Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Ahogy egy modern vállalat szolgáltatásai és kommunikációja egyre inkább a kibertérbe helye-ződik át a hagyományos csatornák helyett, úgy válik egyre fontosabbá a szolgáltatásokat fut-tató infrastruktúra magas rendelkezésre állása és megfelelő kapacitásának biztosítása.
E két tényezőt támadják azok a bűnözők is, akik a szolgáltatások leállását vagy lassulását elő-idéző Distributed Denial of Service (DDoS) módon próbálják a szolgáltatást blokkolni. A DDoS nagyszámú, akár több százezer kliensről összehangoltan indított támadás, mely elsődleges célja, hogy a támadott szerver a túlterhelés következtében ne tudja ellátni feladatát.
A T-Systems Magyarország Zrt. Security as a Service (SecaaS) szolgáltatási csomagján belül egy új, a vállalati szintű védekezésnél sokkal hatékonyabb központi DDoS-megoldást kínál ügyfeleinek.
TúlTerheléses Támadás elleni védelmi szolgálTaTások a T-sysTemsTől
ddos-célponTok és -Trendek
A DDoS-jellegű támadások növekedését számos tanulmány, felmérés igazolja. A kockázat emelkedése egyetlen gazdálkodó szervezetnél vagy kormányzati intézményben sem hagyható figyelmen kívül.
Az aktuális felmérések1 szerint a DDoS-támadások leggyakoribb célpontjai:¦ pénzügyi szolgáltatók, bankok (43%),¦ kormányzati szervek (29%),¦ nagyvállalatok (21%),¦ nonprofit (civil és politikai) szervezetek (5%),¦ internetszolgáltatók (1%).
A támadások jellegét és volumenét illetően az alábbi trendekkel2 kell számolni:¦ Növekszik a gazdasági indíttatású támadások száma és aránya.¦ Növekszik a célzott támadások száma¦ A botnetek és a róluk indított DDoS-támadások könnyen elérhető,
olcsó, mindenki számára megvásárolható „szolgáltatássá” váltak.¦ A látszólag legitim forgalmat generáló támadások megnehezítik a
valós idejű detektálást és védekezést.¦ Növekszik a volumetrikus támadások aránya.¦ Nagy léptékben növekszik a támadásonként generált forgalom.¦ A támadások átlagos ideje csökkent, 86%-uk egy óránál rövidebb.¦ A támadások bit/s-ban kifejezhető „erőssége” egy év alatt jelentősen
megnövekedett.¦ 2013-ban már volt 100 Gbps, sőt 300 Gbps feletti támadás is.
1 Forrás: NSFOCUS/Biztonságportál, http://biztonsagportal.hu/jatekszerverekkel-bovult-a-kiberbunozes-fegyvertara.html2 Forrás: Arbor Networks
a ddos-Támadások fajTái és a védekezés leheTőségei
A DDoS-támadások fő típusai:¦ Sávszélességet felemésztő (volumetrikus) támadások: az a céljuk,
hogy telítsék a szerver hálózati kapcsolatát, vagy túlterheljék az azt kiszolgáló hálózati eszközöket (jellemző egysége a bit/s).
¦ Kapcsolatalapú támadások: a csak kezdeményezett vagy ténylegesen megnyitott, de nem használt kapcsolatok nyilvántartása foglalja le az erőforrásokat. Szerveren kívül célpontja lehet tűzfal vagy terhelésel-osztást végző eszköz is (jellemző egysége a csomag/s).
¦ Alkalmazásszintű támadások: nagyszámú lekéréssel kötik le a szerver erőforrásait (processzor, memória), speciális változata lehet a DNS- vagy egyéb kiszolgálószolgáltatást megbénító támadás (jellemző egysége a lekérés/s).
A vállalati felhasználásra kínált DDoS-védelmi eszközök jellemzően in-line megoldások, amelyek az internetszolgáltató által biztosított adat-vonalba épülve monitorozzák és szükség esetén szűrik a forgalmat.
Az előfizetői oldali megvalósítás hátránya, hogy bár képes a támadás detektálására, és meg tudja akadályozni a támadó forgalom eljutását a célba vett szerverre, de volumetrikus támadások esetén nem képes védeni az adott szervert a vonalkapacitás (sávszélesség) elfogyása ellen. A védett szerver ugyan nem áll le, de gyakorlatilag elérhetetlen: a támadó elérte a célját.
