.


Hvor mange TCP-anrop per minutt eller hva annet er det som avgjør at en mitigering skal startes?
Unormale trafikkmønstre utløser DDoS-alarmen som starter mitigering. Et visst antall TCP-er, UDP-er eller ICMP-pakker per sekund over en tidsperiode. Eksempel er TCP SYN-pakken, som er den første pakken i en TCP-økt og skal bare forekomme i små mengder i legitime sammenhenger.


Hva er forskjellen på Protected MO og Summary MO?
De ulike verneobjektene (Protected MO) definerer de viktigste IP-adressene som skal beskyttes med DDoS-vask. Summary MO i grupper inkluderer alle kundens IP-adresser som er rutet ut på kundens forbindelse for å kunne registrere angrep, også mot andre IP-adresser hos kunden som kan påvirke de definerte beskyttelsesobjektene. Vi kaller dette for spesifikke MO objekter og felles MO objekter.
De spesifikke MO-gruppene gir alltid bedre beskyttelse i forbindelse med mitigering, og derfor anbefaler vi på det sterkeste at kunden lager en grundig oppdeling for å oppnå best mulig effekt i forbindelse med angrep.
Den største gevinsten med å konfigurere spesifikke MO-er, altså å velge den malen/profilen som stemmer best overens med beskyttelsesobjektets type, for eksempel e-postserver. Dette for at trafikken til objektene skal kunne filtreres mye mer effektivt ved et angrep, ettersom plattformen allerede vet hvilken type trafikk som forventes mot beskyttelsesobjektet.


Kan IP-adresser i grupperte felles MO vaskes?
Ja! I forbindelse med innføringen av DDoS 2.0 ble det mulig for oss å automatisk mitigere angrep mot valgfri vert i kundens nettverk, helt automatisk hvis automitigering er valgt.


Kan man ha samme IP i flere spesifikke MO-er?
Nei! En IP (vert) kan bare finnes i én av de spesifikke MO-gruppene.
Alle IP-er (verter) vil imidlertid alltid være tilgjengelige i kundens felles MO.


Kan man blande miljøet, altså ha flere ulike tjenester på samme IP?
Det fraråder vi sterkt, ettersom det vanskeliggjør mitigeringen fordi triggerne som utløser mitigeringen må konfigureres mer generelt.


Kan flere MO-er ha samme beskyttelsesprofil?
Det er normalt ingen grunn til det. Økt synlighet i ukerapporten kan oppnås, men for deteksjon og beskyttelse oppnås ingen forbedring.

 

Hvor ofte sendes DDoS-rapporten ut?
Ukentlig eller månedlig avhengig av pakke. Kundene med Standard-pakken kan imidlertid be om å få en ekstra rapport, for eksempel hvis man ikke ønsker å vente til neste planlagte rapporttilfelle for å se relevant informasjon om angrep.


Hva inneholder DDoS-rapporten?
Innholdet avhenger av pakke. Kunder med Standard-pakken får en fullstendig rapport og kunder med Small-tjenesten, en forenklet versjon. Rapporten inneholder statistikk over kundens trafikk over tid, f.eks. TCP/UDP-tjenester, ICMP, pakkestørrelse og hvilke land trafikken kommer fra. I tillegg vises hvilke Medium- og Høy-alarmer som er generert samt mitigeringer som har pågått. En beskrivelse av all informasjon for de ulike modulene/grafene er satt inn i rapporten.


Kan man få ut en rapport i forbindelse med en mitigering?
Ja, for kunder med Standard-pakken går det bra. Kunden kan når som helst, under/etter mitigering, få ut rapporten. Man kontakter førstelinjesupport for å be om rapporten. Den genereres da manuelt i vår DDoS Protection-plattform, men sendes ut via e-post på samme måte som den planlagte.


Kan man få ytterligere informasjon om angrepet?
Man kan få mer informasjon om angrepstype og, i visse tilfeller, hvilke land angrepet har kommet fra. Dette kan utføres mot debitering tilsvarende én konsulenttime.

 

Hvordan skal kunden bruke revisjonshistorikken ved endringsordrer?
Blanketten inneholder veldig mye informasjon, derfor skal hver endring/tillegg/fjerning av kontaktperson, MO, IP osv. nevnes i historikken. Ellers kan ikke Telia garantere at vi får med alle endringer.


Hvis det er behov for endringer, hvem kontakter man da?
Mindre endringer, f.eks. legge til/fjerne kontaktperson, gjøres via nettskjema der autorisert bestiller hos kunde identifiserer seg med vår utsendte kontroll-ID. For større, mer avanserte endringer, kontakter kunden sin salgsrepresentant.


Hva koster en endring?
Endringer utføres på konsulentbasis, kr/time med minimum debitering for 30 minutter. Se kontrakten eller snakk med salgsrepresentanten for timebetaling.


Hvordan bestiller man automitigering til eksisterende kunde?
Dette kan gjøres via nettskjemaet som en konsulenttjeneste.


Lenke til nettskjema for mindre endringer
Nettskjema finner du her

Lurer du på noe?

Lurer du på noe i forbindelse med din DDoS beskyttelse? Kontakt din Telia salgsrepresentant.