Ochrana před DoS/DDOS útoky

Ochrana před DoS/DDOS útoky Petr Lasek, RADWARE 31.5. 2012

Agenda Radware Aktuální rizika Attack Mitigation System (AMS) Případová studie Shrnutí Slide 2

APSolute řešení 1 1 3 RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace: - maximální dostupnost (Availability), - maximální výkon (Performance), - bezpečnost (Security) Slide 3

Radware 10,000+ zákazníků Stálý růst 144.1 88,6 77,6 81,4 68,4 54,8 38,4 43,3 43,7 108,9 94,6 4,9 14,1 1998 2000 2002 2004 2006 2008 2010 Zkušenosti v oblasti bezpečnosti Technologické partnerství Slide 4

Radware přehled řešení HTTP Monitor Web Services and XML Gateway Partner Inflight AppXML Message Queuing System Router Intrusion Prevention Mainframe Customers LinkProof DefensePro AppDirector ESB Router Application Delivery Controller LinkProof WAN Link Optimizer / Load Balancer AppWall Web & Portal Servers Database servers Web Application Firewall Branch Office Application Servers Data Center Slide 5

Aktuální bezpečnostní rizika

Kombinované útoky Large volume network flood attacks Network scan Intrusion Port scan SYN flood attack Low & Slow DoS attacks (e.g., Sockstress) Brute force attack Intrusion, malware High and slow Application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF) Slide 7

Síťové a aplikační útoky Slide 8

Kombinované útoky Large volume network flood attacks Shrnutí Network scan Large volume SYN flood Low & Slow connection DoS attacks Útočníci Business kombinují více typů útoků a stačí aby jeden byl úspěšný Web application vulnerability scan DoS & DDoS se stávají standardní součástí útoků Application flood attack (Slowloris, Port 443 data flood, ) Web application attacks (e.g. XSS, Injections, CSRF) Slide 9

Bezpečnostní nástroje x útoky DoS Protection Behavioral Analysis IPS IP Reputation WAF Large volume network flood attacks Network scan Intrusion SYN flood Low & Slow DoS attacks Port scan Brute force attack Intrusion, Malware High & Low rate application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF) Slide 10

AMS = Attack Mitigation System

Radware Attack Mitigation System (AMS) Slide 12

AMS integrované bezpečnostní řešení DoS Protection Ochrana před všemi typy DoS/DDoS nastrojů Reputation Engine Finanční podovody Ochrana před phishingem IPS Ochrana před známymi útoky WAF Aplikační firewall NBA Zneužítí aplikací Ochrana před neznámými útoky (zerominute) Slide 13

OnDemand Switch: výkonný hardware DoS Mitigation Engine ASIC Proti DoS/DDoS utokům 12 M PPS IPS & Reputation Engine ASIC - String Match & RegEx Engine Deep packet inspection NBA & WAF OnDemand Switch Kapacita až 14Gbps Slide 14

Radware Security Event Management (SEM) Correlated reports Trend analysis Compliance management RT monitoring Advanced alerts Forensics 3rd SIEM Slide 15

AMS = synergie Útok proti webu ze zdroje A Advanced configuration Role-based access control Black list - A Scanning aplikací detekován ze zdroje A Slide 16

Síťové DoS útoky

Ochrana před síťovými DoS útoky Ochrana před: TCP SYN floods TCP SYN+ACK floods TCP FIN floods TCP RESET floods TCP Out of state floods TCP Fragment floods UDP floods ICMP floods IGMP floods Packet Anomalies Known DoS tools Custom DoS signatures Slide 18

NBA a RT Signature Technologie Public Network Mitigation optimization process Initial Filter Closed feedback Inbound Traffic Real-Time Signature Initial filter is generated: Packet Filter ID Optimization: ID ID AND AND IP Packet ID AND Source IP IP AND AND Packet size size AND TTL 5 Blocking Rules Start Traffic mitigation characteristics Final Filter 0 Up to 10 10+X 1 2 Statistics 3 Learning Time [sec] Detection Engine Degree of Attack = High Low Filtered Traffic Outbound Traffic Protected Network Signature parameters Source/Destination Narrowest filters IP Source/Destination Port Packet Packet size ID TTL Source (Time IP To Address Live) DNS Packet Query size Packet TTL (Time ID To Live) TCP sequence number More (up to 20) RT Signatures 4 Degree of Attack = Low High (Negative (Positive Feedback) Slide 19

NBA - Fuzzy logika Flash crowd Z-axis Attack area Attack Degree axis Decision Engine X-axis Suspicious area Normal adapted area Attack Degree = 5 (Normal- Suspect) Y-axis Normal TCP flags ratio Abnormal rate of Syn packets Slide 20 20

12 10 8 6 4 2 0 Mitigation Performance (DME) 0 5 10 15 Legitimate HTTP Traffic (Gbit/s) Slide 21 Flood Packet Rate (Millions)

