1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

28
1 DDoS-Angriffe erfolgreich abwehren Jörg von der Heydt Channel & Marketing Manager Germany Februar 2013

Transcript of 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

Page 1: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

1

DDoS-Angriffe erfolgreich abwehren

Jörg von der HeydtChannel & Marketing Manager GermanyFebruar 2013

Page 2: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

2

AGENDA

• Was ist eine DDos-Attacke?• Was bezwecken DDoS Attacken?• Welche Arten von DDoS-Attacken gibt es?• Wie entsteht eine DDoS-Attacke?• Welchen Schutz gibt es?• Auswahlkriterien

Page 3: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

3

WAS IST EINE DDOS-ATTACKE?

Ein Angriff, dessen Ziel es ist,

ein Netzwerk, eine Applikation oder einen Dienstes so zu stören,

dass Systeme oder User keinen Zugriff mehr darauf haben.

Jedes Unternehmen mit einem Internetzugang,

einer Webpräsenz, einem Portal, einem Webshop oder anderer via Web erreichbarer

Dienste kann zum Ziel werden.

Page 4: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

4

AKTUELLE NEWS ZUM THEMA

Page 5: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

5

WAS BEZWECKEN DDOS ATTACKEN?

• Aufmerksamkeit z.B. politische oder gesellschaftskritische Motivation

Beispiel: Anonymus

• Rache Änderung/Limitierung eines Angebots

Beispiel: Sony Playstation Services

• Finanziell Rufschädigung oder Nichtverfügbarkeit eines Wettbewerbers

• Verschleierung Ablenkung vom eigentlichen Angriff „Durchschleusen“ von Angriffen

Page 6: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

6

WELCHE ARTEN VON DDOS ATTACKEN GIBT ES?

Vier Hauptziele von DDoS-Angriffen

Web Hosting Center

Firewall

ISP 1

ISP 2 Back End Databanken u. -Server

Server ResourcenSQL Injection Schwachstellen

Web Hosting ServerServer Schwachstellen,

Prozess- und Verbindguns-Limits

Firewall / IPS SystemeVerbindungstabellen,

Forwarding und Session Setup Prozesse

BandbreiteÜberfluten der vorhandenen Leitungskapazität mit nicht

legitimem Traffic

Page 7: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

7

UNTERSCHIEDLICHE ARTEN VON ANGRIFFEN

Volumen Angriffe

• belegen Internet-Leitungen

• überlasten Firewalls, Server- und andere Resourcen

• Typische Beispiele•SYN flood, UDP flood, ICMP flood und SMURF Angriffe

Application Layer Angriffe

• intelligenter• benötigen weniger

Resourcen • Botnet-Kosten

• Zielen auf Schwachstellen in Applikationen

•Umgehung von Flood-Erkennungs-mechanismen

Cloud Infrastruktur Angriffe

• Cloud-Lösungen wandeln das Internet in das “Corporate WAN”

• Angriffe zielen auf die gesamte Cloud Infrastruktur (Firewall, Mail & Web Server)

• Erkennung und Abwehr sind komplex

• Angriffe können gleichzeitig mehrere Kunden betreffen

Page 8: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

8

ANGRIFFSMETHODEN UND -TOOLS

• Viele verschiedene Konfigurierbare Perl-Skripte,

Java-Skripte, fertige Tools Windows, OSX, Android

• Verteilung als Stress Tester Utilities Development Toolkits Malware

• Nutzung als Individueller Angriff Freiwillige ‘Hacktivisten’

Attacke Botnet-gestützte Attacke

booster scripts

Page 9: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

9

BOTNET CONTROL CENTRE

Page 10: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

10

TOUJOURS

• Tool der Gruppe Anonymous einfachst zu nutzen

einfacher Download simpler „Klick“ auf Button

freiwillige Teilnahme an einem Anonymous-Botnet Bereitstellen des eigenen PCs für kollektive DDoS-Attacke NULL Vorkenntnisse erforderlich

Page 11: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

11

TRADITIONELLE VOLUMEN ANGRIFFE

• SYN Flood Zielt auf die Verbindungstabellen (Router/Firewall) Layer 3 Angriff Ziel wird mit TCP SYN Paketen “geflutet”

Session

TimeSessionTimeout

Maximum concurrent connections

Page 12: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

12

EIN PAAR ZAHLEN

Minimales Paket für eine neue Session = 84 bytes

Max. PPS (84 bytes) = Anzahl neuer Sessions/Sek.

Page 13: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

13

DDOS ANGRIFF AUF APPLIKATIONEN

• Ziel und Service genau bekannt Email/SMTP, DNS, Web/HTTP, SQL, SSH

• benötigt intelligente Tools Möglichkeit des Updates und der Anpassung bereits heute und in großem Umfang verfügbar!

• benötigen keine aufwändigen Resourcen i.d.R. genügen ein oder wenige Angreifer aufwändiges Mieten oder Einrichten von Botnets entfällt

• applikations-basierende DDoS-Angriffe machen bereits 25% aller Angriffe aus Wachstum im dreistelligen %-Bereich!

• kontinuierliche Weiterentwicklung zu beobachten Verhinderung der Angriffserkennung Schutz der Angreifer-Identität

Page 14: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

14

DER SLOWLORIS ANGRIFF

• Angriff auf HTTP von einem einzigen Client PC alt(!!), bereits in 2009 erkannt

• öffnet eine Verbindung zu einem Web Server nicht alle Webserver sind verwundbar

• sendet gültige, aber unvollständige, nicht endende Anfragen Prinzip: Sende “irgendwas” um ein Timeout zu verhindern

• Sockets werden offen gehalten Keine Sockets … Kein Service

GETHEADPOST

X-a

Page 15: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

15

DDOS Abwehr mit

• FortiGate Security Appliance (NGFW/UTM)• FortiWeb Web Application Firewall (WAF)• FortiDDOS Appliance

Page 16: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

16

FORTIGATE IPS PROZESS

Stateful Inspection Engine

Interface Policy

Flow Based Inspection Engine

Interface (Link Layer)

Network Processing Module

IPS Sensor(predefined & custom

Signatures)

(interface)IPS Sensor

Proxy Based Scanning Engine

Network Processing Module

Interface (Link Layer)

Application Control Sensor

Flow AV

Flow WCF

Flow DLP

Signature DB

(Interface) Application

Control Sensor

Signature DB

DoS Sensor

Page 17: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

17

DOS SENSOREN

DOS Abwehr• Erkennt und entschärft Traffic, der Teile einer DoS-Attacke ist• Anwendung als DOS-Policy VOR den Firewall-Policies• Schwellwertbasierend für verschiedene Netzwerk-Operationen

TCP UDP ICMP

Packet Rate to a Destination IP TCP_SYN_FLOOD UDP_FLOOD ICMP_FLOOD

Packet Rate from a Source IP TCP_PORT_SCAN UDP_SCAN ICMP_SWEEP

# of Concurrent Sessions to a Destination IP

TCP_DST_SESS UDP_DST_SESS ICMP_DST_SESS

# of Concurrent Sessions From a Source IP

TCP_SRC_SESS UDP_SRC_SESS ICMP_SRC_SESS

Page 18: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

18

DDOS ABWEHR MIT FORTIASICS (SP2/XG2-MODULE)

• Eingehender Traffic wird zunächst vom XG2-Modul bearbeitet• keine Beeinträchtigung anderer ASICs

oder der CPU

• SYN-Proxy erkennt fehlendes SYN-ACK

• Denial of Service Protection

• FortiASIC-NP4 erzeugt die Session übernimmt Load Balancing

• IPS Engine Processing wird auf mehrere XG2-Module verteilt DOS Protection

Load Balancing

Firewall session

IPS Engine Processing

FMC-XG2 FMC-XG2

FMC-XG2

FortiASICNP4

FMC-XG2

Page 19: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

20

DDOS Abwehr mit

• FortiGate Security Appliance (NGFW/UTM)

• FortiWeb Web Application Firewall (WAF)• FortiDDOS Appliance

Page 20: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

21

FORTIWEB DOS/DDOS ABWEHR

Applikations- und netzwerkbasierend• Analyse der Anfragen basierend auf

IP-Adresse oder Cookie• Erkennung, ob echte User oder automatisierte Angriffe

(HOIC, LOIC tools)• Application layer – 4 mögliche Policies

• HTTP Access Limit • beschränkt die Anzahl der HTTP-Requests/Sek. von einer IP_Adresse

• Malicious IPs • beschränkt die Anzahl der TCP-Verbindungen mit demselben Session-Cookie

• HTTP Flood Prevention • beschränkt die Anzahl der HTTP-Requests/Sek. mit demselben Session-Cookie

• Real Browser Enforcement • Sendet Skript an Client zur Erkennung, ob es sich um einen realen Browser oder ein

Automatisiertes Tool handelt

• Network layer – 2 verschiedene Policies• TCP Flood Prevention

• beschränkt die Anzahl von TCP-Verbindungen von derselben IP-Quelladresse

• SYN Cookie • schützt gegen SYN Flood Angriffe

Page 21: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

22

DDOS Abwehr mit

• FortiGate Security Appliance (NGFW/UTM)• FortiWeb Web Application Firewall (WAF)

• FortiDDOS Appliance

Page 22: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

23

FORTIDDOS ABWEHRMECHANISMEN

• Einsatz VOR der Firewall Transparente Integration Bypass Option mit FortiBridge Datenfluss-Processing mit FortiASIC-TP

• automatische Modellierung des erlaubten Traffics “Baselining” abh. von Kalenderdaten adaptive Schwellwert-Anpassung

typisches Traffic-Wachstum wird berücksichtigt keine erneute Messung erforderlich

Unterstützung mehrerer Links bis zu 8 virtuelle Instanzen keine zusätzliche HW Appliance erforderlich

Hosting Center

FirewallFortiGate

DDOS Schutz mitFortiDDOS

Links fromISP(s)

Page 23: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

24

FORTIDDOS ABWEHRMECHANISMEN

Hardware beschleunigte DDoS Abwehr

FortiDDoS™

Web Hosting Center

Firewall

Legitimate TrafficMalicious Traffic

ISP 1

ISP 2

Rate Based Detection Inline Full Transparent Mode

keine MAC-Addressänderung

Self Learning Baseline Anpassung i.Abh.v. Verhalten

Granularer Schutz detaillierte Schwellwerteinstellung schnellere Reaktion auf

Veränderungen weniger False Positives

Page 24: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

25

FORTIDDOS ARBEITSWEISE

• Erkennung vollständig in Hardware Paketverarbeitung durch FortiASIC-TP Klassifizierung und Bewertung über

verschiedene Ebenen/Layer Korrelation mit dynamisch erzeugtem

Traffic-Modell Erkennung von

Protokoll Anomalien Schwellwert-Überschreitungen und Applikation Level Angriffen

• Eliminierung erfolgt auf FortiDDOS Keine Traffic-Umleitung oder Control Plane

Unterbrechung (BGP) keine versteckten Kosten einfacher Einsatz sofortige Wirkung

Virtual Partitioning

Geo-Location ACL

Protocol AnomalyPrevention

Packet FloodMitigation

Stateful InspectionOut of State Filtering

Granular Layer 3 and 4Filtering

Application LayerFiltering

Algorithmic Filtering

Heuristic Filtering

Bogon Filtering

Att

ack T

raffi

c

Leg

itim

ate

Tra

ffic

Page 25: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

26

TRAFFIC BASELINING

Page 26: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

27

AUSWAHLKRITERIEN ZUR DDOS-ABWEHR

Neueste Technologie Angreifer arbeiten mit „New Technology“ „Old-School“-Abwehr versagt hier

Zentrales Monitoring Überwachung aller Netzwerk- und DDoS-

Vorkommnisse im gesamten Netz z.B. mittels SNMP, Cacti oder MRTG Korrelation von Syslog-Events auf einem zentralen

Server

Granulare Langzeit-Überwachung ideal über min. 12 Monate Vergleich über Traffic-Entwicklung

Alarmierungs-Hierarchie Prozess-Definition: Wer bekommt welchen Alarm? Voraussetzung: Reporting nach

Top10-Angreifer/Ziel/Angriffsform oder customized report

Umfangreiche Filtermechnismen zur Reduzierung von False-Positives

Low Latency Sensitive Umgebungen (Shops, eTrading usw.)

bedürfen extrem kurzer Latenzzeiten

Hardware-basierte DDoS-Logik DDoS Erkennung in Software ist „mainstream“, aber

bei Volumenattacken wirkungslos

Bypass- und Redundanz-Fähigkeit Ausfall der Appliance ist system- und

unternehmenskritisch -> Bypass muss möglich sein Asymmetrischer Traffic-Support (Inbound/Outbound) Multiple Link Support für X-Connect mit weiteren

Appliances

Skalierbarkeit

Page 27: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

28

KOMPLEMENTÄRE FORTINET DDOS LÖSUNGEN

• Schutz: Netzwerk Infrastruktur• Technologie: DDoS Abwehr als erste Abwehrinstanz;

Anomalieerkennung basierend i.w. auf Schwellwerten; nur grundlegende Protokollanalyse und Granularität

• Abwehr von: low-volume netzwerkbasierende Angriffe wie TCP SYN flood, UDP/ICMP floods, TCP port scans, etc. oder high-volume bei SP2/SP3 (FG3140, FG3950)

FortiGate

• Schutz: Web- und Applikations-Server• Technologie: Transparenter Challenge/Response Ansatz, um

erlaubte Requests zu identifizieren• Abwehr von: Netzwerk- und Application-Layer Angriffen, die auf

Applikationen , Web Services wie z.B. HTTP GET/POST Requests, Slowloris, SQL injection, abzielen.

FortiWeb

• Schutz: Webhosting- oder Netzwerk Infrastruktur UND Security Infrastruktur (wie Firewalls und IPS etc.)

• Technologie: L2 transparent device mit Auto Traffic Profiler Learning; High performance ASIC-beschleunigte Erkennung und Abschwächung von Angriffen über alle Ebenen hinweg (L3, L4 and L7), unter Einbe-ziehung aller 256 Protocolle und bis zu 1 Million source/destination IP Addressen; Entwickelt für hohe Angriffslast ohne Einfluss auf Durch-satz; Auto-Learning beschleunigt den Einsatz bei minimalem Konfigu-rationsaufwand

FortiDDoS

Fort

iGate

Fort

iWeb

Fort

iDD

oS

Page 28: 1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

29

Vielen Dank!

Jörg von der HeydtChannel & Marketing Manager Germany FORTINET GmbH | Märkischer Ring 75 | 58097 HagenTel     +49 2331 924609Fax    +49 2331 924699Mob   +49 163 2925774Email  [email protected] www.fortinet.com