Comment se protéger des cyberattaques DDOS ?
De nombreux sites Web institutionnels et de Presse Français connaissent actuellement des cyberattaques visant à les rendre indisponibles ou à en défigurer le contenu.
Cyberattaques en défiguration
Dans le cas d’attaques en défiguration (ou défacement), les cyberattaquants exploitent soit des vulnérabilités des sites web ou de leurs outils de gestion de contenu (CMS) pour en prendre le contrôle afin d’en modifier le contenu.
Cyberattaques en DDOS
Les attaques en Deni de Service Distribuées ou DDOS ont pour but de saturer les ressources du système d’information de la victime, soit en saturant par exemple les infrastructures et les liens réseaux (attaque dite volumétrique) soit en épuisant la capacité des services applicatifs (attaque dite en épuisement de ressources). Une attaque DDOS n’a pas besoin d’être volumétrique pour faire tomber un site web. Elle peut tout à fait être lente et silencieuse au niveau réseau mais ne toucher que la couche L7 applicative.
Techniques d'exploitation des vulnérabilités
En résumé, je citerais:
- Attaque en injection (par exemple sur SQL ou sur le système d’exploitation) visant à exposer les informations confidentielles, à corrompre les données ou à forcer l’interpréteur à exécuter des commandes non désirées.
- Attaque en Cross-Site Scripting (XSS) qui permet d’exécuter un script dans le but de pirater les sessions web des utilisateurs, défigurer les sites web ou rediriger l’utilisateur vers des sites malicieux.
- Attaques sur l’authentification, le contrôle d’accès et la gestion de sessions : un système d’authentification ou de gestion de session mal implémenté peut conduire à une compromission de mots de passes, de jetons, de clés de sessions visant à usurper l’identité numérique.
- Attaque sur les références directes au objets (comme les fichiers, répertoires, clé de base de données, etc) : sans contrôle d’accès ou autre protection, un attaquant peut manipuler ces références afin d’accéder à des données non autorisée.
- Manipulation des cookies, de paramètres ou des champs cachés.
- Attaque en Buffer Overflow : Exploitations malicieuses des buffers mémoire pour arrêter des services, avoir les accès au Shell et pour propager des programmes malicieux.
- Attaque en Cross-Site Request Forgery (CSRF) : qui exploite un accès authentifié en usurpant l’identité d’un utilisateur authentifié.
- Attaque sur des URLs non restreintes
- Attaque par dictionnaire sur le contrôle d’accès au système
- Attaques en déni de service sur la couche 7, attaques en brute force et les attaques de type Web Scrapping.
- Attaque sur les couches de transport
- Attaques sur les Redirects ou les Forward non contrôlés.
Des projets comme OWASP, WASC ou le SANS font un tour d'horizon des menaces et des techniques d'exploitations.
Anatomie d’une cyberattaque sur HTTP ou HTTPS
Généralement, une cyberattaque sur un site Web se déroule en 3 étapes :
- Ciblage et reconnaissance : des robots ou des scripts effectuent des scans pour identifier et récolter des informations sur le site web (les URLs), ses ressources (capacités CPU) ainsi que ses ressources réseaux (bande passante)
- Sélection des vecteurs d’attaques et exploitation des vulnérabilités
- Bascule sur une attaque en DDOS si l’exploitation de vulnérabilités ou si le brute force sur le contrôle d’accès n’aboutissent pas.
Les contre-mesures
Pour les cyberattaques en défiguration, il est possible de les empêcher en appliquant les bonnes pratiques rappelées par l’anssi ainsi que les recommandations sur les contre-mesures ici, tel que la mise en place de pare-feu Applicatif Web (WAF) comme F5 ASM.
Comme le rappelle le Gartner, un FireWall réseau ou un IPS ne protègent pas contre les attaques visant les services web. Seul un WAF apporte cette protection.
En revanche, il est plus difficile de contrer une cyberattaque DDOS et on ne pourra qu’en atténuer son effet, en absorbant la charge durant l’attaque.
Bien sûr, il y a des bonnes pratiques à suivre pour parer aux attaques en DDOS à mettre en place avant l’attaque de façon préventive (l’architecture, la capacité, la détection, etc) mais aussi de façon réactive (l’analyse, les mesures techniques, la reprise sur incident, etc).
Dans le scénario d’attaque en déni de service distribué, très souvent quand les mesures techniques sont appliquées durant l’attaque, il est très difficile de différentier les utilisateurs légitimes des attaquants alors le site web est déjà fortement impacté voire déjà tombé.
Je vous invite à lire le livre blanc F5 pour atténuer les attaques DDOS.
La réponse F5 aux cyberattaques DDOS
Face aux cyberattaques DDOS, qu’elles soient de type réseau (L3 / L4), sessions (L5 / L6) ou applicatives (L7), F5 Networks possède la technologie qui permet non seulement d’atténuer ces attaques mais aussi de protéger contre les outils de reconnaissance, les bots et les attaques lentes.
La solution de protection anti-DDOS de F5 combine des services à déployer dans le Datacenter (in situ) et dans le Cloud.
