on 18-Jan-2015 12:57
De nombreux sites Web institutionnels et de Presse Français connaissent actuellement des cyberattaques visant à les rendre indisponibles ou à en défigurer le contenu.
Cyberattaques en défiguration
Dans le cas d’attaques en défiguration (ou défacement), les cyberattaquants exploitent soit des vulnérabilités des sites web ou de leurs outils de gestion de contenu (CMS) pour en prendre le contrôle afin d’en modifier le contenu.
Cyberattaques en DDOS
Les attaques en Deni de Service Distribuées ou DDOS ont pour but de saturer les ressources du système d’information de la victime, soit en saturant par exemple les infrastructures et les liens réseaux (attaque dite volumétrique) soit en épuisant la capacité des services applicatifs (attaque dite en épuisement de ressources). Une attaque DDOS n’a pas besoin d’être volumétrique pour faire tomber un site web. Elle peut tout à fait être lente et silencieuse au niveau réseau mais ne toucher que la couche L7 applicative.
Techniques d'exploitation des vulnérabilités
En résumé, je citerais:
Des projets comme OWASP, WASC ou le SANS font un tour d'horizon des menaces et des techniques d'exploitations.
Anatomie d’une cyberattaque sur HTTP ou HTTPS
Généralement, une cyberattaque sur un site Web se déroule en 3 étapes :
Les contre-mesures
Pour les cyberattaques en défiguration, il est possible de les empêcher en appliquant les bonnes pratiques rappelées par l’anssi ainsi que les recommandations sur les contre-mesures ici, tel que la mise en place de pare-feu Applicatif Web (WAF) comme F5 ASM.
Comme le rappelle le Gartner, un FireWall réseau ou un IPS ne protègent pas contre les attaques visant les services web. Seul un WAF apporte cette protection.
En revanche, il est plus difficile de contrer une cyberattaque DDOS et on ne pourra qu’en atténuer son effet, en absorbant la charge durant l’attaque.
Bien sûr, il y a des bonnes pratiques à suivre pour parer aux attaques en DDOS à mettre en place avant l’attaque de façon préventive (l’architecture, la capacité, la détection, etc) mais aussi de façon réactive (l’analyse, les mesures techniques, la reprise sur incident, etc).
Dans le scénario d’attaque en déni de service distribué, très souvent quand les mesures techniques sont appliquées durant l’attaque, il est très difficile de différentier les utilisateurs légitimes des attaquants alors le site web est déjà fortement impacté voire déjà tombé.
Je vous invite à lire le livre blanc F5 pour atténuer les attaques DDOS.
La réponse F5 aux cyberattaques DDOS
Face aux cyberattaques DDOS, qu’elles soient de type réseau (L3 / L4), sessions (L5 / L6) ou applicatives (L7), F5 Networks possède la technologie qui permet non seulement d’atténuer ces attaques mais aussi de protéger contre les outils de reconnaissance, les bots et les attaques lentes.
La solution de protection anti-DDOS de F5 combine des services à déployer dans le Datacenter (in situ) et dans le Cloud.
Le service dans le Cloud appelé Silverline est un service à la demande qui empêche les attaques volumétriques d’atteindre le réseau du Datacenter et fourni une protection anti-DDOS multi-vecteurs et multi-niveaux.
Une fois, les attaques volumétriques atténuées, c’est la solution in-situ qui prends le relai pour atténuer les attaques de volume moyen, les attaques sur les sessions (SSL et DNS par exemple) ainsi que les attaques applicatives avancées. Cette solution in-situ fait appel à plusieurs modules F5 : AFM, LTM, GTM et ASM.
L’architecture de référence F5 anti-DDOS
Elle permet aux administrateurs sécurité réseau d’étendre leurs règles afin d’atténuer les risques d’attaques zéro-day.
Cette architecture combine de manière transparente le service F5 Silverline avec les solutions Application Delivery Controller (ADC) de F5 pour offrir la solution de protection DDoS la plus complète.
Silverline : un service anti-DDOS à la demande
F5 propose différents niveaux de protection, personnalisables en fonction des besoins spécifiques des entreprises et des profils des attaques potentiels :
ASM : des protections anti-DDOS avancées
A partir de la version 11.6, ASM embarque un mécanisme de défense proactif contre les attaques par des robots web (bot). Il protège contre les attaques en déni de service distribuées (DDoS), le webscrapping, la reconnaissance et les attaques en brute force.
Ce mécanisme appelé « Proactive Bot Defense » a pour rôle de compléter les méthodes existantes d’atténuation.
Quand cette fonctionnalité est activée, lorsqu’un client accède au site web pour la première fois, le système injecte un challenge Javascript en lieu et place de la réponse initiale, dans le but de valider si le client est un navigateur web légitime ou s’il s’agit d’un robot (bot). Le navigateur web légitime répond au challenge correctement et renvoie la requête avec un cookie signé qu’ASM valide. Il est alors autorisé à accéder au serveur.
Parmi les autres techniques de détection de robot web dans ASM, on peut citer les mécanismes de Détection d’activité suspecte clavier et Souris, la Détection de surf rapide.
De même, pendant la cyberattaque, ASM active des mécanismes d'atténuation spécifiques comme le Client-Side Integrity Defense ou le Captcha avec du rate limiting en hardware.
De la visibilité pendant l'attaque
Le graphique ci-dessous montre comment le trafic a été géré par le système, avec des données agrégées et mises à jour toutes les 5 minutes.
Un fort pourcentage de requêtes hostiles ont été bloquée conformément à la politique de prévention définie dans le profile DoS. Cette politique utilise du Request Blocking avec du rate limiting basé sur l’URL et l’IP source.
Lorsque le trafic est normal, on constate typiquement plus de trafic en passthourgh et moins de trafic bloqué.
Pour en savoir plus
On organise un Webinar sur le sujet anti-DDOS, le Jeudi 29 Janvier à 11h. Inscriptions ici.