Модель узла доступа vpn как объекта сетевой и потоковой компьютерных разведок и ddos атак

Обновлено: 04.07.2024

В сегодняшнем материале речь пойдет о вариантах защиты о DDoS-атак:

на уровне провайдера
на уровне сетевого оборудования распределения и доступа
на уровне конфигурирования системного и прикладного ПО

А пока небольшой экскурс в теорию вопроса, что бы лучше понимать что и как работает

Чаще всего DDoS-атаки делят на четыре основных типа:

Объемные атаки.При таких атаках создается трафик такого объема, который превышает пропускную способность канала организации.

Атаки на приложения.С помощью сложных запросов, на выполнение которых требуются значительные ресурсы, выводятся из строя ключевые приложения, определяющие функционирование информационной системы в целом.

Другие инфраструктурные атаки.Сюда входят атаки, не входящие в предыдущие типы, но также направленные на вывод из строя сетевого оборудования или серверов.

Гибридные атаки. К этому виду относятся сложные атаки, сочетающие в себе сразу несколько типов атак, перечисленных в первых трех пунктах.

Рассмотрим наиболее распространенные виды DoS-атак:

Обнаружение DoS-атаки

Огромное количество ARP-запросов;
Огромное количество записей в NAT/PAT-таблице;
Повышенное использование памяти маршрутизатора;
Повышенное использование процессорного времени маршрутизатора.

Для обнаружения симптомов DoS-атаки вам нужно подключиться к своему маршрутизатору и, используя диагностические утилиты операционной системы маршрутизатора, выяснить, имеет ли место DoS-атака.

Например, в Cisco IOS просмотреть использование процессора можно с помощью команды

При обычной настройке маршрутизатор показывает, сколько пакетов было запрещено, но он не предоставляет подробной информации об этих пакетах. Чтобы была возможность отслеживать DoS-атаки, нужно специальным образом настроить ACL. Это позволит нам не только увидеть, сколько пакетов отброшено, но и проанализировать причину запрещения пакетов. Например, можно добавить в ACL следующие правила:

Технология NetFlow используется для получения статистики по потокам данных, проходящих через оборудование Cisco. NetFlow использует потоки для идентификации трафика. Cisco идентифицирует каждый поток по следующим параметрам: IP-адресам отправителя и получателя, типу протокола (TCP, UDP), номерам портов протоколов TCP и UDP, типу сервиса, номеру входящего физического интерфейса и т.д. Все это позволяет получить полную информацию о трафике, проанализировав которую можно определить тип DoS-атаки.

Некоторые маршрутизаторы поддерживают технологию перехвата TCP-соединений (в Cisco она называется TCP Intercept). Данная технология успешно используется против TCP SYN-атак.

Данная технология весьма эффективно зарекомендовала себя при борьбе с TCP SYN-атаками. Для включения TCP Intercept в Cisco IOS используется команда:

access-list <номер ACL> deny icmp any any unreachable

Использование системы обнаружения вторжения IDS (Intrusion Detection System) позволяет уберечься от многих видов атак, в том числе и от DoS. Система IDS может быть установлена как на сервере, так и на маршрутизаторе. Некоторые модели маршрутизаторов оснащены встроенными IDS.

И так резюмируем, общие команды выявления DoS - атаки

access-list 100 deny icmp any any echo reply log-input

BGP blackhole (Использование метода "Черной дыры" с помощью протокола BGP)

Этот метод позволяет полностью прекратить поток трафика на атакуемый сервер и снять нагрузку с каналов AS и провайдера.

Blackhole позволяет управлять трафиком на уровне провайдера, до попадания в нашу AS. Он эффективен для борьбы с крупными атаками на пропускную способность канала.

Схематически метод рекурсивного blackhole показан ниже:

Метод практического применения показан на примере маршрутизаторов Juniper, но может быть реализован на оборудовании любого вендора.

Сначала необходимо создать определенный community для обозначения префиксов установленных в blackhole:

set policy-options community TEST_blackhole members 1:666

Далее создаем Policy для импорта префиксов от нашего пира, выбираем из них префиксы с community blackhole и заворачиваем их в Null (в Juniper это discard):

[edit policy-options policy-statement Blackhole-import]

Назначаем этот policy-statement на eBGP сессию для импортируемых (получаемых) префиксов от клиентов.

Аналогичным образом, сначала, создается community для обозначения префиксов установленных в blackhole:

set policy-options community TEST_blackhole members 1:666

Значения те же самые как и на стороне провайдера, с той лишь разницей, что номер AS должен соответствовать AS провайдера, то есть, кто выдает community тот и устанавливает его обозначение. Далее создаем policy-statement для добавления community к префиксам которые надо передавать маршрутизатору ISP.

Префиксы выбираются из static маршрутов. Так как маршрутизатор изначально знает только о сетях больше /32, специфичный префикс нужно создавать отдельно. Как видно из правила from, этот policy-statement будет выбирать все статические маршруты с тегом 666 (номер тега может быть любым). Назначаем этот policy-statement в качестве фильтра export на eBGP сессию к нашему провайдеру. Теперь, если есть необходимость поставить адрес сервера в blackhole создаем статический маршрут /32 на нашем маршрутизаторе.

Например, для установки в blackhole адреса указанного на схеме надо выполнить команду:

set routing-options static route 1.1.1.1/32 discard tag 666

Посмотрим, как это работает на примере маршрутизаторов Cisco

! Нужно выбрать произвольный IP и завернуть его в null0.

! Разрешаем клиенту анонсировать /32 из своего блока

! Даже если клиент подключен без использования ebgp multi-hop, эта строчка

! необходима из-за особенностей работы ios. Т.к. для оценки достижимости netxhop-а

! в cisco используется тот же параметр, что и ebgp multi-hop.

! На статические маршруты с тэгом 666 устанавливаем community 0:666

! Разрешаем редистрибуцию статических маршрутов по нашему фильтру

Итак, если пришла пора биться с DDoS, клиент просто добавляет маршрут в Null на атакуемый хост и вешает на него тэг 666:

Этот маршрут с community 666, анонсируется ISP, который также заворачивает трафик в null0.

Данный функционал позволяет осуществлять фильтрацию и контроль служебного трафика, предназначенного для маршрутизатора и процессора маршрутизации.

Обычно, доступ к собственным адресам маршрутизирующего оборудования необходим только для хостов собственной сети оператора связи, однако бывают и исключения (например, eBGP, GRE, туннели IPv6 over IPv4, и ICMP). Инфраструктурные списки контроля доступа:

обычно устанавливаются на границе сети оператора связи ("на входе в сеть");

имеют целью предотвратить доступ внешних хостов к адресам инфраструктуры оператора;

обеспечивают беспрепятственный транзит трафика через границу операторской сети;

обеспечивают базовые механизмы защиты от несанкционированной сетевой активности, описанные в RFC 1918, RFC 3330, в частности, защиту от спуфинга (spoofing, использование поддельных IP адресов источника с целью маскировки при запуске атаки).

Рекомендуется всегда, когда это возможно, обеспечивать аутентификацию хостов, с которыми производится обмен служебными данными либо трафиком управления.

Управляемые черные дыры (Remotely Triggered Blackholes) используются для "сбрасывания" (уничтожения, отправления "в никуда") трафика, поступающего в сеть, путем маршрутизации данного трафика на специальные интерфейсы Null 0. Данную технологию рекомендуется использовать на границе сети для сброса содержащего DDoS-атаку трафика при его поступлении в сеть. Ограничением (причем существенным) данного метода является то, что он применяется ко всему трафику, предназначенному для определенного хоста или хостов, являющимися целью атаки. Таким образом, данный метод может использоваться в случаях, когда массированной атаке подвергается один или несколько хостов, что вызывает проблемы не только для атакуемых хостов, но также и для других абонентов и сети оператора связи в целом.

Управление черными дырами может осуществляться как вручную, так и посредством протокола BGP.

Управление QoS через BGP (QPPB) полволяет управлять политиками приоритета для трафика, предназначенного определенной автономной системе либо блоку IP-адресов. Данный механизм может оказаться очень полезен для операторов связи и крупных предприятий, в том числе и для управления уровнем приоритета для нежелательного трафика или трафика, содержащего DDoS-атаку.

В некоторых случаях требуется не полностью удалять трафик с использованием черных дыр, а отводить его в сторону от основных каналов или ресурсов для последующего мониторинга и анализа. Именно для этого и предназначены "отводные каналы" или Sink Holes.

6. Sink Holes используются чаще всего в следующих случаях:

для отвода в сторону и анализа трафика с адресами назначения, которые принадлежат адресному пространству сети оператора связи, но при этом реально не используются (не были выделены ни оборудованию, ни пользователям); такой трафик является априори подозрительным, так как зачастую свидетельствует о попытках просканировать или проникнуть в вашу сеть злоумышленником, не имеющим подробной информации о её структуре;

для перенаправления трафика от цели атаки, являющейся реально функционирующим в сети оператора связи ресурсом, для его мониторинга и анализа.

Классификация трафика с целью фильтрации паразитного потока

Итак, первое что надо запомнить, что маршрутизатор по умолчанию не блокирует на интерфейсе никакой нормальный трафик (фреймы с неправильной контрольной суммой не счёт). Однако, часть пакетов, при более глубоком рассмотрении (процессором) маршрутизатор таки признает ненужными, например:

3. Пакеты, относящиеся к служебным протоколам (например, протоколам маршрутизации), которые не запущены на маршрутизаторе.

Эти уничтоженные пакеты могут сыграть злую шутку: если такого трафика будет много, то он может существенно загрузить процессор маршрутизатора.

Далее, кроме транзитного трафика, маршрутизатор обрабатывает некоторый служебный трафик (направленный на него самого). Часто по умолчанию (или незнанию) на маршрутизаторе запущены ненужные для работы протоколы. Они опасны тем, что маршрутизатор обрабатывает пакеты этого протокола. И можно устроить, например, DoS атаку, узнать удалённо сведенья, не предназначенные для распространения или исследовать топологию сети. К таким протоколам относятся

1. TFTP (маршрутизатор может выступать сервером TFTP).

2. BOOTP (может раздавать бездисковым станциям их файлы настройки)

3. DHCP (Маршрутизатор может выступать сервером и клиентом)

7. NTP (Network Time Protocol. Маршрутизатор может выступать сервером и клиентом)

8. DNS (Включен по умолчанию броадкастовый поиск ДНС серверов в сегменте)

10. SNMP (Часто сконфигурированы дефолтные community)

Хотелось бы научиться отбрасывать такие пакеты, не нагружая мозг. Также, часто возникает задача ограничить нагрузку служебным трафиком на процессор. Например, указав максимальное количество служебных пакетов (всего или по отдельным протоколам) в очереди или количество служебных пакетов в секунду.

Эти задачи решаются при помощи специального режима

Чтобы воспользоваться этой технологией можно создать специальные классы трафика

class-map type?
access-control access-control specific class-map
control Configure a control policy class-map
inspect Configure CBAC Class Map
logging Class map for control-plane packet logging
port-filter Class map for port filter
queue-threshold Class map for queue threshold
stack class-map for protocol header stack specification
Создать специальную политику (Policy-map type )
policy-map type?
access-control access-control specific policy-map
control Configure a control policy policy-map
inspect Configure CBAC Policy Map
logging Control-plane packet logging
port-filter Control-plane tcp/udp port filtering
queue-threshold Control-plane protocol queue limiting
И применить её в этом режиме:
control-plane host
service-policy type?
logging Control-plane packet logging
port-filter Control-plane tcp/udp port filtering
queue-threshold Control-plane protocol queue limiting
Ограничение же нагрузки на мозг служебными пакетами организуется похоже, только для этого достаточно описать обычный класс трафика, обычную политику, где в качестве действия указать ограничение словом police
police rate [units] pps

В статье рассматриваются виды информации, которая имеет ограниченный доступ, с указанием на недостатки в обеспечении ее охраны уголовно-правовыми средствами.

Доступность среды жизнедеятельности для инвалидов как объект общественного мнения

Байков Николай Михайлович, Мачкарина Оксана Евгеньевна

В статье представлены результаты социологического анализа доступности среды жизнедеятельности для инвалидов в контексте реализации политики государства и принимаемых им программных мер.

Модель узла доступа VPN как объекта сетевой и потоковой компьютерных разведок и DDoS-атак

Гречишников Евгений Владимирович, Добрышин Михаил Михайлович, Закалкин Павел Владимирович

Увеличение количества сетевых атак и мощности деструктивных воздействий на виртуальные частные сети требует от должностных лиц своевременной оценки степени нанесенного ущерба и принятия мер по ее минимизации.

Некоторые проблемы реализации прав инвалидов на доступ к объектам социальной инфраструктуры

В настоящей статье анализируется норма Федерального закона «О социальной защите инвалидов в Российской Федерации», посвященная обеспечению инвалидов вне очереди местом для строительства гаража или стоянки для средств передвижения.

Характеристика информации ограниченного доступа, как объекта уголовно-правового регулирования

Рассматриваются проблемы правового статуса информации ограниченного доступа применительно к уголовно-правовым отношениям; анализируются: понятийно-категориальный аппарат юридических терминов, непосредственно описывающих информацию

Объективная сторона преступления, связанного с неправомерным доступом к компьютерной информации

Объективная сторона составов преступлений в сфере компьютерной информации характеризуется тремя обязательными признаками: деянием, преступными последствиями и причинной связью между ними.

Совместный анализ привлекательности объектов недвижимости и транспортной доступности территорий

В статье приведен совместный сопоставительный анализ привлекательности объектов недвижимости по цене и средних затрат времени на передвижение с показателем транспортной доступности территорий Иркутска.

Проблемы и стратегии обеспечения комфортности и доступности социальных объектов городской среды

В статье рассматриваются вопросы гуманизации городской среды, обеспечения доступности зданий и сооружений для всех категорий лиц.

О принципе равного доступа физических и юридических лиц к приобретению в собственность водных объект

В статье обосновывается вывод о том, что исследуемый принцип водного права сформулирован некорректно, поскольку водные объекты (в том числе пруды и обводненные карьеры) в настоящий момент не являются самостоятельными объектами гра

Анализ порядка доступа объектов нефтедобычи и нефтепереработки к системам трубопроводного транспорта

Авторы исследуют основы правового регулирования наземного нефтепроводного транспорта Великобритании, специфику англо-саксонской правовой системы и ее влияние на регулирование трубопроводного транспорта, а также деятельность госуда

Методика оценки уровня доступности объектов для инвалидов и маломобильных групп населения с использо

В статье представлена методика оценки уровня доступности объектов с использованием бальной системы.

Найдено книг по теме — 1

Похожие термины:

Доступ к документации защищаемого объекта

Доступ к документации, содержащей сведения об особенностях построения и функционирования систем безопасности (техническим заданиям, проектам, актам обследования, инструкциям по эксплуатации, сх

УСЛОВИЯ ДОСТУПНОСТИ ОБЪЕКТОВ ИНЖЕНЕРНОЙ ИНФРАСТРУКТУРЫ

условия, обеспечивающие собственникам, владельцам, пользователям, арендаторам объектов недвижимости возможность использования сооружений и коммуникаций связи, водоснабжения, канализации, тепл

УСЛОВИЯ БЕСПРЕПЯТСТВЕННОГО ДОСТУПА ИНВАЛИДОВ К ОБЪЕКТАМ ИНЖЕНЕРНОЙ ТРАНСПОРТНОЙ И СОЦИАЛЬНОЙ ИНФРАСТРУКТУР

должны предусматриваться при градостроительном планировании и застройке городских и сельских поселений, разработке проектной документации для строительства, реконструкции зданий, строений и с

Перед любой организацией, которая имеет географически разнесенные локальные сети, рано или поздно встает вопрос, как надежно, безопасно и с минимальными затратами их объединить?

На сегодня альтернативой развертыванию собственной физической глобальной сети служит построение виртуальной частной сети (VPN).

Структура пакета IPSec

Ключевым фактором, влияющим на безопасность VPN, является то, что виртуальная сеть организации может разделять ресурсы транспортной сети с другими пользователями или Интернетом. Такая ситуация делает возможным вмешательство в функционирование VPN со стороны условного хакера, который находится в Интернете или в другой частной сети.

Таким образом, безопасность VPN во многом зависит от степени изоляции трафика частной сети и всего остального трафика, передающегося по транспортной сети.

