DoS/DDoS ochrana

Petr Lasek, RADWARE

Významné útoky

Slide 2

Slide 3

Agenda

• Radware

• Aktuální rizika, kritéria výběru

• Příklady útoků

• Attack Mitigation System (AMS)

• Případová studie

• Shrnutí

Slide 4

1 1 3

APSolute řešení

Slide 5

RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace:

- maximální dostupnost (Availability),

- maximální výkon (Performance),

- bezpečnost (Security)

About Radware

Slide 6

Over 10,000 Customers

Global Technology Partners

Company Growth

Recognized Market Leader & vision

IPS Magic Quadrant 2013 ADC Magic Quadrant 2013

4,9 14,1

38,4 43,3 43,7 54,8

68,4 77,6 81,4

88,6 94,6

108,9

144,1

167,0

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

Radware – přehled řešení

Slide 7

Branch Office

Customers

Partner

Data Center

Application Servers

Web & Portal

Servers

ESB

Message Queuing

System

Mainframe

Database

servers

AppWall

Alteon /

AppDirector

AppXML

Inflight

Application Delivery Controller

Web Services and XML Gateway

Web Application Firewall

HTTP Monitor

WAN Link Optimizer / Load Balancer

Router

Router

LinkProof

LinkProof DefensePro

Intrusion Prevention

Radware řešení

8

L4-L7 G/SLB Acceleration

Security Software Defined Networking

Acceleration L4-L7 LB

Security

Aktuální bezpečnostní rizika

Bezpečnost

Slide 10

Bezpečnost

Významné útoky

Slide 11

Kdo je cílem?

12

Source: Radware Global Application and Network Report 2013

(to be published Jan. 27, 2014)

Pravděpodobnost že to budete Vy?

13

Industry Security Survey

How likely is it that your organization will be attacked by cyber warfare?

Unlikely 45%

Possible 37%

Likely 8%

Very likely 10%

Organizací zaznamenalo

3 DDoS útoky v

posledních 12 měsících 65% Minut by průměrný

výpadek. 54

Motivace ?

• „Výpalné“

• Konkurenční boj (lze si snadno zaplatit útok)

• Nespokojený zákazník

• Politika, náboženství

• Hacktivismus

Bezpečnostní nástroje x útoky

Slide 15

Large volume network flood attacks

High & Low rate application DoS attacks

“Low & Slow” DoS attacks

Brute force attack

Web application attacks

(e.g. XSS, Injections, CSRF)

SYN flood

Port scan

Network scan

Intrusion

Intrusion, Malware

DoS Protection

Behavioral Analysis

IP Reputation

IPS

WAF

Co a před čím chrání?

Protection Purpose Firewall IPS WAF Router

ACLs

Next Gen

FW

Anti-DoS

Appliance

(CPE)

DLP Cloud

Anti-DoS

Data-At-Rest

Protections

(Confidentiality)

Data-At-Endpoint

(Confidentiality)

Data-In-Transit

(Confidentiality)

Network

Infrastructure

Protection (Integrity)

Application

Infrastructure

Protection (Integrity)

Volumetric Attacks

(Availability)

Non-Volumetric

Resource Attacks

(Availability)

App Misuse App Misuse

DDoS útoky

Large volume

network flood

attacks

Network Scan

Syn Floods

SSL Floods

“Low & Slow” DoS

attacks

(e.g.Sockstress)

HTTP Floods

Brute

Force

Slide 17

DoS protection

Behavioral analysis SSL protection

IPS

WAF

Cloud DDoS protection

Comprehensive Protection

• Integrated solution with all security technologies

• Mitigates attacks beyond the perimeter

Co se stane během DDoS útoku?

18

0

5

10

15

20

25

30

35

Internet Pipe Firewall IPS / DSS ADC Server SQL Server

2011

2012

2013

Firewall & IPS NEOCHRÁNÍ před DDoS útokem

Typicky se kritickým místem stává:

• Server

• Firewall

• Připojení

Ja vybrat správné řešení?

Co řešení nabízí?

• Síťové útoky?

• Útoky na servery?

• Aplikační útoky?

• SSL útoky?

• „Pomalé útoky“ (Low & slow)?

Technologie?

• Útoky „hrubou silou“ (volumetric“)

• Blokování jen útoku (false – positive)?

• Dedikovaný hardware (hardware pro blokování)?

• Dedikovaný box (chrání vstup do sítě)?

• Chrání v reálném čase (inline)?

• Management / reporting (SIEM)?

Výrobce?

• Podpora během útoku 24 x 7 (nejen běžný support)?

