Атаки DDoS. Часть 5. Основные принципы выбора системы защиты от DDoS-атак::БИТ 09.2015

Поиск по сайту

bit.samag.ru

Web

Рассылка Subscribe.ru

подписаться письмом

Вход в систему


Запомнить меня
Регистрация Забыли пароль?

О журнале

Ваше мнение

Статьи

Общие тенденции и тренды

Архив

Мероприятия

Календарь мероприятий

октябрь

2024

показать все

Новости партнеров

21.10.2024

Киберполигон для профессионалов: «Газинформсервис» подвёл итоги «Киберарены»

18.10.2024

«ГенИИ» провели вебинар по использованию технологий ИИ в промышленности

17.10.2024

Дискуссия «Опыт практической реализации проектов» прошла в Москве 9 октября

17.10.2024

7000 ежесекундных атак с использованием паролей были обрушены на пользователей Windows

15.10.2024

Победители конкурса ИТ-проектов «Национальная премия в сфере цифровизации КулибИТ-2024. IV-сезон»

показать все

Статьи

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

28.09.2024

Чем страшен ИИ, и с чем его едят

18.09.2024

Готов ли рынок АСУ ТП к переменам?

12.09.2024

Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

18.04.2024

5 способов повысить безопасность электронной подписи

18.04.2024

Как искусственный интеллект изменит экономику

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

показать все

Атаки DDoS. Часть 5. Основные принципы выбора системы защиты от DDoS-атак

Главная / Архив номеров / 2015 / Выпуск №9 (52) / Атаки DDoS. Часть 5. Основные принципы выбора системы защиты от DDoS-атак

Рубрика: Безопасность

Леонид Шапиро, Архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, shapiro_leonid@yahoo.com

Атаки DDoS
Часть 5. Основные принципы выбора системы защиты от DDoS-атак

Как выбрать эффективное и комплексное решение по борьбе с DoS/DDoS-атаками? На что следует обратить внимание?

Чем больше оптимизма и уверенности в победе, тем тяжелее катастрофа для того, кто уже посчитал трудности преодоленными, а противника разбитым.

Карл Густав Маннергейм

В предыдущих статьях этого цикла про DDoS [1-4] мы познакомились с характерными типами атак DDoS и выяснили, с какими рисками могут столкнуться компании, работающие в сети, независимо от сферы деятельности. Мы увидели всю опасность атак, разобрались с рисками, которые DDoS приносит современному бизнесу.

Очевидно, что недооценивать противника нельзя. Деструктивные действия злоумышленников могут повлечь существенное замедление работы или даже ее полную остановку. Атака может осуществляться как извне, так и изнутри организации. Организация атаки не требует глубоких знаний и существенных финансовых затрат. Многие атаки базируются не только на уязвимостях систем, но и на их штатном «by design» поведении.

DDoS на сегодняшний день не является чем-то необычным и, к сожалению, повсеместно используется. Здесь речь может идти и об экономических, и о политических целях, это может быть месть уволенного сотрудника своей организации, хактивистская деятельность, нечестная конкуренция и т.д.

Следовательно, говорить о безопасности без внедрения мер противодействия атакам не приходится.

Цели обороны

Правило ведения войны заключается в том, чтобы не полагаться на то, что противник не придет, а полагаться на то, с чем я могу его встретить; не полагаться на то, что он не нападет, а полагаться на то, что я сделаю его нападение на себя невозможным для него.

Сунь Цзы

Теперь настал момент определить, каким образом можно защититься от DDoS, и рассмотреть подходы к выбору системы противодействия.

В первую очередь надо понимать, что само по себе отражение атаки не так уж и важно. В конце концов, отключив от сети атакуемый ресурс, мы полностью ее отразим. Будет ли такой способ эффективным? С точки зрения отражения – да. Ведь атаковать больше некого. А вот с точки зрения пользователей... Конечно нет, поскольку подключиться и работать они больше не смогут. То есть получается, что негативного воздействия уже нет, однако цель злоумышленника достигнута.

Нередко такой способ борьбы с DDoS используют поставщики услуг хостинга. Для них важнее доступность канала связи, и если на кого-то из их клиентов осуществляется атака, то проще отключить одного, чтобы дать работать остальным.

Таким образом, ключевым аспектом защиты является обеспечение бесперебойной работы без снижения производительности всех легитимных клиентов, независимо от того, осуществляется атака или нет.

