Protecting Against Application DDoS Attacks with BIG

Dossier Technique
Protéger vos applications contre
les attaques de DDoS :
la sécurité en trois étapes
Les applications sont de plus en plus touchées par des
attaques de DDoS initiées par des groupes d’individus
décidés à endommager les applications web en les saturant.
La solution BIG-IP ASM de F5 sait protéger la couche
applicative contre ces attaques.
Ecrit par Or Katz
Ingénieur Sécurité
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
Sommaire
Introduction3
Sécuriser les applications en trois étapes 4
Etape 1 : détecter qu’une application est en train d’être attaquée
4
Etape 2 : identifier les informations relatives à l’attaquant
6
Etape 3 : limiter les conséquences d’une attaque
7
Reporting8
Conclusion10
2
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
Introduction
Depuis plusieurs années, les entreprises déclarent que le nombre d’incidents
informatiques impliquant des groupes désireux d’affaiblir leurs applications web
commerciales et institutionnelles via des attaques par déni de service distribué
(DDoS), n’a eu de cesse d’augmenter. Ces pirates ont bien compris que la
disponibilité des applications est devenue vitale pour la plupart des entreprises,
puisqu’elle influe directement sur la qualité de service. Si cette qualité de service
est affectée c’est la rentabilité et la réputation de l’entreprise qui sont mises en
péril.
Les attaques par déni de service distribué ciblant les applications sont
fréquemment utilisées car il est difficile de pouvoir totalement s’en protéger. Par
nature, la couche applicative du réseau est générique et chaque application
possède ses caractéristiques spécifiques. Cependant, les interfaces et les
mécanismes de mise à disposition des applications sont similaires. La couche
applicative est donc vulnérable face à un grand nombre de menaces, même les
moins élaborées. Prenons l’exemple d’une récente attaque par déni de service
distribué ayant visé une société de cartes de crédit, impliquée dans l’affaire
WikiLeaks en 2009 : l’analyse de l’incident a démontré qu’au moment où le site a
connu ses premières pannes, pas moins de 940 ordinateurs lançaient l’attaque par
force brute en saturant l’application de trafic HTTP.1 Cet exemple démontre bien
que même via une attaque très simple, une application peut très facilement être
saturée et dans l’impossibilité de répondre. Il suffit d’outils de DDos plus élaborés
pour que les pirates soient capables d’identifier des vulnérabilités applicatives
spécifiques et des méthodes d’exploitation. Ainsi, ils utilisent moins de bande
passante et des ressources plus disséminées pour saturer les applications sur
l’ensemble du réseau.
La découverte récente d’une faille sur les serveurs web exploitant à la fois PHP5,
Java et ASP.NET a permis de mettre en lumière à quel point il était facile de trouver
et d’exploiter une vulnérabilité publique. Des requêtes HTTP spécialement conçues
pour et ciblant cet ensemble de plateformes peuvent créer un conflit dans la
fonction de hachage du serveur web lorsque les requêtes uniques aboutissent à
des réponses multiples ou simultanées. Un pirate peut tout à fait envoyer des
requêtes simultanées pour interrompre le hachage et ainsi créer une attaque par
déni de service distribué sur le serveur web, rendant ce dernier incapable de
répondre correctement.
Cependant, et heureusement, en se concentrant sur les interactions utilisateursapplications en temps réel et sur la disponibilité des applications sur le réseau, les
entreprises peuvent anticiper l’évolution des attaques. En considérant cette menace
du point de vue de la protection, les administrateurs des applications et du réseau
deviendront capables de travailler ensemble à la détection et la protection contre les
attaques de DDoS.
1 “‘Tis the Season of DDoS,” Blog PandaLabs, Décembre 2010
3
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
Un contrôleur de trafic applicatif (ADC) joue donc un rôle primordial.
BIG-IP ® Application Security Manager™ (ASM) de F5 positionné entre les
applications et les utilisateurs sait détecter et protéger contre une attaque en
temps réel. Comment ?
• En détectant qu’une application est en train d’être attaquée.
• En identifiant les informations relatives à l’attaque, que celle-ci provienne de
plusieurs ou d’un seul emplacement géographique.
