23 фев 2015

Технологии защиты от DDoS

Юрий Владарчик, технический директор компании ITbiz Solutions, отвечает на вопросы редакции PCWeek/UE о трендах в области кибербезопасности, опасности DDoS-атак, их разновидностях и системах защиты от подобных угроз. PCWeek/UE: С вашей точки зрения, какие самые серьезные угрозы для Украины в области кибербезопасности? DDoS-атаки, инсайдеры, низкий уровень компьютерной грамотности?

Юрий Владарчик: Основная опасность — это DDoS-атаки. Они проводятся с разными целями: социальные протесты, дискредитация политиков, подрыв экономики. Однако нередко под прикрытием DDoS выполняются целевые атаки. Так, пока сетевые администраторы заняты отражением мощной DDoS-атаки, под ее прикрытием осуществляется инфицирование backdoor-программой, чтобы затем проникнуть в систему для дальнейшего управления жертвой.   PCWeek/UE: Какие виды DDoS чаще всего применяют злоумышленники?

Юрий Владарчик: С технологической точки зрения DDoS можно разделить на две основные категории. Первая — атаки Volumetric, которые направлены на перегрузку сетевого канала на отказ. Вторая категория: медленные маломощные атаки, которые выводят из строя веб-серверы, они называются low-and-slow. Последние примечательны тем, что их тяжело детектировать. Например, в случае атаки volumetric, сетевой администратор c помощью открытого ПО с функционалом коллектора детектирует DDoS-атаку с помощью сетевой телеметрии. C помощью этого ПО можно детально проанализировать, в чем именно состоит проблема. Например, если это атака TCP-SYN flood, то он примет меры для защиты от этой атаки. Однако он не сможет защититься таким же образом от атаки low-and-slow. Здесь необходимо владеть интеллектуальной системой, которая способна разделять легитимный пользовательский и нелегитимный механистический трафик, который может вывести из строя веб-сервер. Поэтому атаки типа low-and-slow— самые опасные. В то же время большинство атак — примерно 80% — относятся к категории volumetric, на Low-and-Slow приходится только оставшиеся 20%.  

PCWeek/UE: В новостях СМИ обычно сообщается только об атаках типа Volumetric, указывают даже мощность потока. Про атаки Low-and-Slow информации практически нет. Чем это пояснить?

Юрий Владарчик: О DDoS-атаках вообще стараются не говорить. В 99% случаев компании скрывают информацию о том, что против них была проведена DDoS-атака, поскольку это антиреклама. Другой вопрос, что атаки в 300-400 Гбит/с скрыть очень сложно, поэтому они становятся достоянием широкой общественности.  

PCWeek/UE: Какие сегодня применяются методики и средства для отражения атак первого и второго типа?

Юрий Владарчик: Первое и основное средство защиты — стандартный access-list, в котором мы указываем, что трафик с определенным префиксом нужно уничтожать. Второй инструмент, который также часто применяется — это S-RTBH (Source – Remotely Triggered Black Hole) и D-RTBH (Destination – Remotely Triggered Black Hole). В случае S-RTBH мы блокируем трафик источника атаки. В случае D-RTBH мы блокируем цель атаки. Оба механизма имеют схожий алгоритм работы, основанный на стандартных средствах маршрутизации BGP. Префиксы (либо атакующего, либо атакуемого) помечаются определённым community и уничтожаются на всём периметре сети. Однако эти методы имеют свои недостатки: в случае применения данных механизмов мы блокируем наш ресурс, и он становится недоступным, получается, что злоумышленник достиг своей цели. С другой стороны, заблокировав один ресурс, мы оставляем доступными все остальные. Другой механизм, который минимизирует риски предыдущих — это расширение для MP-BGP под названием BGP FlowSpec (RFC 5575). Его с 2014 года начала поддерживать в своих продуктах компания Cisco, в то же время Alcatel-Lucent и Juniper поддерживают уже шесть лет. С помощью BGP FlowSpec можно с высокой гранулярностью писать фильтры, определять источник и цель атаки, код протокола, и не просто уничтожать трафик, а, например, помечать его определенным классом качества QoS DSCP, чтобы он был либо в самом низком приоритете, либо ограничивать его скорость. Но BGP FlowSpec тоже имеет минусы, его нужно применять лишь в доверенной сети. Таким образом, надо договариваться с операторами, поскольку ни один крупный оператор не позволит применять такие фильтры у себя в сети. Возможно, что фильтр будет определен некорректно, и тогда заказчик «положит» всю backbone-сеть провайдера (в худшем случае). Поэтому с помощью BGP FlowSpec лучше всего защищать именно периметр своей сети: применить фильтры по периметру и отсекать атаку.  

PCWeek/UE: Какие решения используются наиболее массово?

Юрий Владарчик: Все зависит от того, что мы защищаем от DDoS-атаки: интернет-провайдера или ЦОД. Для защиты датацентров чаще всего используется схема inline. Существуют несколько вариантов интеграции в сеть: поставить защиту перед шлюзом либо же в существующий Ethernet-сегмент уже перед уровнем дистрибуции. Для операторов у нас совсем другой подход. Все провайдеры и операторы предоставляют услуги интернета обычным клиентам. Но никто не атакует обычного домашнего пользователя, обычно атаки направлены на важные элементы в сети или датацентре. Суть подхода в следующем: внутри сети устанавливается коллектор, который собирают сетевую телеметрию входящего трафика (с помощью netflow, sflow,jflow и т.д). Далее производится анализ пакетов, которые поступают в сеть: тогда можно детектировать атаку. Следующий этап выполняется после первичной аналитики. После того как мы детектировали атаку, мы перенаправляем трафик (при помощи туннелирования или помещения в выделенный vrf) на IDMS (Intellectual DDoS Mitigation System). Фактически это интеллектуальный обработчик DDoS-атаки. Алгоритм следующий: после обработки удаляется зловредный трафик, а легитимный трафик проходит дальше на веб-сервер. По такому принципу работает множество решений от Arbor, A10 и прочих.  

PCWeek/UE: Украинские провайдеры пользуются такими решениями? Юрий Владарчик: Пока в Украине не знаю ни одного такого провайдера. Все упирается в деньги, подобные системы стоят очень дорого — свыше миллиона долларов. Иногда применяются локальные средства защиты от DDoS, но классической схемы, которая состоит из коллектора и центра очистки трафика, нет. Поэтому пока что провайдеры лишь присматриваются к таким системам. С другой стороны, поскольку в последнее время в связи со сложной геополитической обстановкой у многих компаний начались проблемы из-за атак типа DDoS, то некоторые обращаются к нам за консультациями.  

PCWeek/UE: Какова разница в технологических подходах Arbor и Juniper к защите от DDoS-атак?

Юрий Владарчик: Разница довольно существенная. Arbor занимается защитой от DDoS уже 14 лет и способен закрыть любую брешь при атаке. Компания использует сигнатурный подход, по отпечаткам в сигнатурных базах определяется тип атаки. Juniper предлагает собственное решение Junos DDoS Secure, в основу которого заложен бессигнатурный эвристический анализ. В первые несколько часов после подключения продукт анализирует трафик, чтобы затем сравнивать отклонения, вызываемые DDoS-атакой. В противоположность традиционным решениям, DDoS Secure использует несигнатурные технологии для обнаружения и отражения атак уровня приложений. Программа инспектирует весь входящий и исходящий трафик по периметру ЦОДа, а также осуществляет мониторинг производительности приложений с каждым входящим клиентским запросом. Перед использованием порогового метода или настройки для отражения атак, DDoS Secure использует специальный алгоритм CHARM для количественной оценки рисков в режиме реального времени, связанной с двухсторонним трафиком. Продукт анализирует ресурсы целевого приложения, когда последнее прибывает под атакой. Если приложение атакуют, он поднимает порог CHARM, требуемый для доступа к приложениям, блокируя наиболее рисковый трафик. Путем корреляции входящих рисков и исходящей реакции, DDoS Secure способен обнаруживать невидимые атаки, которые типично обходят традиционные сигнатурные решения защиты от DDoS.  

PCWeek/UE: Насколько много ложных срабатываний случается при эвристическом подходе? Юрий Владарчик: Это не сигнатурный метод, поэтому ложные срабатывания могут быть. Однако практика показывает, что их процент очень низкий.  

PCWeek/UE: Какие можно отметить преимущества сигнатурного метода?

Юрий Владарчик: Если определенная сигнатура атаки занесена в базу — то будет моментально отброшена не доходя даже до цели атаки, в результате даже не будет нагрузки на неё.  

PCWeek/UE: Опишите тренды, которые можно отметить в сегменте устройств для кибербезопасности?

Юрий Владарчик: На смену «железу» идут виртуальные устройства. Так, Juniper сейчас очень активно сотрудничает с VMware развивая NFV и активно продвигает программно-определяемые сети (SDN). Виртуальные системы существенно снижают финансовые расходы при аналогичной эффективности. Например, в нашей лаборатории развернуты все новейшие виртуальные устройства от Juniper. Кроме того, сейчас достаточно активно продвигается современная концепция Virtual CPE. Уже не имея своего железа на площадке провайдера, можно заказать и подключить новые функции, например, VPN, firewall и т.д. Всё теперь базируется на оборудовании провайдера. При старом подходе при возникновении потребности в новой услуге требовалось бы менять оборудование и со стороны клиента и со стороны провайдера. Теперь же требуется заплатить и настроить всё через свой SelfCare портал. Резюмируя, скажу, что «железо» остается, но оно выполняет лишь базовые функции. В то же время основная нагрузка ложится на ПО.  

PCWeek/UE: На какие линейки Juniper компания ITbiz Solutions делала акцент в 2014 году и на какие будет делать в 2015-м?

Юрий Владарчик: Делаем акцент на продуктах, которые поставляются в виртуальных версиях. То есть, смещаемся в сторону виртуализации.В противоположность традиционным решениям, DDoS Secure использует несигнатурные технологии для обнаружения и отражения атак уровня приложений  

PCWeek/UE: Может ли заказчик сам внедрить эти продукты?

Юрий Владарчик: Нужно очень хорошо знать продукт. Кроме того, в любом случае, требуется поддержка вендора. Поэтому без партнера внедрение покажется очень затруднительным.  

PCWeek/UE: Каково преимущество готовых решений перед самописными?

Юрий Владарчик: Чтобы внедрить самописную систему, надо вначале скачать open-source решение и развернуть его на сервере. Для этого уже надо обладать немалыми знаниями. Потом такую систему надо автоматизировать, то есть написать множество скриптов. Это потребует еще значительный пласт знаний. Но даже если все удалось наладить, все равно есть риск того, что специалист-разработчик уволится, тогда вся система может остановиться. Альтернатива — купить готовый продукт от вендора и применять его.  

PCWeek/UE: Каков жизненный цикл этих продуктов?

Юрий Владарчик: Для виртуальных устройств жизненный цикл неограничен — ведь это лишь файл, который можно перенести на более мощный сервер в любой момент, или же обновить до более свежей версии. А вот с аппаратными решениями все сложнее. Например, если появился новый тип атаки, для которого потребуются более мощные вычислительные ресурсы, то потребуется и приобретение нового оборудование. Поэтому виртуальные устройства с такой точки зрения более перспективны.

По материалам газети PCWeek/UE №6 (68). ИТОГИ ГОДА.

Опубликовано © Itbiz