DoS/DDoS ochrana
Petr Lasek, RADWARE
Významné útoky
Slide 2
Slide 3
Agenda
• Radware
• Aktuální rizika, kritéria výběru
• Příklady útoků
• Attack Mitigation System (AMS)
• Případová studie
• Shrnutí
Slide 4
1 1 3
APSolute řešení
Slide 5
RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace:
- maximální dostupnost (Availability),
- maximální výkon (Performance),
- bezpečnost (Security)
About Radware
Slide 6
Over 10,000 Customers
Global Technology Partners
Company Growth
Recognized Market Leader & vision
IPS Magic Quadrant 2013 ADC Magic Quadrant 2013
4,9 14,1
38,4 43,3 43,7 54,8
68,4 77,6 81,4
88,6 94,6
108,9
144,1
167,0
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
Radware – přehled řešení
Slide 7
Branch Office
Customers
Partner
Data Center
Application Servers
Web & Portal
Servers
ESB
Message Queuing
System
Mainframe
Database
servers
AppWall
Alteon /
AppDirector
AppXML
Inflight
Application Delivery Controller
Web Services and XML Gateway
Web Application Firewall
HTTP Monitor
WAN Link Optimizer / Load Balancer
Router
Router
LinkProof
LinkProof DefensePro
Intrusion Prevention
Radware řešení
8
L4-L7 G/SLB Acceleration
Security Software Defined Networking
Acceleration L4-L7 LB
Security
Aktuální bezpečnostní rizika
Bezpečnost
Slide 10
Bezpečnost
Významné útoky
Slide 11
Kdo je cílem?
12
Source: Radware Global Application and Network Report 2013
(to be published Jan. 27, 2014)
Pravděpodobnost že to budete Vy?
13
Industry Security Survey
How likely is it that your organization will be attacked by cyber warfare?
Unlikely 45%
Possible 37%
Likely 8%
Very likely 10%
Organizací zaznamenalo
3 DDoS útoky v
posledních 12 měsících 65% Minut by průměrný
výpadek. 54
Motivace ?
• „Výpalné“
• Konkurenční boj (lze si snadno zaplatit útok)
• Nespokojený zákazník
• Politika, náboženství
• Hacktivismus
Bezpečnostní nástroje x útoky
Slide 15
Large volume network flood attacks
High & Low rate application DoS attacks
“Low & Slow” DoS attacks
Brute force attack
Web application attacks
(e.g. XSS, Injections, CSRF)
SYN flood
Port scan
Network scan
Intrusion
Intrusion, Malware
DoS Protection
Behavioral Analysis
IP Reputation
IPS
WAF
Co a před čím chrání?
Protection Purpose Firewall IPS WAF Router
ACLs
Next Gen
FW
Anti-DoS
Appliance
(CPE)
DLP Cloud
Anti-DoS
Data-At-Rest
Protections
(Confidentiality)
Data-At-Endpoint
(Confidentiality)
Data-In-Transit
(Confidentiality)
Network
Infrastructure
Protection (Integrity)
Application
Infrastructure
Protection (Integrity)
Volumetric Attacks
(Availability)
Non-Volumetric
Resource Attacks
(Availability)
App Misuse App Misuse
DDoS útoky
Large volume
network flood
attacks
Network Scan
Syn Floods
SSL Floods
“Low & Slow” DoS
attacks
(e.g.Sockstress)
HTTP Floods
Brute
Force
Slide 17
DoS protection
Behavioral analysis SSL protection
IPS
WAF
Cloud DDoS protection
Comprehensive Protection
• Integrated solution with all security technologies
• Mitigates attacks beyond the perimeter
Co se stane během DDoS útoku?
18
0
5
10
15
20
25
30
35
Internet Pipe Firewall IPS / DSS ADC Server SQL Server
2011
2012
2013
Firewall & IPS NEOCHRÁNÍ před DDoS útokem
Typicky se kritickým místem stává:
• Server
• Firewall
• Připojení
Ja vybrat správné řešení?
Co řešení nabízí?
• Síťové útoky?
• Útoky na servery?
• Aplikační útoky?
• SSL útoky?
• „Pomalé útoky“ (Low & slow)?
Technologie?
• Útoky „hrubou silou“ (volumetric“)
• Blokování jen útoku (false – positive)?
• Dedikovaný hardware (hardware pro blokování)?
• Dedikovaný box (chrání vstup do sítě)?
• Chrání v reálném čase (inline)?
• Management / reporting (SIEM)?
Výrobce?
• Podpora během útoku 24 x 7 (nejen běžný support)?
