W bieżącym wydaniu - clico.pl · stały zaprezentowane rozwiązania Check Point, F5 Networks oraz...

© 2013 CLICO Sp. z o.o. 1

8 /2013/(23)

Szanowni Czytelnicy,

W kolejnym wydaniu Biuletynu IT nie mogło zabraknąć artykułów poświęconych atakom DDoS i me-todom im przeciwdziałania. W kon-tekście ostatnich incydentów bez-pieczeństwa ten temat wydał nam

się szczególnie ważny. W ujęciu technicznym zo-stały zaprezentowane rozwiązania Check Point, F5

Networks oraz Juniper Networks, które pozwalają na skuteczną ochronę przed tego typu atakami.

Czytelnicy zainteresowani bezpieczeństwem Cen-trów Danych mogą także znaleźć informacje na temat nowego systemu zabezpieczeń F5 Networks przeznaczonego do takich zastosowań.

Z pozdrowieniamiRedakcja Biuletynu IT

W bieżącym wydaniu...Jego wyjątkowa i innowacyjna technologia stale monitoruje i loguje cały ruch przychodzący i wychodzący.

Więcej na str. 8

18 lat współpracy – sprawozdanie z Check Point Security Day 2013

Więcej na str. 10

Piotr Motłoch

Check Point DDoS Protector – bezobsługowa ochrona

Żaden administrator nie jest w stanie budować na bieżą-co szczelnych, przemyślanych reguł, które w jasny i prosty sposób odrzucą ruch niebezpieczny, ponieważ z punktu wi-dzenia standardowych zabezpieczeń, ruch powodujący na przykład ataki na aplikacje web jest ruchem … prawidło-wym. Potrzebujemy urządzenia, które na bieżąco obserwu-je cały wolumen ruchu sieciowego, analizuje go a potem w ułamku sekundy dodaje reguły, które odrzucą jedynie se-sje generowane przez komputery przestępców. Takim roz-wiązaniem jest Check Point DDoS Protector.

Więcej na str. 12

Konferencje, szkolenia, promocje…

Szkolenia autoryzowane CISSP w języku polskimWięcej na str. 3

Autoryzowane szkolenia F5 Networks w ofercie Centrum Szkoleniowego ClicoWięcej na str. 7

SafeNet Day 2013 Więcej na str. 15

Szkolenia SafeNetWięcej na str. 17

Ewa Śniechowska

F5 Advanced Firewall Manager W dobie zwiększonej liczby ataków na aplikacje sieciowe

konieczna jest implementacja odpowiedniego poziomu zabez-pieczeń w Data Center w celu zapewnienia ochrony i dostęp-ności kluczowych zasobów. W oparciu o duże doświadczenie w tworzeniu rozwiązań typu Application Delivery Controller, F5 Networks proponuje połączenie wysokiego poziomu bez-pieczeństwa oraz dostępności aplikacji w celu ochrony infra-struktury serwerów i centrów danych. BIG-IP AFM (Advanced Firewall Manager) stanowi trzon rozwiązania F5 – Application Delivery Firewall, łącząc w sobie zaporę sieciową z zarządza-niem ruchem, ochroną aplikacji, zarządzaniem dostępem użyt-kowników oraz zabezpieczeniem DNS.

Więcej na str. 2

Piotr Motłoch

Ochrona przed atakami DDOS na aplikacje Web przy pomocy F5 ASM

Application Security Manager firmy F5 jest rozwiązaniem klasy Web Application Firewall przeznaczonym do kontroli ru-chu sieciowego, analizy i ochrony kluczowych aplikacji.(…)

F5 ASM dostarcza gotowe rozwiązania pozwalające na sku-teczne zwalczanie ataków DDoS. Opiera się ono na statystycz-nej analizie ruchu sieciowego dla poszczególnych aplikacji.

Więcej na str. 4

Piotr Nowotarski

Ochrona sieci przed zmasowanymi atakami DDoS za pomocą Juniper DDoS Secure

Przez ostatnie lata ataki DoS ewoluowały od prostej broni (…) do wysoko skomplikowanego narzędzia korzystającego z nieznanych jeszcze zagrożeń (ang. Zero-day), kierowanego przeciw strategicznym zasobom biznesowym firmy. (…)

Rozwiązanie Juniper DDoS Secure pozwala zabezpieczyć krytyczne zasoby firmy przed nowymi zagrożeniami DDoS.

2

8 /2013(23)

© 2013 CLICO Sp. z o.o.

Ewa Śniechowska

F5 Advanced Firewall Manager

W dobie zwiększonej liczby ataków na aplikacje sieciowe konieczna jest implementacja odpowied-niego poziomu zabezpieczeń w Data Center w celu zapewnienia ochrony i dostępności kluczowych za-sobów. W oparciu o duże doświadczenie w tworze-niu rozwiązań typu Application Delivery Controller F5 Networks proponuje połączenie wysokiego po-ziomu bezpieczeństwa oraz dostępności aplikacji w celu ochrony infrastruktury serwerów i centrów danych.

BIG-IP AFM (Advanced Firewall Manager) stano-wi trzon rozwiązania F5 – Application Delivery Fire-wall, łącząc w sobie zaporę sieciową z zarządzaniem ruchem, bezpieczeństwem aplikacji, zarządzaniem dostępem użytkowników oraz zabezpieczeniem DNS. Poprzez konsolidację funkcji bezpieczeństwa kilku modułów BIG-IP na jednej platformie nastę-puje redukcja złożoności zarządzania przy jednocze-snym zachowaniu wysokiej wydajności i skalowalno-ści.

W przeciwieństwie do tradycyjnych zapór BIG-IP AFM jest zbudowany w oparciu o architekturę full-proxy, co oznacza pełną inspekcję przychodzących połączeń oraz sprawdzenie ich pod kątem zagrożeń, a w następnym kroku przekazanie ich do odpowied-niego serwera. W kierunku odwrotnym w przypad-ku komunikacji serwer–klient, poprzez zastosowa-nie proxy w połączeniu z AFM, istnieje możliwość sprawdzania danych w celu ochrony przed wycie-kiem informacji wrażliwych, takich jak numer karty kredytowej lub numer ubezpieczenia społecznego.

Dzięki szczegółowej analizie ruchu AFM ułatwia ochronę infrastruktury i zrozumienie typów ataków. Przy zastosowaniu F5 AFM dla ruchu HTTP możliwe jest wykrycie pakietów niezgodych z RFC czy też zde-

finiowanie dozwolonych metod zapytań. Dla FTP można zdefiniować parametry takie jak maksymalna liczba prób logowania czy też niedozwolone komen-dy. Szereg zabezpieczeń dostępny jest również dla ruchu SMTP – ochrona przed atakami typu Directo-ry Harvesting czy też otrzymywaniem spamu ze zde-finiowanego adresu lub domeny. Istnieje również możliwość zdefiniowania filtra typu query type dla ruchu DNS. F5 AFM posiada również mechanizmy zabezpieczenia przed atakami typu DDoS (Distribu-ted Denial of Service) – jest w stanie rozpoznać i za-blokować nieprawidłowe pakiety oraz wzrost liczby pakietów na sekundę w odniesieniu do poszczegól-nych zapytań (np. przy DNS query attack).

3

Biuletyn IT


Cechą szczególną F5 AFM jest fakt, że reguły bez-pieczeństwa są przypisane do danego wirtualnego serwera (Virtual Server) – dzięki temu nim ruch zostanie dopuszczony do zasobu, do którego przy-pisany jest wirtualny serwer, jest on sprawdzany pod kątem bezpieczeństwa przez szereg zdefiniowanych wcześniej reguł. Na uwagę zasługuje również rozsze-rzony moduł raportowania i logowania zapewniają-cy statystyki i informacje o wszystkich próbach naru-szenia reguł bezpieczeństwa.

F5 posiada zestaw rozwiązań pozwalających na zbudowanie wysoko dostępnej i bezpiecznej archi-tektury. Następujące moduły BIG-IP mogą działać wspólnie w centrum danych: BIG-IP Advanced Firewall Manager (AFM) – za-

awansowany firewall, który zapewnia pełną wi-doczność ruchu oraz wysoki poziom zabezpie-czeń;

BIG-IP Application Security Manager (ASM) – dostarcza pełną ochronę dla aplikacji Web oraz serwisów wykorzystujących język XML;

BIG-IP Access Policy Manager (APM) – umożli-wia zarządzanie bezpiecznym zdalnym dostępem;

BIG-IP Local Traffic Manager (LTM) – umożli-wia zarządzanie ruchem w celu optymalizacji do-starczania aplikacji;

BIG-IP Global Traffic Manager (GTM) – zapew-nia równoważenie obciążenia pomiędzy centra-mi danych poprzez automatyczne przekierowa-nie do najbliższego lub najbardziej wydajnego dla danego użytkownika w danej chwili centrum danych;

IP Intelligence – dodatkowe usługi zapewniające informacje o lokalizacji, znanych źródłach ata-ków anonimowych proxy czy też sieciach Botnet.

Szkolenia autoryzowane CISSP w języku polskim

Z wielką przyjemnością informujemy, że od czerwca 2013 roku w Clico organizowane są w języ-ku polskim autoryzowanego szkolenia CISSP, nieza-leżnej organizacji (ISC)2.

Instruktorem prowadzącym jest nasz najlepszy wykładowca i ekspert w dziedzinie bezpieczeństwa- dr inż. Mariusz Stawowski.

Najbliższy termin: 18-22 listopada 2013 w Warsza-wie.

Cena szkolenia jest wyjątkowo atrakcyjna i wynosi 1500 euro netto od osoby.

Informacji udziela Autoryzowane Centrum Szkoleniowe Clico: [email protected]

4

8 /2013(23)


Piotr Motłoch

Ochrona przed atakami DDOS na aplikacje Web przy pomocy F5 ASM

Ataki DDoS to palący problem dla wszystkich firm, których działalność jest w jakikolwiek sposób powiązana z Internetem. Oczywiście można założyć, że w dzisiejszych czasach powiązanie z Internetem dotyczy każdej firmy. Witryny informacyjne, akcje marketingowe, portale podawcze, poczta elektro-niczna, sklepy i bankowość internetowa – głównym zadaniem każdego ataku DDoS jest wyłączenie da-nej usługi lub zablokowanie do niej dostępu. Można tego dokonać na wiele sposobów, opierając się na podatnościach zawartych w różnych warstwach mo-delu ISO/OSI. Historycznie najstarszymi atakami były ataki wolumetryczne polegające na całkowitym wysyceniu jakiegoś zasobu, zwykle przepustowości łącza internetowego. Tego typu ataki są coraz cięż-sze w przeprowadzeniu ze względu na stale zwięk-szające się możliwości infrastruktury wszystkich potencjalnych ofiar. Konkurencja na rynku teleko-munikacyjnym oraz coraz bardziej skomplikowana struktura danych przesyłanych przez Internet wy-muszają niekończące się zwiększanie przepustowo-ści oferowanej przez operatorów w ramach łączy internetowych. Wynikiem tego są coraz trudniejsze warunki, w jakich muszą działać przestępcy wykonu-jący ataki DDoS. Dlaczego? Jeśli ofiara dysponuje ogromną rezerwą pasma, zajęcie go w całości może być praktycznie niemożliwe. Niestety to nie jest ko-niec ataków DDoS, stają się one bowiem coraz bar-dziej wyrafinowane…

Kierunek infrastruktura

Kiedy przestępca nie jest w stanie okraść cię ze wszystkiego, skupi się na najcenniejszych przed-

miotach. Podobnie będzie działał przestępca wyko-nujący atak DDoS. Jeśli atakujący nie jest w stanie zamknąć ofierze całkowicie dostępu do Internetu, będzie próbował znaleźć kluczowe elementy infra-struktury i cały atak skierować na ten konkretny cel. Tylko chęci i wiedza przestępcy ograniczają jego możliwości. Atakujący może wybrać jako cel: Całe łącze Wydajność urządzeń sieciowych Serwer aplikacji Konkretne elementy aplikacji lub elementy

współpracujące z aplikacją, np. baza danych

Zawsze musimy pamiętać, że nasze zabezpiecze-nia są tak słabe jak ich najsłabsze ogniwo. Z punk-tu widzenia dostępu do aplikacji nie ma znaczenia w jaki sposób działanie aplikacji zostanie zakłócone. Stopień skomplikowania dzisiejszych infrastruktur IT powoduje natomiast, że bardzo łatwo jest trafić na jeden jedyny wrażliwy punkt…

Kierunek aplikacja

Przestępca najpierw musi znaleźć ten wrażliwy punkt. Będzie do tego używał różnych technik, a na-wet gotowych, dostępnych w Internecie aplikacji. Pewnie część przestępców sama napisze skrypty, któ-re pozwolą na znalezienie najbardziej narażonej na ataki części aplikacji web. Poniżej znajduje się zrzut ekranu z aplikacji Fiddler2 – prostego programu, pozwalającego na śledzenie oraz ewentualne mo-dyfikowanie ruchu http/s pomiędzy przeglądarką a serwerem aplikacji. Jedną z funkcji Fiddler jest mie-rzenie czasu pobierania poszczególnych elementów aplikacji web.

Rysunek 1 Przykładowy wykres pokazujący ładownie rożnych elementów aplikacji web

5

Biuletyn IT


Dlaczego atakujący miałby żądać całej zawarto-ści aplikacji, nadwyrężając swoje własne zasoby, ta-kie jak moc obliczeniowa czy przepustowość łącza? Może po prostu poznać czas doręczenia do przeglą-darki poszczególnych elementów aplikacji web i tak skierować swój atak, aby trafić w potencjalnie najgo-rzej napisany skrypt wykonywany po stronie serwe-

ra. Narażone będą wszystkie elementy dynamiczne strony wyróżniające się na tle innych swoim opóź-nieniem: CSS, Java Script, HTML czy pdf. Każdy kawałek witryny, który do swoich narodzin wymaga uruchomienia wadliwego skryptu po stronie serwe-ra, jest potencjalnym celem przestępcy.

Rysunek 2 Skanowanie podatności DDoS przy pomocy NEXPOSE

F5 Networks a DDoS

Application Security Manager firmy F5 jest roz-wiązaniem klasy Web Application Firewall prze-znaczonym do kontroli ruchu sieciowego, analizy i ochrony kluczowych aplikacji.

Już w 2010 roku (tuż po atakach wywoływanych przez Anonymous) firma F5 Networks zauważyła problem zmieniającej się struktury ataków DDoS. W artykułach takich jak: “F5 Friday: Multi-Layer Se-curity for Multi-Layer Attacks” (https://devcentral.f5.com/articles/f5-friday-multi-layer-security-for-multi-layer-attacks#.Ui2czsbIbp4), “What We Lear-ned from Anonymous: DDoS is now 3DoS”(https://devcentral.f5.com/articles/what-we-learned-from-anonymous-ddos-is-now-3dos#.Ui2cwMbIbp4), Lori MacVittie z F5 opisuje zmiany, jakie miały miejsce w tamtych czasach. Z dnia na dzień ataki DDoS stały się dużo częściej spotykane oraz niebezpieczne. Dziś wiemy, że ataki tego typu stały się jeszcze prostsze do przeprowadzenia dzięki istniejącym gotowym pakietom DDoS oraz polityce hacktivismu (http://en.wikipedia.org/wiki/Hacktivism). F5 posiada kil-ka narzędzi, które pozwolą skutecznie przeciwdzia-łać incydentom bezpieczeństwa związanym z DDoS.

Jak wykryć atak? Jak się obronić?

F5 ASM sam z siebie dostarcza gotowe rozwią-zania pozwalające na skuteczne zwalczanie ataków DDoS. Opiera się ono na statystycznej analizie ru-chu sieciowego na poszczególnych serwerach wirtu-alnych. F5 ASM przy wykrywaniu ataków bierze pod uwagę dwie najważniejsze zmienne, czyli opóźnie-nie doręczenia zawartości strony www (Latency) oraz ilość sesji na sekundę (TPS). Dzięki takiemu podej-ściu F5 analizuje realne zagrożenia w czasie rzeczy-wistym, a sam ruch sieciowy do chronionej aplikacji dostarcza najświeższych oraz najdokładniejszych da-nych do analizy.

TPS

Dzięki analizie statystycznej ilości połączeń na sekundę administrator może wprowadzić do konfi-guracji obronę odrzucającą wszystkie połączenia bę-dące częścią ataku. F5 ASM będzie automatycznie reagował według ustawień wprowadzonych przez administratora, takich jak limity sesji czy też nagłe wzrosty liczby sesji w stosunku do średniej występu-jącej przy normalnym działaniu aplikacji.

6

8 /2013(23)


Rysunek 3 Ustawienia limitów sesji ochrony DDos

Latency

W tym przypadku system reaguje dużo dynamicz-niej, ponieważ sam w czasie zbliżonym do rzeczywi-stego mierzy „typowy” czas odpowiedzi na zapytania skierowane do aplikacji. System monitoruje wszel-kie zmiany i w razie potrzeby dokonuje aktualizacji parametrów bazowych dla poszczególnych elemen-tów aplikacji. Aby odróżnić zmianę modelu czaso-wego dostępu do zasobów (związaną na przykład z aktualizacją kodu aplikacji Web) od ataku DDoS, F5 ASM może stosować statyczne limity. Jeśli zmiana opóźnienia w kolejnym cyklu kontrolnym przekro-czy skonfigurowane przez administratora wartości limitów, zapytania powodujące takie opóźnienie za-czną być blokowane przez F5 ASM.

Ochrona przed atakiem

Po wykryciu ataku (według współczynników TPS bądź Latency) F5 zgodnie z konfiguracją wprowa-dzoną przez administratora może podjąć następu-jące akcje: Source IP-Based Client-Side Integrity Defense: polega na wstrzyknięciu przygotowanego przez

F5 ASM skryptu JavaScript do odpowiedzi http wysyłanej do podejrzanego o bycie częścią ataku DDoS źródła. W założeniu jedynie przeglądarki

obsługiwane przez ludzi będą w stanie wykonać dany JavaScript i zwrócić prawidłową odpowiedź do F5 ASM. Taki JavaScript jest wstrzykiwany do wszystkich zapytań pochodzących od podejrzane-go adresu IP.

URL-Based Client-Side Integrity Defense: działa analogicznie jak przykład powyżej, poza

jedną różnicą. JavaScript jest wstrzykiwany nie ze względu na źródłowy adres IP, lecz docelowy adres URL. Jest to bardzo bezpieczne ustawienie z punktu widzenia samej aplikacji, lecz na pewno wykonywana akcja będzie dotyczyć dużo większej ilości klientów w porównaniu do poprzednio opi-sywanego sposobu reakcji.

Source IP-Based Rate Limiting: ustawienie powyższe spowoduje, iż będą nalicza-

ne limity na podejrzane adresy IP. Jeśli liczba sesji z danego adresu IP przekroczy limit, „dodatko-we” połączenia są odrzucane.

URL-Based Rate Limiting: działanie prewencyjne podobne do poprzednie-

go, z tym że limity naliczane są ze względu na do-celowy URL. Naturalnie takie limity muszą być o kilka rzędów wielkości większe w porównaniu do limitów ze względu na źródłowy adres IP.

7

Biuletyn IT


Rysunek 4 Metody ochrony przed atakiem

Dodatkowo moduł F5 zajmujący się ochroną przed atakami DDoS (podobnie jak każdy moduł ochronny F5 ASM) może powodować zablokowanie całej komunikacji z podejrzanych adresów IP. Jeśli administrator korzysta z modułu Penalty Enforcer każde wykrycie ataku DDoS będzie wywoływać do-datkową „karę” dla adresu IP uwikłanego w atak.

http://support.f5.com/kb/en-us/products/big-ip_asm/manuals/product/config_guide_asm_10_2_0/asm_dos_bruteforce.html#1047871

Wnioski

Wszyscy zdajemy sobie sprawę, że aplikacje Web to niezbędna część biznesu. Na pewno z cza-sem ich rola będzie się jeszcze bardziej zwiększać. Praktycznie wszystkie usługi mają już swoje odpo-wiedniki „w chmurze”, a więc wraz ze wzrostem ich popularności, proporcjonalnie zwiększa się nacisk

na dostępność tych usług. Jednocześnie coraz bar-dziej zwiększa się liczba przeprowadzanych ataków DDoS. Takie narzędzia jak Low Orbit Ion Cannon są wykorzystywane przez użytkowników Internetu do prowadzenia wirtualnych protestów. Przestęp-cy wynajmują swoje sieci Botnet do przeprowadza-nia skierowanych ataków DDoS, wykorzystują je do szantażu czy zwalczania konkurencji. O zagrożeniu dla dostępności aplikacji www może też świadczyć fakt wniesienia do Białego Domu petycji, po przyję-ciu której, ataki DDoS mają zostać usankcjonowane prawem i uznane za formę protestu godną XXI wie-ku. Według jej autorów ataki DDoS można uznać za wirtualny odpowiednik protestów okupacyjnych.

“On January 7, 2013, Anonymous posted a peti-tion on the whitehouse.gov site asking that DDoS be recognized as a legal form of protest similar to the Occupy protests.” – Wikipedia.

Autoryzowane szkolenia F5 Networks w ofercie Centrum Szkoleniowego Clico

W styczniu 2013 roku Clico wprowadziło do swo-jej oferty szkoleniowej autoryzowane szkolenia F5 Networks. W chwili obecnej dostępne są trzy szkole-nia dotyczące rozwiązań tego vendora: Administering BIG-IP – V11: kurs przeznaczony jest dla inżynierów odpowie-

dzialnych za projektowanie, wdrażanie i utrzyma-nie BIG-IP Local Traffic Manager.

Configuring BIG-IP Local Traffic Manager (LTM) V11:

w kursie omówione zostały zaawansowane aspek-ty dotyczące architektury, konfiguracji i utrzyma-nia BIG-IP Local Traffic Manager w wersji 11. Szkolenie przygotowuje do egzaminu TMOS Ad-ministration.

BIG-IP Application Security Manager (ASM) – V11.2:

kurs przeznaczony jest dla administratorów bez-pieczeństwa oraz sieci odpowiedzialnych za pro-jektowanie, wdrażanie i utrzymanie rozwiązania BIG-IP Application Security Manager.

Szczegółowe informacje o szkoleniach Autory-zowanych F5 Networks: http://szkolenia.clico.pl/szkolenia/szkolenia-autoryzowane/f5-networks

Informacji udziela Autoryzowane Centrum Szko-leniowe Clico : [email protected]

8

8 /2013(23)


Piotr Nowotarski

Ochrona sieci przed zmasowanymi atakami DDoS za pomocą Juniper DDoS Secure

koszty związane z analizą pozdarzeniową, karami związanymi z niedotrzymaniem zagwarantowanych poziomów usług itp. Jednak najbardziej zagrożona jest tutaj dobra marka i reputacja firmy, która może zostać utracona po wystąpieniu takiej sytuacji.

Dodanie dodatkowych zasobów do serwerów lub zwiększenie dostępnego pasma może w pewnym stopniu zabezpieczyć przed wolumetrycznymi ataka-mi DDoS, ale jest całkowicie nieefektywne przeciw nowym, wyszukanym atakom. Ograniczenie ilości ruchu lub zablokowanie poszczególnych grup ad-resów IP nie jest rozwiązaniem i może powodować blokowanie prawidłowych użytkowników.

Architektura

Rozwiązanie Juniper DDoS Secure [JDDoS] po-zwala zabezpieczyć krytyczne zasoby firmy przed nowymi zagrożeniami DDoS. Jego wyjątkowa i inno-wacyjna technologia stale monitoruje i loguje cały ruch przychodzący i wychodzący. Używając swojego unikalnego algorytmu „CHARM”, JDDoS uczy się jakie adresy IP mogą być zaufane i na tej podstawie inteligentnie reaguje w czasie rzeczywistym poprzez odrzucanie podejrzanych lub nieprawidłowych pa-kietów, jak tylko wydajność chronionych zasobów zacznie się obniżać. Dzięki heurystycznemu i beha-wiorystycznemu podejściu JDDoS gwarantuje do-stępność zasobów dla prawidłowych użytkowników, jednocześnie blokując nawet najbardziej skompli-kowane ataki typu „slow and low” podczas najcięż-szych warunków.

Stanowy (ang. stateful) silnik JDDoS analizuje każdy przychodzący i wychodzący pakiet. Poprzez mierzenie czasu odpowiedzi serwera i aplikacji, urządzenie automatycznie dopasowuje ilość prze-puszczanego ruchu, aby zapewnić jak najlepszy do-stęp do chronionych zasobów.

Przez ostatnie lata ataki DoS ewoluowały od pro-stej broni, używającej ogromnych ilości danych, aby spowodować odmowę usługi (ang. Denial of Servi-ce) przez np. firmowe serwery web, do wysoko skom-plikowanego narzędzia korzystającego z nieznanych jeszcze zagrożeń (ang. Zero-day) kierowanego prze-ciw strategicznym zasobom biznesowym firmy.

Początkowo do wykonywania ataków DoS wyko-rzystywane były pojedyncze maszyny. Jednak wraz ze wzrostem ilości komputerów zarażonych szko-dliwym oprogramowaniem i należących do botne-tów, skala tego typu ataków została wielokrotnie zwiększona. W tej chwili możemy już mówić o ataku DDoS jako usługi dostępnej w chmurze (ang. Crime as a Service), gdzie za odpowiednią opłatą możemy określić ilość komputerów z botnetu, którą chcemy wykorzystać do przeprowadzania takiego ataku.

Ataki wolumetryczne w dalszym ciągu są pro-blemem dla biznesu, ale posiadając odpowiednią ochronę, firmy są w stanie zmniejszyć szkody wywo-łane tego typu zdarzeniami. Jednakże, dzisiejsze ata-ki na warstwę aplikacji typu „low and slow” są dużo trudniejsze do wykrycia, przez co zapobieganie im jest dużo bardziej skomplikowane i wymaga innego podejścia.

Zazwyczaj brak dostępu do usługi następuje, kie-dy zasoby nie są w stanie obsłużyć danej ilości zapy-tań w określonym czasie. To może być spowodowane np. przez atak przy pomocy wynajętego botnetu lub jako efekt zwiększonego ruchu do serwerów w godzi-nach szczytu. Dla użytkownika końcowego nie ma to jednak znaczenia. W najlepszym wypadku wygoda korzystania z serwisu jest zdecydowanie obniżona, w najgorszym – zasoby są całkowicie niedostępne. Firmy dotknięte atakami DDoS, w szczególności te, których usługi cały czas powinny być dostępne onli-ne, jak banki, serwisy aukcyjne czy e-handel, pono-szą ogromne straty finansowe. Oprócz utraty zysków spowodowanej taką awarią, firmy muszą ponosić

9

Biuletyn IT


Łatwość instalacji i zarządzania

JDDoS pracuje przeźroczyście w warstwie 2 po-między łączem do Internetu a chronionymi zasoba-mi. Dzięki temu jest łatwy w instalacji i po 10 mi-nutach od wdrożenia jest gotowy do ochrony kry-tycznych serwerów firmy bez jakiejkolwiek zmiany w architekturze sieciowej.

Używając technologii współdzielenia informa-cji „dynamic distributed intelligence techniques DDTI” JDDoS zapewnia, że informacja o zagroże-niu, które zostało wykryte na jednym z urządzeń, w ciągu kilku sekund zostanie udostępniona wszyst-kim pozostałym JDDoS działającym w sieci korpora-cyjnej, aby zapewnić jak najwyższy poziom ochrony najważniejszym zasobom.

Podsumowanie

Ataki DDoS cały czas ewoluują, zmienia się ich ilość oraz stopień skomplikowania. Coraz częściej zdarzają się sytuacje, że atak DDoS nie jest celem sam w sobie, tylko służy atakującym do odwróce-nia uwagi działu bezpieczeństwa firmy od innego ataku, który jest wykonywany w tym samym czasie. Jest to jedno z najczęstszych zagrożeń, jakim firmy będą musiały stawić czoła w najbliższych latach, dla-tego kluczowe jest, aby wybrać najnowocześniejsze technologie zabezpieczające. Rozwiązanie JDDoS, korzystając z unikalnego i zaawansowanego algoryt-mu CHARM, zapewnia korporacjom najwyższy sto-pień bezpieczeństwa przed nowymi, dynamicznie zmieniającymi się atakami DDoS. Dzięki temu fir-my mogą przestać obawiać się o dostępność swoich usług dla klientów i ponownie w pełni skupić się na rozwoju swojego biznesu.

Schemat działania technologii CHARM

10

8 /2013(23)


18 lat współpracy – sprawozdanie z Check Point Security Day 2013

Tegoroczna konferencja Check Point Security Day zbiegła się z obchodami 20-lecia istnienia fir-my Check Point oraz 18-lecia współpracy między firmami Check Point i Clico. W branży IT, gdzie

dynamika przeobrażeń strukturalnych, przejmowa-nia marek oraz zmian w politykach sprzedaży jest ogromna, takie rocznice, dokumentujące długą hi-storię współpracy, są godne odnotowania.

Tomasz Ryś, Członek Zarządu Clico oraz Krzysztof Wójtowicz, Country Manager Check Point Poland

11

Biuletyn IT


Konferencja Check Point Security Day odbyła się już po raz trzynasty i w dniu 19 września 2013 roku w Multikinie Złote Tarasy zgromadziła audytorium ponad 270 słuchaczy. Uczestnikami spotkania byli

głównie użytkownicy rozwiązań Check Point, ale nie zabrakło także sporej grupy partnerów handlowych Clico i Check Point.

Tomasz Ryś podczas prezentacji otwierającej Check Point Security Day 2013

Głównym celem Check Point Security Day jest rzetelne poinformowanie o zmianach i nowościach w ofercie Check Point, który to jest vendorem bar-dzo dynamicznie i sukcesywnie rozwijającym swoje portfolio. Korzystając z szerokich kompetencji Clico, jako wieloletniego dystrybutora z wartością dodaną, podczas prezentacji możliwe było zaprezentowanie pewnych funkcjonalności w pokazach na żywo, jak. np. DDos Protector i Ochrona Anti-Bot. Ponadto in-żynierowie Check Point przybliżyli w ramach swoich wystąpień bardzo aktualne zagadnienia i problemy związane z szeroko rozumianym bezpieczeństwem sieci: ochronę sieci przemysłowych, ochronę 0-day malware oraz bezpieczne sieci mobilne.

Wszyscy uczestnicy konferencji, którzy będą chcieli sprawdzić w działaniu prezentowane na kon-ferencji rozwiązania Check Point, mają szansę na udział w serii warsztatów, które odbywać się będą w siedzibie Clico w Warszawie i Krakowie. Również osoby, które nie mogły wziąć udziału w Check Point Security Day, mogą zgłaszać chęć uczestnictwa w ta-kich warsztatach, wysyłając maila na adres: [email protected].

12

8 /2013(23)


Javier Hijas, inżynier Check Point, prowadzi prezentację o BYOD i Mobile Security

Piotr Motłoch

Check Point DDoS Protector – bezobsługowa ochrona

Duża ilość danych przepływająca przez każde Data Center, ogromna liczba użytkowników z wie-lu krajów, zaawansowane aplikacje, oraz…. ataki DDoS. To jest środowisko, z którym spotyka się każ-dy współczesny administrator. Aplikacje biznesowe powinny być dostępne ciągle, dla wszystkich klien-tów. Każda minuta przestoju, to ogromne straty dla firmy. Dynamika takiego środowiska wymusza zmia-nę sposobu myślenia o sposobie zabezpieczeń sieci internetowych. Żaden administrator nie jest w sta-nie budować na bieżąco szczelnych, przemyślanych reguł, które w jasny i prosty sposób odrzucą ruch niebezpieczny, ponieważ z punktu widzenia standar-dowych zabezpieczeń, ruch powodujący na przykład ataki na aplikacje web jest ruchem … prawidłowym.

Potrzebujemy urządzenia, które na bieżąco obser-wuje cały wolumen ruchu sieciowego, analizuje go a potem w ułamku sekundy dodaje reguły, które odrzucą jedynie sesje generowane przez komputery przestępców. Takim rozwiązaniem jest Check Point DDoS Protector.

Atak

Czym jest DDoS? Można zaryzykować stwierdze-nie, że jest to jednocześnie marzenie oraz koszmar każdego marketingowca. Marzenie, bo każdy chciał-by osiągać taki wolumen ruchu do swoich aplikacji Internetowych, jakiego nigdy wcześniej nie zakładał w najpiękniejszych snach. Takie zdarzenie szyb-ko jednak okaże się koszmarem, jeśli wykryjemy,

13

Biuletyn IT


że sprawcą tego „sukcesu” nie jest rzesza nowych klientów, lecz na przykład tysiące zainfekowanych komputerów tworzących wspólnie sieć Botnet, sieć komputerów Zombie. Niestety odkrycie prawdziwe-go źródła tego „sukcesu”, to zwykle jedynie począ-tek problemów. Następny to wymyślenie sposobu na obronę. Zastanówmy się, czym zwykle w takiej chwili dysponujemy? Firewal IPS

Każde z tych urządzeń dysponuje jakimiś meto-dami obrony. Na przykład: Ograniczenie pasma. Na pierwszy rzut oka brzmi

nieźle (można ograniczyć pasmo do takiego, z ja-kim będzie radzić sobie atakowana aplikacja), ale po dokładniejszym przyjrzeniu się tematowi, zauważymy ogromną wadę takiego rozwiązania. Skąd nasze urządzenie ma wiedzieć, czy zarezer-wowane pasmo jest wykorzystywane przez ruch legalny, czy złośliwy? Generalnie takie rozwiąza-nie w praktyce przyniesie więcej szkód niż pożyt-ku.

Może ograniczenie liczby sesji? Na początku wy-gląda na fajne rozwiązanie (jeśli 100 sesji powo-duje przerwy w pracy aplikacji, zmniejszmy liczbę maksymalnych sesji do 5), jednak to rozwiązanie posiada identyczną wadę, jak w przypadku ogra-niczenia sesji. Nie jesteśmy w stanie sprawdzić, które ze 100 sesji są legalne i właśnie dla nich za-rezerwować zasoby.

IPS sam z siebie powinien próbować zablokować taki atak. Próbować…. Niestety większość siły IPS stanowią sygnatury pobierane automatycznie z serwerów aktualizacyjnych. Pewnie część z nich będzie przeznaczona do wykrywania oraz niwe-lowania skutków ataków DDoS, ale dochodzimy znów do miejsca, w którym IPS będzie praktycz-nie bezużyteczny. Każdy atak, który opiera się na wykorzystaniu legalnego ruchu, pozostanie przez IPS niezauważony.

Aby przygotować się do odparcia ataków DDoS, potrzebujemy czegoś więcej.

