DDoS Saldırılarından Korunmada Firewall'un Önemi
Dijitalleşme ile artan siber tehditler karşısında, şirketler teknoloji altyapılarını korumak için özellikle DDoS saldırılarına karşı önlem almayı öncelikli bir görev olarak görmektedir.
Dijitalleşmeyle birlikte şirketlerin iş süreçleri teknoloji ile entegre hale geldi. Şirketler için dijitalleşme verimlilik artışı sağlasa da yeni nesil tehditlerin de ortaya çıkmasına neden oldu. Şirketlerin tüm iş süreçlerinin temelinin internet ve bilgisayar teknolojilerine dayanması siber saldırganları veya bir diğer adıyla hackerların da iştahını kabartmaktadır. Her geçen gün farklı ve gelişmiş yöntemler ile şirketleri hedef alan siber saldırılara karşı korunmak, şirketlerin birincil görevleri arasında yer almaya başladı. Bu yazımızda şirketlerin teknoloji altyapısını hedef alan siber saldırı türlerinden DDoS saldırılarını ve bu saldırılardan nasıl korunabileceğinizi ele alıyoruz.
DDoS Saldırıları Nedir?
DDoS saldırıları özellikle kurumsal ağları hedef alan siber saldırılarda sıklıkla kullanılan bir yöntemdir. DDoS kelimesi, Distributed Denial-of-Service’in kısaltmasıdır. Türkçe’de dağıtılmış hizmet reddi saldırısı anlamına gelen DDoS saldırıları, anlık ve yoğun trafik ile hedefte bulunan sunucuları belirli bir süre hizmet veremez duruma getirmek amacıyla gerçekleştirilen siber saldırılardır.
Şirketlerin bilgi işlem altyapılarının temelini sunucular ve ağlar oluşturur. Şirket içi iletişimi ve iş süreçlerini destekleyen uygulamaların barındırıldığı sunucular kadar müşterilerin de erişimine açık olan e-ticaret platformu gibi servislerin barındırıldığı sunucular bulunur. DDoS saldırıları ile genellikle herkesin erişimine açık olan sunucular hedef alınır.
Her bir sunucu belirli miktarda trafiği karşılayabilecek kapasitededir. Günümüzde ölçeklenebilir sistemler ile anlık ve dönemsel trafik değişimlerine karşı baş edilebilir. Bu duruma en iyi örnek olarak indirim dönemlerinde e-ticaret sitelerinde yaşanan yoğunluk gösterilebilir. Sadece birkaç gün boyunca artış gösteren kullanıcı trafiği için ölçeklendirme sayesinde başarıyla yanıt verilebilir.
Ancak söz konusu DDoS saldırıları olduğunda ölçeklendirme bile bir yere kadar yeterli olacaktır. DDoS saldırılarında, hedef seçilen sunucular anlık ve yoğun trafiğe maruz bırakılır. Siber saldırganlar bu trafiği oluşturabilmek amacıyla bot olarak adlandırılan zombi bilgisayarlardan oluşan botnet ağını kullanır. Hackerlar, erişim sahibi olduğu tüm cihazların tek bir sunucuya defalarca istek yollamasını sağlar. Böylelikle hedef için binlerce farklı noktadan gelen ve baş edilemeyecek kadar yoğun bir trafik oluşur. Bunun sonucunda da istekleri yanıtlayamayan sunucu, hizmet veremez hale gelir.
DDoS saldırıları şirketlerin bilgi işlem sistemlerinde birkaç saat ile birkaç gün arasında değişen kesintilere neden olabilir. İş süreçlerinin aksamasına hatta durmasına neden olabilen DDoS saldırıları, özellikle müşterilerine dijital ortamdan ulaşan şirketler için büyük maddi kayıplara yol açabilir. Aynı zamanda bir siber saldırı sonucu hizmet veremeyen şirketlerin, müşterileri gözünde değer kaybına uğrayabilir. Hizmet veremediği süre boyunca şirketler tazminat ödemek zorunda dahi kalabilir.