Выявление всех угроз

Исход сражения в целом состоит из суммы результатов всех частных боев.

Карл фон Клаузевиц

Классификация современных DDoS-атак исходя из схемы, предложенной компанией Radware [5], как мы
видели из [2], выглядит так:

Network floods – приводящие к исчерпанию ресурсов атакуемой системы или полосы пропускания канала.
Атаки, направленные на серверные ресурсы.
Атаки на ресурсы приложений. Довольно часто встречаются в последнее время, причем это не только воздействие на HTTP, но и HTTPS, DNS, VOIP, SMTP, FTP и другие прикладные протоколы.
Сканирование. Разведка, позволяющая выяснить уязвимости атакуемой системы.
Медленные атаки малого объема, так называемые Low and Slow. Этот вариант представляет наибольшую опасность в силу малой заметности и продолжительного времени нарастания зловредного воздействия. Обычно здесь речь идет о воздействии на приложения и иногда на серверные ресурсы.
Сложные атаки на веб-приложения. Эти механизмы используют уязвимости в веб-приложениях, которые с избытком предоставляют разработчики.
Атаки под SSL – подразумевается, что злоумышленник может маскировать свои деструктивные действия внутри SSL-трафика.

Конечно, не все в этом списке является DDoS исходя из его определения, например, атаки на веб-приложения и сканирование, тем не менее я предлагаю рассматривать это в комплексе и, выбирая систему защиты, ориентироваться на полный список существующих внешних угроз. Только в этом случае удастся получить эффективную систему противодействия.

Быстрота реакции на вторжение

Вдохновение – это быстро сделанный расчет.

Наполеон Бонапарт

Другой важной характеристикой выбора средств противодействия DDoS-атакам является их SLA.

Если посмотреть на контракты, которые предлагает ряд поставщиков облачных решений по защите от DDoS, нетрудно заметить, что время первой реакции на запрос от клиента может составлять более получаса.

Получается, что заказчик сам каким-то образом должен определить, что он находится под атакой, сообщить об этом своему провайдеру услуг, после этого пройдет минимум 30 минут, прежде чем последует какая-то реакция.

Злоумышленнику не понадобится много времени, чтобы изменить вектор (тип) атаки, у него на это уйдет всего несколько минут. В то время как при исполь-зовании только «ручного» или полуавтоматического способа отражения потребуется существенно больше времени, чтобы проанализировать трафик и написать сигнатуру для блокировки зловредного трафика или выполнить какие-то иные действия по обороне. За это время атака может быть изменена многократно, и получается, что происходит подготовка к уже прошедшей войне.

Выбирая средство борьбы с DDoS-атаками, имеет смысл рассматривать тех поставщиков, которые могут дополнительно предложить облачный сервис очистки

До изобретения пулемета отражение атаки кавалерии на пехоту противника требовало перестроения в каре, что в четыре раза уменьшало плотность огня и повышало уязвимость от артиллерии. Не хватало мобильности и производительности. Быстрое перестроение на поле боя –
непростая задача, производительность оборонительного огня могла быть и нередко была недостаточной, что приводило к полному разгрому.

То же самое касается обороны от DDoS. Система отражения должна срабатывать даже не за минуты, а за секунды. Только в этом случае можно говорить о ее эффективности.

Обнаружение противника

Война состоит из непредусмотренных событий.

Наполеон Бонапарт

Как мы уже имели возможность увидеть, важно обеспечить беспроблемную работу «правильных» пользователей, то есть надо отбросить зловредный трафик, пропустив легитимный. Идентификация «неправильных» пакетов является самой важной задачей, но вот как отличить «правильный» от «неправильного».

Просто резкий рост объема трафика и количества пакетов далеко не всегда является следствием DDoS. Причиной может быть маркетинговая политика компании, благодаря которой на сайт привлечены множество новых клиентов. Следовательно, рост трафика не говорит об атаке. Стало быть, надо уметь идентифицировать именно негативную составляющую во всем потоке информации.

Когда схема атаки и ее инструменты известны, эту проблему помогают решить системы предотвращения вторжений (Intrusion Prevention System, IPS).

Используя статические сигнатуры, которые обязательно должны своевременно обновляться, они позволят отразить «вредные» пакеты, но подобное решение не будет эффективным против так называемых атак «нулевого дня», когда атака неизвестна и статической сигнатуры еще нет.

Помочь в решении этой проблемы могут системы поведенческого анализа, позволяющие проанализировать трафик, выявить атаку и построить динамическую сигнатуру, которая будет использована для отражения атаки.

Таким образом, система должна обеспечить возможность отличить плохое от хорошего и сделать это быстро и эффективно. Для этого понадобится не только модуль IPS, но и модуль поведенческого анализа. Примером удачного решения, содержащего данный компонент, является Radware DefensePro [6].

Говоря о защите от DDoS инфраструктуры компании, не следует забывать о таком аспекте, как защита канала связи. Атака может быть направлена на исчерпание пропускной способности.

В этой ситуации программно-аппаратный комплекс защиты, установленный непосредственно в ЦОД или перед пограничным маршрутизатором, может оказаться недостаточно эффективным. Решить проблему поможет перенаправление трафика в центр очистки, который, обладая куда большей мощностью и пропускной способностью, позволит отразить такие атаки, то есть пограничное устройство защиты должно иметь возможность уведомления вышестоящего оператора либо облачного сервиса об атаке для перенаправления трафика в центр очистки до того, как канал связи станет узким местом.

Следовательно, выбирая средство борьбы с DDoS-атаками, имеет смысл рассматривать тех поставщиков, которые могут дополнительно предложить облачный сервис очистки.

Еще одной проблемой является маскировка атаки внутри зашифрованного трафика. На сегодняшний день рост SSL-трафика в интернете слишком значителен, если эта тенденция сохранится, то уже в ближайшее время SSL может составить до 60% от общего количества. А значит, и количество атак внутри SSL возрастет. Выявить атаку внутри зашифрованных пакетов очень важно, при этом далеко не всегда расшифровка допустима на границе сети, где как раз и происходит основная работа по отражению DDoS-атак.

Следовательно, выбираемое решение по защите должно обеспечить выявление таких воздействий, не прибегая к постоянной расшифровке трафика на пограничном устройстве, то есть вне периметра сети организации. Хорошим примером такого решения является технология, предложенная компанией Radware [7], которая не требует расшифровки трафика на устройствах отражения атак и установки на них приватных ключей для расшифровки SSL.

Контрразведка

Пользование шпионами – самое существенное на войне; это та опора, полагаясь на которую, действует армия.

Сунь Цзы

Поиск уязвимостей в системе, которые могут быть использованы для подготовки к DDoS-атаке, иначе говоря, разведка – одна из предварительных активностей злоумышленника. Здесь речь, разумеется, идет о сканировании. Некоторые из поставщиков систем противодействия DDoS не рассматривают сканирование в качестве атаки и не уделяют ему должного внимания, мотивируя это отсутствием непосредственного ущерба. Тем не менее противостоять сканированию необходимо, чтобы избежать получения злоумышленником информации о защищаемой инфраструктуре. По сути своей, это ни что иное как противодействие разведке противника, иначе говоря, контрразведка.

Следовательно, система противодействия DDoS-атакам должна обладать модулем, который позволит обеспечить борьбу со сканированием.

Тактические приемы

Если знаешь противника и знаешь себя, сражайся хоть сто раз, опасности не будет; если знаешь себя, а его не знаешь, один раз победишь, другой раз потерпишь поражение; если не знаешь ни себя, ни его, каждый раз, когда будешь сражаться, будешь терпеть поражение.

Сунь Цзы

Представить себе какую-то компанию, не имеющую своего представительства в сети, уже невозможно. Растет количество веб-серверов. Появилось большое количество сложных прикладных атак, направленных именно на веб-серверы и сопутствующие им сервисы, например, SQL. Это не DDoS в чистом виде, а атаки на уязвимости систем, такие как сценарии межсайтового взаимодействия (кросс-сайт скриптинг), SQL-инъекция, подбор пароля и других атак из OWASP TOP 10 [8].

Разумеется, эти атаки крайне опасны, поскольку могут дать возможность не только вывести систему из строя, но и скомпрометировать ее. Для противодействия атакам используется модуль борьбы со сложными веб-атаками, или WEB Application Firewall (WAF). И если мы хотим построить интегрированное решение, то он обязательно должен присутствовать. Нельзя забывать о своевременном обновлении систем и прикладного программного обеспечения внутри защищаемой инфраструктуры, уделять внимание безопасности при разработке веб-приложений.

Модуль WAF, в свою очередь, должен работать не только со статическими средствами защиты, но и
обладать возможностью обучения на «живом» трафике и генерации динамических сигнатур, позволяющих противостоять не только известным атакам, но и атакам «нулевого» дня.

На сегодняшний день существует довольно много предложений на рынке WAF. Крайне важной является возможность интеграции этого модуля в общую структуру обороны, которая бы обеспечила не только единый интерфейс управления и мониторинга, но и возможность уведомления устройства, находящегося на периметре сети, в целях блокировки изощренных веб-атак еще на границе, а не непосредственно перед сервером, тем самым уровень безопасности будет еще выше.

Эффективность обороны

Бог воюет на стороне тех, у кого лучше артиллерия.

Наполеон Бонапарт

Какие технологии используются в качестве основных при обороне от DDoS-атак – очень существенный вопрос, поскольку от него зависит, получится ли у легитимных пользователей работать без проблем во время атаки. Еще не так давно многие компании предлагали, впрочем, это сохраняется и по сей день, такие методы, как ограничение полосы пропускания канала (rate limit) и черные и белые списки (black and white list).

Система противодействия DDoS-атакам должна обладать модулем, который позволит обеспечить борьбу со сканированием

На сегодняшний день применение этих способов борьбы с DDoS-атаками и сложными атаками
на веб-приложения вызывает сомнение. И вот почему технология rate
limit обеспечивает ограничение полосы пропускания канала в соответствии с заданной администратором ИБ нормой. Если мы понимаем, что наш легитимный трафик не может превысить, скажем, 1 Гбит/с, а мы получили 20, то, ограничив полосу пропускания до приемлемого уровня, мы, конечно, отобьем большую часть атаки, однако это совсем не значит, что при этом у легитимного пользователя будет возможность подключиться к системе, ведь вероятность того, что его пакеты окажутся отброшенными, весьма велика. Получается, что, с одной стороны, канал связи не загружен, а с другой, работа пользователей, в сущности, невозможна.

Фильтрация по IP-адресам также не будет слишком эффективной, поскольку современные средства атаки обычно используют технологии подмены (спуфинга) адресов, атакующие узлы могут работать за транслятором адресов, а фильтровать полностью большие сети не всегда допустимо. Из этого не следует, что вышеназванные методы не могут использоваться вовсе. В ряде случаев они окажутся последним аргументом обороняющегося, однако не следует их рассматривать в качестве основных. Если для операторов связи подобные алгоритмы могут быть приемлемы, то для корпоративного заказчика они не подойдут.

Здесь разумнее использовать технологии поведенческого анализа, с ге-
нерацией временных динамических сигнатур, «fingerprint» и другие более эффективные методы с точки зрения обеспечения работы легитимных пользователей с ресурсами системы.

Следовательно, эффективной окажется именно та система отражения, которая предлагает более совершенные методы борьбы с атаками по сравнению с простыми ограничениями полосы пропускания канала связи, черными и белыми списками, которые способствуют существенному росту неверно отброшенных пакетов (false positive).

А если злоумышленник захочет провести атаку на само устройство защиты? Сможет ли оно справиться? Надо понимать, что, по сути своей, можно потенциально атаковать любое устройство, имеющее IP-адрес. В этом случае сама система противодействия атакам становится целью злоумышленников. Решение здесь вполне очевидно, не должно быть самой возможности такой атаки, иначе говоря, IP-адреса быть не должно, то есть это ни что иное как работа на канальном уровне OSI [9].

Генеральный штаб

Богатство не в обладании сокровищами, а в умении ими пользоваться.

Наполеон Бонапарт

Как мы уже имели возможность убедиться, комплекс защиты должен представлять собой модульную конструкцию, что очень похоже на разделение родов войск, каждый из которых решает свой комплекс задач, при этом совместно они должны обеспечить победу в «кампании».

У поставщика решения должна быть команда профессионалов, готовая прийти на помощь в критической ситуации

А раз так, то нам потребуется единая эффективная система управления мониторинга и отчетности, позволяющая решать все вышеперечисленные задачи со всеми компонентами системы обороны наилучшим образом, то есть наш «генеральный штаб» по борьбе c DDoS.

