TLS1.3 için DDoS Savunmalarının Yeniden Değerlendirilmesi

Şifreleme, güvenlik hazinemizdeki en değerli araçlardan bir tanesidir. Çevrimiçiyken, mobil çağrılar yaparken vb. gizliliğimizi ve kişisel bilgilerimizin güvenli bir şekilde depolanmasını sağlar. Şifreleme, verileri gizlilik içinde alıp vermemizi ve (birçok durumda) veri alışverişini kiminle ya da ne ile yaptığımızı doğrulamayı sağlar. Şifreleme, hayatlarımızın neredeyse her yönüne nüfuz etmiş olan her şeyin bağlantılı olduğu dünyaya ‘güvenmemize’ yardımcı olmuştur.

Ancak, hepimizin bildiği gibi, şifreleme tüm güvenlik sıkıntılarımızın çözümü değildir. Fidye yazılımlarda bize karşı kullanılır ve Taşıma Katmanı Güvenliği (TLS 1.3) gibi şifreleme teknolojisindeki bazı ilerlemeler, birtakım tehditleri tanımlayıp engellemeyi daha zor hale getirebilmektedir. Geçmişten bu yana, ağ tabanlı tehdit ve dolandırıcılık algılama çözümlerinin birçoğu, şifrelenmiş oturumların şifresinin, sunucu özel anahtarlarına erişim yoluyla şeffaf ve pasif bir şekilde çözülmesine dayanmaktadır. TLS 1.3’ün kullanıma sunulmasıyla birlikte, bir oturumun şifresini çözmek için gereken tüm ek bilgiler satırdan anlaşılamayacağı için bunu yapmak kolay değildir. TLS 1.3, Mükemmel İletme Gizliliği‘nin (Perfect Forward Secrecy – PFS) kullanılmasını gerektirir (iletişimimizin gizliliğini artırır) ancak başka sorunları ele alma mekanizmamızı yeniden düşünmemize neden olur.

Yeniden ele alınması gereken konulardan biri de bazı DDoS saldırısı biçimlerini saptamaya ve azaltmaya yönelik mekanizmamızdır. En son Global Altyapı Güvenliği Raporu‘na (Worldwide Infrastructure Security Report – WISR) göre, şifrelenmiş web hizmetlerini hedef alan saldırıların sayısı son yıllarda gittikçe artmaktadır. Özellikle, 2017 yılında işletme, kamu ve eğitim (EGE) kurumlarının %53’ü, uygulama katmanında şifrelenmiş hizmetlere yönelik saldırılar tespit etmiştir. Uygulama katmanı saldırıları, orijinal kullanıcı trafiğinden ayırt edilmesi çok zor olan trafiği kullanır ve genellikle bir saldırıda rol alan etkinlik modellerini belirlemek için gerçek uygulama katmanı işleminin analiz edilmesini gerektirir. TLS 1.3 benimsendiğinde bu sürece yönelik yaklaşımımız değişmelidir.

 

Anahtarların Paylaşılması

Bu yaklaşım, uygulama katmanı saldırılarına karşı etkili olabilecek bir hizmet türü olarak CDN hizmetinin kullanılmasıdır. Şifrelenmiş hizmetler korunuyorsa, bu durum hizmet sahibinin üçüncü taraf sağlayıcı tarafından kullanıma yönelik özel anahtarlar verdiği veya oluşturduğu anlamına gelebilir. Bunun geçerli olup olmadığına bakılmaksızın, CDN sağlayıcısı denetim nedeniyle kendi ortamındaki müşteri iletişimini sonlandırır ve şifresini çözer. Bunun yapılması, sağlayıcının uygulama katmanı DDoS saldırılarını azaltmasına olanak tanıyabilir ancak gizlilik vb. konularda başka riskler vardır. Bazı durumlarda bu riskler son müşteriler ve hizmet sahipleri için kabul edilebilir nitelikte olsa da, bazı durumlarda böyle değildir ve işi tamamlamak için ağ üzerinde ters proxy kullanmaya ilişkin ikinci seçeneğe başvurulmasına neden olur.

Yük dengeleme işleminde yaygın olarak kendi ters proxy’leriniz kullanılır ve doğası gereği trafiğin denetlenmesine izin verir. İdeal bir dünyada, saldırgan ana bilgisayarların tanımlanıp engellenebilmesi için proxy bir DDoS koruma çözümüne telemetri sağlayabilir ve proxy’ler durum kaybına neden olan DDoS saldırılarına elverişli olduğu için proxy üzerinde kaynakların tüketilmesini engelleyebilir.

Durum kaybına neden olan saldırılar, proxy’nin oturumları yönetme becerisini hedefler ve (ne yazık ki) oldukça yaygındır. Hem durum kaybına neden olan saldırıları hem de TLS anlaşmasını hedefleyen saldırıları belirleyip engelleyebilen bir DDoS koruma çözümü ile ters proxy’ye ön uç uygulanarak bu sorunun üstesinden gelinebilir.

Bununla birlikte bir üçüncü çözüm vardır: şeffaf, pasif şifre çözme. Fakat bir saniye, TLS 1.3 bunu imkansız hale getirdi diyorduk…

Geçici Diffie-Helman şifrelemeleri (TLS 1.3’te kullanıldığı gibi) kullanılırken pasif şifre çözmenin mümkün olmadığı ortaya çıktığı için, farklı oturumlarda ağ üzeri güvenlik çözümleri ile paylaşılan (bir anahtar yönetimi platformu kullanılarak) ve sonra düzenli olarak dönüştürülen IF statik anahtarları kullanılır. Bu mekanizma, TLS 1.3’ten önce mevcut olanlara benzer şekilde, tehdit tanımlama ve engelleme amacıyla trafik şifresinin şeffaf bir şekilde çözülmesine olanak tanır.

Güvenliğin tüm yönlerinde olduğu gibi, farklı çözümler kuruluş ihtiyaçlarına, müşterilerinin ihtiyaçlarına ve geçerli yönetmelik gerekliliklerine göre farklı bir kuruluşa hitap eder. Buna karşın, uygulama katmanı DDoS saldırılarının hiç olmadığı kadar yaygın hale gelmesi nedeniyle uygun bir çözüm KULLANILMALIDIR.

Şifreleme vazgeçilmezdir ve PFS, bağlı dünya ile etkileşimlerimizin genel güvenliğini şüphesiz bir şekilde iyileştirir. Buna karşılık, savunma yığınımızın diğer unsurlarına etkisini göz önünde bulundurmamız ve bunun üstesinden gelmemiz zorunludur. Bu durum, işletmemiz için en uygun çözümü uyguladığımızdan emin olabilmemiz adına kuruluşlarımızdaki BT, ağ ve güvenlik ekipleriyle birlikte çalışmamızı gerektirir.