Resmen dalgalı suda seyrediyoruz. Ve tüm gemilerimiz denize açılmaya uygun değil. IDG tarafından yapılan bir araştırma, geniş kapsamlı DDoS korumasının olmamasının, kuruluşların karşılaştığı en önemli 3 güvenlik sorunu arasında yer aldığını ortaya koydu.
Bunu fark eden birçok şirket, özel hafifletme hizmetleri konusunda yardım istedi. Bu harika bir ilk adım. Ancak hala sıkılaştırılacak halatlar ve değiştirilecek halatlar var. Farklı kaynaklar, değişen derecelerde DDoS direncine sahiptir. Ve üçüncü taraf bir çözüm kullanmak her zaman yeterli değildir.
DDoS korumanızı geliştirmek için atabileceğiniz 10 adıma bir göz atalım. Ve umarım, hurda trafiğinin bu azgın kasırgasında güvenli bir demirleme yeri buluruz.
1. Adım. Güvenlik uzmanlarını tasarım aşamasına dahil edin
Bitmiş ürünlerdeki güvenlik açıklarını düzeltmek, bunları tasarım aşamasında azaltmaktan daha maliyetlidir. Konsept aşamasında bilgi güvenliği uzmanlarını dahil ederek tipik tuzaklardan kaçınabilirsiniz.
Güvenliği göz önünde bulundurmadan tasarım yaptığınızda ortaya çıkan birkaç yaygın sorun şunlardır:
- Geliştiriciler, DNS kullanmak yerine IP adreslerini sabit kodlayarak diğer kaynaklara erişimi ayarlar. Daha sonra değiştirilmeleri ve güvenlik açıkları oluşturmaları zordur.
- Uygulamalar istekleri bir protokol karışımı kullanarak işlediğinde, DDoS koruma sağlayıcıları kötü niyetli trafiği meşrudan ayırt edemez.
- Bazen uygulamalar o kadar birbirine bağımlı olarak oluşturulur ki, bir bileşenin aşırı yüklenmesi tüm sistemi çökertir.
Adım 2. Uygulamayı denetleyin ve bir DDoS koruma planı oluşturun
Uygulamanızın muhtemelen birden çok bileşeni vardır. Her biri farklı düzeyde DDoS koruması gerektirir.
Her bileşeni anlamak, sağlam bir güvenlik döngüsü oluşturmanıza, OSI modelinizin tüm katmanlarını korumanıza ve güvenlik duvarlarını nasıl kullanacağınızı planlamanıza olanak tanır.
İlk aşamanız ve orta vadeli gelişiminiz için bir yol haritası oluşturun. Bu, uygulamanız büyüdükçe DDoS korumasını sistematik olarak uygulamanıza yardımcı olacaktır.
3. Adım. SSL özel anahtarlarını ifşa edip edemeyeceğinize karar verin
SSL anahtarları ifşa edildiğinde DDoS koruması oluşturmak daha kolaydır. Ancak uygulamanız finansal hizmetler sağlıyorsa veya özel verilerle ilgileniyorsa bunları gizli tutmanız daha iyi olur. Bu, PCI-DSS standardına uygunluğu sağlayacaktır.
Bazı uygulamalar, belirli kaynaklar için özel anahtarları ifşa ederek kurtulabilir, ancak diğerleri için değil.
Bir de hibrit yaklaşım var. DDoS saldırılarına karşı koruma sağlamak için özel olarak oluşturulmuş bir sertifika anahtarı çifti kullanabilirsiniz (Let’s Encrypt hizmeti tarafından otomatik olarak verilir).
4. Adım. Güvenlik sağlayıcınıza trafik filtrelemeyle ilgili talimatlar verin
Bir portakal sepetinde bir elma bulmanız istendiğini hayal edin. Genellikle sıradan bir görev. Bunun dışında, fırın eldiveni ve göz bağı takmak zorundasınız. Artık o kadar önemsiz değil, değil mi?
Bir DDoS azaltma sağlayıcısını, trafiğinizi nasıl filtreleyeceklerine dair net belgeler vermeden tam olarak bu konuma getirirsiniz.
Entegrasyonun inceliklerini güvenlik ortağınızla tartışın ve trafik filtreleme konusunda bir kural kitabı hazırlayın. Bu, meşru paketleri kaybetmeden sahte müşteri isteklerini tespit etmelerine yardımcı olacaktır.
5. Adım. Anti-DDoS sağlayıcınızla uygulamanızın mimarisine ilişkin bir genel bakış paylaşın
Bu listeyi takip ediyorsanız, şimdiye kadar bir uygulama denetimini tamamladınız.
Süreçte toplanan bilgileri düzenleyin ve güvenlik ortağınıza iletin. Özellikle:
- Tarayıcı olmayan istemcilerin uygulamanıza erişebileceği konumların bir listesini oluşturun: API, AJAX, mobil uygulamalar ve diğerleri.
- Uygulamanızın mimarisini tanımlayın: kullandığı protokoller, bileşenlerin birbirleriyle ve harici sistemlerle nasıl etkileşime girdiği.
- Uygulamanızla etkileşime giren mobil uygulamalar veya meşru botlar hakkında mümkün olduğunca fazla bilgi verin.
Tüm bunlar, trafik filtrelemenin doğruluğunu büyük ölçüde artıracaktır.
6. Adım. Sunucunuzun IP adresini saldırgandan gizleyin
Hedefli saldırılar günümüzde yaygındır. Ve yetenekli tehdit aktörleri, alev alev yanan silahlarla üzerinize gelmeden önce mutlaka keşif yapacaklardır. Uygulamanızın IP adreslerinden birini bulmayı başarırlarsa, onu çalmaya devam edeceklerdir. Ve bir kez keşfedildiğinde, onu tekrar gizlemek neredeyse imkansız olacak.
Bu nedenle gerçek sunucunun IP adresinin dışarıdan görünmemesini sağlamak önemlidir. Posta başlıklarından, açık bağlantı noktalarından veya diğer hizmetlerden bulunup bulunmadığını kontrol edin.
7. Adım. Kullanılmayan hizmetleri devre dışı bırakın ve gereksiz bağlantı noktalarını kapatın
Evinizin ön kapısı ve arka kapısı varsa, hiç kullanılmasa bile ikisini de kilitli tutarsınız. İnternet uygulamalarında da öyle.
Kaynaklarınıza keskin bir bakış atın, ardından kullanılmayan tüm hizmetleri ve bağlantı noktalarını kapatın. Aksi takdirde, sizin ve güvenlik ortağınızın hiç beklemediğiniz bir yönden bir saldırı gelebilir.
Hazır bu konudayken, hizmetinize yalnızca DDoS karşıtı sağlayıcınız tarafından sağlanan IP adresi aracılığıyla erişilebildiğinden emin olun. Diğerlerinin erişimini engelleyin. Aksi takdirde, saldırgan korumanızı tamamen devre dışı bırakabilir.
8. Adım. Sunucu bileşenlerini optimize edin
Ne yazık ki, DDoS koruma ürünleri %100 doğru değildir. Paket filtreleme sırasında her zaman bir miktar yayılma vardır. Genellikle önemsizdir – %1’den az. Ancak kaynağınız optimize edilmemişse, örneğin saniyede bir terabit saldırısıyla karşı karşıya kaldığınızda, bu küçük yanlışlık bile onu alt etmek için yeterli olabilir.
İyi haber şu ki, bazı optimizasyon çalışmaları ile bunun önüne geçilebilir:
- Kaynağınızın barındırıldığı sunucuyu kontrol ediyorsanız, işletim sisteminin ağ yığınını optimize edin. Sunucunun gelen istekleri işleme yeteneğini artırmayı hedefleyin. Popüler CMS motorlarıyla performansa özellikle dikkat edin. Ayrıca, uygulamanız kullanıyorsa, DBMS performansını optimize edin.
- Sunucuyu kontrol etmiyorsanız, performans optimizasyonunu barındırıcınızın teknik destek ekibiyle görüşün. Genellikle, fiyatlandırma planını yükseltmek işe yarar. Ve yoğun saatlerde daha hızlı sayfa yüklenmesi bir bonus olacaktır.
9. Adım. DNS hizmetlerinizin DDoS’a dayanıklı olduğundan emin olun
Uygulamanız savunmasız kaynaklara dayanıyorsa, hiçbir DDoS koruması size yardımcı olmaz. Özellikle, DNS sağlayıcılarınız zayıf bir halka olabilir.
Saldırganlar onları başarılı bir şekilde hedeflerse, web siteniz kullanıcılar tarafından kullanılamayacaktır. En iyi senaryoda, bağlantı ciddi şekilde kararsız hale gelecektir.
Bir sağlayıcı seçerken, fiyatlandırma katmanınızdaki DDoS korunabilirliği hakkında bilgi alın. Sunucular, OSI modelinin tüm düzeylerinde (L3, L4 ve L7) saldırılara karşı önlemler almalıdır. Hem özel DNS hizmetleri hem de DDoS karşıtı çözümler bu tür seçeneklere sahiptir.
Ayrıca, birden çok DNS sağlayıcısına bağlanın; daha zayıf savunmalara sahip daha ucuz bir plan olabilir. Birincil bağlantının kesilmesi durumunda bunu yedek olarak kullanın.
Adım 10. Düzenli olarak stres testi yapın
Bir denetimi tamamladınız, bir koruma yol haritası oluşturdunuz, güvenlik açıklarını ortadan kaldırdınız ve daha yüksek DDoS direnci elde etmek için güvenlik ortağınızla birlikte çalıştınız. Artık kesinlikle, şüphesiz, inkar edilemez bir şekilde güvendesiniz. Ama sen değilsin.
Gerçek şu ki, korumanızın işe yarayıp yaramadığını savaşta test edilene kadar bilemezsiniz. Ve ilk gerçek saldırı sizin gözden kaçırdığınız bazı entegrasyon tekniklerinden yararlanırsa gerçekten yazık olur. Veya sağlayıcınızın teknik desteğinin bir futbol maçı izlerken tembellik yaptığı bir zamanda oldu.
Bu nedenle stres testi çok önemlidir. Ve üretken stres testinin anahtarı tamamen dışarı çıkmaktır. Savunmalarınızda aktif olarak eksiklikler bulmaya çalışın:
- Bileşenlerin ve aynı zamanda güvendikleri hizmetlerin dayanıklılığını test edin.
- Güvenlik ortağınızın hazır olup olmadığını doğrulamak için hafta sonları ve resmi tatillerde saldırıları simüle edin.
- OSI modelinin farklı katmanlarına baskı uygulayın.
- Her büyük güncellemeden sonra bir stres testi tekrarlayın.
Kontrol listesi
Daha iyi DDoS koruması için bugün ele aldığımız 10 adımın tümünün özeti burada:
- Güvenlik uzmanlarını tasarım aşamasına dahil edin
- Uygulamayı denetleyin ve bir DDoS koruma planı oluşturun
- SSL anahtarlarını ifşa edip edemeyeceğinize karar verin
- Güvenlik sağlayıcınıza trafik filtrelemeyle ilgili talimatlar verin
- Anti-DDoS sağlayıcınızla uygulamanızın mimarisine ilişkin genel bir bakış paylaşın
- Sunucunuzun IP adresini saldırgandan gizleyin
- Kullanılmayan hizmetleri devre dışı bırakın ve gereksiz bağlantı noktalarını kapatın
- Sunucu bileşenlerini optimize edin
- DNS hizmetlerinizin DDoS’a dayanıklı olduğundan emin olun
- Düzenli olarak stres testi yapın
Çözüm
DDoS tehdidi Covid gibidir. Hiçbir yere gitmiyor ama onunla birlikte yaşamayı öğrenebiliriz. Aşılar ve güçlendirici aşılar gibi, buna karşı koruma sağlayan araçlar var. Maskeler ve sosyal mesafe gibi, güvende kalmak için atabileceğimiz adımlar var.
Ve tıpkı Covid gibi, DDoS da varlığını görmezden geldiğimizde en tehlikeli halini alıyor. En iyi uygulamaları bıraktığımızda. Sürekli tetikte olmak biraz çaba gerektirebilir. Ancak sonuç her şeye değer – daha güvenli bir dünya.