Protéger vos applications contre les attaques de DDoS : la sécurité en trois étapes

Transcription

1 Protéger vos applications contre les attaques de DDoS : Les applications sont de plus en plus touchées par des attaques de DDoS initiées par des groupes d individus décidés à endommager les applications web en les saturant. La solution BIG-IP ASM de F5 sait protéger la couche applicative contre ces attaques. Ecrit par Or Katz Ingénieur Sécurité

2 Sommaire Introduction 3 Sécuriser les applications en trois étapes 4 Etape 1 : détecter qu une application est en train d être attaquée 4 Etape 2 : identifier les informations relatives à l attaquant 6 Etape 3 : limiter les conséquences d une attaque 7 Reporting 8 Conclusion 10 2

3 Introduction Depuis plusieurs années, les entreprises déclarent que le nombre d incidents informatiques impliquant des groupes désireux d affaiblir leurs applications web commerciales et institutionnelles via des attaques par déni de service distribué (DDoS), n a eu de cesse d augmenter. Ces pirates ont bien compris que la disponibilité des applications est devenue vitale pour la plupart des entreprises, puisqu elle influe directement sur la qualité de service. Si cette qualité de service est affectée c est la rentabilité et la réputation de l entreprise qui sont mises en péril. Les attaques par déni de service distribué ciblant les applications sont fréquemment utilisées car il est difficile de pouvoir totalement s en protéger. Par nature, la couche applicative du réseau est générique et chaque application possède ses caractéristiques spécifiques. Cependant, les interfaces et les mécanismes de mise à disposition des applications sont similaires. La couche applicative est donc vulnérable face à un grand nombre de menaces, même les moins élaborées. Prenons l exemple d une récente attaque par déni de service distribué ayant visé une société de cartes de crédit, impliquée dans l affaire WikiLeaks en 2009 : l analyse de l incident a démontré qu au moment où le site a connu ses premières pannes, pas moins de 940 ordinateurs lançaient l attaque par force brute en saturant l application de trafic HTTP.1 Cet exemple démontre bien que même via une attaque très simple, une application peut très facilement être saturée et dans l impossibilité de répondre. Il suffit d outils de DDos plus élaborés pour que les pirates soient capables d identifier des vulnérabilités applicatives spécifiques et des méthodes d exploitation. Ainsi, ils utilisent moins de bande passante et des ressources plus disséminées pour saturer les applications sur l ensemble du réseau. La découverte récente d une faille sur les serveurs web exploitant à la fois PHP5, Java et ASP.NET a permis de mettre en lumière à quel point il était facile de trouver et d exploiter une vulnérabilité publique. Des requêtes HTTP spécialement conçues pour et ciblant cet ensemble de plateformes peuvent créer un conflit dans la fonction de hachage du serveur web lorsque les requêtes uniques aboutissent à des réponses multiples ou simultanées. Un pirate peut tout à fait envoyer des requêtes simultanées pour interrompre le hachage et ainsi créer une attaque par déni de service distribué sur le serveur web, rendant ce dernier incapable de répondre correctement. Cependant, et heureusement, en se concentrant sur les interactions utilisateursapplications en temps réel et sur la disponibilité des applications sur le réseau, les entreprises peuvent anticiper l évolution des attaques. En considérant cette menace du point de vue de la protection, les administrateurs des applications et du réseau deviendront capables de travailler ensemble à la détection et la protection contre les attaques de DDoS. 1 Tis the Season of DDoS, Blog PandaLabs, Décembre

4 Un contrôleur de trafic applicatif (ADC) joue donc un rôle primordial. BIG-IP Application Security Manager (ASM) de F5 positionné entre les applications et les utilisateurs sait détecter et protéger contre une attaque en temps réel. Comment? En détectant qu une application est en train d être attaquée. En identifiant les informations relatives à l attaque, que celle-ci provienne de plusieurs ou d un seul emplacement géographique. En limitant les conséquences de l attaque, sans pour autant affecter la disponibilité des applications, réduisant ainsi les conséquences sur les utilisateurs BIG-IP ASM contrôle les accès, met en place un mécanisme de challenge/ response, intègre un moteur de détection d anomalies et sait comprendre le comportement des applications : il permet ainsi de se protéger contre les demandes de connexions malveillantes et d empêcher les pirates de saturer les applications. Etape 1 Etape 2 Etape 3 Détecter qu une application est en train d être attaquée Identifier les informations relatives à l attaquant Limiter les conséquences de l attaque Figure 1 : BIG-IP ASM de F5 est un firewall web applicatif qui détecte et limite les menaces liées aux attaques de DDoS ciblant les applications. Il est capable de comprendre la couche applicative et son comportement. Sécuriser les applications en trois étapes Etape 1 : détecter qu une application est en train d être attaquée De récents incidents de déni de service distribué ciblant les applications montrent que ce type d attaque peut prendre la forme de milliers de requêtes HTTP, demandant à contacter l application web. Les requêtes proviennent généralement d une multitude de sources possibles et imaginables. Avant que les attaques par déni de service distribué ne deviennent la norme, l attaque par déni de service simple (DoS) était un basique incontournable au sein de la communauté des pirates informatiques. A l inverse de l attaque par déni de service distribué, l attaque de DoS ne s appuie que sur une seule source qui émet le plus grand nombre de requêtes possible dans le but d affecter la disponibilité des applications. L attaque par déni de 4

5 service distribué, qui elle, a pour objectif de contourner les dispositifs de protection classiques en place, provient d emplacements géographiques multiples et éparpillés. En termes de sécurité, cette différence fondamentale entre les attaques de DoS et de DDoS change la façon dont les filtres peuvent détecter et atténuer les conséquences de l attaque. Un filtre de sécurité pourra facilement détecter un nombre anormalement élevé de requêtes HTTP provenant d une même source. C est le cas pour les attaques de DoS. Une fois détectée, l attaque peut alors être facilement contenue : il suffit de bloquer l accès à cette source unique. En termes de sécurité, l attaque de DoS est si facile à détecter et à atténuer qu elle en paraît véritablement basique. L attaque par DDoS, elle, est bien plus complexe : elle s appuie, en effet, sur de multiples sources envoyant chacune des milliers de requêtes HTTP. Ces attaques s appuient souvent sur des ensembles de PC «zombies», soit des ordinateurs infestés de malware et contrôlés à distance par un pirate anonyme, la plupart du temps, à l insu du propriétaire même de l ordinateur. Pour qu une attaque de ce type soit détectable, les politiques de protection contre les attaques de DDoS doivent d abord se pencher sur la façon dont l application est utilisée normalement et de façon légitime. Ceci ne peut se faire qu en étudiant les accès à l application dans le temps, et les caractéristiques du trafic autorisé. Ces caractéristiques sont les suivantes : Fréquence des accès dans le temps. Cette donnée précise le nombre d accès à une application, réparti sur plusieurs heures et jours de la semaine. Certaines applications génèreront peut-être beaucoup plus de trafic le lundi matin que les autres jours ou à d autres créneaux horaires de la semaine. Fréquence d accès par ressource applicative. Une application n est pas un bloc uniforme. Chaque ressource applicative présente ses propres caractéristiques. Il est, par exemple, évident que la fréquence d accès à la page d identification (login) de l application sera plus élevée que l accès à d autres pages. Temps de réponse. Cette donnée indique le temps de réponse pour chaque ressource applicative (et pour l application dans son ensemble). Elle permet de savoir si une ressource est saturée ou non. Taux de réponses applicatives. Les taux de réponses applicatives comme erreur 404 (page introuvable) et 500 changeront en fonction de la façon dont l application est utilisée. Localisations géographiques. Les accès utilisateurs peuvent être répartis en fonction du positionnement géographique, et dans la plupart des cas, les administrateurs des applications web peuvent anticiper où les utilisateurs seront localisés. Les administrateurs en charge des applications web du gouvernement américain peuvent, par exemple, tout à fait prévoir que la plupart des accès à la majorité des applications proviendront des Etats-Unis d Amérique. 5

