Whitepaper. Citrix NetScaler: ein wirksamer Schutz gegen Denial-of-Service- Attacken. citrix.de

Transkript

1 Citrix NetScaler: ein wirksamer Schutz gegen Denial-of-Service- Attacken

2 In den letzten Jahren ließ sich eine starke Zunahme von Denial-of-Service(DoS)-Attacken beobachten. Diese Angriffe auf die Verfügbarkeit von Systemen stehen heute wieder im Fokus von Netzwerk- und Sicherheitsteams. Doch auch die Art der Bedrohung hat sich verändert. Die Hauptziele sind nicht mehr nur die größten Internetunternehmen. Heutzutage sind alle Unternehmen unabhängig von ihrer Größe oder Branche in Gefahr. Angriffe zu entdecken ist zudem um einiges schwieriger geworden als früher. Versteckte Angriffe mit geringer Bandbreite auf die Anwendungsschicht konzentrieren sich dabei auf die Überlastung von Backend-Ressourcen, während Angriffe mit hoher Bandbreite Netzwerkleitungen überfluten oder kritische Netzwerkgeräte/-services zum Absturz bringen. Dieses Whitepaper analysiert die derzeitige DoS-Landschaft und setzt sich mit den geläufigsten Methoden zur Bekämpfung moderner DoS-Attacken auseinander. Es wird verdeutlicht, warum der Application Delivery Controller (ADC) Citrix NetScaler eine stabile und gleichzeitig kostengünstige Basis für den Schutz gegen DoS-Attacken auf Unternehmen darstellt. Zu den Vorteilen der NetScaler-Lösung gehören: Eine umfassende Reihe von Schutzmaßnahmen zur effektiven Bekämpfung von DoS-Attacken in allen Netzwerk-Schichten. Die Einbeziehung innovativer, fortschrittlicher Technologien zur Bekämpfung der heimtückischsten Arten von DoS-Attacken, ohne dass dabei legitime Transaktionen beeinträchtigt werden. Die Fähigkeit, dieselbe NetScaler-Infrastruktur zu nutzen, um ein starres, veraltetes Rechenzentrum in ein skalierbares, anpassungsfähiges, modernes Cloud-Netzwerk umzuwandeln. DoS-Szenarien DoS-Attacken galten einst als gängiges Mittel aus dem Repertoire von Hackern, um große Internetserver lahmzulegen. Später traten diese immer mehr in den Hintergrund, um Platz für finanziell motivierte Angriffe zu machen. Solch profitorientierte Angriffe erforderten im Allgemeinen eine unauffälligere Vorgehensweise, um ihr Ziel zu erreichen und wertvolle Daten zu stehlen. In dieser Phase wurden DoS-Attacken hauptsächlich für Erpressungsversuche genutzt. In diesem Szenario droht ein Angreifer mit einer DoS-Attacke, falls nicht in einer bestimmten Frist ein genannter Geldbetrag überwiesen wird. Wer bezahlt, erhält eine nette mit einem Dankeschön; alle anderen müssen mit DoS-Attacken auf ihr Unternehmen rechnen. 2

3 Die Rückkehr der DoS-Angriffe In den letzten Jahren zeigte sich ein Wiederaufleben der DoS-Attacken und sie sind effizienter denn je. Dies lässt sich hauptsächlich darauf zurückführen, dass sie eine der bevorzugten Technologien für sozial und politisch motivierte Angriffe geworden sind. Objektiv gesehen sind sie für diese Fälle gut geeignet. Es geht den Angreifern nicht um wertvolle Informationen, sondern darum, die Aufmerksamkeit des Angegriffenen zu erreichen, und was noch wichtiger ist, um eine starke Öffentlichkeitswirkung. Ein nennenswertes Beiprodukt dieses Hacktivismus war die Veröffentlichung kostenloser bzw. kostengünstiger Tools zur Durchführung eigener DoS-Attacken. Gepaart mit leicht zugänglichen Botnets haben diese Tools die Rückkehr der DoS-Attacken in den Mainstream eingeleitet. Sie haben zudem zu einigen Merkmalen der aktuellen DoS-Szenarien beigetragen, auf die besonderes