Czy Twoje centrum danych jest odpowiednio chronione przed współczesnymi atakami DDoS?

Transkrypt

1 Opracowanie Czy Twoje centrum danych jest odpowiednio chronione przed współczesnymi atakami DDoS? Rodzaje ataków DDoS, metody ochrony oraz testowanie stosowanych mechanizmów wykrywania i zwalczania ataków

2 Wprowadzenie Ataki Distributed Denial of Service (DDoS, rozproszona odmowa usługi) to jedne z najstarszych zagrożeń internetowych, które nadal należą do największych zagrożeń bezpieczeństwa sieci na całym świecie. Wraz z rozwojem zabezpieczeń ewoluowały również techniki stosowane przez hakerów, które są obecnie znacznie bardziej zaawansowane. Ataki nowego typu są teraz ukierunkowane na aplikacje oraz usługi, a często są również maskowane w warstwach 3 i 4 podczas ataków typu DDoS przez co ich wykrywanie jest trudne. Jednym z najczęstszych celów cyberprzestępców stosujących ataki DDoS jest branża usług finansowych; następne miejsce zajmuje sektor rządowy. Oprócz zakłócania operacji internetowych poprzez zmasowane ataki typu bruteforce, ataki DDoS są od niedawna dodatkowo wykorzystywane do ukrywania bardziej zaawansowanych prób włamań, mających na celu pozyskanie danych finansowych oraz danych dotyczących handlu elektronicznego. Celem takich ataków często jest zakłócenie działania organizacji polegające w znacznej mierze na uniemożliwieniu dostępu do informacji. Większość organizacji poświęca dużo czasu i pieniędzy na wybranie rozwiązania do ochrony przed atakami DDoS, często jednak nie wkładając równie wiele zaangażowania w testowanie tych mechanizmów zabezpieczających. Pokładanie wiary w zapewnienia i specyfikacje dostawcy nie jest najlepszym sposobem na zadbanie o odpowiednią ochronę przed atakami DDoS. Istnieje wiele sposobów na przetestowanie mechanizmów zabezpieczających przed atakami DDoS. Dostępne są zarówno rozwiązania bezpłatne, jak i dedykowane urządzenia symulujące szeroki zakres podstawowych i zaawansowanych ataków DDoS, dzięki czemu nie trzeba czekać na pierwszy prawdziwy atak, by odkryć słabe punkty stosowanych mechanizmów zabezpieczających. Niezależnie od wybranego podejścia, najważniejszym elementem testowania jest opracowanie realistycznych scenariuszy na podstawie zweryfikowanego ruchu sieciowego charakterystycznego dla danej organizacji. Znajomość typu blokowanych ataków jest ważna wyłącznie w kontekście ustalenia, czy prawidłowy ruch sieciowy jest obsługiwany w zadowalający sposób. Gdyby mechanizmy zabezpieczające blokowały cały ruch sieciowy, zarówno prawidłowy, jak i podejrzany, powstrzymanie ataków mogłoby się powieść, jednak w efekcie takich działań firma mogłaby ponieść ogromne straty. Wyzwania biznesowe Bezpieczeństwo sieci Dostępność aplikacji Ciągłość działalności biznesowej Ochrona przed atakami DDoS Branże Usługi finansowe Organizacje rządowe Przedsiębiorstwa Internetowe centra danych Usługi zarządzane Sektor usług finansowych jest najczęstszym celem ataków DDoS zmierzających do zakłócenia działalności biznesowej oraz zamaskowania naruszeń bezpieczeństwa poufnych danych. Dostawcą danych testowych jest firma: 2

3 Na czym polega atak DDoS? Niezależnie od stopnia złożoności ataki DDoS ukierunkowane są na wyczerpanie zasobów dostępnych na potrzeby sieci, aplikacji lub usług, przez co właściwi użytkownicy nie mają możliwości uzyskania do nich dostępu. ie ataki są zwykle inicjowane przez grupę komputerów klienckich, które zostały przechwycone przy użyciu złośliwego oprogramowania lub użyte dobrowolnie przez ich właścicieli. Działania są zwykle ściśle skoordynowaną akcją, mającą na celu próbę pełnego wykorzystania przepustowości sieci i mocy przerobowych serwerów w atakowanym środowisku sieciowym. Kilka lat temu częstą praktyką było wykorzystywanie metod fałszowania adresów (spoofing), w których haker używał tak naprawdę bardzo niewielu urządzeń (lub nawet jednego) do podszywania się pod wiele adresów IP. Umożliwiło to w ostatnich latach powstanie botnetów. Botnet to grupa skoordynowanych urządzeń (zwykle komputerów i smartfonów), które zainfekowano złośliwym kodem lub zgłoszono do udziału w ataku. Najnowszą metodą stosowaną przez intruzów jest wywoływanie zdarzeń typu DDoS za pośrednictwem znajdujących się w centrach danych serwerów, którym udostępniane są znaczne przepustowości. Zdeterminowany haker jest w stanie przeprowadzić szeroko zakrojony atak bez konieczności rekrutowania tysięcy urządzeń. Wystarczy, że uzyska dostęp do kilku serwerów w centrach danych. W większości doniesień prasowych omawiane są ataki DDoS na wielką skalę, takie jak ostatni atak rzędu 400 Gb/s przypuszczony na firmę CloudFlare w 2014 roku. Te ataki są wprawdzie znaczące, jednak obecnie większość udanych ataków DDoS ma znacznie mniejsze natężenie, ponieważ ich celem są usługi warstwy 7. Podstawowy atak DDoS Hakerzy mają pod kontrolą armię urządzeń, które generują nadmiarowy ruch na portach sieciowych i odcinają dostęp do usług internetowych oraz aplikacji. Atak przy użyciu botnetu Kontrolowana centralnie grupa zainfekowanych lub dobrowolnie zgłoszonych (np. do sieci botnet) komputerów przeprowadza atak, generując