18-8-2016 Gedruckt am 29-04-2017 aus www.monitor.co.at/index.cfm/storyid/16924

Gastartikel - Thomas Snor

Schutz gegen DDoS in drei Stufen

Anzahl, Umfang und auch die Qualität von DDoS-Attacken steigen in beängstigendem Maße an, aber nur wenige Unternehmen reagieren adäquat auf die steigende Gefahr. Klassische Abwehrsysteme müssten sie dringend durch weitere Schutzschichten ergänzen.

CC0 Public Domain - pixabay.com

Regierungen, Behörden, Online-Shop-Anbieter, Banken, Online-Wettbüros und unzählbare andere Unternehmen sind bereits Opfer von DDoS-Angriffen geworden. Viele mussten einen hohen Preis zahlen, etwa mit dem Absturz ihrer Website oder der Unterbrechung des Rechenzentrumbetriebs; manche sogar einen tatsächlichen Preis in Form eines Lösegelds, weil sie von den Angreifern erpresst wurden.
 
Mit einer Besserung ist nicht zu rechnen, denn DDoS-Attacken nehmen in beängstigendem Maße zu, sowohl was die Anzahl als auch den Umfang betrifft, der sich in der jüngsten Vergangenheit explosionsartig erhöht hat. Allein im letzten Quartal 2015 hat die Anzahl der DDoS-Angriffe gegenüber dem Vorjahresquartal um rund 150 Prozent zugenommen (laut Akamai State of the Internet Security Report Q4/15). Die Kriminellen gehen dabei besonders hartnäckig vor, indem sie immer wieder die gleichen Ziele angreifen und abwarten, bis deren Verteidigung möglicherweise eine Lücke aufweist.
 
Auch der Umfang der Angriffe nimmt zu: in der Spitze hat er sich innerhalb von nur drei Jahren von 60 auf 500 Gb/s mehr als verachtfacht. In den letzten elf Jahren ist er um mehr als das 60-Fache angestiegen (laut "World Wide Infrastructure Security Report Volume XI" von Arbor Networks).
 
Und die Art der Angriffe verändert sich: Multi-Vektor-Attacken etwa werden immer häufiger, sie nutzen unterschiedliche DDoS-Angriffsformen (zum Beispiel Smurf, SYN-Flood oder Layer 7) entweder hintereinander oder gleichzeitig und machen eine Abwehr deutlich schwieriger; manche Angriffe nutzen bis zu acht Vektoren gleichzeitig. Auch werden Clouds und interne Infrastrukturen vermehrt das Ziel von Angreifern.
 
Die Motivation der Angreifer, eine IT-Infrastruktur lahmzulegen, ist vielfältig. Sie reicht von der Erpressung professioneller Kriminelle über die Unzufriedenheit oder Rache von (Ex-) Mitarbeitern bis hin zu politischen Gründen, wenn etwa Systeme von Regierungen oder Interessenverbänden angegriffen werden.
 

Drei Arten von Attacken, drei Schutzstufen

Insgesamt unterscheidet NTT Security zwischen drei grundlegenden Arten von DDoS-Attacken: erstens die klassischen High-Volume-Attacken, die die Internetleitungen der Opfer überschwemmen; zweitens die zunehmenden Angriffe auf Infrastrukturkomponenten, etwa die Überlastung von Firewalls oder Servern; und schließlich Applikations-fokussierte Angriffe, die innerhalb einer verschlüsselten Verbindung stattfinden können und die Verbindung zu Applikationsservern trennen.
 
Entsprechend dieser Attacken sind auch die Abwehrarten unterschiedlich. Sinnvoll ist jedenfalls ein dreistufiger Schutz:
  1. Abwehr gegen High-Volume-Angriffe. Der Schutz ist in diesem Fall nur über Provider, die eine umfangreiche Bandbreite zur Verfügung stellen können, oder Scrubbing-Center möglich. Klassische ISPs können angesichts des hohen DDoS-Angriffsvolumens keinen wirkungsvollen Schutz mehr gewähren; Scrubbing-Center bieten eine zusätzliche Schutzebene und werden den Systemen von Unternehmen vorgeschaltet. Sie sind eine Art Reinigungszentrum, das auf extremes Datenvolumen eingerichtet ist, den Traffic analysiert und die unterschiedlichen Arten von Angriffen herausfiltert. Nur der gesäuberte Traffic wird anschließend weitergeleitet.
  2. Abwehr gegen Infrastruktur-Angriffe. Diese Art von Angriffen ist prinzipiell auch mit Scrubbing-Centern abzufangen. Wenn die Anzahl der Verbindungen, ab der ein Scrubbing-Center aktiv wird, aber unterschritten wird, ist der Einsatz von DDoS-aware Firewalls besser geeignet. Sie können deutlich mehr als klassische Firewalls verarbeiten, die typischerweise mit 20.000 bis 100.000 Verbindungen pro Sekunde zurecht kommen, und fangen damit die entsprechenden Attacken ab. DDoS-aware Firewalls werden vor die gesamte Infrastruktur inklusive der bestehenden Firewall geschaltet.
  3. Abwehr gegen Applikations-basierte Angriffe. Das Werkzeug der Wahl heißt in diesem Fall WAF, also Web Application Firewall. Gegenüber klassischen Firewalls untersuchen WAFs die Anwendungs-spezifische Kommunikation und sind damit in der Lage, Angriffe zu erkennen, die auf die Applikation abzielen. Sind WAFs vom Umfang der DDoS-Attacken überfordert, können zusätzlich auch die vorher genannten Scrubbing-Dienste vorgeschaltet werden.
 

