Close
Ako účinne bojovať proti zneužitiu zariadenia na DDoS útok NTP

Ako účinne bojovať proti zneužitiu zariadenia na DDoS útok NTP

V našom predošlom blogu sme sa venovali rozsiahlemu DDoS útoku, ktorý vo februári zasiahol Európu silou 400Gbps. Počas tohto útoku boli zneužité aj zákaznícke servery v našej sieti. Viac o tom, ako sme zneužité servery odhaľovali, a aký vplyv malo na ne takéto zneužitie, si prečítate v našom predošlom blogu. V tomto blogu sa budeme ďalej venovať analýze nezabezpečených zariadení a ich následnému zabezpečeniu, ako spôsobu ochrany voči zneužitiu. Táto téma je aj vďaka novým 800Gbps silným útokom, stále viac než aktuálna.

Aké zariadenia boli, respektíve sú terčom útokov?

Na základe výsledkov testovania serverov v našej sieti sme identifikovali niekoľko kategórií zariadení, na ktorých sa vyskytovala nezabezpečená inštancia servera NTP:

  •     nezabezpečené NTP servery detekované na primárnom sieťovom rozhraní
  •     nezabezpečené NTP servery detekované na manažment rozhraniach (IPMI)
  •     ostatné sieťové prvky a embedded zariadenia, ako napríklad smerovače a streamery
  •     nezabezpečené prvky internej infraštruktúry

Ako zabezpečiť zariadenie voči zneužitiu na NTP DDoS útok?

V závislosti od typu zariadenia, ako aj možností jeho konfigurácie, sme aj na základe skúseností z posledných bezpečnostných incidentov, identifikovali spôsoby dodatočného zabezpečenia:

A) Rekonfigurácia servera NTP

V prípade, že to systém umožňuje je vhodné, ako prvé prekonfigurovať NTP server. A to tak, aby poskytoval služby len obmedzenému okruhu IP adries, napríklad zariadeniam v lokálnej sieti. Prípadne, ak na danom zariadení postačuje len NTP klient, tak službu NTP servera úplne vypnúť.

  • NTP server na bežnom sieťovom rozhraní
    Tieto servery sa dajú ošetriť priamo z prostredia operačného systému. Pri novej verzii NTP servera je spravidla monlist funkcionalita vypnutá. Zároveň je možné obmedziť dostupnosť služieb len pre vybraný okruh IP adries. To môžete docieliť s použitím firewallu alebo priamo konfiguráciou služby NTP servera.
  • NTP server na manažment rozhraniach (IPMI,iLO)
    Niekoľkokrát sme sa stretli s prípadom, kedy bolo takéto rozhranie dostupné na verejnej IP adrese. V tomto prípade sú možnosti ošetrenia z prostredia operačného systému značne limitované. Spravidla si vyžadujú aktualizáciu firmwaru management rozhrania a následný reštart zariadenia. Nepríjemným prekvapením určite je, že v change logu firmwaru mnohokrát absentuje zoznam opravených zraniteľností. No vo väčšine prípadov bola zraniteľnosť odstránená. Je však dobré si to overiť niektorým zo spôsobov publikovaných v prvej časti nášho blogu.
  • Embedded zariadenia
    Do tejto kategórie patria rôzne streamre a smerovače bez možnosti pokročilej konfigurácie služieb. Problém nastáva, ak NTP klient zároveň aktivuje NTP server, bez možnosti jeho selektívneho vypnutia. V mnohých prípadoch sa prejavila otázna podpora zariadenia po niekoľkých rokoch od uvedenia na trhu. V prípade, ak nie je možné aktualizovať firmware pomôže predradenie firewallu vo forme dedikovaného embedded zariadenia typu RouterBoard. Slabou stránkou takéhoto riešenia je zaradenie ďalšieho možného bodu zlyhania do cesty pripojenia. Navyše je nutné takýto prvok spravovať, pravidelne aktualizovať a starať sa o jeho bezpečnosť. V konečnom dôsledku však ide mnohokrát o jediný efektívny spôsob dodatočného zabezpečenia zariadenia.
  • Prvky internej infraštruktúry
    V tomto prípade sa stretávame, nie len s predvolene aktivovanými službami, ale čím ďalej tým viac aj so zmenami v spôsobe konfigurácie a zabezpečenia danej služby medzi rôznymi verziami firmwaru zariadenia. Rozhodne je preto vhodné po každej zmene verzie firmwaru vykonať aspoň základnú sadu penetračných testov.

B) Eliminácia DDoS útoku  iniciovaného z vnútra našej siete

Ak útok prichádza z vnútra siete je dôležitá eliminácia možnosti podvrhnutia zdrojovej IP adresy, čo najbližšie zdroju-iniciátora útoku. Toto úzko súvisí s charakterom protokolu UDP. Princípu zneužitia dizajnu protokolu UDP sme sa venovali v prvej časti nášho blogu. V skratke môžeme povedať, že jediným efektívnym spôsobom zabránenia útokom využívajúcim sfalšovanie IP adresy odosielateľa je filtrácia komunikácie a povolenie explicitne definovaných rozsahov IP adries odosielateľa. Využívajú sa nasledovné opatrenia:

  • selektívny blacklist IP adries
  • sieťový blacklist IP adries
  • zrušenie oznamovania AS

Každé z týchto opatrení znemožňuje komunikáciu so serverom alebo sieťou, na ktorý smeroval útok z  nezabezpečených NTP serverov, alebo naopak, z ktorých smeroval útok na servery. Je preto potrebné ich dôsledne zvážiť. Ako referenčný materiál k tejto problematike môžu poslúžiť dokumenty vydávané organizáciou IETF s označením RFC 2827 a RFC 3704.

Aké sú riziká, ak je server nezabezpečený?

Zneužitie servera prináša množstvo nepríjemných dôsledkov, ako napríklad:

  • Na základe legislatívy EU je každý ISP zaviazaný poskytnúť súčinnosť v prípade eliminácie útoku pochádzajúceho z jeho siete. Preto, ak server pokračuje v útokoch aj po upozornení, je poskytovateľ povinný neutralizovať takéto zariadenie.
  • Veľa serverov v dátových centrách má predplatený konkrétny objem dát do zahraničia. Tie sú takýmto spôsobom vyčerpané v priebehu niekoľkých hodín. V prípade, že zákazník nie je na NTP útok upozornený, môže sa jeho mesačná faktúra vyšplhať poriadne vysoko.
  • Zníženie dostupnosti servera prostredníctvom predĺženia doby odozvy zariadenia, zvýšenej stratovosti paketov na sieťovom rozhraní.
  • Zvýšenie opotrebovania zariadenia prostredníctvom vysokého vyťaženia CPU a extra nárokov na chladenie, ako aj spotrebu energie.

5 bezpečnostných krokov, na ktoré nezabúdajte

Na záver si ešte dovolíme spomenúť niekoľko best practices a pripomenúť staré známe príslovie „Trust but verify“ alebo po našom „Dôveruj, ale preveruj“.

  • pravidelne skenujte na zariadeniach známe zraniteľnosti
  • skenujte zariadenia po každej aktualizácii softwaru na danom zariadení
  • nasaďte systém včasnej výstrahy (netflow)
  • nezabúdajte na propagovane PI (Provider Independent) prefixi
  • kontrolujte komunikáciu pochádzajúcu z vašej siete, špeciálne či nedochádza k falšovaniu zdrojových IP adries, použitím adries mimo nášho rozsahu

Veríme, že vám tento článok pomôže dosiahnuť väčšiu bezpečnosť na vašich zariadeniach. V prípade, ak si neviete rady, alebo sa problematike nemáte čas venovať môžete zveriť správu zariadenia nám. Vďaka našim systémovým a sieťovým špecialistom bude o vaše zariadenie najlepšie postarané.

Zaujímavé odkazy

Na záver ešte pripájame zopár zaujímavých odkazov v slovenčine aj v angličtine.

Zdroje v slovenčine:
www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=84
www.csirt.gov.sk/aktualne-7d7.html?id=68

Zdroje v angličtine:
www.kb.cert.org/vuls/id/348126
www.us-cert.gov/security-publications/DDoS-Quick-Guide
www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
www.us-cert.gov/sites/default/files/publications/DDoS%20Quick%20Guide.pdf

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Close