Oğuz Yılmaz (CISSP) Ar. Pl. Md. Labris Teknoloji

Transkript

1 DDOS Saldırıları Karşısında Savunma Stratejisi nde DDOS Mitigator Siber Savaş Aracı Oğuz Yılmaz (CISSP) Ar. Pl. Md. Labris Teknoloji

2 Odak Noktamız Labris Teknoloji, Bilişim güvenliği ve ağ yönetimi alanında, kuruluşundan bu yana Ar-Ge temelli üretimi birincil koşul olarak belirlemiş Türk teknoloji şirketidir. Ar-Ge Yazılım Üretim Yenilikçilik Donanım Üretim

3 Yazılım Ürünleri Üst seviye dağıtık topolojiler veya özelleşmiş kullanımlar için ayrı ayrı edinilebilen yazılım ürünleri Güvenlik Duvarı (Firewall, Hat Yedekliliği, QoS) VPN / SSL VPN URL/İçerik Filtreleme Yazılımı Antivirüs/Antispam Ağ Geçidi Yazılımı Saldırı Tespit/Önleme Yazılımı Sunucu Yük Dengeleme Yazılımı WAUTH (Wireless Yetkilendirmesi) Hotspot

4 Donanım Ürünleri Küçük ve Orta Ölçekli Ağlar LBRUTM Serisi ( ) L2-L3-L4-L5 Büyük Ölçekli Ağlar L6-L7-L8 LBRUTM

5 Firmware İhtiyacınız kadar yazılım edinebilme esnekliği, FLEX firmware paketleriyle mümkündür Firmware FLEX A B C D Güvenlik Duvarı VPN / SSL VPN IPS (Saldırı Önleme) Web Filtre Antivirüs/Antispam Ağ Geçidi Merkezi Yönetim Wauth* S S S S Zero Hour Desteği

6 Ağ Dinleme ve Loglama Çözümleri Varolan altyapınızı değiştirmeye gerek kalmadan, 5651 e uygun, kanuni zaman damgasıyla dahili log tutma ve raporlama Ürün Trafik Dinleme Log Yazma Performansı Log Alanı LBR LOG8 8 Mbps 250 log/san 500 GB LBR LOG14 14 Mbps 500 log/san 1 TB LBR LOG60 60 Mbps 1500 log/san 2 TB Örnek Topoloji LBR LOG Mbps 3000 log/san 5 TB

7 Üretim ve Kalite Yaklaşımı ISO COMMON CRITERIA EAL4+ TSE EN ISO TSE EN ISO CE ISO 9001 TSE HYB SATIŞ SONRASI HYB TPE MARKA KAYDI AB OHIM MARKA KAYDI KAPASİTE RAPORU YERLİ ÜRÜN BELGESİ

8 Tanım Denial of Service : Hizmetin Reddi/Engellenmesi Distributed Denial of Service : Dağıtık DoS Bilgisayar kaynaklarının gerçek son kullanıcılar için erişilemez olmasını sağlama için kullanılan saldırıların genel adıdır

9 Tanım D/DOS saldırıları C.I.A. üçlüsünün Bulunurluk ayağını hedefler. Risk

10 Katmanlarda DOS L1 L2 L3 L4 L5 L7 Jammer ARP table overflow MAC spoof ICMP Flood IP Spoof Land Attack(eski) TCP SYN Flood HTTP Get Flood Bind DoS zafiyeti Cisco DoS zafiyeti DOS saldırıları, her katmanda o katmanın açıklıklarını ya da tasarımlarını kullanır

11 Günümüzde DOS/DDOS Syn Flood (%60) HTTP GET Flood (%50) Reflective DNS Flood (%10) Connection Flood (%30) UDP Flood (%20) Sistem spesifik DOS saldırıları (%20) Hat doldurma saldırıları (%5) Gerçek ya da Sahte IP ile oturum tablosu hedef ve ara cihazların etki altına alınması Web erişim istekleri ile web sunucuların etki altına alınması DNS cevap paketleri ile hedefe yüklenilmesi Oturum tablolarında yer işgali Hızlı üretilebilen UDP paketleri hedef ve ara cihazların etki altına alınması Hedef sisteme özel paketlerle sistemin işlevsiz hale getirilmesi Ör: MS Hedef amaç ya da dolaylı etki olarak hat ban genişliği limitinin doldurulması

