Oğuz Yılmaz (CISSP) Ar. Pl. Md. Labris Teknoloji

Benzer belgeler
Oğuz Yılmaz (CISSP) Ar. Pl. Md. Labris Teknoloji


Labris LBR-S Labris LBR-S4-100A YILI DEVLET MALZEME OFİSİ ÜRÜN KATALOĞU Labris Güvenlik Programlar

ERİŞİM ENGELLEME DOS VE DDOS:

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

ve diğer Yerel Mevzuat Kapsamında Zaman Damgası

DOS, DDOS AtaklarıveKorunma Yöntemleri Huzeyfe ÖNAL

Siber Saldırı Aracı Olarak DDoS. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Özgür Yazılımlarla DDOS Saldırılarını Engelleme.

Web Uygulamarına Yönelik DoS DDoS Saldırıları ve Performans Testleri. Barkın

Firewall/IPS Güvenlik Testleri Eğitimi

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Çalıştay DDoS Saldırıları Nasıl Gerçekleştirilir? Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Çalıştay DDoS Saldırıları Nasıl Gerçekleştirilir? Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Netscreen Firewall DDoS Ayarları Netscreen Firewall DDoS dan Korunma Özellikleri

DDoS Saldırıları ve Korunma Yolları. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Yeni Nesil Ağ Güvenliği

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Web Sunuculara Yönelik DOS/DDOS Saldırıları

Açık Kaynak Güvenlik Duvarı Sistemi

Hosting Firmalarına yönelik DDoS Saldırıları ve Çözüm Önerileri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

BİLGİSAYAR SİSTEMLERİNE YAPILAN SALDIRILAR

Dağıtık Servis Dışı Bırakma (DDoS) Saldırıları ve Korunma Yöntemleri

Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Computer and Network Security Cemalettin Kaya Güz Dönemi

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Saldırgan Yaklaşımı. Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com. Secrove Information Security Consulting

Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da!

Ön Koşullar : Temel Network

DDoS El Kitabı. Eylül 2014 UR.RHB.004

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Kurumsal Ağlarda Web Sistem Güvenliği

Güvenlik Mühendisliği

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

Firewall un En Kolay Hali berqnet le Tanışın!

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

Secure Networks Capabilities Dragon Network Defense

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

Ağ Topolojisi ve Ağ Yazılımları

Kurumsal Güvenlik ve Web Filtreleme

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Kurumsal Güvenlik ve Web Filtreleme

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Quedra L MON Log Yönetim ve Güvenli Kayıt Yazılımı

Web Uygulama Güvenliği Kontrol Listesi 2010

Bilgi Güvenliği Eğitim/Öğretimi

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

Web Uygulama Açıklıkları ve Saldırı Engelleme Sistemleri Web uygulama açıklıkları karşısında saldırı engelleme sistemlerinin yetersizliği

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)

Siber Kalkan Tatbikatı 2012 Sonuç Raporu.

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

SİBER GÜVENLİK FARKINDALIĞI

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

Dönüşümsel Bulut Yolculuğu: Artık Çok Daha Kolay!

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

Bilgi Güvenliği AKADEMİSİ Eği3m Dosyası

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

BİLGİSAYAR VE AĞ GÜVENLİĞİ

KURUMSAL TANITIM. Kasım 2017

KAMPÜS AĞLARINDA ETKİN BANT GENİŞLİĞİ YÖNETİMİ

01 Şirket Profili

HP Yazılım Zirvesi - İstanbul 20 May Wyndham Grand Levent Erdem Alaşehir / Finansbank Güvenlik Olay Korelasyonunda Büyük Veri Kullanımı

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Coslat Monitor (Raporcu)

Venatron Enterprise Security Services W: P: M:

T.C. İÇİŞLERİ BAKANLIĞI BİL Gİ İŞLEM DAİRESİ BAŞKANLIĞI GÜVENLİK D UVARI ALIMI TEKNİK ŞAR TNAMESİ

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

Berqnet Sürüm Notları Sürüm 4.1.0


Web Sunucularında DDOS-Botnet saldırılarını Minimize Etme

Firewall Log Server. Kurulum Kılavuzu

Syn Flood DDoS Saldırıları

Yeni Nesil IP Protokolü (IPv6) ve Güvenlik

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

Ağ Altyapısını Bulut a Taşıma

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

EGE Üniversitesi Network (Ağ) Altyapısı

İleri Düzey Bilgisayar Ağları

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

Şekilden daha iyi anlaşılacağı gibi kırmızı veriler zararlı olup ateşi ifade ediyorlar. Ortadaki ateş duvarı da zararlı içeriği tanımlayıp ateşin

ZyXEL Prestige Trendchip Serisi Modeller de QoS Yönetimi

Peki şirketler kendilerini bu tip ataklara karşı nasıl koruyabilir?

Yeni Nesil Kablosuz İletişim

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

Transkript:

www.labristeknoloji.com DDOS Saldırıları Karşısında Savunma Stratejisi nde DDOS Mitigator Siber Savaş Aracı Oğuz Yılmaz (CISSP) Ar. Pl. Md. Labris Teknoloji

Odak Noktamız Labris Teknoloji, Bilişim güvenliği ve ağ yönetimi alanında, kuruluşundan bu yana Ar-Ge temelli üretimi birincil koşul olarak belirlemiş Türk teknoloji şirketidir. Ar-Ge Yazılım Üretim Yenilikçilik Donanım Üretim 14.10.2012 www.labristeknoloji.com 2

Yazılım Ürünleri Üst seviye dağıtık topolojiler veya özelleşmiş kullanımlar için ayrı ayrı edinilebilen yazılım ürünleri Güvenlik Duvarı (Firewall, Hat Yedekliliği, QoS) VPN / SSL VPN URL/İçerik Filtreleme Yazılımı Antivirüs/Antispam Ağ Geçidi Yazılımı Saldırı Tespit/Önleme Yazılımı Sunucu Yük Dengeleme Yazılımı WAUTH (Wireless Yetkilendirmesi) Hotspot 14.10.2012 www.labristeknoloji.com 3

Donanım Ürünleri Küçük ve Orta Ölçekli Ağlar LBRUTM Serisi (20-22-30-32-40-42) L2-L3-L4-L5 Büyük Ölçekli Ağlar L6-L7-L8 LBRUTM 120 14.10.2012 www.labristeknoloji.com 4

Firmware İhtiyacınız kadar yazılım edinebilme esnekliği, FLEX firmware paketleriyle mümkündür Firmware FLEX A B C D Güvenlik Duvarı VPN / SSL VPN IPS (Saldırı Önleme) Web Filtre Antivirüs/Antispam Ağ Geçidi Merkezi Yönetim Wauth* S S S S Zero Hour Desteği 14.10.2012 www.labristeknoloji.com 5

Ağ Dinleme ve Loglama Çözümleri Varolan altyapınızı değiştirmeye gerek kalmadan, 5651 e uygun, kanuni zaman damgasıyla dahili log tutma ve raporlama Ürün Trafik Dinleme Log Yazma Performansı Log Alanı LBR LOG8 8 Mbps 250 log/san 500 GB LBR LOG14 14 Mbps 500 log/san 1 TB LBR LOG60 60 Mbps 1500 log/san 2 TB Örnek Topoloji LBR LOG120 120 Mbps 3000 log/san 5 TB 14.10.2012 www.labristeknoloji.com 6

Üretim ve Kalite Yaklaşımı ISO 15408 COMMON CRITERIA EAL4+ TSE EN ISO 60950 TSE EN ISO 55022 CE ISO 9001 TSE HYB SATIŞ SONRASI HYB TPE MARKA KAYDI AB OHIM MARKA KAYDI KAPASİTE RAPORU YERLİ ÜRÜN BELGESİ 14.10.2012 www.labristeknoloji.com 7

Tanım Denial of Service : Hizmetin Reddi/Engellenmesi Distributed Denial of Service : Dağıtık DoS Bilgisayar kaynaklarının gerçek son kullanıcılar için erişilemez olmasını sağlama için kullanılan saldırıların genel adıdır. 14.10.2012 www.labristeknoloji.com 8

Tanım D/DOS saldırıları C.I.A. üçlüsünün Bulunurluk ayağını hedefler. Risk 14.10.2012 www.labristeknoloji.com 9

Katmanlarda DOS L1 L2 L3 L4 L5 L7 Jammer ARP table overflow MAC spoof ICMP Flood IP Spoof Land Attack(eski) TCP SYN Flood HTTP Get Flood Bind DoS zafiyeti Cisco DoS zafiyeti DOS saldırıları, her katmanda o katmanın açıklıklarını ya da tasarımlarını kullanır. 14.10.2012 www.labristeknoloji.com 10