DDoS saldırılarında yaşanan artışın temel iki sebebi vardır. İlki şirketlerin daha fazla dijital ortamda var olmasıdır ve iş süreçlerinin bir çoğunun internet ve bilgisayar sistemleri aracılığı ile gerçekleştirilmesidir. Bu siber saldırganlar için çok daha fazla hedef anlamına gelir. Bir diğer neden ise DDoS saldırıları için kullanılabilecek botnet ağlarının daha kolay oluşturulabilmesidir. DDoS saldırısı için ele geçirilmiş cep telefonları, tabletler, bilgisayarlar, IoT cihazları ve internet bağlantısı bulunan her cihaz kullanılabilir. Hackerlar ise artan uygulama ekosistemi başta olmak üzere cihazları ele geçirmek için birçok yöntem kullanarak kolaylıkla savunmasız cihazları ele geçirebilir.
Gerçekleştirilen DDoS saldırıları farklı motivasyonlar ile hayata geçirilmiş olabilir. Hacktivizm, fidye talebi, siber savaş veya sadece hackerların can sıkıntısı ve yapabildiklerini gösterme istekleri sebebiyle DDoS saldırılarına maruz kalabilirsiniz.
DDoS Saldırılarının Türleri
DDoS saldırıları temel olarak yoğun trafik aracılığı ile sunucuların çalışamaz hale getirmeyi amaçlayan saldırılardır. Ancak bunu farklı biçimlerde gerçekleştirmenin yöntemleri vardır. DDoS saldırı türleri şunlardır:
Volumetrik Saldırılar
Volumetrik DDoS saldırıları en sık karşılaşılan siber saldırı türlerindendir. Ağ bant genişliğini aşırı yükleyerek ağ hizmetlerinin servis dışı kalmasına yol açarlar. Güvenlik duvarı çözümleri çoğunlukla bu türden DDoS saldırılarına karşı, saldırının yapısından dolayı, tam olarak koruma sağlama konusunda etkisiz kalabilir. Bu türden saldırılarda botnet aracılığı ile büyük miktarda trafik oluşturarak, hedefin bant genişliğini tüketerek adeta tıkamaktır.
Protokol Saldırıları
Protokol saldırılarında OSI modelinin 3. ve 4. katmanı hedef alınır. Sunucu tarafından bulunan TCP/IP protokolündeki zayıflıkları hedef alan bu türden saldırılar sunucu, yük dengeleyici veya güvenlik duvarı gibi ağ bileşenlerinin kaynaklarını tüketerek yanıt döndüremez hale gelir.
Uygulama Katmanı Saldırıları
Bir başka DDoS saldırısı türü olan uygulama katmanı saldırıları, OSI modelinin 7. katmanını hedef alır. Bu türden saldırılarda, saldırganlar sürekli olarak HTTP istekleri gönderir. Web sunucuları ve benzeri uygulamaları hedef alan düşük hacimli ancak oldukça etkili saldırılardır.
Firewall ile DDoS Saldırılarına Karşı Nasıl Korunulur?
Güvenlik duvarları birçok yeteneği ile DDoS saldırılarını önleme ve etkilerini azaltma konusunda en büyük yardımcınızdır. Güvenlik duvarlarının DDoS saldırıları için koruma sağlayan özellikleri temel ve ileri düzey yetenekler olarak iki ana başlık altında irdelenebilir.
Temel Firewall Yetenekleri
Temel güvenlik duvarı yetenekleri arasında trafiği anlık olarak izleyen ve olası siber saldırıları tespit eden farklı özellikler bulunur. Paket filtreleme, derin paket incelemesi, rate limiting daha birçok temel firewall yeteneği bulunur.
Paket Filtreleme
Paket filtreleme, belirli kuralları takip ederek sunucuya gelen ve sunucudan giden trafiği filtreleyen sistemdir. Söz konusu kurallar, belirli IP adresleri, port numaraları veya kullanılan protokolleri içerebilir. Önceden belirlenmiş kurallarla uyum olmayan veri paketi engellenerek koruma sağlanır.
Derin Paket İncelemesi (DPI)
Derin paket incelemesi, ağ trafiğinin derinlemesine incelenmesini sağlar. DPI ile güvenlik duvarı, kendisinden geçen paketi, içerik bazlı olarak daha yakından inceleme imkanı yakalar. Gelen trafikte bulunan virüslerin ve diğer kötü amaçlı yazılımların tespiti için de oldukça etkili bir yöntemdir. DPI sayesinde ağı hedef alan birçok tehdit önceden tespit edilebilir. Derin paket incelemesinin en iyi yanı anlık ve kesintisiz olarak gelen paketleri inceleyebilmesidir. Üstelik yüksek hacimli trafikte de etkin olarak çalışabilir. Böylelikle DDoS saldırılarının tespit edilmesinde de oldukça faydalı bir araçtır.
Rate Limiting (Hız Sınırlaması)
Rate limiting veya Türkçe anlamıyla hız sınırlaması, DDoS saldırılarını önlemede en etkili yardımcılardan biridir. Rate limiting, ağ trafiğini izleme ve sınırlandırma için etkili bir çözümdür. Belirli bir davranışı çok sayıda tekrar eden şüpheli eylemleri tespit eder ve aşırı istek gönderen IP adreslerinin hızını sınırlar. Hız sınırlama sayesinde DDoS başta olmak üzere brute force saldırıları ve web scraping faaliyetlerinin de önüne geçebilirsiniz.
Anomali Tespiti
Ağ trafiğinin, güvenlik duvarı çözümleri aracılığı ile kesintisiz bir şekilde izlenmesi birçok siber güvenlik tehdidinin erken tespitini sağlar. Anomali algılama sistemi, normal zamanlarda trafiğin davranışını öğrenir ve ağı sürekli olarak izler. Ağda meydana gelen anormal faaliyetlerin otomatik olarak belirlenmesi ile otomatik olarak aksiyon alınması veya ilgili güvenlik uzmanlarının bilgilendirilmesi sağlanabilir. DDoS saldırıları gibi anlık ve yoğun trafiğin yarattığı anomali hızlı bir şekilde fark edilir hale gelir.
İleri Düzey Firewall Stratejileri
Temel düzey firewall yeteneklerinin yanı sıra siber güvenliğinizi özellikle DDoS saldırılarına karşı daha dayanıklı hale getirmek için alabileceğiniz farklı önlemler bulunur. WAF kullanımı ve bulut tabanlı DDoS koruma hizmetleri bu ileri düzey firewall stratejilerinden bazılarıdır.
Web Application Firewall (WAF) Entegrasyonu
Web Application Firewall veya Türkçesi ile web uygulama güvenlik duvarı çoğu zaman WAF kısaltması ile anılır. WAF sistemleri, web uygulamaları ile internet arasında gerçekleşen trafiğin izlenmesi için geliştirilmiş özel çözümlerdir. WAF, OSI modelinde 7. katmanın korunması için kullanılır. WAF çözümlerini bu kadar etkili yapan ise önceden belirlenmiş kurallara göre trafiği denetlemesi ve gerektiğinde hızlı bir şekilde bu kuralların düzenlenebilmesidir. Gerçekleşen DDoS saldırıları özellikle de uygulama katmanı saldırıları sırasında, saldırının etkisini azaltacak değişiklikler hızlı bir şekilde uygulanmaya başlanabilir.
IP Kara Listeleme ve Coğrafi Engelleme
DDoS saldırılarını önlemenin en zor yanı zombi cihazlardan gelen kötü niyetli trafik ile doğal trafiği ayırt etmektir. Ancak farklı kaynaklardan elde edilen veya daha önceki DDoS saldırıları sırasında toplanan kötü niyetli IP adreslerini kara listeye alabilirsiniz. Böylelikle bu IP adreslerinden gelen trafik görmezden gelinecektir. IP engellemeyi belirli bir bölge veya ülkeden gelen trafiği engellemek amacıyla da kullanabilirsiniz. Şüpheli trafiğin geldiği bir bölgeyi tamamen engellemek DDoS saldırıları için oldukça etkili bir çözüm olabilir.
Otomatik Yanıt Sistemleri ve Kara Delik Yönlendirmesi
DDoS saldırıları, sunucularınıza yönlendiren çok sayıda istekten ibarettir. Bu türden siber saldırılar ile başa çıkmanın en etkili yolu, onları ağ trafiğini izleyerek tespit etmek ve çeşitli müdahalelerde bulunmaktır. DDoS saldırılarının etkisini azaltmak için kural tabanlı otomatik yanıt sistemleri kullanılır. Böylelikle IP engelleme gibi adımlar hızlı bir şekilde atılabilir. Aynı zamanda şüpheli ağ trafiğinin, kara deliğe gönderme olarak da adlandırılan bir yöntem ile boş bir rotaya yönlendirilerek ağdan atılması gibi etkili DDoS koruma yöntemleri de uygulanabilir.
Bulut Tabanlı DDoS Koruma Hizmetleri
Bulut tabanlı DDoS koruma hizmetleri, bu türden saldırılar için alabileceğiniz güvenlik önlemlerini en üst seviyeye çıkarır. Mevcut firewall çözümünüz ile entegre bir şekilde çalışan bulut tabanlı DDoS koruma sistemleri sayesinde, sunucularınızın ve ağınızın DDoS saldırıları karşısında çok daha güvende olmasını sağlayabilirsiniz. Bulut tabanlı DDoS koruma hizmetleri, güvenlik duvarınızın da ötesinde bulut ortamında yer alan birer koruma hattıdır. Sizi hedef alan DDoS saldırıları ilk olarak bulut ortamındaki koruma hizmetine ulaşır. Böylelikle saldırı amaçlı yönlendirilen şüpheli trafik henüz size ulaşmadan bulut tabanlı koruma ile etkisi azaltılır veya tamamen engellenir.
Yalnızca Firewall Yeterli mi?
DDoS saldırıları ilk bakışta sunucularına gelen normal kullanıcı isteklerinden farksızdır. Hatta çoğu zaman herhangi bir sebeple web sitenizin popüler olduğunu ve trafiğinizin arttığını düşünebilirsiniz. Çünkü gelen her bir istek, dünyanın farklı noktalarında bulunan bilgisayar ve akıllı cihazlardan gelen normal bir istektir. DDoS saldırılarını tehlikeli yapan nokta, aynı anda ve çok sayıda isteğin yapılıyor olmasıdır. Firewall kullanımı sizi DDoS saldırılarına karşı büyük oranda koruma sağlayacaktır. Ancak tek başına firewall çözümleri ne yazık ki DDoS saldırıları için yeterli değildir. DDoS saldırılarına karşı daha fazla güvenlik sağlamak adına gelişmiş bir firewall çözümünün yanı sıra DDoS saldırılarına özel geliştirilmiş ek güvenlik önlemlerine ve ölçeklenebilir bir altyapıya ihtiyacınız vardır. Altyapınızı yük dengeleyiciler, CDN ve benzeri trafiğinizi daha etkili yönetmenize yardımcı olabilecek çözümlerle güçlendirmelisiniz.
Firewallların DDoS Saldırılarına Karşı Sınırlamaları
Firewalllar hem kendi hem de gerçekleştirilen DDoS saldırılarının yapısı gereği güvenlik sağlama konusunda bazı sınırlara sahiptir. Ağ iletişiminde güvenliği sağlamak için geliştirilmiş güvenlik protokolleri, DDoS saldırısı önleme çalışmalarını zorlaştırabilir. Aynı zamanda her zaman uygulanan yoğun bir ağ koruması, ağın normal zamanlardaki performansını da olumsuz etkileyebilir.