12 Geçmiş Çözüm Çabaları Müstakil Güvenlik Duvarları Güvenlik duvarları ve UTM lerde D/DOS algısı daha çok L2 de yoğunlaşmaktadır. Bu cihazların teknik altyapılarından bazı değerler: Anlık Oturum 2,000,000 2,000,000 1,000,000 10,000,000 Saniyede Oturum Açma 40,000 26,500 23, ,000 Müstakil IPS ler Sunucu üzerinde koruma önlemleri Donanım altyapıları yetersiz, yazılım odağı oldukça geniştir. DOS çözümleri çoğunlukla eşik değeri temellidir. Çoğunlukla çözümün değil sorunun bir parçası olurlar. IDS/IPS lerde D/DOS algısı daha çok L7 de yoğunlaşıyor. (örn. X router DOS açığı) Sunucu yazılımları üzerinde hız limitleri, oturum sayısı limitleri gibi önlemler mümkün, faydalı ama yetersiz. Bunun sebepleri; - İşletim sistemleri IP altyapılarının elbette ara cihaz altyapılarında daha yetersiz ve hazırlıksız olmaları - Web sunucu yazılımları Örnek: Sahte IP ile yarı oturum açma saldırıları ile işletim sistemi oturum tablosunun doldurulması

13 Günümüzde Çözüm Çabaları ISP tarafından engelleme ve temizleme merkezlerine yönlendirme DDoS çoğunlukla yoğun bir trafik yaratarak saldırır. Telekom sağlayıcıları tarafından bu yüksek trafik için oran/eşik limitleme (rate limiting/thresholds) temelli çözümler sunulmuştur. Bu yolu seçen çözümler (eşik değeri temelli) ancak kaba sel tarzı trafikle baş edebilir, nitelikli DDOS saldırılarında ise önemli ölçüde işlevsiz olur. Diğer bir deyişle L3-L4 seviyesinde kaba temizlik yapabilirken, Layer 7 saldırılar için verimli bir çözüm değildir. Müstakil DDOS Hafifletme cihazları Ör: Saniyede 10 HTTP GET isteği gibi birçok eşik değerin altındaki değerlerde trafik geçecektir. Who will guard the guards themselves? Bu çözümler, ISP ve kurum ağlarında network ve güvenlik cihazlarının önünde bir kalkan olarak konumlandırılmaktadırlar. ISP çözümleri daha çok yüksek trafiklerde statik limitlere göre çalışırken, saldırının hedefine yaklaştıkça L7 analizi ve anormallik tespiti önemli bir hale gelmektedir. DDOS özel cihazlar DDOS saldırılarının sel ve istekte ısrar karakterine uygun olarak tasarlanmıştır. Sunulan yönetim arayüzleri ile modern ve karmaşık saldırıların çözümünde ihtiyaç olan silahlığı sunar ve tek noktadan savunma sağlar

14 Hafifletme (Mitigation) Neden Engelleme değil de Hafifletme? D/DOS saldırıları L1-L7 arasında oluşabilir. Bir kısmı için çok başarılı çözümler var iken bir kısmı sistem kaynaklarının zirve değerleri kaldırabilecek şekilde tutulması ve belli hatalı negatifleri kabul etmek suretiyle geçiştirilir. İnternet bant genişliğinin gelen (incoming) saldırı miktarından küçük olması durumunda ISS aşaması dışında yapacak hemen hiçbir şey yoktur. D/DOS saldırılarında yüksek başarı için saldırı içeriği derinleştirilmeli ve bu sunumdaki başlıklar çerçevesinde saldırı engelleme yöntemleri uygulanmalıdır. Günümüzdeki yüklenme esaslı D/DOS saldırılarının %95 i bu başlıklar çerçevesinde hafifletilebilir ve ya tamamen engellenebilir

15 Kazanan Çözüm Kazanan Çözüm= DDOS Hafifletme Cihazları + ISP de kaba temizlik (opsiyonel)

16 Yöntemler 1- Oran Limitleme / Eşik değerler Statik değerlere bağlı saldırı tespiti false negative içerir. Örneğin; Normal SYN PPS: Gündüz: 12,000 Gece: 1,100 Eşik: 15,000 14,000 PPS lik bir SYN Flood tespit edilemez. Kaynak engellenemez. Oran limitlemeye güvenilmemeli. Akıllı saldırıları engelleyemeyeceği unutulmamalı. Ancak sahte IP leri engelledikten sonra uygulanabilir. Çözüm: Bu nedenle normalin dışında anormallik tespiti yapılmalı. Eşik değerler ancak kabasını almak için kullanılabilir. Dinamik Anormallik Tespiti ile DDOS algılama kullanılmalıdır. LNADS: Labris Network Anomaly/Availability Detection System

17 LNADS Saldırı Kararı = f dinamik anormallik tespiti + f eşik değerleri + f(ortalamalar) Mevsimsel değerleri gözetir Kısa bir öğrenme süresi sunar (Saatler mertebesinde) Eşik değerlere güvenmez

