DDoS-Angriffe
Mobilmachung der Netz-Mafia
Fortsetzung des Artikels von Teil 1
Attacken auf Bestellung
Dass es sich bei den Angriffen auf Unternehmensnetzwerke längst nicht mehr um ein Kavaliersdelikt gelangweilter Netzwerk-Gurus handelt, zeigt die Kommerzialisierung von Dienstleistern mit unterschiedlichstem Hacking-Repertoire. So hat sich in den letzten Jahren ein regelrechtes Geschäftsmodell entwickelt, mit dem Attacken zunehmend auf Bestellung erfolgen. Die meisten Überfälle mit der größten Bandbreite, der höchs-ten Geschwindigkeit und längsten Dauer stammen denn auch von solchen spezialisierten „DDoS-as-a-Service-Betreibern“. Dazu gehört etwa das Cloud-Angebot von Lizard Squad. Der Service erlangte unrühmliche Bekanntheit mit Angriffen auf das Playstation Network von Sony beziehungsweise Xbox Live von Microsoft und wirbt mit unterschiedlichen „Stresstest-Paketen“ – und das zu recht attraktiven Preisen: Die Angebote für einen solchen Dienst reichen von umgerechnet knapp drei US-Dollar für bis zu 100 Sekunden bis hin zu 130 US-Dollar für bis zu acht Stunden Dauerfeuer, bezahlbar in Bitcoins, völlig anonym.
Aber auch für Werkzeuge und Handy-Apps – inklusive ausführlichen Tutorials auf gängigen Video-Plattformen – für den Do-it-yourself-Gebrauch herrscht in den Tiefen des Internet offensichtlich rege Nachfrage. Solche Tools können über einschlägige Hacker-Foren besorgt, häufig über eine einfache Web-Oberfläche gesteuert werden und erlauben es sogar, Angriffe individuell per Menü nach dem Baukastenprinzip auszuwählen.
Gängige Abwehrmechanismen greifen nicht
Eine digitale Kriegsführung, auf die existierende Sicherheitssysteme in Unternehmen nur selten vorbereitet worden sind: Bestehende Firewalls und Intrusion Prevention-Systeme (IPS) überprüfen in der Regel nur, ob Anfragen aus dem Internet korrekt sind und ob eine Berechtigung vorliegt. Mit DDoS aber kommen in kürzester Zeit tausende, zehntausende oder gar millionenfache Anfragen auf eine Firewall zu. Multi Vector-Angriffe zwingen eine Firewall dazu, Anfragen gleichzeitig sowohl auf der Netzwerkebene (TCP) als auch dem Applikations-Layer (DNS, HTTP) verarbeiten zu müssen. Die Folge: Die Firewall als schwächstes Glied in der Kette fällt aus. Und selbst das gängige SSL-Protokoll mit Verschlüsselungsschutz gilt im Zusammenhang mit DDoS als Hürde für klassische Sicherheitssysteme, denn: Zum einen sind gewöhnliche Firewalls nicht in der Lage, den Datenverkehr von SSL-Verschlüsselungen zu analysieren, zum anderen erhöhen kryptografische Verfahren die CPU-Last enorm und sorgen so erst recht für eine Überlastung.
Für einen wirksamen Schutz raten
Sicherheitsexperten deshalb zu speziellen Threat Protection-Systemen (TPS). Sie bieten Schutz vor Multi Vector-basierten DDoS-Angriffen und separieren „guten“ von „schlechtem“ Traffic. Entsprechende Lösungen verwenden ein Konzept, das bei Erreichen einer bestimmten Situation Aktionen wie etwa das Verwerfen von Paketen oder Black-/Whitelist-Einträge nutzt: Handelt es sich um normalen Datenverkehr, beobachtet die Appliance und gibt bei der nächsten Stufe eine Warnmeldung aus. Bei einer weiteren Eskalation lassen sich dann einzelne Angreifer oder IP-Adressen in eine Blacklist aufnehmen oder einzelne Verbindungen gänzlich kappen. Rund 80 bis 90 Prozent des schlechten Datenverkehrs lassen sich so schlicht ableiten. Der Rest wird zur weiteren Überprüfung weitergegeben an die übrigen Systeme, die dann bei Weitem nicht unter so starker Last stehen. Schnell und gründlich zugleich zu prüfen ist allerdings nicht ohne Weiteres möglich. Unternehmen benötigen dafür einen Application Delivery Controller zur Lastverteilung.
Moderne Firewalls wiederum verfügen über eine klassische Layer-4-Firewall und ein Layer-7-Gateway auf Anwendungsebene. Hinzu kommen Funktionen wie eine Gi-/SGi-Firewall mit integriertem Netzwerk-DoS-Schutz und Carrier-Grade-NAT (CGN). Die Gi-/SGi-Firewall schützt die Infrastruktur von Mobilanwendungen mit erweiterten Sicherheitsmaßnahmen. Zu den wichtigsten Merkmalen einer effizienten Firewall gehört allerdings die Performanz: Hochleistungsfähige Geräte verarbeiten eine Datenrate von mehr als 150 GBit/s, verkraften bis zu fünf Millionen Verbindungen pro Sekunde und unterstützen Site-to-Site-VPN mit IPSec für den sicheren Datenverkehr zwischen Unternehmensstandorten.
Michael Scheffler ist Area Vice President Central Europe bei A10 Networks
- Mobilmachung der Netz-Mafia
- Attacken auf Bestellung
- Exkurs: Das DDoS-Arsenal
Lesen Sie mehr zum Thema
