So verlieren DDoS-Angriffe ihren Schrecken
4. Februar 2014Untersuchungen aus dem abgelaufenen Jahr machen es deutlich: DoS-/DDoS-Attacken gewinnen an Zerstörungskraft, die Angreifer nehmen immer mehr Branchen ins Visier und sie garnieren ihre Aktionen mit immer neuen Angriffsarten. Des weiteren werden die Angriffe immer komplexer gestaltet, so dass mittlerwiele auch kombinierte Attacken gefahren werden, bei denen eine Teil nur die Abwehr beschäftigen soll, wogegen der zweite Part die gewünschten Informationen abgreift oder Aktionen ausführt.
Daher müssen IT-Experten der Abwehr von DDoS-Angriffen auch 2014 eine hohe Aufmerksamkeit zukommen lassen. Hier versprechen Referenzarchitekturen einen Weg, um den Aufwand in überschaubaren Grenzen zu halten.
Angriffe auf IT-Infrastrukturen nach dem Muster „Distributed Denial of Service“ (DDoS) gehören zu den größten Gefahren für die IT-Sicherheit. Zu diesem Schluss kommt der Lagebericht zur IT-Sicherheit (Global Application and Network Security Report 2013) von Radware für das letzte Jahr. Demzufolge führen die DDoS-Angreifer ihre Attacken immer gezielter durch, während die ihnen zur Verfügung stehenden Werkzeuge immer ausgeklügelter werden. Das bedeutet für 2014 ein stark ansteigendes Bedrohungspotenzial.
Heutzutage gilt ein Schutzansatz gegen DDoS-Angriffe als vernünftig, der einen zweistufigen Ansatz verfolgt. In der ersten Schicht werden DDoS-Attacken gegen das DNS (Domain Name System) und die Ebenen 3 und 4 im OSI-Modell abgehandelt. Damit sind alle netzwerkrelevanten Angriff dort abgedeckt.
In der zweiten Schicht geht es um die CPU- und Arbeitsspeicher-Ressourcen der angegriffenen Systeme und die höheren Ebenen im OSI-Stack (vor allem um die Ebenen, die sich mit der jeweiligen Anwendung befassen,also im Layer 7). Wer eine derartige geschichtete Strategie verfolgt, der ist gegen alle Varianten von DDoS-Angriffen geschützt.
Die vier Kategorien von DDoS-Angriffen
Auch wenn sich die DDoS-Angriffsmethoden immer wieder ändern, so kristallisieren sich doch vier prinzipielle Angriffstypen heraus: „Volumentric“ (Flood-basierte Angriffe, die auf den Netzwerkebenen 3, 4 oder 7 ankommen), „Asymmetric“ (das sind Attacken, die darauf abzielen, Timeouts zu erzwingen oder die zu Änderungen am Session-Status führen), „Computational“ (Angriffe die CPU- und Speicherressourcen verbrauchen sollen) und „Vulnerability based“ (Attacken, die Softwareschwachstellen ausnutzen).
Die Abwehrmechanismen sind mittlerweile so ausgereift, dass sie mit diesen verschiedenen Angriffskategorien zurechtkommen. Dabei haben die führenden Unternehmen auch gelernt, mit speziellen Vorkehrungen diesen Angriffen die Stirn zu bieten und damit einen höheren Grad an Sicherheit für das eigene Unternehmen abbilden zu können. Vor allem bei Finanzdienstleistern – Versicherungen und Banken – sind passende Konfigurationen bestens erprobt.
Doch speziell für kleinere und mittlere Unternehmen kann man auch passende Schutzlösungen zusammenstellen. Im Folgenden wird eine Architektur gezeigt, die eine mehrschichtigen Schutz gegen DDoS-Angriffe bietet und die sich für kleine wie auch große Unternehmen eignet. Dazu werden verschiedene Komponenten zusammengespannt, die auch von verschiedenen Herstellern stammen können.
Die Bestandteile des DDoS-Schutzes
Ein „DDoS Scrubbing Service“ gehört zu den wesentlichen Bestandteilen einer DDoS-Abwehr. Dieser externe, zumeist Cloud-basierte Dienst übernimmt eine Art der Grobreinigung bei einer DDoS-Attacke und reduziert damit die schiere Last, die auf den Internet-Zugangspunkt der angegriffenen Firma hereinbricht. Wenn ein Angriff mit einer Belastung von 50 GBit/s bei einem Zugangspunkt ankommt, der nur über eine Bandbreite von 1 GBit/s verfügt, kann keine eigene, im Unternehmen installierte IT-Ausrüstung der Welt damit fertig werden.
Man kann sich die Aufgabenstellung auch so vorstellen, dass viel zu viele Leute auf einmal durch eine enge Türe gehen möchten. Der DDoS Scrubbing Service kümmert sich darum, dass die offensichtlich bösartigen Besucher ausgesondert werden und die wahrscheinlich gut gesonnenen eintreten dürfen. Dieser Service lässt sich als reiner Cloud Service beziehen oder aber der Internet Service Provider des Unternehmens kann diese Aufgabe abdecken.
Auch wenn heutzutage nur mehr ein kleiner Teil der DDoS-Angriffe aus der Kategorie „Volumetric“ umfangreich genug sind, um die komplette Bandbreite des Internetzugangs eines Unternehmens zu belegen, so rechtfertigt ihre Anzahl immer noch eine entsprechende Vereinbarung mit einem Anbieter eines DDoS Scrubbing Service. Doch das allein reicht keinesfalls aus.
Mittlerweile haben die Hacker dazu gelernt und kennen auch die Vorgehensweise eines Scrubbing Service. Sie nutzen das auch teilweise aus und verursachen zum einen mit ihren Angriffen bewusst Kosten bei der angegriffenen Firma, wenn die den Service nutzen muss. Zum anderen verlagern sie ihre DDoS-Angriffe auf höhere Netzwerkebenen (etwa auf den Application Layer), so dass der Scrubbing Service davon gar nichts mitbekommt. Diese Dienste können in der Regel keinen verschlüsselten Datenverkehr erkennen und behandeln oder zum Beispiel auch keine POST-Zugriffe, die über Web-Formulare versendet werden.
DDoS-Angriffe und die Firewalls
Eine Netzwerk-Firewall war bislang ein Schlüsselelement für die Sicherheit des Perimeter-Netzwerks. Doch leider sind nicht alle Firewalls gegen DDoS-Angriffe geschützt – die meisten der gängigsten Firewalls lassen sich sogar mit vergleichsweise einfachen Layer-4-Angriffen deaktivieren. Dabei gilt die Faustregel, dass ein hoher Datendurchsatz der Firewall nicht die passende Antwort ist, wenn die Firewall den Angriff nicht erkennen und entsprechend behandeln kann.
Für sämtliche Systeme, die für den Schutz des Netzwerks zum Einsatz kommen und die dabei die Ebenen 3 und 4 mit abdecken, gilt daher die folgende Vorgabe: Sie sollten auf alle Fälle einen hohen Datendurchsatz bieten, aber zudem mit DDoS-Angriffen umgehen können – sprich sie sollten „DDoS-aware“ sein. In Bezug auf die Anzahl der Verbindungen, die die Firewall unterstützen können muss, sollten die IT-Verantwortlichen sich um Geräte bemühen, die Millionen von gleichzeitigen Verbindungen unterstützen können und SYN-Floods abweisen können, ohne die legitimen Datenpakete auszugrenzen.
Als eine weitere wichtige Komponente für sichere Netzwerke gelten die „Application Delivery Controller“. Mit ihnen lassen sich an strategisch wichtigen Stellen im Netzwerk Kontrollmechanismen einfügen. Sind diese Geräte an der richtigen Stelle platziert, passend konfiguriert und korrekt überwacht bzw. gewartet, dann erhöhen sie die Abwehr gegen einen DDoS-basierten Angriff enorm.
Über den „Full Proxy“-Charakter des Application Delivery Controllers von F5 zum Beispiel lassen sich „Computational Attacks“ und Schwachstellen-basierte Bedrohungen in den Griff bekommen. Denn diese Controller validieren gängige Protokolle wie http oder DNS. Dabei erweist sich vor allem das „Full Proxy“-Feature eines Application Delivery Controllers als ein großer Vorteil.
Web Application Firewall
Bei einer Web Application Firewall handelt es sich um eine Komponenten, die auf den höheren Schichten des Netzwerkprotokolls arbeitet und dadurch auch die Sicherheitsrichtlinien einer Applikation versteht – und sie auch durchsetzen kann. Derartige Geräte können Angriffe auf der Applikationsebene erkennen und sie auch behandeln. Unter diese Art von Angriffen fallen die http-Floods oder die Angriffe, die Schwachstellen von Anwendungen ausnutzen.
Eine interessante Alternative bietet die Kombination von Application Delivery Controller und Web Application Firewall. Derartige Systeme sind in der Lage, die Sicherheitsrichtlinie für die Applikation gleichzeitig zu dem Datenverkehr der Applikation anwenden zu können.
Weitere gängige Geräte für die Netzwerksicherheit sind die Intrusion Detection Systeme (IDS) und die Intrusion Prevention Systeme (IPS). Ihr Aufgabenbereich bei der Behandlung von DDoS-Angriffen ist relativ eng gefasst. Wichtig ist aber die Anordnung dieser Geräte – sie sollten möglichst nicht an nur einer Stelle im Netzwerk zum Einsatz kommen – also zum Beispiel nicht integriert in eine Layer-4-Firewall. Generell sollten die Netzwerkarchitekten die IDS/IPS bei den relevanten, besonders zu schützenden Systemen im Backend platzieren, wie etwa bei Datenbankservern oder speziellen Webservern.
Einen wertvollen Beitrag zur Abwehr von DDoS-Angriffen, die der Gattung „asymmetric“ zuzuordnen sind, kann der Einsatz einer sogenannten IP Reputation Database bieten. Damit werden DDoS-Angreifer abgewehrt, die über bereits bekannte „Scanner Systeme“ (deren IP-Adressen in einer Datenbank von bösartigen bzw. geknackten Systemen eingetragen sind) versuchen, eine Anwendung zu „infiltrieren“. Eine derartige Datenbank lässt sich in jede der sinnvollen beiden Verteidigungsschichten einbeziehen. Am besten bezieht man die Informationen über die bekannten Angreifersysteme als externen Dienst – große Unternehmen können allerdings auch selbst eine derartige Datenbank vorhalten.
Mehrschichtige Problemlösung
In der Praxis haben sich zweistufige Architekturen als das beste Mittel gegen DDoS-Angriffe herauskristallisiert. Die erste Stufe besteht aus Netzwerk-Firewall-Diensten für die Netzwerkebenen 3 und 4 sowie einer einfachen Lastverteilung auf die zweite Stufe. In der zweiten Stufe kommen hochwertige – und somit CPU-intensive – Dienste wie die SSL Termination und ein Web Application Firewall Stack zum Einsatz.
In Abbildung 1 ist ein entsprechender, zweistufiger Ansatz gezeigt, der als eine Referenzarchitektur herangezogen werden kann. Diese Referenz lässt sich für verschiedene Szenarien anwenden, von Einsatzbereich bei großen Rechenzentrums-Dienstleistern über große Unternehmen mit eigenen Rechenzentren bis hin zu kleinen und mittleren Unternehmen.
In Abbildung 2 ist eine Konfiguration gezeigt, wie sie bei einem typischen SMB-Einsatz (Small and Medium Business) aussehen könnte.