XLabs Web Firewall na defesa de um ataque DDoS em Layer 7 [Caso Real]

xlabs-web-firewall-na-defesa-ataque-ddos-layer-7-blog-post-xlabs

No mês de abril do ano de 2015 fomos contratados por uma das maiores empresas em hospedagem de websites e cloud computing do Brasil para a defesa de seus sistemas, aos quais vinham sofrendo diariamente diversos ataques sofisticados direcionados a sua infraestrutura de TI e sistemas próprios. O nome e informações do cliente serão omitidos por questões contratuais de sigilo.

Nossa resposta aos incidentes foi praticamente imediata, após o contato com a empresa cliente e contratos assinados, fomos diretamente para as análises que temos como praxe, análises básicas de segurança da infraestrutura do cliente, e de pronto encontramos diversas falhas e configurações inseguras em diversos serviços internos aos quais a empresa mantinha, analisamos a infraestrutura dos Data-Center’s que esta empresa mantém em São Paulo-SP e também identificamos algumas falhas, o cliente devidamente ciente da situação começou imediatamente as correções em seus sistemas.

Após as análises de segurança, começou-se então a auditoria de sistemas como regras de firewall’s e auditorias em ambientes de hospedagem e cloud. Identificou-se que algumas regras no firewall estavam duplicadas, outras funcionalidades essenciais para a segurança do negócio desabilitadas, após uma conversa com o Gerente de TI identificamos também que a empresa desconhecia a utilização de Web Application Firewall’s, o mesmo confundia as tecnologias de Next Generation Firewall como sendo a mesma tecnologia de um Web Application Firewall, confusão muito comum para gestores de TI e administradores de empresas, afinal, são diversos sistemas utilizados na segurança digital de uma empresa, gestores não tem o foco somente na segurança de seus sistemas, mas sim na qualidade de seus serviços/produtos e seus funcionários. [Dúvidas entre NGFW e WAF? clique aqui]

Após a identificação destes itens, obtivemos permissão do gestor de TI para administrarmos o firewall da Palo-Alto Networks de modelo PA-3020, firewall este que é de uma das empresas que estão no top 10 do Gartner em liderança de soluções em Next Generation Firewall’s, após obtermos a permissão para a administração do Firewall, durante este “meio tempo” a empresa começou a perceber a lentidão de um dos servidores que faz Application Request Routing (ARR da Microsoft), nosso consultor foi acionado devido a lentidão parecer algum tipo de ataque, ao analisarmos o firewall PA-3020, na feature de URL Filtering percebeu-se então a grande quantidade de requisições chegando ao ARR da empresa com uma assinatura estranha, todas as requisições baseavam-se em requisições “legítimas” tentando acesso a uma URL /*/ext onde * seria substituído por qualquer letra do alfabeto.

Baseando-se nestas informações o gestor de TI resolveu criar uma regra na feature do PA-3020 que toda a requisição contendo “/*/ext” fosse bloqueada pelo firewall, após o commit das regras, perceberam-se os serviços do ARR voltando a normalidade, o processamento do servidor baixou e pode-se navegar nos sistemas da empresa tranquilamente.

Abaixo podemos ver na imagem o Firewall Palo-Alto PA-3020 bloqueando todas as requisições ao endereço do servidor de ARR com a assinatura do ataque.

PaloAlto_Logs

Após alguns minutos, perceberam-se instabilidades na rede do Data-Center inteiro, novamente nossa consultoria foi acionada, para analisarmos o que possa ter ocorrido no Data-Center do cliente, ao analisarmos o Firewall, percebemos que o mesmo havia caído, não suportando a grande quantidade de requisições geradas pelo ataque.

Podemos perceber esta afirmação no uptime do equipamento ao analisarmos, segue na imagem abaixo.

UPtime

Percebemos também que o ataque conseguiu consumir o número máximo de sessões ao qual o Palo-Alto PA-3020 suporta, que é de 250 mil sessões simultâneas, como podemos perceber estes números na imagem abaixo.

PaloAlto_240k_sessions

Após certo período, o cliente nos informou que o Palo-Alto não estava reduzindo a quantidade de sessões e nem estava mais barrando o ataque, e sim estava se tornando mais uma vítima do ataque DDoS em camada de aplicação (Layer 7) que estava a ocorrer, o Palo-Alto já estava com suas sessões em 260 mil, bem acima do esperado de sessões do appliance, deixando a rede completamente lenta e correndo o risco de novamente cair e deixar o Data-Center por alguns minutos off-line, ocasionando cerca de 20 mil clientes offline no momento de reboot do firewall.

PaloAlto_260k+_sessions

Ciente do problema que estávamos a encarar, decidimos então colocar nossa ferramenta até então em desenvolvimento para uma tentativa de barrar o ataque, informamos o cliente de nossa ferramenta, que estava em desenvolvimento e que poderia barrar certo ataque, por se tratar de um ataque em camada de aplicação, justamente ataques que nossa ferramenta foi programada para defender. O cliente ciente de todas as instabilidades que poderiam ocorrer, nos informou que não seria tão impactante se somente um sistema fosse afetado e não todo o Data-Center onde mais de 20 mil clientes mantém suas aplicações e sistemas online.

Ao sermos autorizados a efetuar a defesa do sistema atacado, começamos a trabalhar em conjunto com as equipes de infra-estrutura de TI da empresa cliente, solicitamos as equipes do cliente que fosse instalado nosso sistema de Web Application Firewall em um cloud server dentro de seu Data-Center, tarefa não muito complicada para os engenheiros da empresa cliente.

Após a criação do cloud-server com nosso sistema de web firewall, o cliente foi orientado por meio de nosso consultor in-loco a direcionar em seus DNS’s o CNAME do sistema que estava a ser afetado pelo ataque ao IP do cloud-server que hospedava nossa aplicação para a mitigação do ataque ser efetuada através de nosso sistema, nossos consultores localizados em nosso Centro de Operações em Segurança (SOC) obtiveram maiores informações do ataque, podendo assim desenvolver assinaturas dos padrões de detecção do ataque e começar a mitigação do mesmo, até então tínhamos informações de que poderia se tratar de apenas um ataque de DoS vindo somente de um IP e direcionado ao sistema de nosso cliente.

Após nossa ferramenta ser “alimentada” com a nova assinatura de ataque, começou-se então a mitigação do ataque através de nossa ferramenta, não afetando mais o Data-Center do cliente, nem mesmo o sistema alvo do ataque, apenas tráfego legítimo estava passando ao sistema do cliente.

Possuímos uma linha do tempo com a quantidade de requisições barradas por nosso Web Firewall, incluindo também as manutenções em nosso WebIPS ao qual foi aperfeiçoado para detectar e bloquear os IP’s que estavam cometendo o ataque, este bloqueio não se trata de um bloqueio definitivo, e sim um bloqueio temporário.

Requests

A seguir temos uma imagem de nosso sistema de Web Application Firewall em sua versão 1.0 Beta demonstrando a defesa de uma requisição do ataque,

DDoS

Ao notarmos que as requisições não sessavam e vinham praticamente de diversas origens, resolvemos recolher informações do Web App Firewall para sabermos a quantidade de IP’s que estavam a atacar o sistema de nosso cliente, foi então que percebemos de se tratar de um grande ataque de DDoS em Layer 7 contra o sistema do cliente, o ataque persistiu por cerca de um mês, a seguir temos uma lista dos IP’s que formaram esta botnet que efetuou este ataque.

Pelos cálculos, se formos levar em consideração que cada máquina na melhor das hipóteses tenha gerado 1Mbps de tráfego ao servidor alvo, nossa ferramenta defendeu um ataque de aproximadamente 300Mbps, lembrando que isso na melhor das hipóteses, podendo na pior das hipóteses atingir um valor bem maior se tivermos máquinas com maior capacidade de gerar tráfego.



Gostou do artigo? Compartilhe.

Share on linkedin
LinkedIn
Share on facebook
Facebook
Share on whatsapp
WhatsApp

Faça parte da nossa lista de emails!