Post on 06-Apr-2015
1
DDoS-Angriffe erfolgreich abwehren
Jörg von der HeydtChannel & Marketing Manager GermanyFebruar 2013
2
AGENDA
• Was ist eine DDos-Attacke?• Was bezwecken DDoS Attacken?• Welche Arten von DDoS-Attacken gibt es?• Wie entsteht eine DDoS-Attacke?• Welchen Schutz gibt es?• Auswahlkriterien
3
WAS IST EINE DDOS-ATTACKE?
Ein Angriff, dessen Ziel es ist,
ein Netzwerk, eine Applikation oder einen Dienstes so zu stören,
dass Systeme oder User keinen Zugriff mehr darauf haben.
Jedes Unternehmen mit einem Internetzugang,
einer Webpräsenz, einem Portal, einem Webshop oder anderer via Web erreichbarer
Dienste kann zum Ziel werden.
4
AKTUELLE NEWS ZUM THEMA
5
WAS BEZWECKEN DDOS ATTACKEN?
• Aufmerksamkeit z.B. politische oder gesellschaftskritische Motivation
Beispiel: Anonymus
• Rache Änderung/Limitierung eines Angebots
Beispiel: Sony Playstation Services
• Finanziell Rufschädigung oder Nichtverfügbarkeit eines Wettbewerbers
• Verschleierung Ablenkung vom eigentlichen Angriff „Durchschleusen“ von Angriffen
6
WELCHE ARTEN VON DDOS ATTACKEN GIBT ES?
Vier Hauptziele von DDoS-Angriffen
Web Hosting Center
Firewall
ISP 1
ISP 2 Back End Databanken u. -Server
Server ResourcenSQL Injection Schwachstellen
Web Hosting ServerServer Schwachstellen,
Prozess- und Verbindguns-Limits
Firewall / IPS SystemeVerbindungstabellen,
Forwarding und Session Setup Prozesse
BandbreiteÜberfluten der vorhandenen Leitungskapazität mit nicht
legitimem Traffic
7
UNTERSCHIEDLICHE ARTEN VON ANGRIFFEN
Volumen Angriffe
• belegen Internet-Leitungen
• überlasten Firewalls, Server- und andere Resourcen
• Typische Beispiele•SYN flood, UDP flood, ICMP flood und SMURF Angriffe
Application Layer Angriffe
• intelligenter• benötigen weniger
Resourcen • Botnet-Kosten
• Zielen auf Schwachstellen in Applikationen
•Umgehung von Flood-Erkennungs-mechanismen
Cloud Infrastruktur Angriffe
• Cloud-Lösungen wandeln das Internet in das “Corporate WAN”
• Angriffe zielen auf die gesamte Cloud Infrastruktur (Firewall, Mail & Web Server)
• Erkennung und Abwehr sind komplex
• Angriffe können gleichzeitig mehrere Kunden betreffen
8
ANGRIFFSMETHODEN UND -TOOLS
• Viele verschiedene Konfigurierbare Perl-Skripte,
Java-Skripte, fertige Tools Windows, OSX, Android
• Verteilung als Stress Tester Utilities Development Toolkits Malware
• Nutzung als Individueller Angriff Freiwillige ‘Hacktivisten’
Attacke Botnet-gestützte Attacke
booster scripts
9
BOTNET CONTROL CENTRE
10
TOUJOURS
• Tool der Gruppe Anonymous einfachst zu nutzen
einfacher Download simpler „Klick“ auf Button
freiwillige Teilnahme an einem Anonymous-Botnet Bereitstellen des eigenen PCs für kollektive DDoS-Attacke NULL Vorkenntnisse erforderlich
11
TRADITIONELLE VOLUMEN ANGRIFFE
• SYN Flood Zielt auf die Verbindungstabellen (Router/Firewall) Layer 3 Angriff Ziel wird mit TCP SYN Paketen “geflutet”
Session
TimeSessionTimeout
Maximum concurrent connections
12
EIN PAAR ZAHLEN
Minimales Paket für eine neue Session = 84 bytes
Max. PPS (84 bytes) = Anzahl neuer Sessions/Sek.
13
DDOS ANGRIFF AUF APPLIKATIONEN
• Ziel und Service genau bekannt Email/SMTP, DNS, Web/HTTP, SQL, SSH
• benötigt intelligente Tools Möglichkeit des Updates und der Anpassung bereits heute und in großem Umfang verfügbar!
• benötigen keine aufwändigen Resourcen i.d.R. genügen ein oder wenige Angreifer aufwändiges Mieten oder Einrichten von Botnets entfällt
• applikations-basierende DDoS-Angriffe machen bereits 25% aller Angriffe aus Wachstum im dreistelligen %-Bereich!
• kontinuierliche Weiterentwicklung zu beobachten Verhinderung der Angriffserkennung Schutz der Angreifer-Identität
14
DER SLOWLORIS ANGRIFF
• Angriff auf HTTP von einem einzigen Client PC alt(!!), bereits in 2009 erkannt
• öffnet eine Verbindung zu einem Web Server nicht alle Webserver sind verwundbar
• sendet gültige, aber unvollständige, nicht endende Anfragen Prinzip: Sende “irgendwas” um ein Timeout zu verhindern
• Sockets werden offen gehalten Keine Sockets … Kein Service
GETHEADPOST
X-a
15
DDOS Abwehr mit
• FortiGate Security Appliance (NGFW/UTM)• FortiWeb Web Application Firewall (WAF)• FortiDDOS Appliance
16
FORTIGATE IPS PROZESS
Stateful Inspection Engine
Interface Policy
Flow Based Inspection Engine
Interface (Link Layer)
Network Processing Module
IPS Sensor(predefined & custom
Signatures)
(interface)IPS Sensor
Proxy Based Scanning Engine
Network Processing Module
Interface (Link Layer)
Application Control Sensor
Flow AV
Flow WCF
Flow DLP
Signature DB
(Interface) Application
Control Sensor
Signature DB
DoS Sensor
17
DOS SENSOREN
DOS Abwehr• Erkennt und entschärft Traffic, der Teile einer DoS-Attacke ist• Anwendung als DOS-Policy VOR den Firewall-Policies• Schwellwertbasierend für verschiedene Netzwerk-Operationen
TCP UDP ICMP
Packet Rate to a Destination IP TCP_SYN_FLOOD UDP_FLOOD ICMP_FLOOD
Packet Rate from a Source IP TCP_PORT_SCAN UDP_SCAN ICMP_SWEEP
# of Concurrent Sessions to a Destination IP
TCP_DST_SESS UDP_DST_SESS ICMP_DST_SESS
# of Concurrent Sessions From a Source IP
TCP_SRC_SESS UDP_SRC_SESS ICMP_SRC_SESS
18
DDOS ABWEHR MIT FORTIASICS (SP2/XG2-MODULE)
• Eingehender Traffic wird zunächst vom XG2-Modul bearbeitet• keine Beeinträchtigung anderer ASICs
oder der CPU
• SYN-Proxy erkennt fehlendes SYN-ACK
• Denial of Service Protection
• FortiASIC-NP4 erzeugt die Session übernimmt Load Balancing
• IPS Engine Processing wird auf mehrere XG2-Module verteilt DOS Protection
Load Balancing
Firewall session
IPS Engine Processing
FMC-XG2 FMC-XG2
FMC-XG2
FortiASICNP4
FMC-XG2
20
DDOS Abwehr mit
• FortiGate Security Appliance (NGFW/UTM)
• FortiWeb Web Application Firewall (WAF)• FortiDDOS Appliance
21
FORTIWEB DOS/DDOS ABWEHR
Applikations- und netzwerkbasierend• Analyse der Anfragen basierend auf
IP-Adresse oder Cookie• Erkennung, ob echte User oder automatisierte Angriffe
(HOIC, LOIC tools)• Application layer – 4 mögliche Policies
• HTTP Access Limit • beschränkt die Anzahl der HTTP-Requests/Sek. von einer IP_Adresse
• Malicious IPs • beschränkt die Anzahl der TCP-Verbindungen mit demselben Session-Cookie
• HTTP Flood Prevention • beschränkt die Anzahl der HTTP-Requests/Sek. mit demselben Session-Cookie
• Real Browser Enforcement • Sendet Skript an Client zur Erkennung, ob es sich um einen realen Browser oder ein
Automatisiertes Tool handelt
• Network layer – 2 verschiedene Policies• TCP Flood Prevention
• beschränkt die Anzahl von TCP-Verbindungen von derselben IP-Quelladresse
• SYN Cookie • schützt gegen SYN Flood Angriffe
22
DDOS Abwehr mit
• FortiGate Security Appliance (NGFW/UTM)• FortiWeb Web Application Firewall (WAF)
• FortiDDOS Appliance
23
FORTIDDOS ABWEHRMECHANISMEN
• Einsatz VOR der Firewall Transparente Integration Bypass Option mit FortiBridge Datenfluss-Processing mit FortiASIC-TP
• automatische Modellierung des erlaubten Traffics “Baselining” abh. von Kalenderdaten adaptive Schwellwert-Anpassung
typisches Traffic-Wachstum wird berücksichtigt keine erneute Messung erforderlich
Unterstützung mehrerer Links bis zu 8 virtuelle Instanzen keine zusätzliche HW Appliance erforderlich
Hosting Center
FirewallFortiGate
DDOS Schutz mitFortiDDOS
Links fromISP(s)
24
FORTIDDOS ABWEHRMECHANISMEN
Hardware beschleunigte DDoS Abwehr
