Категории

Что нужно для защиты сети, кроме подключения к сервису Anti-DDoS

22 сентября 2022

Клиенты сервисов защиты от DDoS-атак нередко воспринимают своего провайдера Anti-DDoS как чародея или шамана: немного танцев с бубнами – и никакие атаки не страшны. На самом деле всё, конечно, не так – эффективность защиты зависит не только от профессионализма провайдера Anti-DDoS и уровня его технологий (хотя, безусловно, они имеют очень важное значение), но и от особенностей защищаемых ресурсов.

В зависимости от архитектуры и ряда других показателей разные ресурсы требуют разных усилий и затрат на то, чтобы добиться схожей эффективности защиты. Другими словами, некоторые ресурсы легко обезопасить от DDoS-атак, и средств для этого потребуется не так много – достаточно грамотно подключить сервисы защиты. Другие, напротив, остаются уязвимыми после подключения даже самых лучших сервисов Anti-DDoS. Это свойство интернет-ресурсов сохранять высокую устойчивость к DDoS-атакам при минимуме общих затрат времени, средств и усилий на ее обеспечение мы называем защищаемостью (подробнее о ней можно прочитать в этой статье).

Предлагаем вашему вниманию краткое руководство, которое поможет повысить эффективность защиты сетей и автономных систем от DDoS-атак. В нем буквально по пунктам перечислены аспекты, на которые следует обратить внимание.

Специфика защиты сети

Обеспечение устойчивости сети к DDoS-атакам предъявляет высокие требования к организации защиты. В сети может располагаться множество различных ресурсов – сайтов, интернет-приложений и сервисов, принадлежащих не только владельцам самой сети, но и их клиентам. Мощной DDoS-атаки на один из этих ресурсов будет достаточно, чтобы создать колоссальную нагрузку на сетевые устройства – нелегитимный трафик окажется настолько большим, что даже мощные маршрутизаторы не смогут его обработать.

И это не пустые слова. Уже сегодня нередки атаки мощностью в несколько сотен гигабит в секунду. А, например, не так давно мы фиксировали атаки, мощность которых достигала 1,2 Тбит/с. Очевидно, что пограничные (Edge) программно-аппаратные комплексы с отражением таких атак не справятся, нужно подключать облачные сервисы Anti-DDoS.

Дополнительные сложности в организацию защиты от DDoS-атак вносит то, что, как правило, владельцы сети располагают достаточно большим пулом IP-адресов. Злоумышленники могут начать одновременно наносить по ним множество относительно слабых DDoS-ударов в надежде, что защита их не заметит. Их общее воздействие на пограничные устройства может оказаться весьма сильным и привести не только к снижению производительности инфраструктуры, но и к более серьезным проблемам – от нарушения устойчивости в работе до недоступности узлов.

cta1

Для начала провести аудит и разработать стратегию DDoS-защиты

Прежде чем приступать к выстраиванию защиты сети, настоятельно рекомендуем провести аудит самой сети, а также аудит ее информационной безопасности (ИБ).

Во-первых, это позволит лучше понять, как на самом деле выстроена и сконфигурирована ваша сеть, как распределены в ней нагрузки, каким запасом производительности обладают пограничные сетевые устройства и серверы и как они взаимосвязаны с другими инфраструктурными компонентами – это позволит выяснить, как работоспособность отдельных единиц пограничного оборудования отражается на других элементах инфраструктуры. Большим подспорьем в этом могут стать конфигурационные базы данных (CMDB) – их ведут и поддерживают многие уважающие себя владельцы сетей и дата-центров.

Во-вторых, нужно выяснить, какие сетевые сервисы и порты открыты на пограничных устройствах, а какие отключены.

В-третьих, надо понять, какие средства уже используются для их защиты, каким образом они управляются, координируются и как взаимодействуют между собой.

В четвертых, очень важно понять, какие из устройств, сервисов, портов, IP-адресов нуждаются в защите от DDoS-атак. Определяя круг ресурсов, которым требуется защита, следует помнить, что частичный охват сервисами Anti-DDoS не обезопасит сеть от атак. Нужна комплексная защита, охватывающая все уровни и способная не только отражать пакетные атаки на сетевом и транспортном уровне (L3/L4), но и ограждать от DDoS-рисков сервисы DNS и HTTP/HTTPS на прикладном уровне (L7).

Собрав и проанализировав информацию о текущем состоянии сети и потребностях в ее защите от DDoS-атак, вы сможете разработать стратегию развития этого направления ИБ и выстроить на ее основе все последующие мероприятия.

Собрать информацию о сети для провайдера Anti-DDoS

Чем больше информации клиент предоставит своему провайдеру Anti-DDoS, тем быстрее и он сможет помочь и тем большего успеха можно будет добиться в повышении устойчивости к DDoS-атакам. (И, кстати, будет хорошим знаком, если провайдер Anti-DDoS сам просит вас предоставить ему подробные данные о вашей сети.)

На основе проведенного вами аудита сети и аудита ее информационной безопасности вы сможете подготовить подробную документацию для провайдера. Изучив ее, вы вместе с ним сможете не только выбрать оптимальный вариант подключения защиты от DDoS-атак, но и подготовить план действий, которые помогут повысить защищаемость вашей сети с учетом ваших реалий – потребностей, масштабов, нагрузок, уязвимостей, клиентских конфигураций и пр.

В частности, провайдер Anti-DDoS хотел бы знать следующие детали:

на каких IP-адресах работают ваши серверы DNS;
к каким адресам подключены шлюзы VPN;
на каких IP-адресах объем трафика существенно больше, чем на других (например, NAT-пулы);
используются ли какие-то кэширующие прокси (например, Squid, BlueCoat) и на каких IP-адресах они располагаются;
через какие IP-адреса работают кэширующие сервисы, например, Google Global Cache (GGC), Facebook Network Appliance (FNA), сервисы кэширования Netflix, Akamai и другие. Дело в том, что кэширующие сервисы время от времени начинают внезапно генерировать большой объем трафика, который сервисы Anti-DDoS нередко воспринимают как DDoS-атаку и блокируют его. Информация о кэширующих сервисах поможет провайдеру правильно настроить защиту от DDoS-атак;
по каким IP-адресам подключаются «полноценные» клиенты Интернета, которым нужны и входящие, и исходящие запросы по всем протоколам (VDS/VPS, конечные пользователи), а по каким – сервисы, не являющиеся таковыми (веб-серверы, Shared Hosting, отдельные сервисы), – эта информация позволит более точно выстроить профили защиты. Если злоумышленники попытаются исследовать сеть, провайдер Anti-DDoS сможет предпринять больше мер по противодействию.

Кроме того, желательно предоставить провайдеру Anti-DDoS информацию об оборудовании, которое используется для маршрутизации, – это поможет ему оценить его производительность и при необходимости порекомендовать замену для медленных устройств и оптимизацию для более быстрых. Например, мы, как опытный провайдер Anti-DDoS, точно знаем, что маршрутизатор MikroTik младшей ценовой категории недоступен даже в результате слабой атаки мощностью 100-200 тыс. пакетов в секунду, поэтому определяем для сети, на границе которой стоят устройства MikroTik, более жесткую политику фильтрации. А, например, современный маршрутизатор Cisco серии ASR должен выдерживать трафик в 5-6 млн пакетов в секунду, но если мы видим, что он не справляется с повышенной нагрузкой (в том числе легитимной), то предлагаем клиенту рекомендации, которые помогут повысить не только производительность этого устройства, но и его устойчивость к DDoS-атакам.

Закрыть все невостребованные сетевые сервисы и скрыть неиспользуемые IP-адреса

С точки зрения злоумышленника ваша сеть должна быть, насколько это возможно, «черным ящиком». Хакер наверняка попытается найти в ней уязвимости, слабые места и незащищенные ресурсы (в том числе те, о которых вы сами забыли или которые упустили в ходе аудита) и нанесет по ним DDoS-удар.

Поэтому очень важно составить подробный список используемых и неиспользуемых сетевых сервисов и ресурсов, а затем заблокировать те, что в данный момент не используются, – это позволит пресечь DDoS-атаки на эти сервисы.

Кроме того, нужно максимально сузить возможности злоумышленника по анализу вашей сети и затруднить ее изучение. В частности, постарайтесь скрыть ваши IP-адреса от трассировки (traceroute), причем как извне сети, так и изнутри. Ведь не исключено, что в связке со внешними злоумышленниками работают и инсайдеры внутри сети, среди которых могут быть как ваши собственные специалисты, так и сотрудники компаний-клиентов, размещающих свои ресурсы внутри сети. Те адреса, которые по каким-то причинам нельзя или не удается скрыть, надо защитить с помощью списков контроля доступа (Access Control List, ACL) – попросите об этом вашего провайдера Anti-DDoS.

Убедиться в достаточной производительности пограничных устройств и каналов

Очень часто источниками проблем при DDoS-атаках на сети становятся устройства (маршрутизаторы, межсетевые экраны, балансировщики и пр.) с низкой производительностью. Как правило, они справляются с обычной нагрузкой, но «ложатся» даже при слабых DDoS-атаках. В качестве примеров таких устройств, с которыми мы регулярно сталкиваемся, можно привести межсетевые экраны Cisco ASA (особенно младшие или устаревшие модели) и маршрутизаторы MikroTik. Нередко также встречаются устройства, предназначенные для работы в небольших офисах, но никак не рассчитанные на использование в телеком-сетях или дата-центрах, а также просто устаревшие устройства – вполне передовые для своего времени, но не обладающие достаточной устойчивостью к сегодняшним DDoS-атакам.

Почему нельзя оставлять на границе сети слабые, медленные устройства? Дело в том, что даже лучшие сервисы Anti-DDoS не всегда могут отфильтровать атаку на все 100%. И если хотя бы малая часть (пусть всего 1%) нелегитимного трафика, который обрушился на сеть в ходе мощной атаки (например, мощностью в 50 Гбит/с), просочится через фильтр провайдера Anti-DDoS, то нагрузка на пограничные устройства может вырасти в десятки, а то и в сотни раз. В таких ситуациях практически вся их производительность тратится на то, чтобы попытаться разобраться с набегающим, как цунами, трафиком. А если на устройствах включена маршрутизация с использованием инспекции пакетов с хранением состояния (Stateful Packet Inspection, SPI), то производительность исчерпывается еще быстрее. В результате на легитимные запросы мощности не остается, и устройства не могут даже сообщить о том, что с ними происходит, и не позволяют это выяснить, поскольку становятся фактически недоступными.

Выявить пограничные сетевые устройства, не обладающие достаточным запасом производительности, помогает аудит сети, о котором мы уже упомянули. Обнаруженные медленные устройства следует заменить на более быстрые, иначе эффект от подключения сервиса Anti-DDoS окажется низким, а риски, связанные с DDoS-атаками, высокими.

Также нужно помнить, что сильная атака может исчерпать не только производительность сетевых устройств, но и пропускную способность ваших каналов связи с Интернетом. Поэтому мы настоятельно рекомендуем позаботиться о расширении имеющихся и подключении резервных каналов.

Провести стресс-тестирование

Проверить сеть на устойчивость к относительно слабым DDoS-атакам можно, проведя стресс-тесты с использованием доступных в Интернете инструментов, например, утилиты hping3, входящей во многие дистрибутивы Linux. Эта утилита позволяет имитировать различные типы атак с разными параметрами. Заметим, что пользоваться ею следует осторожно, постепенно увеличивая нагрузку на сеть.

Проводить стресс-тестирование нужно и после подключения защиты, причем систематически – это поможет понять, каких примерно последствий можно будет ожидать в случае, если хотя бы небольшая часть трафика DDoS-атаки доберется до вашей сети. Также можно будет увидеть, как на атаку отреагирует служба технической поддержки вашего провайдера Anti-DDoS: откликнется ли на ваше обращение, быстро ли отреагирует, если атака началась в нерабочее время, и пр.

Защитить DNS-серверы

Атаки на серверы DNS в первом полугодии 2022 года стали вторым по распространенности типом DDoS-атак (после HTTP-флуда), поэтому нужно особенно позаботиться об их защите. В противном случае есть риск того, что оказавшиеся под DDoS-ударом серверы DNS будут работать нестабильно, в результате у пользователей возникнут проблемы с доступностью ресурсов.

Сервер DNS, расположенный внутри вашей сети, можно защитить с помощью анонса через BGP – если, конечно, ваш провайдер Anti-DDoS умеет фильтровать атаки на DNS. Если умеет (что свойственно далеко не всем провайдерам!), то нужно будет сообщить ему адреса ваших серверов DNS и попросить настроить нужным образом фильтрацию их трафика.

Выстроить и развивать процессы, координируя их с другими процессами ИБ

Очень важно добиться того, чтобы активности, направленные на защиту сети от DDoS-атак, осуществлялись в рамках общей стратегии ИБ. Другими словами, эта защита должна быть органично вписана в систему ИБ вашей организации, в ее планы развития защиты от киберрисков и развивалась в тесной координации с другими направлениями ИБ. Соответственно, процессы, обеспечивающие защиту от DDoS-рисков, должны быть хорошо согласованы с другими процессами ИБ, в том числе с процессами управления уязвимостями, конфигурациями, инцидентами, а также процессами мониторинга и аудита.

И поскольку DDoS-угрозы и риски растут и эволюционируют, необходимо развивать и защиту вашей сети от DDoS-атак: регулярно проводить аудиты сети и аудиты ее безопасности, анализировать сеть на предмет возможных уязвимостей, изучать характер атак и их последствия, проводить стресс-тестирование и пр. Кроме того, необходимо регулярно консультироваться с провайдером Anti-DDoS, чтобы повышать защищаемость ваших ресурсов и вовремя устранять слабые места сети, которые могут стать уязвимыми к новым видам атак.