Schutz vor DDoS-Bedrohungen: ein Plädoyer für Hybridlösungen

Transkript

1 Schutz vor DDoS-Bedrohungen: ein Plädoyer für Hybridlösungen CIOs wünschen sich Homogenität; Sicherheitsverantwortliche bevorzugen Spezialprodukte nicht; Netzwerkadministratoren sind Veränderungen gegenüber eher passiv. CIOs bekommen die Homogenität, die sie für Maßnahmen gegen DDoS-Angriffe brauchen, indem sie F5 Application Delivery Controller zu einer Hybridlösung erweitern: On-Premises mit einer neuen Cloud- Komponente. Whitepaper

2 Einleitung Die Art der DDoS-Angriffe ändert sich laufend. Das Ziel der Attacken ist nach wie vor der Ausfall der angegriffenen Dienste, die Angriffe und Angreifer werden aber immer raffinierter. Die Motivation hinter den Attacken ist zunehmend finanzieller oder politischer Natur - die Konsequenzen für den Angegriffenen werden immer ernster. Organisationen mit hohem Bekanntheitsgrad wie Finanzinstitute, Regierungen und Dienstleister sind weiterhin bevorzugte Ziele. Es melden aber auch immer mehr normale Unternehmen DDoS-Attacken. Durch die zunehmende Häufigkeit und Heftigkeit dieser Attacken wird Erfahrung in der DDoS-Abwehr eine immer höhere Priorität bei der Auswahl von IT- und Sicherheitsmitarbeitern. Das Hauptproblem für CIOs ist aber die Wahl der passenden Lösung. On-Premises-Lösungen zur DDoS-Abwehr sind bislang überwiegend Spezialprodukte, die über ihren eng begrenzten Einsatzzweck keinerlei Wert für das Unternehmen liefern. Wenn sie nicht gerade mit einem DDoS - Angriff beschäftigt sind, verbrauchen sie einfach nur Strom, erhöhen die Latenz der Anwendungen und reduzieren das IT-Budget. Dienstleister bieten für den Fall der Fälle Schutzmaßnahmen gegen volumetrische Angriffe an, typischerweise zu vergleichsweise geringen Kosten. Wie die Erfahrungsberichte vieler Kunden zeigen, trifft auf die Qualität dieser Services allerdings der Spruch zu: Die Leistung entspricht dem Preis. Was CIOs wirklich wollen Abwehrsystem verlassen können. Dazu benötigen sie eine Lösung mit den folgenden Eigenschaften: Abwehr: Muss über eine Cloud-Komponente für volumetrische Attacken verfügen. Abblocken: Muss in der Lage sein, DDoS-Angriffe auf Anwendungen zu blocken, ohne dass der SSL-Key übergeben werden muss. Implementierung: Muss für das Netzwerk-Operations-Team akzeptabel sein. CIOs und Sicherheitsverantwortliche haben die Nase voll von Spezialprodukten. So haben Umfragen unter Sicherheitsverantwortlichen ergeben, dass manche Unternehmen zwar bis zu 200 unterschiedliche Spezialprodukte für Sicherheit und Analyse angeschafft haben, aber typischerweise nur einige wenige davon wirklich in Betrieb haben. Der Rest wird nicht genutzt. Viele CIOs sahen sich bisher außerstande, die Cloud für Anwendungssicherheit zu nutzen und zwar wegen eines kritischen Faktors: SSL. Da immer mehr Anwendungen per SSL geschützt werden, sind Cloud-Lösungen nicht mehr in der Lage, Angriffe auf Anwendungsebene wie GET-Floods zu erkennen und zu entschärfen. Für SSL braucht man eine On-Premises-Lösung, und für volumetrische Angriffe braucht man eine Cloud-Komponente. CIOs und die Sicherheitsverantwortlichen müssen sich auf ihr DDoS- Der Medienrummel um DDoS hat so manchen Anbieter angeregt, selbst Produkte oder Services auf den Markt zu bringen - die Ergebnisse waren allerdings durchwachsen. Die Bemühungen von Content-Delivery- Netzwerken (CDNs), sich in diesen Markt auszubreiten, sind weitgehend gescheitert. Andere Anbieter von Cloud-Lösungen haben sich durch Missmanagement ins Abseits manövriert oder wurden aufgekauft. 2

3 Der richtige Schutz vor DDoS-Attacken F5 bietet eine einzigartige On-Premises-Lösung, die zwei von drei kritischen Anforderungen erfüllt: Dazu integriert F5 eine Netzwerk-Firewall in den Application Delivery Controller (ADC) und verknüpft auf der zweiten Ebene SSL- Termination mit Maßnahmen gegen die Bedrohungen der Top-10-Liste von OWASP. Die dritte noch fehlende Anforderung erfüllt F5 DDoS Protection, ein Service, der über die Cloud-basierende Plattform F5 Silverline bereitgestellt wird. Damit kann F5 eine Rundumlösung liefern, die alle Anforderungen von CIOs abdeckt. Die einzigartige Hybridlösung zur DDoS-Bekämpfung von F5 schützt per Cloud vor volumetrischen Angriffen, begegnet Angriffen auf der Anwendungsebene durch On-Premises-Schutzmaßnahmen und ist für das Netzwerk- Operations-Team sofort akzeptabel - viele Netzwerk-Operations-Teams vertrauen ohnehin bereits auf F5. Bild 1: Eine umfassende DDoS-Lösung enthält sow ohl Cloud- als auch On-Premises-Komponenten Wie CIOs bekommen, was sie wollen Warum CIOs On-Premises-Schutz vor DDoS brauchen Als F erstmals DDoS-Schutz anbot, waren die Angriffe noch vergleichsweise primitiv: Es waren hauptsächlich SYN-Floods und einfache Attacken auf Netzwerkebene. Seither haben die Angreifer viel dazugelernt, sie kombinieren gleich mehrere ausgefeilte Methoden, um einen Host (oder ein Netzwerk) in die Knie zu zwingen oder einen Zugangsweg (oder auch einen Ausgang) zu verstopfen. Die häufigsten Angriffe heute sind maßgeschneiderte GET-Flood-Attacken um gezielt Dienste und Services auszuschalten. Zwischen legitimen und bösartigen Abfragen zu unterscheiden kann schwierig sein, denn die Abfragen kommen zunehmend über Verbindungen, die per SSL verschlüsselt sind. Diese Verschlüsselung verhindert, dass man die Probleme analysieren und Cloud-Lösungen zur Abwehr der Attacken einsetzen kann. 3

4 Deshalb benötigen CIOs einen On-Premises-Schutz, der den Traffic entschlüsseln kann, die Häufung der bösartigen Abfragen erkennt und dann Abwehrmaßnahmen einleitet. Die Lösung von F5 ist in der Lage, den Traffic zu analysieren und bei Bedarf Challenge-and-Response-Abfragen zu initiieren. Schon seit Jahren nutzen Sicherheitsteams die Programmierbarkeit der F5-Plattform für genau diese Art von Maßnahmen. Warum CIOs Cloud-Lösungen brauchen In den letzten Jahren wurden drei verschiedene Arten von sogenannten Amplification-Attacken (Verstärkungsangriffen) beobachtet, die ungeheure Stürme an volumetrischem Traffic hervorgerufen haben wurde bei einem Angriff auf das Spamhaus-Projekt die DNS-Infrastruktur zur Waffe gemacht. Bei dem Angriff wurden mehr als 20 Millionen falsch konfigurierte DNS-Server genutzt. Das Open Resolver Project führt eine Liste der Server, die im Grunde ein öffentliches Botnet für jeden darstellen, der weiß, wie man DNS-Anfragen fälscht. Trotz frühzeitiger Warnungen steigt die Anzahl der Open-Resolver-Server nach wie vor mit besorgniserregender Geschwindigkeit. Angesichts der Wirksamkeit von DNS-Amplification-Angriffen ist es fast schon ein Wunder, dass es nicht mehr Angriffe mithilfe dieser offenen Server gibt. Nur wenige Monate nach den Angriffen auf Spamhaus stellte sich ein weiteres Internet-Protokoll als anfällig für massenhafte Manipulationen heraus: das schon in die Jahre gekommene Network Time Protocol (NTP). Ein Zugang für administrative Zwecke ist ungesichert, sodass sich ein Angreifer von einem NTP-Server eine Liste der 600 letzten Clients ausgeben lassen kann. Da die Quelle der Anfrage nicht überprüft wird, konnte man Tausende NTP-Server dazu veranlassen, das Angriffsziel mit Millionen von Antworten zu überschwemmen und so dessen Zugangskanäle schnell zu verstopfen. Am 11. Februar 2014 nutzte die Hackergruppe DERP Trolling diese Möglichkeit, um die Gaming-Server einer rivalisierenden Gamer-Gruppe anzugreifen. Und schließlich haben Angreifer auch noch das SNMP-Protokoll missbraucht. In einem vom SANS-Institut dokumentierten Fall verstärkten Videokonferenzsysteme GetBulk-Anfragen um den Faktor 700. SANS befürchtet, dass dieser Angriff als Testlauf für eine ganz neue Art von Attacken dienen sollte, gleichsam das Internet of DDoS Things. 4

5 Bild 2: Anstieg der volumetrischen Angriffe 2014 Das Diagramm zeigt, dass sich Angreifer immer wieder neue Möglichkeiten einfallen lassen, um Teile des Internets mit Internet-eigenen Mitteln zu attackieren. Der Umfang der volumetrischen Angriffe steigt immer stärker an. Mit On- Premises-Methoden wie JavaScript-Challenges oder Geschwindigkeitsbegrenzungen wird es nicht möglich sein, dem Traffic standzuhalten. Die einzige Möglichkeit, derartigen Attacken zu begegnen, ist eine Cloud-Lösung mit Kapazitäten im Terabits-Bereich. Genau für derartige volumetrische Angriffe ist F5 Silverline DDoS Protection ausgelegt. Dazu bietet F5 seinen Kunden einen Abonnementdienst für Silverline DDoS Protection - Always Available als Hauptverteidigungslinie; alternativ gibt es die Möglichkeit, den gesamten Traffic über die Option Always On ständig durch SilverLine zu leiten. On-Premises und in der Cloud: die ultimative Lösung CIOs brauchen eine On-Premises-Lösung, die auch für das Netzwerk-Operations-Team akzeptabel ist. Zusätzlich brauchen sie eine Cloud-Komponente als Versicherungspolice gegen orkanartige DDoS-Stürme. Und was wäre noch besser? Eine Hybridlösung, bei der jede Seite auch die andere kennt. Solange noch keine Erkennung durch Analyse des Datenflusses und keine Standards zur Abwehr von Angriffen zur Verfügung stehen, bleibt CIOs nichts übrig, als auf die Lösung eines Anbieters zu setzen. Die On-Premises-Komponente von F5 bietet weit mehr als die Abwehr von Angriffen. Alle übrigen On-Premises- Lösungen sind auf die DDoS-Abwehr beschränkt, die DDoS-Technologie von F5 dagegen wird in Komponenten integriert, die andere Funktionen erfüllen, etwa als Netzwerk-Firewall dienen oder zur PCI-Compliance über die Webanwendungs-Firewall. Das bedeutet, dass die Lösung tagtäglich Mehrwert liefert, da sie zum Betreiben der Geschäftsanwendung genutzt wird und diese gleichzeitig vor den Top-10-Angriffen aus der OWASP-Liste schützt. So lässt sich die Investition in die F5-Lösung anders als bei einem Spezialprodukt auch dazu nutzen, weitere Aufgaben zu erfüllen. 5

6 Auch die Akzeptanz und die erfolgreiche Installation durch das Netzwerkteam ist ein wichtiges Argument. Da F5 in den großen Datencentern allgegenwärtig ist, gilt das Unternehmen bereits als akzeptierter und geschätzter Anbieter. In vielen Fällen erfordert die Implementierung der DDoS-Lösungen von F5 einfach nur das Aktivieren eines Codes, der ohnehin schon in den ADCs vorhanden ist. F5 bietet Abwehrtechnologien wie SSL-Tunnel, globales Load-Balancing, Applikationsmonitoring, Nutzerauthentisierung und Kontext-Tracking. Diese Technologien arbeiten über die Grenzen zwischen On- Premises und Cloud hinweg zusammen; ebenso zwischen Datencentern. Außerdem lässt sich die Abwehr von DDoS-Angriffen auf Anwendungen mithilfe mehrerer Datencenter koordinieren über eine Cloud, die auf die F5- Lösungen aufsetzt, die bereits in den einzelnen Datencentern existieren. F5 bringt neben seinen Cloud-Betriebszentren und den professionellen Services viel Erfahrung in der Abwehr von DDoS- Attacken mit. Da F5 sowohl der Eigentümer der Datencenterlösung als auch der Cloud-Lösung ist und die Trends sowohl auf dem Markt als auch bei den Angreifern kennt, ist das Unternehmen hervorragend aufgestellt, wenn es um umfassenden Schutz vor DDoS-Angriffen geht. Fazit CIOs sollen das bekommen, was sie sich wünschen: Sicherheit. Was Sicherheit und DDoS angeht, müssen diese Anforderungen erfüllt sein: Das Datencenter ist in der Lage, volumetrische Angriffe auf das Netzwerk und DDoS-Angriffe auf Anwendungen abzublocken, idealerweise so, dass dabei keine Spezialprodukte zum Einsatz kommen. Der CIO kann darauf vertrauen, dass die gewählte Lösung vom Netzwerkteam angenommen wird. Die Organisation verfügt über eine Cloud-Komponente für volumetrische Angriffe. All diese Anforderungen erfüllt die DDoS-Protection-Lösung von F5. Bedenken Sie: Die On-Premises-Lösung bietet den Vorteil, dass darauf rund um die Uhr Anwendungen laufen können. Sie wird ebenfalls implementiert; sie ist kein Spezialprodukt mit nur einem Einsatzzweck. Der Anwendungsschutz von F5, der sich gegen die Top-10-Bedrohungen aus der OWASP-Liste richtet, kann ebenfalls DDoS-Schutz auf Anwendungsebene bereitstellen. Die Cloud-Komponente von F5 stellt außerdem die endgültige Versicherung gegen volumetrische Angriffe dar. Nur F5 stellt all diese Komponenten in einer konsolidierten Lösung bereit und schützt so Ihr Unternehmen heute und in der Zukunft. F5 Netw orks, Inc. 401 Elliott Avenue West, Seattle, WA Amerika Asien-Pazifik-Raum Europa/Mittlerer Osten/Afrika Japan F5 Networks, Inc. Alle Rechte vorbehalten. F5, F5 Networks und das F5-Logo sind Warenzeichen der F5 Networks, Inc. in den USA und in weiteren Ländern. Weitere F5-Warenzeichen sind unter f5.com angegeben. Alle weiteren Bezeichnungen von Produkten, Dienstleistungen oder Firmen in diesem Dokument können Warenzeichen der jeweiligen Inhaber sein; ihre Verwendung im Dokument stellt keine Empfehlung oder sonstige Verbindung, weder explizit noch implizit, durch F5 dar. WP-SEC hybrid-ddos