Jak se bránit před DDoS útoky Petr Lasek, RADWARE 19.09.2014
Významné útoky
Slide 2
Slide 3
Agenda • • • • • •
Radware Aktuální rizika, kritéria výběru Příklady útoků Attack Mitigation System (AMS) Případová studie Shrnutí
Slide 4
APSolute řešení
1
1
3
RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace: - maximální dostupnost (Availability), - maximální výkon (Performance), - bezpečnost (Security)
Slide 5
About Radware Over 10,000 Customers
Company Growth 167,0 144,1
108,9
68,4
77,6 81,4
88,6
94,6
54,8
38,4 43,3 43,7 4,9
14,1
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
Recognized Market Leader & vision IPS Magic Quadrant 2013
Global Technology Partners
ADC Magic Quadrant 2013
Slide 6
Radware – přehled řešení
Web Services and XML Gateway
HTTP Monitor
Partner
Inflight AppXML
Message Queuing System
Router
Intrusion Prevention
Mainframe ESB
LinkProof
Customers
DefensePro
Alteon / AppDirector
Router
Application Delivery Controller Web & Portal Servers
LinkProof
WAN Link Optimizer / Load Balancer
Database servers
AppWall Web Application Firewall Application Servers
Branch Office Data Center
Slide 7
Radware řešení
Acceleration
L4-L7 G/SLB
L4-L7 LB
Security
Acceleration
Software Defined Networking Security
8
Aktuální bezpečnostní rizika
Bezpečnost
Bezpečnost
Slide 10
Významné útoky
Slide 11
Kdo je cílem?
Source: Radware Global Application and Network Report 2013 (to be published Jan. 27, 2014)
12
Pravděpodobnost že to budete Vy?
65% 54 Unlikely 45%
Organizací zaznamenalo 3 DDoS útoky v posledníchPossible 12 měsících 37% Minut by průměrný výpadek. Very likely 10%
Likely 8%
Industry Security Survey How likely is it that your organization will be attacked by cyber warfare? 13
Motivace ?
• „Výpalné“ • Konkurenční boj (lze si snadno zaplatit útok) • Nespokojený zákazník • Politika, náboženství • Hacktivismus
Bezpečnostní nástroje x útoky DoS Protection Behavioral Analysis IPS IP Reputation WAF
Large volume network flood attacks Network scan Intrusion
SYN flood “Low & Slow” DoS attacks Port scan
Brute force attack Intrusion, Malware High & Low rate application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF)
Slide 15
Co a před čím chrání?
Protection Purpose Data-At-Rest Protections (Confidentiality) Data-At-Endpoint (Confidentiality) Data-In-Transit (Confidentiality) Network Infrastructure Protection (Integrity) Application Infrastructure Protection (Integrity) Volumetric Attacks (Availability) Non-Volumetric Resource Attacks (Availability)
Firewall
IPS
WAF
Router ACLs
Anti-DoS Next Gen Appliance FW (CPE)
DLP
Cloud Anti-DoS
DDoS útoky
HTTP Floods
SSL Floods
App Misuse Large volume network flood attacks
Syn Floods
& Slow” DoS Comprehensive“LowProtection attacks
Brute Force
(e.g.Sockstress)
• Integrated solution with all security technologies Network Scan
• Mitigates attacks beyond the perimeter
Cloud DDoS protection
DoS protection
IPS
Behavioral analysis
SSL protection
WAF
Slide 17
Co se stane během DDoS útoku?
35
30
25
Firewall & IPS NEOCHRÁNÍ před DDoS útokem 20
2011
Typicky se kritickým místem stává: 15 • Server •10 Firewall •5 Připojení
2012 2013
0 Internet Pipe
Firewall
IPS / DSS
ADC
Server
SQL Server
18
Ja vybrat správné řešení?
Co řešení nabízí?
• Síťové útoky? • Útoky na servery? • Aplikační útoky? • SSL útoky? • „Pomalé útoky“ (Low & slow)?
Technologie?
• Útoky „hrubou silou“ (volumetric“) • Blokování jen útoku (false – positive)? • Dedikovaný hardware (hardware pro blokování)? • Dedikovaný box (chrání vstup do sítě)? • Chrání v reálném čase (inline)? • Management / reporting (SIEM)?
Výrobce?
• Podpora během útoku 24 x 7 (nejen běžný support)? • Reference (nejlépe u MSSP)? • Skutečné řešení ? • Vlastní výzkum?
RADWARE řešení
•Výkonný hardware – od 200 Mbps až 40 Gbps •Kombinace více technologií (DoS Shield, IPS, NBA, IP reputation) •Služby ERT týmu během útoku •DefensePipe – DDoS ochrana v cloudu •Průběžný výzkum (Low&slow, counter attack)
Anatomie útoku
APT – Advanced Persistent Threat
Hacktivism – příklady
• Duration: 20 Days • More than 7 attack vectors • “Inner cycle” involvement • Attack target: Vatican
Komplexnost útoků
• Duration: 3 Days • 5 attack vectors • Only “inner cycle” involvement • Attack target: HKEX • Duration: 3 Days • 4 attack vectors • Attack target: Visa, MasterCard
• Duration: 6 Days • 5 attack vectors • “Inner cycle” involvement • Attack target: Israeli sites
Slide 26
Časový průběh
7. Březen – I. den
Začátek útoku
~13:30
Day 1 Wed March 7th
20:17
Customer website was taken down by anonymous. Later, Radware Italy is invoked, ERT receive heads-up. DefensePro is deployed, ERT start building configuration.
DefensePro na místě (ODS2)
ERT tým
Slide 28
8. Březen – II. den
Day2
12:45
ERT Continued refining configuration moving the device to an aggressive configuration.
14:00
Attacks begin and mitigated by the DefensePro. ERT monitors and conduct minor fine tuning.
24:00
Attacks ended.
Thurs March 8th
Útok blokován (DefensePro a ERT)
Slide 29
Útok pokračoval déle než týden… Automaticky blokován Bez zásahu ERT
Slide 31
Vektory útoku
Vektor I.: TCP Garbage Flood
Attack Vector
PSH+ACK Garbage Flood port 80
Description
TCP PSH+ACK packets that contain garbage data No initiation of proper TCP handshake
Mitigation
• Out-of-state • Signature (SUS – for all customers)
Garbage Data
Slide 35
Vektor II.: SYN Flood
Attack Vector
SYN Flood
Description
• Port 80 • 460 attackers
Mitigation
• BDOS • SYN Protection (not activated, threshold were too high)
BDOS Footprint
Slide 36
Vektor III.: IP fragment flood to port 80
Attack Vector
IP fragment
Description
• • • •
Mitigation
BDOS
TCP Protocol port 80 Frag offset = 512 TTL = 244 Same SRC IP (unusual for this attack)
BDOS Mitigation in Action
Slide 37
Vector IV. : UPD Flood to Random Port
Attack Vector
Attack Vector V: UPD Flood to Random Port
Description
• UDP flood • Packet contained Garbage data
Mitigation
BDOS
BDOS Mitigation in Action
Slide 38
Evropská vládní instituce, Červenec 2012
• • • •
Útočník posílal 3.4Mbps složený z 36 B DNS dotazů na 8 DNS serverů Doména s 43 registrovanými DNS záznamy. Odpověd 3991 B, 154 Mbps Navíc odpověd s fragmentovanými pakety Ochrana -DNS odpovědi blokovány pomocí BDoS modulu, fragmentované UDP pakety pomocí DoS-Shield modulu
Slide 39
Op Ababil
Slide 40
Vektory útoků Attacks started October 2012 ISP 1 DoS Mitigation
US March 2013 Bank
Radware’s ERT Joins in
Outage on daily basis
ISP 2 DoS Mitigation
ICMP Flood UDP Flood SYN Flood IT department HTTP URL Floods is exhausted and frustrated
Search Page Floods
TLS/SSL Rengotiation
Login Page Floods Bypassing Mitgiation
Slide 41
AMS = Attack Mitigation System
Attack Mitigation System
In the cloud
Perimeter Front-End
Alteon / AppWall
Defense Messaging
Internet
Protected Organization
Volumetric DDoS attack that saturates Internet pipe
Slide 43
AMS řešení
Data Center
DefensePro
Výhody AMS • Okamžitá reakce AppWall
Web Application
• Hybridní řešení: CPE a scrubbing centrum v cloudu • Kompletní pokrytí útoků • „Web stealth“ útoky
Slide 44
Radware Attack Mitigation System (AMS)
Pokrytí všech vektorů
ERT
Okamžitá reakce
Management / monitoring / reporting
Slide 45
AMS komponenty
DefensePro DefensePipe
• Cloud Anti-DoS, NBA, IPS, Rep. Engineagainst based (service) protection •AppWall OnDefenseSSL demand throughput scalability pipe saturation 200Mbps – 40Gbps • Application Radware ADC solution •• Simple traffic based pricing modelcomplete Web Firewall offering • app Fast, HW based, SSL web protection decryption,based FIPS validated • Web-application availability attack AppWall
detection APSolute • Appliance &Vision VA Emergency Team • SIEM with realResponse time views, historical and • 24/7 service to customers under attack forensics reports • Appliance & VA
Alteon - DefenseSSL
APSoluteVision
Slide 46
Rozdíl: výkon pod útokem
12 Million PPS
Bez vlivu na ostatní provoz
Útok blokován na úkor bežného provozu
Attack Traffic
Multi-Gbps Capacity Legitimate Traffic
DefensePro
Attack Attack Multi-Gbps Capacity Attack Legitimate Traffic Traffic + Attack
Other Network Security Solutions Slide 48
Mitigation Performance (DME)
Flood Packet Rate (Millions)
12 10 8 6 4 2 0 0
5 10 Legitimate HTTP Traffic (Gbit/s)
15
Slide 49
Radware Security Event Management (SEM) • Correlated reports • Trend analysis • Compliance management • RT monitoring • Advanced alerts • Forensics
3rd SIEM
Slide 50
Vyčištění provozu
DME DDoS Mitigation Engine (25M PPS / 60 Gbps)
Multi Purpose Multi Cores CPU’s (38 Gbps)
L7 Regex Acceleration ASIC
& Reputation Engine
Behavioral-based protections
Architecture That Was Tailored for Attack Mitigation 51
Síťové DoS útoky
SYN Protection – Challenge/Response
• Logic validated, delayed binding pending DP detected a SYN floodbefore to an endpoint Logic –– cookie storing received data proxying
SYN
SYN
SYN-ACK +Cookie
SYN-ACK
ACK +Cookie
ACK
Data Real User
DefensePro
Data Target
Cookie is validated. TCP Challenge passed - delayed binding begins HTTP Redirect / Javascript - awaiting data packet with valid cookie
Slide 53
SYN cookies
Slide 54
Challenge/Response Botnet is identified (suspicious sources are marked)
Attack Detection
Real-Time “Light” “Strong” Signature Created Challenge Actions Challenge Action
Selective Rate-limit
?
?
X
X
TCP Challenge 302 Redirect Challenge Java Script Challenge RT Signature blocking
Behavioral Real-time Signature Technology
Challenge/Response Technology
Real-time Signature Blocking
Uzavřená smyčka Slide 55
AMS - co nabízí
Detekce útoku
Real-time signatura
Challenge
Druhý challenge
Blokování
• Kombinace více bezpečnostních technologií – Ochrana před síťovými a aplikačními útoky – Ochrana před známými i neznámými (zero-day) útoky
• QoE – Prakticky nulové „false-positive „ – Granulární konfigurace, kombinace více metod blokování, real-time monitroing i dloudobý reporting
• TCO – Automatické generování signatur, bez nutnosti zásahu administrátora
Slide 56
Ochrana před síťovými DoS útoky
Ochrana před: – TCP SYN floods
– UDP floods
– TCP SYN+ACK floods
– ICMP floods
– TCP FIN floods
– IGMP floods
– TCP RESET floods
– Packet Anomalies
– TCP Out of state floods
– Known DoS tools
– TCP Fragment floods
– Custom DoS signatures
Slide 57
NBA a RT Signature Technologie Mitigation optimization process Initial Filter
Public Network
Closed feedback
Inbound Traffic Start Traffic characteristics mitigation
Real-Time Signature
0
Initial filter is generated: Filter Optimization: Filter Filter Optimization: Packet IDOptimization:
Packet ID AND Source IPIP Packet PacketID IDAND ANDSource Source IP AND Packet size AND Packet size AND TTL
5
Blocking Rules Filtered Traffic
Outbound Traffic
Protected Network
Up to 10
Final Filter
3
Learning
10+X Time [sec]
Degree of Attack = High Low
1
2
Statistics
Detection Engine Degree Degreeof ofAttack Attack == Low High (Positive Feedback) (Negative Feedback)
Signature parameters Narrowest filtersIP • Source/Destination • Source/Destination Port • Packet ID • Packet size • Source • TTL (TimeIP ToAddress Live) • Packet size • DNS Query • TTL (Time To Live) • Packet ID • TCP sequence number • More … (up to 20)
RT Signatures
4
Slide 58
NBA - Fuzzy logika
Flash crowd Z-axis
Attack Degree axis
Attack area
Decision Engine
X-axis
Suspicious area
Normal adapted area
Normal TCP flags ratio
Attack Degree = 5 (Normal- Suspect)
Y-axis
Abnormal rate of Syn packets
Slide5959 Slide
Aplikační DoS útoky
HTTP Mitigator
Behaviorální analýza & generováni signatur DoS & DDoS
Inputs Public Network
- Network - Servers - Clients
Inbound Traffic
Application level threats Zero-Minute malware propagation
Behavioral Analysis
Real-Time Signature Inspection Module
Outbound Traffic Enterprise Network
Closed Feedback
Real-Time Signature Generation
Abnormal Activity Detection
Optimize Signature Remove when attack is over Slide 63
DNS Mitigator
Behavorální analýza DNS provozu DNS dotazy – jejich rozložení
Četnost dotazů DNS QPS
MX records
A records base line A records
MX records base line
TEXT records
PTR records…
PTR records Other records
AAAA records…
AAAA records
Time
DoA per typ dotazu
Fuzzy Logic Inference System
Normal
Attack Suspect
Slide 69
SSL
Ochrana před útoky v šifrovaném provozu Application “cookie” engines
Traffic Anomalies Floods
Network-Based DoS Attacks
Application-Based DoS Attacks (Clear and SSL)
L7 ASIC Regex engine
“Directed” Application DoS Attacks (Clear and SSL)
Clear
Clear
“Authenticated” clients
Behavioral DoS & TCP cookie engines
Client-side termination point
Encrypted
Packet anomalies, Black & white lists
Encrypted
Clear
Encrypted
Alteon’s SSL Acceleration Engine
Slide 71
Ostatní metody
Další metody ochrany
IP reputation Signatury
Black-white list, ACL Řízení pásma (QoS) Server cracking
Slide 73
Integrace
DefensePro
APSolute Vision
CLI, SNMP, SOAP Signaling (SYSLOG) SNMP traps, mails Reports, SQL SDN Netflow - Invea-tech Slide 74
DefenseFlow - SDN DefenseFlow Application
Collect Analyze & Decide Control DefenseFlow Diversion and DefensePro Mitigation Network Controller
Mobile Users A completely new solution architecture: • From point security solution to network-wide solution enabled by SDN • Dynamic, programmable, scalable, easy-to-operate security network service • Best possible design: • Always out of path except for under attack • Unprecedented attack detection span 75
WAF
Vektory útoků Top Attack Vectors
Source: webappsec.org
Slide 77
„Výsledek“ útoků Top Impact / Outcomes
Source: webappsec.org
Slide 78
AppWall
Out-of-the-Box PCI Compliance • WAF + IPS (PCI 6.6 & 11.4) • PCI Compliance Reporting
Risk Management
Fast Implementation • Simple initial deployment • Best in class Auto-Policy Generation
APSolute Vision SIEM
• Unified and Correlated reporting across the network • Security reporting
AppWall
Scalability
Complete Web App Protection
• Cluster deployment • Centralized policy management • Scalable by Device
• Full coverage of OWASP Top-10 • Negative & positive security models
Slide 79
Bezpečnost webu
•
Pokrytí OWASP Top-10
•
Negativní & Pozitivní bezpečnstní model
•
Out-of-the-Box pravidla
•
WASC Threat Classification
Slide 80
Complete Web Application Protection
Signature & Rule Protection
• Cross site scripting (XSS) • SQL injection, LDAP injection, OS commanding
Terminate TCP, Normalize, HTTP RFC
• Evasions • HTTP response splitting (HRS)
Data Leak Prevention
• Credit card number (CCN) / Social Security (SSN) • Regular Expression Slide 81
Complete Web Application Protection
Parameters Inspection
• Buffer overflow (BO) • Zero-day attacks
User Behavior
• Cross site request forgery • Cookie poisoning, session hijacking
Layer 7 ACL
• Folder/file/param level access control • White listing or black listing
XML & Web Services
• XML Validity and schema enforcement
Role Based Policy
• Authentication • User Tracking Slide 82
Flexible Deployment Strategies Access Router
Virtual IP
Firewall
Public IP IP AppWall ADC
Internet AppWall
•
Transparent bridge mode
– No network topology changes required – Transparent to non-HTTP traffic – Fail-open interfaces •
Web Servers
AppWall Array
Transparent Reverse proxy
– HTTP Proxy for maximum security – Preserves Original Client IP address •
Reverse proxy
– HTTP Proxy for maximum security •
Cluster deployment
– ADC farm deployment – Auto policy synchronization within the farm Slide 83
Automatická tvroba pravidel
App Mapping
Threat Analysis
Reservations.com Risk analysis per “ application-path”
/config/ /admin/
SQL Injection
/register/
CCN breach
Spoof identity, steal user information, data tampering
Information leakage
/hotels/ Gain root access control
/info/
Directory Traversal
/reserve/
Buffer Overflow
Unexpected application behavior, system crash, full system compromise
Slide 84
Doporučení ochrany
App Mapping
Threat Analysis
Policy Generation
Reservations.com /config/ /admin/ /register/
Prevent access to sensitive app sections
SQL Injection
CCN breach ***********9459
/hotels/
/info/
Directory Traversal
/reserve/
Buffer Overflow
Mask CCN, SSN, etc. in responses. Traffic normalization & HTTP RFC validation
P
Parameters inspection
Slide 85
Authentication, SSO & Role Based Policy
Authentication and login detection
Accounting and Auditing
Authorization and access control
Web based Single Sign On
Slide 86
RBAC
Organizational Roles
• • • •
IT HR Finance Operations
Attack Source
Application Roles
• • • •
Customer Partner Employee Administrator
18% 2%
External Partner
80%
Internal
Slide 87
Více vektorový RBAC
Context • Web Role • IP & Geo Location
Security Policy • Application Access Control • Data Access and Visibility • Web Security, XSS, SQL Inj.
Action • Block • Report
Slide 88
WAF = kritéria výběru
Jak rychle lze nasadit?
• Autolearning – 7 dní
Výkon a škálovatelnost
• Cluster a licence
Blokování je špatného provozu
Nasazení
• Pozitovní a negativní bezpečnostní model
• Automatické generovnání pravidel
Slide 89
Signalizace
Web application attack detected by AppWall AppWall signals DefensePro DefensePro
mitigates the attack
Data Center
HTTP Dynamic Flood AppWall
DefensePro
Slide 90
Elastic WAF
Step #1.2 High AppWall resource Utilization
Step #1.1 Growing traffic volume to the Web application
Step #1.4 Reduced Resource utilization
Step #1.3 Add AppWall Instance
Step #2.2 New Policy Assigned Ext vADC
Int vADC
Multiple Policies
Alteon ADC-VX
User
Selective Routing of Protected and unprotected Tenants Operator
Step #2.1 New Tenant Application added
DefensePipe / Scrubbing center
DefensePipe
Ochrana v cloudu před „volumetric“ útoky
Přesměrování JEN během útoků
První hybridní útoky na trhu
Sdílené informace mezi CPE a cloudem
Slide 94
DefensePipe Operation Flow
ISP
ERT with the customer decide to divert the traffic
Volumetric DDoS attack On-premise AMS that blocks the Internet pipe mitigates the attack
Clean traffic
Defense Messaging DefensePro
DefensePros
AppWall
Sharing essential information for attack mitigation
Protected Online Services
Protected organization Slide 95
Radware AMS & ERT/SOC
• Security Operations Center (SOC) – Pravidelné update signatur každý týden a kritické updaty okamžitě – 24 x 7, znalost sdílená celosvětově
• Emergency Response Team (ERT) – 24x7 služba pro zákazníky pod útokem – Eliminace DoS/DDoS útotů, předejití škodám
Slide 96
U zákazníka nebo v cloudu?
Slide 97
SOC a ERT služby
Architektura •
FlowMon sonda pro minitoring linky – Lze monitorovat velké množství linek
•
FlowMon Collector (FC) sbíra statistiky a detekuje (DoS/DDoS) útok – FlowMon sbíra statistiky pro DefensePro
• •
FC poskytuje potřebné informace pro DefensePro a nakonfigureje profil a pravidlo pro mitigaci. Po ukončení útoku je konfigurace vymazána. Výhody: – Škálovatelnost
Závěr
Shrnutí • Více vektorů útoků – Uživatele nasazují více řešení – Útočníci využivají „mezer“ mezi neintegrovanými produkty
• Attack Mitigation System (AMS): – Ochrana před APT (Advanced Persistent Threat = dlouhodobé „kampaně“) – Integrované řešení / korelace mezi jednotlivými metodami
• Řešení pro – Online aplikace – Datová centra, hosting, cloud – Poskytovale internetu
Slide 107
Thank You www.radware.com
Dotazy?
[email protected]
www.radware.com
security.radware.com Slide 109