Günümüzde DOS/DDOS Syn Flood (%60) HTTP GET Flood (%50) Reflective DNS Flood (%10) Connection Flood (%30) UDP Flood (%20) Sistem spesifik DOS saldırıları (%20) Hat doldurma saldırıları (%5) Gerçek ya da Sahte IP ile oturum tablosu hedef ve ara cihazların etki altına alınması Web erişim istekleri ile web sunucuların etki altına alınması DNS cevap paketleri ile hedefe yüklenilmesi Oturum tablolarında yer işgali Hızlı üretilebilen UDP paketleri hedef ve ara cihazların etki altına alınması Hedef sisteme özel paketlerle sistemin işlevsiz hale getirilmesi Ör: MS12-020 Hedef amaç ya da dolaylı etki olarak hat ban genişliği limitinin doldurulması 14.10.2012 www.labristeknoloji.com 11

Geçmiş Çözüm Çabaları Müstakil Güvenlik Duvarları Güvenlik duvarları ve UTM lerde D/DOS algısı daha çok L2 de yoğunlaşmaktadır. Bu cihazların teknik altyapılarından bazı değerler: Anlık Oturum 2,000,000 2,000,000 1,000,000 10,000,000 Saniyede Oturum Açma 40,000 26,500 23,000 175,000 Müstakil IPS ler Sunucu üzerinde koruma önlemleri Donanım altyapıları yetersiz, yazılım odağı oldukça geniştir. DOS çözümleri çoğunlukla eşik değeri temellidir. Çoğunlukla çözümün değil sorunun bir parçası olurlar. IDS/IPS lerde D/DOS algısı daha çok L7 de yoğunlaşıyor. (örn. X router DOS açığı) Sunucu yazılımları üzerinde hız limitleri, oturum sayısı limitleri gibi önlemler mümkün, faydalı ama yetersiz. Bunun sebepleri; - İşletim sistemleri IP altyapılarının elbette ara cihaz altyapılarında daha yetersiz ve hazırlıksız olmaları - Web sunucu yazılımları Örnek: Sahte IP ile yarı oturum açma saldırıları ile işletim sistemi oturum tablosunun doldurulması 14.10.2012 www.labristeknoloji.com 12

Günümüzde Çözüm Çabaları ISP tarafından engelleme ve temizleme merkezlerine yönlendirme DDoS çoğunlukla yoğun bir trafik yaratarak saldırır. Telekom sağlayıcıları tarafından bu yüksek trafik için oran/eşik limitleme (rate limiting/thresholds) temelli çözümler sunulmuştur. Bu yolu seçen çözümler (eşik değeri temelli) ancak kaba sel tarzı trafikle baş edebilir, nitelikli DDOS saldırılarında ise önemli ölçüde işlevsiz olur. Diğer bir deyişle L3-L4 seviyesinde kaba temizlik yapabilirken, Layer 7 saldırılar için verimli bir çözüm değildir. Müstakil DDOS Hafifletme cihazları Ör: Saniyede 10 HTTP GET isteği gibi birçok eşik değerin altındaki değerlerde trafik geçecektir. Who will guard the guards themselves? Bu çözümler, ISP ve kurum ağlarında network ve güvenlik cihazlarının önünde bir kalkan olarak konumlandırılmaktadırlar. ISP çözümleri daha çok yüksek trafiklerde statik limitlere göre çalışırken, saldırının hedefine yaklaştıkça L7 analizi ve anormallik tespiti önemli bir hale gelmektedir. DDOS özel cihazlar DDOS saldırılarının sel ve istekte ısrar karakterine uygun olarak tasarlanmıştır. Sunulan yönetim arayüzleri ile modern ve karmaşık saldırıların çözümünde ihtiyaç olan silahlığı sunar ve tek noktadan savunma sağlar. 14.10.2012 www.labristeknoloji.com 13