Классифицировать VPN можно по-разному: исходя из назначения сетей, уровня функционирования относительно модели OSI, используемых протоколов. Мы будем отталкиваться от способа защиты пользовательского трафика: логическая изоляция средствами транспортной сети или криптографическая изоляция.

Виртуальные сети, которые строятся с применением криптографии, называют также защищенными VPN (Secure VPN), тогда как с логической изоляцией, в противовес защищенным, их именуют доверенными – Trusted VPN.

Рассмотрим перечисленные классы VPN более детально и проанализируем их сильные и слабые стороны с точки зрения безопасности. Подчеркнем, что в этой статье речь идет лишь о технологии VPN для объединения локальных сетей (LAN-to-LAN VPN). Решения безопасности для организации удаленного доступа пользователей к корпоративным сетям (Remote Access VPN) выходят за рамки нашей темы.

Криптографическая изоляция

В VPN с криптозащитой исходные IP-пакеты или фреймы канального уровня сначала шифруются, а после инкапсулируются в новые пакеты. Последние и пересылаются через незащищенную среду. По такому принципу работают протоколы IPSec, PPTP, SSL VPN. Дополнительно могут использоваться основанные на криптографии механизмы аутентификации сторон и проверки целостности передаваемых пакетов.

IPSec, безусловно, является самым популярным стандартом для создания корпоративных VPN-сетей и поддерживается большинством производителей сетевого оборудования и разработчиков операционных систем.

Для аутентификации и обмена криптографическими ключами определен протокол IKE (Internet Key Exchange). Дополнительно два протокола ESP (Encapsulating Security Payload) и AH (Authentication Header) обеспечивают защиту передаваемого потока. Чаще всего используется ESP, который отвечает за целостность и конфиденциальность передаваемых данных, в то время как AH гарантирует только целостность потока (передаваемые данные не шифруются).

Для связи между сетями IPSec обычно применяется в туннельном режиме с протоколом ESP. В этом случае VPN-шлюз A c одной стороны целиком шифрует исходный IP-пакет, далее к зашифрованному пакету добавляется новый IP-заголовок, в котором адрес получателя – это адрес VPN-шлюза Б, а адрес отправителя – адрес VPN-шлюза А. VPN-шлюз Б получает шифрованный пакет и выполняет обратную операцию – удаляет заголовки инкапсуляции и дешифрует оригинальный пакет.

По существу, между двумя шлюзами организовывается защищенный IP-туннель. Вместе с IPSec часто используются и другие протоколы туннелирования – GRE или L2TP, которые обеспечивают передачу поверх IPSec многоадресных рассылок (multicast), протоколов маршрутизации, инкапсуляцию протоколов второго уровня (к примеру, Ethernet).

На масштабируемость IPSec влияет быстрый рост числа туннелей при увеличение числа узлов в сети. Действительно, количество ребер в полносвязном графе равняется N(N–1):2, где N – число вершин графа. Таким образом, для того чтобы объединить в полносвязную сеть (full mesh) 500 площадок, понадобится настроить 124 750 туннелей. Для решения этой задачи возможны два подхода – либо VPN-сеть строится по топологии «звезда» с выделенным центром, либо используются расширения IPSec, позволяющие создавать туннели между площадками «по требованию». Пример такого расширения – протокол Dynamic Multipoint Virtual Private Network (DMVPN), который может динамически создавать туннели между сайтами при появлении соответствующего трафика.

На безопасность IPSec влияет множество факторов, и зачастую даже VPN-шлюзы с достаточно качественной реализацией протокола IPSec могут быть взломаны из-за неправильных настроек на этапе внедрения или эксплуатации.

Основные факторы, которые необходимо учитывать при выборе и внедрении решений IPSec VPN, это:

управление ключами;
надежность используемой криптографии;
безопасная реализация протоколов в VPN-продуктах;
защищенность VPN-сети от атак.

Управление ключами и аутентификация. Для аутентификации сторон и генерации сеансовых ключей шифрования при создании IPSec-туннеля используются либо заданные ключевые последовательности (pre-shared key), которые де-факто являются секретными ключами, либо цифровые сертификаты. В первом случае встает вопрос о конфиденциальности доставки этих ключей на удаленные сайты, периодической ротации, действиях при компрометации ключевой информации. Если для разных туннелей ключи разные, то возникает проблема по управлению столь большим их количеством. Если же ключ общий для всех узлов VPN-сети, то есть угроза компрометации всей сети из-за потери пароля на одном из сайтов. Поэтому для средних и больших сетей крайне рекомендуется использование цифровых сертификатов, которые лишены упомянутых недостатков.

Надежность криптографии. Сам стандарт IPSec не определяет конкретных криптоалгоритмов, а лишь дает платформу для применения криптографии и обмена ключами. На практике с IPSec наиболее часто применяются алгоритмы 3DES, AES для шифрования, SHA1, MD5 для хеш-функций, RSA, DSA и ECDSA для аутентификации. В Украине к ним добавляются ГОСТ 28147-89, ГОСТ 34.310-95, ГОСТ 34.311-95, ДСТУ 4145-2002.

На стойкость криптографии непосредственно влияет длина используемого ключа. На сегодняшний день для симметричных алгоритмов минимально приемлемая ее величина – 128 бит, для асимметричных алгоритмов – 1024 бита, для асимметричных алгоритмов на эллиптических кривых – 191 бит.