Éppen ezért szolgáltatói oldalon célszerű implementálni a DDoS-védel-met, amely így egyidejűleg alkalmas a támadó forgalom észlelésére, szűrésére, valamint az ügyfél sávszélességének megőrzésére. A táma-dójellegű forgalom kiszűrése mellett a legitim forgalom továbbra is eljut a kiszolgálóhoz: a védelem sikeres volt.
A T-Systems Magyarország Zrt. új rendszere központosított szolgálta-tást kínál az ügyfeleknek. A központi védelmi eszközpark (Scrubbing Centre) egyszerre több ügyfél védelmét teszi lehetővé, a forgalmat már az internetszolgáltató-központban megszűrve.
DDoS-támadások erőssége (2012. I. félév – 2013. I. félév)
<1 Gbps
>1<2 Gbps
>2<5 Gbps
>5<10 Gbps
>10<20 Gbps
>20 Gbps
<1 Gbps
>1<2 Gbps
>2<5 Gbps
>5<10 Gbps
>10<20 Gbps
>20 Gbps
műszaki áTTekinTés
A T-Sysems Magyarország Zrt. (továbbiakban TSM) a SecaaS szolgál-tatáscsomag keretén belül DDoS-támadások elleni védelmet is kínál nagyvállalati ügyfelei számára. A megoldás alapjául egy központi, nagy teljesítményű védelmi rendszer szolgál, amely képes egyidejűleg több ügyfél védelmét biztosítani. A Scrubbing Center a Magyar Telekom gerinchálózatán helyezkedik el, ahol a rendelkezésre álló sávszélesség nagyságrendekkel több, mint az egyes nagyvállalati felhasználók internetes kapcsolatának sávszéles-sége. A védelmi szolgáltatást igénybe vevő ügyfelek internetes forgalma idő-szakosan (pl. támadás esetén) vagy állandó jelleggel áthalad a Scrub-bing Centeren, amely a forgalom állandó monitorozása mellett képes érzékelni és manuális vagy automatikus módon kiszűrni a támadó-forgalmat oly módon, hogy a legitim forgalom a támadások ideje alatt továbbra is zavartalanul haladhat.
Upstream providers Public and private peerings
Scrubbing Center
CustomerServices
Normal trafic
DDoS attac traffic
MT–AS5483
A Scrubbing Center az alábbi támadástípusok (támadások) ellen nyújt védelmet:
¦ Volumetrikus támadások (elárasztásos támadások) – ICMP flood, – UDP flood.
¦ Protokoll elleni támadások – TCP SYN (SYN, ACK) flood, – Ping of Death, – Smurf DDoS, – invalid/fragmentált csomagok kiszűrése.
¦ Alkalmazásszintű támadások – Slowloris, – Zero Day DDoS, – http, DNS vagy egyéb alkalmazások.
A Scrubbing Center támogatja továbbá:¦ ismert támadástípusok észlelését szignatúraalapon,¦ új/ismeretlen támadástípusok észlelését viselkedésalapon (dinamikus
profilozás),¦ forgalomszabályozás, sebességkorlátozás (rate limiting),¦ white list/black list,¦ több ISO-rétegbeli szabályrendszer definiálása,¦ földrajzi lokáció szerinti szűrés,¦ a csomagok jól formázottságának és a fejlécek érvényességének
vizsgálata,¦ SSL-inspekció,¦ szemére szabott felhasználói policy alkalmazását (ügyfelenként),¦ személyes portál (napló, statisztika megtekintésre és riport generá-
lásra).
Szolgáltatáselemek:¦ Monitoring, riporting¦ Támadásérzékelés
– szignatúraalapú analízis – dinamikus profilozás
¦ In-line működés vagy támadás idején forgalomelterelés (proaktív, auto-matikus vagy reaktív elhárítás jellegű beavatkozás)
Amennyiben felkeltettük érdeklődését, kérjük, keresse szakértő kollégáinkat, vagy látogasson el a www.t-systems.hu weboldalunkra.
Tóth TiborMobil: +36 30 742 8169E-mail: [email protected]