Mitigation

Deflect protects your website from a multitude of cyber attacks, including distributed denial of service (DDoS), brute force attacks against your login password, connection hijacking and much else. To achieve this level of protection we employ several methods. They are briefly described herein and more broadly in the ‘For Adminsitrators’ section.

  • Distributed infrastructure
  • Autentificación banjax
  • Challenger
  • Captcha
  • Baskerville

Distributed infrastructure

Deflect is built on decentralization, with rented infrastructure in dozens of datacenters around the world. This approach offers flexibility and avoids central points of failure. Over the years we have worked with many providers and select among them by hardware specifications and network access, as well as their internal operating policies. We are keen to reduce the carbon footprint of our infrastructure and are continuouslylooking for datacenters powered by sustainable energy sources.

Due to our dynamic infrastructure model, we provision all machines with filesystem-level encryption.

Provider HQ Country Datacenter País
Gorilla EEUU Ogden, Utah EEUU
Hetzner Alemania FSN1-DC3; FSN1-DC11; FSN1-DC12; FSN1-DC1; NBG1-DC1; FSN1-DC13 FSN1-DC2; FSN1-DC10 FSN1-DC6; FSN1-DC7 Alemania
One Provider Canadá Baltimore, Montreal USA, Canada
OVH Francia Beauharnois; Roubaix; Canada, France
Linode UK   UK
Limestone      
NOCIX      
SeFlow      
Secured Servers      
Veeble      
SiteValley      

Autentificación banjax

When your website is behind Deflect, requests for a new page will come from our caching servers. This means that they may be several minutes old and may not have the very latest updates. This is not ideal for when you are editing the website and need to see updates immediately. Deflect provides a special way to authenticate yourself to the system and access your website without caching. We call this Banjax authentication. After you have created the password in the Dashboard, the login page to your website (e.g. /wp-admin, /login, /administrator, etc.) will appear like this:

Banjax Authentication

Autentificación Banjax

Sólo aquellos en posesión de la contraseña de autentificación podrán continuar. Esto tiene un efecto secundario extra de proteger la sección editorial de su sitio web de ataques de fuerza bruta contra la contraseña.

Challenger

Cuando un ataque DDoS no es mitigado automáticamente por las reglas de Deflect y comienza a tener un impacto negativo en su servidor, puede habilitar el filtro Challeger (retador). Ayudará a Deflect a distinguir los lectores reales del sitio web (quienes están usando un navegador web) de los bots automáticos. Challeger realiza esto sirviendo a todos los que acceden al sitio web un reto matemático en JavaScript. El usuario de navegador soluciona el reto y envía de vuelta su respuesta. El bot no puede hacer esto. Cuando se ha resuelto un reto, Deflect devuelve una cookie al navegador del lector. No se requiere la solución de retos adicionales de este lector durante las siguientes 24 horas.

_images/deflect_challenge.gif

Información para lectores del sitio web

Para recibir y procesar con éxito un reto, su navegador necesita tener habilitado JavaScript. Si está usando un bloqueador de JavaScript como p.e. «NoScript» , resultará en un mensaje de error diciéndole que JavaScript está bloqueado y se debe habilitar.

NoScript blocking JavaScript on the Black Lives Matter website

NoScript bloqueando JavaScript en el sitio web de Black Lives Matter

Información para clientes de Deflect

Challenger es una medida de defensa fuerte. No sólo bloqueará todo el tráfico malicioso, sino también el tráfico legítimo. Esto puede resultar en que los rastreadores web no sean capaces de acceder a su sitio web. Use Challenger como último recurso. Tenemos en lista blanca los siguientes rastreadores web y rangos de direcciones IPv4 para asegurar que los sitios web detrás de challenger aún se pueden indexar:

# Rastreador de Google

# Servidores IPN de PayPal

# Facebook

# En pruebas

¿Sitio web o rastreador excluido?

Si el filtro challenger (retador) bloquea su sitio web o rastreador web, podemos añadir su dirección IP a la lista blanca. Por favor, presente un ticket al equipo de Deflect y proporcione la siguiente información:

  • Nombre de su organización y una breve descripción del trabajo
  • Enlace o dirección/rangos de IP

Si su petición es legítima añadiremos su sitio web o rastreador a la lista blanca.

Código del Challenger de Banjax

`Aquí tiene un enlace <https://github.com/equalitie/banjax/blob/master/config/solver.html>`_al código servido por el Challenger (retador). A su computadora o smartphone sólo les debe llevar un segundo o dos resolver el reto.

Para más información acerca de BotnetDBP, Banjax, el filtrado en etapa temprana, y el retado y exclusión de bots, puede dirigirse hacia esta página

Baskerville

Baskerville is a complete pipeline to implement the theory behind BotnetDBP. It receives as input incoming web logs, either from a Kafka topic, from a locally saved raw log file, or from log files saved to an Elasticsearch instance. It processes these logs in batches, forming request sets by grouping them by requested host and requesting IP. It subsequently extracts features for these request sets and it predicts whether they are malicious or benign using a model that was trained offline on previously observed and labelled data. Baskerville additionally cross-references with MISP to determine if each IP is already known to be malicious. Finally, it saves all the data and results to a Postgres database, and it publishes metrics on its processing (e.g. number of logs processed, percentage predicted malicious, percentage predicted benign, processing speed etc) that can be consumed by Prometheus and visualised using a Grafana dashboard.

As well as an engine that consumes and process web logs, a set of offline analysis tools have been developed for use in conjunction with Baskerville. These tools may be accessed directly, or via two Jupyter notebooks, which walk the user through the machine learning tools and the investigations tools, respectively. The machine learning notebook comprises tools for training, evaluating, and updating the model used in the Baskerville engine. The investigations notebook comprises tools for processing, analysing, and visualising past attacks, for reporting purposes.

A brief overview of the current state of the Baskerville project is here, and the full in-depth documentation is available here.

Baskerville Schematic

Baskerville Schematic