Dos en DDos. Whitepaper. Beleid Techniek Mens

Transcriptie

1 Whitepaper Dos en DDos Introductie 2 Wat is een DoS en DDoS aanval? 2 Dienstverleningsketen 2 DDoS-taxonomie 5 DDoS mitigatie 6 Ben ik goed voorbereid op een DDoS aanval? 9

2 In deze whitepaper wordt beschreven wat een DoS en DDoS aanval inhoudt, het doel van een aanval, en welke vormen/categorieën aanvallen er zijn. Tevens wordt er aangegeven welke beveiligingsmaatregelen genomen kunnen worden om uw organisatie hiertegen te beschermen. Wat is een DoS en DDoS aanval? Een Denial-of-Service (DoS) aanval is erop gericht een dienstverlening (service) te verstoren. Meestal is een dienstverlening afhankelijk van meerdere Hacker Zombiecomputers onderdeel in de dienstverleningsketen door overbelasting vastloopt of niet meer toe komt aan het verwerken van legitieme verzoeken. Dit type aanvallen maakt vaak gebruik van het feit dat een server meer werk moet verrichten dan de aanvaller (zogenaamde asymmetrische aanvallen). Met name de tweede vorm van DoS kan ook uitgevoerd worden door een groot aantal aanvallers gelijktijdig. In dat geval is er sprake van een Distributed DoS (DDoS). Omdat de aanvaller de beschikking (of controle) heeft over een groot aantal systemen waarmee de aanval wordt uitgevoerd, is het volume van de aanval veel groter dan bij een DoS-aanval. Slachtoffer componenten in een keten. Het verstoren van een van deze componenten kan leiden tot het effectief wegvallen van de service. Een DoS-aanval kan op twee manieren uitgevoerd worden: 1. Door het sturen van een enkel verzoek, welke een bug of beveiligingskwetsbaarheid aanspreekt. Hierdoor loopt bijvoorbeeld een component in de dienstverleningsketen vast, een systeem reboot of de inhoud van een webserver wordt gemodificeerd (defacement). Klassiek (maar verouderd) voorbeeld hiervan is de pingof-death aanval. 2. Door middel van het sturen van zeer veel data of zeer veel verzoeken, waardoor een Het beoogde doel van een DDoS-aanval is het uitschakelen van een dienstverlening door overbelasting van een van de componenten in de keten. Dienstverleningsketen Een typische (web)dienstverleningsketen bestaat uit meerdere componenten: 1. Een DNS service Reguliere gebruikers spreken een dienst aan op basis van een hostnaam. Deze wordt door middel van DNS vertaald naar een IP adres. Wanneer de DNS service niet beschikbaar is, kunnen gebruikers de web-service niet benaderen. 2. Het Internet (routering) Verkeer van een gebruiker naar de web-service maakt gebruik van het Internet. Het verkeer wordt uiteindelijk naar de klant (of datacenter) gerouteerd. Wanneer de routering door een aanval verstoord raakt (aanvallen op het 2

3 routeringsprotocol), zal het verkeer de webservice niet bereiken. 3. De ISP-verbinding De koppeling tussen het datacenter en de Internet Service Provider (ISP) heeft een beperkte bandbreedte. Indien deze bandbreedte volledig wordt bezet door een volumetrische DDoS aanval, wordt het legitieme verkeer naar de web-service weggedrukt. Merk op dat deze aanval niet per se gericht hoeft te zijn op de IP adressen van de web-service zelf, maar ook gericht kan zijn op (eventueel onbenutte) IP adressen welke over de ISP-verbinding naar het datacenter gerouteerd worden. 4. De Edge (routers) Meestal is er sprake van een edge-router laag welke direct na de ISP-koppeling geplaatst is. Deze laag bestaat uit routers. Vanwege de aard van deze apparatuur (stateless devices) is deze meestal niet gevoelig voor volumetrische aanvallen. Bij een juiste dimensionering beschermt de gelimiteerde bandbreedte van de ISP-verbindingen de edge-routers. Omdat edgerouters vaak actief onderdeel vormen van de routering, zijn deze devices mogelijk wel gevoelig voor DoS aanvallen op het routeringsprotocol (zie eerder punt). OSI model (Open Systems Interconnection) Veelal software Verzenden Ontvangen 7 Applicatie 6 Presentatie 5 Sessie 4 Transport 5. De firewall In klassieke architecturen is de volgende component in de keten een stateful, next generation firewall. Dit soort componenten is bijzonder gevoelig voor zogenaamde OSI laag-3 en laag-4 aanvallen (SYN attacks, volumetrische aanvallen, protocol anomalies, enzovoorts). Een next generation firewall is een complexe component die meestal veel taken uitvoert (stateful packet firewall, deep inspection, proxy, enzovoorts). De verwerking van het verkeer is resource-intensief. Een DDoSaanval zal eenvoudig de beschikbare resources overbelasten. 6. Een IPS/IDS Een volgende component in een klassieke keten is een IPS of IDP systeem. Dit zijn systemen die een groot aantal aanvallen detecteert en (mogelijk) blokkeert. Ook deze component is vanwege de aard ervan (zie firewall) zeer gevoelig voor DDoS-aanvallen. Soms is de IPSfunctionaliteit geïntegreerd in de firewall. 7. De webserver Na de firewall/ips volgt meestal de webserver in de keten. Hier verschuift over het algemeen het type DoS- en DDoS-aanval naar OSI laag-7. De aanvallen hebben de vorm van een http-verzoek. Ook een webserver is een complexe component, welke gevoelig is voor DoS-aanvallen ten gevolge van beveiligingskwetsbaarheden (bijvoorbeeld: injection attacks, forceful browsing, path traversal, enzovoorts). Daarnaast maakt een webserver gebruik van uitputbare resources: aantal gelijktijdige connecties, CPU en geheugen. DDoS-aanvallen kunnen ook eenvoudig de webserver overbelasten met een groot aantal (legitieme) http-verzoeken. Veelal hardware Netwerk Datalink Fysiek Verzenden 8. De applicatie-server of database-server In een gelaagde webapplicatie is er sprake van (back-end) applicatie- en database-servers. Deze kunnen niet direct door verkeer vanaf het Internet worden aangesproken, maar een DDoS-aanval kan er wel op gericht zijn, via 3

4 de webserver, de database zwaar te belasten. Daarnaast kan een DoS-aanval gericht zijn op een beveiligingskwetsbaarheid in een van deze back-end componenten. 9. Cloud afhankelijkheid In toenemende mate is een keten afhankelijk van dienstverlening in-the-cloud. Een eenvoudig voorbeeld hiervan is een gehoste DNS-service, maar vaak is er sprake van meer complexe afhankelijkheid van specifieke cloud-diensten. Wanneer de cloud-dienst aangevallen wordt, zal ook de dienstverlening hier hinder van ondervinden. 4

5 DDoS-taxonomie DDoS-aanvallen worden onderverdeeld op basis van de OSI laag waarop ze acteren: 1. Network attacks (OSI laag-3 en laag-4) DDoS-aanvallen welke zich richten op OSI laag-3 en laag-4 worden network attacks genoemd: Volumetrische aanvallen Een volumetrische DDoS-aanval is gericht op het veroorzaken van zeer veel (inkomend) verkeer. Componenten zoals de ISPverbinding, de firewall en de IPS/IDP zijn gevoelig voor dit soort aanvallen. Bij veel volumetrische aanvallen is er sprake van willekeurige source IP adressen (spoofed IP) in combinatie met ICMP- of UDP-verkeer. Ook de zogenaamde reflective attacks zijn meestal volumetrisch van aard. Voorbeelden van dit type aanval: UDP flooding (al dan niet reflective en amplified: DNS, NTP, SNMPv2, NetBIOS, SSDP, CharGen, QOTD, BitTorrent, Quake Network Protocol, Steam Protocol), ICMP flooding, TCP floods with non-syn packets. SYN flooding Een speciale vorm van een volumetrische DDoS aanval is SYN flooding (ook wel een SYN attack genoemd). Naast het volumetrische karakter van dit type aanval, is deze speciaal gericht op het uitputten van TCP connecties (webserver) en connectietabellen (firewall, IPS). Voorbeelden van dit type aanval: SYN attacks, connection floods, TCP zero window. Protocol violations Daarnaast is er een diversiteit aan andere laag-4 aanvallen, welke gebruik maken van opzettelijk aangebrachte fouten in (bijvoorbeeld) het TCP protocol. Doel hiervan is het verstoren of afbreken van legitieme connecties, het omzeilen (bypass) van een firewall policy en het overbelasten van een stateful firewall. Voorbeelden van dit type aanval: fragmentation attacks (ICMP, TCP), TCP flag attacks (illegale combinaties van TCP flags, Christmas tree attack), TCP replay attacks, RST en FIN attacks (afbreken van bestaande legitieme connecties), ToS attacks (Explicit Congestion Notification, DiffServ) met als doel legitiem verkeer te vertragen. Volumetrische aanvallen worden ook vaak toegepast om meer gerichte (laag-volume) aanvallen te maskeren. Soms schakelen IPS/IDP systemen automatisch uit bij overbelasting, of worden ze handmatig uit de keten verwijderd in een poging een DDoS-aanval te weerstaan. Juist dan kan een gerichte aanval gebruik maken van beveiligingskwetsbaarheden die eerder door de IPS werden geblokkeerd. 2. DNS attacks (OSI laag-7) De DNS-service is essentieel onderdeel van een dienstverleningsketen. DDoS DNS attacks richten zich specifiek op DNS-dienstverlening. Aanvallen variëren van het eenvoudig overbelasten van de DNS-servers tot het injecteren van foutieve DNS informatie (DNS cache poisoning). Voorbeelden van dit type aanval: DNS NSQUERY, DNS NXDOMAIN. 3. HTTP attacks (OSI laag-7) HTTP aanvallen richten zich op de webserver: HTTP query flooding In geval van HTTP query flooding zal een DDoS-aanval een zeer groot aantal HTTPverzoeken afvuren op de webserver. Deze verzoeken zijn legitiem opgebouwd en daarom lastig te onderscheiden van reguliere verzoeken. Een DDoS-aanval zal juist die URI s aanspreken die de webserver, of de erachter gelegen applicatie- en databaseserver, zwaar belast. Meestal wordt hiervoor een voorafgaande reconnaissance scan uitgevoerd op de webserver om de heavy URI s te vinden. Voorbeelden van dit type aanval: HTTP GET flood, random recursive GET. Slow attacks Webservers hebben een limiet in het aantal gelijktijdige connecties die verwerkt kunnen 5

6 worden. Slow attacks zijn erop gericht met een zo laag mogelijk datavolume, zo veel mogelijk connecties op de webserver bezet te houden. Voorbeelden van dit type aanval: slow GET (Slowloris), slow POST, slow read. CPU en memory attacks CPU- en memory attacks richten zich specifiek op het overbelasten van CPU en memory resources op de webserver. Voorbeelden van dit type aanval: hashdos- en regex-aanvallen, XML-bombs. Protocol violations Evenals bij de netwerk gebaseerde aanvallen, worden HTTP protocol violations ingezet bij het aanspreken van beveiligingskwetsbaarheden welke leiden tot een denial-of-service. Kwetsbaarheden Ten slotte is er een grote verscheidenheid in aanvallen (laag-volumetrische) welke zich richten op beveiligingskwetsbaarheden in web-applicaties of de frame-works waarmee deze zijn opgebouwd. Sommige van deze aanvallen geven de aanvaller de mogelijkheid de web-service te verstoren, of de inhoud aan te passen (defacement). In deze gevallen leidt de aanval ook tot een denial-of-service. Voorbeelden van dit type aanval: HTTP protocol compliance attacks, brute force login, evasion techniques, code injections, forceful browsing, path traversal. 4. HTTPS attacks (SSL, OSI laag-7) Indien een web-service gebruik maakt van HTTPS, is ook de SSL-component kwetsbaar voor aanvallen. SSL (of beter: TLS) is CPU resource intensief en meestal kost het opzetten van een SSL sessie aan de serverzijde meer CPU resources dan aan de zijde van de aanvaller (asymmetrische aanval). Voorbeelden van dit type aanval: SSL flooding en SSL renegotiation attacks. Naast de SSL-aanvallen, geldt dat alle specifieke HTTP-gebaseerde aanvallen (zie eerder punt) ook van toepassing zijn op HTTPS verbindingen. Merk op dat eventuele DDoS-mitigatie niet in staat is HTTPS-versleuteld verkeer te inspecteren. Pas na het punt waar de SSLsessie wordt getermineerd, is dit soort inspectie mogelijk. DDoS mitigatie Vanwege de grote diversiteit aan DoS- en DDoSaanvallen, is er geen enkelvoudige methode die bescherming levert tegen alle typen aanvallen. Meestal is er sprake van een combinatie van technieken. Deze worden hieronder kort besproken: 1. Scrubbing-service (wasstraat) Een scrubbing-service is een DDoS-mitigatie cloud-dienst die erop gericht is het verkeer gericht aan een (web)service of datacenter te verschonen van DDoS-verkeer en daarna uitsluitend het legitieme verkeer naar het datacenter te sturen. Een scrubbing-service is vrijwel het enige effectieve middel tegen overbelasting van de ISP-verbinding naar het datacenter. Afhankelijk van de scrubbingservice en afhankelijk van de prijs, is deze in staat volumetrische aanvallen van enkele tientallen gigabits per seconde tot vele terabits per seconde te weerstaan. Een scrubbing-service kan continue worden ingezet. Er is dan sprake van een always-on service. De tegenhanger hiervan is dat de scrubbing-service alleen wordt ingezet bij een DDoS-aanval. a. Routering Indien het datacenter gekoppeld is op basis van een (e)bgp relatie met de provider, de klant over een eigen AS-nummer beschikt en er een edge-router-laag aanwezig is, kan al het verkeer gericht aan het datacenter omgeleid worden naar de scrubbingservice. Het schone verkeer wordt meestal door middel van een GRE-tunnel naar het datacenter gerouteerd (getermineerd op de edge-laag en gebruik makend van een IPreeks die zelf niet wordt afgebogen). Sommige scrubbing-services maken gebruik van andere 6

7 technieken (bijvoorbeeld: IP Reflection) om het verkeer terug te routeren. Uitsluitend het inkomend verkeer (inbound packets) wordt door de scrubbing-service verwerkt. Het retour-verkeer (van de webservice terug naar de klant) wordt niet door de scrubbing-service geleid, maar wordt via de reguliere ISP-koppeling gerouteerd. De scrubbing-service ziet dus alleen de packetflow van de klant naar de web-service. Dit levert een beperking ten aanzien van de soorten DDoS-aanvallen die op deze wijze gemitigeerd kunnen worden. Over het algemeen zijn laag-7 DDoS-aanvallen niet op deze wijze te mitigeren. b. Proxy Indien het niet mogelijk is een complete netwerkreeks (minimaal klasse-c) door middel van BGP om te buigen naar een scrubbing-service, is het mogelijk op basis van DNS specifieke web-services om te buigen naar de scrubbing-service. De scrubbingservice treedt dan op als proxyserver voor het webverkeer. Omdat een klantsysteem nu met de proxyserver van de scrubbing-service verbonden is, kan de deze ook laag-7 DDoSbescherming leveren. Het is zelfs mogelijk DDoS-bescherming te leveren in HTTPSversleuteld verkeer. Voorwaarde hiervoor is dat de scrubbing-service dit aanbiedt en de (private) SSL-sleutels bij de scrubbing-service worden geïnstalleerd. Merk wel op dat DDoSbescherming op laag-7 vaak web-service specifiek is. Meestal beperkt de laag-7 DDoSmitigatie zich tot generieke (oppervlakkige) bescherming. Nadeel van een proxyservice is dat uitsluitend het verkeer gericht aan de web-services wordt omgebogen naar de scrubbing-service. Indien een volumetrische aanval gericht is op een (eventueel onbenut) IP adres dat wel naar het datacenter gerouteerd wordt, maar niet via DNS wordt omgebogen, blijft de omgeving toch kwetsbaar voor volumetrische aanvallen. Bijvoorbeeld: indien de ISPverbinding of andere componenten hierdoor overbelast raken en deze ook gebruikt worden voor het ontvangen van het schone verkeer uit de scrubbing-service, zal toch sprake zijn van een effectieve denial-of-service c. Content delivery networks Een specifieke vorm van een always-on proxy-service is het zogenaamde content delivery network. Hierbij wordt het eerste aanspreekpunt van de web-service door middel van IP Anycast op meerdere plaatsen gelijktijdig op het Internet aangeboden. Merk op dat dynamisch webverkeer uiteindelijk toch moet worden opgevraagd bij de eigen web-service. CDN levert dan ook in beperkte mate DDoS-mitigatie tegen laag-7 aanvallen. 2. On-premise appliances Voor een effectieve DDoS-bescherming wordt meestal een on-premise DDoS-mitigatiesysteem ingezet. Deze zal dus in ieder datacenter aanwezig moeten zijn. Omdat dit systeem op de meest optimale wijze in de architectuur ingezet kan worden, levert deze de hoogste graad van bescherming en de meeste flexibiliteit. Vaak vindt SSL-terminatie plaats voor het DDoSmitigatiesysteem, zodat ook aanvallen in HTTPS gemitigeerd worden. OSI laag-7 mitigatie kan specifiek worden afgestemd op de aanwezige web-applicaties. Een on-premise oplossing biedt echter geen bescherming tegen volumetrische aanvallen die de ISP-verbinding overbelasten. Belangrijke taken van een on-premise DDoSmitigatiesysteem zijn: detectie van een DDoS-aanval en overschakelen naar mitigatie-mode; herkennen van legitiem en DDoS-verkeer, zodat zo min mogelijk legitiem verkeer wordt geblokkeerd tijdens de mitigatie; mitigatie van de DDoS door het blokkeren van de DDoS-aanval. 7

