Как защитить сеть от атак и DDoS-угроз

Компании нередко воспринимают своего провайдера anti-DDoS как чародея или шамана: немного танцев с бубнами — и никакие атаки не страшны.

На самом деле всё, конечно, не так. Уровень безопасности зависит не только от профессионализма провайдера и уровня его технологий, но и от особенностей защищаемых ресурсов.

Некоторые ресурсы легко обезопасить от DDoS-атак, и средств для этого потребуется не так много —- достаточно грамотно подключить сервисы защиты от DDoS. Другие, напротив, будут всегда уязвимыми. Это свойство приложений и сайтов сохранять высокую устойчивость к DDoS-атакам при минимуме общих затрат времени, средств и усилий на её обеспечение мы называем защищаемостью (подробнее о термине можно прочитать в этой статье на Anti-Malware).

Мы подготовили краткое руководство, которое поможет повысить эффективность защиты сетей и автономных систем от DDoS-атак. В нём перечислены все важные аспекты, на которые следует обратить внимание.

Специфика защиты сети

Чтобы обеспечить устойчивость сети к DDoS-атакам, необходимо учесть высокие требования к её защите. Здесь может располагаться множество сайтов, интернет-приложений и сервисов, принадлежащих не только владельцам самой сети, но и их клиентам. Мощной DDoS-атаки на один из этих ресурсов будет достаточно, чтобы создать колоссальную нагрузку на сетевые устройства. Нелегитимный трафик окажется настолько большим, что обработать его не смогут даже мощные маршрутизаторы.

И это не пустые слова. Уже сегодня нередки атаки мощностью в несколько терабит в секунду. Недавно мы фиксировали атаки, мощность которых достигала 1,5 Тбит/с. Очевидно, что on-premise решения с отражением таких атак не справятся, нужно подключать облачные сервисы anti-DDoS.

Дополнительные сложности в организацию защиты от DDoS-атак вносит то, что у владельцев сетей обычно бывает достаточно большой пул IP-адресов. Злоумышленники могут начать одновременно наносить по ним множество относительно слабых DDoS-ударов в надежде, что защита их не заметит. Их общее воздействие на пограничные устройства может оказаться сильным и привести не только к снижению производительности инфраструктуры, но и к более серьезным проблемам — от нарушения устойчивости в работе до недоступности узлов.

Провести аудит и разработать стратегию DDoS-защиты

Для начала настоятельно рекомендуем провести аудиты самой сети и её информационной безопасности. Это позволит понять:

• как на самом деле выстроена и сконфигурирована ваша сеть, как распределены в ней нагрузки, каким запасом производительности обладают пограничные сетевые устройства и серверы и как они взаимосвязаны с другими инфраструктурными компонентами.Все эти сведения позволят выяснить, как работоспособность отдельных единиц пограничного оборудования отражается на других элементах инфраструктуры. Большим подспорьем в этом могут стать конфигурационные базы данных (Configuration Management Database, CMDB) – их ведут и поддерживают многие владельцы сетей и дата-центров;
• какие сетевые сервисы и порты открыты на пограничных устройствах, а какие — отключены. Здесь же выясняем,какие средства уже используются для их защиты, каким образом они управляются, координируются и как взаимодействуют между собой;
• какие из устройств, сервисов, портов, IP-адресов нуждаются в защите от DDoS-атак.

Определяя круг ресурсов, которым требуется защита, следует помнить, что частичный охват сервисами anti-DDoS не обезопасит сеть от атак. Нужна комплексная защита, охватывающая все уровни и способная не только отражать пакетные атаки на сетевом и транспортном уровне (L3/L4), но и ограждать от DDoS-рисков сервисы DNS и HTTP/HTTPS на прикладном уровне (L7).

Собрав и проанализировав информацию о текущем состоянии сети и потребностях в её защите от DDoS-атак, вы сможете разработать стратегию развития этого направления ИБ и выстроить на её основе все последующие мероприятия.

Собрать информацию о сети для провайдера anti-DDoS

Чем больше информации клиент предоставит своему поставщику услуг по защите сети, тем быстрее он сможет помочь и тем большего успеха можно добиться в повышении устойчивости к DDoS-атакам. (И, кстати, будет хорошим знаком, если провайдер сам просит вас предоставить ему подробные данные о вашей сети.)

На основе проведённого вами аудита сети и аудита её информационной безопасности вы сможете подготовить подробную документацию для провайдера. Изучив её, вы вместе с ним сможете не только выбрать оптимальный вариант подключения защиты сети от DDoS-атак, но и подготовить план действий, которые помогут повысить защищаемость вашей сети с учётом ваших реалий — потребностей, масштабов, нагрузок, уязвимостей, клиентских конфигураций и пр.

В частности, провайдер хотел бы знать следующие детали:

• на каких IP-адресах работают ваши серверы DNS;
• к каким адресам подключены шлюзы VPN;
• на каких IP-адресах объём трафика существенно больше, чем на других (например, NAT-пулы);
• используются ли какие-то кэширующие прокси (например, Squid, BlueCoat) и на каких IP-адресах они располагаются;
• через какие IP-адреса работают кэширующие сервисы, например, Google Global Cache (GGC), Facebook Network Appliance (FNA), сервисы кэширования Netflix, Akamai и другие. Дело в том, что кэширующие сервисы время от времени начинают внезапно генерировать большой объём трафика, который сервисы anti-DDoS нередко воспринимают как атаку и блокируют его. Информация о кэширующих сервисах поможет провайдеру правильно настроить защиту от DDoS-атак;
• по каким IP-адресам подключаются «полноценные» пользователи  интернета, которым нужны и входящие, и исходящие запросы по всем протоколам (VDS/VPS, конечные пользователи), а по каким — сервисы, не являющиеся таковыми (веб-серверы, Shared Hosting, отдельные сервисы).Эта информация позволит более точно выстроить профили защиты. Если злоумышленники попытаются исследовать сеть, провайдер DDoS-защиты сможет предпринять больше мер по противодействию их действиям.

Кроме того, желательно предоставить провайдеру информацию об оборудовании, которое используется для маршрутизации.Это поможет ему оценить производительность средства защиты, а также при необходимости порекомендовать замену для медленных устройств и оптимизацию для более быстрых.

Закрыть все неиспользуемые сетевые сервисы и IP-адреса

С точки зрения злоумышленника ваша сеть должна быть, насколько это возможно, «чёрным ящиком». Хакер наверняка попытается найти в ней уязвимости, слабые места и незащищённые ресурсы (в том числе те, о которых вы сами забыли или которые упустили в ходе аудита) и нанесёт по ним DDoS-удар.

Поэтому очень важно составить подробный список используемых и неиспользуемых сетевых сервисов и ресурсов, а затем заблокировать те, что в данный момент не используются. Это позволит пресечь потенциально возможные DDoS-атаки на эти сервисы.

Кроме того, нужно максимально сузить возможности злоумышленника по анализу вашей сети и затруднить её изучение. В частности, постарайтесь скрыть ваши IP-адреса от трассировки (traceroute), причём как извне сети, так и изнутри. Не исключено, что в связке со внешними злоумышленниками работают и инсайдеры внутри сети. Среди них могут быть как ваши собственные специалисты, так и сотрудники компаний-клиентов, размещающих свои ресурсы внутри сети. Те адреса, которые по каким-то причинам нельзя или не удаётся скрыть, надо защитить с помощью списков контроля доступа (Access Control List, ACL) — попросите об этом вашего провайдера anti-DDoS.

Убедиться в достаточной производительности пограничных устройств и каналов

Очень часто источниками проблем при DDoS-атаках на сети становятся устройства (маршрутизаторы, межсетевые экраны, балансировщики и пр.) с низкой производительностью. Как правило, они справляются с обычной нагрузкой, но «ложатся» даже при слабых DDoS-атаках. 

Нередко также встречаются устройства, предназначенные для работы в небольших офисах, которые не рассчитаны на использование в телеком-сетях или дата-центрах, а также просто устаревшие устройства — вполне передовые для своего времени, но не обладающие достаточной устойчивостью к актуальным DDoS-атакам.

Почему нельзя оставлять на границе сети слабые, медленные устройства? Дело в том, что даже лучшие сервисы DDoS-защиты не всегда могут отфильтровать атаку на все 100%. И если хотя бы малая часть (пусть всего 1%) нелегитимного трафика в ходе мощной атаки на сеть просочится через фильтр, то нагрузка на пограничные устройства может вырасти в десятки, а то и в сотни раз. В таких ситуациях практически вся их производительность расходуется на попытки разобраться с набегающим, как цунами, трафиком. А если на устройствах включена маршрутизация с использованием инспекции пакетов с хранением состояния (Stateful Packet Inspection, SPI), то производительность исчерпывается ещё быстрее. В результате на легитимные запросы мощности не остаётся. Устройства не могут даже сообщить о том, что с ними происходит, и не позволяют это выяснить, поскольку становятся фактически недоступными.

Выявить пограничные сетевые устройства, не обладающие достаточным запасом производительности, помогает аудит сети, о котором мы уже говорили выше. Обнаруженные медленные устройства следует заменить на более быстрые, иначе эффект от подключения сервиса защиты окажется низким, а риски, связанные с DDoS-атаками, — высокими.

Также нужно помнить, что сильная атака может исчерпать не только производительность сетевых устройств, но и пропускную способность ваших каналов связи с интернетом. Поэтому мы настоятельно рекомендуем позаботиться о расширении имеющихся каналов и подключении резервных.

Провести стресс-тестирование

Проверить сеть на устойчивость к относительно слабым DDoS-атакам можно с помощью стресс-тестов. Для этого  достаточно использовать доступные в интернете инструменты. Пример — утилита hping3, которая входит во многие дистрибутивы Linux. Инструмент позволяет имитировать различные типы атак с разными параметрами. Чтобы случайно не «положить» сеть при его использовании, рекомендуем увеличивать нагрузку постепенно.

Проводить стресс-тестирование также нужно после подключения защиты. Причём делать это стоит систематически. Так будет легче понять, каких примерно последствий можно ожидать в случае, если хотя бы небольшая часть трафика в ходе DDoS-атаки доберётся до вашей сети. Также можно будет увидеть, как на атаку отреагирует служба технической поддержки провайдера: откликнется ли на ваше обращение и насколько быстро отреагирует, если атака началась в нерабочее время.

Узнайте подробнее о том, почему так важны стресс-тесты и другие проверки защиты от DDoS-атак.

Защитить DNS-серверы

Атаки на серверы DNS с каждым годом встречаются всё чаще, поэтому сегодня особенно важно заботиться об их защите. Сервер DNS, расположенный внутри вашей сети, можно защитить с помощью анонса через BGP — если, конечно, ваш провайдер умеет фильтровать такие атаки. Если умеет (что свойственно далеко не всем провайдерам), то нужно сообщить ему адреса ваших серверов DNS и попросить настроить фильтрацию трафика на них.

Подробнее о защите DNS-серверов >>

Выстроить процессы и связать их с системой ИБ

Очень важно добиться того, чтобы активности, направленные на защиту сети от DDoS-атак, осуществлялись в рамках общей стратегии ИБ. Другими словами, эта защита должна быть органично вписана в  планы по информационной безопасности. Соответственно, процессы, обеспечивающие защиту от DDoS-рисков, должны быть хорошо согласованы с другими процессами ИБ, в том числе в рамках управления уязвимостями, конфигурациями, инцидентами, а также процессами мониторинга и аудита.

Как защитить сеть от DDoS-атак: итоговый чек-лист

• Провести аудит сети и разработать стратегию DDoS-защиты.
• Собрать информацию о сети для провайдера защиты. 
• Закрыть все невостребованные сетевые сервисы и скрыть неиспользуемые IP-адреса.
• Убедиться в достаточной производительности пограничных устройств и каналов.
• Провести стресс-тестирование.
• Защитить DNS-серверы.
• Защитить веб-ресурсы от HTTP-флуда (на прикладном уровне — L7).
• Выстроить и развивать процессы, координируя их с другими процессами ИБ.