Hafifletme (Mitigation) Neden Engelleme değil de Hafifletme? D/DOS saldırıları L1-L7 arasında oluşabilir. Bir kısmı için çok başarılı çözümler var iken bir kısmı sistem kaynaklarının zirve değerleri kaldırabilecek şekilde tutulması ve belli hatalı negatifleri kabul etmek suretiyle geçiştirilir. İnternet bant genişliğinin gelen (incoming) saldırı miktarından küçük olması durumunda ISS aşaması dışında yapacak hemen hiçbir şey yoktur. D/DOS saldırılarında yüksek başarı için saldırı içeriği derinleştirilmeli ve bu sunumdaki başlıklar çerçevesinde saldırı engelleme yöntemleri uygulanmalıdır. Günümüzdeki yüklenme esaslı D/DOS saldırılarının %95 i bu başlıklar çerçevesinde hafifletilebilir ve ya tamamen engellenebilir. 14.10.2012 www.labristeknoloji.com 14

Kazanan Çözüm Kazanan Çözüm= DDOS Hafifletme Cihazları + ISP de kaba temizlik (opsiyonel) 14.10.2012 www.labristeknoloji.com 15

Yöntemler 1- Oran Limitleme / Eşik değerler Statik değerlere bağlı saldırı tespiti false negative içerir. Örneğin; Normal SYN PPS: Gündüz: 12,000 Gece: 1,100 Eşik: 15,000 14,000 PPS lik bir SYN Flood tespit edilemez. Kaynak engellenemez. Oran limitlemeye güvenilmemeli. Akıllı saldırıları engelleyemeyeceği unutulmamalı. Ancak sahte IP leri engelledikten sonra uygulanabilir. Çözüm: Bu nedenle normalin dışında anormallik tespiti yapılmalı. Eşik değerler ancak kabasını almak için kullanılabilir. Dinamik Anormallik Tespiti ile DDOS algılama kullanılmalıdır. LNADS: Labris Network Anomaly/Availability Detection System 14.10.2012 www.labristeknoloji.com 16

LNADS Saldırı Kararı = f dinamik anormallik tespiti + f eşik değerleri + f(ortalamalar) Mevsimsel değerleri gözetir Kısa bir öğrenme süresi sunar (Saatler mertebesinde) Eşik değerlere güvenmez 14.10.2012 www.labristeknoloji.com 17

LNADS 14.10.2012 www.labristeknoloji.com 18

Yöntemler IP Normalizasyonu: SYN i gitmemiş bir pakete SYN-ACK gelmesi, Varolmayan bir oturuma FIN gelmesi gibi durumlar normalize edilmelidir. IP Spoof Engelleme: Çok önemlidir. Ancak göründüğü kadar basit değildir. Sistem bu amaçla tasarlanmış güçlü bir donanım altyapısına sahip olmalıdır. Bazı saldırılarda birkaç işlemci çekirdeğini ek başına tüketebilir. UDP ise; Protokol nedeniyle zafiyet var. Herhangi bir onay mekanizması (örneğin SYN-ACK) yok. Buna rağmen oturum tablosunda yer işgal eder. Ortalama 40 Byte lık UDP paketleri üreterek 8 Mbps bir simetrik bağlantı ile 25000 UDP PPS üretilebilir. 30 saniyede 750,000 pps=oturum. (net.ipv4.netfilter.ip_conntrack_udp_timeout = 30) => UDP ise anomaly detection kullanılmalı => Kapalı UDP portlarına cevap dönülmez. => UDP state timeout değerleri çok düşük tutulur. Kullanılmayan tüm UDP dinleyen servisler kapatılmalı. => Rate limiting yapılmalı. Whitelisting ile beraber kullanılmalı. 14.10.2012 www.labristeknoloji.com 19

Yöntemler Labris Syn Gateway 14.10.2012 www.labristeknoloji.com 20

Yöntemler 3- Botnet ler: Ele geçirilmiş bilgisayarlar topluluğuna Botnet denir. - Botnet yazılım karakteristikleri ve saldırı anında saldırı içeriği göz önünde bulundurulmalı ve bunlara göre engelleme yöntemleri uygulanmalı. Örneğin; - Boş User-Agent içerikli http istekleri - Hep aynı URL'de gezinen birçok kullanıcı - Hiçbir URL'yi gezmeden doğrudan hedef URL defalarca giden kullanıcılar. Çözüm: Botnet tespiti yapılmalıdır. Davranışsal anormallik yöntemleri kullanılmalıdır. (LNADS) Geniş bir alanda etkin olan farklı cihazlardan gelen geri beslemeler koordineli bir şekilde üye cihazlarla paylaşılmalıdır. 14.10.2012 www.labristeknoloji.com 21

