Sept conseils efficaces de protection anti

Sept conseils efficaces de protection
anti-DDoS pour l’entreprise
Corero Network Security recommande aux Entreprises de se préparer aux attaques par déni de
service (DDoS) en mettant en place un Plan de Continuité d’Activité DDoS, incluant :
•La souscription à l’option “anti-DDoS” auprès de vos fournisseurs d’accès Internet ;
•L’Instauration d’une relation avec un service spécialisé de limitation du DDoS en mode « Cloud » ;
•L’implémentation sur site des technologies de Défense anti-DDoS Corero afin de créer une infrastructure efficace et résistante à toutes les formes de DDoS – pas seulement celles basées sur
la saturation de la bande passante – en utilisant, soit un équipement de prévention d’intrusion
(IPS), soit une solution de défense anti-DDoS (DDoS Defense System – DDS).
Voici quelques conseils utiles po
Conseil n°1 – Bien Dimensionner Son Accès Internet
La première phase de la mise en place d’une infrastructure résistante aux DDoS consiste à s’assurer que
la bande passante n’est pas le point faible.
Bien qu’il n’y ait aucun moyen concret d’anticiper le volume d’une attaque en DDoS par un attaquant
déterminé, en prévoyant une bande passante Internet capable de soutenir un pic (burst) de 100Mbit/
sec, voire de 1Gbit/sec, vous pouvez largement limiter le risque qu’une attaque de type « inondation »
(flood) visant à saturer votre accès puisse avoir les effets néfastes escomptés.
Conseil n°2 – Déployer Une Protection Périmétrique
Lorsque vous envisagez de protéger vos applications web contre les attaques en déni de service,
l’emplacement physique de la technologie “Anti-DDoS” est une considération essentielle. La meilleure
place pour le déployer est à la périphérie externe de votre réseau, entre les routeurs de bordures et les
pare-feu, les DMZ et les autres routeurs internes.
Les solutions de Corero seront votre toute première ligne de défense connectée en Ethernet. En raison des
performances extrêmement élevées des équipements Top Layer IPS & DDS, de leur très faible latence et
de leur complète transparence par rapport aux équipements environnants, ils ne peuvent pas être visés
et ne deviendront pas le goulot d’étranglement même lors des attaques DDoS les plus conséquentes.
Une fois l’IPS ou le DDS installé en tant que solution de sécurité périphérique, une diminution du trafic
non-sollicité, appelé « bruit DDOS » (DDoS Noise), est immédiatement observée sur l’ensemble des
équipements en aval (routeurs, pare-feu, commutateurs). Cela conduit à une diminution instantanée,
par un pourcentage généralement à 2 chiffres, du taux d’utilisation des processeurs habituellement
observé (temps CPU) sur les ressources désormais protégées.
Placé en amont des applications et des équipements, l’IPS ou le DDS réduira donc radicalement les
effets d’une attaque en DDoS.
Conseil n°3 – Prendre Le Temps De Paramétrer
Une autre phase importante consiste à investir un peu de temps dans le réglage de l’IPS ou du DDS
afin d’inspecter correctement les types de trafic & protocoles utilisés. En sachant quel trafic doit être
bloqué et quel trafic est légitime, vous pouvez utiliser les fonctions d’éviction (shunning) et de parefeu de l’équipement, bloquant ainsi toute personne et tout élément n’ayant pas le droit d’accéder aux
services réseaux. L’équipement pourra ainsi, par exemple, interdire le protocole TCP sur le port 25 vers
un serveur web ne gérant pas d’email.
De la même manière, il n’y a aucune raison pour autoriser le trafic provenant d’entités inamicales
basées dans des parties du monde où vous n’avez pas d’activité. Les fonctions de shunning et de parefeu des équipements Corero sont effectuées au niveau matériel, permettant ainsi d’éliminer de très
grandes quantités de trafic illégitime, réduisant d’autant la charge CPU des équipements en aval.
Conseil n°4 – Douter De Chaque Client
Une fois le trafic non-sollicité et les adresses IP inconnues bloqués grâce aux capacités matérielles de
l’équipement Corero (Conseil n°3), l’exigence suivante est de remettre en cause toute machine cliente
(utilisateur) tentant d’accéder, soit au réseau, soit à ses applications ou ses ressources.
Pour ce faire, l’IPS ou DDS utilise ses mécanismes brevetés de défense multi-phases contre le SYN Flood
pour chaque connexion utilisateur. L’une des phases de protection des IPS & DDS de Corero met en
œuvre un proxy SYN permettant de distinguer les utilisateurs légitimes des autres en obligeant une
initialisation complète de la session avec la machine cliente avant d’autoriser son trafic à aller jusqu’au
serveur.
