ruhr-universität bochum Lehrstuhl für Datenverarbeitung Prof. Dr.-Ing. Dr.E.h. Wolfgang Weber Verteilte Systeme/Sicherheit im Internet Distributed Denial-of-Service (DoS):, Gegenmaßnahmen Seminar Datenverarbeitung SS 2000 Angreifer Master Master Master Daemon Daemon Daemon Daemon Daemon Daemon Daemon Opfer Referent: cand.-ing. Marko Vogel Betreuer: Dipl.-Ing. Thomas Droste SEMINA R DATENVERA RBEITUNG SS 2000 URL: http://www.etdv.ruhr-uni-bochum.de
Inhalt Inhalt 1...2 1.1 Schadenstypen...2 1.2 Prinzip eines Angriffs...3 1.2.1 Angriffsszenario...4 1.3 Tools...8 1.3.1 Trinoo...9 1.3.2 Tribe Flood Network...11 1.3.3 Stacheldraht...12 2 Gegenmaßnahmen...14 2.1 Problematik...14 2.2 Maßnahmen...15 2.2.1 Netzvermittler...15 2.2.2 Serverbetreiber...16 2.2.3 Inhalteanbieter...17 2.2.4 Endanwender...18 2.2.5 allgemeine Maßnahmen...18 3 Zusammenfassung...20 4 Literatur...21 1
1 1.1 Schadenstypen Bei der Entwicklung der Technologien und Dienste, derer sich das Internet bedient, stand die Erhöhung der Funktionalität und die Leistungssteigerung im Vordergrund. Die Sicherheit der Daten und der beteiligten Rechnersysteme ist häufig als nebensächlich angesehen worden. Erst erfolgreiche Angriffe auf Rechnersysteme, die von der Presse veröffentlicht worden sind, setzten einen Prozeß des Umdenkens im Sicherheitsbewußtsein in Gang. Seitdem das Internet den akademischen Bereich verlassen hat und es von immer mehr Firmen und Institutionen auch kommerziell genutzt wird, gehen Angriffe auf angeschlossene Rechnersysteme nicht nur von neugierigen Hackern, sondern in verstärktem Maße auch von professionellen Datenspionen aus. Schäden, die ein Angreifer verursachen kann, können in vier Bereiche eingeteilt werden: Integrität Der Angreifer konnte Daten manipulieren. Verfügbarkeit Dem Angreifer ist es gelungen, Dateien zu löschen, oder Dienste (z.b. den WWW-Server) so zu verfälschen, daß sie nicht mehr im Rahmen der Anforderungen nutzbar sind. Authentizität Der Angreifer konnte eine falsche Identität vortäuschen. Vertraulichkeit Der Angreifer konnte Informationen einsehen, die nur für einen bestimmten Personenkreis zugelassen sind, dem er nicht angehört. Ein Denial-of-Service-Angriff (DoS-Angriff), sei er verteilt (distributed-dos-angriff) oder auch nicht, ist immer ein Angriff auf die Verfügbarkeit von Systemen. Denial-of-Service-Angriffe dienen dazu, öffentlich angebotene Dienste so zu belasten, daß sie de facto nicht mehr nutzbar sind bzw. so zu überlasten, so daß das Rechnersystem abstürzt. Dies kann in einem Unternehmen einen erheblichen Schaden anrichten. Selbst das vielleicht vermeintlich harmlose Belasten von Diensten, daß aber keinerlei bleibenden Schaden auf dem System anrichtet, kann für ein Unternehmen, welches mit seinen Kunden über das Internet kommuniziert, erhebliche finanzielle Verluste bedeuten. Der 2
zusätzliche Imageschaden, der dabei entsteht, kann meistens schlecht in Beträgen ausgedrückt werden, ist aber dennoch zu berücksichtigen. 1.2 Prinzip eines Angriffs Bevor der Angreifer einen distributed-denial-of-service-angriff (ddos-angriff) durchführt, muß ein mehrschichtiges Netz aus sogenannten Master- und Daemonsystemen aufgebaut werden (vgl. Abbildung 1-1). Angreifer Telnetverbindung Master Master Master Steuerungsnetzverkehr Daemon Daemon Daemon Daemon Daemon Daemon Daemon Angriffsnetzverkehr z.b. SYN-Flood-Angriff Opfer Abbildung 1-1: Angreifernetzwerk Der Angreifer kommuniziert über z.b. eine Telnet-Verbindung mit verschiedenen Mastern. An diese schickt er den Befehl ein bestimmtes System, in der Abbildung das Opfer, anzugreifen. Dies ist der einzige Verkehr der vom Angreifer ausgeht. Danach übernehmen die Master die weitere Steuerung und Koordinierung des Angriffs. Jeder Master steuert eine große Anzahl an sogenannten Daemons. Diese befinden sich wieder auf anderen Systemen und können sich weit verstreut im Netz befinden. Erst die Daemonsysteme führen auf Anweisung eines Masters den eigentlichen Angriff aus. Dies kann z.b. eine SYN-Flood-Attacke sein, bei der der Angreifer ein Paket zum Aufbau einer TCP-Verbindung (SYN-Paket) an das Opfersystem schickt. Dieses reserviert einen Port und schickt ein sogenanntes SYN-ACK-Paket zurück. Da der Angreifer jedoch eine beliebige IP-Adresse in sein Paket als Quelladresse eingetragen hat, erfolgt keine Bestätigung dieses Paketes des Opfers. Im Regelfall verschickt das Opfersystem dieses Paket wiederholt und verwirft die reservierte Verbindung nach 3
einem eingestellten Zeitraum entgültig. Ein standardmäßig eingestelltes Windows-NT- System erhält diese Verbindung z.b. 189 Sekunden aufrecht. Wird dieser Verbindungsaufbau nicht nur einmal ausgeführt, sondern parallel sehr häufig ausgeführt, führt dies dazu, daß der Rechner anderweitig nicht mehr angesprochen werden kann. 1.2.1 Angriffsszenario Dieses Kapitel zeigt, wie das Netzwerk aus Master- und Daemonsystemen aufgebaut wird. Dieser Aufbau erfolgt im Vorfeld, also bevor der eigentliche Angriff auf das Opfer erfolgt. Folglich ist es möglich, daß auf vielen Systemen solche Master oder Daemons schlummern und erst nach Wochen oder Jahren aktiviert werden und einen Angriff durchführen. Schritt 1: Zu Beginn verschafft sich der Angreifer einen gestohlenen Account auf einem Rechnersystem. Meist handelt es sich dabei um ein System mit vielen Usern und hoher Bandbreite, um seine Anwesenheit zu verdecken. Dieser Account dient als Speicher für scanning tools, attack tools, sniffers und die Master- und Daemonprogramme. Abbildung 1-2: gestohlener Account Natürlich kann der Angreifer auch mehrere solcher Speicher besitzen, so daß bei Entdecken eines Speichers auf einen anderen Speicher zurückgegriffen werden kann. Ein solcher Speicher ist in Abbildung 1-2 blau dargestellt. Schritt 2: Im zweiten Schritt erfolgt ein Scan großer Netzteile zur Identifizierung potentieller Ziele (vgl. Abbildung 1-3). Dazu wird eines der scanning tools aus dem Speicher benutzt (vgl. Schritt 1). 4
Abbildung 1-3: Scanning Gesucht werden Systeme, die Dienste anbieten über die der Angreifer durch z.b. Ausnutzung von Implementierungs-fehlern an root-rechte auf den Systemen gelangt. Dies können z.b. buffer over- flow bugs sein. Dienste, die solche Fehler enthalten, sind beispielsweise wu-ftp oder Remote-Procedure-Call-Dienste (RPC-Dienste) wie cmsd 1, statd 2 oder amd 3. Die oben genannten Beispiele sind auch nicht zwingend auf einem System vorhanden, sondern der Angreifer prüft, welche Dienste aktiv sind und richtet danach seinen Angriff auf das System aus. Meistens handelt es sich dabei um Sun Solaris 2.x- oder Linux-Systeme. Schritt 3: Abbildung 1-4: Rechner angreifen Nachdem bekannt ist, auf welchen Systemen welche Sicherheitslücken vorliegen, generiert der Angreifer ein Script, welches diese Sicherheitslücken angreift (vgl. 1 cmsd - Programm zum Management einer Datenbank zur Terminplanung 2 statd - NFS file locking status monitor 3 amd - berkley automounter daemon 5
Abbildung 1-4). Dabei werden attack tools genutzt, die diese Sicherheitslücken automatisch ausnutzen bereits im Vorfeld auf dem Speicher abgelegt wurden. Auf diese Art und Weise kann sehr schnell und effektiv eine Vielzahl von Rechnersystemen in Besitz genommen werden, d.h. der Angreifer besitzt root-rechte auf dem System. Schritt 4: Im vierten Schritt legt der Angreifer seine späteren Daemon- und Mastersysteme fest. Speicher Abbildung 1-5: Netzwerkfestlegung In Abbildung 1-5 wird durch rot ein Daemonsysteme und durch gelb ein Mastersystem angedeutet. Weiterhin wird ein System oder auch mehrere Systeme als weiterer Speicher genutzt (blau), um dort die pre-compiled binaries der Daemons zu lagern. Schritt 5: Daemon Daemon Speicher Abbildung 1-6: Automatische Installation 6
Im fünften Schritt erzeugt der Angreifer ein Script, welches die Liste der in Besitz genommenen Rechner benutzt und ein weiteres Script erzeugt, das den Installationsprozeß automatisiert als Hintergrundprozeß durchführt. Diese Automatisierung erlaubt den Aufbau eines weit verbreiteten Denail-of-Service-Netzes ohne Wissen der eigentlichen Besitzer der Systeme (vgl. Abbildung 1-6). Auch für diese Installation existieren Tools, die der Angreifer nutzen kann. Schritt 6: Als letztes erfolgt die Installation der Masterprogramme (vgl. Abbildung 1-7). Dies wird meist von Hand und mit besonderer Sorgfalt durchgeführt, da die Mastersysteme eine Schlüsselrolle im Netzwerk des Angreifers besitzen. Optional wird ein root kit installiert, welches zur Verdeckung der Anwesenheit der Programme, Dateien und Netzwerkverbindungen dient. Die Masterprogramme werden bevorzugt auf Primary-Name-Server-Hosts installiert. Auf solchen Systemen ist meist eine große Anzahl an Netzwerkverbindungen zu finden. Weiterhin findet von bzw. zu solchen Systemen meist ein extrem großer Netzwerkverkehr statt. Dies verdeckt die Aktivitäten bzw. den Netzwerkverkehr der Master sehr gut. Weiterhin werden solche Systeme selbst bei dem Verdacht auf Denial-of-Service-Aktivitäten nicht so schnell aus dem Netz genommen, da ihre Bedeutung für das eigene Netz zu groß ist. Master Daemon Daemon Speicher Abbildung 1-7: Masterinstallation Die Vorbereitungen für einen Angriff sind an dieser Stelle abgeschlossen. Das Angriffsnetzwerk ist aufgebaut und der eigentliche Angriff kann durchgeführt werden. Ist bei der Beschreibung des Aufbaus des Netzwerkes der Begriff Angriff benutzt worden, war nicht der eigentliche Angriff auf das ddos-opfer gemeint, sondern vorbereitende Angriffe auf andere Systeme zum Aufbau des Netzwerkes. 7
Die Abbildung 1-8 zeigt nun den Zusammenhang zwischen den Systemen, die in dem Angriffsszenario aufgebaut worden sind und dem Angriffsnetzwerk aus Abbildung 1-1. Angreifer Telnetverbindung Master Master Master Steuerungsnetzverkehr Daemon Daemon Daemon Daemon Daemon Daemon Daemon Opfer Angriffsnetzverkehr z.b. SYN-Flood-Angriff Abbildung 1-8: Aufgebautes Angriffsnetzwerk Die Rechnersysteme, die als Speicher gebraucht werden, sind hier nicht zu finden, da sie bei dem eigentlichen Angriff nicht benutzt werden. Die folgenden beiden Beispiele zeigen die Größenordnung solcher Angriffe: Am 17. August 1999 erfolgte ein Angriff auf ein System der Universität von Minnesota. Beteiligt waren über 220 Daemons von denen über 110 aus dem Bereich des Internet-2 kamen wodurch das Zielnetzwerk für über zwei Tage nicht erreichbar war. Im Februar 2000 erfolgten Angriffe auf einige Firmen aus dem ecommerce- Umfeld. U.a. war die Firma Yahoo das Opfer dieser ddos-angriffe. Im Falle von Yahoo wurden Datenraten von ca. 1 Gbit/s erreicht. 1.3 Tools Es existieren mittlerweile sieben Hauptbasen für Tools, die als Master- und Daemonsysteme fungieren. Sie unterscheiden sich durch größere Änderungen in ihren Angriffsarten, ihrer Kommunikation oder anderen zusätzlichen Funktionen. Darüber hinaus existieren eine Vielzahl weiterer Tools, die nur einige kleinere Änderungen erhalten haben und im wesentlichen einem dieser Basistools entsprechen. Diese 8
Einteilung, ob es sich um ein Basistool oder eine Variante eines Basistools handelt, ist dabei nicht als fest definierte Regelung zu sehen. Es besteht zudem die Möglichkeit, daß ein weiteres neuartiges Tool existiert, aber bisher nur noch nicht gefunden worden ist. So gibt es nur Vermutungen auf wie vielen Systeme weltweit im Moment Master beziehungsweise Daemons installiert sind. Es ist folglich wahrscheinlich, daß einige Angriffsnetzwerke bestehen, aber nicht für Angriffe genutzt werden. Folgende Basistools existieren im Moment: Trinoo Tribe Flood Network Tribe Flood Network 2000 Stacheldraht v2.666 Stacheldraht v4 shaft mstream Trinoo wird im Allgemeinen als das erste gefundene Tool für ddos-angriffe bezeichnet. Seine Analyse ist am 21. Oktober 1999 von David Dittrich veröffentlicht worden. Auf Trinoo wird in Kapitel 1.3.1 genauer eingegangen. Neuere Variante sind Tribe Flood Network (TFN) und Tribe Flood Network 2000 (TFN2K). Sie unterscheiden sich z.b. durch die Hinzunahme weiterer Angriffstechniken. Weitere Unterschiede werden in Kapitel 1.3.2 genannt. Auch Stacheldraht v4 und Stacheldraht v2.666 werden als eigene Tools angesehen. Sie besitzen als neue Funktion die Möglichkeit der verschlüsselten Kommunikation. Auf Stacheldraht wird in Kapitel 1.3.3 genauer eingegangen. Auf die beiden letztgenannten Tools, shaft und mstream wird nicht genauer eingegangen. 1.3.1 Trinoo Nach der Installation erfolgt bei Trinoo, wie bei den anderen Tools auch, die Kontaktaufnahme zwischen Master und Daemon. Der Daemon besitzt eine Liste mehrerer IP-Adressen von Systemen auf denen Master installiert sind. Diese Liste enthält die IP-Adresse von mindestens einem Master. Es können aber auch mehrere Master enthalten sein. Beim Hochfahren sendet der Daemon ein spezielles UDP-Paket an den oder die Master und meldet sich damit aktiv. Dieses Paket enthält im Datenteil einen festgelegten String. Im Falle des oben erwähnten analysierten Tools ist der String HELLO benutzt worden. Natürlich kann dieser String beliebig geändert werden. Der Master weiß folglich auf welchem System ein aktiver Daemon installiert ist. Jeder Master besitzt eine verschlüsselte Liste aller ihm bekannten Daemons und kann mit Hilfe dieser Liste die Angriffe einleiten, aber auch die Daemons administrieren. 9
Die Kommunikation zwischen den einzelnen Teilnehmern des Angriffsnetzwerkes findet über verschiedene Protokolle statt. Die Kommunikation zwischen Angreifer und Master geschieht über eine TCP-Verbindung mit hoher Portnummer. Im Beispieltool war dies die Portnummer 27665, aber auch dieser Wert kann relativ leicht geändert werden und darf deshalb nicht als feststehend für jedes Tool betrachtet werden. Die Kommunikation zwischen dem Master und seinen Daemons geschieht über UDP- Ports (Master Daemon: Portnummer 27444). Die umgekehrte Kommunikation, also zwischen Daemon und Master erfolgt ebenfalls über eine UDP-Verbindung (Daemon Master: Portnummer 31335. Ein Erkennungszeichen von Trinoo besteht darin, daß beide Kommunikationswege das gleiche Protokoll benutzen. Dies ist nicht zwingend notwendig (vgl. Kapitel 1.3.3) Der Angriff erfolgt mittels einer UDP-Flood-Attacke. Der genaue Mechanismus wird bei Vorstellung der Befehle genauer erläutert. Weiterhin sind Master und Daemon über ein Paßwort geschützt. Das jeweilige Paßwort wird im Klartext übertragen, vom Daemon oder Master verschlüsselt und mit dem beim Kompilieren verschlüsselten Paßwort verglichen. Dies schützt die Master und Daemons vor der Übernahme durch fremde Angreifer. Es besteht jedoch noch die Möglichkeit, ein Paket mit dem korrekten Paßwort abzuhören und anschließend den Master oder die Daemons zu kontrollieren. Dies ist eine Schwäche, die in anderen Tools abgestellt worden ist (vgl. Kapitel 1.3.3). Die wichtigsten Befehle des Trinoo-Master-Befehlssatzes lauten: dos ip mdos <ip1:ip2:ip3> msize s ntimer n mdie passphrase Alle Befehlsbezeichnungen sind der Analyse des Tools entnommen und können auch leicht verändert werden. Der dos-befehl greift die angegebene IP-Adresse an, bzw. der Befehl aaa passphrase ip wird an die Daemons geschickt. Die Auswirkungen dieses Befehls werden beim Trinoo-Daemon-Befehlssatz genauer erläutert. Mit Hilfe des mdos-befehles können mehrere Ziele gleichzeitig angegriffen werden. Der Befehl xyz passphrase 123:ip1:ip2:ip3 wird in diesem Falle an die Daemons weitergeschickt. Die Größe der während der Attacke verschickten Pakete wird mit dem msize-befehl gesetzt.. Hierbei wird der Befehl rsz s an die Daemons geschickt. Andernfalls beträgt die Paketgröße standardmäßig 1000 Bytes. Der ntimer-befehl setzt die Zeitdauer eines Angriffs. Der Wert, der mit Hilfe des bbb -Befehles an die Daemons übergeben wird, kann zwischen einer Sekunde und 1999 Sekunden liegen. Diese fünf sind alle Befehle, die Trinoo für einen Angriff zur Verfügung stellt, weitere 10
Befehle sind Administrationsbefehle. Ein Beispiel ist der Befehl mdie, der den Befehl d1e passphrase an die Daemons verschickt und so für ein Herunterfahren der Daemons sorgt. Analog zu den Trinoo-Master-Befehlssätzen existieren die Trinoo-Daemon-Befehlssätze: aaa passphrase ip bbb passphrase n rsz s xyz passphrase 123:ip1:ip2:ip3 d1e passphrase Erhält der Daemon den aaa-befehl vom Master zugesandt, so führt er automatisch eine UDP-Flood-Attacke auf die IP-Adresse aus, die mit dem Befehl als Parameter übergeben worden ist. Der Daemon sendet zu zufälligen UDP-Ports zwischen 0 und 65534 für eine bestimmte Zeit Pakete bestimmter Größe. Diese Größe bzw. die Zeitdauer nimmt die oben genannten Werte an. Mit Hilfe des bbb-befehls wird die Zeitdauer für den Angriff in Sekunden gesetzt. Die Größe der verschickten Pakete wird mit Hilfe des rsz-befehles gesetzt.. Als Paketinhalt wird der uninitialisierte Inhalt eines generierten Speicherbereiches der gewünschten Größe genommen. Der xyz- Befehl hat die gleiche Wirkung wie der aaa-befehl, lediglich werden mehrere als Parameter übergebene IP-Adressen gleichzeitig attackiert. Erhält der Daemon vom Master den d1e-befehl,so fährt er herunter. 1.3.2 Tribe Flood Network Dieses Kapitel beschreibt die Neuerungen, die in Tribe Flood Network (TFN) implementiert worden sind bzw. die Änderungen, die das Tool im Vergleich zu Trinoo besitzt. An der wesentlichen Struktur, also dem Aufbau mit Master und Daemons und der Kontrollstruktur, hat sich nichts geändert. Tribe Flood Network besitzt die Möglichkeit verschiedene Angriffe auf ein System zu fahren. So sind folgende Angriffe mittels Tribe Flood Network möglich: UDP-Flood-Attacken TCP-SYN-Flood-Attacken ICMP-Echo-Request-Attacken ICMP-directed-broadcast-Attacken (z.b. smurf) Das genaue dieser verschiedenen Angriffe wird hier nicht erläutert, sondern kann z.b. im Internet nachgelesen werden. Weiterhin kann Tribe Flood Network die IP-Adresse des Absenders fälschen (IP- Spoofing). Dies bedeutet, daß als Absendeadresse der Pakete nicht die tatsächliche IP- 11
Adresse des Systems auf dem der Daemon installiert ist eingetragen wird, sondern eine zufällig generierte. Dies erschwert das Zurückverfolgen der Herkunft der Pakete. Eine Änderung ist an der Kommunikation der einzelnen Teilnehmer des Angriffsnetzes vorgenommen worden. Die Kommunikation zwischen Angreifer und Master kann über verschiedene Remote-Shells erfolgen (TCP-, UDP- oder ICMP-basierte Client/Server Shells). Eine Verbindung über eine normale Telnet-Sitzung ist ebenfalls möglich. Die Kommunikation zwischen Master und Daemons erfolgt nicht über UDP-Pakete, wie bei Trinoo, sondern über ICMP Echo_Reply-Pakete. In Abbildung 1-9 ist ein ICMP-Paket abgebildet: Version Hder Length Type of Service Total Length Header ID Flags Fragment Offset Time-to-Live Protocol = 1 (ICMP) Header Checksum Source Address Destination Address Type = Echo Request Code Checksum Options Data Abbildung 1-9: TFN Kommandos über ICMP-Paket Der eigentliche Befehl wird mittels des Header-ID-Feldes übertragen und wird als 16- bit-wert eingetragen. Parameter, die ggf. mit übertragen werden müssen, werden als Klartext ins Datenfeld eingetragen. So verhindert der Angreifer ein mögliches Abblocken seiner Kontrollpakete, da es fast unmöglich ist, den Datenverkehr von ICMP-Paketen zu unterbinden, ohne Programme zu stören deren Kommunikation ebenfalls auf ICMP-Paketen basiert. 1.3.3 Stacheldraht Stacheldraht ist ein weiteres Tool zur Durchführung von ddos-attacken. Es besitzt die gleichen Angriffsmöglichkeiten wie Tribe Flood Network. Eine Neuerung, die in Stacheldraht enthalten ist, besteht in einer verschlüsselten Kommunikationsverbindung. Die Kommunikation unter Trinoo oder Tribe Flood Network besteht aus einer Klartextverbindung und somit ist Session hijacking, also die Übernahme einer Verbindung, möglich. Diese Schwachstelle ist bei Stacheldraht abgestellt worden. Die Verbindung zwischen Angreifer und Master erfolgt über eine Telnet-ähnliche Verbindung. Diese ist durch einen Paßwortsatz gesichert und verschlüsselt. Auch die 12
Kommunikation zwischen Master und Daemons ist mittels Blowfish 4 -verschlüsselt. Der Master kommuniziert mit den Daemons über eine TCP-Verbindung, wohingegen die Nachrichten der Daemons zu den Mastern als ICMP Echo_Reply-Pakete verschickt werden. Eine weitere Neuerung, die Stacheldraht besitzt, ist die automatisierte Updatemöglichkeit der Daemons. Diese Neuerungen zeigen, daß die Tools immer ausgereifter werden und neben neuen Angriffstechniken auch Sicherheitsmechanismen enthalten, die das Aufspüren der Programme oder der Kommunikation erschwert. 4 Blowfish - symmetrischer Verschlüsselungsalgorithmus 13
Kapitel 2 Gegenmaßnahmen 2 Gegenmaßnahmen 2.1 Problematik Wirksame Maßnahmen gegen verteilte Denial-of Service-Angriffe müssen in einer konzertierten Aktion an vielen Stellen in der vorhandenen komplexen Internetstruktur getroffen werden. [Zitat: Bundesamt für Sicherheit in der Informationstechnik (BSI)] Dieser Satz des BSI beschreibt die Problematik, daß es nicht eine einfache Maßnahme gibt oder sogar ein Tool existiert mit dem distributed-denial-of-service-angriffe verhindert werden könnten. Ein Merkmal von Denail-of-Service-Angriffen ist die Nutzung zur Verfügung stehender Dienste. Jedoch bewirken solche Angriffe durch ihre große Paketflut eine Überlastung der Dienste oder sogar eine Auslastung der Leitungskapazität. Durch verschiedene Maßnahmen gerade im Vorfeld eines Angriffes können solche Angriffe erschwert werden. Insbesondere der Aufbau eines Angriffsnetzes kann durch gezielte Maßnahmen erschwert werden. Jedoch ist hierfür jeder Administrator, der einen Rechner im Internet betreut, verantwortlich. Die Problematik ist folgende: Jeder Administrator muß die Rechner, für die er verantwortlich ist, sicher konfigurieren, um Angriffe auf andere Rechner zu verhindern. Die Abbildung 2-1 enthält die Gruppen, die als Teilnehmer im Internet partizipieren und zur Sicherheit beitragen können. Abbildung 2-1: Teilnehmer im Internet und ihre Maßnahmen Sie gibt eine Übersicht, welche Maßnahmen durch welche Gruppe realisiert werden können, wobei die Inhalteanbieter nicht aufgeführt sind, sondern mit den Serverbe- 14
Kapitel 2 Gegenmaßnahmen treibern in der Abbildung zusammengefaßt worden sind. Die Maßnahmen 4 und 13 bis 15 können durch alle Teilnehmer durchgeführt werden. Folgende Zielgruppen für Maßnahmen gegen distributed-denail-of-service-angriffe lassen sich finden: Netzvermittler Serverbetreiber Inhalteanbieter Endanwender Die Netzvermittler sind die Betreiber der Netzinfrastruktur, also z.b. der Netzknotenrechner oder Router. Mit der Administration und Konfiguration von Servern betraute Firmen werden als Serverbetreiber bezeichnet. Diese Server bieten Dienste und Informationen im Internet an. Es handelt sich z.b. um WWW-Server, FTP- oder DNS- Server. Die Inhalteanbieter sind Produzenten von redaktionellen Inhalten, die z.b. von Serverbetreibern auf WWW-Servern zur Verfügung gestellt werden. Endanwender sind die Betreiber privater oder dienstlicher Rechner, die dazu dienen, Informationen im Internet abzurufen, zu verarbeiten und wieder ins Netz einzubringen. Die folgenden Unterkapitel beschreiben die Maßnahmen für die verschiedenen Zielgruppen. 2.2 Maßnahmen 2.2.1 Netzvermittler Maßnahme 1: Verhinderung von IP-Spoofing Wie bereits in Kapitel 1 beschrieben worden ist, nutzen ddos-tools die Möglichkeit des IP-Spoofing, also des Fälschens der Absenderadresse. Jede Organisation, die an einen Netzvermittler angeschlossen ist, erhält jedoch einen bestimmten IP-Adreßbereich. Erhält der Netzvermittler nun ein Paket zur Weiterleitung von dieser Organisation, welches keine IP-Adresse aus dem Adreßbereich besitzt, so kann es sich nur um ein gefälschtes Paket handeln und der Netzbetreiber sollte es folglich nicht weiterleiten. So verringert sich die Möglichkeit des IP- Spoofing auf den zugewiesenen Adreßbereich. Wählt sich der Angreifer z.b. über eine ISDN-Verbindung in Internet ein, so erhält er dynamisch eine für diese Sitzung feste IP-Adresse zugewiesen. Nimmt der Serverbetreiber nur Pakete mit der richtigen IP-Adresse an, wird für diese Möglichkeit des Internetzuganges IP- Spoofing komplett unterbunden. Maßnahme 2: Einsatz von Paketfiltern Häufig sind Serverbetreiber nur über eine einzelne Netzverbindung an den Netzvermittler angebunden. Selbst wenn die Server widerstandsfähig gegen DoS- 15
Kapitel 2 Gegenmaßnahmen Angriffe sind, so ist doch diese Netzverbindung in ihrer Kapazität beschränkt und kann von einem Angreifer vollständig ausgelastet werden, so daß die Server aus dem Internet nicht mehr erreichbar sind. Ein Netzvermittler kann die Netzanbindung der Serverbetreiber durch den Einsatz von Paketfiltern gegen DoS- Angriffe abschirmen, d.h. es findet eine Paketfilterung auf Ports beim Verlassen der Pakete aus dem Internet statt. Dies ist insbesondere dann sehr effektiv, wenn in Zusammenarbeit mit einem Angriffserkennungssystem (vgl. Maßnahme 4) beim Serverbetreiber der Paketfilter dynamisch an den jeweils laufenden Angriff angepaßt werden kann. 2.2.2 Serverbetreiber Die Rechner der Serverbetreiber kommen nicht nur als Opfer der DoS-Angriffe in Betracht. Wegen ihrer leistungsfähigen Anbindung an das Internet sind sie auch beliebte potentielle Ausgangsplattformen, also Rechner auf denen Master- oder Daemonprogramme installiert werden. Es besteht die Möglichkeit, daß diese Rechner als Ausgangspunkt für Angriffe auf weitere Rechner mißbraucht werden. Maßnahme 3: Einsatz von Paketfiltern Server bieten im Idealfall nur wenige Dienste an und sind entsprechend konfiguriert worden. Auf dem vorgeschalteten Router sind Paketfilterregeln implementiert worden, die nur die zugehörigen Protokolle passieren lassen und beispielsweise sicherheitskritische Dienste oder gerichtete Broadcasts abblocken. Im Falle eines Angriffs können diese Router so umkonfiguriert werden, daß die Anfragen von verdächtigen einzelnen IP-Adressen oder -Adressbereichen abgewiesen werden. Darüber hinaus kann der Serverbetreiber den Paketfilter zusätzlich so konfigurieren, daß aus seinem Netz heraus IP-Spoofing nicht möglich ist und so die Maßnahme 1 unterstützt wird. Maßnahme 4: Automatische Angriffserkennung Ein DoS-Angriffe zeichnet sich normalerweise dadurch aus, daß ein Server anomal ausgelastet wird. Die ständige Überwachung typischer Kennwerte (Speicherauslastung, Stacks, Netzauslastung,...) ermöglicht eine automatische Alarmierung und das zeitnahe Einleiten von Reaktionen (Intrusion Detection Systeme). Maßnahme 5: Etablierung eines Notfallplanes Im Falle eines Angriffs ist es von zentraler Bedeutung, schnell reagieren zu können. Nur so ist es möglich wirksame Gegenmaßnahmen einzuleiten, eventuell den Angreifer zu identifizieren und den Normalbetrieb innerhalb kurzer Zeit wieder herzustellen. In einem Notfallplan ist daher eine geeignete Eskalationsprozedur festzuschreiben. Notwendige Angaben sind dabei u.a. Ansprechpartner, Verantwortliche, alternative Kommunikationswege, Handlungs- 16
Kapitel 2 Gegenmaßnahmen anweisungen und Lagerort möglicherweise benötigter Ressourcen (z. B. Magnetbänder). Maßnahme 6: Sichere Konfiguration der Server Die Server der Serverbetreiber können als Agenten eines DoS-Angriffs mißbraucht werden. Der Angreifer installiert dazu unter Ausnutzung bekannter Schwachstellen Schadsoftware. Daher konfigurieren die Betreiber die Server sorgfältig und sicher. Nicht benötigte Netzdienste sind zu deaktivieren und die benötigten abzusichern, ein hinreichender Paßwort- und Zugriffsschutz sowie rechtzeitiges Ändern insbesondere voreingestellter Paßwörter wird sichergestellt. Maßnahme 7: Restriktive Rechtevergabe und Protokollierung Durch Manipulationen an Servern kann ein Angreifer diese als Master oder Daemon mißbrauchen oder ihre Leistungsfähigkeit einschränken. Deshalb erfolgt eine Protokollierung aller Änderungen und aller Zugriffe auf den Server. Es ist auf eine restriktive Vergabe von Zugriffsrechten der Nutzer, auf die zur Verfügung gestellten Systemressourcen und auf eine erhöhte Sorgfalt bei Konfigurationsänderungen zu achten. Maßnahme 8: Einsatz von Open Source Produkten Für den Fall, daß Schwachstellen neu entdeckt werden, die einen DoS-Angriff ermöglichen oder erleichtern, ist es wichtig, daß diese schnell behoben werden können. Meist werden derartige Schwachstellen in Open-Source-Software wesentlich schneller behoben als in Produkten, deren Quellcode nicht veröffentlicht ist. Häufig können die Veränderungen im Quellcode sogar selbst durchgeführt werden. 2.2.3 Inhalteanbieter Maßnahme 9: Auswahl geeigneter und IT-sicherheitsbewußter Serverbetreiber Die Inhalteanbieter wirken durch die Wahl ihres Serverbetreibers darauf hin, daß dieser Sicherheit und Verfügbarkeit als zentrale Leistungsmerkmale ansieht. Der Nachweis kann durch entsprechende Erfahrungen mit den benötigten Internet- Plattformen und durch Bemühungen im Bereich IT-Sicherheit, z. B. durch ein IT- Sicherheitskonzept, erbracht werden. Maßnahme 10: Vermeidung aktiver Inhalte Viele WWW-Seiten im Internet sind derzeit nur nutzbar, wenn in den Browsern aus Sicherheitssicht bedenkliche Einstellungen vorgenommen werden, die von einem Angreifer mißbraucht werden können. Durch bewußte Vermeidung sicherheitskritischer Techniken (z. B. JavaScript, Jaca, ActiveX) können Inhalteanbieter dazu beitragen, daß auf den Clients keine unsicheren Einstellungen vorhanden sein müssen. 17
Kapitel 2 Gegenmaßnahmen Maßnahme 11: Tägliche Überprüfung von Dateien auf Viren und Angriffsprogramme Viele Inhalteanbieter stellen auf ihren WWW-Seiten Programme und Dokumente zum Download bereit. Gelingt es einem Angreifer, dort ein trojanisches Pferd einzubringen, so kann in kurzer Zeit eine große Verbreitung eintreffen. Überprüft der Inhalteanbieter täglich mit speziellen Suchprogrammen, ob auf seinen Seiten Programme mit Schadenfunktionen (Viren, Trojanische Pferde, ddos-programme, etc.) verfügbar sind, kann eine solche Verbreitung unterbunden werden. 2.2.4 Endanwender Maßnahme 12: Schutz vor Schadprogrammen Auch Rechner von Endanwendern können als Daemons für Angriffe mißbraucht werden. Am leichtesten lassen sich solche Daemons über Viren, trojanische Pferde oder durch aktive Inhalte (insbesondere JavaScript, Java, ActiveX) auf die einzelnen Rechner installieren. Ein zuverlässiger und aktueller Virenschutz und das Abschalten aktiver Inhalte im Browser kann dies unterbinden. Ggf. kann auch der Einsatz von Hilfsprogrammen zum Online-Schutz des Rechners (beispielsweise PC-Firewalls) erwogen werden. 2.2.5 allgemeine Maßnahmen Die folgenden Maßnahmen sind grundlegende Maßnahmen, die jedoch in der Praxis aus den unterschiedlichsten Gründen häufig nicht umgesetzt werden. Maßnahme 13: IT-Grundschutz für Rechner mit Internet-Anschluß Ein angemessenes Sicherheitsniveau kann für einen Rechner mit Internetanschluß durch konsequente Umsetzung der IT-Grundschutzmaßnahmen aus den Kapiteln 6.1, 6.2 und 6.4 des IT-Grundschutzhandbuches erreicht werden. Damit ist gewährleistet, daß typischen Gefährdungen entgegengewirkt wird. Maßnahme 14: Zeitnahes Einspielen von Sicherheits-Updates Immer wieder werden neue sicherheitsrelevante Schwachstellen in den Betriebssystemen und der Serversoftware entdeckt, die wenig später durch Updates (Patches) der Hersteller behoben werden. Um möglichst zeitnah reagieren zu können, ist es notwendig, die Mailinglisten des Computer Emergency Response Teams (CERT) und der Hersteller zu abonnieren und auszuwerten. Die relevanten Updates sind schnellst möglich einzuspielen, um die bekannt gewordenen Schwachstellen zu beheben. Maßnahme 15: Tool-Einsatz und Schulung der Mitarbeiter 18
Kapitel 2 Gegenmaßnahmen Um einen Rechner vor Risiken und Gefahren zu schützen, ist z. T. erhebliches Know-How zur Erarbeitung einer effektiven IT-Sicherheitskonfiguration notwendig. Administratoren müssen daher ausreichend aus- und weitergebildet werden. Eine Unterstützung der Administrationsaufgaben kann durch Sicherheitstools erfolgen 19