A l’heure où les attaques par déni de service (DDoS) deviennent monnaie courante et ne cessent d’augmenter en volume et en complexité, les entreprises françaises se doivent d’adopter les bons outils et réflexes pour mieux se protéger. Voici trois mesures faciles à adopter pour mieux remédier aux attaques.
Surveiller la vue globale de vos services et applications
Que vos services et applications soient installés chez un hébergeur (public cloud), que vous ayez votre propre connexion à Internet ou que vous ayez votre propre réseau Internet (BGP autonomous system), il est clé de surveiller que vos services sont correctement annoncés sur Internet.
Une attaque redoutable et particulièrement efficace pour neutraliser vos systèmes exposés sur la toile consiste à modifier le routage BGP Internet de vos adresses IP. L’attaquant exploite les faiblesses et failles de niveau protocolaire BGP.
Surveiller le control plane Internet offre de multiples avantages. D’une part, vous êtes capable de vérifier en temps réel que vos routes sur l’internet ne sont pas usurpées via un BGP hijack, des fuites de routes (route leakings) ou encore des « bogus AS_PATH ». Cette surveillance s’avère primordiale pour contrer les tentatives de vol de données (attaque de type man in the middle). D’autre part, ce contrôle de votre trafic vous permet d’adopter une meilleure gestion de votre routage et ingénierie réseau. L’outil https://radar.qrator.net, accessible en version gratuite, vous offre cette vision. Il est aussi possible de souscrire à un service afin d’accéder aux APIs Radar et recevoir un flux d’informations et de notifications proactives.
Opter pour une protection permanente
De la même manière que vous prenez une assurance pour parer à de possibles problèmes de santé, prendre une protection anti-DDoS active en permanence (dite « always on ») assure la santé de votre trafic et donc celle de votre entreprise.
Pourquoi ce type de protection est-il maintenant réellement nécessaire ?
1. Toutes les attaques sont détectées.
La grande majorité des solutions anti-DDoS du marché fonctionne sur une logique en 3 étapes : détection, re-routage vers un boitier de mitigation, remédiation. On comprend aisément que la détection est une étape cruciale de la chaîne. Cette détection est essentiellement réalisée par une analyse du dataplane de votre trafic. La détection d’attaques se fait alors au travers d’échantillons reposant sur la technologie Netflow/sFlow ou via un boitier externe.
Cependant avec la croissance du trafic d’une part et avec la consolidation des infrastructures autour de point de présence moins nombreux mais plus puissants d’autre part, cet échantillonnage devient de plus en plus imprécis : vous prélevez par exemple 1 paquet sur 10 000, au lieu de 1000 au préalable. Et c’est là que le bât blesse : les attaquants utilisent de plus en plus souvent les attaques applicatives (par exemple SlowLoris, RUDY, …) qui sont de petites tailles et lentes dans le but de passer entre les mailles du filet de votre détection. Il est donc nécessaire de s’adapter et de choisir un modèle de protection permanent.
2. Finis les faux-positifs
La protection en continu a pour effet un apprentissage de vos services en l’espace de quelques jours. Prenons l’exemple des applications mobiles faisant appel à une web API : sans apprentissage, ce type de flux peut vite être assimilé à un trafic de botnets, notamment en raison de l’impossibilité d’émettre des requêtes Captcha (comme un http redirect 302) vers ce type de client. Le manque de distinction entraine la rupture du service. L’apprentissage l’évite.
3. Résilience du trafic
En activant une protection continue, certains fournisseurs anti-DDos comme Qrator que nous représentons en France avec Pragma Security, vous offrent des services complémentaires, notamment la répartition de charge. Si vous disposez d’un front end avec plusieurs points d’entrée, l’ensemble de votre trafic est pris en charge puis réparti à nouveau. Dans le cas contraire, le flux vous est retransmis via un tunnel sur une adresse IP unique, ce qui ne répartit pas le risque. En outre, votre organisation investit dans les différents équipements pour répartir le trafic elle-même, ce qui représente un certain coût. Sachez évaluer et comparer ce coût avec le service de load-balancing d’un fournisseur anti-DDos.
4. Gain de temps et facilité de traitement
Dans le stress de chaque attaque subie, au lieu de vous activer pour contacter votre hébergeur et/ou fournisseur de protection anti-DDoS, ce qui peut entrainer une perte temporaire du trafic et donc engendrer une perte de gains financiers et d’image de marque, vous déléguez l’esprit libre le travail et la responsabilité à votre fournisseur. Sachant que votre fournisseur se doit de répondre à des niveaux de garantie quant au maintien de la disponibilité de vos ressources et de vous transmettre des rapports précis sur le traitement des attaques.
Traiter l'attaque en amont
Anti-DDoS et répartition de charge : un duo de choc dans la gestion des attaques.
Nous avons connu récemment une crue à Paris. Lors d’une crue, un excès d’eau vient alimenter tous les affluents des rivières. Chaque rivière saturée déverse son contenu dans les fleuves. Ces mêmes fleuves vont ensuite déborder dans les villes et régions et entrainer inondation et autres dommages collatéraux.
De la même manière qu’il est nécessaire de traiter une saturation des cours d’eau au niveau des rivières en amont, il est beaucoup plus efficace de gérer une attaque en déni de service au plus près des émetteurs de trafic malfaisant.
Pour traiter une attaque dont l’ampleur est de 1Tbit/s par exemple, répartir son traitement en 5 points de 200Gbit/s évite les possibles goulots d’engorgement et perte de paquets et donc assure la meilleure qualité de service possible.
Encore une fois, cela réduit également la nécessité pour votre entreprise d’investir dans des équipements supplémentaires et/ou plus performants.
Lors du choix de votre partenaire, veillez donc à faire appel à un fournisseur disposant d’une infrastructure déployée à l’international au plus près des nœuds d’attaque courants.
Par ailleurs, si vos infrastructures sont situées dans un cloud hybride, une pratique de plus en plus répandue soit-dit en passant, il devient indispensable pour vous de vous appuyer sur une solution qui est indépendante de l’emplacement géographique de vos services. Seule une solution cloud comme Qrator peut vous proposer un même niveau de service quel que soit l’emplacement de vos serveurs.