Si le client ne peut pas réaliser complètement cette opération avec le mécanisme de proxy SYN de
l’IPS ou du DDS, il n’y a aucune de raison d’autoriser le trafic à entrer dans le réseau : l’adresse IP
pourrait être usurpée. Cette fonction permet aussi de se prémunir des scans de ports et de la plupart
des tentatives de découverte réseau.
our la mise en place de ce plan :
Conseil n°5 – Bloquer Le Trafic “Impromptu”
Les solutions Corero IPS/DDS étant entièrement “stateful”, l’équipement maintient un état pour tout
trafic TCP le traversant, bloquant ainsi tout paquet ne respectant pas la progression de l’état TCP, c’està-dire arrivant « inopinément », par exemple sans avoir préalablement initié une connexion TCP valide.
Ainsi, tout trafic fortuit provenant d’un équipement tentant de surcharger une ressource avec des
paquets de type ACK, FIN (ou tout autre type de paquets incohérents au regard de la table d’état de
la session) sera purement et simplement éliminé avant même d’entrer sur le réseau protégé. Tant que
l’équipement Corero inspecte tout le trafic entrant et sortant d’un environnement, aucun trafic de ce
type ne sera autorisé à pénétrer. Cette fonctionnalité de « blocage du trafic «inopiné» » doit toujours
être activée sur l’IPS ou le DDS lors d’une utilisation en protection contre les DDoS, car elle permet
non seulement le blocage des attaques DDoS «sans état» (Stateless DDoS Attacks) mais également
d’identifier des chemins d’accès à votre réseau qui devraient être interdits. Lorsque du trafic arrive, son
état dans la table des sessions est vérifié par l’équipement Corero. Si aucune session n’existe, il sera
bloqué et n’atteindra pas les équipements et applications protégés.
Conseil n°6 – Limiter Les Connexions TCP
Un même client ayant des centaines de connexions TCP (sessions) ouvertes avec le serveur auquel il
accède peut indiquer une attaque en DDoS. La plupart des applications n’ont en effet besoin que
d’un tout petit nombre de connexions TCP simultanées client/serveur et, dans la plupart des cas, ces
connexions TCP se ferment normalement aussi rapidement qu’elles s’ouvrent. Cependant, dans de
nombreuses attaques DDoS, des clients ont chacun des centaines de connexions ouvertes sur un même
serveur, ne cherchant qu’à utiliser au maximum ses ressources système limitées. Ces connexions doivent
être réduites au minimum requis pour le fonctionnement normal de l’application. Si une entité ne sait
pas évaluer le nombre de connexions ouvertes et fermées, par exemple lors de la visite d’une page web,
la solution Corero pourra aider à déterminer le nombre de connexions utilisées en temps normal. Une
fois cette valeur déterminée, il suffira d’utiliser les fonctions natives du Top Layer IPS/DDS pour limiter
le nombre total de connexions TCP entrantes simultanées autorisées pour un même client
Conseil n°7 – Limiter Les “GETs”
Les « attaques HTTP GET » sont souvent utilisées comme attaques DoS/DDoS de niveau 7, avec comme
objectif de créer une situation de déni de service. Cependant, elles peuvent également être utilisées
pour récolter des données sur les sites web, via des robots de collecte automatique, ou pour tenter des
transactions frauduleuses par force brute. En plus des conséquences évidentes, ces attaques peuvent
également générer une charge excessive sur les serveurs applicatifs, conduisant à une dégradation
des performances, voire une interruption de service. Ce type d’attaques, devenu l’un des plus
fréquent au cours des 4 dernières années, est difficile à contrer avec les infrastructures de sécurité
traditionnelles (IPS standard, pare-feu, y compris « NG » et à contrôle d’application ou d’utilisateur
«Application &/or User aware »). Les équipements IPS et DDS Corero disposent de l’implémentation
d’une analyse comportementale du client (Requestor Behavioral Analysis ou Analyse Comportementale
du Demandeur), basée sur des Notes de Démérite et optimisée pour lutter contre les attaques DDoS de
type applicatif.
A propos de Corero
Corero Network Security, anciennement Top Layer Security, est un fournisseur leader mondial des systèmes de prévention des intrusions réseaux (IPS) et de défense contre les attaques de déni de service
distribuée (DDS) qui permettent aux entreprises de protéger leurs ressources critiques, mises en ligne,
contre les risques associés aux cyber-menaces réseaux. Corero Network Security a son siège dans le Massachusetts aux Etats-Unis et la société fournit solutions et services dans le monde entier.