DDoS Protection Service

Transkript

1 White Paper DDoS Protection Service Distributed Denial of Service (DDoS) Technische Produktinformation Wirkungsvoller Schutz ihrer Infrastruktur vor Angriffen aus dem Internet hoch verfügbarer Internetzugang

2 Inhaltsverzeichnis 1 DDoS-Attacken ein reales Risiko Problembeschreibung Ausgangslage Absicht der Angreifer und Angriffsarten Entwicklung der DoS-Attacken DDoS-Attacke von einer regulären IP-Adresse Motivation von DDoS-Attacken Voraussetzung für eine DDoS-Attacke DDoS-Attacken Prinzipieller Ablauf Vorbereitung und Ablauf einer DDoS-Attacke Entwicklungen und Folgen von DDoS-Attacken Schutzmassnahmen gegen DDoS Angriffe Blackhole-Abwehr Aktuelle Schutzmassnahmen mit dem DDoS Protection Service Generelle Eigenschaften Traffic Anomaly Detection Threat Management System DDoS Protection Service von Swisscom Filterprozess einer DDoS-Attacke Option Auto Detection Zusammenfassung Lösungsvarianten Gefahren- und Schadenspotential Managed Service Glossar Das White Paper wurde auf Grund der aktuell bekannten Parameter erstellt. Die technische Lösung während der Implementierung kann später abweichen. Für Fragen oder Anmerkungen zu diesem White Paper stehen wir Ihnen gerne zu Verfügung. Datum Seite 2/18

3 1 DDoS-Attacken ein reales Risiko Das Risikomanagement einer Unternehmung liegt in der Verantwortung der Unternehmensführung. Ihr obliegt eine regelmässige präventive Überprüfung von potentiellen Sicherheitsrisiken. Besonders im voll vernetzten IT-Umfeld existieren Bedrohungssituationen, die sich ständig verändern und immer neue Formen annehmen. Zu diesen IT-Risiken gehören DDoS-Attacken. Dieses White Paper geht im Detail auf derartige Sicherheitsrisikos ein und beschreibt wirkungsvolle Abwehrmechanismen. DDoS-Attacken müssen ebenso wie andere Bedrohungen (Lage und Zutritt zum Gebäude, Brandschutz, Energieversorgung, Zugang zu internen Dokumenten etc.) in die Risikoanalyse eines Unternehmens aufgenommen werden. Sie sind aufgrund des grossen Bedrohungs- und Schadenspotentials mit diesen gleichzusetzen. Aktuelle Risikoanalysen und Empfehlungen finden sich u.a. auf der Webseite der Meldeund Analysestelle Informationssicherung unter 2 Problembeschreibung 2.1 Ausgangslage Seit den Anfängen des Internets existieren die so genannten "Denial-of-Service"-(DoS-)Angriffe ( Verweigerung des Dienstes ). Ziel der Attacken ist die massive Einschränkung der Verfügbarkeit bestimmter Online-Systeme und/oder Dienste oder gar die komplette Verwehrung des Zugriffs. Meist wird dabei versucht, durch das Ausnutzen von Schwachstellen in Betriebssystemen, Programmen und Diensten bzw. von grundsätzlichen Entwurfsschwächen der verwendeten Netzwerkprotokolle die angegriffenen Systeme über das Internet zum Absturz zu bringen Absicht der Angreifer und Angriffsarten Durch Überlasten der Online-Systeme kann deren eigentliche Funktionalität nicht mehr gewährleistet werden. Reine DoS-Angriffe haben also nicht das Ziel, vertrauliche Daten zu entwenden oder Benutzer- Authentisierungs-Mechanismen zu umgehen, sondern die Serviceplattformen von Online-Anbietern wie eshops, Content Provider, Finanzdienstleister (z.b. E-Banking), Verwaltungen (z.b. E-Government) etc. empfindlich zu stören oder ganz lahm zu legen. Dadurch können die angegriffenen Web-Seiten respektive Services für wenige Minuten bis zu einigen Tagen nicht erreichbar sein. Im Unterschied zu anderen Angriffen dringt der Angreifer normalerweise nicht in Computernetzwerke ein und benötigt deshalb keine Passwörter oder ähnliches. Jedoch kann ein DoS-Angriff Bestandteil eines Angriffs auf ein System sein. So wird z.b. ein anderes Online-System durch einen DoS-Angriff lahmgelegt, um den eigentlichen Angriff auf ein weiteres System desselben Kunden zu vertuschen. Das mit der Administration betraute IT-Personal wird durch den erhöhten Datenverkehr abgelenkt, in dem der eigentliche Angriffsversuch unbemerkt untergeht Entwicklung der DoS-Attacken Die DoS-Attacken werden immer weiter verfeinert und für Laien immer schwerer erkennbar. Z.B. kommen seit mehr als 10 Jahren anstelle einzelner PCs eine Vielzahl unterschiedlicher PCs in einem grossflächig koordinierten Angriff auf einzelne Online-Systeme oder Netzwerke zum Einsatz. In der Regel bemerkt der einzelne PC-Benutzer, dessen PC Teil eines sogenannten Botnet ist, während einer laufenden Attacke beim Arbeiten wie auch beim Surfen im Internet keine Leistungseinbussen. Die Anzahl der an einem Angriff Datum Seite 3/18

4 beteiligten PCs kann dabei von einigen 100 bis hin zu mehreren gleichzeitig angreifenden PCs variieren. Die an einem Angriff beteiligten PCs können national, international wie auch interkontinental im globalen Internet eingebunden sein. Bei dieser "Distributed Denial-of-Service"- (DDoS-) Attacke ( verteilte Verweigerung der Dienste ) macht sich der Angreifer die Leistung mehrerer PCs zunutze. Daher können selbst sehr leistungsstarke Online-Systeme mit breitbandigen Netzverbindungen erfolgreich gestört werden. Nicht zuletzt sorgen die Breitbandnetze selbst für die dazu nötige Bandbreite DDoS-Attacke von einer regulären IP-Adresse Eine besondere Form stellt die Distributed Reflected Denial of Service - (DRDoS)-Attacke dar. Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer als Angriffsziel, sondern an regulär arbeitende Internetdienste. Als Absenderadresse trägt er jedoch die IP-Adresse des Opfers ein. Durch diese Vorgehensweise lässt sich der Ursprung des Angriffs vom Angegriffenen praktisch nicht mehr ermitteln. Solche gefälschte Verbindungsanfragen nennt man auch IP-Spoofing. Deren Beantwortung und die resultierende Systemüberlastung stellen für das Opfer den eigentlichen DoS-Angriff dar Motivation von DDoS-Attacken Der Ursprung und die Motive solcher Angriffe sind sehr vielschichtig. Sie reichen vom jugendlichen Leichtsinn von Freaks ohne monetäre Interessen über Rache- oder Protestaktionen gegen eine bestimmte Firma oder Organisation bis hin zu professionell tätigen Hacker-Organisationen. Dort können DDoS-Angriffe von jedermann via Online-Portal bestellt und per Kreditkarte bezahlt werden. Für wenig Geld werden gemanagte Attacken z.b. für 24 Stunden als so genannte Stresstest angeboten. Nicht selten werden im Zuge solcher Angriffe bösartige Drohungen platziert und Schutzgeldpressungen geltend gemacht. Dabei werden professionell aktive Organisationen mit klarer Absicht aus Eigeninteresse oder im Auftrag Dritter tätig. Abbildung 1: Motive für DDoS-Attacken ( ARBOR Networks) Datum Seite 4/18

5 2.2 Voraussetzung für eine DDoS-Attacke Erpressungsangriffe basierend auf einer DDoS-Attacke werden in der Regel über sogenannte Bot-Netzwerke initiiert. Diese bestehen aus einigen Dutzend bis zu mehreren 100'000 mit Trojanern oder Würmern infizierten Rechnern. Die Ausführung von DDoS-Angriffen wird durch die Tatsache begünstigt, dass die allermeisten über Breitbandnetze angeschlossenen Computer mehrheitlich über eine feste IP-Adresse verfügen und überwiegend online geschaltet sind. So erfolgen die Infektion und Einbindung in ein Bot- Netzwerk meistens unauffällig, da die meisten der Rechner ungeschützt am Internet angeschlossen oder aber die Schutzmechanismen unzureichend sind. Den Eigentümern dieser Computer ist es daher gar nicht bewusst, Teil eines Bot-Netzwerkes zu sein. Die Leistung der in einen Angriff eingebundenen PCs sowie die Anschlussbandbreite werden in der Regel für den Benutzer im nicht wahrnehmbaren Bereich für DDoS- Attacken beansprucht. Diese Bot-Netzwerke bestehen aus einigen hundert bis n-tausend infizierten und weltweit verteilten PCs. Diese PCs können praktisch beliebig zeitgesteuert durch den Bot-Netzwerk- Administrator/-Controller für Angriffe missbraucht werden. Darüber hinaus sorgt der Umstand, dass TCP/IP- Protokolle sehr verbreitet und Kenntnisse darüber fast schon zum Allgemeingut geworden sind, für einen spürbaren Anstieg von vernetzen Computer-Missbräuchen. Abbildung 2: Globale aktive Botnet-Quellen ( 2.3 DDoS-Attacken Prinzipieller Ablauf Bis heute wurden unter anderen folgende, Blogs oder Foren thematisierte Attacken-Modelle registriert: Modell 1 Ein im Internet präsentes Unternehmen wird mit einem Erpresserschreiben aufgefordert, eine bestimmte Summe innerhalb einer definierten Frist zu zahlen. Sollte diese Frist ohne Zahlung ablaufen, wird die im Erpresserschreiben angedrohte Attacke unverzüglich ausgelöst. Die Web- Server werden in der Folge mit einer massiven Anzahl von Anfragen angegriffen. In Abhängigkeit von der Bandbreite wird der Webauftritt inklusive der angebotenen E-Services (E-Shop, E-Banking ) innerhalb kürzester Zeit nicht mehr erreichbar sein. Datum Seite 5/18

6 Modell 2 Der Onlineauftritt eines Unternehmens wird aus unbekannten Gründen ohne Vorwarnung mit einer DDoS-Attacke blockiert. Während der Attacke erhält der Angegriffene z.b. per (z.b. via alternativem Internet Access) oder Fax ein Bekennerschreiben mit der Aufforderung, innerhalb einer Frist eine Zahlung auf ein Konto zu tätigen oder eine andere Bedingung zu erfüllen. Verstreicht diese Frist ohne Zahlung, werden die Attacken fortgesetzt. Modell 3 Die Online-Plattform eines Unternehmens wird ohne jegliche Vorwarnung attackiert. Damit soll die Firma nachhaltig geschädigt werden, wobei die Attacke von wenigen Minuten bis einigen Wochen andauern kann Vorbereitung und Ablauf einer DDoS-Attacke Wie angedeutet sind mehrere Rechnersysteme an einer DDoS-Attacke beteiligt. Dabei könnte man die verzweigte Angriffskette bzw. den Netzwerkverbund der Angreifer wie folgt beschreiben: Ein Angreifer (auch Client genannt) beauftragt einen oder mehrere Master (auch Händler genannt). Diese steuern mehrere Daemons (auch Agents genannt). Diese attackieren schliesslich ein Opfer. Analyse Der Angreifer kommuniziert über eine Internet-Verbindung (oft von einer illegal verwendeten IP-Adresse aus) mit den verteilten Mastern. Deren IP-Adresse bzw. die offenen TCP- oder UDP-Ports wiederum hat er mit Hilfe von Scanning-Tools erfahren. Potenzielle Angriffsziele und deren Schwachstellen werden via Internet Security Scanner ausfindig gemacht. Über denselben Weg gelangt der Angreifer zudem an die Rootrechte auf den Serversystemen und prüft dabei auch gleich, welche Dienste und Ports auf den Systemen aktiv (also offen ) sind. Skript-Erstellung Nach Offenlegen der Sicherheitslücken generiert der Angreifer ein Script (= ein automatisch ablaufendes Programm) und legt es auf den gestohlenen Accounts ab. Mit den Scripts greift er später genau diese Sicherheitslücken an. Für die Erstellung der Scriptfiles wird übrigens recht oft auf bestehende Toolkits zurückgegriffen, was deren Anwendung bedeutend vereinfacht. Nun legt der Angreifer seine späteren Daemon- und Master-Systeme fest. Auf den Master-Systemen werden weitere Speicher benutzt, um dort die pre-compiled binaries ( vorkompilierte Binärdateien ) der Daemons zu lagern. Danach erzeugt der Angreifer wiederum ein Script, welches die Liste der in Besitz genommenen Rechner benutzt und ein weiteres Script erzeugt. Letzteres führt den Installationsprozess automatisiert als Hintergrundprozess durch. Datum Seite 6/18

7 Script-Installation Diese Automatisierung erlaubt den Aufbau eines weit verbreitenden Denial-of-Service-Netzes ohne Wissen der eigentlichen Besitzer der Systeme. Schliesslich erfolgt mit besonderer Sorgfalt die Installation der Master-Programme, welche eine Schlüsselrolle im Netzwerk des Angreifers einnehmen. Optional wird ein Rootkit (ein Administratorenbausatz ) installiert, welcher für die Verdeckung der Anwesenheit der Programme, Dateien und Netzwerkverbindungen sorgt. Die Master-Programme werden bevorzugt auf so genannten Primary-Name-Server-Hosts installiert. Da diese für einen extrem grossen Netzwerkverkehr ausgelegt sind, laufen auf solchen Server-Systemen eine grosse Anzahl von Netzwerkverbindungen. Für den Angreifer hat dies zwei wesentliche Vorteile. Zum einen verdeckt die Grundlast (Prozessoren und Netz) den zusätzlichen Netzwerkverkehr der Master sehr gut. Zum anderen werden solche Server-Systeme selbst bei einem DDoS-Verdacht nicht so vorschnell aus dem Netz genommen, da ihre Bedeutung für das eigene Netz zu gross ist. Start der Attacke Der Angreifer sendet später das Angriffskommando inklusive der Daten des Opfers (IP-Adresse, Portnummer, Angriffsart, Start- und Stoppzeitpunkt) an die Master. Während des Angriffs ist dies der einzige von ihm ausgehende Verkehr. Nach dem Startschuss liegt die weitere Steuerung und Koordination des Angriffs bei den Mastern (= als Server dienende Computer), welche jeweils eine bestimmte Anzahl Daemons steuern (Daemons sind im Hintergrund ablaufende Prozesse). Damit beim Aufdecken eines Masters durch einen Netzwerk-Sniffer nicht sofort alle Daemons unbrauchbar werden, teilen die Angreifer die Master in zweckmässige Teilgebiete auf. Die Daemons laufen wiederum auf anderen Computern und können sich weltweit verstreut im Netz befinden. Erst die Daemonsysteme führen auf Anweisung des Masters den eigentlichen Angriff aus. Dies kann z.b. eine SYN-Flood-Attacke sein, bei der der Angreifer ein Paket zum Aufbau einer TCP-Verbindung (SYS-Pakete) an das Opfersystem sendet. Dieses reserviert einen Port und sendet ein so genanntes SYN-ACK-Paket zurück. Da der Angreifer jedoch seine IP-Adresse gespooft hat (also nicht seine eigene IP-Adresse verwendet), bekommt der Absender keine Bestätigung zurück. Das Opfersystem wiederholt und verwirft die reservierte Verbindung nach einem eingestellten Zeitraum endgültig, der je nach Betriebssystem mehrere Minuten betragen kann. Wird nun dieser Verbindungsaufbau nicht nur einmal, sondern parallel sehr häufig ausgeführt, führt dies dazu, dass der Rechner mit der Beantwortung der Anfragen überlastet und dadurch praktisch blockiert ist. 2.4 Entwicklungen und Folgen von DDoS-Attacken Laufende Erhebungen von ARBOR Networks seit 2002 in Zusammenarbeit mit den bedeutendsten Internet Service Providern (ISPs) zeigen eine signifikante Zunahme der Bandbreitenintensität von DDoS-Attacken. bei weiterhin grosser Häufigkeit. Primäre Angriffsziele sind kommerzielle Internet-Services sowie Netzdienste (z.b. Domain Name Server, DNS). Am häufigsten genutzt wurden vor allem UDP Flood (Senden einer grossen Menge von UDP-Paketen an zufällig ausgewählte Ports, bis diese unerreichbar werden) und TCP SYNC (Verzögerung der Handshake-Prozedur beim Aufbau einer TCP-Verbindung), wobei auch andere bekannte Schwachstellen der Anwendungsprotokolle dem Angriff dienten. Die Menge und Intensität der DDoS- Attacken nehmen seitdem kontinuierlich zu. Datum Seite 7/18