Стойкость всех перечисленных алгоритмов достаточна для коммерческого применения. На текущий момент криптоаналитики показывают лишь теоретические пути к взлому популярных алгоритмов, которые хоть и сокращают время подбора ключей, на практике все равно остаются малоприменимыми. Однако необходимо четко представлять, что стойкость большинства криптоалгоритмов недоказуема. Криптоалгоритм считается стойким, если не известны методики его «быстрого» взлома. Но то, что такие методики не найдены сегодня, не защищает от успешных атак в будущем. С другой стороны, вычислительная производительность также не стоит на месте. По прогнозам исследователей, RSA с длиной ключа 1024 бита удастся взломать через 5–10 лет.

Для вскрытия ключей хакерами могут использоваться вычислительные сети из сотен тысяч зараженных компьютеров. Любопытно и то, что современные игровые приставки и видеокарты имеют очень большой потенциал с точки зрения их применения в криптоанализе. Так, быстродействие Sony PlayStation 3 составляет 2,18 TFLOPS. Для сравнения, суперкомпьютер начального уровня от Cray выдает до 4 TFLOPS.

Безопасная реализация протоколов. Несмотря на то что протокол IPSec и криптоалгоритм могут быть достаточно надежными, ошибки при встраивании или дизайне могут приводить к уязвимостям в криптографических продуктах. Так, поиск по базе Common Vulnerabilities and Exposures (CVE) показывает 53 известных уязвимости и реализации IPSec в разных продуктах. В основном они приводят к DoS-атакам. Но ошиб- ки, к примеру, в генерации псевдослучайных чисел могут стать причиной значительной потери стойкости шифрования или даже раскрытия ключей.

Для проверки корректности реализации криптоалгоритмов и протоколов разработчики обычно применяют независимые экспертизы или сертификации. За рубежом существуют специализированные сертификации ICSA Labs и Federal Information Processing Standard (FIPS). В Украине также имеется государственная система сертификации и экспертизы средств криптозащиты.

Защищенность VPN-сети от атак. Как и любое другое сетевое устройство, IPSec-шлюзы могут стать объектом атаки. Особенно это актуально, если VPN строится поверх Интернета и к шлюзам есть публичный сетевой доступ. Наиболее часто шлюзы становятся объектом DoS- и DDoS-атак. Операции обмена ключами и аутентификации в IPSec достаточно ресурсоемки. Злоумышленник, даже не зная паролей доступа, сгенерировав несколько тысяч фальшивых IPSec-запросов, может на какое-то время заблокировать установление туннелей со стороны легитимных пользователей.

Поэтому выдвигаются рекомендации по ограничению сетевого доступа к VPN-шлюзу, включая:

фильтрацию доступных на VPN-шлюзе сетевых портов (для IPSec необходимы порты UDP/500, UDP/4500, протоколы ESP и AH);
ограничение IP-адресов, с которых можно устанавливать соединение (в случае, если адреса закреплены за IPSec-шлюзами статично);
ограничение количества запросов на IPSec-соединение с одного адреса в единицу времени.

Упомянем вкратце и другие протоколы для создания защищенных VPN.

Протокол PPTP (Point-to-Point Tunneling Protocol) разработан и опубликован как «информационный» RFC 2637 в 1999 г. и так и не был ратифицирован IETF. PPTP-трафик шифруется с помощью алгоритма MPPE (Microsoft Point-to-Point Encryption). Преимуществом PPTP является простота его настройки на рабочих станциях. Но этот протокол считается менее безопасным, чем IPSec. Так, Брюс Шнаер, известный эксперт в области безопасности, неоднократно указывал на принципиальные уязвимости его дизайна. Соответственно, если вы до сих пор используете PPTP и для вас важно обеспечить высокий уровень безопасности, то следует задуматься о переходе на IPSec или L2TP поверх IPSec.

SSL VPN обеспечивает туннелирование трафика поверх стандартного протокола TLS/SSL. В последнее время он стал популярным для организации удаленного доступа пользователей, но по-прежнему крайне редко применяется для связывания разнесенных сетей.

Ну и напоследок о правовых вопросах, связанных с криптографическими VPN. Во многих странах мира существуют ограничения на импорт/экспорт, производство и использование стойких средств криптозащиты. Аргументация подобных мер – защита национальных интересов и национальной безопасности. Так, в Украине действует Указ Президента № 505 еще 1998 г., который регламентирует, что для защиты конфиденциальной информации должны использоваться сертифицированные криптографические средства. Но в силу недосказанности законодательства все механизмы реализации этого Указа до конца не определены. Среди преимуществ протокола IPSec уже упоминалась его гибкость в части поддержки разных алгоритмов. Это открывает возможность добавления в IPSec поддержки национальных алгоритмов криптографии. К примеру, в нашей стране для маршрутизаторов Cisco был разработан и сертифицирован модуль, который как раз и реализует шифрование в соответствии с украинскими стандартами.

Логическая изоляция

В этом случае пользовательский трафик изолируется средствами транспортной сети. Ранее у операторов проводной связи пользовались популярностью технологии выделения логических L2-каналов «точка-точка» Frame Relay и ATM, но постепенно они были заменены протоколом MPLS (Multiprotocol Label Switching). Доступны и другие варианты логической изоляции – для беспроводных сетей поверх GPRS/UMTS, к примеру, возможно выделение виртуальной частной сети с отдельным идентификатором APN, для метросетей на базе технологии Ethernet осуществляется туннелирование на втором уровне (QinQ).

Напомним лишь, что MPLS основывается на коммутации меток. При получении пакета от пользовательского устройства (Customer Equipment, CE) входным граничным маршрутизатором оператора (Provider Edge, PE) к нему добавляется одна или несколько меток. Выбор маршрута пакета к выходному PE-маршрутизатору на транзитных узлах сети оператора связи (P-маршрутизаторах) осуществляется не путем разбора IP-адресов, а посредством анализа внешней метки. В случае MPLS VPN входным PE-маршрутизатором к пакету добавляется еще и внутренняя VPN-метка, которая уникально определяет номер клиентской VPN. С помощью внутренней метки выходной PE-маршрутизатор может из множества подключенных к нему CE, находящихся в разных MPLS VPN, выбрать искомое CE в нужном VPN.

Для MPLS-сети можно выделить три основных класса угроз:

проникновение пакетов или маршрутной информации из одной пользовательской VPN в другую;
атаки типа DoS на операторскую сеть либо пользовательскую VPN;
прослушивание пользовательского трафика в сети оператора связи.

При корректной настройке PE-маршрутизаторов можно практически полностью исключить угрозы, связанные с проникновением пакетов между VPN или DoS-атаками. Действительно, именно PE первоначально присваивает метки входящим пакетам. Со стороны пользовательского интерфейса повлиять на выбор метки не представляется возможным. Если метка присвоена корректно, то операторская сеть доставит пакет до нужного получателя. Аналогичным путем с помощью фильтрации и ограничения пользовательского трафика и маршрутных обновлений на входе PE-устройства обеспечивается защита от DoS-атак. Таким образом, можно без опасений передавать интернет-трафик и конфиденциальную информацию в разных частных подсетях, не опасаясь влияния одной VPN на другую.

Хотя технология MPLS защищает пользователей частных сетей друг от друга, она не в силах обезопасить пользовательский трафик от целенаправленного перехвата. Если злоумышленник имеет административные права или физический доступ к сети передачи данных, он в состоянии «отзеркалить» и записать любой трафик, который передается в открытом виде. Разумеется, оператор связи может организационно-техническими средствами уменьшить вероятность нелегитимного прослушивания, но полностью исключить перехват ему не удастся. Поэтому при передаче чувствительной информации желательно совмещать логическую изоляцию с шифрованием между пользовательскими устройствами. Традиционно для этой задачи применяется IPSec поверх MPLS VPN. Но IPSec-туннели «точка-точка» сводят на нет преимущества MPLS, такие как поддержки многоадресных рассылок и возможность создания полносвязных частных сетей уровней L2 или L3. Поэтому совместно с MPLS предпочтительнее использовать технологию шифрованного транспорта GET VPN, которая задействует IPSec, но без необходимости организации туннелей.

В заключение хочется отметить, что все технологии виртуальных частных сетей обеспечивают лишь защищенный туннель, который соединяет разнесенные площадки корпоративной сети. Но через эту «трубу» между филиалами могут распространяться и вредоносный код, и внутренние атаки. Поэтому политики безопасности многих организаций рассматривают VPN-каналы как внешние и требуют дополнительного контроля доступа и анализа безопасности трафика, передаваемого по виртуальной частной сети.

Кого атакуют?

По данным ЦБ, в 2016 году количество DDoS-атак на российские финансовые организации увеличилось почти вдвое. В ноябре DDoS-атаки были направлены на пять крупных российских банков. В конце прошлого года ЦБ сообщал о DDoS-атаках на финансовые организации, в том числе Центральный банк. «Целью атак было нарушение работы сервисов и, как следствие, подрыв доверия к этим организациям. Данные атаки были примечательны тем, что это было первое масштабное использование в России интернета вещей. В основном в атаке были задействованы интернет-видеокамеры и бытовые роутеры», — отмечали в службах безопасности крупных банков.

При этом DDoS-атаки существенного ущерба банкам не принесли – они неплохо защищены, поэтому такие атаки, хотя и доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Тем не менее, можно констатировать, что антибанковская активность хакеров значительно увеличилась.

В феврале 2017 года технические службы Минздрава России отразили самую масштабную за последние годы DDoS-атаку, которая в пиковом режиме достигала 4 миллионов запросов в минуту. Предпринимались и DDoS-атаки на государственные реестры, но они также были безуспешны и не привели к каким-либо изменениям данных.

Однако жертвами DDoS-атак становятся как многочисленные организации и компании, на обладающие столь мощной «обороной». В 2017 году ожидается рост ущерба от киберугроз – программ-вымогателей, DDoS и атак на устройства интернета вещей.

Устройства IoT приобретают все большую популярность в качестве инструментов для осуществления DDoS-атак. Знаменательным событием стала предпринятая в сентябре 2016 года DDoS-атака с помощью вредоносного кода Mirai. В ней в роли средств нападения выступили сотни тысяч камер и других устройств из систем видеонаблюдения.

Она была осуществлена против французского хостинг-провайдера OVH. Это была мощнейшая DDoS-атака – почти 1 Тбит/с. Хакеры с помощью ботнета задействовали 150 тыс. устройств IoT, в основном камеры видеонаблюдения. Атаки с использованием ботнета Mirai положили начало появлению множества ботнетов из устройств IoT. По мнению экспертов, в 2017 году IoT-ботнеты по-прежнему будут одной из главных угроз в киберпространстве.

По данным отчета «2016 Verizon data breach incident report» (DBIR), в прошлом году количество DDoS-атак заметно выросло. В мире больше всего страдает индустрия развлечений, профессиональные организации, сфера образования, ИТ, ритейл.

Примечательная тенденция DDoS-атак – расширения «списка жертв». Он включает теперь представителей практически всех отраслей. Кроме того, совершенствуются методы нападения.
По данным Nexusguard, в конце 2016 года заметно выросло число DDoS-атак смешанного типа — с использованием сразу нескольких уязвимостей. Чаще всего им подвергались финансовые и государственные организации. Основной мотив кибепреступников (70% случаев) – кража данных или угроза их уничтожения с целью выкупа. Реже – политические или социальные цели. Вот почему важна стратегия защиты. Она может подготовиться к атаке и минимизировать ее последствия, снизить финансовые и репутационные риски.

Последствия атак

Каковы последствия DDoS-атаки? Во время атаки жертва теряет клиентов из-за медленной работы или полной недоступности сайта, страдает репутация бизнеса. Сервис-провайдер может заблокировать IP-адрес жертвы, чтобы минимизировать ущерб для других клиентов. Чтобы все восстановить, потребуется время, а возможно и деньги.

По данным опроса компании HaltDos, DDoS-атаки рассматриваются половиной организаций как одна из самых серьезных киберугроз. Опасность DDoS даже выше, чем опасность несанкционированного доступа, вирусов, мошенничества и фишинга, не говоря о прочих угрозах.

Средние убытки от DDoS-атак оцениваются по миру в 50 тыс. долларов для небольших организаций и почти в 500 тыс. долларов для крупных предприятий. Устранение последствий DDoS-атаки потребует дополнительного рабочего времени сотрудников, отвлечения ресурсов с других проектов на обеспечение безопасности, разработки плана обновления ПО, модернизации оборудования и пр.

Репутация атакованной организации может пострадать не только из-за плохой работы сайта, но и из-за кражи персональных данных или финансовой информации.

По данным опроса компании HaltDos, количество DDoS-атак растет ежегодно на 200%, ежедневно в мире сообщают о 2 тыс. атаках такого типа. Стоимость организации DDoS-атаки недельной продолжительности – всего порядка 150 долларов, а потери жертвы в среднем превышают 40 тыс. долларов в час.

Типы DDoS-атак

Основные типы DDoS-атак: массированные атаки, атаки на протокольном уровне и атаки на уровне приложений. В любом случае цель состоит в том, чтобы вывести сайт из строя или же украсть данные. Другой вид киберпреступлений – угроза совершения DDoS-атаки для получения выкупа. Этим славятся такие хакерские группировки как Armada Collective, Lizard Squad, RedDoor и ezBTC.

Организация DDoS-атак заметно упростилась: сейчас есть широко доступные автоматизированные инструменты, практически не требующие от киберпреступников специальных знаний. Существуют и платные сервисы DDoS для анонимной атаки цели. Например, сервис vDOS предлагает свои услуги, не проверяя, является ли заказчик владельцем сайта, желающим протестировать его «под нагрузкой», или это делается с целью атаки.

Многовекторные атаки составляют порядка 27% от общего числа атак DDoS.

В случае массовой DDoS-атаки (volume based) используется большое количество запросов, нередко направляемых с легитимных IP-адресов, чтобы сайт «захлебнулся» в трафике. Цель таких атак – «забить» всю доступную полосу пропускания и перекрыть легитимный трафик.

В случае атаки на уровне протокола (например, UDP или ICMP) целью является исчерпание ресурсов системы. Для этого посылаются открытые запросы, например, запросы TCP/IP c поддельными IP, и в результате исчерпания сетевых ресурсов становится невозможной обработка легитимных запросов. Типичные представители — DDoS-атаки, известные в узких кругах как Smurf DDos, Ping of Death и SYN flood. Другой вид DDoS-атак протокольного уровня состоит в отправке большого числа фрагментированных пакетов, с которыми система не справляется.

DDoS-атаки Layer 7 – это отправка безобидных на вид запросов, которые выглядят как результат обычных действий пользователей. Обычно для их осуществления используют ботнеты и автоматизированные инструменты. Известные примеры — Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

В 2012–2014 годах большинство массированных DDoS-атак были атаками типа Stateless (без запоминания состояний и отслеживания сессий) – они использовали протокол UDP. В случае Stateless в одной сессии (например, открытие страницы) циркулирует много пакетов. Кто начал сессию (запросил страницу), Stateless-устройства, как правило, не знают.

Тот же метод работает для серверов NTP, устройств с поддержкой SSDP. Протокол NTP – едва ли не самый популярный метод: во второй половине 2016 года он использовался в 97,5% DDoS-атак.
Правило Best Current Practice (BCP) 38 рекомендует провайдерам конфигурировать шлюзы для предотвращения спуфинга – контролируется адрес отправителя, исходная сеть. Но такой практике следуют не все страны. Кроме того, атакующие обходят контроль BCP 38, переходя на атаки типа Stateful, на уровне TCP. По данным F5 Security Operations Center (SOC), в последние пять лет такие атаки доминируют. В 2016 году TCP-атак было вдвое больше, чем атак с использованием UDP.

К атакам Layer 7 прибегают в основном профессиональные хакеры. Принцип следующий: берется «тяжелый» URL (с файлом PDF или запросом к крупной БД) и повторяется десятки или сотни раз в секунду. Атаки Layer 7 имеют тяжелые последствия и трудно распознаются. Сейчас они составляют около 10% DDoS-атак.

Соотношение разных типов DDoS-атак по данным отчета Verizon Data Breach Investigations Report (DBIR) (2016 год).

Нередко DDoS-атаки приурочивают к периодам пикового трафика, например, к дням интернет-распродаж. Большие потоки персональных и финансовых данных в это время привлекают хакеров.

DDoS-атаки на DNS

Доменная система имен (Domain Name System, DNS) играет фундаментальную роль в производительности и доступности сайта. В конечном счете – в успехе вашего бизнеса. К сожалению, инфраструктура DNS часто становится целью DDoS-атак. Подавляя инфраструктуру DNS, злоумышленники могут нанести ущерб вашему сайту, репутации вашей компании и повлиять ее финансовые показатели. Чтобы противостоять современным угрозам, инфраструктура DNS должна быть весьма устойчивой и масштабируемой.

По существу DNS – распределенная база данных, которая, кроме всего прочего, ставит в соответствие удобные для чтения имена сайтов IP-адресам, что позволяет пользователю попасть на нужный сайт после ввода URL. Первое взаимодействие пользователя с сайтом начинается с DNS-запросов, отправляемых на сервер DNS с адресом интернет-домена вашего сайта. На их обработку может приходиться до 50% времени загрузки веб-страницы. Таким образом, снижение производительности DNS может приводить к уходу пользователей с сайта и потерям для бизнеса. Если ваш сервер DNS перестает отвечать в результате DDoS-атаки, то на сайт никто попасть не сможет.

DDoS-атаки трудно обнаружить, особенно вначале, когда трафик выглядит нормальным. Инфраструктура DNS может подвергаться различным типам DDoS-атак. Иногда это прямая атака на серверы DNS. В других случаях используют эксплойты, задействуя системы DNS для атаки на другие элементы ИТ-инфраструктуры или сервисы.

При атаках DNS Reflection цель подвергается массированным подложным ответам DNS. Для этого применяют бот-сети, заражая сотни и тысячи компьютеров. Каждый бот в такой сети генерирует несколько DNS-запросов, но в качестве IP источника использует один и тот же IP-адрес цели (спуфинг). DNS-сервис отвечает по этому IP-адресу.

Предположим, атакующий выдал 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт). Если каждый ответ содержит 1 Кбайт, то в сумме это уже 100 Мбайт. Отсюда и название – Amplification (усиление). Комбинация атак DNS Reflection и Amplification может иметь очень серьезные последствия.

Как защититься от DDoS-атак?

Как же защититься от DDoS-атак, какие шаги предпринять? Прежде всего, не стоит откладывать это «на потом». Какие-то меры следует принимать во внимание при конфигурировании сети, запуске серверов и развертывании ПО. И каждое последующее изменение не должно увеличивать уязвимость от DDoS-атак.

Защита DNS

А как защитить инфраструктуру DNS от DDoS-атак? Обычные файрволы и IPS тут не помогут, они бессильны против комплексной DDoS-атаки на DNS. На самом деле брандмауэры и системы предотвращения вторжений сами являются уязвимыми для атак DDoS.

На выручку могут прийти облачные сервисы очистки трафика: он направляется в некий центр, где проверяется и перенаправляется обратно по назначению. Эти услуги полезны для TCP-трафика. Те, кто сами управляют своей инфраструктурой DNS, могут для ослабления последствий DDoS-атак принять следующие меры.

В случае Unicast каждый из серверов DNS вашей компании получает уникальный IP-адрес. DNS поддерживает таблицу DNS-серверов вашего домена и соответствующих IP-адресов. Когда пользователь вводит URL, для выполнения запроса выбирается один из IP-адресов в случайном порядке.

При схеме адресации Anycast разные серверы DNS используют общий IP-адрес. При вводе пользователем URL возвращается коллективный адрес серверов DNS. IP-сеть маршрутизирует запрос на ближайший сервер.

Anycast предоставляет фундаментальные преимущества перед Unicast в плане безопасности. Unicast предоставляет IP-адреса отдельных серверов, поэтому нападавшие могут инициировать целенаправленные атаки на определенные физические серверы и виртуальные машины, и, когда исчерпаны ресурсы этой системы, происходит отказ службы. Anycast может помочь смягчить DDoS-атаки путем распределения запросов между группой серверов. Anycast также полезно использовать для изоляции последствий атаки.

Средства защиты от DDoS-атак, предоставляемые провайдером

Проектирование, развертывание и эксплуатации глобальной Anycast-сети требует времени, денег и ноу-хау. Большинство ИТ-организаций не располагают для этого специалистами и финансами. Можно доверить обеспечение функционирования инфраструктуры DNS провайдеру – поставщику управляемых услуг, который специализируется на DNS. Они имеют необходимые знания для защиты DNS от DDoS-атак.

Поставщики услуг Managed DNS эксплуатируют крупномасштабные Anycast-сети и имеют точки присутствия по всему миру. Эксперты по безопасности сети осуществляют мониторинг сети в режиме 24/7/365 и применяют специальные средства для смягчения последствий DDoS-атак.

Услуги защиты от DDoS-атак предлагают и некоторые поставщики услуг хостинга: анализ сетевого трафика производится в режиме 24/7, поэтому ваш сайт будет в относительной безопасности. Такая защита способна выдержать мощные атаки — до 1500 Гбит/сек. Оплачивается при этом трафик.

Еще один вариант – защита IP-адресов. Провайдер помещает IP-адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке трафик к клиенту сопоставляется с известными шаблонами атак. В результате клиент получает только чистый, отфильтрованный трафик. Таким образом, пользователи сайта могут и не узнать, что на него была предпринята атака. Для организации такого создается распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика.

Результатом использования сервисов защиты от DDoS-атак будет своевременное обнаружение и предотвращение DDoS-атак, непрерывность функционирования сайта и его постоянная доступность для пользователей, минимизация финансовых и репутационных потерь от простоев сайта или портала.

Читайте также: