Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en verksamhetschef till CERT-SE, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 14 april.

Publicerad

Förebygga DDoS

I den här delprocessen beskrivs vad en organisation kan göra för att ha en viss beredskap ifall ett DDoS-angrepp skulle inträffa.

Följande punkter behandlas:

Förberedelser

Det bästa receptet för en lyckad incidenthantering är att vara förberedd på att en incident kommer att inträffa förr eller senare. Generella förberedelser finns att läsa i delprocessen Förebygga Intrång.

Det är mycket svårt att skydda sig mot en DDoS-attack men med rätt förberedelser kan en organisation mildra ett framtida angrepp. Förberedelser inför en DDoS-attack handlar om planering av organisationens egna infrastruktur, samt att etablera goda kontakter med organisationer som den egna ISP:n eller eventuell tjänsteleverantör.

En väldigt viktig framgångsfaktor i hantering av DDoS-attacker är tillgången till loggar. Utan loggar kan det vara svårt att svara på vilken typ av attack eller vilka system som varit inblandade.

I de fall en genomförd riskanalys pekar på att det är värt att göra så kan organisationen utnyttja en s.k. "DDoS mitigation service". En sådan tjänst finns för att vid en attack helt enkelt omdirigera nätverket till en tjänsteleverantör som tvättar trafiken och skickar tillbaka den normala, det vill säga tar bort angreppet. Tekniskt sett så använder dessa tjänster sig av DNS eller en kombination av BGP/GRE. BGP/GRE-alternativet omdirigerar all trafik medan DNS-alternativet endast dirigerar om angrepp som använder sig av DNS-namnet och ger därför en lägre skyddsnivå.

Förutsättningar och terminologi

DDoS-attacker = Distruberade attacker från många system med avsikt att reducera tjänstens förmåga

BGP = Border Gateway Protocol

GRE = Generic Routing Encapsulation

DNS = Domain Name System

Vad kan CERT-SE bidra med?

  • Rådgivning
  • Ytterligare information

Förslag på förberedelser

  • Utse en grupp som kommer att vara ansvarig för hanteringen av en framtida DDoS-incident
  • Öva gruppen i scenariobaserad incidenthantering
  • Logghantering, se till att det finns loggar tillgängliga från system som: FW, router, DNS, Webbserver, Proxies med flera
  • Kontakta ISP:n eller tjänsteleverantören för att se om de kan erbjuda skydd mot eller vara behjälpliga vid en attack
  • Få med incidenthantering av DDoS-attacker i avtal med IT-partners
  • Konfigurera filter i nätverksutrustning att blockera vissa kända typer av trafik som vanligen används i DDoS-attacker
  • Etablera en baslinje över systemlasten samt övervaka för att upptäcka en attack i ett tidigt skede
  • Använd lastbalanserare för publika tjänster, de kan eliminera vissa applikationsattacker
  • Förbereda en webbplats - vilken aktiveras vid en attack - som bör innehålla ett minimum av bilder och dokument av liten filstorlek (vilket bör verifieras periodiskt)
  • Sprida bilder och dokument på flera webbservrar t.ex. på andra nätsegment eller ett externt webbhotell
  • Se över konfigurationer av publika servrar
  • Ställ ner TTL:en på DNS:er för att underlätta vid en nödvändig ompekning av en tjänst till ny IP-adress under en attack
  • Minska "time out" för TCP-sessioner
  • Använd ett enhetligt loggformat för att skapa en tydligare bild från flera loggkällor

Kontakter

Det är viktigt att etablera goda kontakter med andra organisationer som kan vara till hjälp vid en eventuell attack. Vilka som bör kontaktas kan vara individuellt från organisation till organisation. Den viktigaste länken vid ett allvarligt fall av DDoS är organisationens ISP som är den första länken till Internet, där ett visst skydd och motmedel kan etableras.

  • ISP:er och tjänsteleverantörer
  • CERT-organisationer
  • Polis och andra myndigheter

Referenser och länkar till ytterligare information

CERT-SE:s råd angående tillgänglighetsattacker

http://en.wikipedia.org/wiki/Denial-of-service_attack

http://www.iwar.org.uk/comsec/resources/dos/DDoS_en.htm

http://zeltser.com/network-os-security/DDoS-incident-cheat-sheet.html

http://www.darkreading.com/security/attacks-breaches/240003662/how-to-select-a-DDoS-mitigation-service.html