ruch sieciowy skierowany do atakowanego adresu IP lub grupy adresów IP. Serwery Przełącznik Przeciążenie portu Przełącznik i serwery nie są w stanie obsłużyć ruchu sieciowego i odrzucają niemal wszystkie pakiety, zarówno z dobrych, jak i złych źródeł. Jakie mogą być powody ataków DDoS? Motywy ataków DDoS można zwykle podzielić na trzy główne kategorie: polityczne, odwetowe i finansowe. Hakerzy działający z pobudek politycznych atakują podmioty, z którymi nie zgadzają się w kwestii poglądów politycznych, społecznych czy religijnych. Zlikwidowanie botnetu lub aresztowanie ważnych cyberprzestępców mogą wywołać działania odwetowe skierowane przeciwko tym, którzy udzielili pomocy władzom. Ataki przeprowadzane z powodów finansowych są zwykle związane z próbami wywierania wpływu. Hakerzy są wówczas opłacani przez stronę trzecią za przeprowadzenie ataku w jej imieniu. Niezależnie od powodów, skutki są takie same sieć oraz świadczone w jej ramach usługi są niedostępne i taki stan rzeczy może utrzymywać się przez dłuższy czas. Stosowane obecnie ataki DDoS Można wymienić wiele rodzajów stosowanych obecnie powszechnie ataków od starszych metod, pochodzących z początków Internetu, po najnowsze zaawansowane ataki na warstwę 7, w których celem są usługi aplikacyjne. Najczęstsze są ataki typu SYN flood oraz HTTP GET flood zmierzające do przeciążenia połączeń sieciowych lub serwerów chronionych zaporami sieciowymi (firewalls) oraz systemami zabezpieczającymi przed włamaniami (ang. Intrusion Protection Services/Systems IPS). Więcej informacji na temat często stosowanych ataków można znaleźć w poniższym wyszczególnieniu na marginesie strony. Zaawansowane ataki DDoS na warstwę aplikacji W atakach na warstwę aplikacji stosowane są znacznie bardziej zaawansowane mechanizmy umożliwiające atakowanie sieci i usług. Celem ataków tego typu nie jest zwykłe przeciążenie sieci ruchem lub sesjami. Są one ukierunkowane na określone aplikacje oraz usługi, co powoli wyczerpuje zasoby w warstwie aplikacji (warstwa 7.). Ataki na warstwę aplikacji mogą być bardzo skuteczne, a ponieważ generują niewielki ruch sieciowy, w większości tradycyjnych metod wykrywania ataków DDoS mogą być uznawane za zupełnie normalne zjawisko. Dlatego właśnie tego rodzaju ataki są znacznie trudniejsze do wykrycia niż inne podstawowe typy ataków DDoS. Większość usługodawców internetowych oraz dostawców zabezpieczeń przed atakami DDoS korzysta z podstawowych metod ochrony przed atakami wielkoskalowymi, nie dysponują oni jednak zaawansowanymi narzędziami do wykrywania mniejszych zagrożeń w warstwie aplikacji, pozwalają im zwyczajnie przeniknąć do sieci. Rysunek 1: Przykład podstawowego ataku DDoS na przełącznik sieciowy i serwery. 3

4 Rodzaje zabezpieczeń przed atakami DDoS Dostępnych jest wiele różnego rodzaju zabezpieczeń przed atakami DDoS od prostych, samodzielnie wprowadzanych konfiguracji serwerów, po zaawansowane rozwiązania sprzętowe stosowane w centrach danych. Większość usługodawców internetowych oferuje zabezpieczenia przed atakami DDoS na warstwę 3. oraz 4., których celem jest uniemożliwienie przeciążenia łączy masowymi zdarzeniami wolumetrycznymi, nie zapewniają one jednak możliwości wykrywania znacznie mniejszych ataków w warstwie 7. Operatorzy centrów danych nie mogą liczyć wyłącznie na usługodawcę internetowego w kwestii zapewnienia kompleksowego rozwiązania do ochrony przed atakami DDoS obejmującego również ochronę warstwy aplikacji. Oto trzy najpopularniejsze rozwiązania zabezpieczające stosowane w większości średnich i dużych organizacji, których kierownictwo poważnie traktuje kwestię zabezpieczeń przed atakami DDoS: korzystanie z opartych na chmurze usług dostawców zabezpieczeń przed atakami DDoS, istniejące wyposażenie w postaci zapory lub systemu IPS oraz dedykowane urządzenia zabezpieczające przed atakami DDoS. Usługi dostawców zabezpieczeń przed atakami DDoS: dostępnych jest wiele hostowanych, opartych na chmurze rozwiązań zapewniających ochronę przed atakami DDoS w warstwach 3., 4. i 7. Mogą to być zarówno niedrogie rozwiązania do obsługi niewielkich witryn internetowych, jak i potężne rozwiązania dla przedsiębiorstw, obejmujące wiele witryn. ie rozwiązania są zwykle bardzo łatwe do skonfigurowania i są szeroko reklamowane wśród małych i średnich organizacji. Większość dostawców oferuje odpowiednio dostosowane opcje cenowe, w ramach których zapewniane są zaawansowane usługi wykrywania ataków w warstwie 7. w dużych organizacjach, w których centrach danych konieczne jest zainstalowanie czujników. Wiele przedsiębiorstw wybiera ten rodzaj rozwiązań, jednak w większości przypadków usługodawcy naliczają nieprzewidywalne i znaczące koszty dodatkowe, w przypadku wystąpienia wolumetrycznych ataków DDoS. Klienci bywają również rozczarowani wydajnością tych rozwiązań, ponieważ usługodawcy przekierowują ruch związany z atakami DDoS do przeznaczonych do tego celu centrów awaryjnych, zamiast zatrzymywać go w czasie rzeczywistym, co jest szczególnie problematyczne w przypadku typowych, krótkotrwałych ataków. Często występujące typy ataków DDoS Ataki wolumetryczne