Prezentace ke stažení

Jak se bránit před
DDoS útoky
Petr Lasek, RADWARE
19.09.2014
Významné útoky
Slide 2
Slide 3
Agenda
•
•
•
•
•
•
Radware
Aktuální rizika, kritéria výběru
Příklady útoků
Attack Mitigation System (AMS)
Případová studie
Shrnutí
Slide 4
APSolute řešení
1
1
3
RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace:
- maximální dostupnost (Availability),
- maximální výkon (Performance),
- bezpečnost (Security)
Slide 5
About Radware
Over 10,000 Customers
Company Growth
167,0
144,1
108,9
68,4
77,6 81,4
88,6
94,6
54,8
38,4 43,3 43,7
4,9
14,1
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
Recognized Market Leader & vision
IPS Magic Quadrant 2013
Global Technology Partners
ADC Magic Quadrant 2013
Slide 6
Radware – přehled řešení
Web Services and XML Gateway
HTTP Monitor
Partner
Inflight
AppXML
Message Queuing
System
Router
Intrusion Prevention
Mainframe
ESB
LinkProof
Customers
DefensePro
Alteon /
AppDirector
Router
Application Delivery Controller
Web & Portal
Servers
LinkProof
WAN Link Optimizer / Load Balancer
Database
servers
AppWall
Web Application Firewall
Application Servers
Branch Office
Data Center
Slide 7
Radware řešení
Acceleration
L4-L7 G/SLB
L4-L7 LB
Security
Acceleration
Software Defined Networking
Security
8
Aktuální bezpečnostní rizika
Bezpečnost
Bezpečnost
Slide 10
Významné útoky
Slide 11
Kdo je cílem?
Source: Radware Global Application and Network Report 2013
(to be published Jan. 27, 2014)
12
Pravděpodobnost že to budete Vy?
65%
54
Unlikely
45%
Organizací zaznamenalo
3 DDoS útoky v
posledníchPossible
12 měsících
37%
Minut by průměrný
výpadek.
Very likely
10%
Likely
8%
Industry Security Survey
How likely is it that your organization will be attacked by cyber warfare?
13
Motivace ?
• „Výpalné“
• Konkurenční boj (lze si snadno zaplatit útok)
• Nespokojený zákazník
• Politika, náboženství
• Hacktivismus
Bezpečnostní nástroje x útoky
DoS Protection
Behavioral Analysis
IPS
IP Reputation
WAF
Large volume network flood attacks
Network scan
Intrusion
SYN flood
“Low & Slow” DoS attacks
Port scan
Brute force attack
Intrusion, Malware
High & Low rate application DoS attacks
Web application attacks
(e.g. XSS, Injections, CSRF)
Slide 15
Co a před čím chrání?
Protection Purpose
Data-At-Rest
Protections
(Confidentiality)
Data-At-Endpoint
(Confidentiality)
Data-In-Transit
(Confidentiality)
Network
Infrastructure
Protection (Integrity)
Application
Infrastructure
Protection (Integrity)
Volumetric Attacks
(Availability)
Non-Volumetric
Resource Attacks
(Availability)
Firewall
IPS
WAF
Router
ACLs
Anti-DoS
Next Gen
Appliance
FW
(CPE)
DLP
Cloud
Anti-DoS
DDoS útoky
HTTP Floods
SSL Floods
App Misuse
Large volume
network flood
attacks
Syn Floods
& Slow” DoS
Comprehensive“LowProtection
attacks
Brute
Force
(e.g.Sockstress)
• Integrated solution with all security technologies
Network Scan
• Mitigates attacks beyond the perimeter
Cloud DDoS protection
DoS protection
IPS
Behavioral analysis
SSL protection
WAF
Slide 17
Co se stane během DDoS útoku?
35
30
25
Firewall & IPS NEOCHRÁNÍ před DDoS útokem
20
2011
Typicky
se kritickým místem stává:
15
• Server
•10 Firewall
•5 Připojení
2012
2013
0
Internet Pipe
Firewall
IPS / DSS
ADC
Server
SQL Server
18
Ja vybrat správné řešení?