• Reference (nejlépe u MSSP)?
• Skutečné řešení ?
• Vlastní výzkum?
RADWARE řešení
•Výkonný hardware – od 200 Mbps až 40 Gbps
•Kombinace více technologií (DoS Shield, IPS, NBA, IP reputation)
•Služby ERT týmu během útoku
•DefensePipe – DDoS ochrana v cloudu
•Průběžný výzkum (Low&slow, counter attack)
Anatomie útoku
APT – Advanced Persistent Threat
Hacktivism – příklady
Slide 26
• Duration: 20 Days
• More than 7 attack vectors
• “Inner cycle” involvement
• Attack target: Vatican
Komplexnost
útoků
• Duration: 3 Days
• 5 attack vectors
• Only “inner cycle” involvement
• Attack target: HKEX
• Duration: 3 Days
• 4 attack vectors
• Attack target: Visa, MasterCard
• Duration: 6 Days
• 5 attack vectors
• “Inner cycle” involvement
• Attack target: Israeli sites
Časový průběh
7. Březen – I. den
Slide 28
Day 1 Wed March
7th
~13:30
20:17
Customer website was taken down by anonymous.
Later, Radware Italy is invoked, ERT receive heads-up.
DefensePro is deployed, ERT start building configuration.
Začátek útoku
DefensePro
na místě
(ODS2)
ERT tým
8. Březen – II. den
Slide 29
Day2 Thurs March 8th
12:45
14:00
24:00
ERT Continued refining configuration moving the device to an
aggressive configuration.
Attacks begin and mitigated by the DefensePro. ERT monitors and
conduct minor fine tuning.
Attacks ended.
Útok blokován (DefensePro a ERT)
Útok pokračoval déle než týden…
Automaticky blokován
Bez zásahu ERT
Slide 31
Vektory útoku
Vektor I.: TCP Garbage Flood
Attack Vector PSH+ACK Garbage Flood port 80
Description TCP PSH+ACK packets that contain
garbage data
No initiation of proper TCP handshake
Mitigation • Out-of-state
• Signature (SUS – for all customers)
Slide 35
Garbage Data
Vektor II.: SYN Flood
Attack Vector SYN Flood
Description • Port 80
• 460 attackers
Mitigation • BDOS
• SYN Protection (not activated, threshold
were too high)
Slide 36
BDOS Footprint
Vektor III.: IP fragment flood to port 80
Attack Vector IP fragment
Description • TCP Protocol port 80
• Frag offset = 512
• TTL = 244
• Same SRC IP (unusual for this attack)
Mitigation BDOS
Slide 37
BDOS Mitigation in Action
Vector IV. : UPD Flood to Random Port
Attack Vector Attack Vector V: UPD Flood to Random Port
Description • UDP flood
• Packet contained Garbage data
Mitigation BDOS
Slide 38
BDOS
Mitigation in
Action
Evropská vládní instituce, Červenec 2012
Slide 39
• Útočník posílal 3.4Mbps složený z 36 B DNS dotazů na 8 DNS serverů
• Doména s 43 registrovanými DNS záznamy. Odpověd 3991 B, 154 Mbps
• Navíc odpověd s fragmentovanými pakety
• Ochrana -DNS odpovědi blokovány pomocí BDoS modulu, fragmentované UDP
pakety pomocí DoS-Shield modulu
Op Ababil
Slide 40
Vektory útoků
US
Bank
ISP 1
DoS
Mitigation
ISP 2
DoS
Mitigation
Slide 41
ICMP Flood
UDP Flood
SYN Flood
HTTP URL Floods
Search Page Floods
TLS/SSL Rengotiation
Login Page Floods
Bypassing Mitgiation
March 2013
Radware’s
ERT Joins in
Outage on
daily basis
IT department
is exhausted
and frustrated
Attacks started October 2012
AMS = Attack Mitigation System
Perimeter
In the cloud
Front-End
Protected
Organization
Alteon / AppWall
Internet
Attack Mitigation System
Defense Messaging
Volumetric DDoS
attack that saturates
Internet pipe
Slide 43
AMS řešení
Data Center
Web
Application
Výhody AMS
• Okamžitá reakce
• Hybridní řešení: CPE a scrubbing centrum
v cloudu
• Kompletní pokrytí útoků
• „Web stealth“ útoky
AppWall
DefensePro
Slide 44
Radware Attack Mitigation System (AMS)
Okamžitá reakce Pokrytí všech
vektorů
Management /
monitoring /
reporting
ERT
Slide 45
AMS komponenty
APSoluteVision
AppWall
Alteon - DefenseSSL
Slide 46
DefensePro • Anti-DoS, NBA, IPS, Rep. Engine
• On demand throughput scalability
200Mbps – 40Gbps AppWall • Web Application Firewall offering complete
web app protection
• Web-application based availability attack
detection
• Appliance & VA
DefenseSSL • Radware ADC solution
• Fast, HW based, SSL
decryption, FIPS validated
APSolute Vision • SIEM with real time views, historical and