Augenmerk gelegt werden sollte. Erstens bedeuten geringe technische und finanzielle Hürden, dass heutzutage praktisch jeder eine DoS- Attacke durchführen kann. Zweitens ist es, aus denselben Gründen, nun einfacher, DoS-Techniken auch für finanziell motivierte Angriffe zu nutzen. Solche Angriffe werden entweder direkt zur Störung eines Konkurrenten durchgeführt oder sie werden als Ablenkungsmanöver eingesetzt, während gleichzeitig von anderer Seite ein weiterer Angriff mit dem Ziel gestartet wird, wertvolle Daten zu stehlen. Die wichtigste Erkenntnis hieraus ist, dass jede Organisation nun ein potenzielles Ziel für DoS-Attacken ist, unabhängig von Größe, Branche oder Agenda. Die Evolution von DoS-Attacken Während die einfache Durchführungsmöglichkeit die Rückkehr der DoS-Attacken beschleunigt hat, hat zudem eine weitere Entwicklung einen großen Einfluss auf den Schutz vor DoS-Attacken. Genau wie andere Bedrohungen auch finden DoS-Attacken immer häufiger in höheren Netzwerk- Schichten statt. Dies scheint eine Abkehr von der ursprünglichen Vorgehensweise zu sein, jedoch ist es eher der Fall, dass Hacker ihr Repertoire hier um neue Tricks ergänzen. Auffällige, herkömmlich durchgeführte DoS-Attacken auf ein Netzwerk werden nicht unbedingt verschwinden. Es gibt nun jedoch zusätzliche Arten von DoS-Attacken, die auf einer höheren Netzwerk- Schicht ablaufen. Ein großes Problem mit diesen neuen Angriffen ist die Tatsache, dass sie sich oft als legitime Sitzungen/Transaktionen tarnen. Dies erlaubt es ihnen, ungehindert zahlreiche Sicherheitsmaßnahmen zu überwinden, darunter Firewalls und Intrusion-Prevention-Systeme. 3

4 Abbildung 1: Asymmetrie bei DoS-Attacken Ein zweites Problem ist ihre zunehmend asymmetrische Natur [siehe Abbildung 1]. Aus technischer Sicht bedeutet dies, dass nur eine geringe Anzahl an Anwendungsanfragen und/oder eine geringe Menge an Bandbreite vonnöten ist, um einen unverhältnismäßig hohen Verbrauch an Backend-Ressourcen auszulösen. Konkret heißt dies, dass DoS-Attacken schwerer zu erkennen sind, da unerwartete Transaktions- oder Datenverkehrsspitzen im Netzwerk nicht länger ein Indikator für Angriffe sind. Trotz aller Veränderungen konzentrieren sich DoS-Attacken weiterhin darauf, Ressourcen in einem Punkt der End-to-End-Kommunikation zwischen Computern zu überlasten seien es Netzwerkleitungen, die Statustabellen von Netzwerkgeräten und -servern oder die Rechenkapazität von Anwendungs-Hosts. Bei einer erfolgreichen Strategie zur Schadensminderung von DoS-Attacken muss dies unbedingt im Blick behalten werden. Strategien zur Schadensminderung bei DoS-Attacken Lösungen zur Schadensminderung bei DoS-Attacken lassen sich in zwei allgemeine Kategorien einteilen: Geräte im Rechenzentrum des Kunden und cloudbasierte Angebote. Diese beiden Kategorien lassen sich in weitere Optionen unterteilen, jede mit ihren Vor- und Nachteilen. Geräte im Rechenzentrum des Kunden Die erste Option zur Schadensminderung bei DoS-Attacken besteht aus einer Unternehmens-Firewall oder einem Intrusion-Prevention-System diese ist generell eine schlechtere Wahl. Diese Geräte bieten zwar eine Reihe von Schutzmaßnahmen gegen DoS-Attacken (einige mehr als andere), jedoch sind sie üblicherweise auf DoS-Attacken innerhalb der Vermittlungsschicht beschränkt und bieten keinen Schutz gegen Angriffe in höheren Schichten. Zudem sind diese Geräte von Natur aus zustandsorientiert. Sie müssen den genauen Zustand von übertragenen Paketen und Datenströmen überwachen, was diese Geräte selbst anfällig für DoS-Attacken macht. 4

5 Dedizierte Geräte zur Schadensminderung bei DoS-Attacken sind eine zweite Option. Obwohl sie in der Regel eine Reihe verschiedener mehrstufiger DoS-Schutzmaßnahmen aufweisen, haben auch sie ihre Nachteile. Erst einmal leiden sie an denselben Einschränkungen wie jede andere Lösung im Rechenzentrum des Kunden: Sie sind nutzlos, wenn der Angriff Ihre Internetleitungen überflutet und somit dafür sorgt, dass der Datenverkehr nicht einmal bis zu ihnen gelangt. Sie sind zudem anfällig für SSL-basierte Angriffe, die eine hohe Rechenlast verursachen, besonders, wenn dedizierte Hardware zur SSL-Terminierung oder -Analyse fehlt. Ein weiterer Nachteil, der berücksichtigt werden sollte, ist das Kosten- Nutzen-Verhältnis einer einzigartigen Schutzfunktion zur Schadensminderung bei DoS-Attacken, da hierbei ein Gerät für jede kritische Internetverbindung erworben, implementiert und gewartet werden muss. Einen bereits strategischen Kontrollpunkt in den meisten Netzwerken stellt der moderne ADC dar, eine dritte, oftmals ideale Option. Marktführende ADCs, wie z. B. NetScaler, kombinieren zahlreiche Funktionen zur Schadensminderung bei DoS-Attacken auf allen Schichten des Computernetzes. Sie bieten sogar Support für rechenintensive SSL-basierte DoS-Attacken. Das Ergebnis ist somit eine Lösung, die einen äußerst umfangreichen Schutz vor DoS-Attacken bietet, ohne dass eine weitere Reihe dedizierter Geräte implementiert werden muss. Cloudbasierte Serviceangebote Ein Hauptvorteil cloudbasierter Optionen zur Schadensminderung bei DoS-Attacken ist, dass sie anders als Lösungen im Rechenzentrum des Kunden DoS-Attacken bekämpfen können, die das Ziel haben, Ihre Internetbandbreite zu überlasten. Die beiden Angebote in dieser Kategorie Content- Delivery-Netzwerk- und Anti-DoS-Service-Provider umfassen im Allgemeinen Rechenzentren mit einer gewaltigen Bandbreitenanbindung. Durch diesen Ansatz haben diese Optionen eine bessere Möglichkeit, volumetrische Attacken abzuwehren. Zudem haben beide Arten dieser Solution Provider in der Regel große Investitionen in zahlreiche Technologien zur Schadensminderung bei DoS-Angriffen vorgenommen, schließlich hängt ihr Geschäftsmodell davon ab. Jedoch sollten Sie sich der gewaltigen Unterschiede zwischen ihnen sowie der potenziellen Nachteile bewusst sein. Diese beinhalten: Deutliche Unterschiede beim Schutzumfang für DoS-Attacken auf höheren Schichten. Bis zu einem gewissen Grad ist dies unvermeidlich, denn kein externer Provider wird je alle Merkmale Ihrer Anwendungen besser verstehen können als Sie selbst. Obwohl CDNs eine Always-On-Lösung darstellen, werden sie normalerweise nur für einen Teil der wichtigsten, kundengerichteten Sites und Anwendungen einer Organisation verwendet. Selbst dann gibt es für Angreifer Wege, ein CDN zu umgehen oder zu durchbrechen zum Beispiel, indem die IP-Kontrollinstanz bombardiert oder eine Flut an Anfragen gesendet wird, die zu Cache- Misses führen, weshalb die Daten jedes Mal vom Ursprungs-Server neu gesendet werden müssen. Verglichen damit kontrollieren Anti-DoS-Schutzservices zwar den gesamten Datenverkehr eines Unternehmens, jedoch sind sie nicht immer aktiv (da dies zu kostspielig wäre). Sie werden nur nach Bedarf vom Kunden genutzt, wenn ein Angriff bemerkt wird. Dadurch werden sie grundsätzlich zu einer schlechten Wahl bei einer DoS-Attacke auf einer höheren Schicht, da diese nicht unbedingt mit voller Gewalt stattfindet und daher nicht so einfach bemerkbar ist. 5

