www.labristeknoloji.com DDOS Saldırıları Karşısında Savunma Stratejisi nde DDOS Mitigator Siber Savaş Aracı Oğuz Yılmaz (CISSP) Ar. Pl. Md. Labris Teknoloji
Odak Noktamız Labris Teknoloji, Bilişim güvenliği ve ağ yönetimi alanında, kuruluşundan bu yana Ar-Ge temelli üretimi birincil koşul olarak belirlemiş Türk teknoloji şirketidir. Ar-Ge Yazılım Üretim Yenilikçilik Donanım Üretim 14.10.2012 www.labristeknoloji.com 2
Yazılım Ürünleri Üst seviye dağıtık topolojiler veya özelleşmiş kullanımlar için ayrı ayrı edinilebilen yazılım ürünleri Güvenlik Duvarı (Firewall, Hat Yedekliliği, QoS) VPN / SSL VPN URL/İçerik Filtreleme Yazılımı Antivirüs/Antispam Ağ Geçidi Yazılımı Saldırı Tespit/Önleme Yazılımı Sunucu Yük Dengeleme Yazılımı WAUTH (Wireless Yetkilendirmesi) Hotspot 14.10.2012 www.labristeknoloji.com 3
Donanım Ürünleri Küçük ve Orta Ölçekli Ağlar LBRUTM Serisi (20-22-30-32-40-42) L2-L3-L4-L5 Büyük Ölçekli Ağlar L6-L7-L8 LBRUTM 120 14.10.2012 www.labristeknoloji.com 4
Firmware İhtiyacınız kadar yazılım edinebilme esnekliği, FLEX firmware paketleriyle mümkündür Firmware FLEX A B C D Güvenlik Duvarı VPN / SSL VPN IPS (Saldırı Önleme) Web Filtre Antivirüs/Antispam Ağ Geçidi Merkezi Yönetim Wauth* S S S S Zero Hour Desteği 14.10.2012 www.labristeknoloji.com 5
Ağ Dinleme ve Loglama Çözümleri Varolan altyapınızı değiştirmeye gerek kalmadan, 5651 e uygun, kanuni zaman damgasıyla dahili log tutma ve raporlama Ürün Trafik Dinleme Log Yazma Performansı Log Alanı LBR LOG8 8 Mbps 250 log/san 500 GB LBR LOG14 14 Mbps 500 log/san 1 TB LBR LOG60 60 Mbps 1500 log/san 2 TB Örnek Topoloji LBR LOG120 120 Mbps 3000 log/san 5 TB 14.10.2012 www.labristeknoloji.com 6
Üretim ve Kalite Yaklaşımı ISO 15408 COMMON CRITERIA EAL4+ TSE EN ISO 60950 TSE EN ISO 55022 CE ISO 9001 TSE HYB SATIŞ SONRASI HYB TPE MARKA KAYDI AB OHIM MARKA KAYDI KAPASİTE RAPORU YERLİ ÜRÜN BELGESİ 14.10.2012 www.labristeknoloji.com 7
Tanım Denial of Service : Hizmetin Reddi/Engellenmesi Distributed Denial of Service : Dağıtık DoS Bilgisayar kaynaklarının gerçek son kullanıcılar için erişilemez olmasını sağlama için kullanılan saldırıların genel adıdır. 14.10.2012 www.labristeknoloji.com 8
Tanım D/DOS saldırıları C.I.A. üçlüsünün Bulunurluk ayağını hedefler. Risk 14.10.2012 www.labristeknoloji.com 9
Katmanlarda DOS L1 L2 L3 L4 L5 L7 Jammer ARP table overflow MAC spoof ICMP Flood IP Spoof Land Attack(eski) TCP SYN Flood HTTP Get Flood Bind DoS zafiyeti Cisco DoS zafiyeti DOS saldırıları, her katmanda o katmanın açıklıklarını ya da tasarımlarını kullanır. 14.10.2012 www.labristeknoloji.com 10
Günümüzde DOS/DDOS Syn Flood (%60) HTTP GET Flood (%50) Reflective DNS Flood (%10) Connection Flood (%30) UDP Flood (%20) Sistem spesifik DOS saldırıları (%20) Hat doldurma saldırıları (%5) Gerçek ya da Sahte IP ile oturum tablosu hedef ve ara cihazların etki altına alınması Web erişim istekleri ile web sunucuların etki altına alınması DNS cevap paketleri ile hedefe yüklenilmesi Oturum tablolarında yer işgali Hızlı üretilebilen UDP paketleri hedef ve ara cihazların etki altına alınması Hedef sisteme özel paketlerle sistemin işlevsiz hale getirilmesi Ör: MS12-020 Hedef amaç ya da dolaylı etki olarak hat ban genişliği limitinin doldurulması 14.10.2012 www.labristeknoloji.com 11
