A legjobb DDoS védelem 2021-ben

2016 októberében a DNS szolgáltatót, a Dyn-t komoly DDoS (Distributed Denial of Service) támadás érte, amelyet kifejezetten erre a célra feltört IoT eszközök serege hajtott végre. Több mint 14 000, a Dyn szolgáltatásait használó domain került túlterhelés alá és vált elérhetetlenné, köztük olyan nagy nevek, mint az Amazon, az HBO és a PayPal.

A Cloudflare kutatása szerint az infrastruktúra meghibásodásának átlagos költsége a vállalkozások számára óránként 100 000 dollár (75 000 font). Hogyan lehet tehát gondoskodni arról, hogy az Ön szervezete ne essen áldozatul egy ilyen támadásnak. Ebben az útmutatóban megismerheti azokat a főbb infrastruktúra-szolgáltatókat, amelyek rendelkeznek a szükséges digitális izomerővel ahhoz, hogy megvédjék a hálózati kapacitását elárasztó támadásoktól.

Azt is megtudhatja, hogy mely szolgáltatók tudnak védelmet nyújtani a kifinomultabb alkalmazási (7. réteg) támadások ellen, amelyek hatalmas számú feltört számítógép (néha botnetnek nevezett) nélkül is végrehajthatók.

• Kiemeltük a legjobb webtárhely-szolgáltatókat is.

A Project Shield a Jigsaw, a Google anyavállalatának, az Alphabetnek egy fiókvállalata. A fejlesztés néhány évvel ezelőtt kezdődött George Conard vezetésével, az ukrajnai választások megfigyelésével és emberi jogokkal kapcsolatos weboldalak elleni támadások nyomán.

A Project Shield képes kiszűrni a potenciálisan rosszindulatú forgalmat azáltal, hogy fordított proxyként működik, amely egy weboldal és az internet között helyezkedik el, kiszűrve a kapcsolati kéréseket. Ha egy kapcsolat úgy tűnik, hogy egy legitim látogatótól származik, a Project Shield engedélyezi a kapcsolati kérést. Ha egy kapcsolatkérés rossznak bizonyul, pl. többszörös kapcsolódási kísérlet ugyanarról az IP-címről, akkor a Shield letiltja azt. Ez a rendszer rendkívül egyszerűvé teszi a Project Shield bevezetését, egyszerűen a szerver DNS-beállításainak megváltoztatásával.

Az olvasó power userek azon tűnődhetnek, hogy a proxy-n keresztüli forgalom szűrése hogyan fog működni SSL esetén. Szerencsére a Jigsaw gondolt erre is, és összeállított egy átfogó bemutatót, hogy a biztonságos kapcsolatok zökkenőmentesen működjenek az oldalához. Számos más oktatóanyag is elérhető a támogatási részben.

A Project Shield jelenleg csak a médiával, a választások megfigyelésével és az emberi jogokkal kapcsolatos webhelyek számára érhető el. Elsődlegesen olyan kis, forráshiányos weboldalakra is összpontosít, amelyek nem engedhetik meg maguknak a DDoS elleni védelemhez szükséges drága tárhelymegoldásokat. Ha az Ön szervezete nem felel meg ezeknek a követelményeknek, akkor alternatív megoldást, például a Cloudflare-t kell fontolóra vennie.

• Itt regisztrálhat a Project Shieldre

Aki az elmúlt években használta az internetet, annak ismerős lehet a Cloudflare, hiszen számos nagy weboldal használja a védelmét. Bár a Cloudflare székhelye az Egyesült Államokban van, világszerte több mint 180 adatközpontot tart fenn: ez az infrastruktúra vetekszik a Google infrastruktúrájával. Ez maximalizálja webhelye esélyeit arra, hogy online maradjon.