Le service dans le Cloud appelé Silverline est un service à la demande qui empêche les attaques volumétriques d’atteindre le réseau du Datacenter et fourni une protection anti-DDOS multi-vecteurs et multi-niveaux.
Une fois, les attaques volumétriques atténuées, c’est la solution in-situ qui prends le relai pour atténuer les attaques de volume moyen, les attaques sur les sessions (SSL et DNS par exemple) ainsi que les attaques applicatives avancées. Cette solution in-situ fait appel à plusieurs modules F5 : AFM, LTM, GTM et ASM.
L’architecture de référence F5 anti-DDOS
Elle permet aux administrateurs sécurité réseau d’étendre leurs règles afin d’atténuer les risques d’attaques zéro-day.
Cette architecture combine de manière transparente le service F5 Silverline avec les solutions Application Delivery Controller (ADC) de F5 pour offrir la solution de protection DDoS la plus complète.
Silverline : un service anti-DDOS à la demande
F5 propose différents niveaux de protection, personnalisables en fonction des besoins spécifiques des entreprises et des profils des attaques potentiels :
- Always On™ - Première ligne de défense. Cet abonnement permet de bloquer de manière continue le trafic corrompu. Le trafic réseaux du client passe par le service de scrubbing Silverline et seule le trafic légitime est envoyé sur le réseau du client.
- Always Available™ - Protection primaire sur demande. Cet abonnement permet de bloquer le trafic malveillant en cas d'attaque.
ASM : des protections anti-DDOS avancées
A partir de la version 11.6, ASM embarque un mécanisme de défense proactif contre les attaques par des robots web (bot). Il protège contre les attaques en déni de service distribuées (DDoS), le webscrapping, la reconnaissance et les attaques en brute force.
Ce mécanisme appelé « Proactive Bot Defense » a pour rôle de compléter les méthodes existantes d’atténuation.
Quand cette fonctionnalité est activée, lorsqu’un client accède au site web pour la première fois, le système injecte un challenge Javascript en lieu et place de la réponse initiale, dans le but de valider si le client est un navigateur web légitime ou s’il s’agit d’un robot (bot). Le navigateur web légitime répond au challenge correctement et renvoie la requête avec un cookie signé qu’ASM valide. Il est alors autorisé à accéder au serveur.
Parmi les autres techniques de détection de robot web dans ASM, on peut citer les mécanismes de Détection d’activité suspecte clavier et Souris, la Détection de surf rapide.
De même, pendant la cyberattaque, ASM active des mécanismes d'atténuation spécifiques comme le Client-Side Integrity Defense ou le Captcha avec du rate limiting en hardware.
De la visibilité pendant l'attaque
Le graphique ci-dessous montre comment le trafic a été géré par le système, avec des données agrégées et mises à jour toutes les 5 minutes.
Un fort pourcentage de requêtes hostiles ont été bloquée conformément à la politique de prévention définie dans le profile DoS. Cette politique utilise du Request Blocking avec du rate limiting basé sur l’URL et l’IP source.
Lorsque le trafic est normal, on constate typiquement plus de trafic en passthourgh et moins de trafic bloqué.
Pour en savoir plus
On organise un Webinar sur le sujet anti-DDOS, le Jeudi 29 Janvier à 11h. Inscriptions ici.
- Tewfik_MegherbiRet. EmployeeEn réponse à la question d'amolari: le moyen le plus simple est d'utiliser une redirection DNS vers une (ou plusieurs) adresse(s) IP en Anycast que fournira Silverline au client. Ce sera du reverse proxy en frontal des IP publics du client. Le trafic propre sortant du réseau Silverline sera proxifié (Naté) à destination du réseau client.
- Tewfik_MegherbiRet. EmployeeEn réponse au commentaire de danys: la meilleure protection contre le vol d'identité numérique serait tout simplement de bannir l'utilisation de mots de passes statiques et d'utiliser une authentification à base de mots de passes dynamiques (ou à usage unique ou OTP) qui seraient générés par des jetons matériels (token, clés USB, cartes à puce) ou logiciels (Google Authenticator et autres). Quelque que soit la techno de SSO utilisée (ou de coffre fort numérique), le talon d’Achille reste l’authentification primaire (comment je m'authentifie sur mon coffre fort) où si c'est un couple username/password, le risque d'attaque par dictionnaire (en brute force) ou par interception via malware (key loggers, etc) persiste.
- amolariCirrostratusIl me semble que le point suivant (dans les cas "Always Available" et "Ready Defense" n'est pas encore couvert par la solution Silverline: par quel moyen _simple_ une entreprise peut basculer derrière le réseau Silverline? Pas d'orchestration proposée à ce stade (qui serait encore plus pertinente si le client a des GTM en place).
- danys_187535NimbostratusLa finalité pour moi reste à accéder le compte d'un internaute et vider son compte bancaire ou encore revendre son login et ses mots de passe. Donc pour moi, l’intérêt principal serait de bien protéger son identité digitale avec un gestionnaire de mots de passe comme Lastpass.