• Reference (nejlépe u MSSP)?

• Skutečné řešení ?

• Vlastní výzkum?

RADWARE řešení

•Výkonný hardware – od 200 Mbps až 40 Gbps

•Kombinace více technologií (DoS Shield, IPS, NBA, IP reputation)

•Služby ERT týmu během útoku

•DefensePipe – DDoS ochrana v cloudu

•Průběžný výzkum (Low&slow, counter attack)

Anatomie útoku

APT – Advanced Persistent Threat

Hacktivism – příklady

Slide 26

• Duration: 20 Days

• More than 7 attack vectors

• “Inner cycle” involvement

• Attack target: Vatican

Komplexnost

útoků

• Duration: 3 Days

• 5 attack vectors

• Only “inner cycle” involvement

• Attack target: HKEX

• Duration: 3 Days

• 4 attack vectors

• Attack target: Visa, MasterCard

• Duration: 6 Days

• 5 attack vectors

• “Inner cycle” involvement

• Attack target: Israeli sites

Časový průběh

7. Březen – I. den

Slide 28

Day 1 Wed March

7th

~13:30

20:17

Customer website was taken down by anonymous.

Later, Radware Italy is invoked, ERT receive heads-up.

DefensePro is deployed, ERT start building configuration.

Začátek útoku

DefensePro

na místě

(ODS2)

ERT tým

8. Březen – II. den

Slide 29

Day2 Thurs March 8th

12:45

14:00

24:00

ERT Continued refining configuration moving the device to an

aggressive configuration.

Attacks begin and mitigated by the DefensePro. ERT monitors and

conduct minor fine tuning.

Attacks ended.

Útok blokován (DefensePro a ERT)

Útok pokračoval déle než týden…

Automaticky blokován

Bez zásahu ERT

Slide 31

Vektory útoku

Vektor I.: TCP Garbage Flood

Attack Vector PSH+ACK Garbage Flood port 80

Description TCP PSH+ACK packets that contain

garbage data

No initiation of proper TCP handshake

Mitigation • Out-of-state

• Signature (SUS – for all customers)

Slide 35

Garbage Data

Vektor II.: SYN Flood

Attack Vector SYN Flood

Description • Port 80

• 460 attackers

Mitigation • BDOS

• SYN Protection (not activated, threshold

were too high)

Slide 36

BDOS Footprint

Vektor III.: IP fragment flood to port 80

Attack Vector IP fragment

Description • TCP Protocol port 80

• Frag offset = 512

• TTL = 244

• Same SRC IP (unusual for this attack)

Mitigation BDOS

Slide 37

BDOS Mitigation in Action

Vector IV. : UPD Flood to Random Port

Attack Vector Attack Vector V: UPD Flood to Random Port

Description • UDP flood

• Packet contained Garbage data

Mitigation BDOS

Slide 38

BDOS

Mitigation in

Action

Evropská vládní instituce, Červenec 2012

Slide 39

• Útočník posílal 3.4Mbps složený z 36 B DNS dotazů na 8 DNS serverů

• Doména s 43 registrovanými DNS záznamy. Odpověd 3991 B, 154 Mbps

• Navíc odpověd s fragmentovanými pakety

• Ochrana -DNS odpovědi blokovány pomocí BDoS modulu, fragmentované UDP

pakety pomocí DoS-Shield modulu

Op Ababil

Slide 40

Vektory útoků

US

Bank

ISP 1

DoS

Mitigation

ISP 2

DoS

Mitigation

Slide 41

ICMP Flood

UDP Flood

SYN Flood

HTTP URL Floods

Search Page Floods

TLS/SSL Rengotiation

Login Page Floods

Bypassing Mitgiation

March 2013

Radware’s

ERT Joins in

Outage on

daily basis

IT department

is exhausted

and frustrated

Attacks started October 2012

AMS = Attack Mitigation System

Perimeter

In the cloud

Front-End

Protected

Organization

Alteon / AppWall

Internet

Attack Mitigation System

Defense Messaging

Volumetric DDoS

attack that saturates

Internet pipe

Slide 43

AMS řešení

Data Center

Web

Application

Výhody AMS

• Okamžitá reakce

• Hybridní řešení: CPE a scrubbing centrum

v cloudu

• Kompletní pokrytí útoků

• „Web stealth“ útoky

AppWall

DefensePro

Slide 44

Radware Attack Mitigation System (AMS)

