Ribbon SBC: Захист VoIP-інфраструктури від DDoS-атак
Розподілені атаки типу «відмова в обслуговуванні» (DDoS) є постійною проблемою для постачальників послуг зв’язку, наражаючи на ризик критично важливі системи, порушуючи угоди про рівень обслуговування та створюють небажані заголовки новин.
Останні тенденції DDoS-атак
Хоча атаки існують від початку епохи Інтернету, зловмисники продовжують удосконалювати свої методи та вдосконалювати можливості їх виконання. Ми побачили деякі недавні тенденції в DDoS-атаках:
- Об’ємні атаки – зловмисники все частіше підробляють вихідні адреси жертви DDoS для надсилання запитів на сервер хост (тобто відбивач). Цей хост генерує відповідь, яка у кілька разів перевищує розмір повідомлення-запиту, у бік жертви DDoS, що призводить до великого обсягу трафіку для атаки. Зловмисники використовують такі протоколи, як DNS, CLDAP і SNMP, з їх високим коефіцієнтом посилення між запитами та відповідями, що ускладнює визначення того, яка атака завдає найбільшої шкоди внаслыдок одночасного використання кількох відбивачів.
- Використання найманих DDoS-послуг, дозволяє зловмиснику легко ініціювати кілька атак, особливо у поєднанні з об’ємними методами атаки
- Мінімальний розмір пакета. Все частіше в DDoS-атаках використовуються пакети невеликого розміру, що допомагає уникнути виявлення – у деяких випадках середній розмір пакета був меншим за 100 байтів.
- Багаторівневість – DDoS-атаки націлені на рівні 3, 4 та 7 (порти сигналізації SIP).
- Адаптивність – DDoS-атаки перетворюються на багатоетапні атаки або відбуваються повторні атаки. Наприклад, грубе переливання трафіку може розвинутись і стати об’ємним внаслідок відображення з використанням ботнетів для UDP з підроблених законних джерел, а потім перетворитися на цільові спроби лавинної розсилки певних API-інтерфейсів VoIP.
- Розповсюдження ботнетів. Зловмисники все частіше використовують прямі атаки, що виходять із ботнетів, для запуску атак на рівні додатків. У першій половині 2022 року кількість атак прямого шляху збільшилася на 11 відсотків порівняно з другою половиною 2021 року, майже всі з яких пов’язані з інноваціями у ботнетах.
Рекомендації щодо боротьби з DDoS-атаками
Що ж робити постачальникам послуг перед цими зростаючими загрозами? Ось чотири ключові рекомендації для постачальників послуг для протидії потенційним DDoS-атакам, а також основні можливості, які дозволяють прикордонним контролерам сеансів Ribbon SBC забезпечувати пом’якшення наслідків DDoS:
- Посилення безпеки з’єднань. Працюйте з IP-вузлами для підвищення безпеки шляхом переведення IP- з’єднань з UDP на TCP для SIP-транспорту (атаки на основі UDP склали 61% усіх атак у першому півріччі 2022 року). Крім того, впровадьте шифрування IP-з’єднань за допомогою TLS для сигналізації та SRTP для медіа. Наприклад, ці протоколи є частиною пропозицій Microsoft Teams Direct Routing та Operation Connect.
- Зверніть увагу на оповіщення/сигнали сканування портів – для DDoS-атак потрібні відкриті порти, а сканування портів є ключем до виявлення відкритих портів, тому їх слід активно відстежувати за допомогою системи виявлення вторгнень, щоб попередити про значні зміни в об’ємі або незвичайних джерелах сканування портів.
- Огляд та оптимізація рішення протидії DDoS. Вкрай важливо проаналізувати наявні процедури та процеси протидії DDoS та визначити, чи слід і як їх змінити для оптимізації захисту та пом’якшення наслідків.
- Перегляньте та, за необхідності, оптимізуйте рішення SBC. Постачальники рішень для запобігання DDoS-атакам зазвичай включають функцію брандмауера вебдодатків (WAF) для забезпечення безпеки рівня 7, але VoIP не є традиційним вебдодатком. Тому важливо перевірити можливості захисту від DDoS наявних SBC і переконатися, що їх конфігурації оновлені. Наприклад, як давно оновлювалися списки контролю доступу і чи в списках ACL були вказані незвичайні адреси джерел сканування портів?
Рішення Ribbon SBC для протидії DDoS
Будучи лідером ринку в галузі безпеки VoIP, можливості Ribbon SBC для виявлення та запобігання DDoS-атакам включають:
- Політика CL — Використовуйте контроль рівня доступу, щоб дозволити трафік із довіреними попередньо налаштованими IP-адресами.
- Вивчення IP-адреси — коли IP-адреси, що використовуються дійсними вузлами/кінцевими точками, невідомі або можуть змінюватися динамічно, вузли підтверджуються як довірені тільки після отримання конкретних дійсних запитів SIP.
- Політика медіапакетів — медіапакети приймаються лише тоді, коли вони відповідають сеансу, узгодженому через сигналізацію SIP/SDP.
- Вивчення медіаадреси — якщо однорангова медіаадреса, яка оголошена в SIP/SDP, не відповідає, фактичній адресі джерела пакетів RTP, можна дізнатися однорангову медіаадресу для виконання політики наступних пакетів.
- Політика пакетів з урахуванням пріоритету – обмеження швидкості пакетів сигналізації SIP на основі мікропотоків + надання вищого пріоритету пакетам з автентифікованих джерел, ніж пакетам з невідомих джерел, що значно збільшує ймовірність того, що корисний трафік буде пропущений, а шкідливий трафік зупинено.
- CAC на рівні програми – забезпечує контроль допуску викликів (CAC) для обмеження швидкості трафіку на рівні однорангового вузла/IP-магістралі/IP-магістральної групи, а також може бути наданий для обмеження використання смуги пропускання.
Сьогодні виявлення та припинення DDoS-атак стало необхідною частиною бізнес-стратегії кожного постачальника послуг. Ribbon пишається тим, що співпрацює з постачальниками послуг по всьому світу та пропонує їм набір SBC з повним набором можливостей безпеки, які дозволяють нашим клієнтам виявляти та пом’якшувати наслідки DDoS-атак на їхні критично важливі послуги VoIP.
Ribbon Communications у компанії NWU та цінність для ринку IP-телекомунікацій
Ribbon Communications є світовим лідером у галузі рішень для корпоративних мереж зв’язку та телефонії. Компанія постачає телекомунікаційне програмне забезпечення, IP- та оптичні мережеві рішення для постачальників послуг, підприємств і секторів критичної інфраструктури по всьому світу. Компанія тісно співпрацює з клієнтами, допомагаючи їм модернізувати їхні мережі для покращення конкурентного позиціювання та бізнес-результатів у сучасному розумному, постійно включеному світі, який постійно потребує даних. Портфоліо інноваційних наскрізних рішень Ribbon забезпечує неперевершений масштаб, продуктивність і гнучкість, включаючи комплексні рішення, орієнтовані на програмне забезпечення, хмарні пропозиції, передові інструменти безпеки та аналітики, а також рішення для IP та оптичних мереж для 5G.
Завдяки NWU вітчизняний бізнес та оператори зв’язку мають можливість купити Ribbon SBC в Україні та отримати продуктивність та безпеку зв’язку, а також купити SBC SWe – розгортання SBC у хмарі або на власному сервері.
Бажаєте купити Ribbon SBC в Україні або розгорнути для додатків зв’язку в реальному часі, а також отримати консультації щодо лінійки Ribbon Connect, Ribbon SBC та інтеграції з Zoom Phone: