Η άμυνα έναντι σε οποιοδήποτε
επίθεση τύπου Flood, μεταξύ αυτών και οι επιθέσεις DDoS, πρέπει να εξασφαλίζει ότι στις κύριες συνδέσεις
με το δίκτυο υπάρχει επαρκές εύρος ζώνης (bandwidth) και δυνατότητα άμεσης και δυναμικής αύξησης του
αν κάτι τέτοιο χρειαστεί.
Ενώ δηλαδή το αρχικό εύρος ζώνης
είναι αρκετό για να αντέξει τους χαμηλής δυναμικότητας επιτιθέμενους, υπάρχει η
δυνατότητα το σύστημα να μπορεί να διαθέσει άμεσα αρκετό εύρος ζώνης
προκειμένου να αντιμετωπίσει επιθέσεις μεγαλύτερης ισχύος. Ωστόσο επειδή είναι
δυνατό ο επιτιθέμενος να έχει εγκαταστήσει zombies σε χιλιάδες συστήματα στο διαδίκτυο και επειδή η
πρόσβαση σε μεγάλου μεγέθους bandwidth
αφενός έχει άνω όρια, αφετέρου απαιτεί σημαντική οικονομική δαπάνη, πρέπει
κανείς να χρησιμοποιεί και εργαλεία τα οποία εξετάζουν την κίνηση στο δίκτυο
και βεβαίως βοηθούν στην διαμόρφωση της κάνοντας διαχείριση των εισερχομένων
κλήσεων. (Tipton H., Krause M.; 2004)
Αλλά και πάλι επιθέσεις με μεγάλο
«στρατό» από zombies είναι δυνατόν να θέσουν εκτός
λειτουργίας τα εργαλεία διαχείρισης της κίνησης. Ως εκ τούτου για μεγαλύτερη
ασφάλεια θα πρέπει να χρησιμοποιηθούν και συστήματα ανίχνευσης εισβολών
(Κάτσικας Σ.;2001). Τα Σ.Α.Ε. «ακούνε» το δίκτυο και ενεργούν ως συναγερμοί
όταν αντιληφθούν πιθανή εισβολή στο σύστημα. (Ramachandran J.; 2002).
Επιπλέον ο ειδικός ασφαλείας θα
πρέπει να έχει φροντίσει να κάνει το κατάλληλο tuning στους web servers αλλά και όλες τις συσκευές στις
άκρες του δικτύου. Λόγου χάρη σε περίπτωση
μηχανών με λειτουργικά συστήματα της Microsoft Windows Server 2003 και μετά υπάρχουν ρυθμίσεις / παραμετροποίηση
για το Account Lockout Policy. Η
παραμετροποίηση αυτή αφορά αφενός στην ρύθμιση ενός μέγιστου αριθμού
προσπαθειών σύνδεσης και την χρονική διάρκεια που θα απενεργοποιηθεί η
δυνατότητα σύνδεσης από την ίδια πηγή σε περίπτωση πολλαπλών συνεχόμενων
αποτυχημένων προσπαθειών σύνδεσης. (Dillarf K., Maldonado J., Warrender B.;2003).
Χρήσιμο επίσης είναι η τακτική
παρακολούθηση των Audit Logon Events. Κάποιες από
τις εγγραφές στο αρχείο αυτό μπορεί να αναφέρουν αποτυχημένες συνδέσεις και
υποψίες για DDos attack.
Βιβλιογραφία
- Tipton H., Krause M.; (2004); “Information Security Management Handbook”; Auerbach Publications; New York; pp 260 - 262
- Κάτσικας Σ.;(2001); “Προστασία και ασφάλεια συστημάτων υπολογιστών: Ασφάλεια δικτύων”; Ελληνικό Ανοικτό Πανεπιστήμιο; pp 185-195, 235
- Ramachandran J.; (2002); “Designing Security Architecture Solutions”; Wiley Computer Publishing; Canada; pp 308-311
- Dillarf K., Maldonado J., Warrender B.; (2003); “Microsoft Solutions for Security”; Microsoft; pp 38 – 40, 56
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου