Aufrufe
vor 1 Jahr

Netzwoche 13/2018

54 DOSSIER DDoS-Attacken

54 DOSSIER DDoS-Attacken In Kooperation mit Aspectra Grafik: Choo Studio / shutterstock.com anrichtet oder zu viele Ressourcen bindet. Denn Cyberschutz besteht nicht nur aus Abwehr von Attacken, sondern auch aus dem minutiösen Aufzeichnen des Verhaltens aller Verbindungen. Die Auswertungen bestimmen die Trigger, die gesetzt werden, wie zum Beispiel das Sperren einer Quelle. Serviceprovider bieten ihren Kunden idealerweise Zugang zu diesem Monitoring. So arbeiten sie nicht nur transparent, sondern sensibilisieren ihre Kunden auch für mögliche Gefahren. B) Angriffe, die mit lokalen Ressourcen mitigiert werden Serviceprovider verfügen immer über mehrere Internetleitungen. Jede einzelne Leitung schützen sie separat, idealerweise noch vor den sogenannten Front-Routern. Dabei wird der Verkehr nach verschiedenen Kriterien analysiert und im Bedarfsfall abgewehrt. Der Vorteil: Der Internetverkehr zwischen Kunden und Unternehmen nimmt immer den gleichen Weg und wird nicht umgeleitet über externe Systeme, die unter Umständen im Ausland verteilt sind. Der Nachteil: Ein solcher Schutz ist abhängig von den Ressourcen des Serviceproviders bei seinen Internetlieferanten. C) Angriffe, die mit lokalen Ressourcen nicht mitigiert werden können Jede Internetanbindung ist limitiert. Sind bei einem Angriff alle Internetlinks ausgelastet, muss die Mitigation des Angriffs im Internet selbst stattfinden. Das betroffene IP-Netzwerk (mindestens 255 IP-Adressen) wird dann nicht mehr vom Serviceprovider im Um sich vor massiven Attacken zuverlässig zu schützen, sind mehrstufige Konzepte notwendig. Internet angepriesen, sondern von einem CDN (Content Delivery Network), etwa Akamai. CDN-Provider verfügen im Verhältnis zum Serviceprovider über beinahe unendliche, global verteilte Ressourcen, weshalb ein Angriff für einen CDN-Provider einfacher zu bewältigen ist. Im CDN werden offensichtliche Angriffspakete, wie Angriffe auf Ports oder Protokolle zurückgehalten. Zwischen CDN und Serviceprovider besteht eine gesicherte und isolierte direkte Verbindung. Über diese Leitung gelangen dann die «guten» Anfragen zum Serviceprovider. Dieser «White Traffic» wird beim Serviceprovider erneut geprüft und danach von der Anwendung beantwortet. Bei diesem Verfahren wird der Internetverkehr in keinem Fall im Ausland oder im CDN aufgebrochen oder terminiert. So bleiben auch DNS und Zertifikate voll und ganz in der Hand des lokalen Serviceproviders. Cyberattacken finden dauernd statt Keine Organisation und keine Website ist vor Angriffen gefeit. Um sich vor massiven Attacken zuverlässig zu schützen, sind mehrstufige Konzepte notwendig. Für maximale Handlungs- und Analysemöglichkeiten empfiehlt sich ein zentraler, lokaler Schutz, der DDoS-Attacken mitigiert und den «guten» Verkehr an die zu schützende Anwendung weiterleitet. Idealerweise werden der lokale Schutz und die Anwendung beim selben Serviceprovider betrieben. Alternativ verfügt der Serviceprovider über entsprechend gesicherte Verbindungen zur Anwendung, wodurch die Anwendung auch in einer Public Cloud betrieben werden kann. 13 / 2018 www.netzwoche.ch © netzmedien ag

In Kooperation mit Aspectra DDoS-Attacken DOSSIER55 « Die Attacken werden kürzer und gezielter » Cybergefahren kommen nicht nur in Form von Viren, Würmern oder Ransomware daher. Auch die Überlastung von Datennetzen mittels DDoS-Attacken stellt eine Bedrohung dar. Im Interview erklärt Kaspar Geiser, Geschäftsführer von Aspectra, wie sich Unternehmen dagegen wappnen können. Interview: Oliver Schneider Wie funktionieren die von Ihnen erwähnten Boxen, die DDoS- Attacken schon vor dem Router abfangen sollen? Kaspar Geiser: Diese Boxen erkennen eine Vielzahl von bekannten Mustern wie «TCP/UDP/ICMP Flood Attacks», «Malformed Packets», «Smurf Attacks» oder aber auch «SSDP und DNS Amplification». Mit der Abwehr dieser Attacken werden die Router und dahinterstehenden Ressourcen geschont und diese können so auch unter Attacke «normal» arbeiten. Auch heuristische Analysen werden angewendet, um Layer-1- bis -4-Attacken abzuwehren. « Bekannte Fälle waren politischer Natur und betrafen die Schweiz und Österreich vor und während Besuchen von ranghohen Regierungsvertretern in oder aus Asien. » Kaspar Geiser, Geschäftsführer, Aspectra Kaspar Geiser, Geschäftsführer, Aspectra Wie haben sich DDoS-Attacken Ihrer Erfahrung nach in den letzten Jahren verändert? Die Attacken werden kürzer und gezielter. Wo früher ein manuelles Eingreifen ausreichte, muss heute mit Automatismen der Schutz sofort aktiv werden. Wer steckt hinter den DDoS-Angriffen? Es gibt nur wenige Fälle, die von Melani und anderen Stellen kommentiert werden. Bekannte Fälle waren politischer Natur und betrafen die Schweiz und Österreich vor und während Besuchen von ranghohen Regierungsvertretern in oder aus Asien. Welche Art von Firmen sind besonders anfällig für DDoS- Attacken? Leider alle. Grossfirmen und reine Internetfirmen haben die Gefahr teilweise bereits erkannt und schützen sich. KMUs oder Vereine sind sich der Gefahr zwar bewusst, können aber die Tragweite selten abschätzen. Neben DDoS-Attacken gibt es eine Vielzahl an weiteren Angriffs- und Manipulationsmöglichkeiten. Hier lauern noch viele Gefahren für Firmen. Was raten Sie KMUs, um ihre IT-Systeme vor DDoS-Attacken zu schützen? DDoS-Attacken sind eine reelle Gefahr. Um einen umfassenden und auf die verschiedenen Gefahren abgestimmten IT-Schutz eines Unternehmens zu erlangen, empfehlen wir die Zusammenarbeit mit Managed-Service-Providern. Eine Auslagerung oder mindestens Aufteilung der IT in «interne» und «externe» IT-Infrastruktur ist ebenfalls ratsam, um die Risiken und Schutzmassnahmen zu verteilen, beziehungsweise gezielt zu implementieren. Wie merkt ein Hoster, ob eine DDoS-Attacke stattfindet oder einfach nur viel Traffic im Netzwerk herrscht? Dies bedingt die Korrelation verschiedener Parameter des Netzwerks: über das Betriebssystem bis hin zur Anwendung und die damit involvierten Schutzstufen wie Firewall und WAF. Bei einer DDoS-Attacke weisen diese Parameter Anomalien auf, da eine DDoS-Attacke nie perfekt ist. So steigt beispielsweise die Anzahl Anfragen von einer Quell-IP-Adresse bei Attacken überproportional an, was ein Indiz sein kann. Um Attacken zu erkennen, sind Hoster auf umfangreiche Security-Information-and-Event-Management- Lösungen, kurz SIEM, angewiesen. Diese Systeme dienen der Analyse oder der automatischen Auslösung von Massnahmen. www.netzwoche.ch © netzmedien ag 13 / 2018

Archiv