8 3. DoS-bescherming Naast DDoS, dient de nodige aandacht gegeven te worden aan (klassieke) DoS-bescherming voor wat betreft aanvallen op (bekende en zero-day) beveiligingskwetsbaarheden: Adequaat patch-beleid garandeert dat kwetsbaarheden in systemen zo snel mogelijk worden hersteld. Netwerkapparatuur dient op OSI laag-3 en laag-4 de benodigde protocol compliance uit te voeren, zodat deze geen bedreiging vormt (omzeilen van firewall policies, overbelasten van stateful devices, enzovoorts). OSI laag-7 protocol compliance wordt ingezet om bedreigingen in DNS of HTTP(S) te mitigeren. Applicatie firewalls leveren aanvullende bescherming tegen bekende en zero-day aanvallen op DNS- en web-services. 4. Expertise bij een DDoS-aanval Indien er sprake is van een DDoS-aanval, is het van grote waarde dat beroep kan worden gedaan op DDoS-expertise. 5. DDoS-bestendige architectuur Een aanvullende, effectieve (lees: vrijwel noodzakelijke) maatregel tegen DDoS-aanvallen is het inrichten van een DDoS-bestendige architectuur. Uitgangspunt hierbij is dat de (web)dienstverlening infrastructuur gescheiden wordt van de generieke infrastructuur (soms tot en met de ISP-koppeling). Uitsluitend inkomend verkeer gericht aan een beperkte hoeveelheid, bekende, diensten is aanwezig binnen deze architectuur. Dit levert de volgende mogelijkheden: Inkomend verkeer kan grotendeels bij de ISP gefilterd worden. Uitsluitend noodzakelijk verkeer wordt over de ISP-verbinding naar het datacenter geleid (bijvoorbeeld: uitsluitend TCP poort 80 en poort 443 en beperkt ICMP verkeer; maar geen UDP-verkeer). De noodzaak voor een generieke, next generation firewall en IPS/IDP komt te vervallen. In plaats daarvan kan gekozen worden voor een relatief eenvoudige stateful firewall met hoge throughput (datacentercapable firewall). Deze firewall is voorzien van hardware-assisted DDoS-mitigatie en protocol compliance controle op OSI laag-3 en laag- 4, of er wordt een DDoS-mitigatie appliance ingezet. SSL offloading wordt aan de voorkant in de keten uitgevoerd, bij voorkeur in hardware. Een specifiek op web-gebaseerde IPS/IDP wordt ingezet ter bescherming tegen DoSaanvallen. Meestal in de vorm van een Web Application Firewall (WAF), welke ook op OSI laag-7 HTTP protocol compliance uitvoert. Vanwege de relatieve eenvoud van de componenten behoort de keuze tot flink wat overcapaciteit financieel binnen bereik (overcapaciteit is zeer gewenst binnen een anti-ddos omgeving). Efficiënte DDoS-bestendige architecturen zijn meestal in drie tiers opgebouwd: Tier één is een cloud-gebaseerde scrubbingservice en biedt bescherming tegen grootschalige volumetrische aanvallen. Tier twee bestaat uit een on-premise DDoSmitigatie tegen OSI laag-3 en laag-4 aanvallen (DoS en DDoS). Deze laag beschermt de er achtergelegen infrastructuur tegen netwerk gebaseerde (D)DoS-aanvallen. Meestal biedt deze laag ook de benodigde stateful firewall functionaliteit. Indien DNS-services aangeboden worden, zal ook deze beschermd moeten worden tegen DNS DDoS-aanvallen. Tier drie bestaat uit OSI laag-7 DDoSmitigatie, vaak in de vorm van een Web Application Firewall. Meestal vindt hier ook SSL offloading (hardware assisted) plaats. De meest optimale bescherming wordt geleverd door inzet van de eerder genoemde drie-tier oplossing. De kosten hiervan kunnen echter behoorlijk oplopen, 8

9 zeker omdat sprake is van meerdere datacenters. Een belangrijke vraag is of deze kosten opwegen tegen het risico van DDoS-aanvallen en of eventueel het grootste deel van het risico kan worden voorkomen door een gedeeltelijke DDoS-mitigatie oplossing. Tot slot stellen wij u de vraag: Bent u goed voorbereid op een aanval? Een DDoS-aanval in uw organisatie vraagt meer dan alleen een IT-oplossing. Het is tevens belangrijk om passende maatregelen te nemen aan de hand van een risicoanalyse. Met deze maatregelen kunt u de gevolgen voor uw dienstverlening en andere (kritieke) bedrijfsapplicaties zoveel mogelijk voorkomen. 9

10