Erste Hilfe beim DDoS-Schutz

10
Business Titelgeschichte
Die Distributed-Denial-of-Service(DDos)-­
Angriffe auf Schweizer Onlineshops
scheinen die Branche wachgerüttelt zu haben.
Einen Schutzschild finden sie bei Providern
und Hostern. Doch DDoS ist nicht einfach
DDoS, und ein Schild allein reicht nicht.
Es braucht ein umfassendes Konzept, um
sich gegen solche Angriffe zu schützen.
Erste Hilfe beim
DDoS-Schutz
Autor: George Sarpong
23 100. So viele Treffer liefert Youtube bei der Anfrage nach
DDoS-Tutorials. Sogar auf Deutsch. In HD-Qualität. So
einfach wie das Erlernen der Angriffe, ist der Schutz leider
nicht, wie die DDoS-Attacken auf Schweizer Onlineangebote vor einigen Wochen gezeigt haben. Es traf das Who’s
who des Schweizer Onlinehandels: Digitec, Galaxus, Leshop – selbst das Onlineangebot der SBB war betroffen.
Eine DoS-Attacke sei vom Prinzip her besonders hinterhältig, da man sich sehr schlecht dagegen verteidigen könne, erklärt Sicherheitsexperte Umberto Annino, Vizepräsident bei der Information Security Society Switzerland
(ISSS). Das bestätigt auch Max Klaus, stellvertretender
Leiter der staatlichen Melde- und Analysestelle Informationssicherung (Melani): «Grundsätzlich kann jedes System erfolgreich angegriffen werden, das ist lediglich eine
Frage der zur Verfügung stehenden Power.»
Sicherheit ist nicht gerade das Lieblingsthema von Unternehmen. IT-Security kostet und bringt zunächst keinen
Mehrwert. Haben die betroffenen Onlinehändler schlicht
zu wenig für ihre IT-Sicherheit getan? Die SBB baten um
Verständnis dafür, dass man sich zu Fragen der Sicherheit
nicht äussern wolle. Ähnlich antwortete Coop. Zum Grossverteiler zählen auch die Töchter Interdiscount und Microspot.ch, die ebenfalls von den Angriffen betroffen waren. Offener gab sich die Migros, deren Töchter Leshop,
Digitec und Galaxus betroffen waren. Auf die Frage, ob
die Migros-Unternehmen überhaupt einen DDoS-Schutz
besäs­sen, teilte die Genossenschaft mit, dass alle MigrosUnternehmen das Thema Sicherheit sehr ernst nähmen
und viel Geld und Ressourcen investierten, um entsprechende Attacken möglichst effizient abwehren zu können.
Im Zentrum stünden die Sicherheit der Kundendaten und
der Schutz eigener Daten.
Provider bieten erste Hilfe
Klaus rät, in jedem Fall präventive Massnahmen zu ergreifen. «Ist ein DDoS-Angriff erst einmal im Gange, ist es oft
schwierig, diesen abzuwehren. Einige Schweizer Provider
bieten Abwehrmechanismen für DDoS-Angriffe an.» Der
Spezialist von Melani empfiehlt überdies das Merkblatt
«Massnahmen gegen DDoS-Attacken» seiner Behörde. Auf
08 / 2016
www.netzwoche.ch © netzmedien ag
11
Business Titelgeschichte
Schützenhilfe der Provider setzt auch die Migros, wenn
auch erst nach dem Angriff. «Nach den ersten Attacken
haben wir den Provider der Migros-Sites, Swisscom, beauftragt, zum Schutz der Webseiten eine ‹GrenzkontrollStation› einzurichten», teilte das Unternehmen mit. Nun
würden alle Webseitenaufrufe durch einen Filter geführt.
Solche Filterangebote bieten auch andere Provider und
Hoster an, wie etwa UPC Cablecom. Das Unternehmen
scheint sich vor Anfragen derzeit nicht mehr retten zu können. Obwohl früher die Kunden des Providers aus Kostengründen lieber auf einen Schutz verzichtet hätten, erklärt
Walter Bichsel, VP Business Development & Produkt Management bei UPC Cablecom, und fügt an: «Die Attacke
im März hat viele Kunden überrascht; seither sind sie
­sensibilisiert und wir werden von besorgten Kunden angegangen.»