Celem tych ataków jest wywołanie przeciążenia i zajęcie dostępnej przepustowości łączy internetowych lub przeciążenie serwerów. SYN Flood: tabela połączeń serwerów oraz wszystkich innych urządzeń w ścieżce sieciowej zostaje wypełniona sfałszowanymi pakietami SYN. Zombie Flood: podczas ataków typu zombie lub ataków z zastosowaniem botnetów przeciążenie sieci oraz usług aplikacji odbywa się przy użyciu niesfałszowanych połączeń. ICMP Flood: pakiety ICMP, na przykład służące do obsługi poleceń ping, powodują przeciążenie serwerów oraz połączeń sieciowych. TCP/UDP Port Flood: pakiety TCP/UDP wywołują przeciążenie serwerów i portów sieciowych nieużywanych na potrzeby usługi, takich jak port TCP 81. Fragment Flood: przeciążenie serwerów jest wywoływane przez pofragmentowane pakiety. Anomalous Packet Flood: celowe lub przypadkowe błędy pakietowe w skryptach opracowanych przez hakerów powodują przeciążenie sprzętu sieciowego i serwerów związane z próbami wyeliminowania anomalii. Unwanted Geographical Area Flood: pakiety napływają z niechcianych lokalizacji lub obszarów geograficznych (krajów, regionów itp.) znanych z wysyłania potencjalnie szkodliwych transmisji. Ataki mieszane: ataki DDoS coraz częściej składają się z wielu, połączonych, podstawowych typów ataków, a w ramach niektórych z nich ataki na warstwę usług są nawet maskowane atakami wolumetrycznymi, mającymi odwrócić uwagę mechanizmów wykrywających. DNS Amplification: celem ataku są serwery DNS, a atakujący używa protokołu DNS EDNS0 do 70-krotnego zwiększenia liczby komunikatów zwrotnych DNS wysyłanych do celu ataku. Ataki na warstwę aplikacji Mniej rozległe, bardziej zaawansowane ataki ukierunkowane na usługi warstwy 7. na serwerach, takie jak HTTP, SMTP oraz HTTPS. HTTP GET: w atakach tych uczestniczą boty skupiające się na połączeniach, które próbują przeciążyć serwery i połączenia na portach usług (np. HTTP) poprzez symulowanie legalnych użytkowników. HTTP POST: w bardzo wolnym tempie przesyłane są treści komunikatów POST, co uniemożliwia prawidłowe zakończenie połączenia. HTTP Slow Read: atakujący wymuszają na serwerach wysyłanie znacznych ilości danych, równocześnie wymuszając ich przesyłanie w wielu niewielkich fragmentach i odczytywanie ich przez odbiorcę w bardzo wolnym tempie. Slowloris: przy użyciu ataku HTTP GET atakujący uruchamiają wiele fragmentarycznych i opóźnionych w czasie nagłówków odnośników HTTP, by połączenie pozostawało otwarte na tyle długo, by wyczerpać zasoby. HTTPS: ataki te są podobne do ataków HTTP, jednak atakowane są usługi SSL na serwerach. SMTP: ataki ukierunkowane na usługi serwerów pocztowych SMTP. VoIP: ataki ukierunkowane na usługi SIP INVITE. 4

5 Zabezpieczenia przed atakami DDoS na warstwę 7. Trzy najważniejsze rozwiązania stosowane przez większość firm do ochrony centrów danych przed zaawansowanymi atakami DDoS na warstwę aplikacji. Usługi dostawcy zabezpieczeń przed atakami DDoS Model subskrypcji usługi zarządzanej składający się zwykle z osobnego rozwiązania do wykrywania i osobnego do eliminowania skutków ataków. Zalety: Łatwość zamówienia usługi Łatwość wdrożenia Wady: Wysokie opłaty dodatkowe Nieprzewidywalność kosztów Ograniczona elastyczność Zapora lub system IPS Zintegrowane urządzenie obejmujące zaporę sieciową, system ochrony przed włamaniami (IPS) oraz zabezpieczenia przed atakami DDoS. Zalety: Jedno urządzenie Mniej elementów do zarządzania Wady: Mała skuteczność wykrywania ataków na warstwę 7. Możliwa konieczność wykupienia licencji Negatywny wpływ na wydajność Dedykowane urządzenie Urządzenie wbudowane w infrastrukturę centrum danych umożliwiające wykrywanie ataków DDoS na warstwy 3, 4 i 7 oraz eliminowanie skutków tych ataków. Zalety: Przewidywalność kosztów Zaawansowana ochrona warstwy 7. Wady: Zarządzanie dodatkowym urządzeniem Możliwy brak odporności na większe ataki Możliwa konieczność aktualizacji sygnatur Rysunek 2: Trzy rodzaje zabezpieczeń przed zaawansowanymi atakami DDoS wdrażane przez większość organizacji, gdy potrzebne jest rozwiązanie uzupełniające zabezpieczenia przed atakami wolumetrycznymi na warstwy 3. i 4. oferowane przez usługodawcę internetowego. Zapora lub system IPS: Prawie każda nowoczesna zapora oraz system zabezpieczający przed włamaniami (IPS) zapewnia do pewnego stopnia ochronę przed atakami DDoS. Zaawansowane zapory nowej generacji (ang. next generation firewalls NGFW), takie jak produkty FortiGate firmy Fortinet, oferują zabezpieczenia DDoS oraz usługi IPS, a ponadto są w stanie zminimalizować skutki wielu ataków DDoS. Korzystanie z jednego urządzenia w roli zapory, systemu IPS oraz zabezpieczenia przed atakami DDoS ułatwia zarządzanie, jednak pojedyncze urządzenie może z łatwością ulec przeciążeniu w wyniku wolumetrycznych ataków DDoS, przy czym nie obsługuje ono zaawansowanych mechanizmów wykrywania zagrożeń w warstwie 7. oferowanych w ramach innych rozwiązań. Inną wadą jest to, że włączenie zabezpieczeń przed atakami DDoS w zaporze lub systemie IPS może wpłynąć na ogólną wydajność pojedynczego urządzenia, czego skutkiem może być ograniczenie przepustowości i zwiększenie