نحوه محافظت از VPN: درسهایی از تست حمله DDoS

من به مدت 15 سال از راه دور در سه شغل مختلف کار کرده ام. اگرچه من 10 سال پیش به مشتری VPN از راه دور خود وابسته نیستم ، هنوز منابع بسیاری از شرکت وجود دارد – مثلاً آزمایشگاه هک کردن Radware – که به من نیاز دارد تا در شرکت VPN باشم.

به دنبال همهگیری COVID-19 ، بسیاری از سازمان های IT در تلاش هستند تا سنبله ناگهانی در ترافیک VPN را ببینند ، زیرا اکثر کارمندان تصمیم می گیرند از خانه کار کنند (یا اجباری شده اند). متأسفانه ، این همچنین فرصتی طلایی برای مهاجمان مخرب برای ایجاد اختلال در اهداف خود ایجاد می کند و با انجام انواع مختلفی از حملات به خود زیرساخت شرکت VPN ، اقدام می کند.

بیشتر سازمان ها از برنامه های VPN از راه دور قدیمی و قدیمی و کنسانتره ها استفاده می کنند که در یک معماری کاملاً صحبت می کنند. . دلیل این امر آنست که VPN ها همیشه یک قطعه "پر کردن شکاف" از زیرساخت های IT در نظر گرفته شده اند ، برای کارگرانی که در سفرهای کاری یا برای افرادی که به صورت شبانگاهی به منابع شرکت دسترسی دارند. ترافیکی که از طریق VPN پیش بینی می شود درصد کمی از کل ترافیک فناوری اطلاعات است.

هنگامی که یکی از مشتریان اصلی ما در صنعت داروسازی برای این روز آماده می شد. آنها موقعیتی را پیش بینی می کردند که در آن بیشتر نیروی کارشان مجبور به کار از خانه شوند و دفاعیات DDoS خود را حول این فرض طراحی کردند. نه تنها این ، آنها یک شرکت آزمایش کننده DDoS خارجی را استخدام کردند تا بتواند به زیرساخت های VPN حمله کند تا مقاومت اجزای مختلف را اندازه گیری کند.

در زیر درسهایی که از حمله DDoS
گرفته شده است ، در زیرساخت های VPN آنها اجرا شده است.

درس شماره 1

به راحتی می توان منابع را روی کنسانترورهای VPN و فایروال ها هدر داد ، حتی با حمله کم حجم.

حتی در حجم حمله به حداقل 1 Mbps ، یک تنظیم دقیق حمله TCP Blend – در هر جا که مهاجمی مقدار کمی از بسته های TCP را با پرچم SYN بررسی کند ، دسته دیگری از TCP بسته هایی با پرچم ACK ، مجموعه دیگری از بسته های URG و مواردی از این قبیل – توانستند فایروال های شبکه را به وضعیتی بیاورند که در آن قادر به اتصال اتصالات جدید دیگری نباشند. اکثر دفاعی DDoS باعث نمی شوند زیرا آستانه های ولتاژ باعث می شوند.

[You may also like: Preserving Business Continuity During the Coronavirus Pandemic]

برای محافظت در برابر این نوع حمله ، شما باید میزبان ها ، فایروال ها و خط مشی های DDoS خود را تنظیم کنید. بسیاری از فایروال های شبکه دارای ویژگی "مدافع SYN" یا "اتصال جنینی" هستند که می توانند در برابر سیل های SYN محافظت کنند. برای خط مشی DDoS ، از ویژگی هایی استفاده کنید که امکان شناسایی و جلوگیری از بسته های خارج از کشور را فراهم می آورد.

یک دستگاه کاهش پیش فرض DDoS معمولاً گزینه های بیشتری را برای تنظیم دقیق هنگام حمله نسبت به یک سرویس DDoS مبتنی بر ابر امکان پذیر می کند ، زیرا این سیاست ها کاملاً در کنترل مشتریان است و با دیگر مشتریان در ابر مشترک نیست. سرانجام ، اگر از محدود کردن نرخ استفاده می کنید ، بهتر است آستانه هایی را انتخاب کنید که مطابق با تعداد مورد انتظار اتصالات VPN شما باشد. بسیاری از دستگاه های کاهش دهنده پارامترهای پیش فرض دارند که همیشه برای برنامه های VPN خوب کار نمی کنند.

درس شماره 2

SSL VPN مستعد ابتلا به سیل SSL است ، دقیقاً مانند سرورهای وب شما.

Two of DDoS آزمایش تغییرات یک حمله سیل SSL بود. اولین حمله یک سیل اتصال SSL با حجم بالا بود. این حمله با استفاده از حجم بالایی از درخواستهای دست زدن به SSL ، منابع سرور را از بین می برد.

[You may also like: Is It Legal to Evaluate a DDoS Mitigation Service?]

برای محافظت در برابر این حمله ، دستگاه های حالتدار مانند فایروال ها ، کنسانتره های VPN و توازن بار باید به دقت در جلسات TCP و ایالات کنترل شوند. همچنین ، ایجاد یک پایه و ایجاد هشدار در برابر آن خطوط مقدماتی در هنگام عیب یابی در هنگام حمله واقعی کمک خواهد کرد.

در فایروال ها ، از ویژگی هایی مانند "حد اتصال همزمان" استفاده کنید و مدت زمان جلسه را برای اتصالات بدون بسته های داده کاهش دهید. در خط مشی DDoS ، اجازه دهید تعداد محدودی از اتصالات به طور همزمان از یک آدرس IP منبع مشخص برقرار شود. همچنین ، مدت زمان جلسه را کاهش دهید تا جداول اتصال در فایروال آزاد شود.

سرانجام ، Radware چند مکانیسم دفاعی ثبت شده ارائه می دهد که می توانند در سیل های SSL کمک کنند – هم در محل پیش فرض و هم در ابر: DefenseSSL ترافیک مشکوک را با استفاده از تحلیل رفتاری مشخص می کند و پس از آن فعال می کند. جعبه ماژول SSL برای رمزگشایی. از طریق مجموعه ای از مکانیسم های پاسخ به چالش ، که فقط برای ترافیک مشکوک اعمال می شود ، حمله شناسایی و کاهش می یابد. اگر مشتری تمام چالش ها را پشت سر بگذارد ، درخواست های HTTPS بعدی مجاز است مستقیماً به سرور محافظت شده دسترسی پیدا کنند ، بنابراین یک جلسه جدید TLS / SSL بین مشتری و سرور SSL محافظت شده ایجاد می شود.

این مدل استقرار منحصر به فرد راه حل را فراهم می کند که تأخیر صفر در زمان صلح و حداقل تأخیر در حمله را نشان می دهد – فقط در اولین جلسه HTTPS برای هر مشتری. برای سناریوهایی که امکان استفاده از گواهینامه برای رمزگشایی وجود ندارد ، می توان از SSL رفتاری استفاده کرد. این می تواند در برابر سیل SSL بدون رمزگشایی اتصال SSL محافظت کند.

حمله دوم SSL سیل مذاکره مجدد SSL بود. حمله دوباره مذاکره SSL / TLS از قدرت پردازش مورد نیاز برای مذاکره در مورد اتصال TLS ایمن در سمت سرور بهره می برد. این داده های فریبنده را به سرور می فرستد یا دائماً می خواهد دوباره اتصال TLS را دوباره برقرار کند ، بنابراین منابع سرور را فراتر از حد خود می اندازد.

برای محافظت در برابر این حمله ، مذاکره مجدد SSL را بر روی سرور غیرفعال کنید. ضعیف های رمزنگاری ضعیف نیز باید غیرفعال شوند. گزینه دیگر استفاده از بارگذاری SSL با استفاده از بالانسرهای بار زیاد در ظرفیت بالا برای تسکین فایروال یا کنسانتره VPN است. Radware می تواند در برابر این نوع حمله در هر دو مکان پیش فرض و استقرار مبتنی بر ابر محافظت کند.

درس شماره 3

VPN ها مستعد ابتلا به سیل های UDP هستند.

دو مورد از حملات شامل سیل های UDP بود. یکی سیل UDP تصادفی و دیگری سیل IKE بود. IKE برای IPSec VPN برای تأیید اعتبار و رمزگذاری استفاده می شود.

از آنجا که شماره های پورت UDP به صورت تصادفی هستند ، از یک مکانیسم دفاعی DDoS مبتنی بر رفتار استفاده کنید – به عنوان مثال. BDoS Radware – که قادر به شناسایی سیل های UDP با استفاده از تولید امضای زمان واقعی است.

[You may also like: 5 Myths About DDoS in 2020]

درس شماره 4

نظارت و هشدار اجباری است .

کاهش بسیاری از حملات مورد نیاز در زمان واقعی و تنظیم پارامترها در خط مشی DDoS و همچنین در فایروال های شبکه و کنسانتره های VPN. برای تنظیم دقیق آستانه ها ، لازم است درک کاملی از ترافیک VPN معمولی خود را ، هم از نظر حجم (هم در Mbps یا Gbps) و هم از تعداد عادی اتصالات مورد انتظار داشته باشید. نظارت بر اتصالات در دستگاه های مختلف با SIEM آسانتر می شود. همچنین ، در صورت واقعی بودن مقدمات ، اقدامات در زمان واقعی مانند کاهش زمان اتمام جلسه و محدود کردن سرعت بهتر کار می کنند.

در حالی که دروس فوق از یک تست DDoS کنترل شده بود ، بسیاری از بردارهای حمله مورد استفاده در آزمون مانند آنچه می توانند باشد. از اشخاص مخرب انتظار داشته باش همانطور که در تلاش هستید تا بتوانید از VPN های خود برای پشتیبانی از افزایش کارگران از راه دور پشتیبانی کنید ، لطفاً برای محافظت از DDoS نیز فراموش نکنید.

ایمن و سالم بمانید – امیدوارم که در آن طرف تونل قوی تر شوید.