Yöntemler 4- Protokol Özel Sağlamlaştırma: Örnek: DNS EDNS ve Recursive dns özelliklerinin gerekmiyorsa kapatılması Örnek: HTTP Keepalive ve Pipelining ile hizmet verilebilecek kullanıcı sayısının arttırılması, ağ geçidi oturum tablosunun rahatlatılması 14.10.2012 www.labristeknoloji.com 22

Yöntemler 5- Ülke bazlı servis verme - Saldırıların genelde yakın IP bloklarından geldiğini görüyoruz. Örnek bir saldırının kaynaklarının ülkelere göre dağılımı: 100 80 60 40 20 0 TR DE US NL GB FR DK BG AT AZ AU BR ES BE SE CH TH Elinde botnet bulunduranlar bu botneti yakın çevredeki zombilerden oluşturuyorlar. Çözüm: Bunlara bakıldığında ülke bazlı filtreleme ve engelleme fayda verir. 14.10.2012 www.labristeknoloji.com 23

Temel Teknikler 14.10.2012 www.labristeknoloji.com 24

Yöntemler 6- IP Repütasyon ağları ve DDOS - 2 ayrı saldırı analizinde saldırgan IP lerin %70-85 inin daha önceden spam göndermek için veya open proxy server olarak kullanıldığını ve ilgili rbl lerde listelendiğini görüyoruz. -Saldırganın yer altından satın aldığı IP lerin daha önce spam yaymak için kullanılmış olma olasılığı yüksek. => RBL lerden IP kontrolü => Ayrıca ddos-botnet listesini takip ederek güncel saldırılarla ilgili IP listelerini edinebilirsiniz. 14.10.2012 www.labristeknoloji.com 25

Yöntemler 14.10.2012 www.labristeknoloji.com 26

Yöntemler 7- Caching Protokol bazlı caching, reverse proxy ve load balancer çözümleri kullanılmalı. Bunlar esas sunucuları saldırı anında rahat tutabilecek cihazlardır. - Sunucu üzerinde: Örneğin PHP vb caching modülleri. - Sunucu önünde: -Squid/Nginx gibi Reverse Proxy ürünler -Caching Load Balancer ürünleri -DNS caching yetenekli ürünler (Labris DDOS Mitigator destekler) 14.10.2012 www.labristeknoloji.com 27

Yöntemler 8- Beyaz Listeleme Sistemin sürekli kullanıcılarının IP listesini oluşturmak, hiçbir önlemin başarılı olmadığı durumlarda sadece bu beyaz listeye izin vermek suretiyle kullanmak saldırıya karşı önemli bir başarı sağlar. False positive ler kabul edilmelidir. 9- Paket kaydı ve analizi Saldırı anında paket kaydı yaparak bunun paralelde incelemek savunma yöntemini gösterecektir. (tcpdump) Bu kayıtları bizimle paylaşabilir ve ücretsiz yönlendirme alabilirsiniz. 14.10.2012 www.labristeknoloji.com 28

Yöntemler 10- Yazılım tasarımı/girdi kontrolleri Örnek: Uygulama içerisindeki dışarıdan veri alınan noktalarda captcha gibi basit çözümler kullanmak DOS saldırıları için oldukça önemlidir. Uygulamanın tasarımında bu ve diğer güvenli tasarım ve kodlama pratikleri kullanılmalı. 11- Ağ altyapısında yolu geniş ve açık tutmak Örneğin; Colocation kullanıyorsanız sunucunuzdan itibaren ISP çıkışına kadar olan tüm aktif cihazlarla ilgili bilgi sahibi olmaya çalışın. Mümkünse sunucunuzun hep gigabit ağ anahtarları (switch) üzerinden geçmesini sağlayın. Anlık bir saldırı rahat bir şekilde 60-70 Mbit'e çıkabilir ve bu da anahtardaki diğer sunucuların trafiği ile beraber ağ anahtarını çalışmaz hale getirebilir. 12- Çıkış bant genişliğinin esnekliği Çıkış bant genişliği önemlidir. Çıkış bant genişliğinin gerektiğinde otomatik olarak arttırılabilir olmasına özen gösterir. Statik upload-download limitleri çok çabuk şekilde etkilenmenize yol açar. 14.10.2012 www.labristeknoloji.com 29