Schrittweises Vorgehen

Setzt sich ein Unternehmen mit der Abwehr von möglichen DDoS-Angriffen auseinander, sollte es in mehreren Schritten vorgehen:
  1. Bestandsanalyse. Die erste Maßnahme besteht darin zu prüfen, ob bereits Systeme existieren, die zum Schutz eingesetzt werden können, und wie sie am besten ergänzt werden sollten, um die bestmögliche DDoS-Abwehr zu gewährleisten. WAFs zum Beispiel sind in Unternehmen nicht sehr oft vertreten; etwas häufiger sind Load Balancer anzutreffen, die mit Modulen aufgerüstet werden könnten, um Applikations-basierte Angriffe abzuwenden. Sehr selten ist der Schutz durch Scrubbing-Center: erstens bieten die klassischen Provider diesen Service nicht immer an, und zweitens erfordert dieser Schutz auch hohe Investitionen, typischerweise ab einer Untergrenze von 60.000 Euro pro Jahr.
  2. Monitoring. Unternehmen wissen oft nicht, dass sie angegriffen werden. Die Firewall loggt zwar alle Verbindungen mit, aber die hohe Anzahl der Einträge macht ein Monitoring an dieser Stelle zumindest manuell kaum möglich. Besser geeignet sind Performance-Monitoring-Tools zur ständigen Überwachung, in der Regel werden sie aber zu selten abgefragt, um sich ein Bild über den tatsächlichen Zustand der Infrastruktur machen zu können. Je höher die Abfrage, desto klarer wird dieses Bild. Regelmäßig werden auch umfangreiche DDoS-Attacken gefahren, um vom eigentlichen Einbruch mit wenigen Paketen, etwa auf einen Server, abzulenken. Um solche Angriffe zu erkennen, wird ein gut ausgebautes SIEM-System benötigt, um alle notwendigen Informationen zu sammeln und alle Angriffe, egal wie vordergründig sichtbar oder nicht, evaluieren zu können.
  3. Response-Prozess. Was ist zu tun, wenn ein Angriff erfolgt? Die jeweiligen Maßnahmen muss ein Unternehmen vorbereiten, um schnell und adäquat reagieren zu können. Schon beim ersten Antesten von DDoS-Angreifern sollte ein Unternehmen in der Lage sein, in den Notmodus zu schalten und beispielsweise einen Scrubbing-Dienst sofort aktiv zu schalten.
 

Fokus verlagert sich auf die Unternehmensinfrastruktur

Mitarbeiter in den Operations-Abteilungen sind mit zahlreichen Routinetätigkeiten beschäftigt. Meist fehlen Personalressourcen, um das wichtige Monitoring zu übernehmen – zumal außerhalb der üblichen Arbeitszeiten. Dieser Aspekt findet nicht die notwendige Beachtung innerhalb eines Unternehmens: Kostendruck und fehlendes Bewusstsein der Führungsebene sind ursächlich für dieses Verhalten verantwortlich.
 
Üblicherweise verbindet man DDoS mit Webserver-Attacken, aber Webserver-Betreiber sind mittlerweile sehr gut dagegen gerüstet. Deutlich folgenschwerer sind somit Angriffe auf die Corporate-Infrastruktur, die zukünftig voraussichtlich vermehrt auftreten werden, weil Unternehmen dort deutlich schlechter geschützt sind. Bricht die Logistik oder das Bestellwesen zusammen und gibt es keine Kommunikation oder Partneranbindung mehr, kann der Stillstand des Unternehmens erfolgen. Eine entsprechende Vorbereitung ist also unabdingbar.
 
Ein Managed-Service-Provider ist dafür in der Regel der richtige Ansprechpartner. Die Wahl eines solchen Providers ist davon abhängig, über welches DDoS-Know-how er verfügt, mit welchen Partnern, etwa Scrubbing-Diensteanbietern, er zusammenarbeitet, wie schnell er auf einen Angriff reagieren kann und wie seine SLAs gestaltet sind.
 
Thomas Snor ist Executive Enterprise Security Architect bei NTT Security in Wien.