une protection puissante contre les attaques de type déni de service
Transcription
une protection puissante contre les attaques de type déni de service
Livre blanc Citrix NetScaler : une protection puissante contre les attaques de type déni de service citrix.fr Livre blanc Citrix NetScaler : Une protection puissante Ces deux dernières années ont vu une nette recrudescence des attaques de type déni de service (ou DoS). Ce type d’attaque qui menace la disponibilité est non seulement de retour sur les écrans radars des équipes en charge de l’exploitation des réseaux et de la sécurité, mais sa nature même a également évolué. Les principales sociétés Internet du monde ne constituent plus la cible principale. Désormais, toute entreprise, quels que soient sa taille et son secteur d’activité, court un risque. Parvenir à détecter ces attaques est également bien plus difficile qu’auparavant, des variantes de la couche applicative, furtives et à faible bande passante, dont l’objectif est de saturer les ressources d’arrière-plan, s’ajoutant désormais aux toujours fréquentes attaques à grande échelle destinées à inonder les canaux réseau ou à rendre indisponibles les services et les périphériques. Ce livre blanc examine la physionomie actuelle des attaques de type déni de service et présente les approches les plus courantes de lutte contre les menaces DoS modernes. Il explique en quoi le contrôleur de mise à disposition d’applications (ou ADC) Citrix® NetScaler® fournit une base solide (et néanmoins bon marché) pour la protection de l’entreprise contre la menace DoS. Quelques avantages de la solution NetScaler : • Large éventail de mécanismes de protection, capable de contrer efficacement les attaques DoS ciblant toutes les couches de la pile informatique. • Intégration de techniques sensibles et innovantes de lutte contre les formes les plus insidieuses d’attaques DoS sans pénalisation inutile des transactions légitimes. • Capacité à s’appuyer dans le même temps sur l’environnement NetScaler pour transformer les anciens datacenters rigides en réseaux cloud d’entreprise modernes, évolutifs et adaptables. Bien comprendre la physionomie actuelle des attaques DoS Autrefois la manifestation de la simple volonté de quelques pirates de désorganiser les plus gros sites Internet, les attaques DoS sont progressivement devenues des agressions à motivation essentiellement financière. D’une manière générale, ces attaques visant le profit exigeaient l’emploi de techniques non perturbantes et plus furtives, afin de parvenir au but : le vol de données précieuses. Les attaques DoS servaient alors principalement à l’extorsion. Le scénario était généralement le suivant : le méchant menaçait d’exécuter une attaque DoS si une certaine somme ne lui était pas versée avant une date butoir. Si l’entreprise payait dans les délais, elle recevait un email de remerciement. Dans le cas contraire, elle subissait les conséquences de son refus. citrix.fr 2 Livre blanc Citrix NetScaler : Une protection puissante Le retour des attaques DoS Ces dernières années, toutefois, les attaques DoS ont fait leur retour avec un certain esprit de vengeance. Cette évolution peut être principalement attribuée au fait que ce type d’attaque est peu à peu devenu la technique favorite d’attaque à but politique ou social. Et d’un point de vue strictement objectif, elles sont effectivement parfaitement adaptées à ce contexte. Ce ne sont plus les données de valeur qui intéressent les attaquants, mais attirer l’attention de la cible et, encore plus important, du plus large public possible. Dérivé significatif de cet « hacktivisme », l’apparition récente de boîtes à outils gratuites ou très bon marché permettant la création d’attaques DoS. Associées à la simplicité d’accès aux botnets, ces boîtes à outils ont été la pierre angulaire du retour en force des attaques de type déni de service. Elles ont également contribué à l’apparition de nombreuses caractéristiques spécifiques à la physionomie actuelle des attaques DoS, qu’il est particulièrement important de savoir reconnaître. Pour commencer, la faible technicité et le faible coût d’entrée signifient que pratiquement tout le monde peut de nos jours exécuter une attaque DoS. Ensuite, et pour les mêmes raisons très simples, il est désormais très facile de s’appuyer sur des techniques de déni de service pour exécuter également des attaques à but lucratif. De telles attaques peuvent par exemple être exécutées en interrompant directement l’activité d’un concurrent ou bien en utilisant les techniques DoS comme écran de fumée dans le cadre d’une attaque multi-vectorielle conçue pour dérober des données précieuses. La chose essentielle à retenir, c’est que toutes les entreprises constituent désormais une cible DoS potentielle, quels que soient leur taille, leur secteur d’activité et leur stade de développement. L’évolution des attaques DoS Si la simplicité d’exécution a grandement facilité le retour des attaques DoS, un autre bouleversement majeur frappe également la manière de se défendre contre ces attaques. De façon similaire à ce qui s’est passé sur le paysage général des menaces, les attaques DoS migrent progressivement vers le haut de la pile informatique. Mais l’utilisation du mot « migrer » semblant suggérer un départ de la zone d’origine, il est en fait plus exact de dire qu’elles ajoutent de nouvelles armes à leur arsenal. Les attaques DoS à grande échelle bruyantes et ciblées sur le réseau ne vont pas souvent très loin. Mais elles sont désormais rejointes par une nouvelle espèce d’attaques DoS opérant sur les couches les plus hautes de la pile informatique. L’un des problèmes majeurs posés par ces attaques, c’est qu’elles prennent souvent l’apparence de sessions ou transactions légitimes, ce qui leur permet de franchir sans être détectées un large éventail de mécanismes de défense, dont les pare-feu et les systèmes de prévention des intrusions. citrix.fr 3 Livre blanc Citrix NetScaler : Une protection puissante Figure 1 : L’asymétrie des attaques DoS Un autre problème majeur est posé par leur nature de plus en plus asymétrique [illustrée dans la Figure 1]. D’un point de vue technique, cela signifie qu’elles n’exigent qu’un nombre relativement peu élevé de requêtes applicatives et/ou une faible bande passante pour provoquer une consommation totalement disproportionnée de ressources d’arrière-plan. D’un point de vue pratique, cela signifie encore qu’elles sont plus difficiles à détecter, les pics inattendus de trafic ou du nombre de transactions ne constituant plus des indicateurs valables de leur présence. Malgré toutes ces évolutions, les attaques DoS ont toujours pour but de provoquer l’épuisement des ressources à un point ou à un autre de la chaîne informatique de bout en bout, que ce soit au niveau de la « plomberie » réseau, des serveurs et des périphériques réseau ou des capacités de traitement des hôtes des applications. Bien conserver ceci à l’esprit est essentiel si l’on veut formuler une stratégie efficace d’atténuation du risque DoS. Stratégies de haut niveau d’atténuation du risque DoS Les solutions d’atténuation du risque DoS se divisent en deux grandes catégories : les périphériques matériels basés chez les clients et les offres de services cloud. Au sein de chacune de ces catégories, de multiples options sont proposées, chacune avec ses avantages et ses inconvénients. Périphériques matériels basés chez les clients Le premier type d’approche d’atténuation du risque DoS de cette catégorie, et qui doit immédiatement être catalogué comme médiocre et à écarter, est le pare-feu d’entreprise ou le système de prévention des intrusions. Pour être juste, ces périphériques intègrent souvent un certain nombre de mécanismes de protection contre les attaques DoS (certains plus que d’autres). Cependant, ces mécanismes se limitent habituellement à contrer les attaques de déni de service ciblées sur le réseau et ne fournissent aucune protection contre les variantes ciblant les couches plus élevées. En outre, ces périphériques sont par nature à états. Le besoin de suivre très étroitement l’état des paquets et des flux les traversant expose aux attaques DoS les périphériques eux-mêmes. citrix.fr 4 Livre blanc Citrix NetScaler : Une protection puissante Les périphériques dédiés d’atténuation du risque DoS constituent une autre approche. Bien qu’ils offrent généralement un large éventail de mécanismes de protection multi-couche, ils présentent également quelques inconvénients. Pour commencer, ils souffrent des mêmes limites que toutes les solutions basées sur site chez le client : ils ne sont pas adaptés si l’attaque inonde vos connexions Internet et empêche le trafic de parvenir jusqu’à eux. Ils sont également exposés aux attaques SSL, qui entraînent de lourdes surcharges de traitement, tout particulièrement en l’absence de matériel dédié à l’inspection et à la