6 Die Lösung: Eine umfassende Verteidigungsstrategie Es ist nicht überraschend, dass der ideale Ansatz eine umfassende Verteidigungsstrategie ist, die einen cloudbasierten Service mit Geräten im Rechenzentrum des Kunden kombiniert. Da Angriffe auf die Anwendungsschicht immer häufiger werden, ist eine Lösung im Rechenzentrum des Kunden besonders ein ADC am kosteneffektivsten. Dies ist somit ein guter Ausgangspunkt für die meisten Organisationen. Vor diesem Hintergrund scheint auch eine Investition in einen DoS-Schutzservice, der volumetrischen Angriffen Einhalt gebieten kann, eine gute Zweitwahl zu sein. Dies gilt besonders für hochrangige Ziele. Der NetScaler-Ansatz zum Schutz vor DoS-Attacken NetScaler ist in jeder Hinsicht ein moderner ADC und bietet einen zuverlässigen Schutz, nicht nur gegen klassische DoS-Angriffe auf der Vermittlungsschicht, sondern auch gegen die fortgeschritteneren und immer häufiger auftretenden Angriffe auf der Sitzungs- und Anwendungsschicht, einschließlich asymmetrischer Angriffe mit geringer Bandbreite. Zur Schadensminderung von DoS-Attacken verfährt NetScaler wie bei anderen Sicherheitsfragen: mit einem mehrschichtigen Sicherheitsmodell. Dadurch bietet NetScaler sogar Schutz gegen DoS-Attacken auf immer höheren Schichten. Steigende Erkennungsschwierigkeit Anwendung Verbindung und Sitzung Netzwerk Beispielangriffe Schädliche GET- und POST-Floods, Slowloris, Slow-POST-Anfragen und andere Varianten mit geringer Bandbreite Verbindungs-Floods, SSL-Floods, DNS- Floods (UDP, Query, NXDOMAIN) Syn-, UDP-, ICMP-, PUSH- und ACK-Floods; LAND-, Smurf- und Teardrop-Attacken Schadensminderungseigenschaften von NetScaler Anwendungsprotokollvalidierung, Schutz vor Datenverkehrsspitzen (Surge Protection), Priority Queuing, HTTP-Flood-Schutz, Schutz vor HTTP- Attacken mit geringer Bandbreite Architektur mit Full Proxy, Hochleistungs-Design, Intelligent Memory Handling, umfassender DNS-Schutz Integrierte Schutzfunktionen, Default Deny- Sicherheitsmodell, Protokollvalidierung, Ratenbegrenzung Abbildung 2: NetScaler-Funktionen zur Schadensminderung bei DoS-Attacken Hinweis: Viele der Schadensminderungstechnologien aus Abbildung 2 helfen bei der Schadensminderung von DoS-Attacken über mehrere Schichten. Das Design des NetScaler-ADCs für maximale Performance, die Default Deny-Einstellung und die proxybasierte Architektur sind gute Beispiele, da sie auf alle Schichten des Computernetzes anwendbar sind. Sie werden nur an einer Stelle gezeigt, um die Diskussion zu erleichtern. DoS-Schutz auf der Vermittlungsschicht (Network Layer) DoS-Attacken auf der Vermittlungsschicht überwältigen hauptsächlich die auswärtsgerichtete Netzwerkinfrastruktur einer Organisation mit einer Flut an Datenverkehr oder speziell entwickelten Paketen, die dazu führen, dass sich Netzwerkgeräte fehlerhaft verhalten. Die folgenden Funktionen von NetScaler bekämpfen Angriffe auf dieser Schicht: Integrierter Schutz NetScaler verfügt über einen allen Standards folgenden hochperformanten TCP/ IP-Stack, der über Funktionen verfügt, die speziell dafür entwickelt wurden, zahlreiche Low-Level-DoS- Attacken zu bekämpfen. Ein Beispiel ist die Implementierung von SYN-Cookies, einem anerkannten Mechanismus zur Bekämpfung von SYN-Flood-Attacken. Diese sind sowohl performanceoptimiert (um den Durchsatz von hergestellten Verbindungen zu maximieren) als auch sicherheitsverstärkt (um gefälschte Verbindungstechniken zu bekämpfen). Gegenmaßnahmen für andere DoS-Bedrohungen (teilweise durch die Standardeinstellungen erreicht), wie Teardrop-, LAND-, Ping-of-Death-, Smurfund Fraggle-Attacken, sind zusätzlich enthalten. 6

7 Default Deny-Sicherheitseinstellung Default Deny hört sich nach einem konzeptionell relativ simplen Mechanismus an, ist aber sehr effizient. Indem Pakete, die nicht explizit durch die Policy zugelassen sind oder mit einem gültigen Datenstrom in Verbindung stehen, automatisch verworfen werden, erstickt NetScaler eine Reihe von Angriffen im Keim, einschließlich generischer UDP-, ACK- und PUSH-Floods. Protokollvalidierung Eine besonders knifflige Variante der DoS-Attacken besteht aus dem Versand fehlerhaft zusammengesetzter Daten, wie z. B. Pakete mit einer ungültigen Kombination von Flags, unvollständigen Fragmenten oder sonstigen fehlerhaft aufgebauten Headern. Ein gutes Beispiel für Angriffe auf die Vermittlungsschicht wird als Christmas tree -Attacke bezeichnet. Der Name rührt daher, dass in diesen bösartigen Paketen alle möglichen TCP-Flags aktiviert und diese somit wie ein Weihnachtsbaum hell erleuchtet sind. NetScaler bekämpft diese Unterklasse von Angriffen, indem sichergestellt wird, dass Kommunikationsprotokolle in einer streng spezifikationskonformen Art verwendet werden. Alle anderen Kombinationen selbst wenn technisch möglich könnten gefährlich sein und werden verworfen. Dieser Mechanismus zur Schadensminderung kann für alle von NetScaler unterstützten Protokolle eingesetzt werden, einschließlich TCP, UDP, DNS, RADIUS, Diameter, HTTP, SSL, TFTP und SIP. Ratenbegrenzung Eine weitere allgemeine Technik zur Schadensminderung von DoS-Attacken ist es, Netzwerkverbindungen und Server vor der Überlastung zu schützen, indem zu große Datenströme gedrosselt oder weitergeleitet werden. NetScaler bietet hierfür eine granulare Funktion in der Form von AppExpert Rate Controls. Mit diesen Funktionen können Administratoren eine Reihe verschiedener Reaktionsrichtlinien für NetScaler festlegen, die ausgelöst werden, wenn konfigurierbare Grenzwerte für Bandbreite, Verbindungs- oder Anfrageraten von oder zu einer bestimmten Ressource überschritten werden. Dazu gehören virtuelle Server, Domains und URLs. Jedoch ist beim Verwenden dieses Mechanismus Vorsicht geboten; man möchte schließlich keine legitimen Verbindungen beeinträchtigen. DoS-Schutz für Verbindungen und Sitzungsschicht (Session Layer) Verbindungsorientierte DoS-Attacken konzentrieren sich darauf, die Statustabellen auf einem Gerät zu überfluten, während DoS-Attacken auf die dazwischenliegenden Protokollschichten normalerweise die DNS- oder SSL-Funktionalität beeinträchtigen. Zu den NetScaler-Funktionen, die beiden dieser Angriffsarten entgegenwirken, gehören folgende: Full Proxy-Architektur Als Full Proxy-Lösung ist NetScaler ein aktiver Teil des Datenflusses, kein passives Element, das nur beobachtet und nicht handeln kann. Indem er als Verbindungselement zu allen eingehenden Sitzungen fungiert, erzeugt NetScaler nicht nur eine Lücke zwischen externen und internen Ressourcen, sondern bietet auch eine unschätzbare Möglichkeit, Datenverkehr zu analysieren und, falls notwendig, zu manipulieren, bevor er zu seinem Zielort weitergeleitet wird. Mit diesem Ansatz werden standardmäßig zahlreiche schädliche Elemente erkannt, während gleichzeitig eine Grundlage geschaffen wird, um erweiterte