2021. október 24.
DDoS védelem
Az elmúlt időben jelentősen megszaporodtak az online sajtóoldalakt ért terheléses (DDoS) támadások. Az áldozatok között említhetjük többek között: HVG.hu, RTL Magyarország, 444.hu, 24.hu, Mérce…stb
Sokan értetlenkedve és meglepődve állnak a helyzet előtt, pedig a DDoS, mint támadás koránt sem újkeletű dolog, továbbá a biztonsági szakemberek már évek óta felhívják a figyelmet arra, hogy ehhez hasonló támadásokra egyra gyakrabban kell számítani.
Felmerül a kérdés, hogy hogyan lehet hatékonyan védekezni és csökkenteni a kockázatot, egyáltalán mitől ilyen sikeresek ezek a támadások.
A kérdést megvizsgálva több aspektust kell számításba vennünk. Tapasztalataim szerint a legnagyobb problémát az okozza, hogy ezek a weboldalak nem használnak semmilyen DDoS védelmi megoldást vagy ha még is, akkor azt nem megfelelő módon implementálják és konfigurálják fel.
Ha egy hacker (legyen az etikus vagy sem) gondolkodásmódját, módszertanát megvizsgáljuk, akkor kijelenthetjük, hogy a támadás/sérülékenységvizsgálat első lépése minden esetben az OSINT, azaz a nyílt információszerzés. Ez az első és legfontosabb tevékenység ahhoz, hogy a hacker megismerje a célpont gyengepontjait és minden releváns információt összegyűjtsön róla. Erre számos ingyenes és fizetős weboldal, szoftver létezik, mellyel könnyedén megteheti ezt. Ennek során többek közt feltérképezésre kerül a célpont informatikai infrastruktúrája, az általa használt IP címek, szolgáltatások, aldomainek…stb
A legnépszerűbb, leggyakrabban alkalmazott DDoS védelmi megoldás a Cloudflare. Ez röviden úgy működik, hogy adott egy domain név amelyhez tartozó névszervereknek be kell állítani a Cloudflare által megadottakat, majd a kezelőfelületen a DNS beállításoknál proxy üzemmódba kell kapcsolni a védeni kívánt IP címet, erőforrást. Ekkor a Cloudflare az eredeti tartalomkiszolgáló szerver és a látogató közé ékelődik be. (mint egy man-in-the middle porxyként) Innentől kezdve a látogatók (legyen az jó vagy rosszindulatú) először a Cloudflare infrastruktúráját érik el, amely megvizsgálja a kérést és a beállításoknak megfelelően tovább engedi vagy tiltja az eredeti szerver felé. Így tehát ha valaki egy Cloudflare által védett domain címet próbál támadni, akkor a támadás a Cloudflare saját infrastruktúráját fogja érni. Márpedig ez egy olyan robusztus, globális kiépített rendszer, amely több mint 100 Tbps mértékű DDoS támadással is képes megbirkózni. Jó hír, hogy ez a szolgáltatás teljesen ingyenes és nagyon könnyű beállítani, jól dokumentált és komoly support van mögötte.
Fontos azonban kiemelni, hogy amennyiben valaki utólagosan, frissen aktiválja a Cloudflare védelmét, úgy gondoskodjon arról is, hogy a védett szerver kizárólag a Cloudflare IP tartományából lehessen elérhető továbbá javasolt IP címet is cserélni. A legtöbben megfeledkeznek erről a fontos tényről és a rosszindulatú hackerek OSINT technikával könnyedén vissza tudják keresni a korábban használt IP címet, melyet támadva továbbra is sikeresen megbéníthatják a célpont szerverét.
A Cloudflare kezelőfelületén keresztül a „Firewall” menüpont „DDoS” almenüjében részletesen testre tudjuk szabni a védelem érzékenységét, támadás esetén magasabb szintű szűrést tudunk beállítani.
A „Firewall Rules” almenüben 5 db ingyenes tűzfalszabályt is felvehetünk. Itt beállítjuk például azt, hogy mely országokból lehessen, ne lehessen elérni a weboldalunkat. Ez nagyon hasznos tud lenni abban az esetben, ha például nem szükséges, hogy külföldről is elérjék a tartalmainkat, így beállíthatjuk szabályként, hogy kizárólag magyar IP címről engedélyezett az elérhetőség. Ezáltal rendkívüli mértékben csökkenteni tudjuk a kockázatot és kiszűrni az alapvetően támadó országok forgalmát. Ezt mindenképp érdemes használni és beállítani. Én például a weboldalaim esetében a globális támadó országok listáját figyelembe véve le szoktam tiltani az alábbi országokat: Oroszország, Kína, Észak- és Dél Korea, Ukrajna.
Ilyen GeoIP alapján történő szűrés természetesen nem csak a Cloudflarenél létezik, hanem az operációs rendszerek tűzfalaiban is alapértelmezetten elérhető lehetőség.
Alapvetően fontos továbbá a megfelelő minőségű szolgáltató kiválasztása is, ahol a szervereink/tárhelyünk üzemel. Itt figyelembe kell vennünk a szolgáltató által alkalmazott infrastruktúra milyenségét/minőségét, a kapacitásukat, a vállalt SLA-t, a support minőségét, az árat. Szerencsére vannak a magyar piacon is olyan szolgáltatók, amelyek törekednek a minőségi szolgáltatás nyújtására (pl.: Rackforest, Servergarden, ATW), azonban tapasztalataim szerint egy komolyabb/hosszabban tartó DDoS támadás kezelésére már nincsenek megfelelően felkészülve és a lehetőségeik is korlátozottabbak.
Érdemes körülnézni külföldi szolgáltatók tekintetében is, akik GDPR kompatibilisen megfelelő országokból tudnak szolgáltatni, továbbá komoly rendelkezésreállással, kapacitással és masszív anti-DDoS technológiával rendelkeznek. (ilyen lehet például: OVH, Hetzner, Amazon AWS, Google Cloud, Microsoft Azure …stb)
Összességében elmondható, hogy amennyiben megfelelő szolgáltatót választunk ki, továbbá alkalmazunk valamilyen DDoS védelmi megoldást – a fentiek szerint – , akkor komolyabb támadás esetén sem fog szolgáltatás kiesésünk történni.
Jelszó
Sok helyen sok féle leírást találhatunk arról, hogy milyen egy jó jelszó. Alapvetően elmondhatjuk, hogy egy jelszó legyen minél hosszabb és randomabb, tartalmazzon kis-, nagybetűt, számot, különleges karaktert egyaránt és rendszeresen változtassuk őket, továbbá minden helyen mást használjunk.
Én inkább azt javaslom, hogy lépjünk túl a jelszó milyenségén és inkább koncentráljunk arra, hogy olyan szolgáltatásokat használjunk, amelyek támogatják a kétlépcsős azonosítást (2FA). Ez megvalósulhat egy eszközre telepített kódgeneráló alkalmazás segítségével, SMS-ben kiküldött kóddal vagy valamilyen hardveres kulccsal. Manapság ez elengedhetetlen és szükségszerű megoldás a megfelelő biztonsági szint eléréséhez.
Szerencsére manapság a legtöbb népszerű szolgáltató és szoftver alapértelmezésben tartalmazza a 2FA lehetőségét, melyet csak be kell állítanunk és ki kell kényszerítenünk a felhasználók irányába.
E-mail és egyéb elektronikus kommunikáció biztonsága
Ha lehetőségünk van rá, akkor e-mail szolgáltatáshoz vegyük igénybe valamely nagyobb felhő szolgáltató erőforrásait. (pl. Google Workspace, Microsoft 365, Protonmail) Ezek a szolgáltatók jellemzően olyan rendelkezésreállást, biztonsági megoldásokat tudnak adni, mely segítségével hatékonyan és biztonságban tudhatjuk a levelezésünket. (pl.: brute-force védelem, 2FA, DDoS védelem, hatékony spam és kártékony levél szűrés, biztonsági mentés…stb)
Tovább fokozhatjuk a biztonságot PGP titkosítás alkalmazásával.
Azonnali, végponttól-végpontig titkosított üzenetküldő alkalmazásokból széles paletta áll a rendelkezésünkre (pl. Signal, Threema, Telegram), azonban ezek használatánál fontos kiemelni azt, hogy hiába történik a két végpont között titkosított csatornán elküldésre az üzenet, ha valamelyik végpont sérülékeny vagy megfigyelés alatt áll. (pl. Pegasus kémprogrammal vagy más egyébbel)
Sajnos elmondható, hogy minden végpont, függetlenül a használt operációs rendszer és az üzenetküldő alkalmazás típusától sérülékeny és gyárilag tartalmaz olyan hátsókapukat, mellyel az adott eszköz megfigyelhető és így még titkosítás előtt a fenti alkalmazásokban küldött üzenetek is megismerhetők.
A fenti problémák csupán töredékei a ránk leselkedő, kibertérből érkező veszélyeknek. Ezekre próbáltam írni néhány hasznos ötletet, javaslatot illetve megosztani a saját tapasztalataimat segítségképp.
Amennyiben igény mutatkozik arra, hogy milyen további megoldások létezhetnek, továbbá milyen veszélyekre kell felkészülni (kiber és információbiztonsági aspektusból egyaránt) akkor az [email protected] e-mail címen fogadom az ilyen jellegű megkereséseket. (pl.: személyes oktatás lehetősége)
A cikkben feltüntetett, példaként hozott szolgáltatók egyike sem fizetett vagy írt a megjelenésért, ezek mindegyike saját tapasztalaton alapuló javaslat, példa a teljesség igénye nélkül.
A bejegyzés forrásmegjelöléssel szabadon átvehető, feldolgozható, közzétehető!
Hubert Csaba
kibernyomozó, etikus hacker