隨著COVID-19的大流行,許多IT企業(yè)發(fā)現(xiàn),由于多數(shù)員工選擇(或被強制)在家工作,他們自己不得不倉促地應(yīng)對VPN流量的突然激增。遺憾的是,這也為惡意攻擊者通過對企業(yè)VPN基礎(chǔ)架構(gòu)本身發(fā)起各類攻擊來破壞目標(biāo)提供了絕佳機會。
多數(shù)企業(yè)采用的是陳舊過時的遠程VPN應(yīng)用和運行在星型連接架構(gòu)中的集線器。這是因為VPN一直被視為IT基礎(chǔ)架構(gòu)中“填補空白”的部分,適合出差的員工或在非工作時間訪問公司資源的人使用。預(yù)計通過VPN訪問的流量只占IT總流量的一小部分。
事實上,Radware在制藥行業(yè)的一個重要客戶已經(jīng)為應(yīng)對當(dāng)前這種情況做好了準備。他們預(yù)料到了多數(shù)員工不得不在家辦公這種情況,并圍繞這一設(shè)想設(shè)計了DDoS防御措施。不僅如此,他們還雇傭了外部的DDoS測試公司攻擊VPN基礎(chǔ)架構(gòu),衡量不同組件的彈性。
以下就是他們在對VPN基礎(chǔ)架構(gòu)的DDoS攻擊中得到的經(jīng)驗教訓(xùn)。
Lesson #1
即使是低容量攻擊,也可以輕易耗盡VPN集線器和防火墻中的資源。
即使攻擊容量低至1 Mbps,經(jīng)過優(yōu)化的TCP混合攻擊依然能夠讓網(wǎng)絡(luò)防火墻處于無法處理更多新連接的狀態(tài),在這些攻擊中,攻擊者可以發(fā)送少量帶有SYN標(biāo)志的TCP數(shù)據(jù)包、另一批次的帶有ACK標(biāo)志的TCP數(shù)據(jù)包、另一組URG數(shù)據(jù)包等。由于沒有觸發(fā)容量閾值,因此多數(shù)DDoS防御措施也不會被觸發(fā)。
為了防御這類攻擊,企業(yè)需要調(diào)整主機、防火墻和DDoS策略。許多網(wǎng)絡(luò)防火墻都有“SYN防御”或“初始連接”功能,可以防御SYN洪水。針對DDoS策略,可以采用能夠進行失靈數(shù)據(jù)包檢測和預(yù)防功能。
遭受到攻擊時,與基于云的DDoS服務(wù)相比,本地DDoS緩解設(shè)備通常有更多的優(yōu)化選項,因為這些策略完全由客戶控制,不會與云中的其他客戶共享。最后,如果企業(yè)采用了速率限制,最好設(shè)置與期望的VPN連接數(shù)相匹配的閾值;許多緩解設(shè)備也都會有一些不適合VPN應(yīng)用的缺省參數(shù)。
Lesson #2
SSL VPN很容易遭受SSL洪水攻擊,Web服務(wù)器也一樣。
其中兩個DDoS測試就是SSL洪水攻擊的變體。第一個攻擊是高容量的SSL連接洪水。此攻擊會嘗試利用高容量的SSL握手請求來耗盡服務(wù)器資源。
為了防御這種攻擊,就必須仔細監(jiān)控防火墻、VPN集線器和負載均衡器等狀態(tài)設(shè)備的TCP會話和狀態(tài)。此外,創(chuàng)建基線并設(shè)置針對此基線的預(yù)警將有助于在實際攻擊中排除故障。
針對防火墻,可以采用“并發(fā)連接限制”之類的功能,減少沒有任何數(shù)據(jù)包連接時的會話超時。針對DDoS策略,可以從給定的源IP地址并發(fā)建立數(shù)量有限的連接。此外,減少會話超時來釋放防火墻中的連接表。
最后,Radware提供了兩個有助于解決本地和云端SSL洪水的專利防御機制:DefenseSSL可以利用行為分析識別可疑流量,隨后激活盒裝式SSL模塊進行解密。通過一系列僅用于可疑流量的質(zhì)詢響應(yīng)機制,可以識別并緩解攻擊。如果客戶通過了所有質(zhì)詢,就允許后續(xù)的HTTPS請求直接到達受保護服務(wù)器,從而在客戶端和受保護服務(wù)器之間創(chuàng)建新的TLS/SSL會話。
這一獨特的部署模型使得解決方案可以實現(xiàn)和平時期的零延遲,并在遭到攻擊時將延遲降到最低——僅限于每個客戶端的第一個HTTPS會話。針對無法使用證書解密的情況,可以采用行為SSL保護。這可以在不解密SSL連接的情況下防御SSL洪水。
第二個SSL攻擊是SSL重新協(xié)商洪水。SSL/TLS重新協(xié)商攻擊利用了在服務(wù)器端協(xié)商安全TLS連接所需的處理能力。它向服務(wù)器發(fā)送虛假數(shù)據(jù),或不斷請求重新協(xié)商TLS連接,超出服務(wù)器極限之后就會耗盡服務(wù)器資源。
為了防御這種攻擊,請禁用服務(wù)器上的SSL重新協(xié)商。還應(yīng)該禁用弱密碼套件。另一個選擇就是采用SSL卸載,利用高容量的外部負載均衡器釋放防火墻或VPN集線器資源。Radware可以在本地和基于云的部署中防御這類攻擊。
Lesson #3
VPN很容易遭受UDP洪水攻擊。
其中兩個攻擊場景都包括UDP洪水。一個是隨機UDP洪水,第二個是IKE洪水。IKE可以用在IPSec VPN中,用于身份驗證和加密。
由于UDP端口數(shù)是隨機的,可以采用基于行為的DDoS防御機制,如Radware的BDoS,能夠利用實時特征碼生成檢測UDP洪水。
Lesson #4
必須進行監(jiān)控和預(yù)警。
緩解多個攻擊需要對DDoS策略、網(wǎng)絡(luò)防火墻和VPN集線器的實時可見性并調(diào)整調(diào)整其參數(shù)。為了準確調(diào)整閾值,就必須全面了解企業(yè)正常的VPN流量,包括容量(以Mbps或Gbps計)和預(yù)期的正常連接數(shù)。利用SIEM可以更容易監(jiān)控不同設(shè)備上的連接。此外,如果了解正;,減少會話超時和速率限制等實時措施是最好的。
雖然上述經(jīng)驗教訓(xùn)來自于一個可控的DDoS測試,但測試中使用的多個攻擊矢量都與人們可以預(yù)期的來自惡意實體的攻擊矢量類似。當(dāng)企業(yè)爭相增加VPN容量來支持越來越多的遠程員工時,切記不要忘記部署DDoS防護措施。
確保企業(yè)安然無恙——希望企業(yè)在安全加密鏈路的另一端也變得更強大。