Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 DDoS-Angriffe erfolgreich abwehren Februar 2013.

Ähnliche Präsentationen


Präsentation zum Thema: "1 DDoS-Angriffe erfolgreich abwehren Februar 2013."—  Präsentation transkript:

1 1 DDoS-Angriffe erfolgreich abwehren Februar 2013

2 2 Was ist eine DDos-Attacke? Was bezwecken DDoS Attacken? Welche Arten von DDoS-Attacken gibt es? Wie entsteht eine DDoS-Attacke? Welchen Schutz gibt es? Auswahlkriterien

3 3 Ein Angriff, dessen Ziel es ist, ein Netzwerk, eine Applikation oder einen Dienstes so zu stören, dass Systeme oder User keinen Zugriff mehr darauf haben. Jedes Unternehmen mit einem Internetzugang, einer Webpräsenz, einem Portal, einem Webshop oder anderer via Web erreichbarer Dienste kann zum Ziel werden.

4 4

5 5 Aufmerksamkeit  z.B. politische oder gesellschaftskritische Motivation  Beispiel: Anonymus Rache  Änderung/Limitierung eines Angebots  Beispiel: Sony Playstation Services Finanziell  Rufschädigung oder Nichtverfügbarkeit eines Wettbewerbers Verschleierung  Ablenkung vom eigentlichen Angriff  „Durchschleusen“ von Angriffen

6 6 Vier Hauptziele von DDoS-Angriffen Web Hosting Center Firewall ISP 1ISP 2 Back End Databanken u. -Server Server Resourcen SQL Injection Schwachstellen Back End Databanken u. -Server Server Resourcen SQL Injection Schwachstellen Web Hosting Server Server Schwachstellen, Prozess- und Verbindguns- Limits Web Hosting Server Server Schwachstellen, Prozess- und Verbindguns- Limits Firewall / IPS Systeme Verbindungstabellen, Forwarding und Session Setup Prozesse Firewall / IPS Systeme Verbindungstabellen, Forwarding und Session Setup Prozesse Bandbreite Überfluten der vorhandenen Leitungskapazität mit nicht legitimem Traffic Bandbreite Überfluten der vorhandenen Leitungskapazität mit nicht legitimem Traffic

7 7 Volumen Angriffe belegen Internet- Leitungen überlasten Firewalls, Server- und andere Resourcen Typische Beispiele SYN flood, UDP flood, ICMP flood und SMURF Angriffe Volumen Angriffe belegen Internet- Leitungen überlasten Firewalls, Server- und andere Resourcen Typische Beispiele SYN flood, UDP flood, ICMP flood und SMURF Angriffe Application Layer Angriffe intelligenter benötigen weniger Resourcen Botnet-Kosten Zielen auf Schwachstellen in Applikationen Umgehung von Flood- Erkennungs- mechanismen Application Layer Angriffe intelligenter benötigen weniger Resourcen Botnet-Kosten Zielen auf Schwachstellen in Applikationen Umgehung von Flood- Erkennungs- mechanismen Cloud Infrastruktur Angriffe Cloud-Lösungen wandeln das Internet in das “Corporate WAN” Angriffe zielen auf die gesamte Cloud Infrastruktur (Firewall, Mail & Web Server) Erkennung und Abwehr sind komplex Angriffe können gleichzeitig mehrere Kunden betreffen Cloud Infrastruktur Angriffe Cloud-Lösungen wandeln das Internet in das “Corporate WAN” Angriffe zielen auf die gesamte Cloud Infrastruktur (Firewall, Mail & Web Server) Erkennung und Abwehr sind komplex Angriffe können gleichzeitig mehrere Kunden betreffen

8 8 Viele verschiedene  Konfigurierbare Perl-Skripte, Java-Skripte, fertige Tools  Windows, OSX, Android Verteilung als  Stress Tester Utilities  Development Toolkits  Malware Nutzung als  Individueller Angriff  Freiwillige ‘Hacktivisten’ Attacke  Botnet-gestützte Attacke booster scripts

9 9

10 10 Tool der Gruppe Anonymous  einfachst zu nutzen  einfacher Download  simpler „Klick“ auf Button  freiwillige Teilnahme an einem Anonymous-Botnet  Bereitstellen des eigenen PCs für kollektive DDoS-Attacke  NULL Vorkenntnisse erforderlich

11 11 SYN Flood  Zielt auf die Verbindungstabellen (Router/Firewall)  Layer 3 Angriff  Ziel wird mit TCP SYN Paketen “geflutet” Session Time Session Timeout Maximum concurrent connections

12 12 Minimales Paket für eine neue Session = 84 bytes Max. PPS (84 bytes) = Anzahl neuer Sessions/Sek.

13 13 Ziel und Service genau bekannt  /SMTP, DNS, Web/HTTP, SQL, SSH benötigt intelligente Tools  Möglichkeit des Updates und der Anpassung  bereits heute und in großem Umfang verfügbar! benötigen keine aufwändigen Resourcen  i.d.R. genügen ein oder wenige Angreifer  aufwändiges Mieten oder Einrichten von Botnets entfällt applikations-basierende DDoS-Angriffe  machen bereits 25% aller Angriffe aus  Wachstum im dreistelligen %-Bereich! kontinuierliche Weiterentwicklung zu beobachten  Verhinderung der Angriffserkennung  Schutz der Angreifer-Identität

14 14 Angriff auf HTTP von einem einzigen Client PC  alt(!!), bereits in 2009 erkannt öffnet eine Verbindung zu einem Web Server  nicht alle Webserver sind verwundbar sendet gültige, aber unvollständige, nicht endende Anfragen  Prinzip: Sende “irgendwas” um ein Timeout zu verhindern Sockets werden offen gehalten  Keine Sockets … Kein Service GET HEAD POST X-a

15 15 DDOS Abwehr mit FortiGate Security Appliance (NGFW/UTM) FortiWeb Web Application Firewall (WAF) FortiDDOS Appliance

16 16 Stateful Inspection Engine Interface Policy Flow Based Inspection Engine Interface (Link Layer) Network Processing Module IPS Sensor (predefined & custom Signatures) IPS Sensor (predefined & custom Signatures) (interface) IPS Sensor (interface) IPS Sensor Proxy Based Scanning Engine Network Processing Module Interface (Link Layer) Application Control Sensor Flow AV Flow WCF Flow DLP Signature DB (Interface) Application Control Sensor Signature DB DoS Sensor

17 17 DOS Abwehr Erkennt und entschärft Traffic, der Teile einer DoS-Attacke ist Anwendung als DOS-Policy VOR den Firewall-Policies Schwellwertbasierend für verschiedene Netzwerk-Operationen

18 18 Eingehender Traffic wird zunächst vom XG2-Modul bearbeitet keine Beeinträchtigung anderer ASICs oder der CPU SYN-Proxy erkennt fehlendes SYN-ACK Denial of Service Protection FortiASIC-NP4 erzeugt die Session übernimmt Load Balancing IPS Engine Processing wird auf mehrere XG2-Module verteilt DOS Protection Load Balancing Firewall session IPS Engine Processing FMC-XG2 FortiASIC NP4 FMC-XG2

19 19 Eingehender Traffic wird zunächst vom XH0-Modul bearbeitet wie bei XG2 Denial of Service Protection keine Abhängigkeit & Belastung des NP4- Prozessors FortiASIC-NP4 erzeugt die Session übernimmt Load Balancing IPS Engine Processing wird auf mehrere XH0-Moduele verteilt gleichzeitige Nutzung als DDoS- UND IPS-Engine Unterstützt IPv6 Firewall session Including DOS Protection Load Balancing IPS Engine Processing FMC-XH0

20 20 DDOS Abwehr mit FortiGate Security Appliance (NGFW/UTM) FortiWeb Web Application Firewall (WAF) FortiDDOS Appliance

21 21 Applikations- und netzwerkbasierend Analyse der Anfragen basierend auf IP-Adresse oder Cookie Erkennung, ob echte User oder automatisierte Angriffe (HOIC, LOIC tools) Application layer – 4 mögliche Policies HTTP Access Limit beschränkt die Anzahl der HTTP-Requests/Sek. von einer IP_Adresse Malicious IPs beschränkt die Anzahl der TCP-Verbindungen mit demselben Session-Cookie HTTP Flood Prevention beschränkt die Anzahl der HTTP-Requests/Sek. mit demselben Session-Cookie Real Browser Enforcement Sendet Skript an Client zur Erkennung, ob es sich um einen realen Browser oder ein Automatisiertes Tool handelt Network layer – 2 verschiedene Policies TCP Flood Prevention beschränkt die Anzahl von TCP-Verbindungen von derselben IP-Quelladresse SYN Cookie schützt gegen SYN Flood Angriffe

22 22 DDOS Abwehr mit FortiGate Security Appliance (NGFW/UTM) FortiWeb Web Application Firewall (WAF) FortiDDOS Appliance

23 23 Einsatz VOR der Firewall  Transparente Integration  Bypass Option mit FortiBridge  Datenfluss-Processing mit FortiASIC-TP automatische Modellierung des erlaubten Traffics  “ Baselining” abh. von Kalenderdaten  adaptive Schwellwert-Anpassung  typisches Traffic-Wachstum wird berücksichtigt  keine erneute Messung erforderlich  Unterstützung mehrerer Links  bis zu 8 virtuelle Instanzen  keine zusätzliche HW Appliance erforderlich Hosting Center Firewall FortiGate DDOS Schutz mit FortiDDOS Links from ISP(s)

24 24 Hardware beschleunigte DDoS Abwehr FortiDDoS™ Web Hosting Center Firewall Legitimate Traffic Malicious Traffic ISP 1ISP 2  Rate Based Detection  Inline Full Transparent Mode  keine MAC-Addressänderung  Self Learning Baseline  Anpassung i.Abh.v. Verhalten  Granularer Schutz  detaillierte Schwellwerteinstellung  schnellere Reaktion auf Veränderungen  weniger False Positives

25 25 Erkennung vollständig in Hardware  Paketverarbeitung durch FortiASIC-TP  Klassifizierung und Bewertung über verschiedene Ebenen/Layer  Korrelation mit dynamisch erzeugtem Traffic- Modell  Erkennung von  Protokoll Anomalien  Schwellwert-Überschreitungen und  Applikation Level Angriffen Eliminierung erfolgt auf FortiDDOS  Keine Traffic-Umleitung oder Control Plane Unterbrechung (BGP)  keine versteckten Kosten  einfacher Einsatz  sofortige Wirkung

26 26

27 27  Neueste Technologie  Angreifer arbeiten mit „New Technology“  „Old-School“-Abwehr versagt hier  Zentrales Monitoring  Überwachung aller Netzwerk- und DDoS- Vorkommnisse im gesamten Netz  z.B. mittels SNMP, Cacti oder MRTG  Korrelation von Syslog-Events auf einem zentralen Server  Granulare Langzeit-Überwachung  ideal über min. 12 Monate  Vergleich über Traffic-Entwicklung  Alarmierungs-Hierarchie  Prozess-Definition: Wer bekommt welchen Alarm?  Voraussetzung: Reporting nach Top10- Angreifer/Ziel/Angriffsform oder customized report  Neueste Technologie  Angreifer arbeiten mit „New Technology“  „Old-School“-Abwehr versagt hier  Zentrales Monitoring  Überwachung aller Netzwerk- und DDoS- Vorkommnisse im gesamten Netz  z.B. mittels SNMP, Cacti oder MRTG  Korrelation von Syslog-Events auf einem zentralen Server  Granulare Langzeit-Überwachung  ideal über min. 12 Monate  Vergleich über Traffic-Entwicklung  Alarmierungs-Hierarchie  Prozess-Definition: Wer bekommt welchen Alarm?  Voraussetzung: Reporting nach Top10- Angreifer/Ziel/Angriffsform oder customized report  Umfangreiche Filtermechnismen  zur Reduzierung von False-Positives  Low Latency  Sensitive Umgebungen (Shops, eTrading usw.) bedürfen extrem kurzer Latenzzeiten  Hardware-basierte DDoS-Logik  DDoS Erkennung in Software ist „mainstream“, aber bei Volumenattacken wirkungslos  Bypass- und Redundanz-Fähigkeit  Ausfall der Appliance ist system- und unternehmenskritisch -> Bypass muss möglich sein  Asymmetrischer Traffic-Support (Inbound/Outbound)  Multiple Link Support für X-Connect mit weiteren Appliances  Skalierbarkeit  Umfangreiche Filtermechnismen  zur Reduzierung von False-Positives  Low Latency  Sensitive Umgebungen (Shops, eTrading usw.) bedürfen extrem kurzer Latenzzeiten  Hardware-basierte DDoS-Logik  DDoS Erkennung in Software ist „mainstream“, aber bei Volumenattacken wirkungslos  Bypass- und Redundanz-Fähigkeit  Ausfall der Appliance ist system- und unternehmenskritisch -> Bypass muss möglich sein  Asymmetrischer Traffic-Support (Inbound/Outbound)  Multiple Link Support für X-Connect mit weiteren Appliances  Skalierbarkeit

28 28 Schutz: Netzwerk Infrastruktur Technologie: DDoS Abwehr als erste Abwehrinstanz; Anomalieerkennung basierend i.w. auf Schwellwerten; nur grundlegende Protokollanalyse und Granularität Abwehr von: low-volume netzwerkbasierende Angriffe wie TCP SYN flood, UDP/ICMP floods, TCP port scans, etc. oder high-volume bei SP2/SP3 (FG3140, FG3950) FortiGate Schutz: Web- und Applikations-Server Technologie: Transparenter Challenge/Response Ansatz, um erlaubte Requests zu identifizieren Abwehr von: Netzwerk- und Application-Layer Angriffen, die auf Applikationen, Web Services wie z.B. HTTP GET/POST Requests, Slowloris, SQL injection, abzielen. FortiWeb Schutz: Webhosting- oder Netzwerk Infrastruktur UND Security Infrastruktur (wie Firewalls und IPS etc.) Technologie: L2 transparent device mit Auto Traffic Profiler Learning; High performance ASIC-beschleunigte Erkennung und Abschwächung von Angriffen über alle Ebenen hinweg (L3, L4 and L7), unter Einbe- ziehung aller 256 Protocolle und bis zu 1 Million source/destination IP Addressen; Entwickelt für hohe Angriffslast ohne Einfluss auf Durch- satz; Auto-Learning beschleunigt den Einsatz bei minimalem Konfigu- rationsaufwand FortiDDoS FortiGate FortiWeb FortiDDoS

29 29 Vielen Dank! Jörg von der Heydt Channel & Marketing Manager Germany FORTINET GmbH | Märkischer Ring 75 | Hagen Tel Fax Mob Web


Herunterladen ppt "1 DDoS-Angriffe erfolgreich abwehren Februar 2013."

Ähnliche Präsentationen


Google-Anzeigen