Aplikační DoS útoky

Ochrana před aplikačními DoS útoky Ochrana v reálném čase před: Botnet / přímé útoky typu: HTTP GET HTTP POST DNS dotazy (A, MX, PTR, ) atd. Pokročilá analýza: Obousměrné statistiky HTTP serverů DNS statistiky Slide 23

HTTP Mitigator

Behaviorální analýza & generováni signatur DoS & DDoS Inbound Traffic Public Network Inputs - Network - Servers - Clients Application level threats Zero-Minute malware propagation Real-Time Signature Behavioral Analysis Inspection Module Closed Feedback Abnormal Activity Detection Outbound Traffic Enterprise Network Real-Time Signature Generation Optimize Signature Remove when attack is over Slide 25

Příklad: HTTP Flood IRC Server HTTP Bot (Infected host) BOT Command Misuse of Service Resources

IRC Server Real-Time Signatury cílená ochrana Case: HTTP Page Flood Attack Statistický model chování(1) HTTP Bot (Infected host) Statistika přístupu ke stránkám BOT Command Real Time Signatura: Blokování pouze provozu útočníků na konkrétní stránky HTTP Bot (Infected host) Internet Attacker Odchylka chování od statistického modelu(2) Identifikace podezřelého chování uživatelů Příklad: HTTP Bot - Běžný uživatel (Infected prochází host) několik stránek během spojení - Útočník prochází velké mmnožství stránek během spojení HTTP Bot (Infected host) Misuse of Service Resources Public Web Servers Slide 27

Real-Time Signatura = nulové false positives Příklad Statistický model chování(1) Statistika přístupu ke stránkám Legitimate User Nejedná se o útok Real-time signatura není generována Uživatelé nejsou blokování Legitimate User Internet Odchylka detekována(2) Pouze nárust počtu spojení, chování spojení však bez odchylek Legitimate User Public Web Servers Legitimate User Slide 28

Challenge/Response Botnet is identified (suspicious sources are marked) Attack Detection Real-Time Signature Created Light Challenge Actions Strong Challenge Action Selective Rate-limit?? X X TCP Challenge 302 Redirect Challenge Java Script Challenge RT Signature blocking Behavioral Real-time Signature Technology Challenge/Response Technology Uzavřená smyčka Real-time Signature Blocking Slide 29

AMS - co nabízí Detekce útoku Real-time signatura Challenge Druhý challenge Blokování Kombinace více bezpečnostních technologií QoE Ochrana před síťovými a aplikačními útoky Ochrana před známými i neznámými (zero-day) útoky TCO Prakticky nulové false-positive Granulární konfigurace, kombinace více metod blokování, real-time monitroing i dloudobý reporting Automatické generování signatur, bez nutnosti zásahu administrátora Slide 30

DNS Mitigator

Statistický model DNS provozu Vektor útoku DNS dotazy jejich rozložení DNS QPS Četnost dotazů per typ dotazu TEXT records MX records Other records A records AAAA records PTR records A records base line MX records base line PTR records AAAA records Time Slide 32

Behavorální analýza DNS provozu DNS dotazy jejich rozložení Četnost dotazů DNS QPS TEXT records MX records Other records A records AAAA records PTR records A records base line MX records base line PTR records AAAA records Time DoA per typ dotazu Fuzzy Logic Inference System Normal Suspect Attack Slide 33

Counter Attacks

Mobile LOIC Attack traffic is dropped and connection is reset Slide 35

Mobile LOIC Attack traffic is dropped and source is suspended Slide 36

SOC a ERT služby

Radware AMS & ERT/SOC Security Operations Center (SOC) Pravidelné update signatur každý týden a kritické updaty okamžitě 24 x 7, znalost sdílená celosvětově Emergency Response Team (ERT) 24x7 služba pro zákazníky pod útokem Eliminace DoS/DDoS útotů, předejití škodám Slide 38

Reporty - PCI, HIPAA,... Compliance Reports PCI DSS FISMA GLBA HIPPA Slide 39

Patenty a certifikace Vlastní patenty v oblasti ochrany Nově (!): EAL 4+ Slide 40

Radware řešení DefensePro Výkonný hardware AppWall Web Application Firewall (WAF) APSolute Vision Management, monitoring a reporting Slide 41

Reference Příklady: E-Commerce: 2xMoinsCher.com Online prodej: G-Market Vládní organizace: Turecká vláda ISP: M-Soft (Jihlava) 1000+ instalací operátoři, ISP, finanční sektor, podniková sféra, vládní organizace Slide 42

Závěr

Shrnutí Více vektorů útoků Uživatele nasazují více řešení Útočníci využivají mezer mezi neintegrovanými produkty Attack Mitigation System (AMS): Ochrana před APT (Advanced Persistent Threat = dlouhodobé kampaně ) Integrované řešení / korelace mezi jednotlivými metodami Řešení pro Online aplikace Datová centra, hosting, cloud Poskytovale internetu Slide 44

Thank You www.radware.com