• En limitant les conséquences de l’attaque, sans pour autant affecter
la disponibilité des applications, réduisant ainsi les conséquences sur
les utilisateurs
BIG-IP ASM contrôle les accès, met en place un mécanisme de challenge/
response, intègre un moteur de détection d’anomalies et sait comprendre le
comportement des applications : il permet ainsi de se protéger contre les
demandes de connexions malveillantes et d’empêcher les pirates de saturer les
applications.
Etape 1
Détecter qu’une application est en train d’être attaquée
Etape 2
Identifier les informations relatives à l’attaquant
Etape 3
Limiter les conséquences de l’attaque
Figure 1 : BIG-IP ASM de F5 est un firewall web applicatif qui détecte et limite les menaces
liées aux attaques de DDoS ciblant les applications. Il est capable de comprendre la couche
applicative et son comportement.
Sécuriser les applications en trois
étapes
Etape 1 : détecter qu’une application est en train d’être
attaquée
De récents incidents de déni de service distribué ciblant les applications montrent
que ce type d’attaque peut prendre la forme de milliers de requêtes HTTP,
demandant à contacter l’application web. Les requêtes proviennent généralement
d’une multitude de sources possibles et imaginables. Avant que les attaques par
déni de service distribué ne deviennent la norme, l’attaque par déni de service
simple (DoS) était un basique incontournable au sein de la communauté des pirates
informatiques. A l’inverse de l’attaque par déni de service distribué, l’attaque de DoS
ne s’appuie que sur une seule source qui émet le plus grand nombre de requêtes
possible dans le but d’affecter la disponibilité des applications. L’attaque par déni de
4
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
service distribué, qui elle, a pour objectif de contourner les dispositifs de protection
classiques en place, provient d’emplacements géographiques multiples et éparpillés.
En termes de sécurité, cette différence fondamentale entre les attaques de DoS et
de DDoS change la façon dont les filtres peuvent détecter et atténuer les
conséquences de l’attaque. Un filtre de sécurité pourra facilement détecter un
nombre anormalement élevé de requêtes HTTP provenant d’une même source. C’est
le cas pour les attaques de DoS. Une fois détectée, l’attaque peut alors être
facilement contenue : il suffit de bloquer l’accès à cette source unique.
En termes de sécurité, l’attaque de DoS est si facile à détecter et à atténuer qu’elle
en paraît véritablement basique. L’attaque par DDoS, elle, est bien plus complexe :
elle s’appuie, en effet, sur de multiples sources envoyant chacune des milliers de
requêtes HTTP. Ces attaques s’appuient souvent sur des ensembles de PC « zombies »,
soit des ordinateurs infestés de malware et contrôlés à distance par un pirate
anonyme, la plupart du temps, à l’insu du propriétaire même de l’ordinateur. Pour
qu’une attaque de ce type soit détectable, les politiques de protection contre les
attaques de DDoS doivent d’abord se pencher sur la façon dont l’application est
utilisée normalement et de façon légitime. Ceci ne peut se faire qu’en étudiant les
accès à l’application dans le temps, et les caractéristiques du trafic autorisé. Ces
caractéristiques sont les suivantes :
• Fréquence des accès dans le temps. Cette donnée précise le nombre
d’accès à une application, réparti sur plusieurs heures et jours de la semaine.
Certaines applications génèreront peut-être beaucoup plus de trafic le lundi
matin que les autres jours ou à d’autres créneaux horaires de la semaine.
• Fréquence d’accès par ressource applicative. Une application n’est pas
un bloc uniforme. Chaque ressource applicative présente ses propres
caractéristiques. Il est, par exemple, évident que la fréquence d’accès à la
page d’identification (login) de l’application sera plus élevée que l’accès à
d’autres pages.
• Temps de réponse. Cette donnée indique le temps de réponse pour chaque
ressource applicative (et pour l’application dans son ensemble). Elle permet de
savoir si une ressource est saturée ou non.
• Taux de réponses applicatives. Les taux de réponses applicatives comme
erreur 404 (page introuvable) et 500 changeront en fonction de la façon dont
l’application est utilisée.
