DNS, Load-Balancing und DDOS-Angriffe

DDOS-Attack

Schon immer schätzen Menschen ihre eigene Sicherheit falsch ein. Eine der bekanntesten Geschichten dazu stammt aus dem Krieg zwischen Griechenland und Troja. Die Trojaner waren sich sicher, dass Troja uneinnehmbar sei. Daher rollten sie als Zeichen ihres Sieges ein riesiges hölzernes Pferd in ihre Stadt, jedoch ohne ihr Unternehmen genau zu überdenken: In ihrer Freude waren die Trojaner überzeugt, es handele sich um ein Friedensgeschenk der Griechen. Deren Krieger befanden sich jedoch im Bauch des Pferdes und konnten so die einzige Verteidigungslinie der Trojaner durchbrechen und damit deren Untergang besiegeln.

Wie schon die Trojaner geben sich auch heute Unternehmen, Netzwerkadministratoren und IT-Mitarbeiter der Illusion hin, dass eine einzige Sicherheitslösung all ihre IT-Investitionen zuverlässig schützen kann. Doch diese Vermutung kann zu der gleichen Katastrophe führen wie bei den Trojanern. Wenn Sie diese Geschichte noch nicht überzeugt hat, dann schauen Sie sich doch einfach die höchst wirksamen DDoS-Angriffe (Denial-of-Service-Angriffe) an, über die vor nicht allzu langer Zeit ausführlich in den Medien berichtet wurde.

In einem im Oktober 2016 im Atlantic-Magazin veröffentlichten Bericht ist zu lesen, dass ein DDoS-Angriff, der nur eine einzige Stunde dauert, Kosten von bis zu 100.000 US-Dollar pro Stunde verursachen kann. Da die meisten DDoS-Angriffe mehrere Stunden dauern, potenzieren sich die Verluste rasend schnell. So verursachte ein DDoS-Angriff bei der Fluglinie Virgin Blue einen Ausfall von 11 Tagen – die Kosten dafür beliefen sich auf 20 Millionen US-Dollar.

Der jüngste und größte Angriff ereignete sich erst vor wenigen Tagen: Eine Reihe von DDoS-Angriffen, die von einem Bot-Netzwerk („Botnet“) gestartet wurden, überflutete die Internetverbindungen von Dyn, einem DNS-Anbieter (Domain Name System) für Amazon, Spotify, Twitter und weitere häufig aufgerufene Websites. Der Angriff erfolgte in mehreren Wellen, dauerte mehrere Stunden an und betraf mehr als 150 Websites. Laut Einschätzung des CEO von Dynatrace, das die Vorfälle überwachte, verursachte er Umsatzeinbußen von rund 110 Millionen US-Dollar.

Wenn Sie Ihr Unternehmen gegen solche groß angelegten Angriffe schützen möchten, müssen Sie ein mehrdimensionales („mehrschichtiges“) Verteidigungsmodell einführen, mit dem Ihr Netzwerk und Ihre Daten geschützt werden. Folgende Idee steckt hinter der Verteidigung in mehreren Schichten: Wenn ein Netzwerk vor mehrdimensionalen Angriffen geschützt werden soll, eignen sich mehrere Strategien besser als eine einzige Lösung. Ein mehrschichtiger Sicherheitsansatz basiert auf unterschiedlichen Verteidigungsmethoden (oder „Kontrollen“), die an unterschiedlichen Punkten im Netzwerk platziert werden. Damit kann eine Schwachstelle in einer Schicht durch den Schutz in einer anderen Schicht ausgeglichen werden. Ein Angreifer, der die erste Verteidigungslinie eines Unternehmens überwindet, stößt damit unweigerlich auf die zweite Verteidigungslinie. Und wenn er diese ebenfalls durchbricht, muss er gegen die nächste Verteidigungslinie kämpfen. Ein mehrschichtiges Sicherheitskonzept vereitelt, verhindert oder stoppt damit die Bedrohung so lange, bis sie vernichtet ist.

Zudem lässt sich ein Load-Balancer optimal in ein solches mehrschichtiges Sicherheitsmodell integrieren. Die wichtigste Funktion eines Load-Balancers besteht darin, Workloads auf mehrere Server zu verteilen. Damit vermeidet er eine Überlastung der Server und sorgt für optimale Produktivität und maximale Verfügbarkeit. Wird ein Server Opfer eines DDoS-Angriffs oder ist aus einem anderen Grund nicht verfügbar, leitet der Load-Balancer den Live-Traffic von einem Server auf einen anderen Server um und sorgt so für optimale Stabilität der Systeme. Ein Load-Balancer vermeidet damit einzelne Fehlerquellen, reduziert die Angriffsfläche und erschwert Angreifern die übermäßige Ressourcennutzung und Überflutung von Links.

Wenn Sie dem Schicksal von Dyn entgehen möchten, sollten Sie Ihre DNS-Server vor unberechtigtem Zugriff schützen, damit sie nicht für einen DDoS-Angriff missbraucht werden können. Außerdem sollten Sie DDoS-Abwehrservices implementieren, mit denen volumetrische Angriffe erkannt und verhindert werden können. Darüber hinaus erkennen und verhindern Load-Balancer mit integrierten Services für Intrusion Prevention (IPS) und Web Application Firewall (WAF) Layer-7-DDoS-Angriffe, die auf Anwendungen abzielen, und sorgen damit für eine weitere Schutzschicht.

Für ein Unternehmen gibt es keine schlimmere Erfahrung als ein Netzwerk, das aufgrund einer ausgenutzten Schwachstelle gestört ist oder nicht funktioniert. Und wenn es dann noch keinen guten Plan für die Beseitigung des Problems gibt, ist die Katastrophe perfekt. Kein Unternehmen ist immun gegen DDoS-Attacken. Die Angriffe werden immer ausgereifter, und so liegt es auf der Hand, dass auch die Verteidigungsmethoden immer weiterentwickelt werden müssen. Heute verfügen wir glücklicherweise über geeignete Werkzeuge zur Bekämpfung von Cyberkriminalität. Doch der entscheidende Punkt ist immer noch, dass Sie die richtige Lösung auswählen und diese auch richtig einsetzen. John Stewart, Cisco Senior Vice President und Chief Security Officer, fasst die Lösung so zusammen: „Sie müssen Ihren Feind, seine Motive und seine Methoden kennen, Ihre Verteidigung entsprechend aufbauen und wachsam bleiben.“

Comments are closed.