Wielowarstwowa ochrona

Check Point DDoS Protector zapewnia wykrywa-nie oraz blokowanie ataków od warstwy sieciowej, aż do warstwy aplikacji. Sam nauczy się specyfiki chro-nionego środowiska, wyprodukuje w czasie rzeczy-wistym sygnatury, przeprowadzi testy, a na koniec zablokuje atak. Wszystko to bez ingerencji admini-stratora. Urządzenie dysponuje następującymi me-todami walki z DDoS:

DoS Shield – Sygnatury

To pierwszy moduł obronny. Jego zadaniem jest wykrycie potencjalnego ataku na podstawie próbek testowanego ruchu. Unikalnym jest jego wielostop-niowe działanie. Jeśli wszystko działa poprawnie, moduł ten testuje około 5% ruchu. Dopiero ruch podejrzany o atak, jest analizowany i ewentualnie obrzucany przez ten moduł. Takie rozwiązanie praktycznie niweluje możliwość wystąpienia „false – positive”, która tak często występuje przy standar-dowej, dwustopniowej analizie statystycznej (prze-kroczenie wartości –> odrzucanie). Moduł ten służy przede wszystkim do wykrywania znanych ataków.

Out – of – State Profile

Bardzo porosty sposób, na wykluczenie z całego wolumenu ruchu skierowanego do serwerów wszyst-kich pakietów, które w jakikolwiek sposób nie pa-sują do standardu TCP. Dzięki takiemu podejściu każdy atak bazujący na ich błędnym przetwarzaniu spreparowanych pakietów RCP przez różne urzą-dzenia sieciowe, po prostu nie może się udać.

SYN Protection Profile

Dedykowana ochrona dla ataków skierowanych na wysycenie zasobów związanych z zapisywaniem informacji o tablicy stanów TCP, czyli SYN flood. Podstawowym założeniem jest wykorzystanie do-stępnego mechanizmu SYN cookie do odciążenia zarówno samego DDoS Protectora, jak i wszystkich chronionych urządzeń. Zasada działania jest prosta. Jeśli sami spodziewamy się, że może braknąć nam zasobów na zapisanie kolejnej sesji w tablicy stanów, wtedy wykorzystujemy klienta do ich przechowania. W jaki sposób? DDoS Protector odpowie na każdy pakiet SYN, za pomocą specjalnie przygotowanego SYN-ACK. Urządzenia wyliczy za pomocą tylko so-bie znanego algorytmu wartość, która potem będzie użyta jako numer sekwencyjny właśnie w SYN-ACK. Liczba ta, musi powrócić powiększona o 1 w kolej-nym pakiecie wysłanym z klienta. To co zrobi DDoS Protector, to sprawdzi czy ten trzeci pakiet zawiera właściwy numer ACK – to znaczy sprawdzi, czy pasu-je do stosowanej przez niego formuły. Dzięki takie-mu podejściu nie marnujemy żadnego bitu pamięci urządzenia na zapamiętywanie informacji o sesjach.

Connection Limit Profile

To nic innego, jak opis naszego łącza manualnie tworzonego przez administratora. Im dokładniejszy, tym lepszy. Najlepiej wykorzystać tutaj dane z jakie-

14

8 /2013(23)


goś sytemu monitorującego sieć i starannie wypeł-nić te dane.

Behavioral Profile

Wydaje się być najbardziej inteligentną częścią działającego systemu. To tutaj powstaje profil prawi-dłowego działania sieci, referencja dla późniejszego odrzucania ruchu, będącego anomalią.

Sam profil tworzony jest bez udziału administra-tora, a jego stan można podejrzeć z linii poleceń. Metoda ta doskonale chroni przed atakami 0 – day.

DNS Protection Profile

To osobny moduł, odpowiedzialny za ochronę serwerów DNS. Tworzy własny profil takiego ruchu, ale przede wszystkim potrafi przetestować, czy klient realnie potrzebuje odpowiedzi z serwera, czy też jego zapytanie ma jedynie na celu zakłócenie pracy usług DNS. Taki test jest przeprowadzany metodą Selecti-ve Drop. W dużym skrócie polega ona na ignorowa-niu pierwszych pakietów A oraz AAAA przesyłanych przez klienta DNS. RFC opisuje, że retransmisja za-pytania DNS powinna nastąpić w ściśle określonym czasie, a także zawierać dokładnie to samo Qname. Jeśli te warunki zostaną spełnione, wtedy taki klient dostaje autoryzację użycia zasobów serwera DNS na określony w konfiguracji DDoS Protectora czas.

Http mitigator

Dedykowana ochrona dla aplikacji www to jed-na z najważniejszych funkcji DDoS Protectora. Jak

praktycznie każda funkcjonalność ochronna, tak i ta tworzy sobie dynamicznie profil legalnego ru-chu http do konkretnych serwerów. Jeśli jakiś ruch jest podejrzany o „bycie częścią ataku” DDoS, wtedy każdy z niepewnych klientów zostanie przetestowa-ny na jeden z dwóch sposobów: 302 redirect oraz dokładniejszy, czyli Java Script (klient zostanie zmu-szony do wykonania pewnych poleceń). Dopiero ostatecznym etapem będzie wprowadzenie blokady dla wcześniej zweryfikowanych atakujących.

Prezentacja logów oraz korelacja zdarzeń

Najważniejsza rzecz, to nie przeoczyć ataku. Wy-ciągnąć z ogromnej ilości zdarzeń to jedno, kluczo-we, które decyduje o „być albo nie być ” naszej infra-struktury sieciowej czy aplikacji www. Jest to szcze-gólnie ważna funkcjonalność przy analizie zmaso-wanych, rozproszonych ataków. Smart Event oraz Smart View Tracker, to zapewne znane wszystkim administratorom Check Point aplikacje do analizy zdarzeń. Szczególnie ważne, gdy mamy do czynienie z nieustannymi atakami DDoS. Tysiące zdarzeń do-tyczących różnych hostów, aplikacji, różnych warstw modelu ISO/OSI, a administrator musi zwrócić uwagę na to jedno zdarzenie, kluczowe, krytyczne, wymagające natychmiastowej poprawki w kodzie źródłowym aplikacji czy konfiguracji infrastruktury sieciowej.

Rysunek 1 Smart Event – DDoS Protector

15

Biuletyn IT


Rysunek 2 Smart Log – Filtrowanie zdarzeń

Dedykowany zespół ekspertów

Warto tutaj wspomnieć o stałym dostępie do dedykowanego zespołu inżynierów Check Point, odpowiedzialnych za pomoc użytkownikom DDoS Protectora podczas ataku. Administratorze, jeśli sam nie możesz sobie poradzić z incydentem, mo-żesz w cenie urządzenia mieć dostęp online do eks-pertów, którzy Ci pomogą!

Wielowarstwowa ochrona

Dzięki zaawansowanej architekturze, Check Po-int DDoS Protector potrafi wykrywać wszystkie ataki, również skonstruowane na podstawie prawidłowych pakietów (Non-vulnerability-based attacks). Zali-

czamy do nich ataki skierowane na http/https, SIP oraz inne ataki typu flood. Dzięki kilku poziomom autoryzacji se sji (ruch prawidłowy –> podejrzany –> testowany –> blokowany), urządzenie praktycz-nie nie wywołuje żadnych błędów typu False Positi-ve. Prostota konfiguracji oraz automatyczna nauka profili ruchu sieciowego sprawia, że produkcyjne jak i testowe wdrożenia Check Point DDoS Protec-tora, są wykonywane szybko i bez zbędnych przerw w działaniu systemów informatycznych, a sprawność ochrony daje administratorom pewność działania aplikacji biznesowych.

SafeNet Day 2013

20 września 2013 roku odbyła się w Warszawie konferencja SafeNet Day 2013. Celem konferencji było przedstawienie partnerom handlowym oraz klientom nowości w ofercie jednego z największych dostawców rozwiązań ochrony danych firmowych. Na przestrzeni ostatnich dwóch lat portfolio firmy SafeNet znacznie się wzbogaciło, a wyjątkowo inte-resujące i wysoko oceniane przez odbiorców stały się w nim rozwiązania do silnego uwierzytelniania

(SAS) oraz narzędzia do obsługi wirtualnych sto-rage. Na konferencji zaprezentowano ponadto, jak nowe technologie szyfrowania danych aplikacji mogą skutecznie rozwiązać niektóre z kluczowych kwestii bezpieczeństwa, które uniemożliwiły migrację apli-kacji krytycznych dla biznesu lub zgłoszeń będących przedmiotem szczególnych wymagań prawnych w śro-dowiskach wirtualnych.

16

8 /2013(23)


Przedstawiciele SafeNet na prezentacji otwierającej konferencję – Anna Rewers, Regional Channel Sales Manager Central EMEA oraz Marko Bobinac, PreSales Engineer Eastern EMEA

Obecność na konferencji Garego Clarka (Vice President EMEA Sales & Operations SafeNet) potwier-dza tylko znaczenie rynku polskiego jako bardzo dynamicznie rozwijającego się i otwartego na nowości informatyczne.

Rozmowy w czasie przerwy – Tomasz Ryś, Clico i Gary Clark, SafeNet

17

Biuletyn IT


Dodatkowo spotkanie w Warszawie wiązało się z okazją dla przedstawicieli firmy SafeNet, dystrybu-tora ich rozwiązań na Polskę i Europę Wschodnią – firmy Clico oraz wszystkich uczestników konferencji do świętowania 30-lecia istnienia SafeNet.

Słodka niespodzianka na zakończenie – tort z okazji 30-lecia firmy SafeNet

Szkolenia SafeNet

Firma Clico uzyskała status SafeNet Authori-zed Training Center, który potwierdza spełnienie przez Clico wymogów dotyczących poziomu do-starczanych szkoleń oraz umożliwia samodziel-ne przeprowadzanie autoryzowanych szkoleń SafeNet dla partnerów handlowych oraz klientów.

Proces szkolenia obejmuje dwa główne szkolenia autoryzowane – jedno poświęcone rozwiązaniom sil-nego uwierzytelniania oraz drugie, dedykowane dla sprzętowych modułów kryptograficznych (HSM):

1) SafeNet Authentication kod szkolenia: SN-TRN-SAM

czas trwania: 3 dnicena listowa: 1250 EURW „Super Promocji” można uzyskać nawet 65% zniżkę od tej ceny. Szczegóły: http://szkolenia.clico.pl/szkolenia/szkolenia-autoryzowane/safenet/safenet-super-promocja

Szkolenie obejmuje pojęcia podstawowe z zakre-su uwierzytelniania CBA i OTP, szyfrowania oraz PKI, instalację i konfigurację SAM, wydawanie tokenów CBA i OTP oraz konfigurację SafeWord 2008 i rozwiązywanie problemów.

2) SafeNet HSM kod szkolenia: SN-TRN-HSM czas trwania: 4 dni cena listowa: 1500 EUR

Uwaga, tutaj również można uzyskać atrakcyjną cenę promocyjną.

Szczegóły: http://szkolenia.clico.pl/szkolenia/szkolenia-autoryzowane/safenet/safenet-super-promocja

Szkolenie obejmuje pojęcia podstawowe doty-czące rozwiązań HSM, przegląd rozwiązań Luna i ProtectServer, konfigurację urządzenia, czyn-ności administracyjne, wykonywanie kopii bez-pieczeństwa materiału kryptograficznego, zdalną administrację, tryb wysokiej dostępności, balan-sowanie obciążenia, rozwiązywanie problemów.

Prosimy zgłaszać zapotrzebowanie na szkolenia SafeNet wysyłając e-mail na adres: [email protected].

Szkolenia autorskie i indywidualne: CLICO ofe-ruje również wyżej wymienione szkolenia w formie, która może być dostosowana do indywidualnych wymagań klienta – na przykład co do zakresu okre-ślonych zagadnień, formy (ćwiczenia, warsztaty) lub miejsca przeprowadzenia (u klienta, w oddziałach Clico). Ceny takich szkoleń są ustalane indywidual-nie po uzgodnieniu wymagań. W przypadku zain-teresowania prosimy o kontakt: [email protected].

W bieżącym wydaniu - clico.pl · stały zaprezentowane rozwiązania Check Point, F5 Networks oraz...

Documents

Transcript of W bieżącym wydaniu - clico.pl · stały zaprezentowane rozwiązania Check Point, F5 Networks oraz...