Okamžitá reakce Pokrytí všech

vektorů

Management /

monitoring /

reporting

ERT

Slide 45

AMS komponenty

APSoluteVision

AppWall

Alteon - DefenseSSL

Slide 46

DefensePro • Anti-DoS, NBA, IPS, Rep. Engine

• On demand throughput scalability

200Mbps – 40Gbps AppWall • Web Application Firewall offering complete

web app protection

• Web-application based availability attack

detection

• Appliance & VA

DefenseSSL • Radware ADC solution

• Fast, HW based, SSL

decryption, FIPS validated

APSolute Vision • SIEM with real time views, historical and

forensics reports

• Appliance & VA

DefensePipe • Cloud based (service) protection against

pipe saturation

• Simple traffic based pricing model

Emergency Response Team • 24/7 service to customers under attack

Rozdíl: výkon pod útokem

Multi-Gbps

Capacity

Legitimate

Traffic

12 Million

PPS

Attack

Traffic

Other Network Security Solutions

Multi-Gbps

Capacity

Legitimate

Traffic

+ Attack

Attack Attack

Attack

Traffic

DefensePro

Útok blokován na

úkor bežného

provozu

Bez vlivu na

ostatní provoz

Slide 48

Mitigation Performance (DME)

Slide 49

0

2

4

6

8

10

12

0 5 10 15

Flo

od

Packe

t R

ate

(M

illi

on

s)

Legitimate HTTP Traffic (Gbit/s)

Radware Security Event Management (SEM)

Slide 50

• Correlated reports

• Trend analysis

• Compliance management

• RT monitoring

• Advanced alerts

• Forensics

3rd SIEM

Vyčištění provozu

Behavioral-based protections

DME DDoS Mitigation Engine

(25M PPS / 60 Gbps)

L7 Regex

Acceleration ASIC

Multi Purpose Multi Cores CPU’s

(38 Gbps)

& Reputation Engine

Architecture That Was Tailored for Attack Mitigation

51

Síťové DoS útoky

SYN Protection – Challenge/Response

Slide 53

Target

Real User

SYN

DefensePro

SYN-ACK +Cookie

ACK +Cookie

SYN

SYN-ACK

ACK

Cookie is validated.

TCP Challenge passed - delayed binding begins

HTTP Redirect / Javascript - awaiting data packet

with valid cookie

• Logic – DP detected a SYN flood to an endpoint • Logic – cookie validated, delayed binding pending

Data

• Logic – storing received data before proxying

Data

SYN cookies

Slide 54

TCP Challenge

Challenge/Response

Slide 55

Behavioral Real-time

Signature Technology

Real-Time

Signature Created

Challenge/Response

Technology

“Light”

Challenge Actions

“Strong”

Challenge Action

X

?

Selective

Rate-limit

X

?

Attack

Detection

302 Redirect

Challenge

Java Script

Challenge

RT Signature

blocking

Real-time Signature

Blocking

Uzavřená smyčka

Botnet is identified

(suspicious sources are

marked)

AMS - co nabízí

Slide 56

Detekce

útoku

Druhý

challenge

Challenge Real-time

signatura

Blokování

• Kombinace více bezpečnostních technologií

– Ochrana před síťovými a aplikačními útoky

– Ochrana před známými i neznámými (zero-day) útoky

• QoE

– Prakticky nulové „false-positive „

– Granulární konfigurace, kombinace více metod blokování, real-time

monitroing i dloudobý reporting

• TCO

– Automatické generování signatur, bez nutnosti zásahu administrátora

Ochrana před síťovými DoS útoky

Slide 57

– TCP SYN floods

– TCP SYN+ACK floods

– TCP FIN floods

– TCP RESET floods

– TCP Out of state floods

– TCP Fragment floods

– UDP floods

– ICMP floods

– IGMP floods

– Packet Anomalies

– Known DoS tools

– Custom DoS signatures

Ochrana před:

NBA a RT Signature Technologie

Public Network

Blocking

Rules Statistics

Detection

Engine

Learning

RT

Signatures

Signature parameters

• Source/Destination IP

• Source/Destination Port

• Packet size

• TTL (Time To Live)

• DNS Query

• Packet ID

• TCP sequence number

• More … (up to 20)

Initial filter is generated: Packet ID

Degree of Attack = Low (Positive Feedback)

Filter Optimization: Packet ID AND Source IP Filter Optimization: Packet ID AND Source IP

AND Packet size

Degree of Attack = High (Negative Feedback)

Filter Optimization: Packet ID AND Source IP

AND Packet size AND TTL

Degree of Attack = High Degree of Attack = Low

Narrowest filters

• Packet ID

• Source IP Address

• Packet size

• TTL (Time To Live)

1 2

3

4

5

Inbound Traffic

Outbound Traffic

Protected Network

Up to 10 0 10+X

Final Filter Start

mitigation

Closed feedback Initial Filter

Time [sec]

Mitigation optimization process

Filte

red

Tra

ffic

Traffic characteristics Real-Time Signature

Slide 58

Decision Engine

Slide 59

NBA - Fuzzy logika

Attack area

Suspicious

area

Normal

adapted area

Attack Degree = 5

(Normal- Suspect)

Abnormal rate

of Syn packets Normal TCP flags

ratio

Flash crowd

Y-axis X-axis

Z-axis A

tta

ck D

eg

ree

axis

Slide 59

Aplikační DoS útoky

HTTP Mitigator

Behaviorální analýza & generováni signatur

Slide 63

Public Network

Inbound Traffic

Outbound Traffic

Behavioral

Analysis

Abnormal

Activity

Detection

Inspection

Module

Real-Time

Signature

Inputs - Network

- Servers

- Clients

Real-Time

Signature

Generation

Closed

Feedback

Enterprise

Network

Optimize Signature

Remove when attack

is over

DoS & DDoS

Application level threats

Zero-Minute

malware propagation

DNS Mitigator

Behavorální analýza DNS provozu

Slide 69

Normal Suspect

Attack

A records base line

MX records base line

PTR records…

AAAA records…

DNS QPS

Time

Četnost dotazů

A records

MX

records

PTR

records

AAAA

records

TEXT

records

Other

records

DNS dotazy – jejich rozložení

Fuzzy Logic Inference

System

DoA per typ dotazu

SSL

Ochrana před útoky v šifrovaném provozu

Slide 71

Traffic Anomalies

Floods

Network-Based DoS

Attacks

Application-Based DoS

Attacks (Clear and SSL)

“Directed” Application DoS

Attacks (Clear and SSL)

Packet anomalies,

Black & white lists

Behavioral DoS &

TCP cookie engines

L7 ASIC Regex

engine Application “cookie”

engines

Clear

Encrypted

Cle

ar

En

cry

pte

d

Client-side

termination point

Alteon’s SSL

Acceleration Engine

Clear

Encrypted “Authenticated”

clients

Ostatní metody

IP reputation

Signatury

Black-white list, ACL

Řízení pásma (QoS)

Server cracking

Další metody ochrany

Slide 73

Integrace

Slide 74

DefensePro

APSolute Vision

CLI, SNMP, SOAP

Signaling (SYSLOG) SNMP traps, mails

Reports, SQL

SDN

Netflow - Invea-tech

DefenseFlow Application

DefenseFlow - SDN

Mobile Users

Collect

Analyze & Decide

Control

DefenseFlow Diversion

and DefensePro Mitigation

A completely new solution architecture:

• From point security solution to network-wide solution enabled by SDN

• Dynamic, programmable, scalable, easy-to-operate security network service

• Best possible design:

• Always out of path except for under attack

• Unprecedented attack detection span

75

Network Controller

WAF

Vektory útoků

Slide 77

Source: webappsec.org

Top Attack Vectors

„Výsledek“ útoků

Slide 78

Source: webappsec.org

Top Impact / Outcomes

APSolute Vision SIEM

AppWall

Complete Web App Protection • Full coverage of OWASP Top-10

• Negative & positive security models

Risk Management • Unified and

Correlated reporting

across the network

• Security reporting

Fast Implementation • Simple initial deployment

• Best in class Auto-Policy Generation

Scalability • Cluster deployment

• Centralized policy management

• Scalable by Device

Out-of-the-Box PCI Compliance • WAF + IPS (PCI 6.6 & 11.4)

• PCI Compliance Reporting

AppWall

Slide 79

Bezpečnost webu

Slide 80

• Pokrytí OWASP Top-10

• Negativní & Pozitivní bezpečnstní model

• Out-of-the-Box pravidla

• WASC Threat Classification

• Cross site scripting (XSS)

• SQL injection, LDAP injection, OS commanding

Signature & Rule

Protection

• Evasions

• HTTP response splitting (HRS)

Terminate TCP,

Normalize, HTTP RFC

• Credit card number (CCN) / Social Security (SSN)

• Regular Expression

Data Leak Prevention

Complete Web Application Protection

Slide 81

• Buffer overflow (BO)

