|
Атаки DDoS. Часть 8. Защита от сетевых атак
Главная /
Архив номеров / 2016 / Выпуск №07 (60) / Атаки DDoS. Часть 8. Защита от сетевых атак
Рубрика:
Тема номера /
Технологии безопасности
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Леонид Шапиро, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M
Атаки DDoS
Часть 8. Защита от сетевых атак
В предыдущей статье мы познакомились с принципами проведения тестирования решений по защите от DDoS-атак [1]. Теперь рассмотрим настройку защиты от них на примере Radware Defense Pro, о возможностях которого мы рассказывали в одной из предыдущих статей цикла [2]
Настройка модуля поведенческого анализа Radware Defense Pro
Управление системой осуществляется с помощью системы управления мониторинга и отчетности ApSolute Vision [3], кроме этого доступна и командная строка.
Пример типового тестового стенда для проведения испытаний на устойчивость к сетевым атакам был предложен в предыдущей статье, и тем не менее стоит посмотреть на него внимательно еще раз, уже с точки зрения использования конкретного решения для защиты системы (см. рис. 1).
Рисунок 1. Пример стенда для тестовых испытаний
Обычно мы будем иметь дело с двумя внутренними сетевыми сегментами: защищаемой сетью и сетью управления.
Внешняя сеть, от которой мы защищаемся, может обладать абсолютно любым диапазоном, когда мы говорим о защите от внешних атак, ввиду чего, как правило, используется класс any, полностью описывающий любые адреса.
Во внутренней сети может быть несколько диапазонов адресов. Все они должны быть перечислены, им следует присвоить переменные, что упрощает администрирование. Для этих целей создаются классы, которым и присваиваются соответствующие сети.
Разумеется, на предварительном этапе устройство подключается к сети, выполняется проверка физической связанности и прочее, эти этапы мы пропустим и перейдем непосредственно к настройке политик защиты (см. рис. 2).
Рисунок 2. Настройка защищаемой сети
В примере мы видим класс Protected_network, который описывает защищаемую сеть 192.168.1.0/24. Соответственно, любой узел этой сети будет защищаться от сетевых атак. Для того чтобы это обеспечить, потребуется создать политику.
Для защиты от атак на сетевом и транспортном уровнях модели OSI, Defense Pro применяет две основные модели противодействия1:
- Противостояние вторжениям или Intrusion Prevention.
- Защита от DDoS-атак.
В первом случае речь идет об использовании статических сигнатур защиты, то есть, по сути своей, о модуле IPS [4].
Во втором случае мы говорим о целом спектре систем защиты, в рамках которого функционируют модуль поведенческого анализа, защита от SYN-атак, защита от DoS-атак, модуль противодействия DNS-атакам, модуль определения «неправильных» пакетов и так далее.
Сетевая политика Defense Pro состоит из трех элементов:
- Условий (Classification),
- Действий (Action),
- Параметров отчетности и трассировки (Packet Reporting and Trace Settings) (см. рис. 3).
Рисунок 3. Создание сетевой политики защиты
Условия определяют сеть, из которой мы ожидаем атаку, защищаемую сеть, направление (может быть включена защита не только извне, но и изнутри сети), параметры портов и теги виртуальных сетей.
Раздел «Действий» (Action) дает возможность выбрать перечень профилей защиты, которые предполагается использовать. Если профили не были созданы и настроены заранее, то их можно создать на стадии написания политики защиты (см. рис. 4).
Рисунок 4. Выбор и настройка профилей защиты
С точки зрения защиты от сетевых атак к атакам на сервисы и приложения мы вернемся позднее, Radware Defense Pro предлагает использовать:
- Поведенческий анализ (BDoS profile).
- Защиту от DNS-атак (DNS Profile).
- Защиту от сетевого сканирования (Anti Scanning profile).
- Противодействие атакам с помощью использования статических сигнатур (Signature Protection).
- Противодействие SYN-атакам (SYN Flood Profile).
- Возможность ограничения входящего трафика по объему и количеству соединений, так называемый Rate Limit, к которому относятся Connection Limit Profile и Connection PPS Limit Profile. Эти два подхода защиты, являющиеся основными для многих других производителей решений по противодействию DDoS, здесь скорее оставлены «на всякий случай», поскольку их применение приводит к потерям легитимного трафика.
- Отражение «неправильных» пакетов (Out of State Profile).
То есть перед нами полный список модулей отражения сетевых атак.
В этой статье мы рассмотрим, что такое поведенческий анализ (BDoS) и почему он оказывается чрезвычайно полезен при борьбе с DDoS.
Модуль поведенческого анализа [5] позволяет идентифицировать и успешно отразить не только типовые сетевые флуды, но и атаки «нулевого дня».
