Ahogy egy modern vállalat szolgáltatásai és kommunikációja egyre inkább a kibertérbe helye-ződik át a hagyományos csatornák helyett, úgy válik egyre fontosabbá a szolgáltatásokat fut-tató infrastruktúra magas rendelkezésre állása és megfelelő kapacitásának biztosítása.

E két tényezőt támadják azok a bűnözők is, akik a szolgáltatások leállását vagy lassulását elő-idéző Distributed Denial of Service (DDoS) módon próbálják a szolgáltatást blokkolni. A DDoS nagyszámú, akár több százezer kliensről összehangoltan indított támadás, mely elsődleges célja, hogy a támadott szerver a túlterhelés következtében ne tudja ellátni feladatát.

A T-Systems Magyarország Zrt. Security as a Service (SecaaS) szolgáltatási csomagján belül egy új, a vállalati szintű védekezésnél sokkal hatékonyabb központi DDoS-megoldást kínál ügyfeleinek.

TúlTerheléses Támadás elleni védelmi szolgálTaTások a T-sysTemsTől

ddos-célponTok és -Trendek

A DDoS-jellegű támadások növekedését számos tanulmány, felmérés igazolja. A kockázat emelkedése egyetlen gazdálkodó szervezetnél vagy kormányzati intézményben sem hagyható figyelmen kívül.

Az aktuális felmérések1 szerint a DDoS-támadások leggyakoribb célpontjai:¦ pénzügyi szolgáltatók, bankok (43%),¦ kormányzati szervek (29%),¦ nagyvállalatok (21%),¦ nonprofit (civil és politikai) szervezetek (5%),¦ internetszolgáltatók (1%).

A támadások jellegét és volumenét illetően az alábbi trendekkel2 kell számolni:¦ Növekszik a gazdasági indíttatású támadások száma és aránya.¦ Növekszik a célzott támadások száma¦ A botnetek és a róluk indított DDoS-támadások könnyen elérhető,

olcsó, mindenki számára megvásárolható „szolgáltatássá” váltak.¦ A látszólag legitim forgalmat generáló támadások megnehezítik a

valós idejű detektálást és védekezést.¦ Növekszik a volumetrikus támadások aránya.¦ Nagy léptékben növekszik a támadásonként generált forgalom.¦ A támadások átlagos ideje csökkent, 86%-uk egy óránál rövidebb.¦ A támadások bit/s-ban kifejezhető „erőssége” egy év alatt jelentősen

megnövekedett.¦ 2013-ban már volt 100 Gbps, sőt 300 Gbps feletti támadás is.

1 Forrás: NSFOCUS/Biztonságportál, http://biztonsagportal.hu/jatekszerverekkel-bovult-a-kiberbunozes-fegyvertara.html2 Forrás: Arbor Networks

a ddos-Támadások fajTái és a védekezés leheTőségei

A DDoS-támadások fő típusai:¦ Sávszélességet felemésztő (volumetrikus) támadások: az a céljuk,

hogy telítsék a szerver hálózati kapcsolatát, vagy túlterheljék az azt kiszolgáló hálózati eszközöket (jellemző egysége a bit/s).

¦ Kapcsolatalapú támadások: a csak kezdeményezett vagy ténylegesen megnyitott, de nem használt kapcsolatok nyilvántartása foglalja le az erőforrásokat. Szerveren kívül célpontja lehet tűzfal vagy terhelésel-osztást végző eszköz is (jellemző egysége a csomag/s).

¦ Alkalmazásszintű támadások: nagyszámú lekéréssel kötik le a szerver erőforrásait (processzor, memória), speciális változata lehet a DNS- vagy egyéb kiszolgálószolgáltatást megbénító támadás (jellemző egysége a lekérés/s).

A vállalati felhasználásra kínált DDoS-védelmi eszközök jellemzően in-line megoldások, amelyek az internetszolgáltató által biztosított adat-vonalba épülve monitorozzák és szükség esetén szűrik a forgalmat.

Az előfizetői oldali megvalósítás hátránya, hogy bár képes a támadás detektálására, és meg tudja akadályozni a támadó forgalom eljutását a célba vett szerverre, de volumetrikus támadások esetén nem képes védeni az adott szervert a vonalkapacitás (sávszélesség) elfogyása ellen. A védett szerver ugyan nem áll le, de gyakorlatilag elérhetetlen: a támadó elérte a célját.