Co řešení nabízí?
• Síťové útoky?
• Útoky na servery?
• Aplikační útoky?
• SSL útoky?
• „Pomalé útoky“ (Low & slow)?
Technologie?
• Útoky „hrubou silou“ (volumetric“)
• Blokování jen útoku (false – positive)?
• Dedikovaný hardware (hardware pro blokování)?
• Dedikovaný box (chrání vstup do sítě)?
• Chrání v reálném čase (inline)?
• Management / reporting (SIEM)?
Výrobce?
• Podpora během útoku 24 x 7 (nejen běžný support)?
• Reference (nejlépe u MSSP)?
• Skutečné řešení ?
• Vlastní výzkum?
RADWARE řešení
•Výkonný hardware – od 200 Mbps až 40 Gbps
•Kombinace více technologií (DoS Shield, IPS, NBA, IP reputation)
•Služby ERT týmu během útoku
•DefensePipe – DDoS ochrana v cloudu
•Průběžný výzkum (Low&slow, counter attack)
Anatomie útoku
APT – Advanced Persistent Threat
Hacktivism – příklady
• Duration: 20 Days
• More than 7 attack vectors
• “Inner cycle” involvement
• Attack target: Vatican
Komplexnost
útoků
• Duration: 3 Days
• 5 attack vectors
• Only “inner cycle” involvement
• Attack target: HKEX
• Duration: 3 Days
• 4 attack vectors
• Attack target: Visa, MasterCard
• Duration: 6 Days
• 5 attack vectors
• “Inner cycle” involvement
• Attack target: Israeli sites
Slide 26
Časový průběh
7. Březen – I. den
Začátek útoku
~13:30
Day 1
Wed March
7th
20:17
Customer website was taken down by anonymous.
Later, Radware Italy is invoked, ERT receive heads-up.
DefensePro is deployed, ERT start building configuration.
DefensePro
na místě
(ODS2)
ERT tým
Slide 28
8. Březen – II. den
Day2
12:45
ERT Continued refining configuration moving the device to an
aggressive configuration.
14:00
Attacks begin and mitigated by the DefensePro. ERT monitors and
conduct minor fine tuning.
24:00
Attacks ended.
Thurs March 8th
Útok blokován (DefensePro a ERT)
Slide 29
Útok pokračoval déle než týden…
Automaticky blokován
Bez zásahu ERT
Slide 31
Vektory útoku
Vektor I.: TCP Garbage Flood
Attack Vector
PSH+ACK Garbage Flood port 80
Description
TCP PSH+ACK packets that contain
garbage data
No initiation of proper TCP handshake
Mitigation
• Out-of-state
• Signature (SUS – for all customers)
Garbage Data
Slide 35
Vektor II.: SYN Flood
Attack Vector
SYN Flood
Description
• Port 80
• 460 attackers
Mitigation
• BDOS
• SYN Protection (not activated, threshold
were too high)
BDOS Footprint
Slide 36
Vektor III.: IP fragment flood to port 80
Attack Vector
IP fragment
Description
•
•
•
•
Mitigation
BDOS
TCP Protocol port 80
Frag offset = 512
TTL = 244
Same SRC IP (unusual for this attack)
BDOS Mitigation in Action
Slide 37
Vector IV. : UPD Flood to Random Port
Attack Vector
Attack Vector V: UPD Flood to Random Port
Description
• UDP flood
• Packet contained Garbage data
Mitigation
BDOS
BDOS
Mitigation in
Action
Slide 38
Evropská vládní instituce, Červenec 2012
•
•
•
•
Útočník posílal 3.4Mbps složený z 36 B DNS dotazů na 8 DNS serverů
Doména s 43 registrovanými DNS záznamy. Odpověd 3991 B, 154 Mbps
Navíc odpověd s fragmentovanými pakety
Ochrana -DNS odpovědi blokovány pomocí BDoS modulu, fragmentované UDP
pakety pomocí DoS-Shield modulu
Slide 39
Op Ababil
Slide 40
Vektory útoků
Attacks started October 2012
ISP 1
DoS
Mitigation
US
March 2013
Bank
Radware’s
ERT Joins in
Outage on
daily basis
ISP 2
DoS
Mitigation
ICMP Flood
UDP Flood
SYN Flood
IT department
HTTP URL Floods
is exhausted
and frustrated
Search Page Floods
TLS/SSL Rengotiation
Login Page Floods
Bypassing Mitgiation
Slide 41
AMS = Attack Mitigation System
Attack Mitigation System
In the cloud
Perimeter
Front-End
Alteon / AppWall
Defense Messaging
Internet
Protected
Organization
Volumetric DDoS
attack that saturates
Internet pipe
Slide 43
AMS řešení
Data Center
DefensePro
Výhody AMS
• Okamžitá reakce
AppWall
Web
Application
• Hybridní řešení: CPE a scrubbing centrum
v cloudu
• Kompletní pokrytí útoků
• „Web stealth“ útoky
Slide 44
Radware Attack Mitigation System (AMS)
Pokrytí všech
vektorů
ERT
Okamžitá reakce
Management /
monitoring /
reporting
Slide 45
AMS komponenty
DefensePro
DefensePipe
• Cloud
Anti-DoS,
NBA,
IPS, Rep.
Engineagainst
based
(service)
protection
•AppWall
OnDefenseSSL
demand
throughput scalability
pipe
saturation
200Mbps
– 40Gbps
• Application
Radware
ADC
solution
•• Simple
traffic
based
pricing
modelcomplete
Web
Firewall
offering
• app
Fast,
HW based, SSL
web
protection
decryption,based
FIPS validated
• Web-application
availability attack
AppWall
detection
APSolute
• Appliance &Vision
VA
Emergency
Team
• SIEM with realResponse
time views, historical
and
• 24/7
service
to customers under attack
forensics
reports
• Appliance & VA
Alteon - DefenseSSL
APSoluteVision
Slide 46
Rozdíl: výkon pod útokem
12 Million
PPS
Bez vlivu na
ostatní provoz
Útok blokován na
úkor bežného
provozu
Attack
Traffic
Multi-Gbps
Capacity
Legitimate
Traffic
DefensePro
Attack
Attack
Multi-Gbps
Capacity
Attack
Legitimate
Traffic
Traffic
+ Attack
Other Network Security Solutions
Slide 48
Mitigation Performance (DME)
Flood Packet Rate (Millions)
12
10
8
6
4
2
0
0
5
10
Legitimate HTTP Traffic (Gbit/s)
15
Slide 49
Radware Security Event Management (SEM)
• Correlated reports
• Trend analysis
• Compliance management
• RT monitoring
• Advanced alerts
• Forensics
3rd SIEM
Slide 50
Vyčištění provozu
DME
DDoS Mitigation Engine
(25M PPS / 60 Gbps)
Multi Purpose Multi Cores CPU’s
(38 Gbps)
L7 Regex
Acceleration ASIC
& Reputation Engine
Behavioral-based protections
Architecture That Was Tailored for Attack Mitigation
51
Síťové DoS útoky
SYN Protection – Challenge/Response
• Logic
validated,
delayed
binding
pending
DP
detected
a SYN
floodbefore
to
an endpoint
Logic –– cookie
storing
received
data
proxying
SYN
SYN
SYN-ACK +Cookie
SYN-ACK
ACK +Cookie
ACK
Data
Real User
DefensePro
Data
Target
Cookie is validated.
TCP Challenge passed - delayed binding begins
HTTP Redirect / Javascript - awaiting data packet
with valid cookie
Slide 53
SYN cookies
Slide 54
Challenge/Response
Botnet is identified
(suspicious sources are
marked)
Attack
Detection
Real-Time
“Light”
“Strong”
Signature Created Challenge Actions Challenge Action
Selective
Rate-limit
?
?
X
X
TCP Challenge
302 Redirect
Challenge
Java Script
Challenge
RT Signature
blocking
Behavioral Real-time
Signature Technology
Challenge/Response
Technology
Real-time Signature
Blocking
Uzavřená smyčka
Slide 55
AMS - co nabízí
Detekce
útoku
Real-time
signatura
Challenge
Druhý
challenge
Blokování
• Kombinace více bezpečnostních technologií
– Ochrana před síťovými a aplikačními útoky
– Ochrana před známými i neznámými (zero-day) útoky
• QoE
– Prakticky nulové „false-positive „
– Granulární konfigurace, kombinace více metod blokování, real-time
monitroing i dloudobý reporting
• TCO
– Automatické generování signatur, bez nutnosti zásahu administrátora
Slide 56
Ochrana před síťovými DoS útoky
Ochrana před:
– TCP SYN floods
– UDP floods
– TCP SYN+ACK floods
– ICMP floods
– TCP FIN floods
– IGMP floods
– TCP RESET floods
– Packet Anomalies
– TCP Out of state floods
– Known DoS tools
– TCP Fragment floods
– Custom DoS signatures
Slide 57
NBA a RT Signature Technologie
Mitigation optimization process
Initial Filter
Public Network
Closed feedback
Inbound Traffic
Start
Traffic
characteristics
mitigation
Real-Time Signature
0
Initial
filter
is generated:
Filter
Optimization:
Filter
Filter
Optimization:
Packet
IDOptimization:
Packet
ID AND
Source IPIP
Packet
PacketID
IDAND
ANDSource
Source IP
AND
Packet
size
AND Packet size AND TTL
5
Blocking
Rules
Filtered Traffic
Outbound Traffic
Protected Network
Up to 10
Final Filter
3
Learning
10+X Time [sec]
Degree of Attack = High
Low
1
2
Statistics
Detection
Engine
Degree
Degreeof
ofAttack
Attack == Low
High
(Positive Feedback)
(Negative
Feedback)
Signature parameters
Narrowest filtersIP
• Source/Destination
• Source/Destination Port
• Packet
ID
• Packet
size
• Source
• TTL
(TimeIP
ToAddress
Live)
•
Packet
size
• DNS Query
• TTL (Time
To Live)
• Packet
ID
• TCP sequence number
• More … (up to 20)
RT
Signatures
4
Slide 58
NBA - Fuzzy logika
Flash crowd
Z-axis
Attack Degree axis
Attack area
Decision Engine
X-axis
Suspicious
area
Normal
adapted area
Normal TCP flags
ratio
Attack Degree = 5
(Normal- Suspect)
Y-axis
Abnormal rate
of Syn packets
Slide5959
Slide
Aplikační DoS útoky
HTTP Mitigator
Behaviorální analýza & generováni signatur
DoS & DDoS
Inputs
Public Network
- Network
- Servers
- Clients
Inbound Traffic
Application level threats
Zero-Minute
malware propagation
Behavioral
Analysis
Real-Time
Signature
Inspection
Module
Outbound Traffic
Enterprise
Network
Closed
Feedback
Real-Time
Signature
Generation
Abnormal
Activity
Detection
Optimize Signature
Remove when attack
is over
Slide 63
DNS Mitigator
Behavorální analýza DNS provozu
DNS dotazy – jejich rozložení
Četnost dotazů
DNS QPS
MX
records
A records base line
A records
MX records base line
TEXT
records
PTR records…
PTR
records
Other
records
AAAA records…
AAAA
records
Time
DoA per typ dotazu
Fuzzy Logic Inference
System
Normal
Attack
Suspect
Slide 69
SSL
Ochrana před útoky v šifrovaném provozu
Application “cookie”
engines
Traffic Anomalies
Floods
Network-Based DoS
Attacks
Application-Based DoS
Attacks (Clear and SSL)
L7 ASIC Regex
engine
“Directed” Application DoS
Attacks (Clear and SSL)
Clear
Clear
“Authenticated”
clients
Behavioral DoS &
TCP cookie engines
Client-side
termination point
Encrypted
Packet anomalies,
Black & white lists
Encrypted
Clear
Encrypted
Alteon’s SSL
Acceleration Engine
Slide 71
Ostatní metody
Další metody ochrany
IP reputation
Signatury
Black-white list, ACL
Řízení pásma (QoS)
Server cracking
Slide 73
Integrace
DefensePro
APSolute Vision
CLI, SNMP, SOAP
Signaling (SYSLOG) SNMP traps, mails
Reports, SQL
SDN
Netflow - Invea-tech
Slide 74
DefenseFlow - SDN
DefenseFlow Application
Collect
Analyze & Decide
Control
DefenseFlow Diversion
and DefensePro Mitigation
Network Controller
Mobile Users
A completely new solution architecture:
• From point security solution to network-wide solution enabled by SDN
• Dynamic, programmable, scalable, easy-to-operate security network service
• Best possible design:
• Always out of path except for under attack
• Unprecedented attack detection span
75
WAF
Vektory útoků
Top Attack Vectors
Source: webappsec.org
Slide 77
„Výsledek“ útoků
Top Impact / Outcomes
Source: webappsec.org
Slide 78
AppWall
Out-of-the-Box PCI Compliance
• WAF + IPS (PCI 6.6 & 11.4)
• PCI Compliance Reporting
Risk Management
Fast Implementation
• Simple initial deployment
• Best in class Auto-Policy Generation
APSolute Vision SIEM
• Unified and
Correlated reporting
across the network
• Security reporting
AppWall
Scalability
Complete Web App Protection
• Cluster deployment
• Centralized policy management
• Scalable by Device
• Full coverage of OWASP Top-10
• Negative & positive security models
Slide 79
Bezpečnost webu
•
Pokrytí OWASP Top-10
•
Negativní & Pozitivní bezpečnstní model
•
Out-of-the-Box pravidla
•
WASC Threat Classification
Slide 80
Complete Web Application Protection
Signature &
Rule
Protection
• Cross site scripting (XSS)
• SQL injection, LDAP injection,
OS commanding
Terminate
TCP,
Normalize,
HTTP RFC
• Evasions
• HTTP response splitting (HRS)
Data Leak
Prevention
• Credit card number (CCN) /
Social Security (SSN)
• Regular Expression
Slide 81
Complete Web Application Protection
Parameters
Inspection
• Buffer overflow (BO)
• Zero-day attacks
User
Behavior
• Cross site request forgery
• Cookie poisoning, session hijacking
Layer 7 ACL
• Folder/file/param level access control
• White listing or black listing
XML & Web
Services
• XML Validity and schema enforcement
Role Based
Policy
• Authentication
• User Tracking
Slide 82
Flexible Deployment Strategies
Access
Router
Virtual IP
Firewall
Public
IP IP
AppWall
ADC
Internet
AppWall
•
Transparent bridge mode
– No network topology changes required
– Transparent to non-HTTP traffic
– Fail-open interfaces
•
Web
Servers
AppWall Array
Transparent Reverse proxy
– HTTP Proxy for maximum security
– Preserves Original Client IP address
•
Reverse proxy
– HTTP Proxy for maximum security
•
Cluster deployment
– ADC farm deployment
– Auto policy synchronization within the farm
Slide 83
Automatická tvroba pravidel
App
Mapping
Threat
Analysis
Reservations.com
Risk analysis per “ application-path”
/config/
/admin/
SQL Injection
/register/
CCN breach
Spoof identity, steal user
information, data tampering
Information leakage
/hotels/
Gain root access control
/info/
Directory Traversal
/reserve/
Buffer Overflow
Unexpected application
behavior, system crash, full
system compromise
Slide 84
Doporučení ochrany
App
Mapping
Threat
Analysis
Policy
Generation
Reservations.com
/config/
/admin/
/register/
Prevent access to
sensitive app sections
SQL Injection
CCN breach
***********9459
/hotels/
/info/
Directory Traversal
/reserve/
Buffer Overflow
Mask CCN, SSN, etc. in
responses.
Traffic normalization &
HTTP RFC validation
P
Parameters inspection
Slide 85
Authentication, SSO & Role Based Policy
Authentication and login detection
Accounting and Auditing
Authorization and access control
Web based Single Sign On
Slide 86
RBAC
Organizational Roles
•
•
•
•
IT
HR
Finance
Operations
Attack Source
Application Roles
•
•
•
•
Customer
Partner
Employee
Administrator
18% 2%
External
Partner
80%
Internal
Slide 87
Více vektorový RBAC
Context
• Web Role
• IP & Geo Location
Security Policy
• Application Access Control
• Data Access and Visibility
• Web Security, XSS, SQL Inj.
Action
• Block
• Report
Slide 88
WAF = kritéria výběru
Jak rychle lze
nasadit?
• Autolearning – 7 dní
Výkon a
škálovatelnost
• Cluster a licence
Blokování je
špatného provozu
Nasazení
• Pozitovní a negativní bezpečnostní model
• Automatické generovnání pravidel
Slide 89
Signalizace
Web application attack
detected by AppWall
AppWall signals DefensePro
DefensePro
mitigates the attack
Data Center
HTTP Dynamic Flood
AppWall
DefensePro
Slide 90
Elastic WAF
Step #1.2
High AppWall
resource Utilization
Step #1.1
Growing traffic volume to
the Web application
Step #1.4
Reduced
Resource
utilization
Step #1.3
Add AppWall
Instance
Step #2.2
New Policy Assigned
Ext
vADC
Int
vADC
Multiple
Policies
Alteon
ADC-VX
User
Selective Routing of
Protected and
unprotected Tenants
Operator
Step #2.1
New Tenant Application added
DefensePipe / Scrubbing center
DefensePipe
Ochrana v cloudu před
„volumetric“ útoky
Přesměrování JEN
během útoků
První hybridní útoky na
trhu
Sdílené informace mezi
CPE a cloudem
Slide 94
DefensePipe Operation Flow
ISP
ERT with the customer
decide to divert the traffic
Volumetric
DDoS attack
On-premise
AMS that
blocks
the Internet
pipe
mitigates
the attack
Clean traffic
Defense Messaging
DefensePro
DefensePros
AppWall
Sharing essential
information for
attack mitigation
Protected Online Services
Protected organization
Slide 95
Radware AMS & ERT/SOC
• Security Operations Center (SOC)
– Pravidelné update signatur každý týden a kritické updaty okamžitě
– 24 x 7, znalost sdílená celosvětově
• Emergency Response Team (ERT)
– 24x7 služba pro zákazníky pod útokem
– Eliminace DoS/DDoS útotů, předejití škodám
Slide 96
U zákazníka nebo v cloudu?
Slide 97
SOC a ERT služby
Architektura
•
FlowMon sonda pro minitoring linky
– Lze monitorovat velké množství linek
•
FlowMon Collector (FC) sbíra statistiky a detekuje (DoS/DDoS) útok
– FlowMon sbíra statistiky pro DefensePro
•
•
FC poskytuje potřebné informace pro DefensePro a nakonfigureje profil a
pravidlo pro mitigaci. Po ukončení útoku je konfigurace vymazána.
Výhody:
– Škálovatelnost
Závěr
Shrnutí
• Více vektorů útoků
– Uživatele nasazují více řešení
– Útočníci využivají „mezer“ mezi neintegrovanými produkty
• Attack Mitigation System (AMS):
– Ochrana před APT (Advanced Persistent Threat = dlouhodobé „kampaně“)
– Integrované řešení / korelace mezi jednotlivými metodami
• Řešení pro
– Online aplikace
– Datová centra, hosting, cloud
– Poskytovale internetu
Slide 107
Thank You
www.radware.com
Dotazy?
[email protected]
www.radware.com
security.radware.com
Slide 109