English

Belépés


DDoS Secure: leigázhatatlan szolgáltatások

Napjainkban különösen sokszor kerülnek szóba azok a támadások, amelyek rendszerek, weboldalak, szolgáltatások megbénításával okoznak károkat. Azonban az a tény, hogy a DDoS (Distributed Denial of Service), azaz az elosztott szolgáltatásmegtagadási támadások egyre gyakoribbakká válnak, még csak a problémák egy részét fedi le. Ennél komolyabb gondot jelent, hogy az alvilági akciók intenzitása folyamatosan növekszik, ami egyre nagyobb terhelést ró a hálózatokra, illetve a célkeresztbe állított alkalmazásokra. Azt, hogy milyen kritikus kockázati tényezőt jelentenek ezek a támadások, jól szemlélteti a Ponemon Institute 2013-ban elvégzett felmérése is, amely szerint a webes károkozások után ezek járulnak hozzá a legsúlyosabb incidensekhez. Ezzel a DDoS olyan fenyegetettségeket előz meg a rangsorban, mint például a sokat emlegetett számítógépes vírusok, a hackertámadások és az adathalászat.

Az elosztott szolgáltatásmegtagadások 2013-ban akkor kerültek a hírek élére, amikor bekövetkezett minden idők legnagyobb támadása a Spamhaus rendszerei ellen. Akkor az összehangolt akció összesen 300 Gbps-os sávszélességet emésztett fel. Természetesen a „hétköznapi” támadások korántsem ekkora intenzitással csapnak le: átlagosan 3-3,5 Gbps-os sávszélesség-felhasználásról beszélhetünk. Ugyanakkor az ilyen nagyságrendű incidensek is teljes fennakadást okozhatnak egy szervezet életében, és kritikus fontosságú hálózatokat, szervereket, alkalmazásokat béníthatnak meg. Amennyiben erre sor kerül, akkor azt az üzletmenet-folytonosság azonnal megsínyli, és az üzleti folyamatok csorbulása miatt rögtön felmerülnek az első károk. Ezekhez pedig a későbbiekben hozzáadódnak a helyreállítási költségek, de persze a hírnéven esett csorbát sem egyszerű kiköszörülni.

A szolgáltatásmegtagadási támadások mögött meghúzódó elkövetők alapvetően kétféle motivációval lendülhetnek akcióba. Egyrészt hacktivista csoportok esetén többnyire politikai, ideológiai, emberi jogi célok vezérlik a támadókat. Másrészt a kiberbűnözők eszköztárából sem hiányoznak a DDoS-módszerek, akik sok esetben gazdasági, anyagi érdekekből bénítanak meg rendszereket. Ebből az is következik, hogy valójában típustól és mérettől függetlenül minden szervezet esetében fel kell készülni az ilyen jellegű károkozásokra. Olyan védelmi technológiák alkalmazására van szükség, amelyek hathatósan képesek meggátolni vagy legalább elfogadható szintre mérsékelni a szolgáltatásmegtagadások romboló hatásait. A védelem azonban azért sem egyszerű, mivel a DDoS-eljárások esetében jelentős fejlődés történt az elmúlt években, és mind összetettebb, újabb és újabb rétegekben jelentkező problémákra kell megoldást találni.

Szofisztikált támadások

A hagyományosnak nevezhető szolgáltatásmegtagadási eljárások (mint amilyen például a TCP SYN Floods, a Teardrop, a Smurf vagy a Ping of death) már régóta ismertek a hálózati és biztonsági termékek gyártói előtt, így azok ellen már – akár a hálózati eszközök helyes konfigurálásával – is többnyire hatékonyan fel lehet venni a kesztyűt. Nyilván ezzel a támadók is tisztában vannak, ezért folyamatosan újabb lehetőségek után néznek. Az egyik ilyen, hogy a DDoS-akcióikba botnet hálózatokat vonnak be, és a kártékony programjaik révén felhasználják a fertőzött rendszerek erőforrásait. Ilyenkor sok ezer PC-ről indíthatnak összehangolt támadást, ami ellen a hagyományos védelmi megoldások, többek között a feketelistákra épülő eljárások sem képesek megfelelően fellépni.

A másik szintén aggasztó jelenség, hogy a szolgáltatásmegtagadások egyre jelentősebb hányada már nem a hálózati rétegeket célozza, hanem sokkal inkább alkalmazásszinten fenyeget. Ilyenkor az elkövetők szoftveres sebezhetőségeket aknáznak ki, és viszonylag kisebb sávszélesség-felhasználás mellett is képesek lehetnek teljes rendszerek, kiszolgálók megbénítására. Az úgynevezett „low-and-slow” vagy más néven „low-bandwidth” támadások szépen csendben járulnak hozzá az alkalmazások, szolgáltatások összeomlásához. Nyilvánvalóan ilyen esetekben azok az anti-DDoS technológiák, amelyek csak a sávszélesség-kihasználására vagy a hálózati kérések számosságára, gyakoriságára összpontosítanak, hatástalanná válhatnak.

 

Lépjünk a tettek mezejére

A DDoS-támadások fejlődésére természetesen a hálózati és biztonsági megoldások fejlesztői is reagáltak, és új megoldásokkal rukkoltak elő. E gyártók közül nem képez kivételt a Juniper sem, amely a DDoS Secure technológiájával igyekszik felvenni a küzdelmet az informatikai erőforrásokat és szolgáltatásokat veszélyeztető támadások ellen.

A DDoS Secure feladata, hogy speciális algoritmusok és integrált összetevők révén elemezze a ki- és bemenő hálózati adatforgalmat, illetve az adatfolyam forrása, nagysága és típusa, valamint az alkalmazott protokollok alapján pontosan kiszűrje a DDoS-ra utaló jeleket. Nyilván mindezt olyan módon kell megtennie, hogy ne okozzon késleltetést, lassulást az adatforgalomban, és ne idézzen elő false positive, azaz téves riasztásokat, ezáltal a legitim felhasználókat ne zárja el a védett szerverek, szolgáltatások, alkalmazások hozzáférésétől.

Annak érdekében, hogy az eszköz az elvárásoknak megfelelhessen, heurisztikus technológiákat alkalmaz, amik révén az ártalmatlan és a káros adatforgalmat el tudja különíteni egymástól. Nagy szerepet kapnak az úgynevezett CHARM algoritmusok, amelyek az asszociatív elemzést és a gyakori, zárt minták felismerését biztosítják. A gyártó úgy fogalmaz, hogy az eszközét olyan alkalmazásszintű intelligenciával vértezte fel, amely viselkedésalapú technikák révén folyamatosan képes monitorozni és felügyelni a hálózatot a DDoS tekintetében. Ennek során a DDoS Secure folyamatosan tanul, és az öntanuló mechanizmusok révén feltérképezi a megbízható IP-címeket, adatforrásokat. A szokatlan, gyanús eseményekre pedig azonnal reagál, a feltárt rendellenességek súlyosságától függően közbeavatkozik, és biztosítja a legitim kapcsolatok számára a lehető legnagyobb sávszélességet.

 

A telepítés

A DDoS Secure kétféle változatban érhető el, ilyen módon appliance-ként és virtualizált módon is használatba vehető. Mindkét esetben elmondható, hogy a beüzemelése nagyon gyorsan elvégezhető, ugyanis az eszköz beállítása miatt egy cseppet sem kell megbolygatni a meglévő hálózati infrastruktúrát. Mindössze arról kell gondoskodni, hogy a hálózati átjárónál a be- és a kimenő adatforgalom áthaladjon az eszközön. A Juniper termékének még IP-címre sincs szüksége az alapvető feladatainak ellátásához. IP-címet „mindössze” azért kell kapnia, hogy a menedzselhetősége biztosított legyen. A hálózati és biztonsági szakemberek két módon konfigurálhatják, illetve ellenőrizhetik a működését. Vagy egy webes, grafikus felületen keresztül, vagy egy parancssoros interfész révén kezelhetik a védelmi megoldást. Nyilvánvalóan az előbbi kényelmesebb megoldást biztosít, ugyanis jóval átláthatóbbá teszi az eszköz amúgy teljesen transzparens működését.

A DDoS Secure első indításakor tulajdonképpen rögtön elérhetővé válik a menedzsment felület (alapértelmezetten a 192.168.0.196-os IP címen). Ekkor a gyári jelszavakkal – amiket természetesen rögtön célszerű megváltoztatni – be lehet jelentkezni, és megkezdeni a finomhangolást, monitorozást.

 

Minden információ egy felületen

A kezdőképernyő jó áttekintést ad arról, hogy éppen mi történik a hálózatban. Számos diagram és információk tömkelege áll rendelkezésre ahhoz, hogy pontos képet kaphassunk az adatforgalom alakulásáról, a sávszélesség-kihasználtságáról, az esetleges támadások állapotáról, és az ártalmatlan, valamint a káros adatforgalom alakulásáról. Ha pedig ez nem lenne elegendő, akkor a „Status info” menüpont segítségével még lejjebb lehet „fúrni” a rendelkezésre álló adatokban, és csomagszintű információk birtokába lehet jutni.

 

 

A Juniper mérnökei egy külön menüpont révén tették elérhetővé azokat az információkat, amelyek az éppen folyamatban lévő támadásokkal kapcsolatban nyújtanak tájékoztatást. Itt megtudható, hogy az eszköz mely IP-címekről érkező adatforgalmat találta gyanúsnak, és azok kapcsán milyen problémákat észlelt. Ez az oldal az incidensreagálás nélkülözhetetlen eszköze. A többi információs menüpont további lehetőségeket kínál a vizsgálatokhoz és a felügyelethez. Így például TCP, UDP, ICMP, URL, DNS és SÍP alapú nézetekből is szemlélhetők a történések. Ez a felsorolás azt is jól mutatja, hogy a biztonsági eszköz különös figyelmet fordít a webes rendszerek, a DNS, valamint az internetes kommunikáció (VoIP) oltalmazására.

 

Konfiguráljunk!

A DDoS Secure sok lehetőséget biztosít mind az adminisztráció, mind a működés finomhangolására. Az eszközmenedzsmentet illetően két alapbeállítást mindenképpen el kell végezni. Egyrészt be kell állítani az eszköz adminisztrációs IP-címét, másrészt fel kell venni a felügyeletre és konfigurálásra jogosult felhasználókat. Őket több jogosultsági csoportba (adminisztrátor, operátor, vendég, sso) lehet sorolni attól függően, hogy milyen műveletek végrehajtására van hatáskörük.

 

 

Az alapvető adminisztrációs teendők elvégzése után következhet a készülék működését nagymértékben befolyásoló interfészbeállítások megtétele. Itt külön-külön szabályozható a külső (internetes), a védett és a menedzsment interfész. A beállítások tekintetében a legfontosabb azonban a hálózati mód kiválasztása: a DDoS Secure háromféle üzemmódot támogat. L2-módban tulajdonképpen egy átjáróként vagy bridge-ként funkcionál és promiscuous módban fut. Az L2/L3 üzemmód esetén második rétegbeli eszközként működik, de hanyagolja a promiscuous megközelítést. Végül pedig rendelkezésre áll egy L3 (router) üzemmód, amely leginkább a virtuális környezetekben való alkalmazását segíti elő.

 

A konfigurálás harmadik lépésében kerülhet sor a DDoS Secure további beállításainak elvégzésére. Ekkor meg lehet adni, hogy a védett erőforrások (MAC-címek) felismerése miként történjen. Az automatikus detektálási folyamatoknak azért ez esetben is lehet manuálisan segíteni, hiszen fekete és fehérlisták létrehozására is van lehetőség. Ezek IP, AS (Autonomous System) és országkód szerint definiálhatóak.

 

 

A DDoS Secure reagálási eljárását egy egyszerű lenyíló ablak révén lehet meghatározni a következők szerint:

Defending: az eszköz alapértelmezése, amelyben az ártalmatlan csomagokat átengedi, míg szükség esetén azonnal beavatkozik.