Minden Cloudflare felhasználó választhatja a “Támadás alatt állok” üzemmód aktiválását, amely egy Javascript-kihívás megjelenítésével védelmet nyújt a legkifinomultabb DoS-támadások ellen is. Rutinszerűen a Cloudflare fordított proxyként is működik, amely a látogatók és a webhely gazdája között helyezkedik el, hogy a Jigsaw Project Shieldjéhez hasonlóan szűrje a forgalmat. 2019 márciusában a Cloudflare bevezette a Spectrum for UDP-t, amely DDoS-védelmet és tűzfalat biztosít a megbízhatatlan protokollok számára.

A csatlakozási kérelmeket benyújtó látogatóknak kifinomult szűrők garmadáját kell lefutniuk, beleértve a webhely hírnevét, azt, hogy az IP-címük feketelistán van-e, és ha a HTTP fejléc gyanúsnak tűnik. A HTTP-kérelmek ujjlenyomatot vesznek az ismert botnetek elleni védelem érdekében. Iparági óriásként a Cloudflare könnyen kihasználhatja pozícióját az általa kezelt több mint 7 millió weboldalra vonatkozó információk megosztásával.

A Cloudflare ingyenes alapcsomagot kínál, amely mérés nélküli DDoS-csökkentést tartalmaz. Azok számára, akik hajlandóak fizetni a Cloudflare üzleti előfizetéséért (az árak havi 200 dollárnál vagy 149 fontnál kezdődnek), fejlettebb védelem áll rendelkezésre, mint például az egyéni SSL-tanúsítványok feltöltése.

• A Cloudflare-re itt tud feliratkozni

AWS Shield védelmet az Amazon web services jóemberei biztosítják. A ‘Standard’ szint minden AWS-ügyfél számára felár nélkül elérhető. Ez ideális, mivel sok kisvállalkozás választja a weboldalait az Amazonnál. Az AWS Shield Standard minden ügyfél számára felár nélkül elérhető. Az Amazon Cloud Front és Route 53 szolgáltatásainak használata esetén védelmet nyújt a tipikusabb hálózati (3. réteg) és szállítási (4. réteg) támadások ellen.

Ez a legelszántabb hackerek kivételével mindenkit elriaszt. Azonban a sávszélességet pl. 15 Gbp/s továbbra is korlátozza az Amazon példány mérete, ami lehetővé teszi a hackerek számára, hogy DoS-támadást hajtsanak végre, ha elegendő erőforrással rendelkeznek. Ami még ennél is rosszabb, hogy továbbra is önnek kell fizetnie a példányára irányuló extra forgalomért.

Ezek enyhítésére az Amazon kínálja az AWS Shield Advanced szolgáltatást is. A DDoS költségvédelmet tartalmazó előfizetés, amely megóvhatja Önt a havi felhasználási számla hatalmas megugrásától, ha támadás áldozatává válik. Az AWS Shield Advanced képes az ACL-jeidet (Access Control Lists) magának az AWS hálózatnak a határára is telepíteni, így védelmet nyújt a legnagyobb támadások ellen is.

A Advanced előfizetők egy éjjel-nappal működő DRT (DDoS válaszcsapat), valamint a példányait érő támadásokról szóló részletes mérőszámok előnyeit is élvezhetik. Az AWS Shield Advanced által nyújtott nyugalom azonban drága. Legalább egy évre kell előfizetni, havi 3000 dolláros (2200 font) áron. Ez kiegészül az adatátviteli használati költségekkel, amelyeket “pay as you go” alapon fedezhet.

• Az AWS Shieldre itt iratkozhat fel

Mint az Amazon, A Microsoft az Azure szolgáltatásán keresztül kínálja a szolgáltatási hely bérlésének lehetőségét. Minden tag alapszintű DDoS-védelemben részesül. A funkciók közé tartozik a folyamatosan működő forgalomfigyelés és a hálózati (3. rétegű) támadások valós idejű enyhítése az Ön által használt nyilvános IP-címek esetében. Ez pontosan ugyanaz a fajta védelem, amelyet a Microsoft saját online szolgáltatásai számára biztosít, és az Azure hálózatának teljes erőforrása felhasználható a DDoS-támadások elnyelésére.

