Ist Ihr Rechenzentrum auf die heutigen DDoS-Bedrohungen vorbereitet?

Transkript

1 White Paper Ist Ihr Rechenzentrum auf die heutigen DDoS-Bedrohungen vorbereitet? Arten von DDoS-Angriffen, Schutzmöglichkeiten und Testen Ihrer Erkennungs- und Abwehrmaßnahmen

2 Einleitung Bei DDoS-Angriffen (Distributed Denial of Service) werden Netzwerke von mehreren Computern so lange mit Datenpaketen bombardiert, bis sie den Dienst versagen oder abstürzen. Diese Angriffe gehören zu den ältesten Bedrohungen im Internet und sind weiterhin die weltweit größte Gefahr für Netzwerke. Die Schutzvorkehrungen werden zwar immer besser, aber auch die von Hackern eingesetzte Technik hat sich angepasst und weiter entwickelt. Neue Arten von Angriffen zielen auf Anwendungen und Dienste und sind oftmals in größeren DDoS-Angriffen auf Schicht 3 und 4 verborgen, was ihre Erkennung erschwert. Hauptangriffsziel der DDoS-Attacken von Cyberkriminellen ist der Bereich der Finanzdienstleistungen dicht gefolgt vom öffentlichen Sektor. Brute-Force- Angriffe bringen nicht nur den Internetbetrieb zum Erliegen, sondern werden in jüngster Zeit auch eingesetzt, um raffiniertere Versuche zum Abgreifen von Finanz- und E-Commerce-Daten zu verschleiern. Oftmals haben diese Angriffe das Ziel, den Zugriff auf Daten zu unterbinden und dadurch den Betrieb zu stören. Die meisten Unternehmen investieren viel Zeit und Mühe auf die Auswahl einer Lösung zur Abwehr von DDoS-Angriffen, aber allzu häufig testen sie ihre Abwehrmechanismen nicht mit der gleichen Sorgfalt. Wenn es darum geht, sicherzustellen, dass Sie wirklich vor DDoS-Angriffen geschützt sind, dürfen Sie sich nicht nur auf die Aussagen von Anbietern oder Datenblätter verlassen. Sie können Ihre DDoS-Abwehrmechanismen mithilfe vieler Methoden testen. Das Angebot reicht von kostenlosen Tests bis hin zu fest zugeordneten Appliances, die eine große Bandbreite einfacher und ausgeklügelterer DDoS- Angriffe simulieren können. Sie müssen also nicht auf den ersten echten Angriff warten, um die Schwachstellen in Ihren Lösungen zur Abwehr der Angriffe aufzudecken. Herausforderungen für Unternehmen Netzwerksicherheit Anwendungsverfügbarkeit Kontinuierlicher Geschäftsbetrieb DDoS-Schutz Segmente Finanzdienstleistungen Staatliche Einrichtungen Unternehmen Rechenzentren im Internet Managed Services Der Bereich Finanzdienstleistungen gehört zu den Hauptzielen von DDoS- Angriffen. Sie sollen den Betrieb stören und das Abgreifen sensibler Daten tarnen. Informationen zu Tests bereitgestellt von: Das Wichtigste beim Testen ist, basierend auf Ihren individuellen Benutzerzugriffen ein realistisches Szenario zu erstellen. Welche Angriffe abgewehrt werden, ist nur insofern wichtig, dass regulärer Datenverkehr ordnungsgemäß abgewickelt wird. Wenn die Abwehrmechanismen sowohl gut- als auch bösartigen Datenverkehr blocken, wird der DDoS- Angriff wahrscheinlich gestoppt. Für das Unternehmen könnte das jedoch katastrophale Folgen haben. 2

3 Was ist ein DDoS-Angriff? Egal wie einfach oder komplex DDoS-Angriffe sind, sie zielen darauf ab, sämtliche einem Netzwerk, einer Anwendung oder einem Dienst zur Verfügung stehenden Ressourcen zu überlasten, damit legitime Benutzer keinen Zugriff mehr haben. Die Quelle dieser Angriffe ist meist ein Verbund von Client-Computern, die entweder durch Malware gekapert oder durch ihre Besitzer freiwillig zur Verfügung gestellt werden. Diese Aktionen sind in der Regel genau aufeinander abgestimmte Angriffe, die darauf abzielen, die Bandbreite und Serverkapazität der Netzwerkumgebung des anvisierten Opfers zu erschöpfen. Vor einigen hren waren Spoofing-Techniken üblich, mit denen Hacker mit sehr wenigen Geräten (oder sogar nur einem Gerät) mehrere IP-Adressen vortäuschten. In den letzten hren kamen dafür immer häufiger Botnets zum Einsatz. Ein Botnet ist eine Gruppe aufeinander abgestimmter Geräte, in der Regel Computer und Smartphones, die mit einem bösartigen Code infiziert wurden oder freiwillig zur Verfügung gestellt werden. In jüngster Zeit starten Angreifer ihre DDoS-Angriffe von Servern in Rechenzentren mit hoher Bandbreite. Da hierbei nur wenige Geräte benötigt werden, kann ein motivierter Hacker allein durch Zugriff auf einige Server in Rechenzentren einen breit angelegten Angriff starten. In den Nachrichten wird meist nur über groß angelegte DDoS-Angriffe, wie beispielsweise den 400 GBit/s-Angriff auf CloudFlare 2014 berichtet. Diese sorgen zwar für Aufsehen, aber die erfolgreichsten modernen DDoS-Angriffe sind viel begrenzter, da sie Dienste auf Schicht 7 ins Visier nehmen. Einfacher DDoS-Angriff Hacker bedienen sich einer Vielzahl von Geräten, die Ihr Netzwerk mit Datenverkehr überfluten und den Zugriff auf Ihre Internetdienste und -anwendungen verhindern. Server Welche Ursachen haben DDoS-Angriffe? DDoS-Angriffe erfolgen in der Regel aus drei Gründen. Sie sind entweder politisch oder finanziell motiviert oder dienen der Vergeltung. Ziel politisch motivierter Angreifer sind diejenigen, die ihre politischen, sozialen oder religiösen Überzeugungen nicht teilen. Wenn ein Botnet stillgelegt oder ein großer Ring von Cyberkriminellen zerschlagen wird, kann das zu Vergeltungsangriffen gegen diejenigen führen, die den Behörden geholfen haben. Finanziell motivierte Angriffe sind bezahlte Aktionen, bei denen Hacker von Dritten Geld erhalten, um für diese einen Angriff durchzuführen. Unabhängig vom Beweggrund ist das Ergebnis immer das gleiche. Ihr Netzwerk und Ihre Onlinedienste werden stillgelegt, oftmals über einen längeren Zeitraum. Heute gängige DDoS-Angriffe Heute gibt es viele gängige Arten von Angriffen. Das reicht von älteren Methoden aus den Anfängen des Internets bis hin zu den modernsten Angriffen auf Schicht 7, die bestimmte Anwendungsdienste zum Ziel haben. SYN Floods und HTTP GET Floods sind am gängigsten und zielen darauf ab, Netzwerkverbindungen zu fluten oder Server hinter Firewalls und Intrusion Protection Services (IPS) zu überlasten. Weitere Informationen zu gängigen Arten von Angriffen finden in dem Artikel am Seitenrand. Hoch entwickelte DDoS-Angriffe auf Anwendungsebene Angriffe auf Anwendungsebene greifen Ihr Netzwerk und Ihre Dienste mit sehr viel höher entwickelten Mechanismen an. Sie fluten ein Netzwerk nicht einfach durch Datenverkehr oder Sessions, sondern greifen gezielt bestimmte Anwendungen und Dienste an, um die Ressourcen auf Anwendungsebene (Schicht 7) langsam zu überlasten. Botnet-Angriff Eine zentral gesteuerte Gruppe infizierter oder freiwillig zur Verfügung gestellter Computer, überflutet eine Ziel-IP-Adresse oder eine Reihe von Ziel-IP-Adressen mit Datenverkehr. Switch Überlastung von Ports In diesem Fall können Switch und Server das Datenvolumen nicht bewältigen und wehren nahezu alle Datenpakete ab, egal ob sie aus guten oder bösartigen Quellen stammen. Abbildung 1: Beispiel eines einfachen DDoS-Angriffs auf einen Network-Switch und Server. Angriffe auf Anwendungsebene können aufgrund des geringen Zugriffsvolumens äußerst effektiv sein und für herkömmliche DDoS-Erkennungsmethoden völlig normal erscheinen. Sie sind daher sehr viel schwerer zu erkennen als einfache Arten von DDoS- Angriffen. Die meisten ISP und Anbieter von Diensten zur DDoS- Abwehr nutzen einfache Methoden, um Sie vor groß angelegten Angriffen zu schützen. Normalerweise verfügen die jedoch nicht über die hoch entwickelten Erkennungsfunktionen zum Abfangen dieser kleineren Bedrohungen auf Anwendungsebene, sodass diese in der Regel in Ihr Netzwerk eindringen können. 3

4 Optionen zum Schutz vor DDoS- Angriffen Die zahlreichen Optionen zur Abwehr von DDoS- Angriffen reichen von einfachen, selbst programmierten Serverkonfigurationen bis hin zu hoch entwickelten Hardware-Lösungen für Rechenzentren. Die meisten ISP schützen vor DDoS-Angriffen auf Schicht 3 und 4, damit Ihre Anschlüsse bei umfangreichen Angriffen nicht geflutet werden. Sie sind jedoch nicht in der Lage, kleinere Angriffe auf Schicht 7 zu erkennen. Rechenzentren können sich nicht darauf verlassen, dass ihr ISP eine komplette DDoS-Lösung einschließlich Schutz der Anwendungsebene bereitstellt. Die meisten mittelständischen und großen Unternehmen verwenden eine der drei folgenden Lösungen, wenn sie es mit der Abwehr aller DDoS-Angriffe ernst meinen: cloudbasierte DDoS-Serviceanbieter, vorhandene Firewall-/IPS- Einrichtungen und spezielle Appliances zur Abwehr von DDoS-Angriffen. DDoS-Serviceanbieter: Viele gehostete, cloudbasierte DDoS-Lösungen können Angriffe auf die Schichten 3, 4 und 7 abwehren. Dabei reichen die Angebote von günstigen Tarifen für kleine Webseiten bis hin zu Tarifen für große Unternehmen, die mehrere abdecken. In der Regel sind sie leicht einzurichten und werben speziell um kleine und mittelständische Unternehmen. Die meisten haben individuell zugeschnittene Tarifmodelle im Angebot und viele bieten großen Unternehmen hoch entwickelte Erkennungsdienste auf Schicht 7 an, die eine Installation von Sensoren im Rechenzentrum erfordern. Zahlreiche Unternehmen entscheiden sich für diesen Weg, sehen sich aber oftmals mit unvorhersehbaren, erheblichen Zusatzkosten konfrontiert, wenn sie Opfer von umfangreichen DDoS-Angriffen werden. Außerdem sind sie mit der Leistung unzufrieden, da die Serviceprovider den DDoS-Verkehr in Mitigation-Center umleiten, statt ihn in Echtzeit zu stoppen. Besonders Problematisch ist das bei typischen kurzzeitigen Angriffen. Gängige Arten von DDoS-Angriffen Volumenangriffe Zielen darauf ab, die verfügbare Internetbandbreite zu erschöpfen und zu fluten oder Server zu überlasten. SYN Flood: Verschleierte SYN-Pakete fluten die Verbindungstabellen von Servern und anderen Geräten in Ihrem Netzwerkpfad Zombie Flood: Bei Zombie oder Botnet Floods überlasten echte Verbindungen das Netzwerk und Anwendungsdienste. ICMP Flood: ICMP-Pakete, wie sie für Pings verwendet werden, überlasten Server und Netzwerkverbindungen. TCP/UDP Port Flood: TCP/UDP-Pakete überlasten die Server und Netzwerkanschlüsse, die nicht für einen Dienst genutzt werden, z. B. TCP Port 81. Fragment Flood: Fragmentierte Pakete überlasten Server. Anomalous Packet Flood: Beabsichtigte oder zufällige Paketfehler in Skripten von Hackern überlasten Netzwerkgeräte und Server, die versuchen, die Anomalien zu handhaben. Angriffe aus unerwünschten geografischen Gebieten: Pakete kommen aus unerwünschten oder potenziell bösartigen geografischen Gebieten (Land, Region etc.). Blended Attacks: Immer mehr DDoS-Angriffe verwenden Kombinationen aus einfachen Angriffsarten. Manche tarnen dabei sogar Angriffe auf Dienstebene in einfachen Volumenangriffen, um Erkennungsdienste zu täuschen. DNS Amplification: Der Angreifer zielt auf DNS-Server ab und nutzt das DNS EDNS0-Protokoll, um eine an das Angriffsziel gesendete DNS-Antwort um den Faktor 70 zu verstärken. Angriffe auf Anwendungsebene Kleinere, raffiniertere Angriffe auf Dienste der Schicht 7 auf Servern wie HTTP, SMTP und HTTPS. HTTP GET: Diese Angriffe erfolgen durch verbindungsorientierte Bots, die versuchen, Server und Verbindungen an Service-Ports (wie z. B. HTTP) zu überlasten, indem sie sich als legitime Benutzer ausgeben. HTTP POST: POST-Nachrichten werden sehr langsam gesendet und stören die ordnungsgemäße Beendigung einer Verbindung. HTTP Slow Read: Angreifer zwingen Server, eine große Datenmenge in winzigen Bruchteilen zu senden. Zudem werden sie vom Empfänger extrem langsam gelesen. Slowloris: Mithilfe von HTTP GET starten Angreifer diverse unterteilte und zeitverzögerte HTTP Refer Header, um die Verbindungen so lange offen zu halten, bis die Ressourcen erschöpft sind. HTTPS: Ähnlich wie bei HTTP-Angriffen werden hier SSL-Dienste auf Servern angegriffen. SMTP: Angriffe auf SMTP-Mailserver-Dienste. VoIP: Angriffe auf SIP INVITE-Dienste. 4

5 Optionen für die Abwehr von DDoS-Angriffen auf Schicht 7 Die drei wichtigsten Lösungen, mit denen die meisten Unternehmen ihre Rechenzentren vor raffinierten DDoS-Angriffen auf Anwendungsebene schützen. DDoS-Serviceanbieter Abonnement von Managed Services, meist mit separater Erkennung und Abwehr. Vorteile: Einfache Anmeldung Einfache Bereitstellung Nachteile: Hohe Zusatzgebühren Unvorhersehbare Kosten Begrenzte Flexibilität Firewall/IPS Integrierte Appliance mit Firewall, Intrusion Protection und DDoS-Abwehr. Vorteile: Nur ein Gerät Weniger Verwaltungsaufwand Nachteile: Mangelhafte Erkennung von Angriffen auf Schicht 7 Kann eine Lizenz erfordern Leistungsbeeinträchtigungen Fest zugeordnete Appliance Inline-Appliance im Rechenzentrum zum Schutz und zur Abwehr von DDoS- Angriffen auf Schicht 3, 4 und 7. Vorteile: Vorhersehbare Kosten Hoch entwickelter Schutz für Schicht 7 Nachteile: Verwaltung einer zusätzlichen Appliance Bei größeren Angriffen möglicherweise anfällig Kann Signatur-Updates erfordern Abbildung 2: Die meisten Unternehmen wählen sich für eine dieser drei Optionen als erweiterten Schutz vor DDoS-Angriffen, wenn das Angebot ihres ISP zur Abwehr von Großangriffen auf die Schichten 3 und 4 nicht ausreicht. Firewall oder IPS: Fast jede moderne Firewall und jedes Intrusion Prevention System (IPS) bietet angeblich einen gewissen Schutz vor DDoS. Hoch entwickelte Next-Generation Firewalls (NGFW) wie die FortiGate-Produkte von Fortinet bieten DDoS- und IPS-Dienste und können zahlreiche DDoS-Angriffe abwehren. Ein einziges Gerät für Firewall, IPS und DDoS verringert den Verwaltungsaufwand, kann jedoch durch umfangreiche DDoS- Angriffe auch leicht geflutet werden. Zudem kann es nicht mit den hoch entwickelten Erkennungsmechanismen auf Schicht 7 aufwarten, wie sie andere Lösungen anbieten. Als weiteres Manko wirkt sich die Aktivierung von DDoS-Schutzmechanismen an der Firewall bzw. am IPS negativ auf die Gesamtleistung des Geräts aus, was den Durchsatz verringert und die Latenz für Endbenutzer erhöht. Fest zugeordnete Appliances zur Abwehr von DDoS-Angriffen: Das sind fest zugeordnete Hardware-Geräte in Rechenzentren, mit denen einfache (Schicht 3 und 4) und komplexe (Schicht 7) DDoS-Angriffe erkannt und gestoppt werden können. Werden Sie am Hauptzugangspunkt des gesamten Internet-Datenverkehrs eingesetzt, können sie sowohl umfangreiche Angriffe abwehren als auch den gesamten Datenverkehr in das und aus dem Netzwerk überwachen, um verdächtige Muster für Bedrohungen auf Schicht 7 zu erkennen. Durch den Einsatz eines fest zugeordneten Geräts sind die Kosten vorhersehbar und fix, egal ob Sie alle 6 Monate oder jeden Tag angegriffen werden. Nachteil ist, dass Sie mit diesen Geräten zusätzliche Hardware haben, die verwaltet werden muss. Geräte mit geringerer Bandbreite können durch umfangreiche Großangriffe überlastet werden und viele Hersteller erfordern regelmäßige Signatur-Updates. Fest zugeordnete Hardware-Lösungen zur Abwehr von DDoS- Angriffen werden in zwei Hauptvarianten angeboten: Carrierund Enterprise-Lösungen. Carrier-Lösungen sind umfangreich, für globale ISP-Netzwerke entwickelt und sehr teuer. Die meisten Unternehmen bevorzugen zum Schutz ihrer eigenen Rechenzentren die Enterprise-Versionen für eine kostengünstige Erkennung und Abwehr von DDoS-Angriffen. Moderne Modelle liefern ausreichend Kapazitäten zur Abwehr umfangreicher Angriffe und bieten 100%igen Schutz für die Schichten 3, 4 und 7. Sie können auch als Ergänzung einfacher, ISP-basierter Schutzmechanismen gegen DDoS-Großangriffe mit verbesserter Erkennung und Abwehr auf Schicht 7 eingesetzt werden. Im Gegensatz zu gehosteten Lösungen erfordern diese Geräte zwar eine Investition im Voraus, sind jedoch langfristig im Allgemeinen deutlich kostengünstiger, wenn man die zusätzlichen Gebühren für Überschreitungen in die Gesamtkosten eingerechnet. Wählen Sie die Option, die Ihre Anforderungen am besten erfüllt. Jede hat ihre Vor- und Nachteile. Gleichgültig für welche Abwehrstrategie Sie sich letztlich entscheiden, verlassen Sie nicht auf die Aussage anderer, dass Sie vor DDoS-Angriffen geschützt sind. Vergewissern Sie sich nach Inbetriebnahme des Systems unbedingt, dass Ihr Rechenzentrum geschützt ist. Dazu benötigen Sie ein zuverlässiges, regelmäßig durchgeführtes Testprogramm. Testen Ihrer Abwehr gegen DDoS-Angriffe Woher wissen Sie, ob Ihr Dach undicht ist, wenn es nicht regnet? DDoS-Angriffe können jederzeit und von jeder beliebigen Quelle aus erfolgen. Vielleicht haben Sie schon einmal einen Angriff auf Ihr Rechenzentrum erlebt oder sorgen sich um Ihre geschäftskritischen Netzwerkdienste und möchten nicht warten, bis eine echte Bedrohung vorliegt. Auf jeden Fall benötigen Sie eine Methode, um Ihre Schwachstellen auszutesten und dürfen nicht auf den ersten Angriff warten. Dabei spielt es keine Rolle, ob Sie bereits eine Abwehrstrategie für DDoS-Angriffe haben, gerade daran arbeiten oder einfach herausfinden möchten, welche Auswirkungen ein DDoS-Angriff auf Ihr Rechenzentrum hätte. 5

6 Planung von DDoS-Tests Planen Sie, bevor Sie die Ärmel hochkrempeln und mit der eigentlichen Überprüfung Ihrer DDoS-Schwachstellen beginnen. DDoS-Angriffe gehören mittlerweile zu den raffiniertesten Bedrohungen. Daher reicht es nicht, einfach einige Punkte in Ihrer Infrastruktur zu testen. Moderne Angriffe fluten auch heute mit großen Datenvolumen Ihre Netzwerkanschlüsse und -dienste. Viele der hoch entwickelten Bedrohungen zielen jedoch auf die komplexen Interaktionen zwischen den einzelnen Netzwerkelementen ab und bleiben unentdeckt, es sei denn Sie wissen, wo Sie suchen müssen. Ihr Testplan muss daher folgende wichtige Punkte enthalten: Definieren der erwarteten legitimen Nutzung: Die Planung einer leistungsstarken DDoS-Abwehr beginnt mit dem Baselining der Infrastrukturreaktion auf die erwartete legitime Nutzung. Dabei muss die komplexe Interaktion zwischen Benutzer und Infrastruktur besonders sorgfältig modelliert werden. Umfang und Zufälligkeit müssen dabei den Bedingungen von echten Zielnetzwerken entsprechen. Die Veränderungen dieser Nutzung im Rahmen eines DDoS-Angriffs und das Gefahrenpotenzial, das für Sie akzeptabel ist, tragen wesentlich dazu bei, herauszufinden, ob die vorgeschlagenen Lösungen und Strategien für Ihr Unternehmen sinnvoll sind. Bestandsaufnahme der von außen erreichbaren Infrastruktur: Auf welche Elemente können Angreifer zugreifen? Welche sind am stärksten gefährdet? Über welche Bandbreite verfügen Sie? Das sind die Punkte, an denen Angreifer ansetzen. Daher müssen Sie alle potenziellen Wege und Ihrer Kapazitäten kennen, um zu wissen, wo bei einem DDoS-Angriff Engpässe entstehen könnten. Tests auf Volumenangriffe: Mit diesen Tests finden Sie heraus, wie Ihre Infrastruktur groß angelegten DDoS-Angriffen wie SYN, UDP oder SIP Floods standhält. Testen Sie alle kritischen, nach außen gerichteten Komponenten der Infrastruktur mit dem größtmöglichen Volumen an Paketflutung, das Ihre Testsysteme aufbringen können. Bestimmung der wichtigsten Systeme/Ressourcen: Welche Systeme sind bei einem Angriff geschäftskritisch? Welche müssen am besten geschützt werden? Das umfasst alle Elemente hinter Ihren Zugangspunkten, die ein Angreifer zum Erliegen bringen kann, z. B. Webserver, Datenbanken, DNS-Server und Router. Vernetzungspunkte/Abhängigkeiten: Wie viele andere Systeme würden ausfallen, wenn Ihr Authentifizierungsserver aufgrund eines Angriffs ausfiele? Wie viele Anwendungen wären gefährdet, wenn Ihr Datenbankserver überlastet würde? Die heutigen, hoch entwickelten Angriffe sind weitaus subtiler und nehmen Dienste auf Anwendungsebene ins Visier. Sie sind so konzipiert, dass sie sich nach und nach auf zahlreiche Systeme in Ihrem Rechenzentrum auswirken. Pläne für die Zukunft Ihres Rechenzentrums: Welche Elemente wollen Sie ändern? Wie wirken sich diese Änderungen auf die Komplexität Ihres Rechenzentrums aus und bergen sie neue Risiken? Die Einführung neuer Hardware oder Dienste geht mit vielen bekannten und unbekannten Herausforderungen einher. Je mehr Sie bereits im Vorfeld erkennen, desto besser sind Sie bei Änderungen darauf vorbereitet. Sobald Sie Ihre Infrastruktur analysiert und Ihre kritischen Systeme priorisiert haben, können Sie einen taktischen Plan entwickeln, um diese Elemente zu testen und herauszufinden, wie sie auf die unterschiedlichen Arten von DDoS-Angriffen reagieren würden. Tests auf Schicht 7: Mithilfe dieser Tests können Sie feststellen, wie widerstandsfähig die Dienste der kritischen Infrastruktur Ihres Netzwerks sind, auch wenn diese nicht direkt über das Internet ansprechbar sind. Die meisten Angriffe auf Schicht 7 können ISP- und gehostete Lösungen zur Abwehr von DDoS-Attacken problemlos unterwandern und gelangen in Ihr Rechenzentrum. Tests in diesem Bereich umfassen HTTP GET, HTTP POST und Slowloris, die Serverressourcen mit einem Bruchteil der Pakete lahmlegen können, die für einen Volumenangriff erforderlich sind. Botnet-Tests: Volumenangriffe und Angriffe auf Schicht 7 können mithilfe vieler Tests simuliert werden. Im Allgemeinen täuschen diese jedoch IP-Adressen vor und sind mit einem Mustervergleich relativ leicht zu erkennen. Botnet-Tests ahmen Methoden für eine zufällige Paketerzeugung nach, wie sie von echten Botnets angewendet werden. Diese sind deutlich schwerer zu erkennen. All diese Tests dienen dazu, festzustellen, wie Ihre Infrastruktur auf derartige Angriffe reagiert und welche Auswirkungen sie auf die reguläre Nutzung durch Benutzer haben. Wenn Sie eine Lösung zur Abwehr von DDoS-Angriffen nutzen, sollten Sie auch testen, wie genau, schnell und effektiv diese solche Bedrohungen erkennen und abwehren kann. 6

7 FortiDDoS Appliances zur Abwehr von Angriffen Fortinet ist das einzige Unternehmen, das bei seinen DDoS-Produkten eine zu 100 % maßgeschneiderte ASIC-Methode nutzt. Das verringert die Gemeinkosten und Risiken, die mit CPU- bzw. CPU-/ASIC-Hybrid- Systemen einher gehen. Der FortiASIC-TP2-Traffic- Prozessor der zweiten Generation erkennt alle DDoS- Angriffe auf Schicht 3, 4 und 7 sowohl für ein- als auch für ausgehenden Datenverkehr und wehrt diese ab. FortiDDoS nutzt zur Erkennung von Bedrohungen eine rein adaptive verhaltensbasierte Methode. Diese erlernt die Baselines normaler Anwendungsaktivität und überwacht dann die Zugriffe im Vergleich dazu. Bei einem Angriff würden die FortiDDoS Appliances eine Anomalie erkennen und sofort in Echtzeit Maßnahmen ergreifen, um diesen abzuwehren. Benutzer werden vor bekannten und unbekannten Zero-Day-Angriffen geschützt, da die FortiDDoS Appliances nicht darauf warten müssen, dass eine Signaturdatei aktualisiert wird. Unübertroffene Leistung: Mithilfe einer verhaltensbasierten Erkennung und ASIC DDoS- Prozessoren erkennen die FortiDDoS Appliances mehr DDoS-Bedrohungen und wehren sie ab. Das umfasst auch Angriffe auf Anwendungsebene mit geringem Volumen. Und es ist dabei schneller als jede andere derzeit auf dem Markt erhältliche Lösung. DDoS-Überlastungsschutz: Modelle mit einem Vollduplex-Durchsatz von bis zu 24 GBit/s versorgen Sie mit der Kapazität, die zur Abwehr groß angelegter DDoS-Angriffe erforderlich ist. Die Verbindungsauswertung liefert maximalen Durchsatz bei voller Verbindungsgeschwindigkeit. Benutzerfreundlich und leicht zu verwalten: Mit den automatischen Konfigurationstools und den vorkonfigurierten Standardoptionen der FortiDDoS Appliances ist das System zur Abwehr von DDoS- Angriffen in nur wenigen Minuten in Ihr Netzwerk integriert. Dank der intuitiven grafischen Oberfläche, vollumfänglichen Befehlszeilenschnittstelle und erweiterten Berichtsfunktionen können Sie Ihre DDoS- Abwehrmechanismen problemlos verwalten und detaillierte Berichte und Analysen zu Angriffen abrufen. FortiDDoS im Test Kürzlich wurde ein Test mit der BreakingPoint-Plattform von Ixia durchgeführt, bei dem für die FortiDDoS Appliances eine Reihe von einfachen und ausgeklügelten DDoS-Angriffen simuliert wurden, u. a. dienstbasierte DDoS-Angriffe auf Schicht 7 wie GET/POST und SMTP-Floods. FortiDDoS-Angriffserkennung Art des Angriffs SYN Flood SYN ACK Flood DNS Flood SMTP Flood SIP Flood Loic Slowpost Slowloris Sockstress Botnet TDL4 Botnet Evil Botnet Rudy Abgewehrt Die FortiDDoS Appliances erkannten nahezu alle Arten von Angriffen, angefangen bei einfachen SYN Floods bis hin zu ausgeklügelten Angriffen auf Schicht 7 wie HTTP Post und Slowloris. Im Schnitt erkannten die FortiDDoS Appliances die Angriffe innerhalb von 5 Sekunden nach Testbeginn. Das adaptive, verhaltensbasierte FortiDDoS-Modell ließ guten Datenverkehr weiterhin zu und bewertete den Angriff gleichzeitig immer wieder neu. Niedrigste TCO: Für FortiDDoS-Systeme fallen im Schnitt weniger als 50 % der TCO vergleichbarer Geräte anderer Hersteller an. Niedrigste Latenz: Die einschichtige Hardware-Engine zur Erkennung und Abwehr von DDoS-Angriffen bietet eine Latenzzeit von unter 50 Mikrosekunden. Bestes Verfahren gegen falsche Erkennung: Die Methoden zur kurzzeitigen (<1 Minute) Abwehr und zur kontinuierlichen Neubewertung von Angriffen der FortiDDoS Appliances erkennen ausschließlich gefährlichen Datenverkehr und wehren ihn ab. 7

8 Testoptionen Ob Ihr Rechenzentrum auf DDoS-Angriffe vorbereitet ist. können Sie mithilfe von Testplattformen auf Hardware- oder Software-Basis testen. Software-Tools: Zum Testen Ihrer DDoS-Abwehr stehen zahlreiche Softwareoptionen zur Verfügung, u. a. viele Open-Source- Anwendungen. Die meisten sind Modifikationen von Tools, die von Hackern eingesetzt werden und deren grundlegende Angriffsmethoden nachahmen. Sie bieten die grundlegenden Elemente für Tests im kleinen Rahmen oder für Volumenangriffe. Umfassende Ergebnisse für Angriffe auf Schicht 7 erhalten Sie nur mit einer Kombination hoch entwickelter Tools. Diese Tools können große Floods mit Spoofing simulieren, Angriffe durch Botnets jedoch nur begrenzt nachahmen. Hardware-Plattformen: Bei Tests in Rechenzentren wird eine Hardware-Testplattform eingesetzt, um DDoS-Verkehr mit einem Umfang von mehreren GBit zu erzeugen, was der normalen Vorgehensweise von Hackern entspricht. Das sind spezielle Appliances, die alle wichtigen Angriffsarten testen und Pakete erzeugen, die mit den von Botnets verwendeten praktisch identisch sind. Unternehmen können sie erwerben, um DDoS- Bedrohungen regelmäßig zu bewerten. Testanbieter können sie je nach Bedarf bzw. in regelmäßigen Abständen als Service anbieten. Software-Lösungen können deutlich kostengünstiger sein und eignen sich in der Regel gut für kleinere Unternehmen. Große Rechenzentren lassen im Allgemeinen regelmäßig DDoS-Audits durch einen Testanbieter durchführen. Die größten Rechenzentren von ISP und Telekommunikationsunternehmen schaffen sich ihre eigene spezielle Testhardware an. Anhand der Ergebnisse zeigt sich, wie gut Sie geschützt sind und was Sie unternehmen müssen, um die Probleme in Ihrem Netzwerk zu beheben. Wenn Sie eine Lösung zur Abwehr von DDoS-Angriffen verwenden, können Sie die Angaben des Anbieters überprüfen und sicherstellen, dass die Lösung wie beworben funktioniert. DDoS-Angriffe Mythen und Wirklichkeit Viele IT-Fachleute denken, dass die Schutzvorkehrungen in ihren Firewalls, Switches und anderen Netzwerkgeräten sie vor DDoS- Angriffen schützen, oder glauben fälschlicherweise, dass ihr ISP einen 100%igen Schutz bieten kann. Im Folgenden sind typische Fehleinschätzungen und Wahrheiten zu DDoS-Angriffen aufgeführt. Mein ISP kümmert sich für mich um DDoS-Angriffe. Viele ISP und Hosting-Unternehmen setzen gern eine Null-Route für eine angegriffene IP-Domain ein, um das Problem von DDoS-Angriffen zu lösen. Das funktioniert bei vielen Großangriffen auf Schicht 3 und 4. Kleinere Angriffe auf Schicht 7 umgehen die Schutzmechanismen jedoch problemlos und dringen mit ihren Angriffen auf Anwendungsebene in Ihr Netzwerk ein. Die meisten erfolgreichen Angriffe bleiben unter 1 GBit/s, 80 % aller DDoS-Angriffe bleiben unter 50 GBit/s. Ein ISP kann Ihnen dabei helfen, eine umfangreiche Paketflut zu stoppen, damit sie nicht in Ihr Netzwerk eindringt. Rechenzentren benötigen jedoch zusätzliche Schutzmechanismen für Schicht 7. Einige gehen zudem fälschlicherweise davon aus, dass ihr ISP ihnen dabei hilft, den Ursprung eines Angriffs zu ermitteln. Die meisten ISP sind jedoch zu beschäftigt und halten sich bei der Kommunikation untereinander an strenge, bürokratische Verfahren. ISP reagieren normalerweise erst nach Tagen oder Wochen, wenn es um die Ermittlung der Quelle eines DDoS-Angriffs geht. Das passiert nur anderen. Die meisten Netzwerk- und Sicherheitstechniker hören in der Regel nur von DDoS-Angriffen auf andere Organisationen. Sie glauben, dass sie keine Feinde haben und es auch keinen anderen Grund gibt, Ziel eines Angriffs zu werden. In Wirklichkeit schätzen sie die Risikofaktoren und die Anfälligkeit falsch ein, weil sie allein aufgrund ihrer Internetpräsenz zum Ziel werden, wenn auch unbeabsichtigt. Ich bin durch DDoS-Schutzmechanismen für den Server geschützt. Viele Techniker glauben, dass sie alle Probleme mit DDoS-Angriffen lösen, indem sie den Kernel-Code individuell kompilieren, einige Optionen in Apache konfigurieren, mod_dosevasive installieren und iptables verwenden. In Wirklichkeit reicht die Kapazität der meisten Server nicht aus, um DDoS-Angriffe zu bewältigen. Bei den meisten durchschnittlichen DDoS-Angriffen werden die Prozessoren der Server so stark überlastet, dass die Apache-Module oder Linux-Befehle keine Chance haben, den Angriff abzuwehren. Sie sind gegen das Gesetz. Die Polizei muss eingreifen., DDoS-Angriffe sind illegal. Die meisten Strafverfolgungsbehörden gehen jedoch nur großen Angriffen (ab 10 GBit/s) auf große Unternehmen oder Institutionen wie Banken, staatliche Einrichtungen und große internationale Konzerne nach. Wahrscheinlich wird man Ihnen freundlich mitteilen, dass Sie sich an Ihren ISP oder einen privaten Ermittler wenden müssen. Meine Router und Switches schützen mich vor DDoS-Angriffen. Auch wenn Ihre Netzwerk-Hardware über Zugriffssteuerungslisten verfügt, die DDoS-Angriffe abwehren, können sich Angreifer schnell darauf einrichten. Hacker können Ihre Zugriffssteuerungslisten normalerweise ohne große Anstrengungen innerhalb weniger Minuten ganz einfach umgehen. Auch dedizierte DDoS-Appliances werden einfach geflutet. Viele fragen sich, ob es überhaupt Sinn macht, spezielle DDoS-Appliances anzuschaffen. Ohne Systeme zur Abwehr von DDoS-Angriffen sind Ihre Server sogar normalen Angriffen schutzlos ausgeliefert. Neuere Geräte bieten Kapazitäten von mehr als 20 GBit/s Durchsatz, um Sie vor größeren Angriffen zu schützen. In Kombination mit den DDoS-Schutzmechanismen Ihres ISP haben Sie damit eine Lösung für große und ausgeklügelte Angriffe auf Schicht

9 Damit hoch entwickelte DDoS- Abwehrmechanismen für Unternehmen einen optimalen Nutzen haben, müssen sie umfassend und in realistischen Angriffsszenarien getestet werden. Der strategische Ansatz von Fortinet zur langfristigen Optimierung der Leistung seiner FortiDDoS-Lösung unterstützt Kunden in ihren Sicherheitsbemühungen und bei der genaueren Vorhersage von und besseren Reaktion auf Änderungen in der dynamischen DDoS-Bedrohungslandschaft. Fred Kost VP Sicherheitslösungen, Ixia BreakingPoint-Tests zur Abwehr von DDoS-Angriffen Praxistest für die IT-Infrastruktur anhand der neuesten DoS-/DDoS-Angriffe DDoS-Angriffe (Distributed Denial of Service) auf Unternehmen und öffentliche Einrichtungen werden immer größer, häufiger und komplexer. Großangriffe durch Botnets, neuere Angriffe auf Anwendungsebene und Hybridangriffe, die verschiedene DDoS-Methoden kombinieren, stellen Unternehmen tagtäglich vor große Herausforderungen. Wie können Sie die Schutzmechanismen Ihres Netzwerks unter realen Bedingungen testen, um sicherzustellen, dass DDoS-Angriffe wirklich abgewehrt oder sogar verhindert werden, damit diese Ihr Netzwerk und die Nutzung durch legitime Benutzer nicht beeinträchtigen? Mit Ixia BreakingPoint Actionable Security Intelligence (ASI) Lösungen können Sie die Fähigkeiten von Firewalls der nächsten Generation, IPS-Geräten, Anti-DDoS-Systemen und anderen Komponenten zur Erkennung und Abwehr von schädlichem Datenverkehr schnell und leicht in dem Umfang und der Komplexität testen, die Ihrer individuellen Infrastruktur entsprechen. Ixia DDoS-Test Die Ixia BreakingPoint DoS-Testlösungen kombinieren authentische DoS- und DDoS-Zugriffe mit dem realen Mix aus Datenverkehr aus Anwendungen, Angriffen und Fehlern in Ihrem Netzwerk und helfen Ihnen, zu erkennen, welche Auswirkungen DDoS-Angriffe auf Ihre Anwendungen, einzelne Geräte, Netzwerke und Rechenzentren haben. Mithilfe der Ixia BreakingPoint DDoS- und DoS- Testlösungen: Erfahren Sie, wie sich bestimmte DDoS-Angriffe auf Ihre Netzwerkdienste, die Reaktionszeiten von Anwendungen und das Benutzererlebnis auswirken und wie Sie sicherstellen, dass die Leistung von Anwendungen während eines Angriffs gleich bleibt. Vergewissern Sie sich, dass Sicherheitskomponenten DDoS-Angriffe erkennen und stoppen können. Verschaffen Sie sich genaue Zahlen dazu, wie viele Sessions ein bestimmtes Gerät bewältigen kann und wann es Zeit für ein Upgrade wird. Stellen Sie sicher, dass die Richtlinien zu Abwehr, Traffic-Shaping und Umleitung wirklich wie beabsichtigt funktionieren. Finden Sie heraus, wo die Grenzen der strukturellen Abwehrmechanismen liegen. 9

10 Schlussfolgerung DDoS-Angriffe nehmen zu. Das gilt für nahezu jede Organisation, unabhängig von ihrer Größe. Die potenziellen Bedrohungen und Umfänge nehmen mit der Anzahl der internetfähigen Geräte (einschließlich mobilen Geräten) zu. Wenn Sie im Internet präsent sind, ist die Wahrscheinlichkeit eines Angriffs so hoch wie nie zuvor. Da sich die Methoden von DDoS-Angriffen immer weiter entwickeln, müssen Organisationen immer vorausschauender agieren und benötigen proaktive Abwehrmechanismen für Dienste im Netzwerk und auf Anwendungsebene. Der von ISP angebotene Schutz vor DDoS-Angriffen reicht angesichts der neusten Angriffe nicht aus. Sie benötigen in Ihrem Rechenzentrum eine zusätzliche Ebene an DDoS-Schutz, um Bedrohungen für Schicht 7 abzuwehren. Auf dem Markt gibt es mittlerweile verschiedenartige Lösungen zur Abwehr von DDoS-Angriffen. Entscheiden Sie sich für eine, die sowohl vor einfachen Angriffen als auch ausgeklügelten DDoS- Angriffen auf Schicht 7 schützt. Eine DDoS-Appliance kann vorhersehbar und kostengünstig sein und Ihr Rechenzentrum umfassend vor Angriffen auf Schicht 3, 4 und 7 schützen. Einige Modelle, wie FortiDDoS, bieten erweiterte Funktionen wie Verbindungsauswertung, um Überlastungen zu verhindern, und eine 100%ig verhaltensbasierte Erkennung, die Signatur-Updates überflüssig macht. Ob Sie über eine Lösung zur Abwehr von DDoS-Angriffen verfügen oder nicht, wichtig ist, dass Sie verstehen, was DDoS-Angriffe in Ihrem Rechenzentrum anrichten können. Um Ihre Abwehrmechanismen wirklich beurteilen zu können, sind umfassende, regelmäßige DDoS-Tests erforderlich. Die meisten Rechenzentren von Unternehmen und ISP benötigen dafür eine komplette Hardware-Testlösung. 10

11 White Paper White Paper Deutschland Feldbergstraße Frankfurt Deutschland Verkaufsabteilung: Schweiz Riedmuehlestr. 8 CH-8305 Dietlikon/ Zürich Schweiz Verkaufsabteilung: Österreich Wienerbergstrasse 7/D/12th floor 1100 Wien Österreich Verkaufsabteilung: KONZERNSITZ Fortinet Inc. 899 Kifer Road Sunnyvale, CA USA Tel.: +1 (408) VERTRIEBSBÜRO EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Frankreich Tel.: +33 (0) VERTRIEBSBÜRO APAC 300 Beach Road The Concourse Singapur Tel.: VERTRIEBSBÜRO LATEINAMERIKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P Del. Alvaro Obregón México D.F. Tel.: +52 (55) Copyright 2015 Fortinet, Inc. Alle Rechte vorbehalten. Fortinet, FortiGate, FortiCare und FortiGuard sowie bestimmte andere Marken sind eingetragene Marken von Fortinet, Inc. Bei anderen hier aufgeführten Namen von Fortinet kann es sich ebenfalls um eingetragene und/oder Gewohnheitsmarken von Fortinet handeln. Alle weiteren Produkt- und Unternehmensnamen sind u. U. Marken ihrer jeweiligen Eigentümer. Leistungs- und andere hierin enthaltenen Kennzahlen stammen aus internen Labortests unter idealen Bedingungen. Die tatsächliche Leistung und andere Ergebnisse können davon abweichen. Netzwerkvariablen, unterschiedliche Netzwerkumgebungen und anderen Bedingungen können Auswirkungen auf die Leistungsergebnisse haben. Keine der hierin enthaltenen Angaben stellt eine verbindliche Verpflichtung durch Fortinet dar und Fortinet lehnt alle ausdrücklichen oder implizierten Garantien ab. Ausnahme: Fortinet geht einen verbindlichen, schriftlichen Vertrag mit einem Käufer ein, der vom Leiter der Rechtsabteilung von Fortinet unterzeichnet wird und der eine ausdrückliche Garantie dafür gewährt, dass ein bestimmtes Produkt entsprechend der genau angegebenen Leistungskennzahlen bestimmungsgemäß funktioniert. In diesem Fall sind ausschließlich die in diesem verbindlichen, schriftlichen Vertrag aufgeführten spezifischen Leistungskennzahlen für Fortinet bindend. Nur um das klarzustellen, jede diesbezügliche Garantie beschränkt sich einzig auf die Leistung unter den gleichen idealen Bedingungen wie bei den internen Labortests von Fortinet. Fortinet lehnt dementsprechend jegliche ausdrücklichen oder implizierten Verpflichtungen, Zusagen und Garantien ab. Fortinet behält sich das Recht vor, diese Veröffentlichung ohne Ankündigung zu ändern, zu bearbeiten, zu übertragen oder anderweitig zu überarbeiten. Es gilt die jeweils aktuellste Fassung der Veröffentlichung.