Fonctionnalité de protection du cœur de réseau contre les attaques DDoS
Au vu de la multiplication et de la démocratisation des attaques par déni de service, la question de la « protection anti-DDoS » entre au cœur des décisions SSI pour les grandes entreprises.
Il est aujourd’hui nécessaire d’allier des mesures à la fois techniques et organisationnelles permettant de répondre à deux enjeux cruciaux : la détection (avant l’attaque) et la réaction (après l’attaque).
Les mesures techniques visent à mettre en place une protection physique par le biais d’équipements de sécurité, pouvant s’opérer à deux niveaux : en amont du SI (au niveau des réseaux de l’opérateur) et directement en frontal (sur le site à protéger).
Une protection exclusivement manuelle : il s’agit de la mise en place de filtrages spécifiques par l’opérateur et de la configuration d’équipements de sécurité du SI.
Cette stratégie à faible coût, pouvant être qualifiée de « protection par défaut », est aujourd’hui la plus communément utilisée.
Un « boîtier anti-DDoS » en frontal : proche du SI, ce boîtier sert de « bouclier » et permet une protection immédiate, avec réinjection du trafic légitime.
Il nécessite en revanche une expertise interne conséquente et peut ainsi entraîner d’importants coûts récurrents, en plus des coûts liés à l’investissement.
De plus, sans protection en amont du SI, le niveau de protection offert par le boîtier face aux attaques volumétriques est limité à la capacité du lien réseau qui le précède.
Utilisé seul, un tel boîtier montre rapidement ses limites.
Une protection Cloud, en amont : située dans le Cloud ou le réseau opérateur, cette protection permet de bénéficier d’un service et d’une expertise externalisés.
Grâce à ses mécanismes de redirection ponctuelle ou permanente, de nettoyage du trafic et de réinjection, elle permet la gestion d’attaques à forte volumétrie.
Cette solution entraîne en revanche des coûts élevés et ne permet pas de se protéger contre l’ensemble des différents types d’attaques.
Une stratégie hybride : il s’agit ici d’allier deux des trois premières stratégies, à savoir une protection distante dite « Cloud » et un boîtier physique, en frontal du SI.
Malgré un coût logiquement le plus élevé, les avantages viennent s’additionner et permettent de faire face à l’évolution de la menace.
Les attaques à la fois volumétriques et par saturation de table d’état, aux niveaux réseau ou applicatif peuvent ici être maîtrisées et la continuité du service est assurée.
Au-delà de la protection physique, il est important d’acquérir un certain nombre de bonnes pratiques permettant une gestion de crise optimale en cas d’attaque.
Ces mesures organisationnelles peuvent être classées en trois étapes chronologiques :
Bien qu’elles soient aujourd’hui démocratisées, inévitables pour la plupart et parfois ravageuses, les attaques par déni de service distribué engendrent des impacts pouvant être relativement maîtrisés, pourvu que la question de la protection ait été traitée à temps par l’entreprise.