Yöntemler 13- Güvenlik duvarları için iyi uygulama örnekleri: -Engellenen paketlere cevap dönmeyin -Varsa DOS/DDOS özelliklerini uygun eşik değerleri ile aktif hale getirin -Oturum zaman aşımı değerlerini düşürün -Rate Limiting imkanları sunuyorsa bunları değerlendirin (özellikle http syn) -Dışarı açık ve gereksiz servis bırakmayın -IP Spoof engelleme yetenekleri var ise bunları değerlendirin -IPS yapılandırmaları Yine de bunlar DDoS özel cihaz olmadıkça etkin saldırılarda yetersiz olacaktır. Güvenlik yanılgısına düşülmemelidir. 14.10.2012 www.labristeknoloji.com 30

Yöntemler 14- TTL değerlerinin saldırı anı için hazır tutulması Saldırı anında alan adı IP si değiştirilerek bir yedek sunucuya trafik aktarılabilir. Eğer saldırgan çok akıllı ve işini takip etmiyorsa bu başarılı olur. TTL değerleri hızlı bir şekilde yansıyacak derecede düşük tutulmalıdır. (15 dk.) 15- İSS ile sıkı iletişim Saldırı anında ilgili teknik bilgilerin (saldırgan IP adresleri, hedef bilgileri) paylaşılması ile ilgili paketlerin size ulaşmadan sinkhole içine gönderilmesi mümkündür. 14.10.2012 www.labristeknoloji.com 31

Yöntemler 16- Doğru İSS seçimi Rackspace den gelen bir eposta: Our Infrastructure teams have informed us that there is a large DDoS attack on one of your sites. In ticket 111859, we requested that you remove all Cloud Servers from our network in order to protect the Rackspace network. Unfortunately, since this attack is causing some service interruption for other Rackspace customers, we are now requiring that the site be removed from the Rackspace network entirely. We've discussed this issue with many teams at Rackspace, and we have come to the conclusion that your business is not a good fit for Rackspace. We understand that you have many sites with us, and that will take a long time to migrate to another hosting provider. We can allow up to one month for you to migrate all 1,161 sites off of our network. I will forward this ticket to your Account Management team to follow up on your billing questions. 14.10.2012 www.labristeknoloji.com 32

Labris DDOS Mitigator Olası yöntemleri bir potada kullanan çözümdür: + Statik Limitler + Dinamik Davranışsal Anormallik Tespiti + L7 Spesifik DOS IPS + IP Repütasyon Ağları + Web arabirimi ile yönetim + Geriye dönük delil tutma 14.10.2012 www.labristeknoloji.com 33

Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 34

Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 35

Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 36

Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 37

Labris DDOS Mitigator Raporlama ve kanuni delil toplama DOS/DDOS saldırıların birer bilişim suçudur. Kurumların önemli ölçüde prestij ve para kaybetmesine yol açabilir. Bu nedenle bu saldırılarda delil toplama oldukça önemlidir. Diğer yandan bu delilerin analizi ve savunma altyapısının güçlendirilmesi için de çok önemlidir. 14.10.2012 www.labristeknoloji.com 38

Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 39

Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 40

Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 41

Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 42

Ürün tüm sensörler için grafikler sunar Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 43

Ürün tüm sensörler için grafikler sunar Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 44

Ürün tüm sensörler için grafikler sunar Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 45

Ürün tüm sensörler grafikleri geçmişe derinleştirilebilir şekilde sunar. Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 46

Grafiklerde saldırıların engellendiği net olarak görülebilir. Labris DDOS Mitigator 14.10.2012 www.labristeknoloji.com 47

Ayrıntılı Bilgi için - Pentestmag dergisindeki makalemiz (İsteyiniz:bilgi@labristeknoloji.com) - http://www.ddosmitigator.com 14.10.2012 www.labristeknoloji.com 48

Bize Ulaşın.. MERKEZ ARGE ve ÜRETİM OFİSİ ODTÜ Teknokent Silikon Blok 1 NK 24 06531 Ankara / Türkiye Tel(Pbx) : +90 312 210 1490-91 Faks : +90 312 210 1492 Web : http://www.labristeknoloji.com E-posta : bilgi@labristeknoloji.com Teşekkürler.. 14.10.2012 www.labristeknoloji.com 49

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim