Újra népszerű a DOS?
1989-ben a „DOS” szó hallatán az informatikusok szeme előtt rögtön a monokróm karakteres felület és a „C:\” prompt ugrott be és talán még mosolyra is fakadtak a korszerű operációs rendszer csodáitól. 2009-ben már ugyanezen szó teljesen más képeket és érzéseket kelt a szakemberekben:
Denial of Service. Vagy méginkább: Distributed Denial of Service. Most ennek jött el a fénykora. Az előző évezred végéhez közeledve ez a három betű mindenki számára az elterjedt és sikeres operációs rendszer-családot jelentette. Pedig akkor már jócskán a másik jelentésére kezdett figyelni a biztonsági szakma: a CERT 1997-es cikkében remekül összefoglalta a szolgáltatás megtagadásos (azaz DoS) támadások működését és alapvető koncepcióit. De ekkor még gyerekcipőben járt.
Igazán ugyanis napjainkban kezdte meg a kiteljesedését. 2009 óta szinte minden második hónapban felbukkant egy-egy elhíresült támadási kampány. Ami ennél is aggasztóbb, az annak ténye, hogy míg most is havonta csupán tucatnyi esetről születik cikkezés, addig napi átlagban 800-1000 kisebb-nagyobb DDoS támadás zajlik, szerte a világon.
Hazánkban is megfigyelhetők a trendek: jó szokás szerint a támadás tényéről az áldozat nem nyilatkozik, mint ahogy arról sem, hogy általában az első támadás sikere után további csapásokat szenved el, vagy hogy igazából nem is hatalmas sávszélességgel döntötték meg a rendszerüket.
Mert bizony a DoS támadások talán kis mértékben hasonlítanak a villámhoz (előre megjósolhatatlan, hatalmas energia és zaj), viszont míg a villámcsapás a természetben nem csap le kétszer ugyanoda – addig ez a támadási típus alapvetően arra épít, hogy felfigyeljenek rá és komolyan vegyék az áldozatok. Pavlov kutyája is sokadszorra tanulta meg a leckét, ezért mi sem természetesebb, mint hogy ez esetben is rövid időn belül akár 8-10 támadást össze lehet szedni egy peches esetben.
Miért fogunk egyre több és egyre nagyobb DDoS kampányokat látni?
Röviden megfogalmazva mert olcsó, látványos, akár zsarolásra is felhasználható támadástípusról beszélünk, amit a fejlődő IT világ önmagától lát el megfelelő munícióval.
Egyfelől a visszafelé kompatibilitás és az emberi hanyagság okán újabb és újabb kihasználható lehetőségek látnak napvilágot – mint például a tegnap publikált RIPv1 Reflection Amplification DDoS esete. Itt egy közel 30 éves routing protokoll tervezési hiányosságai adják a támadás magját, a táptalaj pedig az a hatalmas mennyiségben router, melyben az üzemeltető a protokollt bekapcsolva hagyta. Az eddig beazonosított legnagyobb támadás 12 Gbit/s mértékű volt, de elméleti síkon ez akár a megsemmisítő erejű 100Gbit/s méretet is elérheti a jövőben – figyelembe véve a sebezhető eszközök számát, világszerte.
Másfelől itt van nekünk (és nekik, támadóknak) a „dolgok Internete”, alias Internet of Things. Remek, hogy már nemcsak a tévénk, de akár a hűtőgépünk is okos lehet. Vajon e furcsa számítógépeket ki fogja biztonságosan konfigurálni? Az üzemeltetője? Kizárt – nem (csak) a kockafejek vásárolják ezeket a termékeket, az egyszerű halandó pedig nem fog rá figyelni. A gyártója? Megint tévedés – az egyes termékek kódjai hemzsegnek a sebezhetőségektől, a gyártó a funkcionalitások foltozgatásával is épp eléggé elfoglalt, nem mostanában fog proaktívan gondolkodni és a „Secure Coding Standards” szerint fejleszteni vagy akár a default beállításokat megerősíteni. Végeredmény? Több tízezer, lassan több százezer zombi gép, amiket fel lehet használni a tömeges támadásokban.
Meglepő, de napjaink „átlagosnak” számító DDoS eseményei korántsem igényelnek ekkora energiát, sem résztvevői számban, sem sávszélességben. Jellemzően az 50-100 Mbit/s sávszélességi dimenzió elégséges egy normálméretű célpont leterítésére. Különösen igaz ez akkor, ha semmilyen DDoS-t elhárító rendszer vagy modul nincs készenlétben: ekkor akár a teljes elérhető sávszélességre tekintettel is feltehető a 100%-os kihasználás, vagy más erőforrás (pl. session-kapacitás) plafonját tudja elérni a támadó.
Jöjjenek a világ legbizonytalanabb rovarai…
..azaz „mitévő legyek”?
Ahogy a Gartner fogalmazta meg 2011-ben: „a DDoS-kitettség csökkentésének témaköre alapelemét kellene, hogy képezze a BCP/DRP dokumentumoknak és minden Internet szolgáltatási tendernek, amennyiben a szervezet függésben van a világhálóval való kapcsolatától”. Jogos és a mai napig hiányzó bekezdés a legtöbb esetben.
De mit tehetünk a papírmunkán túl?
1. Előrelátó légy
Ahhoz, hogy egy támadás ellen a legjobban megszervezzük a védelmet, az előrelátás kulcsszerepet kap.
Ezt lehet kezdeni az internetszolgáltatónkkal való egyeztetésekkel. Vizsgáljuk meg és tervezzük meg velük közösen a hatásos akciótervet, támadások esetére. Már akkor értesülhetünk a támadásról, amikor még „csak” a szolgáltatói vonalaknál jár és még nem érte el a mi erőforrásainkat. Sőt, elképzelhető, hogy egy részt a csapásból önmagukban képesek elhárítani. Egyébként is érdekes lehet megtapasztalni, hogy aktuális szolgáltatónk miként viselkedik egy olyan helyzetben, amikor nem a színfalak előtti képességeit kell fitogtatnia.
Folytassuk a szűk keresztmetszetek azonosításával. Legyen az akár a tűzfal vagy az IPS rendszer, az internetkapcsolat, a szerver vagy bármi más – tudnunk kell, mik a szűk keresztmetszetek. Ha tudjuk, mik azok, kezeljük és/vagy legalább monitorozzuk az átlagosnál intenzívebben.
Világítsuk át, ismerjük meg a hálózati forgalmunkat. Amit nem ismerünk, azt nem tudjuk igazán védeni. Éppen ezért mind a kimenő, mind a bejövő forgalmakat részleteiben kell látnunk, így könnyebben felfigyelhetünk, ha például egy szerverünk a megszokottól eltérő mennyiségű forgalmat fogad, vagy mondjuk a végpontjaink egy része egy szokatlan célállomással vesz fel kapcsolatot. Tekintettel a jelenlegi helyzetre, ezt kiterjeszthetjük az alkalmazási réteg átvilágításával is, mivel néha már csak ezen a részletezettségen látszik az anomália (ld. „Application-layer DDoS”).
2. Felkészült légy
Elengedhetetlen a védelmi arzenálunk áttekintése és esetleges bővítése, ha DDoS támadásokról beszélünk. A tradicionális rendszereink közül egyedül az „NGFW”, azaz egy megfelelően felkészített, biztonsági szűrésekkel kiegészített tűzfal az, ami aktív védelmi szerepet tud játszani egy esetleges támadás során. Egy jobb tűzfal esetében a legtöbb próbálkozás kudarccal fog zárulni – a rendszer azonosítja a potenciális veszélyt és idejében megszakítja vagy akár blokkolja is a támadó feladókat. Szintén használatba vehető egy fapadosnak tűnő, ámde mégis hatékony, listaalapú blokkolás – méghozzá az IP címek földrajzi elhelyezkedése alapján történő szűrése. Ezen adatbázisok nem pontosak, azonban egy DDoS támadás esetében egyáltalán nem lesz mindegy, hogy ha egy jelentős részét a beérkező kapcsolatoknak az első pillanatban tudjuk biztonsággal eldobni, vagy csak ellenőrizgetés után mondhatunk róla ítéletet.
Szintén a talán meglévő rendszereknél maradva – a forgalomanalízis. Előnyös, ha olyan adatfolyam-elemzést lehetővé tevő rendszerünk van, amelyben felhasználóra vagy alkalmazásra fókuszáltan mérhetünk forgalmi adatokat, több forrás adatait tudjuk korrelálni (pl. Netflow esetén) és természetesen melyben több, eltérő időszakot vizsgálhatunk meg és mérhetjük fel a trendeket és szokatlan eseteket.
Legvégül jöjjenek a dedikált, profi megoldások – melyekre biztosan beruházás válik szükségessé. Az Anti-DDoS megoldások. Több lehetőség is adódik, röviden összefoglalva:
- Szolgáltató oldali: legpraktikusabb, hozzátéve, hogy a megfelelő szűrés érdekében sajnos a bizalmas kommunikációkat is fel kell oldaniuk – így ez akadály lehet. A forgalom megfelelő routinggal eljuttatható a szűrési helyre, így nem csak az internetszolgáltatónkra vagyunk hagyatkozva, választhatunk „Anti-DDoS szolgáltatót” is.
- Ügyféloldali: a határvédelmünk elé helyezzük, mint „várárkot”. Ezek speciális, hardveralapú megoldások, melyek hatalmas mennyiségű adatot képesek pillanatok alatt elemezni, még a legkisebbek is általában 4-500 Mbps sávszélesség kitisztítására képesek.
- Hibrid: a fenti kettő megoldás, ideális vegyítésben.
Mindhárom lehetőségnek megvannak a prói és kontrái, később külön cikkben kitérünk a megoldások általános osztályozására.
3. Rugalmas légy
Mivel a támadások a kommunikációk gyenge pontjait akarják túlterhelni, sokat tehetünk azzal, ha redundáns, megfelelő teljesítménytöbblettel rendelkező komponensekből építkezünk az infrastruktúránk üzemeltetése során. Emellett pedig még akár egy jól szabályozott, felkészült sávszélesség-menedzsmenttel, terheléselosztással is felkészülhetünk, így egy bekövetkező támadás esetében még egy esélyt nyerünk a sikerre.
Konklúzió
A támadások száma jelenleg is kellően magas a megalapozott aggodalomhoz. A támadások jellegéből fakadóan ráadásul hatalmas erejű csapásokat is lehet kivitelezni, ha kellően kívánatos a célpont. Az is bizonyos, hogy nem egy hullámot kell túlélni, sőt, ha sikeres volt a támadás, még akkor is garantálható, hogy az esetnek valamilyen folytatása is lesz a közeljövőben. A jellemző támadási időtartamokra figyelemmel gondoljuk át, mit és mennyit veszíthet cégünk, ha néhány napra szolgáltatás-kiesést szenved, akár csak 1 alkalommal, mondjuk pont „a szezonban”.
A veszteségekre tekintettel mérlegeljük az költségmentesen megtehető ellenlépéseket és felkészülést, amit a fentiekben ismertettünk. Kellő anyagi kockázat esetén pedig mielőbb mérlegeljük a profi segítséget is – legalább az ilyen megoldások megismerésével, anyagi-műszaki áttekintésével.
Akár a téma kapcsán szeretnének további konzultációt, akár egy vagy több technológiát ismernének meg közelebbről – segítségükre lehetünk szakértelmünkkel és gyártói/szolgáltatói partnereink vonatkozó kínálatával. Keressenek meg minket elérhetőségeinken és örömmel nyújtunk további segítséget.
SZL