В качестве примера можно предложить познакомиться с системой Radware AppSolute Vision [10], позволяющей централизованно управлять всеми компонентами системы защиты от DDoS-атак, осуществлять мониторинг и формировать отчетную документацию.

Гвардию в огонь!

Всегда ли, ведя боевые действия, мы можем справиться без помощи надежного союзника, рассчитывая исключительно на свои силы? Какие бы надежные и мощные средства мы ни использовали, мы не можем гарантировать, что у противника не появится какое-то новое оружие, справиться с которым своими силами мы не сможем. В этом случае нам потребуется наш последний резерв – команда специалистов информационной безопасности, которые смогут в нужный момент прийти к нам на помощь. Некий вариант «старой гвардии», последнего резерва, который вводился в бой в самый последний момент и позволял победить даже в самых тяжелых ситуациях. Говоря о защите от DDoS, стоит обратить внимание на то, чтобы у поставщика решения была такая команда профессионалов, доступная круглосуточно, готовая прийти на помощь в критической ситуации.

Подведем итоги…

Нам удалось сформулировать основные принципы для выбора средств защиты от DDoS-атак:

Ключевым аспектом защиты является обеспечение бесперебойной работы без снижения производительности всех легитимных клиентов, независимо от того, осуществляется атака или нет.
Выбирая систему защиты, следует ориентироваться на те, которые предлагают защиту от всех классов существующих атак.
Система отражения должна срабатывать в автоматическом режиме за секунды, не требуя участия администратора.
Требуется не только модуль IPS, но и модуль поведенческого анализа, позволяющий отразить атаки нулевого дня.
Система должна работать на канальном уровне модели OSI [9] и не иметь присвоенных IP-адресов в сети, от узлов которой осуществляется защита.
Выбирая средство борьбы с DDoS-атаками, имеет смысл рассматривать тех поставщиков, которые могут дополнительно предложить облачный сервис очистки трафика.
Необходимо обеспечить отражение атак внутри SSL-трафика.
Система противодействия DDoS-атакам должна обладать модулем, который позволит обеспечить борьбу со сканированием.
Крайне важным является наличие единой системы управления всеми компонентами системы.
Требуется эффективная система мониторинга и отчетности.
Стоит обратить внимание на то, чтобы у поставщика решения была такая команда профессионалов, доступная круглосуточно, готовая прийти на помощь в критической ситуации.

Таким образом, эффективная система защиты должна содержать следующие основные компоненты:

Защита от объемных сетевых атак.
Модуль поведенческого анализа.
IPS с возможностью автоматического обновления сигнатур.
Блокировка сканирования.
Модуль WAF.
Модуль защиты атак внутри зашифрованного трафика.
Облачный сервис очистки трафика.
Система управления мониторинга и отчетности.
Консалтинговая служба, имеющая возможность подключитьсяиоказать содействие защищаемой организации.

Шапиро Л. Атаки DDoS. Часть 1. Война объявлена... // «БИТ», №5, 2015 г. – С. 28-31 (http://bit.samag.ru/archive/article/1504).
Шапиро Л. Атаки DDoS. Часть 2. Арсенал противника. // «БИТ», №6, 2015 г. – С. 24-27 (http://bit.samag.ru/archive/article/1521).
Шапиро Л. Атаки DDoS. Часть 3. Разведка. // «БИТ», №7, 2015 г. – С. 12-15 (http://bit.samag.ru/archive/article/1536).
Шапиро Л. Атаки DDoS. Часть 4. Военные хитрости. // «БИТ», №8, 2015 г. – С. 22-23 (http://bit.samag.ru/archive/article/1559).
Radware DDoS Handbook – http://www.radware.com.
Network Behavioral Analysis – http://www.radware.com/Products/DefensePro.
Remove Blind Spots with Radware’s SSL Traffic Inspection Solution – https://www.radware.com/PleaseRegister.aspx?returnUrl=6442455966; https://portals.radware.com/getattachment/4930a6f6-eeae-44ac-a943-f0e9c6a92536/.aspx.
OWASP Top Ten – https://www.owasp.org/index.php/Category:Attack.
The OSI Model’s Seven Layers Defined and Functions Explained – https://support.microsoft.com/en-us/kb/103884.
APSolute Vision Management and Monitoring Tool – http://www.radware.com/Products/APSoluteVision.