Éppen ezért szolgáltatói oldalon célszerű implementálni a DDoS-védel-met, amely így egyidejűleg alkalmas a támadó forgalom észlelésére, szűrésére, valamint az ügyfél sávszélességének megőrzésére. A táma-dójellegű forgalom kiszűrése mellett a legitim forgalom továbbra is eljut a kiszolgálóhoz: a védelem sikeres volt.

A T-Systems Magyarország Zrt. új rendszere központosított szolgálta-tást kínál az ügyfeleknek. A központi védelmi eszközpark (Scrubbing Centre) egyszerre több ügyfél védelmét teszi lehetővé, a forgalmat már az internetszolgáltató-központban megszűrve.

DDoS-támadások erőssége (2012. I. félév – 2013. I. félév)

<1 Gbps

>1<2 Gbps

>2<5 Gbps

>5<10 Gbps

>10<20 Gbps

>20 Gbps

<1 Gbps

>1<2 Gbps

>2<5 Gbps

>5<10 Gbps

>10<20 Gbps

>20 Gbps

műszaki áTTekinTés

A T-Sysems Magyarország Zrt. (továbbiakban TSM) a SecaaS szolgál-tatáscsomag keretén belül DDoS-támadások elleni védelmet is kínál nagyvállalati ügyfelei számára. A megoldás alapjául egy központi, nagy teljesítményű védelmi rendszer szolgál, amely képes egyidejűleg több ügyfél védelmét biztosítani. A Scrubbing Center a Magyar Telekom gerinchálózatán helyezkedik el, ahol a rendelkezésre álló sávszélesség nagyságrendekkel több, mint az egyes nagyvállalati felhasználók internetes kapcsolatának sávszéles-sége. A védelmi szolgáltatást igénybe vevő ügyfelek internetes forgalma idő-szakosan (pl. támadás esetén) vagy állandó jelleggel áthalad a Scrub-bing Centeren, amely a forgalom állandó monitorozása mellett képes érzékelni és manuális vagy automatikus módon kiszűrni a támadó-forgalmat oly módon, hogy a legitim forgalom a támadások ideje alatt továbbra is zavartalanul haladhat.

Upstream providers Public and private peerings

Scrubbing Center

CustomerServices

Normal trafic

DDoS attac traffic

MT–AS5483

A Scrubbing Center az alábbi támadástípusok (támadások) ellen nyújt védelmet:

¦ Volumetrikus támadások (elárasztásos támadások) – ICMP flood, – UDP flood.

¦ Protokoll elleni támadások – TCP SYN (SYN, ACK) flood, – Ping of Death, – Smurf DDoS, – invalid/fragmentált csomagok kiszűrése.

¦ Alkalmazásszintű támadások – Slowloris, – Zero Day DDoS, – http, DNS vagy egyéb alkalmazások.

A Scrubbing Center támogatja továbbá:¦ ismert támadástípusok észlelését szignatúraalapon,¦ új/ismeretlen támadástípusok észlelését viselkedésalapon (dinamikus

profilozás),¦ forgalomszabályozás, sebességkorlátozás (rate limiting),¦ white list/black list,¦ több ISO-rétegbeli szabályrendszer definiálása,¦ földrajzi lokáció szerinti szűrés,¦ a csomagok jól formázottságának és a fejlécek érvényességének

vizsgálata,¦ SSL-inspekció,¦ szemére szabott felhasználói policy alkalmazását (ügyfelenként),¦ személyes portál (napló, statisztika megtekintésre és riport generá-

lásra).

Szolgáltatáselemek:¦ Monitoring, riporting¦ Támadásérzékelés

– szignatúraalapú analízis – dinamikus profilozás

¦ In-line működés vagy támadás idején forgalomelterelés (proaktív, auto-matikus vagy reaktív elhárítás jellegű beavatkozás)

Amennyiben felkeltettük érdeklődését, kérjük, keresse szakértő kollégáinkat, vagy látogasson el a www.t-systems.hu weboldalunkra.

Tóth TiborMobil: +36 30 742 8169E-mail: toth2.tibor@t-systems.hu