DDoS-Angriffe erfolgreich abwehren

Präsentation zum Thema: "DDoS-Angriffe erfolgreich abwehren"—  Präsentation transkript:

1 DDoS-Angriffe erfolgreich abwehren
Jörg von der Heydt Channel & Marketing Manager Germany Februar 2013

2 Agenda Was ist eine DDos-Attacke? Was bezwecken DDoS Attacken?
Welche Arten von DDoS-Attacken gibt es? Wie entsteht eine DDoS-Attacke? Welchen Schutz gibt es? Auswahlkriterien

3 Was ist eine Ddos-Attacke?
Ein Angriff, dessen Ziel es ist, ein Netzwerk, eine Applikation oder einen Dienstes so zu stören, dass Systeme oder User keinen Zugriff mehr darauf haben. Jedes Unternehmen mit einem Internetzugang, einer Webpräsenz, einem Portal, einem Webshop oder anderer via Web erreichbarer Dienste kann zum Ziel werden.

4 Aktuelle News zum Thema

5 Was bezwecken DDoS Attacken?
Aufmerksamkeit z.B. politische oder gesellschaftskritische Motivation Beispiel: Anonymus Rache Änderung/Limitierung eines Angebots Beispiel: Sony Playstation Services Finanziell Rufschädigung oder Nichtverfügbarkeit eines Wettbewerbers Verschleierung Ablenkung vom eigentlichen Angriff „Durchschleusen“ von Angriffen

6 Welche Arten von DDoS Attacken gibt es?
Vier Hauptziele von DDoS-Angriffen Web Hosting Server Server Schwachstellen, Prozess- und Verbindguns-Limits ISP 1 Web Hosting Center Bandbreite Überfluten der vorhandenen Leitungskapazität mit nicht legitimem Traffic ISP 2 Firewall / IPS Systeme Verbindungstabellen, Forwarding und Session Setup Prozesse Firewall Back End Databanken u. -Server Server Resourcen SQL Injection Schwachstellen

7 Unterschiedliche Arten von Angriffen
Volumen Angriffe belegen Internet-Leitungen überlasten Firewalls, Server- und andere Resourcen Typische Beispiele SYN flood, UDP flood, ICMP flood und SMURF Angriffe Application Layer Angriffe intelligenter benötigen weniger Resourcen Botnet-Kosten Zielen auf Schwachstellen in Applikationen Umgehung von Flood-Erkennungs-mechanismen Cloud Infrastruktur Angriffe Cloud-Lösungen wandeln das Internet in das “Corporate WAN” Angriffe zielen auf die gesamte Cloud Infrastruktur (Firewall, Mail & Web Server) Erkennung und Abwehr sind komplex Angriffe können gleichzeitig mehrere Kunden betreffen (slide contains animation) SAY Attacks also come in different flavors (click) The First type of a attack is a Volumetric one. This is a traffic flood of some kind. Some common types are SYN or ICMP floods but there are many different types. Next, we have Application layer attacks. These are harder to detect since they are NOT associated with massive traffic volumes. These kind of attacks try to exploit weakness in the software in order to consume resources … malformed HTTP GET requests, that sort of thing. Finally there are Cloud Infrastructure attacks. These are separated due to the nature of a cloud in the first place. While their form can be either of the 2 previous types, because it is a could, the detection and mitigation becomes much more complicated.

8 Angriffsmethoden und -tools
Viele verschiedene Konfigurierbare Perl-Skripte, Java-Skripte, fertige Tools Windows, OSX, Android Verteilung als Stress Tester Utilities Development Toolkits Malware Nutzung als Individueller Angriff Freiwillige ‘Hacktivisten’ Attacke Botnet-gestützte Attacke SAY It’s not like the tools required to make these attacks are difficult to come by Some google searching will quickly send you to many utilities that are called, ‘Stress Test’ or ‘Development’ tools It’s also easy to find botnet control software that you can use to initiate these tools remotely from multiple compromised systems at once Many of these tools are freely distributed and have simple to use interfaces. While advanced configuration is always an option, getting them running is as easy as few mouse clicks booster scripts