• Localisations géographiques. Les accès utilisateurs peuvent être répartis en
fonction du positionnement géographique, et dans la plupart des cas, les
administrateurs des applications web peuvent anticiper où les utilisateurs
seront localisés. Les administrateurs en charge des applications web du
gouvernement américain peuvent, par exemple, tout à fait prévoir que la
plupart des accès à la majorité des applications proviendront des Etats-Unis
d’Amérique.
5
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
L’établissement des caractéristiques du trafic doit reposer sur la détection
d’anomalies, ou plus simplement sur la détection d’un changement dans le
comportement de l’application. Par exemple, si la fréquence d’accès à la page de
recherche d’une application s’élève habituellement à 500 par seconde, mais atteint
soudainement 5000 par seconde, il y a fort à parier que la page en question est
corrompue ou visée par une attaque. En fonction de la provenance de chacune des
requêtes, l’application est peut-être la cible d’une attaque de DDoS. Pour ce cas
précis, le filtre de sécurité ne doit pas se concentrer sur la source de l’attaque, mais
davantage sur la ressource en train d’être attaquée.
BIG-IP ASM détecte ces attaques en comprenant notamment comment l’application
est normalement utilisée. Selon la façon dont il a été configuré, BIG-IP ASM parvient
à comprendre le comportement de l’application en recueillant les informations
suivantes :
• Nombre de transactions par seconde pour chaque URL dans l’application.
• Temps de réponse du serveur pour chaque URL dans l’application.
• Nombre de transactions par seconde pour chaque IP source accédant à
l’application.
BIG-IP ASM saura détecter une attaque si l’accès à une application diffère de ce qu’il
a intégré comme valeur de référence pour l’application en question.
Etape 2 : identifier les informations relatives à
l’attaquant
Une fois l’attaque de DDoS applicative détectée, il est nécessaire de savoir qui
attaque l’application ou du moins de savoir quelle information il est possible de
recueillir sur l’attaquant. Une attaque de DDoS n’est, par définition, pas lancée à
partir d’une seule source que l’on pourra bloquer, mais à partir de plusieurs sources.
Pour reprendre l’exemple évoqué dans le paragraphe ci-dessus, plusieurs utilisateurs
essaieront peut-être de lancer des recherches au sein de l’application. Certaines
sources de trafic proviennent d’utilisateurs légitimes, alors que d’autres proviendront
d’attaquants. Tout le défi consiste à faire la différence entre les requêtes autorisées
et non autorisées.
La meilleure façon de faire la différence est de tester les utilisateurs afin de pouvoir
séparer les utilisateurs lambda utilisant des navigateurs classiques des outils
malveillants qui envoient des requêtes automatiques à l’application. On peut
notamment citer l’authentification par CAPTCHA qui est utilisé dans de nombreux
formulaires d’authentification et qui évite les attaques par force brute en demandant
à l’utilisateur de réécrire ou de répondre à ce qu’il voit à l’écran.
BIG-IP ASM met en place un autre type de test, tout aussi efficace : il procède à
l’injection de JavaScript. Seuls les véritables utilisateurs passant par un navigateur
6
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
peuvent réussir ce test. Les outils automatiques malveillants n’y parviennent pas.
Ainsi, BIG-IP ASM peut précisément les sélectionner et les bloquer.
Cependant, pour identifier et limiter au mieux les menaces, il convient d’adopter
une double approche : analyser des informations concernant l’attaquant potentiel et
soumettre les utilisateurs suspects à un ou plusieurs tests.
Bien sûr, la détection et l’identification de l’attaquant ne sont pas toujours décisives.
Si l’attaque est très sophistiquée, la pertinence de la détection en sera peut-être
affectée et risque de finir en faux positif. Par ailleurs, l’échec à ces tests de sécurité
ne signifie pas forcément qu’une attaque est en cours. Il est par exemple possible
qu’un test de sécurité n’aboutisse pas en raison des restrictions ou de la
configuration du navigateur de l’utilisateur.
Etape 3 : atténuer les conséquences d’une attaque
La disponibilité des applications est primordiale pour le bon fonctionnement de
l’entreprise et pour une bonne gestion de l’expérience utilisateur. Il est donc
inacceptable que des transactions utilisateurs soient interrompues, même si des
utilisateurs suspects ne réussissent pas le test de sécurité. Pour limiter les
conséquences d’une attaque de DDoS, les principes suivants doivent être appliqués :
Les administrateurs peuvent faire évoluer le bilan de BIG-IP ASM en termes de
protection et de disponibilité des applications. Pour ce faire, il leur suffit de
configurer des politiques pour définir précisément à quelles conditions une
connexion doit être considérée comme dangereuse et doit donc être interrompue.