Defending-NoStateLearn: a DDoS Secure a bekapcsolását, újraindítását vagy a hálózati kábel csatlakoztatását követő 5 percen belül kicsit engedékenyebben viselkedik, és a hálózat feltérképezését végzi annak érdekében, hogy a már felépült kapcsolatokat még véletlenül se bontsa le. Ez a fajta viselkedése ezzel az opcióval kiiktatható.

Logging: az eszköz folyamatosan monitorozza a hálózati adatforgalmat, és megjelöli a gyanús kapcsolatokat. Ekkor detektálja az incidenseket, viszont egyetlen csomagot sem „dob el”. (A Logging üzemmód tovább finomítható, de ezek a lehetőségek ritkábban használatosak.)

 

Magas rendelkezésre állás

A DDoS Secure nagyon fontos jellemzője, hogy teljes mértékben támogatja a magas rendelkezésre állású működést. Alapvetően két lehetőség közül lehet választani. A Standalone üzemmód esetében egy eszköz biztosítja a hálózat védelmét, és a kiesése esetén anti-DDoS képességek nélkül marad a hálózat. (Az adatforgalomban nem feltétlenül merülnek fel problémák, ugyanis ilyenkor az eszköz zökkenőmentesen átengedi a csomagokat.)

A másik, nagy rendelkezésre állást biztosító üzemmód kifejezetten HA clusterek esetében jöhet jól, amikor az egyes eszközök Active-Standby kapcsolatban vannak, és szükség esetén átveszik egymástól a feladatokat. A DDoS Secure eszközök egy hálózaton belül nemcsak egymás állapotinformációit osztják meg, hanem annál jóval többre képesek. A DDTI (Dynamic Distributed Threat Intelligence) technológia révén ugyanis arra is alkalmasak, hogy ha az egyikük támadást észlel, akkor az az összes többi hálózatban lévő DDoS Secure-ral közli azokat az információkat, amik a kritikus erőforrások védelméhez szükségesek. Vagyis a tanulási folyamat nemcsak a készülékekben, hanem azok csoportján belül is megvalósul.

 

Részletes naplózás

Ahogy egyetlen biztonsági eszközből, úgy a DDoS Secure-ból sem hiányoznak a naplózást lehetővé tevő összetevők. Ezek biztosítják a nyomon követhetőséget, az utólagos (akár forensic) vizsgálatokat, és a szabványos megközelítésnek köszönhetően a központosított naplókezelést. A Juniper terméke támogatja az SNMP-alapú felügyeletet, valamint a Syslog és a NetFlow szerverekkel való együttműködést. Mindezek mellett elektronikus levelekben is képes riasztásokat küldeni az arra illetékes személyek számára. A riasztási és naplózási szintek nagyon pontosan szabályozhatóak a különböző támadástípusok és azok intenzitásának függvényében.

 

 

Összegzés

A Juniper DDoS Secure az informatikai infrastruktúrák, szolgáltatások és alkalmazások egy nagyon fontos védelmi vonalául szolgálhat. Képes olyan módon elhárítani az elosztott szolgáltatásmegtagadási támadásokból eredő üzletmenet-folytonossági problémákat, hogy közben teljesen transzparensen, a hálózati kommunikáció lassítása nélkül működik. Rendelkezik azokkal a védelmi, rendelkezésre állási és skálázhatósági képességekkel, amik révén a legkülönfélébb vállalati környezetekben is megállja a helyét, méghozzá olyan módon, hogy ehhez a meglévő infrastruktúrát nem kell átalakítani. A segítségével a legitim felhasználók és hálózati kapcsolatok kiszolgálása még akkor is zökkenőmentessé tehető, amikor egy DDoS-támadás következtében egyébként a szolgáltatásokban kiesések lennének tapasztalhatók. Az informatikai és biztonsági csapatok pedig gyorsabban reagálhatnak az incidensekre, és azokat komoly mélységekben térképezhetik fel egészen a támadások forrásáig.