Best Practice Ansätze zum DDoS-Schutz

Transkript

1 Best Practice Ansätze zum DDoS-Schutz Version Dezember 2013 Raymond Hartenstein Link11 GmbH Hanauer Landstrasse 291A Frankfurt am Main Tel:

2 Was sind DDoS-Angriffe? Bei Distributed Denial-of-Service Angriffen (DDoS) benutzt ein Angreifer eine Vielzahl von Rechnern, die mit Schadsoftware infiziert sind und somit fern gesteuert werden können. Bei einer Attacke greifen diese Rechner (Botnetz) zeitgleich auf ein Ziel zu, meist einen Webserver und blockieren diesen durch Überlast. Er ist mitunter über Stunden oder Tage nicht mehr erreichbar. Man unterscheidet bei den Angriffen zwischen solchen, die eine Anwendung als Ziel haben (Applikations-Attacke) und solchen, die durch die Menge an Anfragen ein so großes Volumen erzeugen, dass die physikalische Netzanbindung des betroffenen Unternehmens überlastet ist (Volumen-Attacke). Bei Applikations-Attacken versucht der Angreifer eine Anwendung zu überlasten, indem er z.b. eine größere Datei (Bild, Graphik, etc.) sehr oft in kurzer Zeit aufruft. Oder er stellt eine Suchabfrage, die sehr viele Ergebnisse liefert, häufig innerhalb kurzer Zeit. Dadurch werden die Systeme, die den entsprechenden Inhalt ausliefern sollen überlastet. Bei den Volumen-Attacken ist es die Zahl der Anfragen, die von vielen Tausend Rechnern zeitgleich kommen, die einen Netzzugang und das System überlasten. Hier ist durch die Menge der Anfragen das Datenvolumen derart groß, dass die Leitung verstopft ist. Warum DDoS-Angriffe? Als Angriffsmethode auf Unternehmen, bzw. deren Internetpräsenz oder Infrastruktur, werden DDoS-Attacken immer beliebter. Sie sind für wenig Geld im Internet zu mieten, oder auch recht einfach selbst zu bewerkstelligen. Als Angreifer ist die Wahrscheinlichkeit identifiziert zu werden sehr gering und die Angriffe sind wirkungsvoll, bzw. richten oft großen Schaden an. Das unterscheidet sie von anderen Methoden die mehr Aufwand bedeuten, oder deren Effekt wesentlich kleiner ist. Bisher gibt es leider noch wenige Statistiken, wie stark deutsche Unternehmen betroffen sind, da es noch keine aussagekräftige Basis an Unternehmen gibt, die entsprechende Daten liefern. International gibt es Erhebungen, dass z.b. aktuell der Anteil der Attacken über 1Gbp/s Bandbreite mittlerweile bei 46,5% liegt, eine Zunahme von 13,5% gegenüber Der Anteil der Attacken zwischen 2-10Gbp/s hat sich gegenüber 2012 von 14,78% auf 29,8% verdoppelt. Genauso wie die Zahl der Attacken über 20Gbp/s, die in der ersten Hälfte 2013 schon doppelt so viele sind wie in 2012 gesamt 1. Man erkennt, dass Angriffe häufiger und grösser werden. In der Regel passieren DDoS-Angriffe natürlich zu einer Zeit, in der sie das angegriffene Unternehmen am meisten schädigen können. Im E-Commerce z.b. häufig zur Weihnachtszeit, wenn die Umsätze am höchsten sind. Vermehrt wird an Wochenenden angegriffen, wenn die IT-Abteilung nicht voll besetzt ist und daher der Angriff nur schlecht abgewehrt werden kann. In der Versicherungsbranche ist die Gefahr z.b. kurz vor dem möglichen Wechseltag der KFZ-Versicherung sehr groß, wenn Kunden vor dem 30. November ihren Tarif vergleichen möchten. Anders verhält es sich bei Firmen, die z.b. Finanzbewertungen veröffentlichen, oder Webseiten, die politische Aussagen treffen. Hier erfolgen Angriffe meist wahllos und dauern über viele Tage an, 1 Quelle: Arbor Networks ATLAS DDoS attack data for Q

3 einfach nur um die Seite für lange Zeit nicht verfügbar zu machen. Der kommerzielle Schaden steht hier nicht im Vordergrund, er ist auch vergleichsweise gering. Im Wesentlichen sind es vier unterschiedliche Motivationen im Bereich der DDoS-Angriffe auf professionelle Webseiten/Infrastrukturen: Politsche/Hacktivismus: Die Aussagen oder politischen Ziele der Zielseite sind nicht konform mit der Meinung und Motivation des Angreifers. Finanzielle: Opfer sind hier häufig Webshop Betreiber, die erpresst werden. Sofern kein Geld gezahlt wird, drohen die Angreifer damit, die Seite zu überlasten, damit sie nicht mehr verfügbar ist ( Umsatzschaden). Konkurrenz: Unternehmen, deren Internetpräsenz durch Konkurrenten angegriffen wird. Teilweise um Imageschäden zu verursachen, oder den Onlinehandel des Unternehmens zu blockieren. Datendiebstahl/Verschleierung: Durch eine DDoS-Attacke wird die IT/Security Abteilung des Unternehmens beschäftigt. In der Zwischenzeit wird dadurch unbemerkt eine andere Schwachstelle ausgenutzt, um sensible Daten zu stehlen. Abwehrmethoden Es gibt viele Methoden, die aufgeführt werden, um sich gegen DDoS-Angriffe zu schützen. Nur wenige davon sind wirklich wirksam gegenüber professionellen Angriffen. Systeme, wie z.b. eine Firewall können in der Regel schnell überlastet werden und bieten daher gegen DDoS-Angriffe nur unzureichend Schutz. Die Firewall regelt im Grunde, wer von extern auf welche Anwendung zugreifen darf und geht nach einem strikten Regelwerk vor. Gibt es zu viele Anfragen, ist die Firewall überlastet, da der permanente Abgleich mit dem Regelwerk entsprechend Ressourcen benötigt. Als Ergänzung zur Firewall werden häufig Intrusion Detection Systeme (IDS) eingesetzt. Hier wird der Datenverkehr mit bekannten Angriffsmustern abgeglichen. Die wenigsten Systeme erkennen neuartige Angriffe und auch hier spielen die vorhanden Ressourcen eine große Rolle, ein IDS System lässt sich meist sehr schnell mit einem DDoS-Angriff überlasten. Es haben sich drei Methoden durchgesetzt, die einen wirksamen Schutz bieten können: Hardware: Es wird ein Gerät (DDoS-Appliance) in der Infrastruktur des Unternehmens installiert. Diese Appliance überwacht den Datenverkehr. Bei Auffälligkeiten, wie dem plötzlichen Anstieg des Datenverkehrs, limitiert sie ihn, bzw. erkennt die Anfragen des Angreifers und blockiert diese. CDN: Das Content Distribution Netzwerk (CDN) verteilt Inhalte der Webseite auf weltweit platzierte Server. Somit müssen Anfragen nicht vom Original Server beantwortet werden, sondern von dem physikalisch am nächsten platzierten. Damit erreicht man eine schnelle Antwortzeit. Es können jedoch nur nicht veränderbare (statische) Inhalte verteilt werden, veränderbare (dynamische) Inhalte sind ausgenommen. Ein Bild ist statisch, ein Suchergebnis ist dynamisch. DDoS Cloud-Schutz: Der Datenverkehr für die Webseite wird über den externen Filter eines Dienstleisters geleitet. Durch eine Analyse der Anfragen können Angreifer erkannt und blockiert werden. Nur legitimer Datenverkehr wird weitergeleitet.

4 Diese verschiedenen Abwehrmethoden können auch miteinander kombiniert werden, das ist in vielen Fällen zielführender in der Abwehr, als der Einsatz nur einer Methode. Herausforderungen bei der Abwehr Die Thematik der DDoS-Abwehr hat sich in den letzten Jahren gewandelt. Die Angriffsmethoden sind komplexer geworden, es werden verschiedene Angriffsarten kombiniert und zum Teil über einen langen Zeitraum aufrechterhalten. Bisher hat sich noch keine Abwehrmethode als die perfekte herausgestellt, auch unter dem Gesichtspunkt, dass Unternehmen aus verschiedenen Branchen sehr unterschiedliche Anforderungen an eine Lösung haben: Eine Bank möchte vielleicht ihren Datenverkehr nicht dauerhaft über einen Cloud-Anbieter umleiten, weil sie Bedenken in Richtung Datenschutz hat. Ein Bewertungsportal oder die Online Präsenz einer Zeitung hat damit eher keine Probleme. Das rein national agierende Unternehmen benötigt kein CDN um seine Webseite weltweit schnell verfügbar zu machen, aber ist vielleicht ebenfalls um die Datensicherheit besorgt, da täglich viele Bezahlvorgänge über die Webseite laufen. Daher empfiehlt es sich, einen Anforderungskatalog zum DDoS-Schutz zu erstellen, in denen die Vorund Nachteile der einzelnen Lösungen abgewogen werden. Diese sind unter anderem: Hardware: Eine lokal installierte Hardware kann Angriffe gut erkennen. Jedoch sind viele Hardware Lösungen nicht sehr granular, da sie nur Teile des Datenstroms analysieren, so steigern sie ihre Leistungsfähigkeit. Solange die physikalische Netzwerkanbindung groß genug ist, funktioniert diese Lösung aber. Sobald das Datenvolumen des Angriffs die Kapazität der Anbindung überschreitet, ist die Hardware Lösung im Nachteil. In der Regel fallen auch sehr hohe Beschaffungskosten an und die Hardware muss in die bestehende Infrastruktur integriert werden. Personal muss geschult werden, welches im 24/7 Betrieb die Appliance bedienen kann. Nehmen die Angriffe an Volumen zu, kann natürlich die Bandbreite des Netzanschlusses vergrößert werden, mitunter muss aber auch zusätzliche Hardware gekauft werden. Es entstehen weitere Kosten. Viele Hardware Anbieter gehen mittlerweile dazu über entweder einen eigenen Cloud-Schutz aufzubauen, der Volumenangriffe abfangen kann, oder sie kooperieren mit Anbietern einer Cloud- Lösung. CDN: Ein CDN ist zunächst keine wirkliche Sicherheitslösung, sondern nur ein Verteilen der Anfragelast. Zudem bietet es keinen Schutz, wenn die Angriffe z.b. auf die Suchfunktion, sprich die Datenbank der Webseite, gehen. Auch wird nur der Webserver geschützt, andere Server in der Infrastruktur (Mail, VPN, etc.) sind weiterhin ungeschützt. CDN Anbieter kombinieren ihr Angebot zunehmend mit einer Web Application Firewall (WAF). Diese kann Zugriffe auf einzelne Anwendungen limitieren, erfordert jedoch auch eigene Expertise und administrativen Aufwand. DDoS Cloud-Schutz: Der cloudbasierte Schutz, bzw. externe Filter muss mit ausreichender Bandbreite angeschlossen sein, um vor Volumenattacken zu schützen. Dadurch, dass die Daten extern gefiltert werden, spielt der Datenschutz eine wichtige Rolle. Hier muss darauf geachtet werden, dass die Datenschutz Standards des Landes in dem der Filter steht ausreichend sind. Um keine unnötige Verzögerung durch die Datenumleitung zu verursachen, sollte der Filter in der gleichen Region (US/EU/APAC) wie der zu schützende Webserver stehen.

5 Der Support spielt gerade bei externen Lösungen eine große Rolle. Der Kunde will im Angriffsfall, oder z.b. bei Problemen, die potentiell vom externen Filter kommen könnten, jederzeit einen kompetenten Ansprechpartner am Telefon haben. Die Nachteile der einzelnen Lösungen können nur durch sinnvolle Kombination gemildert werden. Auch gelten die Nachteile nicht notwendigerweise für alle Anwendungsfälle. Zu empfehlende Schutzmaßnahmen DDoS-Angriffe werden immer einfacher zu bewerkstelligen. Der finanzielle Schaden bei Ausfall der Webseite, oder Überlastung der Infrastruktur kann enorm sein: Eine Bank, die über einen Tag keine Transaktionen mehr durchführen kann, erleidet einen erheblichen Schaden. Laut einer Studie des Ponemon Institute 2 waren im Jahr 2012, 64% der weltweiten Banken von einer DDoS-Attacke betroffen. Auch ein Technologie Unternehmen, dessen Entwicklungsstandort vom Netz abgetrennt ist, oder der Mittelständler, dessen Produktionsstandort über Tage nicht mehr erreichbar ist, können nachhaltig geschädigt werden. Existenzbedrohend kann es für einen Onlineshop sein, der komplett abhängig ist von der Erreichbarkeit seiner Webseite, da sein komplettes Geschäftsmodell darauf aufgebaut, dass Kunden jederzeit bestellen können. Daher empfiehlt es sich, Schutzmaßnahmen zu ergreifen. Die DDoS-Angriffe der letzten Monate haben an Volumen zugenommen, sodass häufig die lokale Netzanbindung des betroffenen Unternehmens überlastet war. Zudem wurden Angriffe intelligenter, d.h. es wurden oftmals die Anwendungen überlastet, die auf dem Webserver liefen, oder es wurden andere Server in der Infrastruktur des Unternehmens angegriffen und Netzzugänge überlastet und damit mitunter ganze Standorte außer Betrieb gesetzt. Der erste Schluss, den man daraus ziehen muss ist, dass eine lokale Hardware, die in der eigenen Infrastruktur installiert ist, meist nicht ausreichend ist. Es empfiehlt sich die Kombination mit einem Cloud-Schutz, oder einem CDN. Welche Punkte gibt es hier zu beachten? Ist es eine internationale Webseite, deren Inhalt in mehreren Ländern verteilt werden muss? Dann empfiehlt sich die Kombination mit einem CDN. Gibt es viele dynamische Inhalte auf der Seite? Da die Anfragen vom Original Webserver beantwortet werden müssen, kann der Cloud-Schutz hier optimal schützen. Gibt es Such-/Datenbankabfragen, die das System stark belasten können? Nur wenige Hardware Lösungen können erkennen, wie sehr eine Suchabfrage die Datenbank belastet. Auch hier hat der Cloud-Schutz seine Vorteile. Ist nur der Webserver zu schützen, oder gibt es z.b. - oder VPN Server? Das CDN schützt nur den Webserver. In diesem Fall empfiehlt sich die Kombination aus Hardware und Cloud- Schutz. Wie viel Security Expertise gibt es im eigenen Unternehmen? Sind die eigenen Ressourcen nicht oder zu wenig vorhanden, sollte man von einer Hardware Lösung Abstand nehmen, da sie nicht ausreichend administriert werden kann. Soll eine externe Lösung permanent den Datenstrom filtern oder nur im Angriffsfall? Oft empfiehlt sich eine Standby-Lösung, die nur im Angriffsfall aktiv wird. Der DDoS-Schutz Anbieter kann in diesem Fall auch als potentielle Fehlerquelle ausgeschlossen werden. 2 Eduard Kovacs (2013): Months-Study-Finds shtml

6 Wie relevant ist der Datenschutz, wird er durch den Anbieter gewährleistet? Dies ist für die meisten Unternehmen relevant und der externe Anbieter sollte sicherstellen können, dass wirksame Datenschutz Regelungen eingehalten werden. Dies ist nur eine Auswahl an Fragen, die sich ein Unternehmen stellen sollte und darauf aufbauend seine Evaluierung der Schutzmöglichkeiten beginnen sollte. Zu bedenken ist immer, dass die Thematik der DDoS-Angriffe bisher ein Nischenthema ist. In vielen Unternehmen ist die Expertise nicht vorhanden, diese Angriffe selbst abzuwehren, bzw. eine Hardware-Lösung effektiv zu bedienen, wenn es völlig unerwartet darauf ankommt. Im Zweifel sollte man sich an Spezialisten wenden, die täglich mit der Abwehr zu tun haben. Ein externer Schutz, der cloudbasiert ist, bietet viele Vorteile: Experten beschäftigen sich täglich mit der Abwehr von Angriffen. Große Datenvolumen können problemlos abgefangen werden, aber auch Angriffe auf Applikationsebene werden von guten Anbietern erkannt. Einige können im Angriffsfall zudem das gesamte Netzwerk des Unternehmens kurzzeitig übernehmen und damit komplett schützen, da Attacken nicht mehr nur auf die Webserver zielen. Dieser Schutz kann in einer Standby-Variante eingesetzt werden, so dass der Datenverkehr im Normalfall nicht einmal über den Anbieter laufen muss. Wichtig ist, dass die Evaluierung der Schutzmöglichkeiten nicht erst beginnt, wenn ein Angriff in vollem Gange ist. Das Risiko betroffen zu sein wird in den nächsten Jahren steigen und eine geeignete Schutzmaßnahme sollte vorher gefunden sein. Über Link11: Die Link11 GmbH ist ein deutscher IT-Security Anbieter. Spezialisiert auf DDoS-Schutz, gewann das Unternehmen mit seiner cloudbasierten Lösung 2012 den eco-award für das innovativste Produkt. Als Mitglied in der Allianz für Cybersicherheit, dem TeleTrusT e.v. und als Preferred Business Partner des Bundesverband des Deutschen Versandhandels e.v. (bvh) beteiligt sich Link11 intensiv an der Entwicklung von DDoS-Schutzmaßnahmen und zählt zu seinen Kunden führende Unternehmen aus dem Finanzsektor, E-Commerce und dem deutschen Mittelstand. Über den Autor: Raymond Hartenstein ist seit 1997 in der IT-Branche tätig. Er arbeitete u.a. für globale Netzwerkanbieter, CDN-Betreiber und IT-Security Hersteller. Seit März 2013 ist er für die Link11 GmbH als Vertriebsleiter tätig.