Überwachungsfunktionen durchzuführen, die die restlichen schädlichen Elemente erkennen und stoppen. NetScaler hat dadurch zudem die Möglichkeit, als Puffer für Backend- Ressourcen gegen zahlreiche Bedrohungen zu fungieren, darunter viele Arten von DoS-Attacken. High Performance Design Um als wirksamer Puffer für Backend-Ressourcen fungieren zu können, wird zusätzlich ein High Performance Design benötigt. Ansonsten würde bei einer DoS-Attacke NetScaler statt der Backend Server ausfallen. NetScaler nutzt eine speziell angefertigte Plattform, in welcher sowohl die Hardware als auch die Software auf Systemebene explizit für den NetScaler-Workload entwickelt und optimiert wurden. Zu den speziellen Funktionen gehören ein individuell angepasstes Betriebssystem (für spezielle Verarbeitung mit geringer Latenz), ein optimierter Netzwerk-Stack, eine intelligente HTTP-Parsing-Engine und ein selektiver Einsatz funktionsspezifischer Hardwarebeschleuniger. Dedizierte SSL-Beschleuniger die gemeinsam mit einem Full Proxy zusammenarbeiten, der leere oder schädliche SSL-Verbindungen erkennen und verwerfen kann sind unentbehrlich bei der Abwehr von SSL-Flood-Attacken. 7

8 NetScaler-Leistungsbewertung (MPX Serie) TCP-Verbindungen pro Sekunde: HTTP-Anfragen pro Sekunde: HTTP-Durchsatz: 8,5 Millionen 4,7 Millionen 120 Gbps SSL-Transaktionen pro Sekunde SYN-Attacken pro Sekunde DNS-Anfragen pro Sekunde: Gleichzeitige SSL-Sitzungen Gleichzeitige TCP-Sitzungen 38 Millionen 35 Millionen 7,5 Millionen 75 Millionen Intelligent Memory Handling Eine weitere Art, mit der NetScaler Schäden durch überlastete Verbindungen mindert, ist eine Technologie, die Verbindungen ohne Speichernutzung aushandelt. Diese Technologien werden in verschiedenen Schichten des Computernetzes verwendet, einschließlich für TCP- und HTTP-Setup, wodurch NetScaler keine neuen Ressourcen zuweisen muss, bis eine neue Verbindung vollständig validiert wurde oder eine tatsächliche Anwendungsanfrage gestellt wurde. Dieser Ansatz verringert die Abhängigkeit von übermäßig großen Verbindungstabellen und es werden keine Routinen zur Verbindungstrennung (Reaping) benötigt. Reaping wird immer noch in anderen Szenarien verwendet, um Speicher intelligent zu verwalten, z. B. indem Fragmente bei hoher Speicherauslastung verworfen werden. Außerdem wird es zur Bekämpfung von langsamen Angriffen auf Anwendungsschichten eingesetzt, worauf später eingegangen wird. Letztendlich härtet NetScaler sich selbst gegen DoS-Attacken und bietet einen besseren Puffer für Backend-Systeme. Umfassender DNS-Schutz DoS-Attacken gegen DNS ein grundlegender Infrastrukturservice für das moderne Rechenzentrum sind weder neu noch ungewöhnlich. Diese umfassen normale UDP-Floods sowie anfragenbasierte Floods, die verschiedene Tricks verwenden, um DNS-Server zu überlasten, wie z. B. die Anfrage nach Datensätzen für nicht existierende Hosts. NetScaler schützt vor diesen Bedrohungen, indem zwei Betriebsmodi unterstützt werden: 1. DNS-Proxymodus, bei dem ein Lastausgleich im internen DNS-Server der Organisation ausgeführt wird; sowie 2. Autoritärer Modus, bei dem NetScaler selbst als Lösung für Namens- und IP-Auflösung innerhalb der Organisation agiert. Zu den Schutzfunktionen bei einer oder beiden dieser Modi gehören die Full Proxy-Architektur und das High Performance Design von NetScaler, eine gehärtete DNS-Implementierung, DNS-Protokollvalidierung und DNS-spezifische Ratenbegrenzungsfunktionen. Die