6 L établissement des caractéristiques du trafic doit reposer sur la détection d anomalies, ou plus simplement sur la détection d un changement dans le comportement de l application. Par exemple, si la fréquence d accès à la page de recherche d une application s élève habituellement à 500 par seconde, mais atteint soudainement 5000 par seconde, il y a fort à parier que la page en question est corrompue ou visée par une attaque. En fonction de la provenance de chacune des requêtes, l application est peut-être la cible d une attaque de DDoS. Pour ce cas précis, le filtre de sécurité ne doit pas se concentrer sur la source de l attaque, mais davantage sur la ressource en train d être attaquée. BIG-IP ASM détecte ces attaques en comprenant notamment comment l application est normalement utilisée. Selon la façon dont il a été configuré, BIG-IP ASM parvient à comprendre le comportement de l application en recueillant les informations suivantes : Nombre de transactions par seconde pour chaque URL dans l application. Temps de réponse du serveur pour chaque URL dans l application. Nombre de transactions par seconde pour chaque IP source accédant à l application. BIG-IP ASM saura détecter une attaque si l accès à une application diffère de ce qu il a intégré comme valeur de référence pour l application en question. Etape 2 : identifier les informations relatives à l attaquant Une fois l attaque de DDoS applicative détectée, il est nécessaire de savoir qui attaque l application ou du moins de savoir quelle information il est possible de recueillir sur l attaquant. Une attaque de DDoS n est, par définition, pas lancée à partir d une seule source que l on pourra bloquer, mais à partir de plusieurs sources. Pour reprendre l exemple évoqué dans le paragraphe ci-dessus, plusieurs utilisateurs essaieront peut-être de lancer des recherches au sein de l application. Certaines sources de trafic proviennent d utilisateurs légitimes, alors que d autres proviendront d attaquants. Tout le défi consiste à faire la différence entre les requêtes autorisées et non autorisées. La meilleure façon de faire la différence est de tester les utilisateurs afin de pouvoir séparer les utilisateurs lambda utilisant des navigateurs classiques des outils malveillants qui envoient des requêtes automatiques à l application. On peut notamment citer l authentification par CAPTCHA qui est utilisé dans de nombreux formulaires d authentification et qui évite les attaques par force brute en demandant à l utilisateur de réécrire ou de répondre à ce qu il voit à l écran. BIG-IP ASM met en place un autre type de test, tout aussi efficace : il procède à l injection de JavaScript. Seuls les véritables utilisateurs passant par un navigateur 6

7 peuvent réussir ce test. Les outils automatiques malveillants n y parviennent pas. Ainsi, BIG-IP ASM peut précisément les sélectionner et les bloquer. Cependant, pour identifier et limiter au mieux les menaces, il convient d adopter une double approche : analyser des informations concernant l attaquant potentiel et soumettre les utilisateurs suspects à un ou plusieurs tests. Bien sûr, la détection et l identification de l attaquant ne sont pas toujours décisives. Si l attaque est très sophistiquée, la pertinence de la détection en sera peut-être affectée et risque de finir en faux positif. Par ailleurs, l échec à ces tests de sécurité ne signifie pas forcément qu une attaque est en cours. Il est par exemple possible qu un test de sécurité n aboutisse pas en raison des restrictions ou de la configuration du navigateur de l utilisateur. Etape 3 : atténuer les conséquences d une attaque La disponibilité des applications est primordiale pour le bon fonctionnement de l entreprise et pour une bonne gestion de l expérience utilisateur. Il est donc inacceptable que des transactions utilisateurs soient interrompues, même si des utilisateurs suspects ne réussissent pas le test de sécurité. Pour limiter les conséquences d une attaque de DDoS, les principes suivants doivent être appliqués : Les administrateurs peuvent faire évoluer le bilan de BIG-IP ASM en termes de protection et de disponibilité des applications. Pour ce faire, il leur suffit de configurer des politiques pour définir précisément à quelles conditions une connexion doit être considérée comme dangereuse et doit donc être interrompue. 7

8 Reporting BIG-IP ASM repose sur une approche unique et bi-directionnelle pour la détection d attaques de DDoS et l identification des informations relatives à l attaquant. Les conséquences de l attaque sont donc limitées mais la qualité de service reste préservée. BIG-IP ASM se positionnant entre l utilisateur et l application, il se charge de : Surveiller le comportement des ressources applicatives. BIG-IP ASM apprend et mémorise le temps de réponse et le nombre de transactions par seconde des applications. Il limite les accès lorsque ces données excèdent largement ses valeurs de référence. Tester tout utilisateur suspect et répondre de manière adaptée. BIG-IP ASM injecte un test JavaScript dans les applications et limite la disponibilité de l application à tout utilisateur ou agent n ayant pas réussi le test. Figure 2 : le tableau de bord de BIG-IP ASM fournit des rapports sur la disponibilité des applications et le trafic, comprenant notamment la disponibilité pendant une attaque de DoS ou de DDoS. BIG-IP ASM permet également aux administrateurs de distinguer l activité anormale de l application de son activité normale, via des tableaux de reporting opérationnels. En parallèle du tableau de bord d administration qui comprend des données très opérationnelles comme les connexions, le débit et la disponibilité, BIG-IP ASM sait générer des rapports spécifiques sur les incidents de DoS et de DDos. 8

9 Les administrateurs bénéficient ainsi d un accès rapide et détaillé à toutes les anomalies détectées, les réponses apportées comme le nombre de connexions interrompues et les adresses IP concernées. Ces données permettent aux entreprises de comprendre la fréquence et la sévérité des attaques de DoS et de DDos visant leur réseau, mais également de savoir comment ces attaques ont pu affecter la disponibilité du service, pour une réactivité et des décisions optimales. Figure 3: BIG-IP ASM reporting delivers in-depth statistics on attack types, anomaly statistics, top requested URLs, and top requesting IP addresses. Figure 4: BIG-IP ASM specifically reports on DoS and DDoS incidents. 9

10 Conclusion Les applications web sont essentielles à la fois au bon déroulement des opérations mais également dans la relation client. Elles sont particulièrement fragiles face aux attaques de DDoS qui se sont largement développées ces dernières années. Pour faire face une attaque et préserver la qualité de service, la première étape est la détection. Afin de déterminer si une application est la cible d une attaque de DDoS, toute modification dans le comportement d une application doit être prise au sérieux. La fréquence des accès et les taux de réponse de l application sont des données précieuses pour établir le comportement d une application. BIG-IP ASM de F5 protège, en une solution unique, les applications et les entreprises contre les attaques de DDoS en : Comprenant et mémorisant le comportement d une application. Détectant les modifications comportementales d une application. Répondant aux incidents via un ensemble de décisions et de choix permettant de préserver la qualité de service tout en arrêtant les attaques. Délivrant un reporting détaillé pour une plus grande visibilité sur les applications et la sécurité du réseau. F5 France, 28 rue Pagès, Suresnes franceinfo@f5.com +33 (0) F5 Networks, Inc. Corporate Headquarters info@f5.com F5 Networks Asia-Pacific apacinfo@f5.com F5 Networks Ltd. Europe/Middle-East/Africa emeainfo@f5.com F5 Networks Japan K.K. f5j-info@f5.com 2012 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, and IT agility. Your way., are trademarks of F5 Networks, Inc. in the U.S. and in certain other countries. Other F5 trademarks are identified at f5.com. Any other products, services, or company names referenced herein may be trademarks of their respective owners with no endorsement or affiliation, express or implied, claimed by F5. CS