opóźnień odczuwane przez użytkowników końcowych. Dedykowane urządzenia zabezpieczające przed atakami DDoS: dostępne są dedykowane rozwiązania sprzętowe wdrażane w centrach danych, które służą do wykrywania i powstrzymywania podstawowych (warstwa 3. i 4.) oraz zaawansowanych (warstwa 7.) ataków DDoS. Wdrożenie takiego urządzenia w głównym punkcie wejścia całego ruchu sieciowego umożliwia zarówno blokowanie masywnych ataków wolumetrycznych, jak i monitorowanie całości przychodzącego i wychodzącego ruchu sieciowego w celu wykrywania podejrzanych wzorców zagrożeń w warstwie 7. W przypadku stosowania urządzenia dedykowanego wydatki są przewidywalne, ponieważ koszty są stałe, niezależnie od tego czy klient w ciągu 6 miesięcy będzie miał do czynienia z jednym atakiem, czy będzie atakowany codzienne. Wśród wad tych urządzeń można wymienić konieczność zarządzania dodatkowym sprzętem, fakt, że urządzenia o niższej przepustowości mogą ulec przeciążeniom w wyniku ataków wolumetrycznych oraz (w przypadku wielu producentów) wymóg częstego aktualizowania sygnatur. Dedykowane sprzętowe rozwiązania zabezpieczające przed atakami DDoS dostępne są w dwóch wersjach podstawowych: Dostawca oraz Przedsiębiorstwo. Wersje Dostawca to bardzo kosztowne, rozległe rozwiązania dostosowane do potrzeb sieci światowych usługodawców internetowych. Większość organizacji szukających rozwiązań do ochrony centrów danych interesuje się zwykle modelami Przedsiębiorstwo, zapewniającymi wykrywanie ataków DDoS oraz łagodzenie ich skutków przy zachowaniu kosztów na odpowiednim poziomie. Moce przerobowe dostępnych obecnie modeli umożliwiają odpieranie zakrojonych na szeroką skalę ataków wolumetrycznych, zapewniając 100-procentową ochronę w warstwach 3., 4. i 7. Możliwe jest także stosowanie ich jako uzupełnienia podstawowych zabezpieczeń przed wolumetrycznymi atakami DDoS, które są oferowane przez usługodawcę internetowego, o wykrywanie i eliminowanie zagrożeń w warstwie 7. W porównaniu do rozwiązań hostowanych stosowanie tych urządzeń wiąże się wprawdzie z koniecznością poczynienia inwestycji na początku, jednak w dłuższej perspektywie wydatki związane z ich eksploatacją są mniejsze niż ogólne koszty rozwiązań hostowanych, jeśli wziąć pod uwagę dodatkowe opłaty. Należy wybrać najlepsze rozwiązanie dostosowane do własnych potrzeb. Każde z wymienionych rozwiązań ma swoje wady i zalety, jednak niezależnie od wybranej strategii zabezpieczeń, nie należy zdawać się na zapewnienia stron trzecich o skuteczności zabezpieczeń przed atakami DDoS. Po wdrożeniu rozwiązania konieczne jest zweryfikowanie, czy centrum danych jest odpowiednio chronione i do tego właśnie potrzebny jest rzetelny program regularnych testów. Testowanie zabezpieczeń przed atakami DDoS Jak można sprawdzić, czy dach przecieka, jeśli nie pada? Nie sposób przewidzieć czasu wystąpienia i źródła ataku DDoS. Możliwe, że atak na twoje centrum danych już kiedyś nastąpił, a nawet jeśli nie, to zależy Ci na bezpieczeństwie usług sieciowych o znaczeniu krytycznym i nie chcesz czekać na pojawienie się zagrożenia. Niezależnie od tego czy korzystasz z aktywnej strategii zabezpieczeń przed atakami DDoS, czy szukasz odpowiedniego rozwiązania na rynku, czy tylko chcesz ustalić wpływ potencjalnego ataku DDoS na swoje centrum danych, potrzebujesz metody umożliwiającej przetestowanie luk w zabezpieczeniach, która sprawdzi się lepiej niż czekanie na pierwszą nawałnicę. 5

6 Planowanie testowania zabezpieczeń przed atakami DDoS Zanim podwiniesz rękawy i zabierzesz się za prace związane z testowaniem luk w zabezpieczeniach przed atakami DDoS, potrzebny będzie plan. Ataki DDoS ewoluowały, stając się jednymi z najbardziej zaawansowanych zagrożeń, w związku z czym proste przetestowanie kilku punktów w infrastrukturze jest niewystarczające. W dzisiejszych atakach nadal stosowanych jest wiele tradycyjnych metod wolumetrycznych służących do przeciążania portów i usług sieciowych, jednak celem wielu spośród zaawansowanych zagrożeń są złożone interakcje pomiędzy elementami sieci, przez co są one nie do wykrycia, chyba że testujący wie, gdzie szukać. Poniżej przedstawiono najważniejsze kwestie, które należy uwzględnić w planie testowania: Wyszczególnienie elementów infrastruktury łączących się z Internetem: Które elementy są narażone na ataki? Które z nich są najmniej odporne? Jaką przepustowością dysponujesz? To są obszary, które atakujący wykorzystają, żeby dostać się do środka, dlatego trzeba zadbać o poznanie wszystkich możliwych dróg oraz zasobów, które mogą się okazać wąskimi gardłami podczas ataków DDoS. Zidentyfikowanie najważniejszych systemów/zasobów: Które systemy mają decydującą rolę dla funkcjonowania firmy i powinny być chronione przed atakiem? Które z nich należy chronić najbardziej? Chodzi o wszystkie elementy znajdujące się za punktami wejścia, których działanie może zakłócić atak. Są to serwery sieciowe, bazy danych, serwery DNS oraz routery. Punkty wzajemnych połączeń/współzależności: Gdyby w wyniku ataku doszło do utraty serwera uwierzytelniania, ile innych systemów również przestałoby działać? Gdyby doszło do przeciążenia bazy danych, ile aplikacji byłoby zagrożonych? Obecnie stosowane, zaawansowane ataki są bardziej wyważone i ukierunkowane na usługi w warstwie aplikacji, a ponadto są projektowane z myślą o tym, by kaskadowo wypływać na wiele systemów składających się na centrum danych. Plany na przyszłość związane z centrum danych: Jakie elementy planujesz zmienić? Jak wpłynie to na stopień złożoności centrum danych i czy będą się z tym wiązać nowe zagrożenia? Dodanie nowego sprzętu lub usług wiąże się z wieloma znanymi i nieznanymi wyzwaniami. Im więcej z nich zostanie zidentyfikowanych z wyprzedzeniem, tym lepiej będzie można przygotować się do tych zmian. Po ustaleniu zakresu infrastruktury oraz priorytetów systemów o decydującym znaczeniu można przystąpić do opracowania planu działań taktycznych związanych z testowaniem tych elementów oraz ich reakcji na różnego rodzaju ataki DDoS. Zdefiniowanie przewidywanych prawidłowych obciążeń: Skuteczne planowanie zabezpieczeń DDoS należy zacząć od ustalenia wartości odniesienia dla reakcji infrastruktury na oczekiwane prawidłowe obciążenia. Szczególną uwagę należy poświęcić modelowaniu złożonych interakcji pomiędzy użytkownikami a usługami w ramach infrastruktury z uwzględnieniem skali oraz poziomu losowości występujących w rzeczywistych sieciach docelowych. Zmiany tych obciążeń w obliczu ataków DDoS oraz stopień narażenia, który jesteś w stanie zaakceptować, to elementy decydujące dla ustalenia, czy proponowane rozwiązania i strategie zabezpieczające są odpowiednie dla Twojej organizacji. Testowanie wolumetryczne: Tego rodzaju testy umożliwią ustalenie sposobu reakcji infrastruktury na wielkoskalowe ataki DDoS typu SYN, UDP czy SIP flood. Tym testom należy poddać wszystkie elementy infrastruktury o decydującym znaczeniu łączące się z Internetem, stosując przy tym największy zakres transmisji pakietowej, jaki można wygenerować w systemach testowych. Testowanie w warstwie 7.: Celem tych testów jest sprawdzenie odporności usług we wszystkich elementach infrastruktury sieciowej o decydującym znaczeniu, nawet jeśli te elementy nie łączą się bezpośrednio z Internetem. Większość ataków na warstwę 7. jest w stanie przedostać się przez wiele rozwiązań zabezpieczających oferowanych przez usługodawców internetowych, jak również przez hostowane rozwiązania zabezpieczające przed atakami DDoS, i rozprzestrzeniać się dalej w centrum danych. Testowanie w tym obszarze obejmuje ataki typu HTTP GET, HTTP POST oraz Slowloris, umożliwiające zablokowanie zasobów serwerowych przy użyciu niewielkiej liczby pakietów w porównaniu do ataków wolumetrycznych. Testowanie botnetów: Istnieje wiele testów, które umożliwiają wygenerowanie ataków wolumetrycznych, jak i ataków na warstwę 7., jednak ogólnie polegają one na fałszowaniu adresów IP i są dość łatwe do wykrycia za pomocą narzędzi dopasowujących do wzorca. W testowaniu botnetów symulowane są metody losowego generowania pakietów stosowane przez prawdziwe botnety w celu utrudnienia wykrycia ataku. Przeprowadzenie wszystkich tych testów umożliwi ocenę reakcji infrastruktury na tego rodzaju ataki oraz wpływu, jaki wywierają na prawidłowe obciążenia generowane przez użytkowników. Po wdrożeniu rozwiązania zabezpieczającego przed atakami DDoS warto dodatkowo przetestować dokładność i szybkość jego reakcji oraz skuteczność wykrywania zagrożeń i eliminowania ich. 6

7 Urządzenia FortiDDoS zabezpieczające przed atakami Firma Fortinet jako jedyna stosuje w swoich produktach zabezpieczających przed atakami DDoS w 100% niestandardowe podejście ASIC, eliminując koszty oraz zagrożenia związane z systemami procesorowymi lub systemami hybrydowymi CPU/ASIC. Procesor sieciowy FortiASIC-TP2 drugiej generacji umożliwia wykrywanie ataków DDoS na warstwy 3., 4. i 7. oraz eliminowanie ich skutków, zarówno w przypadku ruchu przychodzącego, jak i wychodzącego. W urządzeniu FortiDDoS do wykrywania zagrożeń zastosowano w 100% adaptacyjną metodę behawioralną. Polega ona na ustaleniu wartości podstawowych charakterystycznych dla normalnego funkcjonowania aplikacji, a następnie monitorowaniu ruchu i porównywaniu go z nimi. W przypadku ataku urządzenie FortiDDoS identyfikuje go jako anomalię i niezwłocznie podejmuje działania zapobiegawcze. Urządzenie nie musi czekać na aktualizację bazy sygnatur, dzięki czemu użytkownicy uzyskują ochronę przed znanymi atakami oraz atakami, które dopiero ujrzały światło dzienne. Niezrównana wydajność: dzięki zastosowaniu behawioralnych metod wykrywania oraz procesorów ASIC zabezpieczających przed atakami DDoS urządzenie FortiDDoS wykrywa więcej ataków DDoS, w tym zaawansowanych niewolumetrycznych ataków na warstwę aplikacji, i eliminuje ich skutki. Urządzenie realizuje te działania szybciej niż inne rozwiązania dostępne obecnie na rynku. Ochrona przed przeciążeniami związanymi z atakami DDoS: modele o przepustowości do 24 Gb/s w trybie full duplex oferują moc przerobową niezbędną do zapewnienia ochrony przed atakami DDoS na większą skalę. Funkcja oceny linii zapewnia maksymalną przepustowość przy pełnej prędkości. Łatwość obsługi i łatwość zarządzania: dzięki dostępnym w urządzeniu FortiDDoS zautomatyzowanym narzędziom konfiguracyjnym i wstępnie skonfigurowanym opcjom domyślnym wdrożenie w sieci rozwiązania zabezpieczającego przed atakami DDoS zajmuje zaledwie kilka minut. Intuicyjny graficzny interfejs użytkownika, pełny interfejs wiersza polecenia oraz zaawansowane funkcje raportowania to narzędzia ułatwiające zarządzanie zabezpieczeniami przed atakami DDoS oraz uzyskiwanie szczegółowych raportów i analiz dotyczących ataków. Najniższe koszty eksploatacji: średni koszt eksploatacji urządzeń FortiDDoS nie przekracza 50% kosztów eksploatacji podobnych urządzeń innych producentów. Najmniejsze opóźnienia: jednowarstwowy sprzętowy mechanizm wykrywania ataków DDoS oraz eliminowania ich skutków pozwala uzyskiwać opóźnienia nieprzekraczające 50 mikrosekund. Najskuteczniejszy mechanizm eliminowania fałszywych alarmów: zastosowane w urządzeniu FortiD- DoS metody krótkich, nieprzekraczających minuty okresów blokowania oraz ciągłej ponownej oceny ataków umożliwiają prawidłowe identyfikowanie i eliminowanie wyłącznie ruchu stanowiącego rzeczywiste zagrożenie. Test urządzenia FortiDDoS W ramach testów przeprowadzonych na platformie Ixia BreakingPoint urządzenie FortiDDoS poddano serii symulowanych podstawowych i zaawansowanych ataków DDoS, w tym opartych na usługach atakom DDoS na warstwę 7. typu GET/POST oraz SMTP Flood. Wykrywanie ataków DDoS przez urządzenie FortiDDoS Typ ataku SYN Flood SYN ACK Flood DNS Flood SMTP Flood SIP Flood Loic Slowpost Slowloris Sockstress Botnet TDL4 Botnet Evil Botnet Rudy Udaremnienie Urządzenie FortiDDoS wykryło niemal wszystkie typy ataków, od ataków SYN Flood po zaawansowane ataki na warstwę 7., takie jak HTTP Post czy Slowloris. Średni czas wykrywania ataków przez urządzenie FortiD- DoS wynosił 5 sekund od rozpoczęcia testowania. Stosowany w urządzeniu FortiDDoS adaptacyjny model behawioralny wielokrotnie umożliwił przepuszczanie prawidłowego ruchu sieciowego przy równoczesnej, ciągłej, ponownej ewaluacji ataków. 7

8 Metody testowania Testowanie centrum danych pod kątem gotowości na ataki DDoS odbywa się przy użyciu dwóch podstawowych metod z zastosowaniem programowych lub sprzętowych platform testowych. Narzędzia programowe: Istnieje wiele powszechnie dostępnych programowych metod testowania mechanizmów zabezpieczeń przed atakami DDoS, wśród których są również rozwiązania o otwartym kodzie źródłowym. Większość z nich to modyfikacje narzędzi stosowanych przez hakerów, symulujące podstawowe techniki ataków. Te rozwiązania nadają się do przeprowadzania podstawowych testów na niewielką skalę lub symulowania ataków wolumetrycznych. Uzyskanie miarodajnych wyników testowania zagrożeń w warstwie 7. wymaga zastosowania wielu narzędzi zaawansowanych. Narzędzia te umożliwiają symulowanie rozległych ataków polegających na zalewie fałszywych adresów, ale ich możliwości w zakresie badania ataków typu botnet są ograniczone. Platformy sprzętowe: W zaawansowanych testach centrum danych do generowania ruchu charakterystycznego dla ataków DDoS używane są sprzętowe platformy testowe, umożliwiające uzyskanie wielogigabitowych przepływów stosowanych zwykle przez hakerów. Są to dedykowane urządzenia testujące wszystkie najważniejsze typy ataków i generujące pakiety, które są praktycznie takie same, jak pakiety stosowane przez botnety. Dana organizacja może nabyć takie urządzenia, by regularnie przeprowadzać ocenę zabezpieczeń przed atakami DDoS lub skorzystać z usług oferowanych przez odpowiednich dostawców, którzy będą przeprowadzać testy w razie potrzeby lub w regularnych odstępach czasu. Rozwiązania programowe mogą być znacznie mniej kosztowne i zwykle sprawdzają się w mniejszych organizacjach. Operatorzy dużych centrów danych decydują się zwykle na regularne kontrole zabezpieczeń przed atakami DDoS przeprowadzane przez dostawców usług testowych, natomiast usługodawcy internetowi i firmy telekomunikacyjne dysponujące największymi centrami danych kupują zwykle dedykowany sprzęt do testów. Fakty i mity dotyczące ataków DDoS Wielu informatyków jest zdania, że zabezpieczenia zaimplementowane w nowoczesnych zaporach, przełącznikach i innych urządzeniach sieciowych zapewniają ochronę przed atakami DDoS lub błędnie zakładają, że usługodawca internetowy jest w stanie zapewnić 100% bezpieczeństwo. Poniżej przedstawiono kilka często spotykanych błędnych przekonań i faktów dotyczących ataków DDoS. Mój usługodawca internetowy zabezpiecza mnie przed atakami DDoS. Wielu usługodawców internetowych oraz wiele firm hostingowych stosuje po prostu blokowanie adresów IP zaatakowanych domen jako rozwiązanie problemów z atakami DDoS. Jest to skuteczne w przypadku wielu ataków wolumetrycznych na warstwy 3. i 4., jednak mniej objętościowe ataki na warstwę 7. z łatwością omijają te zabezpieczenia, przekazując do sieci zagrożenia ukierunkowane na warstwę aplikacji. Natężenie najskuteczniejszych ataków nie przekracza 1 Gb/s, natomiast 80% spośród wszystkich ataków DDoS nie przekracza 50 Gb/s. Usługodawca internetowy może pomóc w powstrzymaniu sieciowych ataków wolumetrycznych typu flood, jednak w centrach danych potrzebne są dodatkowe zabezpieczenia warstwy 7. Panuje również błędne przekonanie o tym, że usługodawca internetowy pomoże w wyeliminowaniu źródła ataku. Większość usługodawców internetowych jest zbyt zajęta i obowiązują ich ścisłe procedury biurokratyczne związane z kontaktowaniem się między sobą. Typowy czas reakcji usługodawcy internetowego dotyczący ustalenia źródeł ataków DDoS liczony jest zwykle w dniach i tygodniach. To przydarza się tylko innym. Większość specjalistów ds. obsługi sieci i zabezpieczeń zna wyłącznie ze słyszenia ataki DDoS, które przydarzają się w innych organizacjach. Są przekonani, że ich organizacja nie ma wrogów lub nie widzą powodów, dla których mogłaby stać się celem ataku. W rzeczywistości ich sposób postrzegania czynników ryzyka oraz podatności na ataki jest często błędny, ponieważ sama obecność w Internecie sprawia, że organizacja może stać się celem ataku, nawet omyłkowo. Serwerowe zabezpieczenia DDoS załatwiają sprawę. Wielu techników sądzi, że dostosowanie kompilacji kodu jądra systemu, ustawienie kilku opcji na serwerze Apache, zainstalowanie modułu mod_dosevasive oraz zastosowanie polecenia iptables rozwiązuje problemy związane z atakami DDoS. W rzeczywistości większość serwerów nie jest w stanie poradzić sobie z atakami DDoS. W obliczu większości ataków DDoS o średnim natężeniu procesor serwera jest zbyt przeciążony, by moduły Apache czy polecenia systemu Linux były w stanie przeciwdziałać skutkom zdarzenia. To jest niezgodne z prawem. Trzeba zawiadomić policję! Zgadza się, ataki DDoS są niezgodne z prawem, jednak większość organów ochrony porządku publicznego wszczyna postępowanie tylko w przypadku znaczących ataków (od 10 Gb/s wzwyż) na duże firmy lub instytucje, takie jak banki, agencje rządowe czy znaczące korporacje międzynarodowe. Osoba zgłaszająca atak najprawdopodobniej usłyszy uprzejmą informację o tym, że problem należy rozwiązać przy współpracy z usługodawcą internetowym lub przeprowadzić prywatne dochodzenie. Ochronę przed atakami DDoS zapewniają routery i przełączniki. Wprawdzie sprzęt sieciowy może uzyskiwać dostęp do list kontroli dostępu (ACL), które umożliwiają blokowanie zagrożeń typu DDoS, jednak atakujący szybko modyfikują swoje działania. Średnio sprawny haker przy odrobinie samozaparcia jest w stanie z łatwością obejść listy ACL w ciągu kilku minut. Dedykowane urządzenie zabezpieczające przed atakami DDoS również ulegnie przeciążeniu. Wiele osób zastanawia się, czy kupowanie specjalistycznych urządzeń zabezpieczających przed atakami DDoS ma sens. Bez tego rodzaju sprzętu serwery są całkowicie bezbronne, nawet w przypadku zwyczajnych ataków. W nowszych urządzeniach dostępnych na rynku nadmiarowa przepustowość, którą można wykorzystać do ochrony przed większymi atakami przekracza 20 Gb/s. W połączeniu z zabezpieczeniami przed atakami DDoS stosowanymi przez usługodawcę internetowego takie rozwiązanie umożliwia eliminowanie skutków ataków wolumetrycznych oraz zaawansowanych ataków na warstwę

9 Uzyskane wyniki ujawnią, na ile skuteczne są stosowane zabezpieczenia i co trzeba zrobić, by rozwiązać problemy zaobserwowane w danej sieci. Jeśli korzystasz już z rozwiązania zabezpieczającego przed atakami DDoS, będziesz w stanie zweryfikować zapewnienia dostawcy oraz sprawdzić, czy dostarczone rozwiązanie działa zgodnie z przedstawionymi specyfikacjami. Aby przedsiębiorstwa mogły korzystać z najwartościowszych rozwiązań, zabezpieczenia przed zaawansowanymi atakami DDoS muszą być poddawane proaktywnym testom z zastosowaniem realistycznych scenariuszy ataku w odpowiednim czasie. Strategiczne podejście firmy Fortinet do optymalizacji wydajności rozwiązania FortiDDoS wraz z upływem czasu zapewnia klientom stałą ochronę oraz umożliwia skuteczniejsze przewidywanie zmian w dynamicznie zmieniającym się krajobrazie ataków DDoS oraz reagowanie na te zmiany. Fred Kost Wiceprezes ds. rozwiązań zabezpieczających, Ixia Testowanie zabezpieczeń przed atakami DDoS na platformie BreakingPoint Konfrontacja testowej infrastruktury informatycznej z najnowszymi atakami DoS/DDoS Intensywność, częstotliwość oraz złożoność ataków Distributed Denial of Service (DDoS, rozproszona odmowa usługi) ukierunkowanych na firmy oraz instytucje rządowe stale wzrasta. Realizowane przy użyciu botnetów ataki wolumetryczne, nowsze ataki na warstwę aplikacji oraz ataki hybrydowe będące połączeniem różnego typu ataków DDoS stanowią dla różnych organizacji codzienne wyzwanie. Jak przetestować mechanizmy zabezpieczające sieci w warunkach rzeczywistych, aby umożliwić złagodzenie wpływu ataków DDoS na sieć, zapewnić możliwość korzystania z zasobów przez zwykłych użytkowników lub nawet udaremnić takie ataki? Dzięki rozwiązaniom Ixia BreakingPoint Actionable Security Intelligence (ASI) można szybko i z łatwością sprawdzić skuteczność działania zapór nowej generacji, systemów IPS, urządzeń zabezpieczających przed atakami DDoS oraz innych urządzeń w kontekście rozpoznawania i blokowania szkodliwego ruchu przy zachowaniu skali i złożoności odpowiedniej dla danej infrastruktury. Rozwiązania Ixia do testowania zabezpieczeń przed atakami DDoS Poprzez połączenie ruchu generowanego przez ataki DoS oraz DDoS z rzeczywistym ruchem generowanym w danej sieci przez aplikacje, a także z ruchem nieprawidłowym i ruchem generowanym przez programy wykorzystujące luki, rozwiązania testowe Ixia BreakingPoint DoS zapewniają niezbędne informacje na temat wpływu ataków DDoS na aplikacje, poszczególne urządzenia, sieci oraz centra danych. Rozwiązania testowe Ixia BreakingPoint DDoS oraz DoS umożliwiają: poznanie wpływu poszczególnych ataków DDoS na usługi sieciowe, czasy reakcji aplikacji i wrażenia użytkowników, a także zapewnienie ciągłego działania aplikacji w czasie trwania ataku; zweryfikowanie, czy urządzenia zabezpieczające są w stanie wykryć ruch związany z atakiem DDoS i zatrzymać go; uzyskanie rzetelnych informacji na temat liczby sesji, którą dane urządzenie jest w stanie przetrwać, a także sprawdzenie, kiedy należy wymienić urządzenie na nowsze; sprawdzenie, czy polityki blokowania, kształtowania i przekierowywania ruchu działają zgodnie z zamierzeniami; ustalenie granicznych parametrów skalowania mechanizmów zabezpieczających infrastruktury. 9

10 Podsumowanie Ataki DDoS są przeprowadzane coraz częściej na niemal wszystkie organizacje, niezależnie od ich wielkości. Potencjalne zagrożenia i natężenia generowanego ruchu rosną wraz ze wzrostem liczby urządzeń łączących się z Internetem, w tym urządzeń mobilnych. Właściciele infrastruktur sieciowych muszą liczyć się z tym, że prawdopodobieństwo ataku jest bardzo wysokie. Ciągły rozwój technologii ataków DDoS wymaga od organizacji wprowadzenia zmian, w ramach których konieczne jest zastosowanie bardziej perspektywicznych i proaktywnych mechanizmów obronnych zapewniających bezpieczeństwo sieci oraz usług w warstwie aplikacji. Mechanizmy zabezpieczające przed atakami DDoS stosowane przez usługodawców internetowych nie są wystarczające w obliczu najnowszych ataków i niezbędne jest podwyższenie poziomu ochrony przed atakami DDoS w centrach danych, aby zapewnić ochronę przed atakami na warstwę 7. Na rynku oferowanych jest obecnie wiele różnego typu rozwiązań zabezpieczających przed atakami DDoS. Należy wybrać rozwiązanie zapewniając ochronę przed atakami podstawowymi, jak i zaawansowanymi atakami DDoS na warstwę 7. Przewidywalnymi i ekonomicznymi rozwiązaniami zapewniającymi pełną ochronę centrum danych przed atakami DDoS w warstwach 3., 4. oraz 7. są urządzenia zabezpieczające. W niektórych modelach, np. FortiDDoS, dostępne są funkcje zaawansowane, takie jak ocena linii pod kątem zapobiegania przeciążeniom, a także funkcje wykrywania w 100% oparte na metodach behawioralnych, co eliminuje konieczność aktualizowania sygnatur. Zrozumienie wpływu ewentualnych ataków DDoS na centrum danych jest niezbędne, niezależnie od tego czy rozwiązanie zabezpieczające przed atakami DDoS zostało już wdrożone, czy nie. Jedynym sposobem na zweryfikowanie mechanizmów zabezpieczających jest regularne przeprowadzanie wszechstronnych testów zabezpieczeń przed atakami DDoS. Większość menedżerów firmowych centrów danych oraz centrów danych usługodawców internetowych wymaga kompleksowego sprzętowego rozwiązania do testowania. 10

11 Opracowanie Opracowanie Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) Warszawa Polska ŚWIATOWA SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA Stany Zjednoczone Tel.: BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: BIURO SPRZEDAŻY REGION APAC 300 Beach Road The Concourse Singapur Tel.: BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P Del. Alvaro Obregón México D.F. Tel.: (55) Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi firmy Fortinet, Inc. Pozostałe nazwy związane z firmą Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi i/lub zastrzeżonymi znakami towarowymi firmy Fortinet. Wszelkie inne nazwy produktów lub firm mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, zatem faktyczna wydajność może być inna. Ostateczne parametry wydajności mogą ulec zmianie pod wpływem zmiennych sieciowych, różnorodnych środowisk sieciowych i innych uwarunkowań. Żadne ze stwierdzeń zawartych w niniejszym dokumencie nie stanowi wiążącego zobowiązania ze strony firmy Fortinet, a firma Fortinet nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, z wyjątkiem sytuacji, gdy firma Fortinet zawrze wiążącą umowę z kupującym, podpisaną przez głównego radcę prawnego firmy Fortinet, w której złoży wyraźną gwarancję, że określony produkt będzie działał zgodnie z wymienionymi w takim dokumencie parametrami wydajności. W celu uniknięcia niejasności dowolna tego typu gwarancja będzie ograniczona do działania w takich samych warunkach idealnych, w jakich firma Fortinet przeprowadziła wewnętrzne testy laboratoryjne. Firma Fortinet wyłącza w całości wszelkie zobowiązania, interpretacje i gwarancje związane z niniejszym dokumentem, zarówno wyraźne, jak i dorozumiane. Firma Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia i dowolnego innego korygowania niniejszej publikacji bez uprzedzenia, a obowiązywać będzie najnowsza wersja publikacji.