Unterstützung von DNSSEC ermöglicht es NetScaler, Bedrohungen zu neutralisieren, die gefälschte und korrupte Host-Records verwenden, um auf neue Ziele überzugreifen. DoS-Schutz auf der Anwendungsschicht (Application Layer) Die Anwendungsschicht, das neueste Ziel für innovative DoS-Attacken, ist aus mehreren Gründen problematisch. Erst einmal sind Angriffe auf die Anwendungsschicht direkter gestaltet und oft nicht spezifisch für ein bestimmtes Protokoll in der Anwendungsschicht (z. B. HTTP), sondern für eine einzelne Anwendung. Erschwerend hinzu kommt die Tatsache, dass der attackierende Datenverkehr hinsichtlich Inhalt und Umfang oftmals nicht von normalem Datenverkehr zu unterscheiden ist. Ein klassisches Beispiel ist ein Angriff mit geringem Bandbreitenbedarf, der nur aus einer dauerhaften Serie von Anfragen an eine Anwendung besteht, die wiederum eine große Menge an Backend- Verarbeitung nach sich zieht (z. B. eine komplexe Berechnung oder Suchoperation). Sicherheitsgeräte für niedrigere Netzwerkschichten, wie Netzwerk-Firewalls, sind gegen solche Angriffe weitestgehend nutzlos. Sogar Geräte für den Schutz von höheren Schichten müssen regelmäßig aktualisiert werden, um mit den neuen Strategien und anwendungsspezifischen Variablen Schritt zu halten. 8

9 Zu den NetScaler-Funktionen, die auf DoS-Attacken auf der Anwendungsschicht eingehen, gehören: Anwendungsprotokollvalidierung Die Durchsetzung von RFC-Compliance und Best Practices für HTTP-Nutzung ist eine sehr effektive Art, mit der NetScaler eine Flut an Angriffen beseitigt, die auf fehlerhaft gestalteten Anfragen und unsachgemäßem HTTP-Protokollverhalten basieren. Es können zusätzliche individuelle Schutzmaßnahmen zur Sicherheitsrichtlinie hinzugefügt werden. Hierzu können die integrierten Inhaltsfilter, individuelle Reaktionshandlungen und bidirektionale HTTP-Rewrite-Funktionen genutzt werden. Schutz vor Datenverkehrsspitzen und Priority Queuing Erfolgreiche DoS-Schadensminderung schützt nicht nur Backend-Server vor der Überlastung, sondern sorgt auch dafür, dass Clients eine Antwort erhalten und kritischer Unternehmens-Traffic nicht durch die Angriffe beeinträchtigt wird. Zu den NetScaler- Funktionen, die diese Anforderungen erfüllen, gehören der Schutz vor Datenverkehrsspitzen und Priority Queuing. NetScaler verarbeitet zeitweilige Traffic-Spitzen, indem die Rate, mit der neue Verbindungen an die Backend-Server weitergeleitet werden, an deren aktuelle Kapazität angepasst wird. Mithilfe dieses Mechanismus werden daher keine Verbindungen abgebrochen. Stattdessen legt NetScaler sie im Zwischenspeicher ab und leitet sie dann in ihrer Eingangsreihenfolge weiter, sobald die Backend-Server bereit für die Bearbeitung sind. Eine nahestehende Funktion ist das Priority Queuing. Es ermöglicht ein Priorisierungsschema, mit dem die Reihenfolge, in welcher Anfragen bearbeitet werden, kontrolliert werden kann. Die Reihenfolge wird anhand der relativen Bedeutung der jeweiligen Anwendung festgelegt. Serververhalten ohne Schutz vor Datenverkehrsspitzen Serververhalten mit Schutz vor Datenverkehrsspitzen 9

