Ochrana před DoS/DDOS útoky

Transkript

1 Ochrana před DoS/DDOS útoky Petr Lasek, RADWARE

2 Agenda Radware Aktuální rizika Attack Mitigation System (AMS) Případová studie Shrnutí Slide 2

3 APSolute řešení RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace: - maximální dostupnost (Availability), - maximální výkon (Performance), - bezpečnost (Security) Slide 3

4 Radware 10,000+ zákazníků Stálý růst ,6 77,6 81,4 68,4 54,8 38,4 43,3 43,7 108,9 94,6 4,9 14, Zkušenosti v oblasti bezpečnosti Technologické partnerství Slide 4

5 Radware přehled řešení HTTP Monitor Web Services and XML Gateway Partner Inflight AppXML Message Queuing System Router Intrusion Prevention Mainframe Customers LinkProof DefensePro AppDirector ESB Router Application Delivery Controller LinkProof WAN Link Optimizer / Load Balancer AppWall Web & Portal Servers Database servers Web Application Firewall Branch Office Application Servers Data Center Slide 5

6 Aktuální bezpečnostní rizika

7 Kombinované útoky Large volume network flood attacks Network scan Intrusion Port scan SYN flood attack Low & Slow DoS attacks (e.g., Sockstress) Brute force attack Intrusion, malware High and slow Application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF) Slide 7

8 Síťové a aplikační útoky Slide 8

9 Kombinované útoky Large volume network flood attacks Shrnutí Network scan Large volume SYN flood Low & Slow connection DoS attacks Útočníci Business kombinují více typů útoků a stačí aby jeden byl úspěšný Web application vulnerability scan DoS & DDoS se stávají standardní součástí útoků Application flood attack (Slowloris, Port 443 data flood, ) Web application attacks (e.g. XSS, Injections, CSRF) Slide 9

10 Bezpečnostní nástroje x útoky DoS Protection Behavioral Analysis IPS IP Reputation WAF Large volume network flood attacks Network scan Intrusion SYN flood Low & Slow DoS attacks Port scan Brute force attack Intrusion, Malware High & Low rate application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF) Slide 10

11 AMS = Attack Mitigation System

12 Radware Attack Mitigation System (AMS) Slide 12

13 AMS integrované bezpečnostní řešení DoS Protection Ochrana před všemi typy DoS/DDoS nastrojů Reputation Engine Finanční podovody Ochrana před phishingem IPS Ochrana před známymi útoky WAF Aplikační firewall NBA Zneužítí aplikací Ochrana před neznámými útoky (zerominute) Slide 13

14 OnDemand Switch: výkonný hardware DoS Mitigation Engine ASIC Proti DoS/DDoS utokům 12 M PPS IPS & Reputation Engine ASIC - String Match & RegEx Engine Deep packet inspection NBA & WAF OnDemand Switch Kapacita až 14Gbps Slide 14

15 Radware Security Event Management (SEM) Correlated reports Trend analysis Compliance management RT monitoring Advanced alerts Forensics 3rd SIEM Slide 15

16 AMS = synergie Útok proti webu ze zdroje A Advanced configuration Role-based access control Black list - A Scanning aplikací detekován ze zdroje A Slide 16

17 Síťové DoS útoky

18 Ochrana před síťovými DoS útoky Ochrana před: TCP SYN floods TCP SYN+ACK floods TCP FIN floods TCP RESET floods TCP Out of state floods TCP Fragment floods UDP floods ICMP floods IGMP floods Packet Anomalies Known DoS tools Custom DoS signatures Slide 18

19 NBA a RT Signature Technologie Public Network Mitigation optimization process Initial Filter Closed feedback Inbound Traffic Real-Time Signature Initial filter is generated: Packet Filter ID Optimization: ID ID AND AND IP Packet ID AND Source IP IP AND AND Packet size size AND TTL 5 Blocking Rules Start Traffic mitigation characteristics Final Filter 0 Up to X 1 2 Statistics 3 Learning Time [sec] Detection Engine Degree of Attack = High Low Filtered Traffic Outbound Traffic Protected Network Signature parameters Source/Destination Narrowest filters IP Source/Destination Port Packet Packet size ID TTL Source (Time IP To Address Live) DNS Packet Query size Packet TTL (Time ID To Live) TCP sequence number More (up to 20) RT Signatures 4 Degree of Attack = Low High (Negative (Positive Feedback) Slide 19

20 NBA - Fuzzy logika Flash crowd Z-axis Attack area Attack Degree axis Decision Engine X-axis Suspicious area Normal adapted area Attack Degree = 5 (Normal- Suspect) Y-axis Normal TCP flags ratio Abnormal rate of Syn packets Slide 20 20

21 Mitigation Performance (DME) Legitimate HTTP Traffic (Gbit/s) Slide 21 Flood Packet Rate (Millions)

22 Aplikační DoS útoky

23 Ochrana před aplikačními DoS útoky Ochrana v reálném čase před: Botnet / přímé útoky typu: HTTP GET HTTP POST DNS dotazy (A, MX, PTR, ) atd. Pokročilá analýza: Obousměrné statistiky HTTP serverů DNS statistiky Slide 23

24 HTTP Mitigator

25 Behaviorální analýza & generováni signatur DoS & DDoS Inbound Traffic Public Network Inputs - Network - Servers - Clients Application level threats Zero-Minute malware propagation Real-Time Signature Behavioral Analysis Inspection Module Closed Feedback Abnormal Activity Detection Outbound Traffic Enterprise Network Real-Time Signature Generation Optimize Signature Remove when attack is over Slide 25

26 Příklad: HTTP Flood IRC Server HTTP Bot (Infected host) BOT Command Misuse of Service Resources

27 IRC Server Real-Time Signatury cílená ochrana Case: HTTP Page Flood Attack Statistický model chování(1) HTTP Bot (Infected host) Statistika přístupu ke stránkám BOT Command Real Time Signatura: Blokování pouze provozu útočníků na konkrétní stránky HTTP Bot (Infected host) Internet Attacker Odchylka chování od statistického modelu(2) Identifikace podezřelého chování uživatelů Příklad: HTTP Bot - Běžný uživatel (Infected prochází host) několik stránek během spojení - Útočník prochází velké mmnožství stránek během spojení HTTP Bot (Infected host) Misuse of Service Resources Public Web Servers Slide 27

28 Real-Time Signatura = nulové false positives Příklad Statistický model chování(1) Statistika přístupu ke stránkám Legitimate User Nejedná se o útok Real-time signatura není generována Uživatelé nejsou blokování Legitimate User Internet Odchylka detekována(2) Pouze nárust počtu spojení, chování spojení však bez odchylek Legitimate User Public Web Servers Legitimate User Slide 28

29 Challenge/Response Botnet is identified (suspicious sources are marked) Attack Detection Real-Time Signature Created Light Challenge Actions Strong Challenge Action Selective Rate-limit?? X X TCP Challenge 302 Redirect Challenge Java Script Challenge RT Signature blocking Behavioral Real-time Signature Technology Challenge/Response Technology Uzavřená smyčka Real-time Signature Blocking Slide 29

30 AMS - co nabízí Detekce útoku Real-time signatura Challenge Druhý challenge Blokování Kombinace více bezpečnostních technologií QoE Ochrana před síťovými a aplikačními útoky Ochrana před známými i neznámými (zero-day) útoky TCO Prakticky nulové false-positive Granulární konfigurace, kombinace více metod blokování, real-time monitroing i dloudobý reporting Automatické generování signatur, bez nutnosti zásahu administrátora Slide 30

31 DNS Mitigator

32 Statistický model DNS provozu Vektor útoku DNS dotazy jejich rozložení DNS QPS Četnost dotazů per typ dotazu TEXT records MX records Other records A records AAAA records PTR records A records base line MX records base line PTR records AAAA records Time Slide 32

33 Behavorální analýza DNS provozu DNS dotazy jejich rozložení Četnost dotazů DNS QPS TEXT records MX records Other records A records AAAA records PTR records A records base line MX records base line PTR records AAAA records Time DoA per typ dotazu Fuzzy Logic Inference System Normal Suspect Attack Slide 33

34 Counter Attacks

35 Mobile LOIC Attack traffic is dropped and connection is reset Slide 35

36 Mobile LOIC Attack traffic is dropped and source is suspended Slide 36

37 SOC a ERT služby

38 Radware AMS & ERT/SOC Security Operations Center (SOC) Pravidelné update signatur každý týden a kritické updaty okamžitě 24 x 7, znalost sdílená celosvětově Emergency Response Team (ERT) 24x7 služba pro zákazníky pod útokem Eliminace DoS/DDoS útotů, předejití škodám Slide 38

39 Reporty - PCI, HIPAA,... Compliance Reports PCI DSS FISMA GLBA HIPPA Slide 39

40 Patenty a certifikace Vlastní patenty v oblasti ochrany Nově (!): EAL 4+ Slide 40

41 Radware řešení DefensePro Výkonný hardware AppWall Web Application Firewall (WAF) APSolute Vision Management, monitoring a reporting Slide 41

42 Reference Příklady: E-Commerce: 2xMoinsCher.com Online prodej: G-Market Vládní organizace: Turecká vláda ISP: M-Soft (Jihlava) instalací operátoři, ISP, finanční sektor, podniková sféra, vládní organizace Slide 42

43 Závěr

44 Shrnutí Více vektorů útoků Uživatele nasazují více řešení Útočníci využivají mezer mezi neintegrovanými produkty Attack Mitigation System (AMS): Ochrana před APT (Advanced Persistent Threat = dlouhodobé kampaně ) Integrované řešení / korelace mezi jednotlivými metodami Řešení pro Online aplikace Datová centra, hosting, cloud Poskytovale internetu Slide 44

45 Thank You