forensics reports
• Appliance & VA
DefensePipe • Cloud based (service) protection against
pipe saturation
• Simple traffic based pricing model
Emergency Response Team • 24/7 service to customers under attack
Rozdíl: výkon pod útokem
Multi-Gbps
Capacity
Legitimate
Traffic
12 Million
PPS
Attack
Traffic
Other Network Security Solutions
Multi-Gbps
Capacity
Legitimate
Traffic
+ Attack
Attack Attack
Attack
Traffic
DefensePro
Útok blokován na
úkor bežného
provozu
Bez vlivu na
ostatní provoz
Slide 48
Mitigation Performance (DME)
Slide 49
0
2
4
6
8
10
12
0 5 10 15
Flo
od
Packe
t R
ate
(M
illi
on
s)
Legitimate HTTP Traffic (Gbit/s)
Radware Security Event Management (SEM)
Slide 50
• Correlated reports
• Trend analysis
• Compliance management
• RT monitoring
• Advanced alerts
• Forensics
3rd SIEM
Vyčištění provozu
Behavioral-based protections
DME DDoS Mitigation Engine
(25M PPS / 60 Gbps)
L7 Regex
Acceleration ASIC
Multi Purpose Multi Cores CPU’s
(38 Gbps)
& Reputation Engine
Architecture That Was Tailored for Attack Mitigation
51
Síťové DoS útoky
SYN Protection – Challenge/Response
Slide 53
Target
Real User
SYN
DefensePro
SYN-ACK +Cookie
ACK +Cookie
SYN
SYN-ACK
ACK
Cookie is validated.
TCP Challenge passed - delayed binding begins
HTTP Redirect / Javascript - awaiting data packet
with valid cookie
• Logic – DP detected a SYN flood to an endpoint • Logic – cookie validated, delayed binding pending
Data
• Logic – storing received data before proxying
Data
SYN cookies
Slide 54
TCP Challenge
Challenge/Response
Slide 55
Behavioral Real-time
Signature Technology
Real-Time
Signature Created
Challenge/Response
Technology
“Light”
Challenge Actions
“Strong”
Challenge Action
X
?
Selective
Rate-limit
X
?
Attack
Detection
302 Redirect
Challenge
Java Script
Challenge
RT Signature
blocking
Real-time Signature
Blocking
Uzavřená smyčka
Botnet is identified
(suspicious sources are
marked)
AMS - co nabízí
Slide 56
Detekce
útoku
Druhý
challenge
Challenge Real-time
signatura
Blokování
• Kombinace více bezpečnostních technologií
– Ochrana před síťovými a aplikačními útoky
– Ochrana před známými i neznámými (zero-day) útoky
• QoE
– Prakticky nulové „false-positive „
– Granulární konfigurace, kombinace více metod blokování, real-time
monitroing i dloudobý reporting
• TCO
– Automatické generování signatur, bez nutnosti zásahu administrátora
Ochrana před síťovými DoS útoky
Slide 57
– TCP SYN floods
– TCP SYN+ACK floods
– TCP FIN floods
– TCP RESET floods
– TCP Out of state floods
– TCP Fragment floods
– UDP floods
– ICMP floods
– IGMP floods
– Packet Anomalies
– Known DoS tools
– Custom DoS signatures
Ochrana před:
NBA a RT Signature Technologie
Public Network
Blocking
Rules Statistics
Detection
Engine
Learning
RT
Signatures
Signature parameters
• Source/Destination IP
• Source/Destination Port
• Packet size
• TTL (Time To Live)
• DNS Query
• Packet ID
• TCP sequence number
• More … (up to 20)
Initial filter is generated: Packet ID
Degree of Attack = Low (Positive Feedback)
Filter Optimization: Packet ID AND Source IP Filter Optimization: Packet ID AND Source IP
AND Packet size
Degree of Attack = High (Negative Feedback)
Filter Optimization: Packet ID AND Source IP
AND Packet size AND TTL
Degree of Attack = High Degree of Attack = Low
Narrowest filters
• Packet ID
• Source IP Address
• Packet size
• TTL (Time To Live)
1 2
3
4
5
Inbound Traffic
Outbound Traffic
Protected Network
Up to 10 0 10+X
Final Filter Start
mitigation
Closed feedback Initial Filter
Time [sec]
Mitigation optimization process
Filte
red
Tra
ffic
Traffic characteristics Real-Time Signature
Slide 58
Decision Engine
Slide 59
NBA - Fuzzy logika
Attack area
Suspicious
area
Normal
adapted area
Attack Degree = 5
(Normal- Suspect)
Abnormal rate
of Syn packets Normal TCP flags
ratio
Flash crowd
Y-axis X-axis
Z-axis A
tta
ck D
eg
ree
axis
Slide 59
Aplikační DoS útoky
HTTP Mitigator
Behaviorální analýza & generováni signatur
Slide 63
Public Network
Inbound Traffic
Outbound Traffic
Behavioral
Analysis
Abnormal
Activity
Detection
Inspection
Module
Real-Time
Signature
Inputs - Network
- Servers
- Clients
Real-Time
Signature
Generation
Closed
Feedback
Enterprise
Network
Optimize Signature
Remove when attack
is over
DoS & DDoS
Application level threats
Zero-Minute
malware propagation
DNS Mitigator
Behavorální analýza DNS provozu
Slide 69
Normal Suspect
Attack
A records base line
MX records base line
PTR records…
AAAA records…
DNS QPS
Time
Četnost dotazů
A records
MX
records
PTR
records
AAAA
records
TEXT
records
Other
records
DNS dotazy – jejich rozložení
Fuzzy Logic Inference
System
DoA per typ dotazu
SSL
Ochrana před útoky v šifrovaném provozu
Slide 71
Traffic Anomalies
Floods
Network-Based DoS
Attacks
Application-Based DoS
Attacks (Clear and SSL)
“Directed” Application DoS
Attacks (Clear and SSL)
Packet anomalies,
Black & white lists
Behavioral DoS &
TCP cookie engines
L7 ASIC Regex
engine Application “cookie”
engines
Clear
Encrypted
Cle
ar
En
cry
pte
d
Client-side
termination point
Alteon’s SSL
Acceleration Engine
Clear
Encrypted “Authenticated”
clients
Ostatní metody
IP reputation
Signatury
Black-white list, ACL
Řízení pásma (QoS)
Server cracking
Další metody ochrany
Slide 73
Integrace
Slide 74
DefensePro
APSolute Vision
CLI, SNMP, SOAP
Signaling (SYSLOG) SNMP traps, mails
Reports, SQL
SDN
Netflow - Invea-tech
DefenseFlow Application
DefenseFlow - SDN
Mobile Users
Collect
Analyze & Decide
Control
DefenseFlow Diversion
and DefensePro Mitigation
A completely new solution architecture:
• From point security solution to network-wide solution enabled by SDN
• Dynamic, programmable, scalable, easy-to-operate security network service
• Best possible design:
• Always out of path except for under attack
• Unprecedented attack detection span
75
Network Controller
WAF
Vektory útoků
Slide 77
Source: webappsec.org
Top Attack Vectors
„Výsledek“ útoků
Slide 78
Source: webappsec.org
Top Impact / Outcomes
APSolute Vision SIEM
AppWall
Complete Web App Protection • Full coverage of OWASP Top-10
• Negative & positive security models
Risk Management • Unified and
Correlated reporting
across the network
• Security reporting
Fast Implementation • Simple initial deployment
• Best in class Auto-Policy Generation
Scalability • Cluster deployment
• Centralized policy management
• Scalable by Device
Out-of-the-Box PCI Compliance • WAF + IPS (PCI 6.6 & 11.4)
• PCI Compliance Reporting
AppWall
Slide 79
Bezpečnost webu
Slide 80
• Pokrytí OWASP Top-10
• Negativní & Pozitivní bezpečnstní model
• Out-of-the-Box pravidla
• WASC Threat Classification
• Cross site scripting (XSS)
• SQL injection, LDAP injection, OS commanding
Signature & Rule
Protection
• Evasions
• HTTP response splitting (HRS)
Terminate TCP,
Normalize, HTTP RFC
• Credit card number (CCN) / Social Security (SSN)
• Regular Expression
Data Leak Prevention
Complete Web Application Protection
Slide 81
• Buffer overflow (BO)
• Zero-day attacks
Parameters Inspection
• Cross site request forgery
• Cookie poisoning, session hijacking
User Behavior
• Folder/file/param level access control
• White listing or black listing Layer 7 ACL
• XML Validity and schema enforcement XML & Web
Services
• Authentication
• User Tracking
Role Based Policy
Complete Web Application Protection
Slide 82
Reservations.com
/config/
/hotels/
/register/
/info/
/reserve/
SQL Injection
CCN breach
Buffer Overflow
Directory Traversal
Automatická tvroba pravidel
App
Mapping
Information leakage
Gain root access control
Unexpected application
behavior, system crash, full
system compromise
Threat
Analysis
Risk analysis per “ application-path”
/admin/
Spoof identity, steal user
information, data tampering
Slide 84
Reservations.com
/config/
/hotels/
/admin/
/register/
/info/
/reserve/
SQL Injection
CCN breach
Buffer Overflow
Directory Traversal
***********9459
P
Doporučení ochrany
App
Mapping
Policy
Generation
Prevent access to
sensitive app sections
Mask CCN, SSN, etc. in
responses.
Parameters inspection
Threat
Analysis
Traffic normalization &
HTTP RFC validation
Slide 85
Authentication, SSO & Role Based Policy
Slide 86
Authentication and login detection
Authorization and access control
Accounting and Auditing
Web based Single Sign On
RBAC
Slide 87
• IT
• HR
• Finance
• Operations
Organizational Roles
• Customer
• Partner
• Employee
• Administrator
Application Roles 80%
18% 2% External
Partner
Internal
Attack Source
Více vektorový RBAC
Slide 88
• Web Role
• IP & Geo Location
Context
• Application Access Control
• Data Access and Visibility
• Web Security, XSS, SQL Inj.
Security Policy
• Block
• Report
Action
• Autolearning – 7 dní Jak rychle lze
nasadit?
• Cluster a licence Výkon a
škálovatelnost
• Pozitovní a negativní bezpečnostní model Blokování je
špatného provozu
• Automatické generovnání pravidel Nasazení
WAF = kritéria výběru
Slide 89
Signalizace
Slide 90
AppWall
HTTP Dynamic Flood
Web application attack
detected by AppWall AppWall signals DefensePro DefensePro
mitigates the attack Data Center
DefensePro
Multiple
Policies
User
Int
vADC
Ext
vADC
Alteon
ADC-VX
Elastic WAF
Operator
Selective Routing of
Protected and
unprotected Tenants
Step #1.1
Growing traffic volume to
the Web application
Step #2.1
New Tenant Application added
Step #2.2
New Policy Assigned
Step #1.2
High AppWall
resource Utilization
Step #1.3
Add AppWall
Instance
Step #1.4
Reduced
Resource
utilization
DefensePipe / Scrubbing center
DefensePipe
Přesměrování JEN
během útoků
Ochrana v cloudu před
„volumetric“ útoky
Sdílené informace mezi
CPE a cloudem
První hybridní útoky na
trhu
Slide 94
DefensePipe Operation Flow
Protected Online Services
DefensePro
AppWall
Protected organization
DefensePros
Defense Messaging
ISP
Volumetric DDoS attack that
blocks the Internet pipe
ERT with the customer
decide to divert the traffic
Clean traffic
Sharing essential
information for
attack mitigation
On-premise AMS
mitigates the attack
Slide 95
U zákazníka nebo v cloudu?
Slide 96
SOC a ERT služby
Radware AMS & ERT/SOC
Slide 98
• Security Operations Center (SOC)
– Pravidelné update signatur každý týden a kritické updaty okamžitě
– 24 x 7, znalost sdílená celosvětově
• Emergency Response Team (ERT)
– 24x7 služba pro zákazníky pod útokem
– Eliminace DoS/DDoS útotů, předejití škodám
Architektura
• FlowMon sonda pro minitoring linky
– Lze monitorovat velké množství linek
• FlowMon Collector (FC) sbíra statistiky a detekuje (DoS/DDoS) útok
– FlowMon sbíra statistiky pro DefensePro
• FC poskytuje potřebné informace pro DefensePro a nakonfigureje profil a
pravidlo pro mitigaci. Po ukončení útoku je konfigurace vymazána.
• Výhody:
– Škálovatelnost
Závěr
Shrnutí
• Více vektorů útoků
– Uživatele nasazují více řešení
– Útočníci využivají „mezer“ mezi neintegrovanými produkty
• Attack Mitigation System (AMS):
– Ochrana před APT (Advanced Persistent Threat = dlouhodobé „kampaně“)
– Integrované řešení / korelace mezi jednotlivými metodami
• Řešení pro
– Online aplikace
– Datová centra, hosting, cloud
– Poskytovale internetu
Slide 107
Thank You www.radware.com
Slide 109
Dotazy?
www.radware.com
security.radware.com