9 Botnet Control Centre

10 Toujours Tool der Gruppe Anonymous einfachst zu nutzen
einfacher Download simpler „Klick“ auf Button freiwillige Teilnahme an einem Anonymous-Botnet Bereitstellen des eigenen PCs für kollektive DDoS-Attacke NULL Vorkenntnisse erforderlich

11 Traditionelle Volumen Angriffe
SYN Flood Zielt auf die Verbindungstabellen (Router/Firewall) Layer 3 Angriff Ziel wird mit TCP SYN Paketen “geflutet” SAY There are some traditional and well known attacks that can be used flood a network with traffic A SYN Flood is a layer 3 attack that sends a massive number of SYN packets at the target. These TCP connection never finish. So the goal is that all available connections are used by these fake SYN packets, which each consume a connection on the server until the TCP timeout occurs .. Typically 15 to 30 seconds. A UDP flood behaves a little differently. The Attackers fires UDP packets at random ports on the server. The server will when check to see if there is a service listening on that port and reply back if there is not. So the goal for this attack is really to have the server spending all it’s CPU and network resources replying to these false UDP requests These are both very easy attacks to setup, even without any special tools, simple scripting languages can easily take care of it Session Time Timeout Maximum concurrent connections

12 Ein paar Zahlen Minimales Paket für eine neue Session = 84 bytes
Max. PPS (84 bytes) = Anzahl neuer Sessions/Sek.

13 DDoS Angriff auf Applikationen
Ziel und Service genau bekannt /SMTP, DNS, Web/HTTP, SQL, SSH benötigt intelligente Tools Möglichkeit des Updates und der Anpassung bereits heute und in großem Umfang verfügbar! benötigen keine aufwändigen Resourcen i.d.R. genügen ein oder wenige Angreifer aufwändiges Mieten oder Einrichten von Botnets entfällt applikations-basierende DDoS-Angriffe machen bereits 25% aller Angriffe aus Wachstum im dreistelligen %-Bereich! kontinuierliche Weiterentwicklung zu beobachten Verhinderung der Angriffserkennung Schutz der Angreifer-Identität SAY There are also application targeted Attacks These are not traffic floods but attacks designed to consume resources, s never quite finish sending, Opening SSH, HTTP requests to consume time on the server, and so on These kind of attacks do not require a lot of bandwidth to perform Firewalls offer little, to nothing when it comes to protection against this sort of attack

14 Der Slowloris Angriff Angriff auf HTTP von einem einzigen Client PC
alt(!!), bereits in 2009 erkannt öffnet eine Verbindung zu einem Web Server nicht alle Webserver sind verwundbar sendet gültige, aber unvollständige, nicht endende Anfragen Prinzip: Sende “irgendwas” um ein Timeout zu verhindern Sockets werden offen gehalten Keine Sockets … Kein Service SAY Most people with Firewall experience are at least familiar with many layer 3 and 4 attacks Slowloris is just one of the common attack tools that you can obtain free on the Internet. It’s not new, but still very effective. It does an LDOS attack so it does not flood the target with traffic and it occurs on Layer 7 Legitimate, but incomplete HTTP requests are sent, in order to consume sockets on the server and hold them open. This will max out the number of available connections the web server is capable of maintaining, making sure that nobody can access the website. Not all WebServers are vulnerable, and patches do exist for some servers that are. However many administrators out there are not aware of this, which is what attackers of any kind always depend on. A firewall would offer you no protection against this sort of attack FortiDDoS can easily recognize these requests are incomplete and stop this attack GET HEAD POST X-a

15 DDOS Abwehr mit FortiGate Security Appliance (NGFW/UTM)
FortiWeb Web Application Firewall (WAF) FortiDDOS Appliance Pricing FortiGuard Services simple licensing and pricing model maintained FortiGate more performance, more features, same aggressive pricing No complex feature enablement No per user calculations No surprises

16 FortiGate IPS Prozess Interface (Link Layer) DoS Sensor (interface)
IPS Sensor (Interface) Application Control Sensor Interface Policy Network Processing Module Signature DB Stateful Inspection Engine Signature DB IPS Sensor (predefined & custom Signatures) Application Control Sensor Flow AV Flow Based Inspection Engine Flow WCF Flow DLP Proxy Based Scanning Engine Network Processing Module Interface (Link Layer)

17 DOS SensorEN DOS Abwehr
Erkennt und entschärft Traffic, der Teile einer DoS-Attacke ist Anwendung als DOS-Policy VOR den Firewall-Policies Schwellwertbasierend für verschiedene Netzwerk-Operationen TCP UDP ICMP Packet Rate to a Destination IP TCP_SYN_FLOOD UDP_FLOOD ICMP_FLOOD Packet Rate from a Source IP TCP_PORT_SCAN UDP_SCAN ICMP_SWEEP # of Concurrent Sessions to a Destination IP TCP_DST_SESS UDP_DST_SESS ICMP_DST_SESS # of Concurrent Sessions From a Source IP TCP_SRC_SESS UDP_SRC_SESS ICMP_SRC_SESS

18 DDoS Abwehr mit FortiASICs (SP2/XG2-Module)
Eingehender Traffic wird zunächst vom XG2-Modul bearbeitet keine Beeinträchtigung anderer ASICs oder der CPU SYN-Proxy erkennt fehlendes SYN-ACK Denial of Service Protection FortiASIC-NP4 erzeugt die Session übernimmt Load Balancing IPS Engine Processing wird auf mehrere XG2-Module verteilt IPS Engine Processing FMC-XG2 FMC-XG2 FMC-XG2 FortiASIC NP4 Load Balancing Firewall session DOS Protection FMC-XG2

19 DDoS Abwehr mit FortiASICs (SP3/XH0-Module)
Eingehender Traffic wird zunächst vom XH0-Modul bearbeitet wie bei XG2 Denial of Service Protection keine Abhängigkeit & Belastung des NP4-Prozessors FortiASIC-NP4 erzeugt die Session übernimmt Load Balancing IPS Engine Processing wird auf mehrere XH0-Moduele verteilt gleichzeitige Nutzung als DDoS- UND IPS-Engine Unterstützt IPv6 IPS Engine Processing FMC-XH0 FMC-XH0 FMC-XH0 Load Balancing FMC-XH0 Firewall session Including DOS Protection

20 DDOS Abwehr mit FortiWeb Web Application Firewall (WAF)
FortiGate Security Appliance (NGFW/UTM) FortiWeb Web Application Firewall (WAF) FortiDDOS Appliance Pricing FortiGuard Services simple licensing and pricing model maintained FortiGate more performance, more features, same aggressive pricing No complex feature enablement No per user calculations No surprises

21 FortiWeb DoS/DDoS Abwehr
Applikations- und netzwerkbasierend Analyse der Anfragen basierend auf IP-Adresse oder Cookie Erkennung, ob echte User oder automatisierte Angriffe (HOIC, LOIC tools) Application layer – 4 mögliche Policies HTTP Access Limit beschränkt die Anzahl der HTTP-Requests/Sek. von einer IP_Adresse Malicious IPs beschränkt die Anzahl der TCP-Verbindungen mit demselben Session-Cookie HTTP Flood Prevention beschränkt die Anzahl der HTTP-Requests/Sek. mit demselben Session-Cookie Real Browser Enforcement Sendet Skript an Client zur Erkennung, ob es sich um einen realen Browser oder ein Automatisiertes Tool handelt Network layer – 2 verschiedene Policies TCP Flood Prevention beschränkt die Anzahl von TCP-Verbindungen von derselben IP-Quelladresse SYN Cookie schützt gegen SYN Flood Angriffe

22 DDOS Abwehr mit FortiDDOS Appliance
FortiGate Security Appliance (NGFW/UTM) FortiWeb Web Application Firewall (WAF) FortiDDOS Appliance Pricing FortiGuard Services simple licensing and pricing model maintained FortiGate more performance, more features, same aggressive pricing No complex feature enablement No per user calculations No surprises

23 FortiDDOS Abwehrmechanismen
Links from ISP(s) Einsatz VOR der Firewall Transparente Integration Bypass Option mit FortiBridge Datenfluss-Processing mit FortiASIC-TP automatische Modellierung des erlaubten Traffics “Baselining” abh. von Kalenderdaten adaptive Schwellwert-Anpassung typisches Traffic-Wachstum wird berücksichtigt keine erneute Messung erforderlich Unterstützung mehrerer Links bis zu 8 virtuelle Instanzen keine zusätzliche HW Appliance erforderlich DDOS Schutz mit FortiDDOS SAY When you deploy a FortiDDoS, normally it’s likely going to be at a the edge of a customer site or within an ISP. It’s possible to locate it just about anywhere within a network but realistically those are the 2 most likely locations as they will give you best protection Deployment is always transparent, so there’s no change to the network. If they want a bypass option it’s recommended to use the FortiBridge to allow for an uninspected traffic route. FortiDDoS has 2 mode of operation, one where it monitors traffic and one where it will block traffic but in the case of an outage if uptime is required a FortiBridge is a viable option Inspection of traffic is handled by the on board FortiASIC-TP processor Over time the unit plots a baseline for you traffic. It builds up a calendar based model and can adapt for sudden increases in legitimate traffic. What this means is that if you put the unit in place during an attack, you will get detection but some of the attack may get through. Once the unit has been working for a little while and has built up even a few hours of data you can run the built in wizard and it will offer adjustments to settings for a more accurate deployment Firewall FortiGate Hosting Center

24 FortiDDoS Abwehrmechanismen
Hardware beschleunigte DDoS Abwehr Rate Based Detection Inline Full Transparent Mode keine MAC-Addressänderung Self Learning Baseline Anpassung i.Abh.v. Verhalten Granularer Schutz detaillierte Schwellwerteinstellung schnellere Reaktion auf Veränderungen weniger False Positives ISP 1 SAY This is where the FortiDDoS comes in You have hardware accelerated defense with Intent based protection Because there’s no CPU and detection is hardware based, you gate full line rate detection, even when an attack is happening The unit also learns your network over time and adapts to traffic patterns within your network Because the unit is specialized for DDoS protection you have incredibly granular options for threat mitigation which allows the unit to prevent the malicious traffic while still allowing legitimate traffic to pass through Web Hosting Center FortiDDoS™ ISP 2 Firewall Legitimate Traffic Malicious Traffic

25 FortiDDOS Arbeitsweise
Virtual Partitioning Geo-Location ACL Protocol Anomaly Prevention Packet Flood Mitigation Stateful Inspection Out of State Filtering Granular Layer 3 and 4 Filtering Application Layer Filtering Algorithmic Filtering Heuristic Filtering Bogon Filtering Attack Traffic Legitimate Traffic Erkennung vollständig in Hardware Paketverarbeitung durch FortiASIC-TP Klassifizierung und Bewertung über verschiedene Ebenen/Layer Korrelation mit dynamisch erzeugtem Traffic-Modell Erkennung von Protokoll Anomalien Schwellwert-Überschreitungen und Applikation Level Angriffen Eliminierung erfolgt auf FortiDDOS Keine Traffic-Umleitung oder Control Plane Unterbrechung (BGP) keine versteckten Kosten einfacher Einsatz sofortige Wirkung SAY Detection happens in hardware, not software. To compare this with a FortiGate, everything happens in the CPU to traffic has to pass through different layers of the operating system in order to get to the inspection process, and then back down to get out. The FortiDDoS doesn’t have that, just hardware. There’s no traffic redirection or control plane so traffic is simply dropped. There’s no option for anything else. Unlike other methods of protecting you network that are no hidden costs. It’s very easy to deploy and can provide you with immediate relief from an attack

26 Traffic Baselining

27 Auswahlkriterien zur DDoS-Abwehr
Neueste Technologie Angreifer arbeiten mit „New Technology“ „Old-School“-Abwehr versagt hier Zentrales Monitoring Überwachung aller Netzwerk- und DDoS-Vorkommnisse im gesamten Netz z.B. mittels SNMP, Cacti oder MRTG Korrelation von Syslog-Events auf einem zentralen Server Granulare Langzeit-Überwachung ideal über min. 12 Monate Vergleich über Traffic-Entwicklung Alarmierungs-Hierarchie Prozess-Definition: Wer bekommt welchen Alarm? Voraussetzung: Reporting nach Top10-Angreifer/Ziel/Angriffsform oder customized report Umfangreiche Filtermechnismen zur Reduzierung von False-Positives Low Latency Sensitive Umgebungen (Shops, eTrading usw.) bedürfen extrem kurzer Latenzzeiten Hardware-basierte DDoS-Logik DDoS Erkennung in Software ist „mainstream“, aber bei Volumenattacken wirkungslos Bypass- und Redundanz-Fähigkeit Ausfall der Appliance ist system- und unternehmenskritisch -> Bypass muss möglich sein Asymmetrischer Traffic-Support (Inbound/Outbound) Multiple Link Support für X-Connect mit weiteren Appliances Skalierbarkeit

28 Komplementäre Fortinet DDoS Lösungen
Schutz: Netzwerk Infrastruktur Technologie: DDoS Abwehr als erste Abwehrinstanz; Anomalieerkennung basierend i.w. auf Schwellwerten; nur grundlegende Protokollanalyse und Granularität Abwehr von: low-volume netzwerkbasierende Angriffe wie TCP SYN flood, UDP/ICMP floods, TCP port scans, etc. oder high-volume bei SP2/SP3 (FG3140, FG3950) FortiGate Schutz: Web- und Applikations-Server Technologie: Transparenter Challenge/Response Ansatz, um erlaubte Requests zu identifizieren Abwehr von: Netzwerk- und Application-Layer Angriffen, die auf Applikationen , Web Services wie z.B. HTTP GET/POST Requests, Slowloris, SQL injection, abzielen. FortiWeb Schutz: Webhosting- oder Netzwerk Infrastruktur UND Security Infrastruktur (wie Firewalls und IPS etc.) Technologie: L2 transparent device mit Auto Traffic Profiler Learning; High performance ASIC-beschleunigte Erkennung und Abschwächung von Angriffen über alle Ebenen hinweg (L3, L4 and L7), unter Einbe-ziehung aller 256 Protocolle und bis zu 1 Million source/destination IP Addressen; Entwickelt für hohe Angriffslast ohne Einfluss auf Durch-satz; Auto-Learning beschleunigt den Einsatz bei minimalem Konfigu-rationsaufwand FortiDDoS FortiGate - The deployment positions are also different: FortiDDoS is normally before a firewall such as FortiGate, and aimed not only protect the network infrastructure but also the security infrastructure. FortiWeb is deployed before servers and aimed to protect against malicious access to the servers and spreading malwares onto the servers. FortiDDOS covers for all possible 256 protocols, and track up to 1million source and destination IP addresses simultaneously. FortiDDoS: ======= Dedicated DDoS Device Inline, transparent and bidirectional specially designed for DDoS protection Based on patented technology of automatic traffic modeling and rate limiting FortiDDoS allows the partition of your entire network based on differences between business segments. This allows DDoS security policies to be different depending on the network segment. Across All Layer Detection, Mitigation and Reporting Traditional flood attacks (SYN, ICMP and TCP/UDP port and HTTP GET floods etc.) Application layer evasive attacks Top attack reports, and attack comprehensive traffic activity graphing and logging FortiOS DoS sensors protect networks against DoS attacks by limiting anomalous traffic to thresholds that can be customized for any traffic flow on any network. FortiOS DoS protection keeps the FortiGate unit and the networks, including the network servers that it is protecting, operating while under attack. DoS sensors can contain a variety of different attack patterns, providing a greater range of detection for DoS attacks. When the packet rate for an anomaly exceeds its threshold, the FortiOS DoS protection system considers the packets to be part of an attack. FortiOS DoS protection then blocks all packets causing the attack or, if configured, only blocks the packets that exceed the threshold. The thresholds are set in the DoS sensor along with the action to take when a threshold is exceeded. DoS sensors are added to DoS policies matching traffic according to source interface, source and destination address, and service. DoS policies can be used to apply DoS protection to all traffic or just traffic to or from specific IP addresses. The thresholds can be customized in each sensor to fine tune DoS performance for the traffic being analyzed by the sensor FortiGate unit processes DoS policies first, before any other firewall policies FortiWeb: ====== FortiWeb aims to providing application firewalling protection, application delivery control (ADC) – LB, SSL and compression etc.. The DDoS protection is very Web app layer focused. For example: HTTP request limits from L4 from given IP address, L4 connection flood (limit TCP connection from given IP), HTTP flood prevention (Cookie approach) Active script method FortiWeb FortiDDoS

29 Vielen Dank! Jörg von der Heydt Channel & Marketing Manager Germany
FORTINET GmbH | Märkischer Ring 75 | 58097 Hagen Tel     Fax    Mob   Web