К типовым флудам относятся:
- SYN Flood
- TCP ACK + FIN Flood
- TCP RST Flood
- TCP SYN + ACK Flood
- TCP Fragmentation Flood
- UDP Flood
- UDP Fragmentation Flood
- ICMP Flood
- IGMP Flood
Определяется аномальный трафик в сети, строятся динамические сигнатуры, позволяющие отразить атаку, при этом влияние на легитимных пользователей (ложные срабатывания или False Positive) практически нулевое.
При этом важно отметить, что обнаружение атаки и генерация сигнатуры для ее отражения происходит в автоматическом режиме без участия администратора безопасности и занимает от 10 до 18 секунд.
Администратор безопасности просто выбирает список атак, которым он хочет противостоять. Рекомендуется выбрать все атаки, поскольку все они широко распространены, а инструментарий для их выполнения доступен для злоумышленников (см. рис. 5).
Рисунок 5. Выбор защиты от сетевых атак в модуле поведенческого анализа
Если известны параметры входящего и исходящего трафика (Bandwidth Settings) и характеристики распределения трафика по типовым протоколам (Quota Settings), то их также можно будет дополнительно настроить (см. рис. 6 и 7).
Рисунок 6. Настройка параметров полосы пропускания
Рисунок 7. Настройка параметров распределения трафика
В качестве Bandwith Settings рекомендуется установить параметры пропускной способности канала связи, если мы говорим о настройке не под атакой, в «мирное время». Если же настройка осуществляется во время атаки, то, в этом случае, желательно установить значения соответствующие легитимному трафику, что сведет время обучения устройства к нулю.
Если есть возможность развернуть Defense Pro заблаговременно, то это позволит устройству изучить параметры сетевого трафика на предварительном этапе, и построить модель его распределения, которая полностью будет соответствовать защищаемой сети, что в сократит время реакции устройства на атаку.
Производитель рекомендует провести «обучение» устройства в течение недели. Разумеется, при возникновении атаки и ее детектировании, процесс обучения прерывается, и, возникшие изменения в составе трафика, не попадают в эталонную модель. Настройка времени обучения устройства на «живом» трафике обычно выполняется на начальном этапе внедрения. а начальном этапе внедрения.
Для этой цели используется раздел Setup → Security Settings → BDoS Protection. В поле Learning Response Period указывается соответствующее значение (см. рис. 8).
Рисунок 8. Настройка периода обучения
Дополнительно администратор безопасности обладает возможностями более «тонкой» настройки поведенческого анализа (см. рис. 9).
Рисунок 9. Дополнительные возможности настройки параметров поведения поведенческой защиты
Эти действия выполняются в раз-деле Setup → Security Settings → BDoS Protection.
Например, в разделе BDoS Footprint Bypass настраиваются параметры, которые могут быть исключены из автоматически формируемых динамических сигнатур.
Настройка BDoS Early Blocking подразумевает раннее блокирование атаки (в доли секунды), что в определенной степени, понижает точность работы системы, однако в ряде ситуаций, оказывается весьма целесообразным. Этот механизм полагается на знания оператора, управляющего системой, что в свою очередь может приводить к ошибкам из за человеческого фактора.
Наконец, BDoS Packet Header Selection позволяет выбрать определенные поля в заголовке пакета, которые система должна использовать в сигнатурах при раннем блокировании.
Нетрудно заметить, что настройка профиля поведенческого анализа не требует больших административных затрат и глубоких знаний в области информационной безопасности и при этом обеспечивает эффективную защиту от целого комплекса DDoS-атак.
Продолжение следует…
- Шапиро Л. Атаки DDoS. Часть 5. Основные принципы выбора системы защиты от DDoS-атак. //«БИТ», №9, 2015 г. – С. 34-38 (http://bit.samag.ru/archive/article/1580).
- Шапиро Л. Атаки DDoS. Часть 6. Защита корпоративной инфраструктуры. Знакомство с Radware Defense Pro. Защита корпоративного ЦОД. //«БИТ», №5, 2016 г. – С. 32-35 (http://bit.samag.ru/archive/article/1689).
- ApSolute Vision – http://radware.com.ru/Products/apsolute-vision/obzor.
- Intrusion Prevention System – https://en.wikipedia.org/wiki/Intrusion_prevention_system.
- Radware Attack Mitigation Service – http://www.radware.com/products/attack-mitigation-service.
- Network Behavioral Analysis – http://www.radware.com/Products/DefensePro.
1 Здесь мы говорим только о защите от сетевых атак. Defense Pro позволяет противостоять не только им, особенно, когда речь идет о работе в составе инфраструктуры Attack Mitigation System (AMS) [5]. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
_cover.jpg)
_cover.jpg)
_cover.jpg)
_cover.jpg)
