Aufrufe
vor 1 Jahr

Netzwoche 13/2018

52 DOSSIER Thema In

52 DOSSIER Thema In Kooperation mit xxxxxxx Grafik: akindo / iStock.com Dossier DDoS-Attacken In Kooperation mit Aspectra Ein Schutzschild gegen DDoS-Attacken osc. Wenn massenhafte Anfragen aus dem Internet Server und die auf ihnen gehosteten Websites und Dienstleistungen in die Knie zwingen, steckt nicht selten eine Distributed-Denial-of-Service-Attacke (DDoS) dahinter. Cyberkriminelle nutzen diese Angriffe, um bestimmte Websites möglichst lange lahmzulegen und den dahinterstehenden Unternehmen und Organisationen Schaden zuzufügen. Wie Analysten in letzter Zeit herausgefunden haben, ermöglichen kurze DDoS-Attacken aber auch, Hackerangriffe unbemerkt durchzuführen. Die Eindringlinge gehen dann im Rauschen der Attacke quasi unter. Welche Gefahren durch DDoS-Angriffe sonst noch drohen, wie sich Unternehmen dagegen rüsten können und wie man «guten» von «schlechtem» Netzwerk-Traffic unterscheidet, erklärt Kaspar Geiser, Geschäftsführer von Aspectra, auf den folgenden Seiten. 13 / 2018 www.netzwoche.ch © netzmedien ag

In Kooperation mit Aspectra DDoS-Attacken DOSSIER53 Cyberangriffe vor den Front-Routern abwehren Cyberattacken sind gemäss Nachrichtendienst des Bundes neben Terrorismus die Hauptgefahr für die Schweiz. Der Schutz vor Cyberattacken bedingt Abwehrszenarien «im Grossen» wie «im Kleinen». Wirksamen Schutz bieten im Rechenzentrum betriebene Boxen, die den Internetverkehr analysieren und einen Angriff vor den sogenannten Front-Routern abwehren. DER AUTOR Kaspar Geiser Geschäftsführer, Aspectra Distributed-Denial-of-Service-Attacken, kurz DDoS-Attacken, sind gefürchtet. Die Überlastungsangriffe legen Websites, Onlinedienste und Server lahm, indem sie ein Internetangebot so lange aufrufen, bis es zusammenbricht. DDoS-Attacken kommen von tausenden Systemen irgendwo im Internet. Sie sind deshalb nur schwer vom normalen Datenverkehr im Internet zu unterscheiden. Woher DDoS-Attacken kommen und wie sie orchestriert werden, ist selten eruierbar. Die Angreifer verteilen sich über die ganze Welt und werden gezielt für die Angriffe ausgewählt. Würde ein Angriff auf ein Schweizer Finanzinstitut beispielsweise nur aus Kenia stattfinden, wäre das a) offensichtlich und b) mit einem einfachen Geoblocking mitigierbar. Gefährlich sind DDoS-Attacken, weil es schwierig ist, sie überhaupt als solche zu erkennen. Die Medien berichteten in den letzten Jahren vor allem über die grossen und lange anhaltenden Angriffe. Neuere Attacken zielen aber häufig auf E-Mail- oder DNS- Server und nicht mehr unbedingt auf eine eigentliche Website. Bei betroffenen Unternehmen werden dann etwa Bestellungen nicht mehr automatisch via E-Mail bestätigt oder E-Banking-Log-in- Seiten sind im Browser nicht mehr auffindbar. Es folgen «Phishing E-Mails», in denen sich das Unternehmen für den Teilausfall entschuldigt und die Kunden bittet, ihre Angaben nochmals einzugeben – dann allerdings auf einer Seite des Angreifers. Die Überlastungsangriffe legen Websites, Onlinedienste und Server lahm, indem sie ein Internet angebot so lange aufrufen, bis es zusammenbricht. Sicherheitsarchitektur Die Angriffsszenarien sind vielseitig und erfordern deshalb ausgeklügelte Sicherheitsarchitekturen. Kritische Anwendungen aus dem eigenen Rechenzentrum auszulagern, bietet besseren Schutz, da Serviceprovider oder Public Clouds über entsprechende Dienste verfügen. Mit dem Auslagern sind aber Schwierigkeiten verbunden, etwa was den Standort der Datenhaltung anbelangt oder den Weg, der eine Anfrage zwischen Kunde und Anbieter zurücklegt. Schützt man sich über einen vorgelagerten Proxy, etwa einer Web Application Firewall eines Content Distribution Networks, gibt man einen Teil des Steuers aus der Hand. So steht mindestens der DNS, meist aber auch die TLS/SSL-Terminierung ausserhalb des bekannten Perimeters und ist nicht selten über die ganze Welt verteilt. Ein anderer Architekturansatz implementiert den kritischen Internetverkehr über ein zentrales Element mit einem Partner vor Ort, der diesen Dienst in und aus der Schweiz bewerkstelligt. Der Schutz vor den Front-Routern Doch auch ein zentraler Schutz hat Grenzen: Sind die Ressourcen an Bandbreite ausgeschöpft, kann auch dieser ungenügend sein. Ein solch zentraler Schutz kennt typischerweise mehrere Zustände: a) kein Angriff, b) ein Angriff, der mit lokalen Ressourcen mitigiert wird, c) ein Angriff, der mit lokalen Ressourcen nicht mitigiert werden kann. A) Kein Angriff Genau genommen wird man permanent angegriffen. Es stellt sich eher die Frage, ob man den Angriff feststellt und ob dieser Schaden Grafik: Neyro / Fotolia.com www.netzwoche.ch © netzmedien ag 13 / 2018

Archiv