7
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
Reporting
BIG-IP ASM repose sur une approche unique et bi-directionnelle pour la détection
d’attaques de DDoS et l’identification des informations relatives à l’attaquant.
Les conséquences de l’attaque sont donc limitées mais la qualité de service reste
préservée. BIG-IP ASM se positionnant entre l’utilisateur et l’application,
il se charge de :
• Surveiller le comportement des ressources applicatives. BIG-IP ASM
apprend et mémorise le temps de réponse et le nombre de transactions par
seconde des applications. Il limite les accès lorsque ces données excèdent
largement ses valeurs de référence.
• Tester tout utilisateur suspect et répondre de manière adaptée. BIG-IP
ASM injecte un test JavaScript dans les applications et limite la disponibilité de
l’application à tout utilisateur ou agent n’ayant pas réussi le test.
Figure 2 : le tableau de bord de BIG-IP ASM fournit des rapports sur la disponibilité des
applications et le trafic, comprenant notamment la disponibilité pendant une attaque de DoS
ou de DDoS.
BIG-IP ASM permet également aux administrateurs de distinguer
l’activité anormale de l’application de son activité normale, via des
tableaux de reporting opérationnels. En parallèle du tableau de bord
d’administration qui comprend des données très opérationnelles
comme les connexions, le débit et la disponibilité, BIG-IP ASM
sait générer des rapports spécifiques sur les incidents de DoS et
de DDos.
8
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
Les administrateurs bénéficient ainsi d’un accès rapide et détaillé à
toutes les anomalies détectées, les réponses apportées comme le
nombre de connexions interrompues et les adresses IP concernées.
Ces données permettent aux entreprises de comprendre la fréquence
et la sévérité des attaques de DoS et de DDos visant leur réseau,
mais également de savoir comment ces attaques ont pu affecter la
disponibilité du service, pour une réactivité et des décisions optimales.
Figure 3: BIG-IP ASM reporting delivers in-depth statistics on attack types, anomaly statistics,
top requested URLs, and top requesting IP addresses.
Figure 4: BIG-IP ASM specifically reports on DoS and DDoS incidents.
9
Dossier Technique
Protéger les applications contre les attaques de DDoS grâce à BIG-IP ASM :
la sécurité en trois étapes
Conclusion
Les applications web sont essentielles à la fois au bon déroulement des opérations
mais également dans la relation client. Elles sont particulièrement fragiles face aux
attaques de DDoS qui se sont largement développées ces dernières années. Pour
faire face une attaque et préserver la qualité de service, la première étape est la
détection. Afin de déterminer si une application est la cible d’une attaque de DDoS,
toute modification dans le comportement d’une application doit être prise au
sérieux. La fréquence des accès et les taux de réponse de l’application sont des
données précieuses pour établir le comportement d’une application.
BIG-IP ASM de F5 protège, en une solution unique, les applications et les entreprises
contre les attaques de DDoS en :
• Comprenant et mémorisant le comportement d’une application.
• Détectant les modifications comportementales d’une application.
• Répondant aux incidents via un ensemble de décisions et de choix permettant
de préserver la qualité de service tout en arrêtant les attaques.
• Délivrant un reporting détaillé pour une plus grande visibilité sur les
applications et la sécurité du réseau.
F5 France, 28 rue Pagès, 92150 Suresnes [email protected] +33 (0)1 41 44 89 50 www.f5.com
F5 Networks, Inc.
Corporate Headquarters
[email protected]
F5 Networks
Asia-Pacific
[email protected]
F5 Networks Ltd.
Europe/Middle-East/Africa
[email protected]
F5 Networks
Japan K.K.
[email protected]
©2012 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, and IT agility. Your way., are trademarks of F5 Networks, Inc. in the U.S. and in certain other countries. Other F5 trademarks are identified
at f5.com. Any other products, services, or company names referenced herein may be trademarks of their respective owners with no endorsement or affiliation, express or implied, claimed by F5. CS01-00083 0312