Conseil n°1 – Bien Dimensionner Son Accès Internet
La première phase de la mise en place d’une infrastructure résistante aux DDoS consiste à s’assurer que la bande passante n’est pas le point faible.
Bien qu’il n’y ait aucun moyen concret d’anticiper le volume d’une attaque en DDoS par un attaquant déterminé, en prévoyant une bande passante Internet capable de soutenir un pic (burst) de 100Mbit/ sec, voire de 1Gbit/sec, vous pouvez largement limiter le risque qu’une attaque de type « inondation » (flood) visant à saturer votre accès puisse avoirles effets néfastes escomptés.
Conseil n°2 – Déployer Une Protection Périmétrique
Lorsque vous envisagez de protéger vos applications web contre les attaques en déni de service, l’emplacement physique de la technologie “Anti-DDoS” est une considération essentielle. La meilleure place pour le déployer est à la périphérie externe de votre réseau, entre les routeurs de bordures et les pare-feu, les DMZ et les autres routeurs internes.
Les solutions de Corero seront votre toute première ligne de défense connectée en Ethernet. En raison des performances extrêmement élevées des équipements Top Layer IPS & DDS, de leur très faible latence et de leur complète transparence par rapport aux équipements environnants, ils ne peuvent pas être visés et ne deviendront pas le goulot d’étranglement même lors des attaques DDoS les plus conséquentes. Une foisl’IPS ou le DDS installé en tant que solution de sécurité périphérique, une diminution du trafic non-sollicité, appelé « bruit DDOS » (DDoS Noise), est immédiatement observée sur l’ensemble des équipements en aval (routeurs, pare-feu, commutateurs). Cela conduit à une diminution instantanée, par un pourcentage généralement à 2 chiffres, du taux d’utilisation des processeurs habituellement observé (temps CPU) sur les ressources désormais protégées.
Placé en amont des applications et des équipements, l’IPS ou le DDS réduira donc radicalement les effets d’une attaque en DDoS.
Conseil n°3 – Prendre Le Temps De Paramétrer
Une autre phase importante consiste à investir un peu de temps dans le réglage de l’IPS ou du DDS afin d’inspecter correctement les types de trafic & protocoles utilisés. En sachant quel trafic doit être bloqué et quel trafic est légitime, vous pouvez utiliser les fonctions d’éviction (shunning) et de parefeu de l’équipement, bloquant ainsi toute personne et tout élément n’ayant pas le droit d’accéder aux services réseaux. L’équipement pourra ainsi, par exemple, interdire le protocole TCP sur le port 25 vers un serveur web ne gérant pas d’email.
De la même manière, il n’y a aucune raison pour autoriser le trafic provenant d’entités inamicales basées dans des parties du monde où vous n’avez pas d’activité. Les fonctions de shunning et de parefeu des équipements Corero sont effectuées au niveau matériel, permettant ainsi d’éliminer de très grandes quantités de trafic illégitime,réduisant d’autantla charge CPU des équipements en aval.
Conseil n°4 – Douter De Chaque Client
Une fois le trafic non-sollicité et les adresses IP inconnues bloqués grâce aux capacités matérielles de l’équipement Corero (Conseil n°3), l’exigence suivante est de remettre en cause toute machine cliente (utilisateur) tentant d’accéder, soit au réseau, soit à ses applications ou ses ressources.
Pour ce faire, l’IPS ou DDS utilise ses mécanismes brevetés de défense multi-phases contre le SYN Flood pour chaque connexion utilisateur. L’une des phases de protection des IPS & DDS de Corero met en œuvre un proxy SYN permettant de distinguer les utilisateurs légitimes des autres en obligeant une initialisation complète de la session avec la machine cliente avant d’autoriserson trafic à allerjusqu’au serveur.
Si le client ne peut pas réaliser complètement cette opération avec le mécanisme de proxy SYN de l’IPS ou du DDS, il n’y a aucune de raison d’autoriser le trafic à entrer dans le réseau : l’adresse IP pourrait être usurpée. Cette fonction permet aussi de se prémunir des scans de ports et de la plupart des tentatives de découverte réseau
Conseil n°5 – Bloquer Le Trafic “Impromptu”
Les solutions Corero IPS/DDS étant entièrement “stateful”, l’équipement maintient un état pour tout trafic TCP le traversant, bloquant ainsitout paquet ne respectant pasla progression de l’état TCP, c’est- à-dire arrivant « inopinément », par exemple sans avoir préalablement initié une connexion TCP valide. Ainsi, tout trafic fortuit provenant d’un équipement tentant de surcharger une ressource avec des paquets de type ACK, FIN (ou tout autre type de paquets incohérents au regard de la table d’état de la session) sera purement et simplement éliminé avant même d’entrer sur le réseau protégé.
Tant que l’équipement Corero inspecte tout le trafic entrant et sortant d’un environnement, aucun trafic de ce type ne sera autorisé à pénétrer. Cette fonctionnalité de « blocage du trafic «inopiné» » doittoujours être activée sur l’IPS ou le DDS lors d’une utilisation en protection contre les DDoS, car elle permet non seulement le blocage des attaques DDoS «sans état» (Stateless DDoS Attacks) mais également d’identifier des chemins d’accès à votre réseau qui devraient être interdits. Lorsque du trafic arrive,son état dans la table des sessions est vérifié par l’équipement Corero. Si aucune session n’existe, il sera bloqué et n’atteindra pas les équipements et applications protégés.
Conseil n°6 – Limiter Les Connexions TCP
Un même client ayant des centaines de connexions TCP (sessions) ouvertes avec le serveur auquel il accède peut indiquer une attaque en DDoS. La plupart des applications n’ont en effet besoin que d’un tout petit nombre de connexions TCP simultanées client/serveur et, dans la plupart des cas, ces connexions TCP se ferment normalement aussi rapidement qu’elles s’ouvrent. Cependant, dans de nombreuses attaques DDoS, des clients ont chacun des centaines de connexions ouvertes sur un même serveur, ne cherchant qu’à utiliser au maximum ses ressources système limitées.
Ces connexions doivent être réduites au minimum requis pour le fonctionnement normal de l’application. Si une entité ne sait pas évaluer le nombre de connexions ouvertes et fermées, par exemple lors de la visite d’une page web, la solution Corero pourra aider à déterminer le nombre de connexions utilisées en temps normal. Une fois cette valeur déterminée, ilsuffira d’utiliserlesfonctions natives du Top LayerIPS/DDS pourlimiter le nombre total de connexions TCP entrantes simultanées autorisées pour un même client
Conseil n°7 – Limiter Les “GETs”
Les « attaques HTTP GET » sont souvent utilisées comme attaques DoS/DDoS de niveau 7, avec comme objectif de créer une situation de déni de service. Cependant, elles peuvent également être utilisées pour récolter des données sur les sites web, via des robots de collecte automatique, ou pour tenter des transactions frauduleuses par force brute. En plus des conséquences évidentes, ces attaques peuvent également générer une charge excessive sur les serveurs applicatifs, conduisant à une dégradation des performances, voire une interruption de service.
Ce type d’attaques, devenu l’un des plus fréquent au cours des 4 dernières années, est difficile à contrer avec les infrastructures de sécurité traditionnelles (IPS standard, pare-feu, y compris « NG » et à contrôle d’application ou d’utilisateur «Application &/or User aware »). Les équipements IPS et DDS Corero disposent de l’implémentation d’une analyse comportementale du client (Requestor Behavioral Analysis ou Analyse Comportementale du Demandeur), basée sur des Notes de Démérite et optimisée pour lutter contre les attaques DDoS de type applicatif.
Source: Universelweb