SSL/TLS Trafiğinin İşlenmesi
SSL protokolü internet ortamında güvenliği sağlayan en yaygın şifreleme yöntemlerinden biridir. İstemci yani kullanıcılar ve sunucular arasındaki iletişim SSL ile şifreli bir şekilde gerçekleşir. Ancak SSL güvenlik için olmazsa olmaz bir uygulama olsa da söz konusu DDoS koruması olduğunda bazı dezavantajları da beraberinde getirir. Siber saldırganlar yoğun şifrelenmiş trafik ile sunucularınızı gelen çok sayıda isteğin şifresini çözmeye zorlayarak kaynaklarını tüketmesine neden olabilir. Benzer bir durum şifrelenmiş trafiğin analizi için de geçerlidir. Güvenlik duvarı her gelen şifrelenmiş trafiği denetlemek için öncelikle şifrelemesini çözmelidir. Bu da kaynak tüketimi açısından oldukça maliyetlidir ve sunucu performansını olumsuz yönde etkiler.
Ağ Performansına Etkisi
DDoS koruma stratejileri kurgulanırken ağ performansından en az ödünün verilmesi amaçlanır. Ancak gerçekleştirilen birçok DDoS önleme yöntemi belirli bir miktarda performanstan ödün verilmesini gerektirebilir. Ağ performansından etkilenmeden tam kapsamlı ve etkili bir DDoS koruması için günümüzde şirketler bulut tabanlı DDoS koruma çözümlerine tercih eder.
Firewalllar, DDoS saldırıları da dahil olmak üzere birçok farklı türde siber saldırının önlenmesi için etkili rol oynar. Dış dünya ile ağınız arasında adeta bir duvar görevi gören firewall çözümleri ile olası siber tehditlere karşı büyük oranda güvenlik sağlayabilirsiniz. Söz konusu DDoS saldırıları olduğunda ise güvenlik duvarları, gelen trafiğin anlık ve sürekli olarak gözlemlenmesini sağlayarak şüpheli trafiğin ve kaynağının hızlı bir şekilde tespit edilmesinde rol oynar.
Şirketler için siber güvenliğin önemi her geçen gün katlanarak artış gösterir. Siz de şirket ağınızı DDoS saldırıları başta olmak üzere siber saldırılara karşı korumak için size en uygun güvenlik duvarı çözümlerimiz ile tanışın!
Sıkça Sorulan Sorular
DoS ve DDoS saldırıları, hizmet reddi oluşturarak hedefi çalışamaz duruma getirmeyi amaçlar. DoS saldırılarından tek bir kaynaktan, hedefe yoğun miktarda trafik yönlendirilir. DDoS saldırılarında ise farklı kaynaklardan yönlendirilen trafik ile sunucular hedef alınır. DoS saldırıları genellikle daha küçük ölçekli ve az etkili saldırılardır.
CDN (Content Delivery Network), web sitelerinin içerik dağıtımını iyileştiren ve hızlandıran servislerdir. CDN sayesinde web sitenizin önbelleğini, görsellerini ve diğer tüm dosyalarını CDN sağlayıcısının sunucuları üzerinde barındırılması sağlanır. Böylelikle web sitesine gelen trafik farklı sunuculara dağıtılır. Bu da sizi hedef alan DDoS saldırılarının etkilerinin azaltılmasına yardımcı olur.
Kara delik yönlendirmesi DDoS saldırılarına karşı kullanılan en etkili yöntemdir. Belirli bir IP adresini hedef alan DDoS saldırılarını önlemek için gelen trafik, internet servis sağlayıcıları (ISP) tarafından boş bir rotaya yönlendirilir. Bu yöntem etkili olsa da normal trafiği de etkilediği için kesin çözüm değildir. Ancak DDoS saldırılarının en etkili olduğu anlarda etkili bir çözüm olarak başvurulur.