10 HTTP-Flood-Schutz Es wird eine innovative Methode zum Schutz vor HTTP GET Floods verwendet. Wenn ein Angriff anhand bestimmter Bedingungen (basierend auf konfigurierbaren Grenzwerten für Anfragen in der Warteschlange) erkannt wird, sendet NetScaler eine kleine Rechenaufgabe an einen konfigurierbaren Teil der betroffenen Clients. Diese Aufgabe wurde so entworfen, dass legitime Clients sie einfach und korrekt beantworten können, während dumme DoS-Bots das nicht können. Diese Information ermöglicht es NetScaler, betrügerische Anfragen zu erkennen und zu verwerfen, während diejenigen von legitimen Anwendungsbenutzern aufrechterhalten werden. Ähnliche Techniken, gepaart mit Durchsatzbegrenzung auf der Anwendungsschicht, werden für die Bekämpfung von HTTP POST und rekursiven GET Floods verwendet. Schutz vor HTTP-Attacken mit geringem Bandbreitenbedarf NetScaler schützt automatisch vor Slowloris-Attacken, bei denen HTTP Header stückweise kurz vor dem Timeout des Zielservers gesendet werden, indem NetScaler sie als ungültige Verbindungen ablehnt. Andererseits ist die Bekämpfung von Slow POST-Attacken, die die HTTP-Daten sehr langsam an den Server senden, etwas schwieriger, aber nicht unmöglich. In diesen Fällen nutzt NetScaler spezialisierte Algorithmen, um nach verdächtigen Bedingungen bei den Anfragen auf Anwendungsschicht Ausschau zu halten, die Anzahl gleichzeitiger sehr langsamer Verbindungen zu beschränken und proaktiv überfällige langsame Verbindungen aus dem Speicher zu löschen. Das Monitoring von Anomalien bei der Serverperformance und individuelle Richtlinien zur Durchsatzbegrenzung können auch dazu verwendet werden, um in Zukunft vor neuen DoS-Varianten mit geringem Bandbreitenbedarf zu schützen. Fazit In den letzten Jahren stieg die Anzahl von DoS-Attacken, die die Verfügbarkeit von Servern bedrohen, und sie wurden zudem immer ausgereifter. Für die meisten Organisationen besteht ein umfassender Schutz vor dieser Bedrohung aus einer Kombination eines cloudbasierten Schutzservices und einer Lösung zur Implementierung im eigenen Rechenzentrum. Was letztere angeht, stellt Citrix NetScaler eine ideale Lösung dar. Mit NetScaler können Unternehmen dieselbe Plattform, die ihnen den Übergang von starren, veralteten Rechenumgebungen zu anpassbaren modernen Cloud-Netzwerken ermöglicht, zum Schutz gegen DoS-Attacken auf mehreren Schichten, die das gesamte Unternehmen lähmen können, nutzen. Corporate Headquarters Fort Lauderdale, FL, USA India Development Center Bangalore, Indien Latin America Headquarters Coral Gables, FL, USA Silicon Valley Headquarters Santa Clara, CA, USA Online Division Headquarters Santa Barbara, CA, USA UK Development Center Chalfont, Großbritannien EMEA Headquarters Schaffhausen, Schweiz Pacific Headquarters Hongkong, China Über Citrix Citrix (NASDAQ:CTXS) ist ein führender Anbieter von mobilen Arbeitslösungen. Mit Virtualisierungstechnologien, Mobility Management, Networking und Cloud-Computing-Diensten unterstützt Citrix neue Formen effizienter Zusammenarbeit. Über sichere, persönliche Arbeitsumgebungen erhalten Mitarbeiter mit jedem Endgerät und über jedes Netzwerk direkten Zugriff auf ihre Anwendungen, Desktops, Daten und Kommunikation. Bereits seit 25 Jahren macht Citrix mit innovativen Produkten die IT einfacher und Menschen produktiver. Mehr als Unternehmen und über 100 Millionen Anwender setzen weltweit auf Technologie von Citrix. Der Jahresumsatz 2013 betrug 2,9 Milliarden US-Dollar. Weitere Informationen unter Copyright 2015 Citrix Systems, Inc. Alle Rechte vorbehalten. Citrix und NetScaler sind Marken von Citrix Systems, Inc. und/oder Tochtergesellschaften, die u. U. in den USA und anderen Ländern registriert sind. Weitere in diesem Dokument genannte Produkt- und Unternehmensnamen sind Marken ihrer jeweiligen Unternehmen. 0115/PDF 10