Защита корпоративных сервисов от распределенных атак на отказ в обслуживании

Защита корпоративных сервисов от DDoS-атак и сложных угрозКирилл КасавченкоИнженер-консультант, Arbor Networks

Содержание

1. Актуальные проблемы информационной безопасности в корпоративном секторе

2. Обзор решения Pravail NSI3. Обзор решения Pravail APS4. Методики защиты TCP, HTTP и SSL сервисов от DDoS атак

Кто такие Arbor Networks?

90% Процент Tier-1 операторов связи – клиентов Arbor

107Количество стран, в которых внедрены решения Arbor

24Tbps

Количество трафика под мониторингом системы ATLAS

#1

Позиция Arbor на рынке оборудования защиты от DDoS в Carrier, Enterprise и Mobile DDoS сегментах – 61% всего рынка[Infonetics Research Jul 2012]

Количество лет, которые Arbor разрабатывает и предлагает инновационные решения по защите и мониторингу

12

$16B

Выручка в 2011 по GAAP компанииDanaher – головной компании Arbor Networks

Проблемы корпоративной безопасности

4

Непрерывная доступность публичных сервисов и защита от распределенных атак на отказ в обслуживании (DDoS)

Управление рисками корпоративной безопасности связанными с взрывообразным ростом собственных пользовательских устройств

Новые сложные атаки, которые ставят своей целью воровство конфиденциальных данных. Угрозы могут исходить как из-за внешнего периметра, так и из внутренней сети

Защита сервисов и данных в Облаке требует расширения спектра инструментов, знаний и опыта в области безопасности.

Почему Arbor?

Сложные угрозы сегодняшнего дня не могут быть остановлены точечными продуктами

обеспечения сетевой безопасности.

Компаниям требуется глобальная визуализация, глубокий анализ и хирургическая

защита для предотвращения этих угроз.

Arbor Networks – лидер на рынке визуализации глобальных интернет-угроз с лучшими

решениями для сбора и анализа информации о сетевой безопасности, а так же обеспечения доступности. Результаты нашего глобального

мониторинга и проверенные технологии позволяют останавливать сложные угрозы.




Корпоративные решения Pravail

Анализ безопасности

Защита

Pravail APSPravail NSI

Анализ безопасности корпоративных сетей с детектированием угроз на основе

поведения•Выявляет угрозы во внутренних сетях –зараженные хосты, вредоносное ПО•Подписка Active Threat Feed (ATF) содержит обновления о новейших угрозах•Визуализация сети для контроля политики безопасности•Отслеживание пользователей для мониторинга доступа и аудита

Постоянная защита сетевого периметра в реальном времени

•Простая в эксплуатации и в то же время эффективная защита от DDoS атак•Динамические обновления информации об угрозах на основе глобального мониторингаATLAS (AIF)•Координация с системой защиты от DDoS на стороне оператора связи

Обзор решения Pravail NSIСложные угрозы сегодняшнего дня не могут быть остановлены точечными

продуктами обеспечения сетевой безопасности

Компаниям требуется глобальная визуализация, глубокий анализ и

хирургическая защита для предотвращения этих угроз

Arbor Networks – лидер на рынке визуализации глобальных интернет-угроз с лучшими решениями для сбора и анализа информации о сетевой безопасности, а так же обеспечения доступности. Результаты

нашего глобальный мониторинга и проверенные технологии позволяют

останавливать сложные угрозы сегодняшнего дня

Pravail NSI обеспечивает визуализацию сетевого трафика и анализ угроз, которые не обнаруживаются пограничными

устройствами безопасности

New unmanaged device (BYOD)

Консультант сторонней организации без должного контроля

Неавторизованный веб сервер

Внутренний источник атак

Infected client calling back to bot

master

Неавторизованное устройство

Бот пытается связаться с центром

контроля ботнета

Визуализация корпоративного уровняЗнайте вашу сеть

Анализ приложенийКлассификация приложений и трафика для обнаружения угроз

Отслеживание пользователейКонтроль и аудит пользователей, анализ их действий

Детектирование сложных угрозПрофилирование важных систем и обнаружение аномалий

Простой механизм отчетовМощный и легкий в использовании механизм построения отчетов

DMZ

КСПД

ЦОД

ИНТЕРНЕТ КСПД

Вредоносное ПО

Сервер вредоносного

ПО

Визуализация трафика корпоративного уровня


master

Использование технологий IP Flow:•Эффективная визуализация трафика всей компании

Обеспечение безопасности всей сети, а не только периметра: •Анализ трафика по всей сети без границ

Визуализация трафика – необходимая основа безопасности«Вы не можете обезопаситься от того, чего не видите»

Анализ приложений

Предотвращение утечек данных за счет информации об открываемых ресурсах, трафике на некорректных портах и типе

передаваемых данных

Аудит использования сайтов и приложений – полная информация об

использовании приложений и доступе к ресурсам

Глубокий анализ трафика и приложений для предотвращения утечек данных и выявления сложных угроз

Web Summary Report

Контроль действий пользователей

Аудит и обеспечение безопасности не только с точки зрения IP адресации, но и с применением имен пользователей

Выявляйте пользователей вредоносного ПО, а не только IP адреса

Выполняйте глубокий аудит всех соединений, сервисов и устройств

связанных с пользователем.

Интегрируйте NSI с SAN для длительного хранения данных

Глобальный анализ угроз

Выявляйте пользователей вредоносного ПО, а не только IP

адресовПрименяйте взвешенные решения

о политике безопасности с учетом особенностей

пользователейГлубокий аудит всех соединений, сервисов и устройств связанных с

пользователем. Возможность интеграции с SAN для длительного

хранения данных

С помощью глобального мониторинга Arbor команда ASERT создает «сигнатуры поведения»– Подробная информация о поведении известных или

новых угроз. – Выявление сложного вредоносного ПО, сканирования

портов, фишинга, центров контроля ботнетов и проч.

Поведенческие сигнатуры доступны пользователям Pravail NSI через подписку ATF (Active Threat Feed)

С помощью поведенческих сигнатур администраторы могут: – Выявить атаку, определить источник, проанализировать

особенности поведения и подавить атаку.

Использование глобального операторского мониторинга Arbor

Networks для выявления угроз

Архитектура Pravail NSIСложные угрозы сегодняшнего дня не могут быть остановлены точечными

продуктами обеспечения сетевой безопасности

Компаниям требуется глобальная визуализация, глубокий анализ и

хирургическая защита для предотвращения этих угроз

Arbor Networks – лидер на рынке визуализации глобальных интернет-угроз с лучшими решениями для сбора и анализа информации о сетевой безопасности, а так же обеспечения доступности. Результаты

нашего глобальный мониторинга и проверенные технологии позволяют

останавливать сложные угрозы сегодняшнего дня

Двухуровневая архитектура для максимальной масштабируемости


master

КонтроллерУстройство, содержащее БД и flow log, а также предоставляющее GUI для централизованного управления и построения отчетов

КоллекторУстройство, собирающее NetFlow и SNMP с сетевых устройств, выполняющее первоначальный анализ трафикаУстройство, получающее копию трафика со SPAN порта и выполняющее L7 анализ

Устройства Pravail NSIКонтроллеры серии 5100 Контроллеры серии 5200

NSI 5110До 3500 FPS



Замена лицензии


NSI 5220До 25,000 FPS

NSI 5230До 80,000 FPS


Контроллеры NSI 5200 поддерживают модуль DHM для длительного хранения

информации для аудита на SAN

Коллекторы серии 5000

NSI 5003AIДо 2 Gbps

NSI 5004До 8,000 FPS

NSI 5005До 16,000 FPS

NSI 5006До 35,000 FPS

NSI 5007До 80,000 FPS




Pravail APS – ключевые особенности

Защита «Из коробки»

Моментальный запуск защиты

Глубокая очистка от DDoSДетектирование и подавление DDoS на

уровнях L3-L7

ATLAS Intelligence Feed

Постоянное обновление сигнатур DDoS атак и трафика

ботнетов

Облачная сигнализацияИнформирование оператора связи о

необходимости очистки лавинообразной DDoS атаки

Простое внедрениеЛегко интегрируется с любой

архитектурой ЦОД

Защита «из коробки»

Решение рассчитано на моментальный запуск защиты сразу после инсталляции:

•Преднастроенные параметры противомер

•Сигнатурный анализ

Глубокая очистка от DDoS

• Детектирование DDoS на уровне пакетов

• Отсутствие таблицы сессий

• Очистка от сложных атак при помощи многоуровневых противомер

Общие виды атак

Атаки из одного источника

Распределенный DoS

Атаки от подмененных адресов

Атаки на TCP

Потоки TCP SYN

Некорректные комбинации флагов TCP

Атаки размером окна (например Sockstress)

Медленные TCP соединения

Атаки на HTTP

Медленные HTTP атаки

Потоки HTTP GET / POST

Атаки на DNS

Потоки запросов DNS

Некорректный DNS трафик

Прочие атаки

Потоки UDP / ICMP

Атаки фрагментами IP / TCP / UDP

Атаки на VoIP/SIP шлюзы

Атаки на SSL/TLS инфраструктуру

Блокировка сложных угроз доступности включая DDoS-атаки уровня приложения

и уровня сессий

Множественные противомеры помогают против динамических атак

Простое внедрение

Pravail APS Сеть Ц

ОД

(Также поддерживается неактивный режим работы)

Pravail APS

Сеть Ц

ОД

Link Tap / Port Span

Inline Span/Tap – только детектирование

Аппаратный bypass Автоматическая и ручная

работа Различные уровни защиты Визуализация и анализ

пакетов Не требует симметрию

трафика

Подробная информация о каждом заблокированном боте Особая политика

трафика CDN и прокси Отчеты в реальном

времени

Облачная сигнализация

Сервис по защите от DDoS на основе Arbor

Peakflow SP / TMS

Arbor Pravail APS

Сет

ь Ц

ОД

Firewall / IPS / WAF

Пуб

личн

ые

серв

ера

Сеть доступа Сеть доступа

Оператор связи1. Сервис работает

нормально

2. Начинается атака. Pravail APS успешно очищает трафик

3. Атака загружает канал связи (последнюю милю)

4. Запускается облачная сигнализация

5. Клиент полностью защищен!Статус облачной сигнализации

Взаимодействие компаний и операторов связи через облачную

сигнализацию для обеспечения полной защиты

Перегрузка

Перегрузка

Модели устройств Pravail APS

APS 2104До 2 Gbps

APS 2105До 4 Gbps

APS 2107До 8 Gbps

APS 2108До 10 Gbps





Только для модернизации


APS 2002До 500 Mbps

APS 2003До 1 Gbps

APS 2004До 2 Gbps

Варианты интерфейсов защиты:8 x 10/100/1000 (медь GE)8 x GE Fiber (SX, LX)

Варианты интерфейсов защиты:12 x 10/100/1000 (медьGE)12 x GE Fiber (SX, LX)2 x 10G Interfaces (SR, LR)

Серия 2000 Серия 2100




Атаки на TCP-стек

Основные атаки

SYN-flood (атака на SYN-RECEIVED фазу)

FIN-flood (еще называется FIN-WAIT-2 атака)

некорректные сочетания флагов (Christmas tree)

Защита TCP-стека

TMS/Pravail APS: Invalid packets (против xmas tree)

TCP SYN authentication (против syn-flood)

В обычном режиме – RST/ACK после проверки

(-): возможны проблемы с браузерами и SSL

Out-of-Sequence – проверка неправильным SN

(-): если у клиента есть stateful FW, он не пропустит наш ответ

TCP connection reset (против fin-flood)

На сервере или FW: Увеличить tcp backlog (больше соединений)

Уменьшить syn-received таймер (быстрее очищаем TCB)

Уменьшить fin-wait-2/fin-delay таймер (быстрее закрываем соединение)

Уменьшить количество SYN-ACK retries

SYN-cache/SYN-cookie (не создаем TCB, пока не установилось соединение)

Атаки на HTTP

GET-flood, POST-flood

LOIC, HOIC, RUDY, Good-bye

Медленные атаки

Slowloris, pyloris

Могут запускаться как на одном хосте, так и в составе ботнета.

Защита от HTTP-атак с помощью TMS/APS Против flood-атак:

TCP SYN authentication Application reset – редирект на запрошенный URL

Очень старый браузер может показать connection reset

HTTP Authentication – двойной редирект

• Оба варианта не работают с HTTP/S (!!!)

HTTP rate-limiting Измеряйте в мирное время и устанавливайте с запасом

Malformed HTTP filtering

AIF сигнатуры

Против медленных атак:

Slow request attack prevention

AIF сигнатуры

Защита от HTTP-атак на сервере

Против flood-атак:

Уменьшаем таймауты ожидания данных клиента

Уменьшаем размеры буферов для данных клиента

Уменьшаем количество соединений с одного IP

Против медленных атак:

Использовать как front-end серверы nginx или cherokee Не использовать apache

Ограничить сверху максимальный размер запроса

Поставить таймаут на установление соединения HTTP

Установить минимальную скорость получения данных

Атаки на SSL

SYN-flood на SSL протоколы

Мусорный SSL трафик (Pushdo botnet)

Неправильные SSL client hello сообщения

Мусор в правильном заголовке, мимикрирующий под уже установленное соединение

Исчерпание ресурсов (THC DDoS)

Client Hello с большим количеством cipher suites

Медленная атака

Повторная сигнализация (renegotiation) установленного соединения

Защита от SSL-атак

TMS/APS

SSL negotiation

Для APS – дополнительные параметры настраиваются в CLI

На сервере

Запретите SSL renegotiation

Ограничивайте cipher suites в client hello

Ограничивайте client extensions в client hello

Ограничивайте количество соединений с одного хоста и таймауты

Ограничивайте время, за которое клиент должен пройти SSL handshake и начать передавать шифрованные данные

Спасибо!Кирилл Касавченко[email protected]+7.911.923.46.99

Просим Вас заполнить анкеты.Ваше мнение очень важно для нас.

Technology

Защита корпоративных сервисов от распределенных атак на отказ в обслуживании