18 LNADS

19 Yöntemler IP Normalizasyonu: SYN i gitmemiş bir pakete SYN-ACK gelmesi, Varolmayan bir oturuma FIN gelmesi gibi durumlar normalize edilmelidir. IP Spoof Engelleme: Çok önemlidir. Ancak göründüğü kadar basit değildir. Sistem bu amaçla tasarlanmış güçlü bir donanım altyapısına sahip olmalıdır. Bazı saldırılarda birkaç işlemci çekirdeğini ek başına tüketebilir. UDP ise; Protokol nedeniyle zafiyet var. Herhangi bir onay mekanizması (örneğin SYN-ACK) yok. Buna rağmen oturum tablosunda yer işgal eder. Ortalama 40 Byte lık UDP paketleri üreterek 8 Mbps bir simetrik bağlantı ile UDP PPS üretilebilir. 30 saniyede 750,000 pps=oturum. (net.ipv4.netfilter.ip_conntrack_udp_timeout = 30) => UDP ise anomaly detection kullanılmalı => Kapalı UDP portlarına cevap dönülmez. => UDP state timeout değerleri çok düşük tutulur. Kullanılmayan tüm UDP dinleyen servisler kapatılmalı. => Rate limiting yapılmalı. Whitelisting ile beraber kullanılmalı

20 Yöntemler Labris Syn Gateway

21 Yöntemler 3- Botnet ler: Ele geçirilmiş bilgisayarlar topluluğuna Botnet denir. - Botnet yazılım karakteristikleri ve saldırı anında saldırı içeriği göz önünde bulundurulmalı ve bunlara göre engelleme yöntemleri uygulanmalı. Örneğin; - Boş User-Agent içerikli http istekleri - Hep aynı URL'de gezinen birçok kullanıcı - Hiçbir URL'yi gezmeden doğrudan hedef URL defalarca giden kullanıcılar. Çözüm: Botnet tespiti yapılmalıdır. Davranışsal anormallik yöntemleri kullanılmalıdır. (LNADS) Geniş bir alanda etkin olan farklı cihazlardan gelen geri beslemeler koordineli bir şekilde üye cihazlarla paylaşılmalıdır

22 Yöntemler 4- Protokol Özel Sağlamlaştırma: Örnek: DNS EDNS ve Recursive dns özelliklerinin gerekmiyorsa kapatılması Örnek: HTTP Keepalive ve Pipelining ile hizmet verilebilecek kullanıcı sayısının arttırılması, ağ geçidi oturum tablosunun rahatlatılması

23 Yöntemler 5- Ülke bazlı servis verme - Saldırıların genelde yakın IP bloklarından geldiğini görüyoruz. Örnek bir saldırının kaynaklarının ülkelere göre dağılımı: TR DE US NL GB FR DK BG AT AZ AU BR ES BE SE CH TH Elinde botnet bulunduranlar bu botneti yakın çevredeki zombilerden oluşturuyorlar. Çözüm: Bunlara bakıldığında ülke bazlı filtreleme ve engelleme fayda verir

24 Temel Teknikler

25 Yöntemler 6- IP Repütasyon ağları ve DDOS - 2 ayrı saldırı analizinde saldırgan IP lerin %70-85 inin daha önceden spam göndermek için veya open proxy server olarak kullanıldığını ve ilgili rbl lerde listelendiğini görüyoruz. -Saldırganın yer altından satın aldığı IP lerin daha önce spam yaymak için kullanılmış olma olasılığı yüksek. => RBL lerden IP kontrolü => Ayrıca ddos-botnet listesini takip ederek güncel saldırılarla ilgili IP listelerini edinebilirsiniz

26 Yöntemler

27 Yöntemler 7- Caching Protokol bazlı caching, reverse proxy ve load balancer çözümleri kullanılmalı. Bunlar esas sunucuları saldırı anında rahat tutabilecek cihazlardır. - Sunucu üzerinde: Örneğin PHP vb caching modülleri. - Sunucu önünde: -Squid/Nginx gibi Reverse Proxy ürünler -Caching Load Balancer ürünleri -DNS caching yetenekli ürünler (Labris DDOS Mitigator destekler)

28 Yöntemler 8- Beyaz Listeleme Sistemin sürekli kullanıcılarının IP listesini oluşturmak, hiçbir önlemin başarılı olmadığı durumlarda sadece bu beyaz listeye izin vermek suretiyle kullanmak saldırıya karşı önemli bir başarı sağlar. False positive ler kabul edilmelidir. 9- Paket kaydı ve analizi Saldırı anında paket kaydı yaparak bunun paralelde incelemek savunma yöntemini gösterecektir. (tcpdump) Bu kayıtları bizimle paylaşabilir ve ücretsiz yönlendirme alabilirsiniz

29 Yöntemler 10- Yazılım tasarımı/girdi kontrolleri Örnek: Uygulama içerisindeki dışarıdan veri alınan noktalarda captcha gibi basit çözümler kullanmak DOS saldırıları için oldukça önemlidir. Uygulamanın tasarımında bu ve diğer güvenli tasarım ve kodlama pratikleri kullanılmalı. 11- Ağ altyapısında yolu geniş ve açık tutmak Örneğin; Colocation kullanıyorsanız sunucunuzdan itibaren ISP çıkışına kadar olan tüm aktif cihazlarla ilgili bilgi sahibi olmaya çalışın. Mümkünse sunucunuzun hep gigabit ağ anahtarları (switch) üzerinden geçmesini sağlayın. Anlık bir saldırı rahat bir şekilde Mbit'e çıkabilir ve bu da anahtardaki diğer sunucuların trafiği ile beraber ağ anahtarını çalışmaz hale getirebilir. 12- Çıkış bant genişliğinin esnekliği Çıkış bant genişliği önemlidir. Çıkış bant genişliğinin gerektiğinde otomatik olarak arttırılabilir olmasına özen gösterir. Statik upload-download limitleri çok çabuk şekilde etkilenmenize yol açar

30 Yöntemler 13- Güvenlik duvarları için iyi uygulama örnekleri: -Engellenen paketlere cevap dönmeyin -Varsa DOS/DDOS özelliklerini uygun eşik değerleri ile aktif hale getirin -Oturum zaman aşımı değerlerini düşürün -Rate Limiting imkanları sunuyorsa bunları değerlendirin (özellikle http syn) -Dışarı açık ve gereksiz servis bırakmayın -IP Spoof engelleme yetenekleri var ise bunları değerlendirin -IPS yapılandırmaları Yine de bunlar DDoS özel cihaz olmadıkça etkin saldırılarda yetersiz olacaktır. Güvenlik yanılgısına düşülmemelidir

31 Yöntemler 14- TTL değerlerinin saldırı anı için hazır tutulması Saldırı anında alan adı IP si değiştirilerek bir yedek sunucuya trafik aktarılabilir. Eğer saldırgan çok akıllı ve işini takip etmiyorsa bu başarılı olur. TTL değerleri hızlı bir şekilde yansıyacak derecede düşük tutulmalıdır. (15 dk.) 15- İSS ile sıkı iletişim Saldırı anında ilgili teknik bilgilerin (saldırgan IP adresleri, hedef bilgileri) paylaşılması ile ilgili paketlerin size ulaşmadan sinkhole içine gönderilmesi mümkündür

32 Yöntemler 16- Doğru İSS seçimi Rackspace den gelen bir eposta: Our Infrastructure teams have informed us that there is a large DDoS attack on one of your sites. In ticket , we requested that you remove all Cloud Servers from our network in order to protect the Rackspace network. Unfortunately, since this attack is causing some service interruption for other Rackspace customers, we are now requiring that the site be removed from the Rackspace network entirely. We've discussed this issue with many teams at Rackspace, and we have come to the conclusion that your business is not a good fit for Rackspace. We understand that you have many sites with us, and that will take a long time to migrate to another hosting provider. We can allow up to one month for you to migrate all 1,161 sites off of our network. I will forward this ticket to your Account Management team to follow up on your billing questions

33 Labris DDOS Mitigator Olası yöntemleri bir potada kullanan çözümdür: + Statik Limitler + Dinamik Davranışsal Anormallik Tespiti + L7 Spesifik DOS IPS + IP Repütasyon Ağları + Web arabirimi ile yönetim + Geriye dönük delil tutma

34 Labris DDOS Mitigator

38 Labris DDOS Mitigator Raporlama ve kanuni delil toplama DOS/DDOS saldırıların birer bilişim suçudur. Kurumların önemli ölçüde prestij ve para kaybetmesine yol açabilir. Bu nedenle bu saldırılarda delil toplama oldukça önemlidir. Diğer yandan bu delilerin analizi ve savunma altyapısının güçlendirilmesi için de çok önemlidir

43 Ürün tüm sensörler için grafikler sunar Labris DDOS Mitigator

46 Ürün tüm sensörler grafikleri geçmişe derinleştirilebilir şekilde sunar. Labris DDOS Mitigator

47 Grafiklerde saldırıların engellendiği net olarak görülebilir. Labris DDOS Mitigator

48 Ayrıntılı Bilgi için - Pentestmag dergisindeki makalemiz (İsteyiniz:bilgi@labristeknoloji.com)

49 Bize Ulaşın.. MERKEZ ARGE ve ÜRETİM OFİSİ ODTÜ Teknokent Silikon Blok 1 NK Ankara / Türkiye Tel(Pbx) : Faks : Web : E-posta : bilgi@labristeknoloji.com Teşekkürler