Bild: iStock
Schutz ist nicht gleich Schutz
Grundsätzlich muss zwischen drei Arten von DDoS-Angriffen unterschieden werden. Es gibt die sogenannten
Brute-Force-Angriffe, wie sie Schweizer Webshops jüngst
erlebt haben. Dabei werden die Server mit Anfragen überflutet. Sie knicken unter der Last ein und zeigen die gewünschte Website nicht mehr an. Ausserdem exisitieren
ausgeklügelte, sogenannte Sophisticated-Attacken. Diese
zielen darauf ab, Serverkapazität zu überlasten, etwa CPU
oder RAM, wie Annino erklärt. Des Weiteren gibt es die
Application-Level-Angriffe. Diese seien deshalb gefährlich,
weil sie sich mit einer verhältnismässig kleinen Anzahl an
Angriffspaketen realisieren liessen, sagt Annino.
Bichsel macht klar: «Sich vor Sophisticated-Angriffen
zu schützen, ist schwierig, da man die Datenpakete mittels
Deep Packet Inspection untersuchen müsste. Bei verschlüsselten Päckchen wie sie etwa Banken austauschen,
ist das schwierig und teilweise nicht erwünscht.» UPC
Cablecom, wie auch andere Provider, fokussierten sich
daher in erster Linie auf den Brute-Force-Schutz. Hierfür
erfassen Provider ein Basisprofil des Onlineverkehrs des
Webshops. Weichen die Werte stark davon ab, könnte dies
auf einen Angriff hindeuten. Bichsel nennt ein Beispiel:
Liege die sogenannte Cleanbandbreite bei 500 Mbit/s und
schnelle die Bandbreite auf 1 Gbit/s hoch, so stimme vermutlich etwas nicht. Doch dies müsse überprüft werden.
Schliesslich könne sich das Bandbreitenprofil eines Onlineshops von gestern auf heute ändern, sagt Bichsel. Wird
etwa eine plötzliche Steigerung des Traffics erfasst, müsse
zunächst die Frage geklärt werden, ob es sich um eine Promoaktion für den Onlineshop eines Kunden oder um einen
DDoS-Angriff handle.
www.netzwoche.ch © netzmedien ag
Gutartiger und bösartiger Traffic
Bei Swisscom können kleinere DDoS-Attacken meist von
lokalen, im Rechenzentrum befindlichen Komponenten
wie Traffic Shapern und Intrusion-Prevention-Systemen
abgefangen werden, wie Florian Leibenzeder sagt. Er ist
Senior Security Analyst im Swisscom Computer Security Incident Response Team (CSIRT). Grössere Angriffe,
welche die Bandbreite des Internet-Uplinks fluten oder
mit einer hohen Anzahl gleichzeitiger Verbindungen die
State Tables von Firewalls und Webservern füllen, können laut Leibenzeder nur vorgelagert im Netz des
« Wenn ich einen Onlineshop betreibe,
muss ich mich gegen Bruteforce-Angriffe schützen. »
Walter Bichsel, Vice President Business Development & Produkt Management
bei UPC Cablecom
Upstream-Providers erfolgreich bekämpft werden. Das
«Cleaning Device» verwirft dann laut Leibenzeder die
DDoS-Datenpakete und routet den gutartigen Verkehr
über einen «Tunnel» direkt bis zum letzten SwisscomRouter vor dem Zielsystem, bei dem nun nur noch «gesäuberter» Datenverkehr ankommt. Wird ein DDoSAngriff von den Security-Monitoring-Komponenten erkannt, kann der Angriffsdatenverkehr im Backbone von
Swisscom IP-Plus mittels Routing-Anpassungen durch
ein sogenanntes «Cleaning Device» geleitet werden. Diese Umleitung geschieht teilweise automatisch mittels
getesteter Auto-Mitigation-Regeln, oft jedoch manuell,
da wie bei UPC Cablecom eine gezielte Anpassung der
Mitigation an den Angriff notwendig ist, wie Leibenzeder
erklärt. Dies alles erfordere eine umfangreiche Infrastruktur und hochspezialisiertes Personal. Technisch
wird nach dem ISO-OSI-Netzwerk-Modell der Traffic auf
den Schichten 3, dem Transport-Layer, gefiltert, indem
etwa IP-Adressen geprüft werden. Auf Layer 4 findet ein
Filtering auf Basis von TCP und UDP Ports statt. Auf dem
Layer 7, dem Application-Layer, wird nach protokollspezifischen Parametern gefiltert.
Auch Sunrise bietet mit «Business DDoS-Protection»
einen Service für Unternehmen im Web an. Die DDoSProtection-Lösung von Sunrise überwacht den Verkehr bis
Layer 4. Datenpakete könnten bis zum letzten Bit analysiert
und entsprechend weitergeleitet oder entsorgt werden. Zu
den Funktionen zählen etwa die Umleitung und die Reinigung (Mitigation) des Traffics.
Hoster helfen Händlern
Auch Hoster bieten ihren Kunden einen DDoS-Schutz an,
wie etwa Green.ch, der aktuell rund 150 Kunden betreut.
Das Unternehmen bietet für Onlineshops etwa DomainNamen, Hosting und ein E-Commerce-Tool an. Im Bereich
der Sicherheit schützt das Unternehmen «alle Elemente
gegen Missbräuche und Attacken», wie der Serviceanbieter
auf Anfrage mitteilte. «Da wir für den Dienst sogar unser
eigenes Rechenzentrum nutzen, sind auch alle technischen
Elemente in unserem direkten Einflussbereich», sagt Un-
08 / 2016
12
Business Titelgeschichte
ternehmenssprecherin Susanne Felice-Tanner. «Wir verfügen über ein Monitoring auf verschiedenen Ebenen und
in verschiedenen Bereichen. Eine nützliche Abwehr gegen
alle Formen von Attacken und Missbräuche besteht aus
unserer Sicht aus mehreren Komponenten. Aus technischen, betrieblichen und personellen Schutzmassnahmen,
einer laufenden Überwachung und aus einem abgestuften
Notfallplan, der bei Vorfällen sofort angewandt wird», erklärt Felice-Tanner. Details nannte Green.ch aber nicht. Es
gelte das Prinzip «Security first.»
Dafür nannte der Anbieter Aspectra nähere Details. Das
Unternehmen betreut Kunden wie Fust, Nettoshop oder
Exlibris. Die Schutzmechanismen finden auf verschiedenen Layern statt, wie Kaspar Geiser, Geschäftsführer von
Aspectra, erklärt. Hierzu zählen etwa Mechanismen wie
die limitierte Anzahl von Anfragen pro IP. Ausserdem
könnten über Länderfilter gezielt der Datenverkehr bestimmter Regionen aus- oder zugeschaltet werden. In Zusammenarbeit mit Drittanbietern werden auch DDoSDienste in der Cloud genutzt. Zudem seien nur relevante
Ports/Anwendungen aus dem Internet erreichbar. Seien
Loadbalancer im Einsatz, sei nur der Loadbalancer erreichbar und nicht die Anwendung selbst.
Das sagt der ISSS-Experte
Was taugen die Dienste unterm Strich? ISSS-Sicherheitsexperte Annino nahm die Angebote für die Redaktion
unter die Lupe. Die von Sunrise, Swisscom und UPC Cablecom sind ähnlich, da sie auf dem Produkt von Arbor Networks basieren. Hierbei liegt der Fokus auf dem Schutz vor
sogenannten «volumetrischen (DoS-)Angriffen». Dabei
wird durch den Angriff die verfügbare Kapazität der Internetanbindung ausgefüllt und es besteht keine Kapazität
mehr für weitere, legitime Verbindungen, wie Annino erklärt. Eine grundsätzliche Schwäche dieser Lösungsvariante sei, dass sie keinen Schutz vor Application-LevelAngriffen biete.
Dabei sei auch eine Kombination mit ApplicationLevel-Schutzmassnahmen möglich. Die Lösung sei gewissermassen eine Applikationsschutzmassnahme, da
auch DDoS-Angriffe auf dem Application Layer abgewehrt werden könnten, etwa durch das Filtern bestimmter HTTP-Requests oder DNS-Amplification-Angriffen.
Lokale Application Level Gateways liessen sich kombinieren. Der konkrete Unterschied der drei Angebote
bestehe aber in der Kapazität des Schutzes vor DoSAngriffen, also darin, wie viele Schutzsysteme durch die
Provider betrieben würden, die bei einem Angriff den
Verkehr abfingen. Hierbei lautet die Devise für Annino:
«Je mehr, desto besser!»
Bei den Angeboten der Hoster bietet Aspectra zusätzlich zum Schutz von Volumetric-Angriffen auch Application-Level-Schutz an. Sämtliche Server sind zudem mittels
Firewall geschützt, wie Geiser ergänzt. Ein reiner StandAlone-DDoS-Schutz biete man aber nicht. Beim Einsatz
08 / 2016
i
Checkliste zum DDos-Schutz
Diese Fragen sollten IT-Verantwortliche Providern und
­Hostern stellen:
▪▪ Welches maximal mögliche Angriffsvolumen kann die Lösung bewältigen? Wichtig ist die Schutzleistung in «bits per second
(bps)» und in «packets per second (pps)».
▪▪ Wie geht der Serviceprovider mit Angriffen um, die seine Kapazität übersteigen?
▪▪ Was passiert, wenn mehrere Kunden des Providers gleichzeitig
angegriffen werden? Verteilt sich die Kapazität der Schutzmöglichkeit und falls ja, aufgrund welcher Parameter?
▪▪ Wie genau sehen die Detektionsmassnahmen, die Benachrichtigung und Alarmierung des Kunden und die Prozesse rund um die
Angebote genau aus?
von Drittprodukten arbeite Aspectra etwa mit Incapsula
und Cloudfare zusammen.
Erst die Kombination verspricht umfassenden Schutz
Onlinehändler müssen selbst verschiedene Angebote einholen, evaluieren und dann entscheiden. Ein Schutzkonzept
vor DDoS-Angriffen sollte sich gegenseitig ergänzend gebaut
werden. Also provider-seitig mit Schutz vor volumetrischen
Angriffen und inhouse mit Schutzmassnahmen gegen Application-Level-DDoS-Attacken. «Die beiden Lösungsvarianten ergänzen sich somit ideal und sollten nicht als Alternative zueinander betrachtet werden. Es gibt zudem auch
cloudbasierte Lösungen für beide Varianten», sagt Annino.
«Wenn ich einen Onlineshop betreibe, muss ich mich
gegen Bruteforce-Angriffe schützen», sagt Bichsel. Ansonsten könnte ein Erpresser eine Attacke etwa im sogenannten
Darkweb als Dienstleistung einkaufen. «Ein Onlineanbieter
kann sich das nicht leisten, nicht gegen Bruteforce-Attacken
geschützt zu sein», sagt Bichsel. Um sich gegen Sophisticated-Angriffe zu rüsten, müsse man zusätzlich den Applikationsschutz betrachten. Auch Provider Sunrise rät, ergänzend zum DDoS-Schutz-Service, zu einer aktuellen Firewall,
dem Monitoring der Systeme und des Netzwerks sowie zum
DDoS-Protection Service für Webanwendungen einschlägiger Hersteller.
Händler, die auf die kontinuierliche Verfügbarkeit ihrer
Onlineshops oder Portale angewiesen sind und bei einem
Ausfall schnell hohe Umsatzeinbussen erleiden oder auch
Reputationsverluste fürchten, sollten auf jeden Fall eine professionelle DDoS-Mitigation-Lösung in Betracht ziehen, wie
Leibenzeder rät. «Eine solche Lösung ist letztlich nichts anderes als eine Versicherung. Man hofft, sie nie zu brauchen,
aber im Notfall ist man gerüstet. Und Angreifer, die erkennen,
dass ihre Angriffe erfolgreich abgewehrt werden, suchen sich
in der Regel sehr schnell einfachere Ziele», sagt Leibenzeder.
Dossier DDoS-Schutz: www.netzwoche.ch ▸ Webcode 7869
www.netzwoche.ch © netzmedien ag