Umfassende Abwehr von DDoS-Angriffen Bedrohung durch Webcams und Konsorten
3. März 2017Immer mehr Alltagsgeräte wie Router, Überwachungssysteme, digitale Videorekorder, Fernseher oder sogar Babyfones sind mit dem Internet der Dinge (IoT) verbunden. Jedoch weisen sie meist nur schwache Sicherheitsvorkehrungen auf. Zudem ändern die Nutzer nur selten das voreingestellte Standardpasswort, so dass die Geräte leicht von Cyberkriminellen zu kapern sind und von ihnen in Botnetze eingegliedert werden. Damit lassen sich DDoS-Angriffe (Distributed Denial of Service) mit enormen Datenraten auf Systeme fahren. Doch dagegen lässt sich etwas machen.
Attacken auf Anwendungen
Die große Menge an Geräten ermöglicht dann Angriffe in einer Intensität von schätzungsweise mehr als 1 TBit pro Sekunde – wie der französische Web-Hoster OVH im September 2016 feststellen musste. Doch auch andere wurden Ende vergangenen Jahres Opfer von Mirai, zum Beispiel der Softwareentwickler Brian Krebs, der Internetdienstleister Dyn, das Land Liberia sowie DSL-Router von Telekom Deutschland.
Diese Reihe zeigt, dass IoT-basierte DDoS-Attacken im Prinzip jeden treffen können. Diese Angriffsart ist zwar nicht aus technischer Sicht neu, doch die nun mögliche Datenmenge stellt in Bezug auf die zu bewältigende Kapazität völlig andere Anforderungen an Unternehmen, so dass sie ihre Sicherheitsarchitektur grundlegend überprüfen sollten.
Der wichtigste Punkt dabei: In der Regel zielen DDoS-Angriffe auf Web-Portale und Dienste, damit diese nicht mehr funktionieren oder selbst Teil eines Bot-Netzes werden. Die Attacken richten sich dabei meist gegen Netzwerkprotokolle, Firewalls, Router, Applikationsserver auf Protokollebene sowie andere Geräte für die Internetverbindung. Sie nutzen dabei oft Protokollschwachstellen aus, indem sie etwa eine große Zahl an Verbindungen starten, ohne den Verbindungsaufbau ordnungsgemäß abzuschließen. Ein Beispiel hierfür bildet der bekannte „SYN-Flood“ im TCP. Dieser kann Server und andere Systeme so stark auslasten, dass sie vollständig ausfallen.
Vor allem der DNS-Dienst (Domain Name Service) bietet meist ein recht dankbares Angriffsziel, wenn er einfach nur auf bestehenden Servern unter Windows oder Linux aktiviert wird. DNS ist daher nach HTTP das am meisten attackierte Protokoll. Ein erfolgreicher Angriff auf die unternehmensweite DNS-Infrastruktur kann zum kompletten Stillstand aller Kommunikationsbeziehungen führen, wie die Attacke im vergangenen Jahr auf den DNS-Dienstleister Dyn gezeigt hat.
Diese führte zu Ausfällen bei dessen Kunden, zu denen unter anderem Twitter, Netflix, Spotify, Paypal und Amazon gehörten. Unternehmen sollten bedenken, dass spezialisierte Dienste auch spezialisierte Systeme benötigen. Eine erste Maßnahme besteht somit in der Anschaffung einer dedizierten DNS-Appliance. Diese kann Angriffe weit besser abwehren als ein Server, auf dem unter vielen anderen Anwendungen auch ein DNS-Dienst läuft.
DDoS-Angriffe zielen heute aber nicht mehr nur auf Server, sondern noch häufiger auf Anwendungen. Sie wollen die Applikationsdienste lahmlegen, um damit entweder das Unternehmen zu schädigen oder den Diebstahl sensibler Daten zu verschleiern. Auf Anwendungsebene ermöglicht zwar die SSL-Verschlüsselung einen gewissen Schutz, doch dieser greift nur auf dem Übertragungsweg.
Jede Daten-Eingabe im Browser erfolgt unverschlüsselt und kann etwa durch eingeschleuste Malware ausgelesen werden. Zudem ist die Schlüssellänge zu beachten, die heute 2k oder 4k groß sein sollte. Jede Verdoppelung der Schlüssellänge führt aber zu einem fünffachen Aufwand an Rechenleistung, die aktuell eingesetzte Applikations- und Webserver eventuell nicht mehr bereitstellen können.
Daher sollte auch hier die spezialisierte Hardware eines Sicherheitsanbieters installiert werden. Sie entlastet die bisherigen Systeme von Verschlüsselungs- und Komprimierungsprozessen, kann offene Verbindungen terminieren und verschlüsselten Datenverkehr auf Malware untersuchen. Eine integrierte Web Application Firewall (WAF) fängt einen großen Teil der Angriffe auf Applikationen mit Hilfe einer Signaturdatenbank und Blacklists bekannter Bot-Netze ab. „Intelligentere“ Attacken, die direkt in die Anwendungslogik eingreifen, erfordern einen höheren Konfigurationsaufwand und Kenntnis des Applikationsverhaltens. In diesem Fall können Unternehmen eine WAF als Service von Sicherheitsspezialisten nutzen.
Ein optimaler Sicherheitsansatz kombiniert ohnehin On-Premise- mit Cloud-basierten Software-as-a-Service-Lösungen. Da eine DDoS-Attacke über ein IoT-Bot-Netz bis zu mehrere hunderttausend Gbps erzeugt, kann dieses Volumen nur ein Cloud-Provider bewältigen. Daher sollten sich Unternehmen mit ihren eigenen Sicherheitsmaßnahmen auf das lokale Netzwerk, den Schutz der Daten und die Applikationsebene konzentrieren, wenn sie diese Aufgaben nicht ebenfalls an einen Cloud-Provider auslagern. Eine solche hybride DDoS Protection-Lösung muss dabei auch die grundlegenden Elemente einer Anwendung wie Netzwerk, DNS, SSL und HTTP schützen. Intelligentes Datenverkehrsmanagement und Anwendungsbereitstellung gewährleisten selbst unter schwierigsten Bedingungen die maximale Verfügbarkeit der Netzwerk- und Anwendungsinfrastruktur. (rhh)
Schutz vor DDoS
Folgende Tipps zum Schutz vor DDoS-Angriffen sollten IT-Verantwortliche kennen:
– Sicherheitsstatus prüfen, auch durch Einbindung von externen Experten
– Umfassendes organisatorisches und technisches Sicherheitskonzept erstellen
– Absicherung der Endgeräte mit Zwei-Faktor-Authentifizierung und starken Passwörtern
– Starke Verschlüsselungstechnologien (2K/4K-Schlüssel) mit dedizierter Hardware einsetzen
– Untersuchung von verschlüsseltem Datenverkehr durch SSL Scanner
– Absicherung der DNS-Infrastruktur über dedizierte DNS Appliance
– Schutz von Anwendungen mit Hilfe einer Web Application Firewall
– Einbinden von Cloud-Diensten für Security as a Service zum Schutz vor externen Angriffen, insbesondere volumenbasierten DDoS-Attacken
– Sicherheitsschulungen für Mitarbeiter
Ralf Sydekum
ist Technical Manager, DACH, bei F5 Networks GmbH.