Operation Payback megelőző intézkedések

A WikiLeaks miatt kirobbant kiberháborúnak több nagyobb nemzetközi pénzintézet is áldozatul esett az elmúlt napokban. Az Operation Payback névre keresztelt akció első számú fegyvere egy, már több platformon is elérhető program (LOIC), amelynek egyidejű használata esetén komoly terheléses támadás hajtható végre az Interneten. Míg korábban a DDoS támadásokat jellemzően kompromittált gépek segítségével hajtották végre a támadók, addig az Operation Payback akcióval szimpatizálók önkéntesen, komolyabb szakmai hozzáértés nélkül csatlakozhatnak a rosszindulatú tevékenységhez.

ARBORNetworks által összegyűjtött követekező tippgyűjtemény segíthet felkészülni a rendszergazdáknak, hálózati szakembereknek az elosztott terheléses támadások (DDoS) elleni  felkészülésben, esetleges következmények, hatások enyhítésében.

1. Kerülje az állapot megörző tűzfalak (stateful) és a behatolást megakadályozó rendszerek (IPS) közvetlen szerverek előtti használatát. Helyettük célszerű a hardveres routerek és switchek ACL konfigurációs adta lehetőségeit kihasználni és hálózat-hozzáférési szabályokat beállítani. Ahol a PCI DSS szabvány előírja alkalmazás szintű tűzfalak használatát, ott telepítse az Apache webszerverekhez elérhető mod_security modult. IIS-hez és más webszerverekhez is léteznek hasonló eszközök.

2. Az ACL szabályok konfigurálásakor csak a szükséges portokat és protokollokat engedélyezze. Például egy tipikus webszerver a TCP/80 és TCP/443 portokat használja. Egy DNS szerver az UDP/53 és TCP/53 portokon kommunikál.

3. Bizonyosodjon meg affelől, hogy az UDP/80-as port tiltva van a szerverek felé, valamint arról, hogy semmi nem fut ezen a porton.

4. Reverz proxy gyorsítótárral (pl. Squid) ellátott webszerver farmot szervezzük fürtbe a WCCP v2 segítségével. A protokoll segítségével csökkenthető a szerverek terheltsége, valamint  blokkolhatóak a rosszindulatú HTTP kérések, forgalmak. A WCCP automatikusan blokkolja az alap LOIC támadást, mivel a LOIC nem megfelelő HTTP kéréseket állít elő, vagyis csak szemetel a TCP/80-as porton. A proxy-cache farmokat célszerű load balancer vagy egyéb más állapottartó eszközök elé tenni.

5. Implementálja Netflow / jflow / cflowd / NetStream / sFlow / stb. routing / switching infrastruktúrákból open-source/kereskedelmi gyűjtő és elemző rendszerekbe átemelt telemetria rendszereket, detektálás, osztályozás és visszakövetés céljából.

6. A támadások enyhítésének érdekében alkalmazzon RTBH és IDMS megoldásokat. Ezeket a rendszereket ajánlott a web, DNS, SMTP, web cache farm és egyéb más kívülről elérhető  szolgáltatásokat biztosító szerverek elé helyezni. Amennyiben az állapot megörző tűzfalak és az IPS rendszerek technikai vagy egyéb más okok miatt nem távolíthatóak el a rendszerből, szintén javallott RTBH vagy IDMS eszközökkel védeni azokat. Load balancer használata esetén szintén erősen ajánlott az említettek használata.

7. Válassza külön az authoritatív és rekurzív/cache DNS szerver funkciókat.

További részletes információkat a következő linkeken talál:
https://files.me.com/roland.dobbins/y4ykq0
https://files.me.com/roland.dobbins/k54qkv
https://files.me.com/roland.dobbins/9i8xwl
https://files.me.com/roland.dobbins/prguob
https://files.me.com/roland.dobbins/k4zw3x
https://files.me.com/roland.dobbins/dweagy