Geçtiğimiz hafta A.B.D.'de bulunan bir veri merkezinin DNS sunucularına yönelik yapılan yoğun DDoS saldırıları çokça konuşuldu. Hedefteki veri merkezinin Pazar günü "3. Bir saldırı dalgasıyla mücadele ediyoruz" demesi bu saldırının bir süre daha devam edebileceğine işaret edebilir.

Bu saldırıyı farklı kılan temelde 2 özellik var;

-Saldırıda, bilgisayarların değil, güvenlik kameraları gibi internete bağlı sistemlerin kullanılması

-Saldırının DNS sunucularını hedef alması

Bugün geldiğimiz noktada bu olaydan çıkartmamız gereken bazı dersler ve kuruluş bilgi güvenliğimizi artırmak için gözden geçirmemiz gereken bazı tedbirler var.

DDoS Koruması

Dağıtık hizmet dışı bırakma (DDoS – Distributed Denial of Service) saldırıları hepimizi hedef alabilir. DDoS saldırılarına her an hazır olunmalı ve Siber Olaylara Müdahale Ekibi (SOME) bu saldırı türü için ayrıntılı bir müdahale planı geliştirmiş olmalıdır.

Bunun dışında DDoS saldırılarına karşı alınabilecek bazı tedbirler şunlardır;

Saldırı türünü anlamak

Kuruluşunuza yönelik yapılan bir DDoS saldırısının türünü tespit edecek bir yapı kurulmalıdır. Çok karmaşık (bkz. pahalı) bir çözüm olmasına gerek yok, basitçe SYN Flood, UDP flood, vb. belli başlı DDoS türlerinden hangisiyle karşı karşıya olduğumuzu anlayacak kadarı yeterli. Bunun için gelen trafiğin içerisindeki paketleri görmenizi sağlayan herhangi bir çözüm fazlasıyla yeterli olacaktır. Bu paketleri incelemek saldırı kapsamında gelen paketleri normal internet trafiğinden ayrıştırmak için kullanabileceğimiz özellikleri tespit etmemizi sağlar.

Karadeliğe göndermek

"Black-holing" veya "sinkholing" olarak da bilinen bu yöntemle saldırı trafiği var olmayan bir hedefe yönlendirilir. Bunu yaparken bir ölçüde normal paketlerin (örn: site ziyaretçileri) bir kısmının da buraya gidebileceğini düşünmekte fayda olabilir. Bu işlem için firewall vb. cihazlar yerine daha yüklü ağ trafiğini kaldırabilecek "application delivery" (F5, Citrix, A10, vb.) kullanılması daha doğru olur.

Firewall ile DDoS engellemek

Firewall ve routerlar temel bazı DDoS türlerini (örn: ping saldırılarını) durdurmak için kullanılabilir. Bu cihazların el verdiği ölçüde bu ayarların, bir saldırı yaşamadan önce, yapılmasında fayda vardır. IPS/IDS çözümlerinin de bu sürece dahil edilmesi daha gelişmiş saldırıları da (bu cihazların anormallik tespit etme yeteneği sayesinde) firewall üzerinde durdurma imkanı verebilir.

Güvenlik tedbirlerini almak

İnternet hizmet sağlayıcılarının hemen hepsi DDoS saldırılarına karşı belli koruma hizmetleri sunuyor. Kuruluşunuz ciddi bir DDoS tehdidi ile karşı karşıyaysa (bkz. internete açık hizmetlerinizin aksaması size para ve/veya itibar kaybettirecekse) bu hizmeti almanızı öneririm. Kamu ve finans gibi hizmet aksamalarına tahammül edemeyecek sektörlerin, bu hizmete ek olarak, kuruluş ağının girişine bir DDoS engelleme çözümü konumlandırmalarında fayda vardır.

Kameralara dikkat

Bu olayda kullanılan kameraları hedef alan "Mirai" zararlı yazılımı sistemlere bulaşmak için fabrika çıkışlı kullanıcı adlarını ve parolalarını deniyor. Sızma testleri sırasında kuruluş ağında fabrika çıkışlı parolası ile kullanılan kamera, yazıcı, video konferans sistemlerine sıkça rastlıyorum. Bu fırsatı bulmuşken, bu kullanıcıların, en azından parolalarının, değiştirildiğinin kontrol edilmesini öneririm.

DNS sunucularını unutmayın

Bu olayda hedef alınan DNS sunucularının güvenliği konusunda yapılması gerekenleri yapmakta fayda var. Bu konuda yayınladığımız özet bir dokümana http://www.slideshare.net/AlperBasaran/garnizon-dns-guvenligi adresinden ulaşabilirsiniz.