Muss auf Server und Client implementiert sein
IPCAF schützt Authentifizierungs-Server gegen DoS-Attacken
Forscher der amerikanischen Auburn-University haben das Protokoll »Identity-Based Privacy-Protected Access Control Filter« (IPCAF) entworfen, um Authentifizierungs-Server gegen Denial-of-Service-Attacken zu schützen. Eine praktische Simulation hat nun die Funktionstauglichkeit bestätigt.
Mit Denial-of-Service-Attacken (DoS) beziehungsweise Distributetd-DoS-Angriffen (DDoS) gegen den Authentication-Server (AS) lässt sich sehr leicht ein Netzwerk lahm legen. Nutzer können sich am AS nicht mehr anmelden und bekommen so keinen Netzwerkzugriff. Dieses Problem nimmt mit den Botnetzen zu. Forscher an der Auburn-University in den USA haben dazu »Identity-Based Privacy-Protected Access Control Filter« (IPCAF) entworfen. Chwan-Hwa »John« Wu, Tong Liu, Chun-Ching Andy Huang and J. David Irwin haben die Praxistauglichkeit in einer praktischen Netzwerksimulation überprüft. Die Ergebnisse haben sie unter dem Titel »Modelling and Simulations for Identity-Based Privacy-Protected Access Control Filter (IPACF) Capability to Resist Massive Denial of Service Attacks« veröffentlicht. Dabei zeigte sich, dass der CPU-Belastung des AS’ und die Paketverzögerung trotz der Attacke nur sehr wenig geringer war.
Die Idee hinter IPCAF ist, dass sich AS und Client jeweils einen Frame schicken, der einen bestimmten Wert enthält. Beide Seiten überprüfen über einen Filter, ob der Wert korrekt ist, was nicht viel Zeit in Anspruch nimmt. Um den Wert zu erzeugen, verwenden Server und Client ein Preshared-Secret. Dabei arbeitet IPCAF zustandlos. Außerdem muss das Verfahren auf dem Server und dem Client implementiert sein.
Sind die berechneten Werte korrekt, wird ein neuer Wert für den nächsten Frame berechnet. Andernfalls verwirft der Empfänger den Frame. Um mehr DoS/DDOS-Angriffen zu begegnen, die Authentifizierungsanfragen vortäuschen, haben die Forscher zwei Server verwendet. Server 1 überprüft nur, ob der Filterwert gültig ist. Ist dies der Fall, leitet er die Anfrage an den Server 2 weiter. Dieser erzeugt dann einen neuen Filterwert. Es ist aber auch möglich, beides auf einem Server laufen zu lassen.
