Netzwerksicherheit
DDoS im Rechenzentrum
Fortsetzung des Artikels von Teil 1
Fehlender Basisschutz ist fahrlässig
Um sich gegen DDoS-Attacken zu schützen, gehören Infrastruktur-basierte Einrichtungen zu den grundlegenden Schutzmaßnahmen. Dazu gehören mehrstufige Firewalls, die unerlaubte Zugriffe von außen oder nicht autorisierten Netzwerkzonen abblockt. Nachgelagert bilden Intrusion-Prevention-Systeme (IPS), die basierend auf Mustern im Netzwerkverkehr Angriffe identifizieren, den nächsten Sicherheitsbaustein. Loadbalancer sind eine wichtige Vorkehrung, um die Traffic-Last zu verteilen – das gilt insbesondere für Web-shop-Betreiber. Da jedoch immer mehr Angriffe auf die Applikationsebene abzielen, sollten Web Application Firewalls mit zum Grundschutz gegen DDoS gehören. Sie wehren Traffic-Anomalien ab und bis zu einem gewissen Rahmen auch volumenbasierte Angriffe. Internetkriminelle nutzen DDoS-Attacken zudem verstärkt, um andere Angriffe, etwa zum Datendiebstahl, zu verschleiern. Verräterische Log-Daten, die bei normalem Traffic auffällig wären, gehen in der Masse der Log-Meldungen während eines DDoS schnell unter. Daher empfiehlt sich zusätzlich ein SIEM-System (Security Information and Event Management), das anormale Log-Daten und Events im Netzwerk korreliert, erkennt und einen Alarm auslöst. Insgesamt kommt es beim Schutz vor DDoS-Angriffen also verstärkt auf eine Kombination der verschiedenen Maßnahmen an, um sich zuverlässig abzusichern. Dazu gehört in einem letzten Schritt der Rückgriff auf ein Scrubbing Center, um auch großvolumige Angriffe abzufangen. Diese sind in der Lage,
Attacken im Gigabit-Bereich aufzufangen. Steht ein Unternehmen unter Beschuss, leitet es den Traffic auf das Scrubbing Center um, das den gesamten eingehenden Datenverkehr aus dem Internet filtert, das Volumen abmildert und nur die zulässigen Daten wieder zurück in die Systeme des Unternehmens leitet.
Die wachsende Komplexität und höhere Dynamik von DDoS-Attacken erfordert nicht nur technologische Schutzvorkehrungen, sondern auch auf Prozess- und Personalebene angepasste Maßnahmen. Dazu gehört mindestens ein kontinuierliches Monitoring der Systeme und ein Security-Team im 24/7-Betrieb. Sensoren, die Anhand von Schwell- und Grenzwerten den Traffic im Netzwerk beobachten, lösen im Ernstfall direkt einen Alarm aus. Das Security-Team sollte dann fähig sein, anhand des vorliegenden Lagebilds adäquat auf die verschiedenen Angriffsarten und -vektoren zu reagieren. Die richtigen Entscheidungen für Gegenmaßnahmen zu treffen, erfordert einiges an Know-how und Erfahrung mit DDoS sowie eine kontinuierliche Weiterbildung der Experten. Internetkriminelle schlafen nicht und suchen nach immer neuen Wegen, ihre Attacken zum Erfolg zu führen.
Keine Entspannung in Sicht
Auch auf lange Sicht wird es bei DDoS-Angriffen keine Entspannung geben – im Gegenteil. Mit dem Internet of Things steigt die Gefährdungslage nochmals an und erreichte 2016 ein neues Niveau. Cyberkriminelle nutzten vernetzte IoT-Geräte als Botnetz für ihre Vorhaben. Ende 2016 gab das nach der Schadsoftware Mirai benannte Botnetz einen ersten Vorgeschmack auf das DDoS-Risiko im Internet of Things: Stundenlang fielen rund um den Globus Webseiten aus. Und Mirai ist noch immer aktiv und entwickelt sich weiter. Hatten es die Angriffe über Mirai vor allem auf die Infrastrukturebene abgesehen, erfolgten im März 2017 erstmals Cyber-Attacken auf Webanwendungen. Wenige Monate später, Anfang Mai, entdeckten Experten ein weiteres aktives Netzwerk namens Persirai. Es besteht aus IP-Kameras mit über 1.000 verschiedenen Kameramodellen. Die Angreifer hatten sich über den TCP-Port 81 sowie eine Zero-Day-Lücke Zugriff auf die Geräte verschafft, um sie für ihre Zwecke zu manipulieren.
Das Internet of Things steckt in vielerlei Hinsicht noch in den Startlöchern. Solange es keine verbindlichen Sicherheitsstandards für internetfähige Geräte, entsprechende Schutzeinrichtungen der Hersteller gibt sowie ein sicherheitsbewusster Umgang seitens der Nutzer erfolgt, werden immer wieder neue IoT-Botnetze auftauchen. Deshalb sprechen Experten auch bereits vom DDos of Things.
Security gegebenenfalls an extern abgeben
Effektive Schutzmaßnahmen gegen DDoS-Angriffe zählen heute zu den dringendsten Sicherheitsherausforderungen von IT-Abteilungen. Als Ziel kommt dabei jedes mit dem Internet verbundene Unternehmen in Frage – gänzlich unabhängig von Größe und Branche. Das strategische und professionelle Vorgehen der Hintermänner machen DDoS zusätzlich gefährlicher. Die bereits angespannte Gefährdungslage erhält zusätzlichen Schub durch Botnetze, die aus Geräten für das Internet of Things bestehen. Nicht nur Rechenzentrumsbetreiber müssen mit mehr und komplexeren Angriffen rechnen. Nur mit entsprechenden Schutzeinrichtungen auf Infrastruktur- und Anwendungsebene sowie der kompetenten Manpower im Hintergrund, sind größere Schäden durch DDoS vermeidbar. Wer das nicht in Eigenregie leisten kann, muss sich Gedanken um passende Sourcing-Modelle für seine Security machen. Denkbar sind hier Managed Services, die DDoS Protection Services für aktuelle Angriffsmuster und -szenarien umfassen.
Torsten Jensen ist Security Consultant bei Nexinto
- DDoS im Rechenzentrum
- Fehlender Basisschutz ist fahrlässig
Lesen Sie mehr zum Thema