8 Abbildung 3: Entwicklung von DDoS-Attacken ( ARBOR Networks) Erfahrungen und Beobachtungen in der Praxis Leider werden DDoS-Attacken trotz des hohen Bedrohungspotentials in der Regel nicht oder nur untergeordnet in Risikoanalysen von Unternehmen berücksichtigt. Aufgrund der klar vorhandenen Bedrohungslage sind DDoS-Attacken in der generellen Risikoanalyse eines Unternehmens jedoch mit den allgemein bekannten Risiken gleichzusetzen. Datum Seite 8/18

9 Abbildung 4: Anzahl von DDoS-Attacken pro Monat ( ARBOR Networks) Nicht verfügbare E-Services können zu massiven Umsatzausfällen führen. Zudem werden das Firmenimage sowie das Vertrauen der Kunden gegenüber dem attackierten Unternehmen negativ und nachhaltig beeinflusst. Dies ist insbesondere dann der Fall, wenn es sich um eine Firma mit hohem Online-Anteil handelt. Passende DDoS-Abwehrtools und entsprechende Services professioneller Internet-Provider dazu sind daher unerlässlich, um DDoS-Attacken zu erkennen und abzuwehren. Sie stellen die schnellste und sicherste Methode dar, um den Betrieb der eigenen Internet-Serviceplattform aufrecht zu erhalten. Dies stärkt einerseits das Vertrauen der eigenen Kunden und sichert andererseits konstante Umsätze der Plattform. Abbildung 5: Durchschnittliche Dauer zur Abwehr von DDoS-Attacken ( ARBOR Networks) Datum Seite 9/18

10 3 Schutzmassnahmen gegen DDoS Angriffe 3.1 Blackhole-Abwehr Ein wirksamer Schutz vor Angriffen auf die Verfügbarkeit von ungesicherten wie auch gesicherten Systemen ist mit informationstechnischen Mitteln prinzipiell nur sehr eingeschränkt möglich. Ungesicherte Systeme sind gerade dafür gedacht, dass sie die Kommunikation mit praktisch jedem System zulassen und dynamisch auf Lastschwankungen reagieren. Nahezu alle bekannten Massnahmen konzentrieren sich darauf, den Missbrauch eigener Systeme und Netze für einen DDoS-Angriff zu verhindern. Es existieren nur wenige wirkungsvolle Schutzmassnahmen, mit denen die Angriffsfolgen abgeschwächt werden können. Die bisherigen Schutzmassnahmen führten bei angegriffenen Services z.b. zu einer Abschaltung über die Blackhole-Technik. Die unerwünschten Datenströme werden hier auf den Routerports der Backboneübergänge vollständig umgeroutet (->Route to Null0) und unschädlich gemacht. Abbildung 6: Prinzip der Blackhole-Technik Vorteile: Nachteile: Die Blackhole-Technik schützt die Web-Infrastruktur vor Angriffen, allerdings nur bedingt. Alle Datenströme werden mit der Folge gelöscht, dass das Unternehmen keine Daten mehr aus bestimmten Netzabschnitten und Regionen empfangen kann. Die Bekämpfung von unerwünschten Datenströmen im Backbone des ISP basierend auf der Blackholetechnik ist komplex und setzt vertiefte Routingkenntnisse voraus. Datum Seite 10/18

11 3.2 Aktuelle Schutzmassnahmen mit dem DDoS Protection Service Generelle Eigenschaften Der DDoS Protection Service ist eine Option zum IP-Plus Business Internet Service von Swisscom und bietet folgende Eigenschaften: Wirksamer Schutz der Internet-Infrastruktur vor DDoS-Attacken (aktuell bis 40 Gbit/s filterbar) Pro-aktive Alarmierung bei DDoS-Attacken per, SMS, SNMP Traps und Syslog Erlaubter Zugriff für Friendly User während DDoS-Attacken Voller Zugriff auf die Managementplattform inklusive Monitoring und Reporting während DDoS- Attacken Direkte Abwehr von DDoS-Attacken via Managementplattform durch den Security- bzw. Netzwerk- Administrator Dynamische Identifizierung und Blockierung von DDoS-Attacken 7x24-h-Helpdesk/Support durch das DDoS-Expertenteam Keine HW-Installationen beim Kunden erforderlich Abbildung 7: Funktion des DDoS Protection Services (Option zum IP-Plus Business Internet Service) Vorteile: Nachteil: Basierend auf dem DDoS Protection Service werden die Verkehrsflüsse im Backbone permanent überwacht. Tritt eine Abweichung von der Baseline (= Bandbreitenverlauf, der während 24 Stunden laufend registriert wird) ein, wird in Abhängigkeit der Abweichung pro-aktiv ein Alarm als tief, mittel oder hoch per, SMS, SNMP Traps oder Syslog direkt an die Systemverantwortlichen abgesetzt. Basierend auf den Alarminformationen kann der Kunde direkt oder mit Unterstützung des 2nd- oder 3rd-Level Support vom Helpdesk der Swisscom die DDoS-Attacke gezielt bekämpfen. Zur Beurteilung von Verkehrsanomalien sind vertiefte Kenntnisse erforderlich. Sollten diese Kenntnisse nicht vorhanden sein, stehen Spezialisten rund um die Uhr zur Verfügung. Datum Seite 11/18

12 3.2.2 Traffic Anomaly Detection Die so genannte Traffic Anomaly Detection basiert auf mehreren Arbor Peakflow-Systemen. Mit Hilfe dieser Systeme wird im Internet-Backbone von IP-Plus der Datenstrom aufgezeichnet und auf Anomalien analysiert. Die Baseline-Daten werden mit den Peakflow-Systemen laufend und dynamisch erfasst. Dabei werden der Wochentag, die Uhrzeit und die zu diesem Zeitpunkt gemessene Bandbreite sowie die Protokollkonformität registriert. Diese Baseline-Daten dienen schliesslich als Vergleichsdaten für eine allfällige Alarmierung von DDoS-Attacken. Im Alarmfall wird das entsprechende Alarmniveau (tief, mittel, hoch) auf Grund der Abweichung zwischen Baseline- und effektiv gemessenem Datenstromdurchsatz ausgelöst. Mit Hilfe dieser Angaben kann der Verkehr bezogen auf die eigene Infrastruktur permanent überwacht und analysiert werden. Abbildung 8: Statusansicht auf dem Kundenportal des DDoS Protection Services Threat Management System Zur Abwehr von DDoS-Attacken verwendet Swisscom ein sogenanntes Threat Management System (TMS). Im Falle eines Angriffs kann der Verkehr bzw. der Datenstrom in Richtung des attackierten Systems via TMS umgeleitet werden. Das TMS analysiert diesen Verkehr und kann gutartigen von bösartigem Verkehr effizient unterscheiden und filtern. Der gefilterte und somit berechtigte Verkehr wird dann wieder zur ursprünglichen Destination weitergeleitet. Datum Seite 12/18

13 4 DDoS Protection Service von Swisscom 4.1 Filterprozess einer DDoS-Attacke Die ersten vier Schritte im Filterprozess einer DDoS-Attacke sind: 1. Zusätzlicher DDoS-Verkehr (Attack Traffic) 2. Erkennen der unerwünschten DDoS-Attacke (Malicious Traffic Recognition) 3. Automatische Alarmierung via DDoS Protection Service (Alerting/Notification) 4. Manuelle Aktivierung via DDoS Protection Management Platform (DDoS Filter Activation) Abbildung 9: Abwehr einer DDoS-Attacke (1/2) Es folgen drei weitere Schritte im Filterprozess einer DDoS-Attacke: 5. Rerouting des DDoS-Attacke (Malicious Traffic Rerouting) 6. Aktive Filterung des DDoS-Verkehrs (Active DDoS Filtering) 7. Normale Weiterleitung des zulässigen Datenverkehrs (Legitimated Traffic) Datum Seite 13/18

14 Abbildung 10: Abwehr einer DDoS-Attacke (2/2) Die Aktivierung der Filterfunktion des TMS wird in jedem Fall durch den Kunden initialisiert. Denn die Kenntnisse seines Netzbetriebes vermeiden Fehlalarme, die z.b. durch einen geplanten Software-Upgrade ausgelöst werden, der von DDoS unter gewissen Umständen als Traffic Anomalie erkannt werden könnte. Folgende Aktivierungsmöglichkeiten stehen zur Wahl: Direkte Aktivierung des TMS mittels User-Name/Passwort auf eine geschützte Webseite (->https) inklusive sicherer Authentisierung durch ein Client-Zertifikat. Aktivierung oder Support via Helpdesk während 7 x 24h mit folgenden Reaktionszeiten: Mo - Fr, 07:00-18:00 Uhr Mo - So, 18:00-07:00 Uhr Via Fernwartung < 1 Std. < 2 Std. Sollte der Zugang auf das Internet des Kunden durch die Attacke möglicherweise belegt sein, kann der Zugriff auf das TMS alternativ über eine Mobile-Unlimited-Verbindung, einen dedizierten xdsl-anschluss oder weitere Internet-Zugangstechnologien via Webbrowser erfolgen. Datum Seite 14/18

15 4.2 Option Auto Detection Für einen noch effektiveren Schutz kann die Option Auto Detection als zusätzliche Erweiterung implementiert werden. Sie basiert auf einer Hardware, die im WAN-LAN-Übergang am Kundenstandort implementiert wird. Diese analysiert permanent den Trafficflow inline bis und mit OSI Application Layer (Layer 7). Eine SSL-Inspection-Funktion ermöglicht das Erkennen und Neutralisieren der zunehmenden Attacken über verschlüsselte IP-Sessions. Ausgehend vom Rule Setting wird der Anomalie-Level laufend ermittelt und eindeutiger Attack Traffic automatisch gefiltert. Ist ein definierter Anomalie-Level überschritten, wird via Cloud Signaling Hilfe aus der Cloud angefordert. Wenn sich der Operator für eine Entschärfung der Situation (Mitigation) entscheidet, wird über den DDoS Protection Service eine neue BGP-Host-Route für die angegriffene IP-Adresse mit einer Anycast address als neue Next-Hop gesetzt. Der Trafficflow wird nun über das Threat Management System (TMS) umgeleitet, gefiltert und via GRE-Tunnel ohne Attack-Traffic direkt auf den Kundenrouter geroutet. Abbildung 11: Erweiterte Abwehr einer DDoS-Attacke mit Auto Detection Die Option Auto Detection erweitert das Sicherheitsniveau auf alle sieben OSI-Schichten. Die wichtigsten Vorteile sind: Sofortiger Schutz vor DDoS-Angriffen auf Applikationsebene, die eine Gefährdung der Verfügbarkeit von Diensten und Applikationen darstellen. Automatische Erkennung und Blockierung von DDoS-Angriffen, bevor die Performance von Diensten beeinträchtigt wird. Hierfür ist kein bzw. nur ein minimaler Benutzereingriff erforderlich, wodurch sich die Belastung der IT-Sicherheitsverantwortlichen reduziert. Datum Seite 15/18

16 5 Zusammenfassung 5.1 Lösungsvarianten Aktuell kann der Kunde zwischen drei Lösungsvarianten wählen: 1. Die Kunden-Infrastruktur verfügt über keine DDoS-Abwehrmechanismen. Folglich wird eine Attacke rasch wirksam und der Webauftritt ist offline. 2. Vor der Firewall am Kundenstandort ist ein DDoS-Device integriert. Übersteigt die DDoS-Attack- Bandbreite jedoch die Bandbreite des Access-Links, fällt der Webauftritt ebenfalls in den Offlinemodus. 3. In der dritten und wirksamsten Lösungsvariante wird die DDoS-Attacke bereits vor dem Eintritt in das ISP-Backbone erkannt und entsprechend gefiltert. Mit diesem Setup wird der Attack-Traffic herausgefiltert und der legitime Verkehr an den Webservice weiter geroutet. Dadurch kann der Onlinemodus praktisch vollumfänglich sichergestellt werden. Abbildung 12: Mögliche Lösungsvarianten zur Abwehr einer DDoS-Attacke Zusätzlichen Schutz bietet die Option Auto Detection mit einer permanenten lokalen Inline-Verkehrsanalyse bis und mit OSI-Schicht 1-7. Datum Seite 16/18

17 5.2 Gefahren- und Schadenspotential In den vergangenen Jahren konnte in der Schweiz eine überdurchschnittliche Zunahme von DDoS-Attacken auf Unternehmen verschiedener Branchen und auf politische Organisationen registriert werden. Im Rahmen einer Fallstudie wurde ein realer DDoS-Angriff auf ein Unternehmen mit Online-Plattform sowie dessen Verlauf und Abwehr dokumentiert. Der analysierte Attack-Verkehr stammte primär aus Peru, Chile, China, Taiwan, USA, Ägypten und Kenia. Der Bandbreitenverlauf reflektierte klar, dass diese Attacke gegen den Kunden aktiv geführt wurde. Dieser Sachverhalt zeigte sich u.a. in einem weiteren Peak etwa zwei Tage nach Beginn der ersten Attacke, bei dem der Angreifer prüfte, ob eine erneute Intensivierung des Attack-Verkehrs den Online-Service stören könnte. Jedoch blieb auch dieser Versuch dank des DDoS Protection Services von Swisscom ohne Erfolg. Ohne dessen Aktivierung wäre der Online-Service des betroffenen Kunden für mindestens zwei Tage nicht erreichbar gewesen und hätte grossen Schaden angerichtet einerseits einen finanziellen Schaden (Umsatzausfall), andererseits aber auch einen nur schwer bezifferbaren, aber umso nachhaltigeren Imageschaden. 5.3 Managed Service Der DDoS Protection Service wird im IP-Plus Business Internet Backbone als Managed Service von Swisscom basierend auf dem vom Kunden gewünschten IP-Addressbereich aufgesetzt. Durch dieses Setup wird der Internet Access permanent auf Anomalien überwacht und der Kunde in Abhängigkeit der definierten Bandbreitenlimiten entsprechend alarmiert. Dem Kunden wird durch den direkten Zugriff auf das TMS ein effizientes Instrument zur Verfügung gestellt, mit dem er den Datenverkehr in Richtung seiner Infrastruktur detailliert analysieren und im Attackenfall sofort schützen kann. Selbstverständlich wird der Kunde dabei von Swisscom optimal unterstützt. Datum Seite 17/18

18 6 Glossar Begriff AS ASN BGP Blackhole Botnet CPE DDoS DNS GRE HTTPS IP ISP Mpps OSI PC SAP SMS SNMP SSL TCP TMS UDP Erklärung Autonomous System Autonomous System Number Border Gateway Protocol Blackholes werden benutzt, um alle zu einem angegriffenen System gesendeten IP- Pakete auf das Null0-Interface zu routen. Unter einem Botnet wird ein fernsteuerbares Netzwerk von PCs verstanden, das durch Würmer, Trojanische Pferde o.ä. infiziert wurde und für gezielte Angriffe missbraucht werden kann. Customer Premises Equipment Distributed Denial of Service (verteilte Verweigerung des Dienstes) Domain Name System Generic Routing Encapsulation (dient der Einkapselung anderer Protokolle und deren Transport in Form eines Tunnels über IP) Secure Hyper Text Transport Protocol Internet Protocol Internet Service Provider Mega packets per second Open System Interconnection (Referenzmodell für Datennetzwerke; es besteht aus sieben Kommunikationsschichten mit unterschiedlichen Aufgaben) Personal Computer Service Access Point Short Message Service Simple Network Management Protocol (dient dem Management von Netzwerkelementen wie Routern, Switches, Druckern etc.) Secure Sockets Layer (Verschlüsselungsprotokoll zur sicheren Datenübertragung) Transmission Control Protocol Threat Management System User Datagram Protocol Datum Seite 18/18