FortiDDoS™
Web Hosting Center
Firewall
Legitimate TrafficMalicious Traffic
ISP 1
ISP 2
Rate Based Detection Inline Full Transparent Mode
keine MAC-Addressänderung
Self Learning Baseline Anpassung i.Abh.v. Verhalten
Granularer Schutz detaillierte Schwellwerteinstellung schnellere Reaktion auf
Veränderungen weniger False Positives
25
FORTIDDOS ARBEITSWEISE
• Erkennung vollständig in Hardware Paketverarbeitung durch FortiASIC-TP Klassifizierung und Bewertung über
verschiedene Ebenen/Layer Korrelation mit dynamisch erzeugtem
Traffic-Modell Erkennung von
Protokoll Anomalien Schwellwert-Überschreitungen und Applikation Level Angriffen
• Eliminierung erfolgt auf FortiDDOS Keine Traffic-Umleitung oder Control Plane
Unterbrechung (BGP) keine versteckten Kosten einfacher Einsatz sofortige Wirkung
Virtual Partitioning
Geo-Location ACL
Protocol AnomalyPrevention
Packet FloodMitigation
Stateful InspectionOut of State Filtering
Granular Layer 3 and 4Filtering
Application LayerFiltering
Algorithmic Filtering
Heuristic Filtering
Bogon Filtering
Att
ack T
raffi
c
Leg
itim
ate
Tra
ffic
26
TRAFFIC BASELINING
27
AUSWAHLKRITERIEN ZUR DDOS-ABWEHR
Neueste Technologie Angreifer arbeiten mit „New Technology“ „Old-School“-Abwehr versagt hier
Zentrales Monitoring Überwachung aller Netzwerk- und DDoS-
Vorkommnisse im gesamten Netz z.B. mittels SNMP, Cacti oder MRTG Korrelation von Syslog-Events auf einem zentralen
Server
Granulare Langzeit-Überwachung ideal über min. 12 Monate Vergleich über Traffic-Entwicklung
Alarmierungs-Hierarchie Prozess-Definition: Wer bekommt welchen Alarm? Voraussetzung: Reporting nach
Top10-Angreifer/Ziel/Angriffsform oder customized report
Umfangreiche Filtermechnismen zur Reduzierung von False-Positives
Low Latency Sensitive Umgebungen (Shops, eTrading usw.)
bedürfen extrem kurzer Latenzzeiten
Hardware-basierte DDoS-Logik DDoS Erkennung in Software ist „mainstream“, aber
bei Volumenattacken wirkungslos
Bypass- und Redundanz-Fähigkeit Ausfall der Appliance ist system- und
unternehmenskritisch -> Bypass muss möglich sein Asymmetrischer Traffic-Support (Inbound/Outbound) Multiple Link Support für X-Connect mit weiteren
Appliances
Skalierbarkeit
28
KOMPLEMENTÄRE FORTINET DDOS LÖSUNGEN
• Schutz: Netzwerk Infrastruktur• Technologie: DDoS Abwehr als erste Abwehrinstanz;
Anomalieerkennung basierend i.w. auf Schwellwerten; nur grundlegende Protokollanalyse und Granularität
• Abwehr von: low-volume netzwerkbasierende Angriffe wie TCP SYN flood, UDP/ICMP floods, TCP port scans, etc. oder high-volume bei SP2/SP3 (FG3140, FG3950)
FortiGate
• Schutz: Web- und Applikations-Server• Technologie: Transparenter Challenge/Response Ansatz, um
erlaubte Requests zu identifizieren• Abwehr von: Netzwerk- und Application-Layer Angriffen, die auf
Applikationen , Web Services wie z.B. HTTP GET/POST Requests, Slowloris, SQL injection, abzielen.
FortiWeb
• Schutz: Webhosting- oder Netzwerk Infrastruktur UND Security Infrastruktur (wie Firewalls und IPS etc.)
• Technologie: L2 transparent device mit Auto Traffic Profiler Learning; High performance ASIC-beschleunigte Erkennung und Abschwächung von Angriffen über alle Ebenen hinweg (L3, L4 and L7), unter Einbe-ziehung aller 256 Protocolle und bis zu 1 Million source/destination IP Addressen; Entwickelt für hohe Angriffslast ohne Einfluss auf Durch-satz; Auto-Learning beschleunigt den Einsatz bei minimalem Konfigu-rationsaufwand
FortiDDoS
Fort
iGate
Fort
iWeb
Fort
iDD
oS
29
Vielen Dank!
Jörg von der HeydtChannel & Marketing Manager Germany FORTINET GmbH | Märkischer Ring 75 | 58097 HagenTel +49 2331 924609Fax +49 2331 924699Mob +49 163 2925774Email jvdheydt@fortinet.comWeb www.fortinet.com