récusation SSL. Autre équilibre à prendre en compte : la comparaison entre les bienfaits de chaque fonctionnalité de prévention DoS et le besoin qu’elle induit d’acheter, de déployer et de maintenir « encore un autre périphérique » pour chaque connexion Internet significative. Déjà un composant stratégique de la plupart des réseaux d’entreprise, l’ADC moderne constitue une troisième approche, bien souvent idéale. Les principaux ADC du marché (tels que NetScaler) associent un large éventail de fonctionnalités d’atténuation du risque DoS et prennent en charge toutes les couches de la pile informatique. Ils sont également capables d’assurer une bonne protection contre les attaques SSL intensives. Le résultat ? Une solution qui assure une couverture étendue des menaces DoS, sans qu’il ne soit nécessaire d’avoir recours à de nouveaux périphériques dédiés. Les offres de services cloud Le principal avantage des solutions cloud d’atténuation du risque DoS est que, contrairement aux solutions installées sur site chez le client, ces solutions sont capables de contrer les attaques DoS dont le but est d’engorger votre bande passante Internet. Généralement, les deux offres appartenant à cette catégorie d’approche (fournisseurs de services réseau de mise à disposition de contenu et fournisseurs de services anti-DoS) impliquent la présence de datacenters dotés d’une bande passante massive. Cette caractéristique inhérente permet à ces solutions de bien mieux contrer les attaques de type volumétrique. En outre, ces deux types de fournisseurs de services ont en général consenti des investissements significatifs en faveur d’un large éventail de technologies d’atténuation du risque DoS, leur activité reposant essentiellement sur elles. Cependant, il faut bien être conscient des quelques différences significatives existant entre ces solutions, sans parler de leurs inconvénients potentiels. Notamment : • Disparité significative de la couverture assurée contre les attaques DoS ciblant les couches supérieures. Ceci est dans une certaine mesure inévitable, aucun fournisseur externe n’étant capable de mieux comprendre que vous les « fonctionnalités » de vos applications. • Bien que les CDN constituent une solution persistante, ils ne sont habituellement utilisés qu’au profit d’un sous-ensemble des applications et sites clients les plus stratégiques de l’entreprise. Et même dans ce cas, il existe des possibilités pour les pirates de contourner ou de traverser les CDN, par exemple en tirant à boulets rouges sur les IP de contrôle ou en déclenchant une inondation de requêtes générant des défauts de cache et nécessitant un traitement par votre infrastructure source. • De leur côté si les centres d’épuration anti-DoS assurent une couverture de l’ensemble du trafic de l’entreprise, ils ne sont pas persistants (leur coût serait alors prohibitif). Ces solutions sont uniquement activées par le client, de façon sélective, lorsqu’une attaque est détectée. Cette caractéristique rend cette solution peu adaptée aux attaques DoS ciblant les couches supérieures, qui n’impliquent pas forcément l’usage de la force brute et sont donc de ce fait difficiles à détecter. citrix.fr 5 Livre blanc Citrix NetScaler : Une protection puissante La réponse : une stratégie de défense en profondeur Sans surprise, l’approche idéale consiste à rechercher une stratégie de défense en profondeur associant un service cloud et un périphérique installé sur site, opérant de façon complémentaire. Du fait de la prévalence croissante des attaques ciblant la couche applicative, une solution installée sur site (tout particulièrement un ADC) promet de générer un impact maximal par rapport à votre investissement. Ce type de solutions constitue donc pour bon nombre d’entreprises un excellent début. Ceci dit, investir dans un service d’épuration DoS capable de contrer les attaques réseau volumétriques est probablement pratiquement aussi intéressant, tout particulièrement si vous constituez une cible importante. Difficulté de détection croissante L’approche NetScaler de protection contre les attaques DoS En tout point un ADC moderne, NetScaler garantit une robuste protection non seulement contre les attaques DoS classiques de la couche réseau, mais également contre les attaques plus avancées et de plus en plus fréquentes ciblant les sessions et la couche applicative (notamment les variantes asymétriques et à faible bande passante). Pour l’atténuation du risque DoS, NetScaler adopte la même approche que celle qu’elle applique à tous les autres aspects de la sécurité : un modèle de sécurité multi-couches. Cette approche permet à NetScaler d’exceller même lorsque les attaques DoS se déplacent vers les couches supérieures de la pile informatique. Type d’attaque Fonctionnalités NetScaler d’atténuation du risque Application Inondations POST malveillantes et GET ; slowloris, POST lent et autres variantes à faible bande passante Validation de protocole applicatif, protection contre les pics de charge, file d’attente, protection contre les inondations HTTP, protection contre les attaques HTTP à faible bande passante Connexion et Session Inondations des connexions, inondations SSL, inondations DNS (udp, requête, nxdomain) Architecture full-proxy, conception haute performance, gestion intelligente de la mémoire, protection DNS étendue Réseau Syn, UDP, ICMP, inondations ACK et PUSH, attaques LAND, smurf et teardrop Défenses intégrées, modèle de sécurité avec blocage par défaut, validation de protocole, limitation des taux Figure 2 : Les fonctionnalités NetScaler de protection contre les attaques DoS Remarque : bon nombre des technologies d’atténuation du risque énumérées dans la Figure 2 contribuent en réalité à contrer les attaques DoS pour plusieurs couches. La conception haute performance de l’ADC NetScaler, sa capacité de blocage par défaut et son architecture full-proxy en sont la parfaite illustration, ces différentes capacités s’appliquant à l’ensemble des couches de la pile informatique. Elles ne figurent que dans une seule rubrique afin de simplifier les débats. Protection contre les attaques DoS ciblant la couche réseau Les attaques DoS de la couche réseau visent principalement à submerger l’infrastructure réseau publique d’une entreprise via une inondation de trafic ou de paquets spécialement conçus pour causer un comportement erratique des périphériques réseau. Les fonctionnalités de NetScaler qui contrecarrent les attaques de cette couche sont notamment : •Défenses intégrées : NetScaler intègre une pile TCP/IP haute performance conforme aux normes, qui comprend différentes améliorations spécifiquement pensées pour contrer de nombreuses formes d’attaques DoS des niveaux inférieurs. Par exemple, la mise en œuvre de cookies SYN (mécanisme reconnu de lutte contre les attaques par inondation SYN), qui optimise à la fois les performances (afin de maximiser le débit pour les connexions négociées) et la sécurité (afin de rendre obsolètes les techniques de falsification des connexions). D’autres menaces DoS sont contrées de façon similaire, ou grâce à des paramètres de configuration par défaut : attaques teardrop, LAND, ping of death, smurf et fraggle. •Capacité de blocage par défaut : le blocage par défaut est sans doute un mécanisme de protection relativement simple, au moins dans sa conception, mais il s’avère également très citrix.fr 6 Livre blanc Citrix NetScaler : Une protection puissante efficace. En abandonnant automatiquement les paquets qui ne sont pas explicitement autorisés par stratégie ou qui ne sont pas associés à un flux valide, NetScaler stoppe intrinsèquement un large éventail d’attaques, dont les inondations génériques UDP, ACK et PUSH. •Validation de protocole : une catégorie particulièrement pénible d’attaques DoS repose sur l’envoi de données malformées (paquets avec combinaisons invalides d’étiquettes, fragments incomplets ou autres en-têtes décapités). Un parfait exemple de ce type d’attaques de la couche réseau est connu sous le nom d’attaque « sapin de Noël » et tire son nom du fait que les mauvais paquets sont littéralement illuminés par l’activation de toutes les étiquettes TCP possibles. NetScaler parvient à contrer ce sous-groupe d’attaques en garantissant que les protocoles de communication sont bien utilisés d’une façon strictement conforme à leur cahier des charges et en interdisant les combinaisons qui, quoique techniquement autorisées, pourraient s’avérer dangereuses. Grâce à NetScaler, ce mécanisme de lutte couvre l’ensemble de la pile informatique, puisqu’il s’applique à tous les protocoles pris en charge, notamment TCP, UDP, DNS, RADIUS, Diameter, HTTP, SSL, TFTP et SIP. •Limitation des taux : une autre technique courante de lutte contre les attaques DoS consiste à préserver les connexions réseau et les serveurs de toute surcharge grâce à la limitation ou la redirection de tout trafic excédant un seuil défini. NetScaler permet de le faire avec une précision granulaire grâce à sa fonctionnalité de contrôle des taux AppExpert. Grâce à cette fonctionnalité, les administrateurs peuvent définir un large éventail de stratégies de réponse NetScaler, déclenchables dès le franchissement de seuils prédéfinis (bande passante, connexion ou taux de requêtes, vers ou à partir d’une ressource donnée, y compris serveurs virtuels, domaines et URL). Il faut cependant faire attention lors de l’utilisation de ce mécanisme, car il ne faut pas pour autant impacter involontairement les communications légitimes. Protection contre les attaques DoS des connexions et des sessions Les attaques DoS ciblant les connexions visent à épuiser les tableaux d’état des périphériques, tandis que les attaques DoS ciblant les couches intermédiaires de la pile recherchent généralement la perversion de la fonctionnalité DNS ou SSL. Les fonctionnalités NetScaler qui contrent ces deux types d’attaques sont notamment les suivantes : •Architecture full-proxy : en tant que solution full-proxy, NetScaler est un composant actif du flux de trafic et non juste un composant passif qui se contente d’observer sans agir sur ce qui se passe. En fermant toutes les sessions entrantes, NetScaler crée non seulement une « couche d’isolation » entre les ressources internes et externes, mais fournit en outre une occasion inestimable d’inspection et, si nécessaire, de manipulation du trafic avant son envoi à destination. Cette approche permet de rejeter automatiquement un large éventail d’éléments malveillants tout en fournissant une base solide pour des inspections plus poussées destinées à supprimer ceux qui restent. Elle permet également à NetScaler de servir de tampon au profit des ressources d’arrière-plan contre une grande variété de menaces, parmi lesquelles de nombreux types d’attaques DoS. •Conception haute performance : servir de tampon efficace au profit des ressources d’arrièreplan exige aussi une conception haute performance. Sans celle-ci, NetScaler ne ferait que remplacer les différents serveurs comme point de défaillance lors des attaques par déni de service. NetScaler s’appuie sur une plateforme spécifique au sein de laquelle le matériel et les logiciels système sont explicitement conçus et optimisés pour les charges NetScaler. Les fonctionnalités les plus notables comprennent notamment un système d’exploitation personnalisé (pour un traitement déterministe et à faible latence), une pile de mise en réseau optimisée, un moteur d’analyse HTTP intelligent et l’utilisation sélective d’accélérateurs matériels propres aux différentes fonctions. En fait, les accélérateurs SSL dédiés (fonctionnant en coordination avec un proxy complet capable d’identifier et d’écarter les connexions SSL vides ou malveillantes) sont essentiels lorsqu’il s’agit de repousser les attaques par inondation SSL. citrix.fr 7 Livre blanc Citrix NetScaler : Une protection puissante Les performances de NetScaler (gamme MPX 22000) Connexions TCP par seconde : 8,5 millions Requêtes HTTP par seconde : 4,7 millions Débit HTTP : 120 Gb/s Transactions SSL par seconde : 560 000 Attaques SYN par seconde : 38 millions Requêtes DNS par seconde : 35 millions Sessions SSL simultanées : 7,5 millions Sessions TCP simultanées : 75 millions •Gestion intelligente de la mémoire : une autre méthode adoptée par NetScaler pour contrer les attaques par inondation des connexions consiste à intégrer des techniques dites « mémoire moins » pour la négociation des connexions. Ces techniques sont utilisées sur plusieurs couches de la pile, notamment pour la configuration TCP et HTTP, et évitent à NetScaler d’avoir à allouer des ressources tant qu’une nouvelle connexion n’a pas été validée ou une requête applicative réelle soumise. Cette approche limite la dépendance vis-à-vis d’une table de connexions excessivement étendue et évite le recours à de nombreuses routines de « reaping ». Le reaping est également utilisé dans d’autres scénarios afin de gérer la mémoire de façon intelligente (par exemple en hiérarchisant l’élimination des fragments dans des conditions de mémoire faible) et de contribuer à contrer certaines des attaques « lentes » de la couche applicative présentées un peu plus loin dans le document. Le résultat final est un renforcement accru de NetScaler luimême contre les attaques DoS et un meilleur stockage temporaire des systèmes d’arrière-plan. •Défenses DNS étendues : les attaques DoS contre les DNS (service d’infrastructure essentiel de tout datacenter moderne) ne sont ni nouvelles, ni rares. Elles comprennent les inondations UDP classiques, ainsi que les inondations basées sur des requêtes et s’appuyant sur de nombreuses astuces telles que la recherche d’enregistrements pour des hôtes inexistants, dans le but de surcharger les serveurs DNS. NetScaler contre ces menaces grâce à la prise en charge de deux modes opératoires : 1. Le mode proxy DNS, dans lequel NetScaler répartit les charges des serveurs DNS internes de l’entreprise. 2. Le mode autoritaire, dans lequel NetScaler sert directement de solution d’entreprise pour les demandes de résolution IP et de résolution du nom. Les fonctionnalités qui s’appliquent à ces deux modes comprennent notamment l’architecture full-proxy et la conception haute performance de NetScaler, une implémentation DNS renforcée, la validation de protocole DNS et des fonctionnalités de limitation des taux spécifiques à DNS. La prise en charge par NetScaler du protocole DNSSEC lui permet de neutraliser les menaces s’appuyant sur des enregistrements d’hôtes falsifiés ou corrompus pour atteindre de nouvelles cibles. Protection contre les attaques DoS de la couche applicative Le tout dernier domaine d’innovation des attaques DoS, la couche applicative, est particulièrement problématique pour plusieurs raisons. Pour commencer, les attaques de la couche applicative sont par définition plus étroites et souvent spécifiques non pas à tout un protocole de la couche applicative (HTTP, par exemple), mais à une seule application bien précise. Comble de malheurs, le trafic malveillant est bien souvent impossible à distinguer du trafic normal, aussi bien en termes de volume que de contenu. Par exemple, une attaque à faible bande passante ne générant rien de plus qu’une série constante de requêtes destinées à une application connue pour exiger un important traitement d’arrière-plan (calcul complexe ou opération de recherche, par exemple). Les périphériques de sécurité des couches inférieures (tels que les pare-feu réseau) ne servent pas à grand chose contre de telles attaques. Quant aux périphériques des niveaux supérieurs, ils sont fortement susceptibles de devoir subir des réglages périodiques afin de s’adapter aux nouvelles tactiques et variables propres à chaque application. citrix.fr 8 Livre blanc Citrix NetScaler : Une protection puissante Les fonctionnalités de NetScaler destinées à contrer les attaques DoS de la couche applicatives comprennent notamment : •Validation du protocole applicatif : assurer la conformité aux normes RFC et aux meilleures pratiques d’utilisation de HTTP est une méthode hautement efficace grâce à laquelle NetScaler élimine un large éventail d’attaques basées sur des requêtes malformées ou le comportement illégal du protocole HTTP. D’autres mécanismes personnalisés de vérification et de protection peuvent être ajoutés à la stratégie de sécurité en s’appuyant sur les fonctionnalités de filtrage de contenu intégré, de réponse personnalisée et de réécriture HTTP bidirectionnelle. •Protection contre les pics de trafic et mise en file d’attente : outre la prévention de la surcharge des serveurs d’arrière-plan au-delà de leur capacité, une stratégie efficace de lutte contre les attaques DoS exige la garantie que les clients obtiendront une réponse et que le trafic stratégique de l’entreprise ne sera pas affecté négativement en cas d’attaque. Les fonctionnalités de NetScaler qui permettent de répondre à cette exigence comprennent notamment la protection contre les pics de trafic et la mise en file d’attente. NetScaler traite aisément les pics de connexion intermittents en basant le taux auquel les nouvelles connexions sont présentées aux serveurs d’arrière-plan sur leur capacité actuelle. Facteur important, grâce à ce mécanisme, aucune connexion n’est abandonnée. NetScaler les met en cache et les met à disposition, dans leur ordre de réception, dès que les serveurs d’arrière-plan sont prêts à les traiter. Fonctionnalité étroitement associée, la mise en file d’attente définit un schéma de hiérarchisation qui permet de contrôler l’ordre dans lequel les requêtes placées en attente sont traitées. Cet ordre est basé sur l’importance relative des applications associées. Comportement du serveur sans protection contre les pics de trafic Comportement du serveur avec protection contre les pics de trafic citrix.fr 9 Livre blanc Citrix NetScaler : Une protection puissante •Protection contre les inondations HTTP : une méthode innovante est utilisée pour lutter contre les inondations GET HTTP. Lorsque les conditions d’une attaque sont détectées (à partir d’un seuil configurable de requêtes mises en file d’attente), NetScaler adresse une question de vérification à faible impact à un pourcentage paramétrable des clients associés. Cette question est conçue de façon à ce que les clients légitimes puissent facilement y répondre correctement, mais pas les drones DoS passifs. Cette information permet à NetScaler de faire la différence entre les fausses requêtes et les requêtes transmises par des utilisateurs légitimes, pour ensuite éliminer les premières et conserver les secondes. Des techniques similaires, associées à la limitation des taux au niveau applicatif, permettent de bloquer les inondations GET récursives et HTTP POST. •Protection contre les attaques HTTP à faible bande passante : NetScaler contre automatiquement les attaques slowloris (qui délivrent des en-têtes HTTP fragmentaires juste avant le délai d’expiration du serveur cible) en ne reconnaissant jamais la configuration d’une connexion valide. En revanche, déjouer les attaques POST lentes, qui alimentent très lentement le serveur en données HTTP, présente plus de difficultés mais demeure possible. Dans ce cas, NetScaler utilise des algorithmes spéciaux afin de contrôler des conditions témoins au niveau des requêtes applicatives, de modérer le nombre de connexions très lentes délivrées à tout instant et de supprimer de façon proactive de la mémoire les connexions lentes excédentaires. Le suivi des anomalies de performance des serveurs et les règles personnalisées de limitation des taux peuvent également être utilisées afin de contribuer à bloquer d’autres variantes émergentes d’attaques DoS à faible bande passante. Conclusion Véritables menaces pesant sur la disponibilité, les attaques par déni de service se sont ces dernières années renforcées, aussi bien en termes de fréquence que de sophistication. Pour la plupart des entreprises, une protection complète contre cette classe de menaces impliquera l’association complémentaire de services cloud d’épuration DoS et de technologies d’atténuation du risque DoS installées sur site. Pour la partie installée sur site chez le client, Citrix NetScaler constitue une solution idéale. Grâce à NetScaler, les entreprises peuvent s’appuyer sur la même plateforme que celle qui leur permet déjà de transformer leurs anciens environnements informatiques rigides en datacenters cloud hautement adaptables, afin de mettre en place une défense multi-couches efficace contre les attaques DoS potentiellement désastreuses. Siège social Fort Lauderdale, Floride, États-Unis Centre de développement Inde Bangalore, Inde Siège Amérique latine Coral Gables, Floride, États-Unis Siège Silicon Valley Santa Clara, Californie, États-Unis Siège Division en ligne Santa Barbara, Californie, États-Unis Centre de développement Royaume-Uni Chalfont, Royaume-Uni Siège Europe, Moyen-Orient, Afrique Schaffhausen, Suisse Siège Pacifique Hong Kong, Chine À propos de Citrix Citrix (NASDAQ:CTXS) est le leader en matière d’espaces de travail mobiles, combinant virtualisation, gestion de la mobilité, mise en réseau et services de cloud pour offrir de nouveaux modes de travail plus efficaces. Les solutions Citrix favorisent la mobilité professionnelle grâce à des espaces de travail personnels et sécurisés offrant aux utilisateurs un accès instantané aux applications, postes de travail, données et communications sur tout périphérique, tout réseau et dans le cloud. Cette année, Citrix célèbre 25 ans d’innovation qui rend aujourd’hui l’informatique plus accessible et les employés plus productifs. Le chiffre d’affaires annuel de l’entreprise a atteint 2,9 milliards de dollars en 2013. Les produits Citrix sont utilisés dans le monde entier par plus de 330 000 entreprises et plus de 100 millions d’utilisateurs. Pour en savoir plus www.citrix.fr. Copyright © 2015 Citrix Systems, Inc. Tous droits réservés. Citrix et NetScaler sont des marques commerciales de Citrix Systems, Inc. et/ou de ses filiales, et peuvent être enregistrées aux États-Unis et dans d’autres pays. Tous les autres noms de produit et d’entreprise mentionnés ici sont des marques commerciales de leurs propriétaires respectifs. 0115/PDF citrix.fr 10