• Zero-day attacks

Parameters Inspection

• Cross site request forgery

• Cookie poisoning, session hijacking

User Behavior

• Folder/file/param level access control

• White listing or black listing Layer 7 ACL

• XML Validity and schema enforcement XML & Web

Services

• Authentication

• User Tracking

Role Based Policy

Complete Web Application Protection

Slide 82

Reservations.com

/config/

/hotels/

/register/

/info/

/reserve/

SQL Injection

CCN breach

Buffer Overflow

Directory Traversal

Automatická tvroba pravidel

App

Mapping

Information leakage

Gain root access control

Unexpected application

behavior, system crash, full

system compromise

Threat

Analysis

Risk analysis per “ application-path”

/admin/

Spoof identity, steal user

information, data tampering

Slide 84

Reservations.com

/config/

/hotels/

/admin/

/register/

/info/

/reserve/

SQL Injection

CCN breach

Buffer Overflow

Directory Traversal

***********9459

P

Doporučení ochrany

App

Mapping

Policy

Generation

Prevent access to

sensitive app sections

Mask CCN, SSN, etc. in

responses.

Parameters inspection

Threat

Analysis

Traffic normalization &

HTTP RFC validation

Slide 85

Authentication, SSO & Role Based Policy

Slide 86

Authentication and login detection

Authorization and access control

Accounting and Auditing

Web based Single Sign On

RBAC

Slide 87

• IT

• HR

• Finance

• Operations

Organizational Roles

• Customer

• Partner

• Employee

• Administrator

Application Roles 80%

18% 2% External

Partner

Internal

Attack Source

Více vektorový RBAC

Slide 88

• Web Role

• IP & Geo Location

Context

• Application Access Control

• Data Access and Visibility

• Web Security, XSS, SQL Inj.

Security Policy

• Block

• Report

Action

• Autolearning – 7 dní Jak rychle lze

nasadit?

• Cluster a licence Výkon a

škálovatelnost

• Pozitovní a negativní bezpečnostní model Blokování je

špatného provozu

• Automatické generovnání pravidel Nasazení

WAF = kritéria výběru

Slide 89

Signalizace

Slide 90

AppWall

HTTP Dynamic Flood

Web application attack

detected by AppWall AppWall signals DefensePro DefensePro

mitigates the attack Data Center

DefensePro

Multiple

Policies

User

Int

vADC

Ext

vADC

Alteon

ADC-VX

Elastic WAF

Operator

Selective Routing of

Protected and

unprotected Tenants

Step #1.1

Growing traffic volume to

the Web application

Step #2.1

New Tenant Application added

Step #2.2

New Policy Assigned

Step #1.2

High AppWall

resource Utilization

Step #1.3

Add AppWall

Instance

Step #1.4

Reduced

Resource

utilization

DefensePipe / Scrubbing center

DefensePipe

Přesměrování JEN

během útoků

Ochrana v cloudu před

„volumetric“ útoky

Sdílené informace mezi

CPE a cloudem

První hybridní útoky na

trhu

Slide 94

DefensePipe Operation Flow

Protected Online Services

DefensePro

AppWall

Protected organization

DefensePros

Defense Messaging

ISP

Volumetric DDoS attack that

blocks the Internet pipe

ERT with the customer

decide to divert the traffic

Clean traffic

Sharing essential

information for

attack mitigation

On-premise AMS

mitigates the attack

Slide 95

U zákazníka nebo v cloudu?

Slide 96

SOC a ERT služby

Radware AMS & ERT/SOC

Slide 98

• Security Operations Center (SOC)

– Pravidelné update signatur každý týden a kritické updaty okamžitě

– 24 x 7, znalost sdílená celosvětově

• Emergency Response Team (ERT)

– 24x7 služba pro zákazníky pod útokem

– Eliminace DoS/DDoS útotů, předejití škodám

Architektura

• FlowMon sonda pro minitoring linky

– Lze monitorovat velké množství linek

• FlowMon Collector (FC) sbíra statistiky a detekuje (DoS/DDoS) útok

– FlowMon sbíra statistiky pro DefensePro

• FC poskytuje potřebné informace pro DefensePro a nakonfigureje profil a

pravidlo pro mitigaci. Po ukončení útoku je konfigurace vymazána.

• Výhody:

– Škálovatelnost

Závěr

Shrnutí

• Více vektorů útoků

– Uživatele nasazují více řešení

– Útočníci využivají „mezer“ mezi neintegrovanými produkty

• Attack Mitigation System (AMS):

– Ochrana před APT (Advanced Persistent Threat = dlouhodobé „kampaně“)

– Integrované řešení / korelace mezi jednotlivými metodami

• Řešení pro

– Online aplikace

– Datová centra, hosting, cloud

– Poskytovale internetu

Slide 107

Thank You www.radware.com

Slide 109

Dotazy?

petrl@radware.com

www.radware.com

security.radware.com