F5 Networks veut contrer les attaques DDoS

F5 Networks, Vincent Lavergne directeur avant-vente EMEA

Au-delà de l’approche volumétrique des requêtes, la solution anti-DDoS de F5 Networks s’appuie sur l’analyse de 25 vecteurs d’attaque pour protéger les applications de l’entreprise.

Le spécialiste de l’équipement réseau F5 Networks a récemment annoncé la disponibilité d’une nouvelle solution de sécurité. Une offre avant tout taillée pour répondre aux attaques DDoS (Distributed Denial of Service) tant par débordement ICMP (protocole de monitoring du réseau) et DNS (serveur de noms de domaines) qu’au niveau applicatif.

« Notre solution anti-DDoS vise à protéger les entreprises contre les attaques DDoS et les approches complexes en termes de protocoles à gérer, HTTP et DNS, déclare Vincent Lavergne, directeur avant-vente pour la zone EMEA. Elle s’appuie sur le traitement matériel ainsi que sur l’évolution de F5 Synthesis. »

Autour de F5 Synthesis et de BIG-IP

Présenté il y a six mois par le fournisseur né en 1996 autour de l’équilibrage de charges et des applications de contrôle des équipements, Synthesis est une nouvelle architecture de fourniture d’applications réseau pour le datacenter et le Cloud (approche SDAS, Software Defined Application Services). « Nous proposons des architectures de référence pour installer et architecturer ces protections », résume le responsable.

L’approche sécuritaire s’appuie sur l’offre BIG-IP de F5 constituée de solutions hardware pour les couches réseau 4 et 7 (appliance de 1 à 80 Gbit/s jusqu’au châssis Viprion 8 lames à 640 Gb en passant par des machines virtuelles de 25 Mb à 10 Gb), et software TMOS (Traffic Management Operating System) pour le pilotage. Une somme de puissance mise au service d’une approche par analyse fine des attaques.

25 vecteurs d’attaques

F5 déclare ainsi être en mesure de contrer jusqu’à 25 vecteurs d’attaques DDoS sans impacter significativement le trafic réseau de l’entreprise. Des contre-attaques « basées sur de l’analyse comportementale et des signatures d’attaques connues qui, de par la nature Proxy-TCP des flux, nous permet de les bloquer au plus près », indique Vincent Lavergne. Lequel rappelle que le HTTP couvre le mode de déploiement de 80% des applications disponibles tandis que le DNS s’inscrit comme la clé de voute de l’entreprise.

Une approche multi-tiers complémentaire au modèle de protection par le volume basé sur le pare-feu de l’opérateur. « L’approche applicative impose la connaissance métier qui est différente selon les entreprises, l’opérateur n’est pas dans ce type de logique, souligne le porte-parole de F5. On a tendance à se focaliser sur les attaques volumétriques mais elles ne sont pas toujours aussi dévastatrices que les attaques des applications avec vol d’information. On voit beaucoup plus d’attaques mixtes où le DDoS n’est qu’une méthode des attaquants pour détourner l’attention des équipes de l’entreprise et en profiter pour piller la base de données. »

Efficace contre les attaques slow post

En proposant des gabarits personnalisables (notamment au niveau du seuil de déclenchement des alertes) de protection, la solution de F5 entend également lutter contre les utilisations contre-productives des applications. « L’équipement ‘full state’ de F5 voit où se trouve chacune des requêtes, ce qui permet de distinguer les attaques des requêtes normales. Même si on ne peut pas garantir la protection intégrale contre toutes les attaques, l’approche Proxy-TCP, qui ouvre une rupture protocolaire entre le client et le serveur, a fait ses preuves, notamment face aux attaques Apache de type ‘slow post’ (comme Slowloris qui vise à ralentir le serveur pour faire écrouler les applications par lenteur, NDLR) », ajoute Vincent Lavergne.

La tendance inflationniste des attaques DDoS, notamment, fournira probablement à F5 de nombreuses occasions de démontrer la pertinence de sa solution.


Lire également

– Attaque DDoS en Europe : record de trafic battu

– Laurent Pétroque, F5 : « Homogénéiser l’orchestration des flux L4-7 »