Bezpieczeństwo sieci i abonentów Kamil Głuch Solution Engineer, VECTOR
Agenda Zagrożenia podział & zapobieganie NGFW Next Generation Firewall AntiDDoS Prevention System
Zagrożenia - podział & zapobieganie głośne przypadki ataków w 2014 roku każdego dnia w Polsce było infekowanych ponad 280 000 komputerów 4 z 10 ataków dotyczyły bankowości elektronicznej (wykradanie loginów, haseł, numerów kart) liczne ataki na instytucje i firmy w celu wykradzenia ważnych danych (np.: GPW) ataki DDoS na strony rządowe, np.: prezydent.pl & gpw.pl fałszywe e-faktury rozsyłane via mail (np. do użytkowników sieci Play) wykorzystanie luk heartbleed & shellshock, włamania i kradzieże na giełdach bitcoin, włamanie i kradzież danych z Sony Pictures
Zagrożenia - podział & zapobieganie Użytkownicy sieci: zewnętrzni: użytkownicy domowi, biznes wewnętrzni: pracownicy Każdy typ użytkownika: jest podatny w mniejszym lub większym stopniu na każdy rodzaj ataku inaczej odczuwa skutki różnego typu ataków/zagrożeń Najlepszą metodą zapobiegania wszelkim atakom jest zwiększanie poziomu wiedzy użytkowników.
Zagrożenia - podział & zapobieganie malware wszelkiego rodzaju złośliwe oprogramowanie uszkodzenie systemu (SW/HW) wykradanie danych użytkowników wyświetlanie niepożądanych treści przejęcie kontroli nad CPE propagacja poprzez różne protokoły Zapobieganie: rozwiązania sprzętowe lub software owe systemy antywirus/anty-malware/itd...
Zagrożenia - podział & zapobieganie spam niepożądane wiadomości elektroniczne zabierają zasoby/czas mogą służyć m.in. do dystrybucji malware posiadają wiele źródeł (są trudne do zidentyfikowania) propagacja głównie via email Zapobieganie: proste filtry/listy antyspamowe w programach pocztowych dedykowane systemy antyspamowe (rozwiązania sprzętowe lub software owe)
Zagrożenia - podział & zapobieganie WWW jako źródło malware... złośliwe skrypty na stronach specjalnie spreparowane strony Zapobieganie: blokowanie dostępu do podejrzanych stron/domen WWW filtrowanie zawartości stron pod kątem złośliwego kodu skanowanie/filtrowanie ruchu WWW live
Zagrożenia podział & zapobieganie wyciek danych wykradanie poufnych informacji wskutek zaniedbań użytkownika (np.: wysyłanie informacji via mail, komunikator, itd.) dane są przetrzymywane na zainfekowanych nośnikach poprzez działania zewnętrzne (np.: podsłuchanie komunikacji pomiędzy urządzeniami w sieci, poprzez przejęcie nad nimi kontroli, itd...) Zapobieganie: szyfrowanie połączeń (VPN) skanowanie nośników pod kątem spyware/malware Intrusion Prevention System (IPS) filtracja danych (aplikacje, poczta) blokowanie przesyłania plików (różne kryteria, np.: załączniki w mailach)
Zagrożenia podział & zapobieganie włamania/hacking wykradanie danych, przejmowanie kontroli nad urządzeniami kradzież danych uszkodzenie CPE przejęcie kontroli nad CPE w celu: kontroli nad dostępnymi zasobami zamiana CPE w zombie w celu ataku na inne maszyny Zapobieganie: firewall Intrusion Prevention System (IPS)
Zagrożenia podział & zapobieganie ataki DDoS przerwanie świadczenia usług rodzaje ataków volume based attacks wykorzystują zasoby sieciowe urządzeń (urządzenie jest niedostępne) wysycenie 100% dostępnego pasma ofiary mierzone w bps protocol based attacks wykorzystują zasoby systemu i blokują przekazywanie odpowiedzi na poprawne zapytania zajęcie 100% zasobów ofiary mierzone w pps application layer attacks wykorzystują błędy w oprogramowaniu (exploits) do zablokowania maszyny lub przejęcia nad nią kontroli
Zagrożenia podział & zapobieganie ataki DDoS przerwanie świadczenia usług Kilka przykładów największych ataków DDoS (nie ujawniono danych ofiar ): 86 mln zapytań (peak) od 100 000 hostów do strony WWW klienta, atak trwał 39 godzin (2013 rok, USA) największy atak (volume): 400 Gbps (2014 rok) najdłuższy atak: ok. 81 dni (2011 rok) Zapobieganie: systemy wykrywające niepożądane zdarzenia proste systemy chroniące przed konkretnymi typami ataków dedykowane rozwiązania sprzętowe zapobiegające większości ataków DDoS all-in-one (np.: NGFW Next Generation Firewalls) stand alone (np.: dedykowane systemy AntiDDoS)
NGFW - Next Generation Firewall Security kiedyś : osobne elementy funkcjonalne: firewall (dedykowany hardware / Linux + IP tables) systemy Anty-Virus / Anty-spam / Anty-malware urządzenia dedykowane dla obsługi połączeń szyfrowanych (VPN) Firewall e: 1st Gen (1988 rok).: prosty packet filter OSI: 1-3 proste zasady filtrowania: src/dst addr, protocol, port numer, TCP/UDP 2nd Gen (1990 rok).: stateful firewall OSI: 1-4 1st Gen + dodatkowo analiza pakietów pod kątem ich przynależności : czy jest to nowe czy istniejące połączenie, czy pakiet w ogóle należy do jakiegokolwiek połączenia
NGFW - Next Generation Firewall 3rd Gen (1994 rok).: firewall działający w warstwie aplikacji ( application layer firewall ) OSI 1-7 rozumienie i rozróżnianie różnych protokołów i aplikacji (FTP, HTTP, DNS). wykrywanie niepożądanych aplikacji/protokołów na określonych portach Next Generation Firewall (2012 rok): application layer firewall wzbogacony o: Unified Threat Management (UTM): IPS, antivirus, antispam, web/content filtering QoS/bandwidth management obsługę połączeń szyfrowanych ochronę przed atakami DDoS obsługę protokołów routingu (IPv4 & IPv6) obsługę NAT NGFW = all-in-one security box
NGFW - Next Generation Firewall HUAWEI USG series 63xx: małe sieci wydajność firewall do 8 Gbps 66xx: średnie i duże sieci wydajność firewall do 40 Gbps 95xx: duże sieci i Data Center wydajność firewall do 960* Gbps * nowa wersja softu dostępna od maja, podane zapowiadane parametry techniczne
NGFW - Next Generation Firewall HUAWEI USG series to: 6-wymiarowe rozpoznawanie zagrożeń ACTUAL : Application, Content, Time, User, Attack, Location ochrona przed atakami DDoS automatyczna synchronizacja z zewnętrzną bazą zagrożeń, zawierającą obecnie m.in.: ponad 6 milionów definicji wirusów, malware u, trojanów itd... ponad 3500 sygnatur ataków ponad 85 milionów opisanych URL z podziałem na ponad 80 podkategorii ponad 120 różnych typów plików (doc, xls, PDF, ppt, zip, rar, itd...) ponad 6000 definicji różnych aplikacji (podzielonych na 5 kategorii i 33 podkategorie) definicje najnowszych znanych zero-day attacks bazy te są stale i na bieżąco aktualizowane bardzo wysoka wydajność: architektura wieloprocesorowa analiza ruchu pod kątem zagrożeń odbywa się tu tylko raz dla wszystkich modułów bezpieczeństwa
NGFW - Next Generation Firewall HUAWEI USG series oferuje: pełną ochronę sieci obsługę VPN : IPSec VPN, SSL VPN, L2TP VPN, MPLS VPN, GRE obsługę IPv4 & IPv6 obsługę NAT współpracę z: RADIUS, HWTACACS, LDAP, itd... wsparcie dla różnorodnych protokołów routingu: IPv4, m.in.: static routing, RIP, OSPF, BGP, IS-IS,... IPv6, m.in: RIPng, OSPFv3, BGP4+, IPv6 IS-IS,... generowanie graficznych raportów per: user, application, content, time, traffic, threat, and URL i wiele więcej...
AntiDDoS Prevention System ataki DDoS kiedyś: źródłem były pojedyncze maszyny (DoS) głównie skupiały się na sieciach operatorskich i ich infrastrukturze miały na celu wysycenie łączy ofiary ataki DDoS dzisiaj: źródłem są farmy maszyn liczone w dziesiątkach lub setkach tysięcy urządzeń skupiają się głównie na aplikacjach i usługach (portale, sklepy online, banki, gry online, DNS, email servers, etc...) zużywają mniej pasma i zasobów, ale za to są znacznie bardziej złożone i trudniejsze do wykrycia
AntiDDoS Prevention System HUAWEI AntiDDoS series AntiDDoS1000: małe i średnie sieci wydajność do 5 Gbps AntiDDoS8000: duże sieci i Data Center wydajność do 960 Gbps
AntiDDoS Prevention System HUAWEI AntiDDoS series Skuteczność rozwiązania jest gwarantowana przez: wydajną, wieloprocesorową architekturę stosowanie najnowszych mechanizmów zwalczania zagrożeń - m.in.: mechanizm reputacji wielopoziomowa filtracja ruchu monitorowanie sesji zdolność do samouczenia się dostęp do zewnętrznych, aktualizowanych na bieżąco bazy danych z aktualnymi definicjami ataków/zagrożeń
AntiDDoS Prevention System HUAWEI AntiDDoS series mechanizm reputacji analiza szkodliwości odbywa się na podstawie danych z 12 światowych data center, które dziennie: analizują ponad 12 miliardów zapytań śledzą adresy IP i działalność 5 milionów znanych, najbardziej aktywnych komputerów zombie aktualizują na bieżąco informacje o szkodliwości analizowanego ruchu i przesyłają wyniki do baz danych samouczenie urządzenie analizuje na bieżąco obsługiwany ruch i na tej podstawie jest w stanie wykryć wszelkie anomalie (np.: nagły przyrost zapytań do danego adresu) oraz podjąć odpowiednie działania wielopoziomowa filtracja ruchu urządzenie analizuje wielopoziomowo obsługiwany ruch pod kątem różnorodnych zagrożeń
AntiDDoS Prevention System Kilka popularnych ataków DDoS Rodzaj ataku Protocol vulnerability Transport-layer attack Scanning and sniffing DNS Web VoIP Zombie/Trojan horse/worm Przykład ataku IP spoofing, LAND, Fraggle, Smurf, WinNuke, Ping of Death, Tear Drop, IP Option, IP fragment control packet, TCP label validity check, large ICMP control packet, ICMP redirect control packet, ICMP unreachable control packet attacks SYN flood, ACK flood, SYN-ACK flood, FIN/RST flood, TCP fragment flood, UDP flood, UDP fragment flood, ICMP flood attacks port scanning, address scanning, Tracert control packet, IP Option, IP timestamp, IP routing record attacks forged source DNS query flood attacks, real source DNS query flood attacks, DNS reply flood attacks, DNS cache poisoning attacks, DNS protocol vulnerability attacks. HTTP get/post flood attacks, CC attacks, HTTP slow header/post attacks, HTTPS flood attacks, SSL DoS/DDoS attacks, TCP connection attacks, Sockstress attacks, TCP retransmission attacks, TCP null connection attacks SIP flood attacks Defense against over 200 zombies, Trojan horses, and worms, such as LOIC, HOIC, Slowloris, Pyloris, HttpDosTool, HTTP DoS tool, Slowhttptest, and THC SSL DOS
Kamil Głuch Solution Engineer STD k.gluch@vector.pl 602 210 204 Dziękuję za uwagę