A kifinomultabb védelmet igénylő szervezetek számára az Azure egy “Standard” szintet is kínál. Ezt széles körben dicsérik, mivel nagyon könnyen engedélyezhető, mindössze néhány egérkattintást igényel. Fontos, hogy az Azure nem követeli meg az alkalmazások módosítását, bár a standard szint az app gateway webalkalmazás-tűzfalon keresztül védelmet nyújt az alkalmazás (7. réteg) DDoS-támadások ellen. Az Azure monitor valós idejű mérőszámokat mutat, ha támadásra kerül sor. Ezek 30 napig megmaradnak, és további tanulmányozás céljából exportálhatók, ha szeretné.

Azure folyamatosan ellenőrzi az erőforrásaira irányuló webes forgalmat. Ha ezek meghaladnak egy előre meghatározott küszöbértéket, automatikusan elindul a DDoS-védelem. Ez magában foglalja a csomagok vizsgálatát, hogy megbizonyosodjon arról, hogy azok nem rosszul formáltak vagy hamisítottak, valamint a sebességkorlátozás alkalmazását.

A standard védelem jelenleg havi 2944 dollár (2 204 font) plusz adatforgalmi díjak 100 erőforrásig. A védelem minden erőforrásra egyformán vonatkozik. Más szóval nem lehet DDoS-csökkentést egyénre szabni.

• A Microsoft Azure-ra itt regisztrálhat

Frissítés: A Verisign biztonsági szolgáltatásai átkerülnek a Neustarhoz.

A Verisign majdnem olyan régi, mint maga az internet. A Verisign 1995 óta egy egyszerű Tanúsítványkezelőből a hálózati szolgáltatási ipar egyik főszereplőjévé nőtte ki magát.

A Verisign DDoS-védelme a felhőben működik. A felhasználók a DNS (Domain Name Server) beállításainak egyszerű megváltoztatásával választhatják a csatlakozási kísérletek átirányítását. A forgalmat a Verisignnak küldik ellenőrzésre a hálózati támadások megelőzése érdekében. A Verisign minden forgalmat alaposan elemez az átirányítás előtt.

Mivel a Verisign a tizenhárom globális útvonal-névkiszolgálóból kettőt üzemeltet, nem meglepő, hogy a szervezet több dedikált DDoS “tisztító központot” is fenntart. Ezek elemzik a forgalmat és kiszűrik a rossz kapcsolati kéréseket. A kombinált infrastruktúra közel 2 TB/s sebességgel működik, és képes blokkolni még a legerőteljesebb DDoS-támadásokat is.

Ez nagyrészt az Athena, a Verisign fenyegetéscsökkentő platformja révén valósul meg. Az Athena nagyjából három elemre oszlik. A “Pajzs” a hálózati (3. réteg) és a szállítási (4. réteg) támadásokat szűri a DPI (Deep Packet Inspection), a feketelisták & fehérlisták és a webhely hírnevének kezelése révén. Az Athena “proxy” a kezdeti csatlakozási kísérletek során ellenőrzi a HTTP fejléceket a rossz forgalom szempontjából. A “proxy”-t és a “shield”-et az Athena “load balancer”-je támogatja, amely segít megelőzni az alkalmazás (7. réteg) támadásokat.

Az ügyfélkapu részletes jelentéseket jelenít meg a forgalomról, és lehetővé teszi a fenyegetéskezelés konfigurálását, például kapcsolatfeketelisták létrehozásával. Azon felhasználók számára, akik vonakodnak mindent a felhőbe telepíteni, a Verisign a helyszínen telepíthető OpenHybridet is kínálja.

• A Verisign DDoS Protection szolgáltatásra itt regisztrálhat

Image Credit: Wikimedia Commons (Antoine Lamielle)