Geçmiş Çözüm Çabaları Müstakil Güvenlik Duvarları Güvenlik duvarları ve UTM lerde D/DOS algısı daha çok L2 de yoğunlaşmaktadır. Bu cihazların teknik altyapılarından bazı değerler: Anlık Oturum 2,000,000 2,000,000 1,000,000 10,000,000 Saniyede Oturum Açma 40,000 26,500 23,000 175,000 Müstakil IPS ler Sunucu üzerinde koruma önlemleri Donanım altyapıları yetersiz, yazılım odağı oldukça geniştir. DOS çözümleri çoğunlukla eşik değeri temellidir. Çoğunlukla çözümün değil sorunun bir parçası olurlar. IDS/IPS lerde D/DOS algısı daha çok L7 de yoğunlaşıyor. (örn. X router DOS açığı) Sunucu yazılımları üzerinde hız limitleri, oturum sayısı limitleri gibi önlemler mümkün, faydalı ama yetersiz. Bunun sebepleri; - İşletim sistemleri IP altyapılarının elbette ara cihaz altyapılarında daha yetersiz ve hazırlıksız olmaları - Web sunucu yazılımları Örnek: Sahte IP ile yarı oturum açma saldırıları ile işletim sistemi oturum tablosunun doldurulması 14.10.2012 www.labristeknoloji.com 12
Günümüzde Çözüm Çabaları ISP tarafından engelleme ve temizleme merkezlerine yönlendirme DDoS çoğunlukla yoğun bir trafik yaratarak saldırır. Telekom sağlayıcıları tarafından bu yüksek trafik için oran/eşik limitleme (rate limiting/thresholds) temelli çözümler sunulmuştur. Bu yolu seçen çözümler (eşik değeri temelli) ancak kaba sel tarzı trafikle baş edebilir, nitelikli DDOS saldırılarında ise önemli ölçüde işlevsiz olur. Diğer bir deyişle L3-L4 seviyesinde kaba temizlik yapabilirken, Layer 7 saldırılar için verimli bir çözüm değildir. Müstakil DDOS Hafifletme cihazları Ör: Saniyede 10 HTTP GET isteği gibi birçok eşik değerin altındaki değerlerde trafik geçecektir. Who will guard the guards themselves? Bu çözümler, ISP ve kurum ağlarında network ve güvenlik cihazlarının önünde bir kalkan olarak konumlandırılmaktadırlar. ISP çözümleri daha çok yüksek trafiklerde statik limitlere göre çalışırken, saldırının hedefine yaklaştıkça L7 analizi ve anormallik tespiti önemli bir hale gelmektedir. DDOS özel cihazlar DDOS saldırılarının sel ve istekte ısrar karakterine uygun olarak tasarlanmıştır. Sunulan yönetim arayüzleri ile modern ve karmaşık saldırıların çözümünde ihtiyaç olan silahlığı sunar ve tek noktadan savunma sağlar. 14.10.2012 www.labristeknoloji.com 13
Hafifletme (Mitigation) Neden Engelleme değil de Hafifletme? D/DOS saldırıları L1-L7 arasında oluşabilir. Bir kısmı için çok başarılı çözümler var iken bir kısmı sistem kaynaklarının zirve değerleri kaldırabilecek şekilde tutulması ve belli hatalı negatifleri kabul etmek suretiyle geçiştirilir. İnternet bant genişliğinin gelen (incoming) saldırı miktarından küçük olması durumunda ISS aşaması dışında yapacak hemen hiçbir şey yoktur. D/DOS saldırılarında yüksek başarı için saldırı içeriği derinleştirilmeli ve bu sunumdaki başlıklar çerçevesinde saldırı engelleme yöntemleri uygulanmalıdır. Günümüzdeki yüklenme esaslı D/DOS saldırılarının %95 i bu başlıklar çerçevesinde hafifletilebilir ve ya tamamen engellenebilir. 14.10.2012 www.labristeknoloji.com 14
Kazanan Çözüm Kazanan Çözüm= DDOS Hafifletme Cihazları + ISP de kaba temizlik (opsiyonel) 14.10.2012 www.labristeknoloji.com 15
Yöntemler 1- Oran Limitleme / Eşik değerler Statik değerlere bağlı saldırı tespiti false negative içerir. Örneğin; Normal SYN PPS: Gündüz: 12,000 Gece: 1,100 Eşik: 15,000 14,000 PPS lik bir SYN Flood tespit edilemez. Kaynak engellenemez. Oran limitlemeye güvenilmemeli. Akıllı saldırıları engelleyemeyeceği unutulmamalı. Ancak sahte IP leri engelledikten sonra uygulanabilir. Çözüm: Bu nedenle normalin dışında anormallik tespiti yapılmalı. Eşik değerler ancak kabasını almak için kullanılabilir. Dinamik Anormallik Tespiti ile DDOS algılama kullanılmalıdır. LNADS: Labris Network Anomaly/Availability Detection System 14.10.2012 www.labristeknoloji.com 16
LNADS Saldırı Kararı = f dinamik anormallik tespiti + f eşik değerleri + f(ortalamalar) Mevsimsel değerleri gözetir Kısa bir öğrenme süresi sunar (Saatler mertebesinde) Eşik değerlere güvenmez 14.10.2012 www.labristeknoloji.com 17
LNADS 14.10.2012 www.labristeknoloji.com 18
Yöntemler IP Normalizasyonu: SYN i gitmemiş bir pakete SYN-ACK gelmesi, Varolmayan bir oturuma FIN gelmesi gibi durumlar normalize edilmelidir. IP Spoof Engelleme: Çok önemlidir. Ancak göründüğü kadar basit değildir. Sistem bu amaçla tasarlanmış güçlü bir donanım altyapısına sahip olmalıdır. Bazı saldırılarda birkaç işlemci çekirdeğini ek başına tüketebilir. UDP ise; Protokol nedeniyle zafiyet var. Herhangi bir onay mekanizması (örneğin SYN-ACK) yok. Buna rağmen oturum tablosunda yer işgal eder. Ortalama 40 Byte lık UDP paketleri üreterek 8 Mbps bir simetrik bağlantı ile 25000 UDP PPS üretilebilir. 30 saniyede 750,000 pps=oturum. (net.ipv4.netfilter.ip_conntrack_udp_timeout = 30) => UDP ise anomaly detection kullanılmalı => Kapalı UDP portlarına cevap dönülmez. => UDP state timeout değerleri çok düşük tutulur. Kullanılmayan tüm UDP dinleyen servisler kapatılmalı. => Rate limiting yapılmalı. Whitelisting ile beraber kullanılmalı. 14.10.2012 www.labristeknoloji.com 19
Yöntemler Labris Syn Gateway 14.10.2012 www.labristeknoloji.com 20
Yöntemler 3- Botnet ler: Ele geçirilmiş bilgisayarlar topluluğuna Botnet denir. - Botnet yazılım karakteristikleri ve saldırı anında saldırı içeriği göz önünde bulundurulmalı ve bunlara göre engelleme yöntemleri uygulanmalı. Örneğin; - Boş User-Agent içerikli http istekleri - Hep aynı URL'de gezinen birçok kullanıcı - Hiçbir URL'yi gezmeden doğrudan hedef URL defalarca giden kullanıcılar. Çözüm: Botnet tespiti yapılmalıdır. Davranışsal anormallik yöntemleri kullanılmalıdır. (LNADS) Geniş bir alanda etkin olan farklı cihazlardan gelen geri beslemeler koordineli bir şekilde üye cihazlarla paylaşılmalıdır. 14.10.2012 www.labristeknoloji.com 21
Yöntemler 4- Protokol Özel Sağlamlaştırma: Örnek: DNS EDNS ve Recursive dns özelliklerinin gerekmiyorsa kapatılması Örnek: HTTP Keepalive ve Pipelining ile hizmet verilebilecek kullanıcı sayısının arttırılması, ağ geçidi oturum tablosunun rahatlatılması 14.10.2012 www.labristeknoloji.com 22
Yöntemler 5- Ülke bazlı servis verme - Saldırıların genelde yakın IP bloklarından geldiğini görüyoruz. Örnek bir saldırının kaynaklarının ülkelere göre dağılımı: 100 80 60 40 20 0 TR DE US NL GB FR DK BG AT AZ AU BR ES BE SE CH TH Elinde botnet bulunduranlar bu botneti yakın çevredeki zombilerden oluşturuyorlar. Çözüm: Bunlara bakıldığında ülke bazlı filtreleme ve engelleme fayda verir. 14.10.2012 www.labristeknoloji.com 23
Temel Teknikler 14.10.2012 www.labristeknoloji.com 24
Yöntemler 6- IP Repütasyon ağları ve DDOS - 2 ayrı saldırı analizinde saldırgan IP lerin %70-85 inin daha önceden spam göndermek için veya open proxy server olarak kullanıldığını ve ilgili rbl lerde listelendiğini görüyoruz. -Saldırganın yer altından satın aldığı IP lerin daha önce spam yaymak için kullanılmış olma olasılığı yüksek. => RBL lerden IP kontrolü => Ayrıca ddos-botnet listesini takip ederek güncel saldırılarla ilgili IP listelerini edinebilirsiniz. 14.10.2012 www.labristeknoloji.com 25
Yöntemler 14.10.2012 www.labristeknoloji.com 26
Yöntemler 7- Caching Protokol bazlı caching, reverse proxy ve load balancer çözümleri kullanılmalı. Bunlar esas sunucuları saldırı anında rahat tutabilecek cihazlardır. - Sunucu üzerinde: Örneğin PHP vb caching modülleri. - Sunucu önünde: -Squid/Nginx gibi Reverse Proxy ürünler -Caching Load Balancer ürünleri -DNS caching yetenekli ürünler (Labris DDOS Mitigator destekler) 14.10.2012 www.labristeknoloji.com 27
Yöntemler 8- Beyaz Listeleme Sistemin sürekli kullanıcılarının IP listesini oluşturmak, hiçbir önlemin başarılı olmadığı durumlarda sadece bu beyaz listeye izin vermek suretiyle kullanmak saldırıya karşı önemli bir başarı sağlar. False positive ler kabul edilmelidir. 9- Paket kaydı ve analizi Saldırı anında paket kaydı yaparak bunun paralelde incelemek savunma yöntemini gösterecektir. (tcpdump) Bu kayıtları bizimle paylaşabilir ve ücretsiz yönlendirme alabilirsiniz. 14.10.2012 www.labristeknoloji.com 28
Yöntemler 10- Yazılım tasarımı/girdi kontrolleri Örnek: Uygulama içerisindeki dışarıdan veri alınan noktalarda captcha gibi basit çözümler kullanmak DOS saldırıları için oldukça önemlidir. Uygulamanın tasarımında bu ve diğer güvenli tasarım ve kodlama pratikleri kullanılmalı. 11- Ağ altyapısında yolu geniş ve açık tutmak Örneğin; Colocation kullanıyorsanız sunucunuzdan itibaren ISP çıkışına kadar olan tüm aktif cihazlarla ilgili bilgi sahibi olmaya çalışın. Mümkünse sunucunuzun hep gigabit ağ anahtarları (switch) üzerinden geçmesini sağlayın. Anlık bir saldırı rahat bir şekilde 60-70 Mbit'e çıkabilir ve bu da anahtardaki diğer sunucuların trafiği ile beraber ağ anahtarını çalışmaz hale getirebilir. 12- Çıkış bant genişliğinin esnekliği Çıkış bant genişliği önemlidir. Çıkış bant genişliğinin gerektiğinde otomatik olarak arttırılabilir olmasına özen gösterir. Statik upload-download limitleri çok çabuk şekilde etkilenmenize yol açar. 14.10.2012 www.labristeknoloji.com 29
Yöntemler 13- Güvenlik duvarları için iyi uygulama örnekleri: -Engellenen paketlere cevap dönmeyin -Varsa DOS/DDOS özelliklerini uygun eşik değerleri ile aktif hale getirin -Oturum zaman aşımı değerlerini düşürün -Rate Limiting imkanları sunuyorsa bunları değerlendirin (özellikle http syn) -Dışarı açık ve gereksiz servis bırakmayın -IP Spoof engelleme yetenekleri var ise bunları değerlendirin -IPS yapılandırmaları Yine de bunlar DDoS özel cihaz olmadıkça etkin saldırılarda yetersiz olacaktır. Güvenlik yanılgısına düşülmemelidir. 14.10.2012 www.labristeknoloji.com 30
Yöntemler 14- TTL değerlerinin saldırı anı için hazır tutulması Saldırı anında alan adı IP si değiştirilerek bir yedek sunucuya trafik aktarılabilir. Eğer saldırgan çok akıllı ve işini takip etmiyorsa bu başarılı olur. TTL değerleri hızlı bir şekilde yansıyacak derecede düşük tutulmalıdır. (15 dk.) 15- İSS ile sıkı iletişim Saldırı anında ilgili teknik bilgilerin (saldırgan IP adresleri, hedef bilgileri) paylaşılması ile ilgili paketlerin size ulaşmadan sinkhole içine gönderilmesi mümkündür. 14.10.2012 www.labristeknoloji.com 31
Yöntemler 16- Doğru İSS seçimi Rackspace den gelen bir eposta: Our Infrastructure teams have informed us that there is a large DDoS attack on one of your sites. In ticket 111859, we requested that you remove all Cloud Servers from our network in order to protect the Rackspace network. Unfortunately, since this attack is causing some service interruption for other Rackspace customers, we are now requiring that the site be removed from the Rackspace network entirely. We've discussed this issue with many teams at Rackspace, and we have come to the conclusion that your business is not a good fit for Rackspace. We understand that you have many sites with us, and that will take a long time to migrate to another hosting provider. We can allow up to one month for you to migrate all 1,161 sites off of our network. I will forward this ticket to your Account Management team to follow up on your billing questions. 14.10.2012 www.labristeknoloji.com 32
Labris DDOS Mitigator Olası yöntemleri bir potada kullanan çözümdür: + Statik Limitler + Dinamik Davranışsal Anormallik Tespiti + L7 Spesifik DOS IPS + IP Repütasyon Ağları + Web arabirimi ile yönetim + Geriye dönük delil tutma 14.10.2012 www.labristeknoloji.com 33
Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 34
Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 35
Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 36
Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 37
Labris DDOS Mitigator Raporlama ve kanuni delil toplama DOS/DDOS saldırıların birer bilişim suçudur. Kurumların önemli ölçüde prestij ve para kaybetmesine yol açabilir. Bu nedenle bu saldırılarda delil toplama oldukça önemlidir. Diğer yandan bu delilerin analizi ve savunma altyapısının güçlendirilmesi için de çok önemlidir. 14.10.2012 www.labristeknoloji.com 38
Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 39
Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 40
Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 41
Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 42
Ürün tüm sensörler için grafikler sunar Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 43
Ürün tüm sensörler için grafikler sunar Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 44
Ürün tüm sensörler için grafikler sunar Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 45
Ürün tüm sensörler grafikleri geçmişe derinleştirilebilir şekilde sunar. Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 46
Grafiklerde saldırıların engellendiği net olarak görülebilir. Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 47
Ayrıntılı Bilgi için - Pentestmag dergisindeki makalemiz (İsteyiniz:bilgi@labristeknoloji.com) - http://www.ddosmitigator.com 14.10.2012 www.labristeknoloji.com 48
Bize Ulaşın.. MERKEZ ARGE ve ÜRETİM OFİSİ ODTÜ Teknokent Silikon Blok 1 NK 24 06531 Ankara / Türkiye Tel(Pbx) : +90 312 210 1490-91 Faks : +90 312 210 1492 Web : http://www.labristeknoloji.com E-posta : bilgi@labristeknoloji.com Teşekkürler.. 14.10.2012 www.labristeknoloji.com 49