Erste Hilfe beim DDoS-Schutz

23 100. So viele Treffer liefert Youtube bei der Anfrage nach DDoS-Tutorials. Sogar auf Deutsch. In HD-Qualität. So einfach wie das Erlernen der Angriffe, ist der Schutz leider nicht, wie die DDoS-Attacken auf Schweizer Onlineangebote vor einigen Wochen gezeigt haben. Es traf das Who’s who des Schweizer Onlinehandels: Digitec, Galaxus, Leshop – selbst das Onlineangebot der SBB war betroffen. Eine DoS-Attacke sei vom Prinzip her besonders hinterhältig, da man sich sehr schlecht dagegen verteidigen könne, erklärt Sicherheitsexperte Umberto Annino, Vizepräsident bei der Information Security Society Switzerland (ISSS). Das bestätigt auch Max Klaus, stellvertretender Leiter der staatlichen Melde- und Analysestelle Informationssicherung (Melani): "Grundsätzlich kann jedes System erfolgreich angegriffen werden, das ist lediglich eine Frage der zur Verfügung stehenden Power."

Sicherheit ist nicht gerade das Lieblingsthema von Unternehmen. IT-Security kostet und bringt zunächst keinen Mehrwert. Haben die betroffenen Onlinehändler schlicht zu wenig für ihre IT-Sicherheit getan? Die SBB baten um Verständnis dafür, dass man sich zu Fragen der Sicherheit nicht äussern wolle. Ähnlich antwortete Coop. Zum Grossverteiler zählen auch die Töchter Interdiscount und Microspot.ch, die ebenfalls von den Angriffen betroffen waren. Offener gab sich die Migros, deren Töchter Leshop, Digitec und Galaxus betroffen waren. Auf die Frage, ob die Migros-Unternehmen überhaupt einen DDoS-Schutz besäs­sen, teilte die Genossenschaft mit, dass alle Migros-Unternehmen das Thema Sicherheit sehr ernst nähmen und viel Geld und Ressourcen investierten, um entsprechende Attacken möglichst effizient abwehren zu können. Im Zentrum stünden die Sicherheit der Kundendaten und der Schutz eigener Daten.

Provider bieten erste Hilfe

Klaus rät, in jedem Fall präventive Massnahmen zu ergreifen. "Ist ein DDoS-Angriff erst einmal im Gange, ist es oft schwierig, diesen abzuwehren. Einige Schweizer Provider bieten Abwehrmechanismen für DDoS-Angriffe an." Der Spezialist von Melani empfiehlt überdies das Merkblatt "Massnahmen gegen DDoS-Attacken" seiner Behörde. Auf Schützenhilfe der Provider setzt auch die Migros, wenn auch erst nach dem Angriff. "Nach den ersten Attacken haben wir den Provider der Migros-Sites, Swisscom, beauftragt, zum Schutz der Webseiten eine ‹Grenzkontroll-Station› einzurichten", teilte das Unternehmen mit. Nun würden alle Webseitenaufrufe durch einen Filter geführt. Solche Filterangebote bieten auch andere Provider und Hoster an, wie etwa UPC Cablecom. Das Unternehmen scheint sich vor Anfragen derzeit nicht mehr retten zu können. Obwohl früher die Kunden des Providers aus Kostengründen lieber auf einen Schutz verzichtet hätten, erklärt Walter Bichsel, VP Business Development & Produkt Management bei UPC Cablecom, und fügt an: "Die Attacke im März hat viele Kunden überrascht; seither sind sie ­sensibilisiert und wir werden von besorgten Kunden angegangen."

Schutz ist nicht gleich Schutz

Grundsätzlich muss zwischen drei Arten von DDoS-Angriffen unterschieden werden. Es gibt die sogenannten Brute-Force-Angriffe, wie sie Schweizer Webshops jüngst erlebt haben. Dabei werden die Server mit Anfragen überflutet. Sie knicken unter der Last ein und zeigen die gewünschte Website nicht mehr an. Ausserdem exisitieren ausgeklügelte, sogenannte Sophisticated-Attacken. Diese zielen darauf ab, Serverkapazität zu überlasten, etwa CPU oder RAM, wie Annino erklärt. Des Weiteren gibt es die Application-Level-Angriffe. Diese seien deshalb gefährlich, weil sie sich mit einer verhältnismässig kleinen Anzahl an Angriffspaketen realisieren liessen, sagt Annino.

Bichsel macht klar: "Sich vor Sophisticated-Angriffen zu schützen, ist schwierig, da man die Datenpakete mittels Deep Packet Inspection untersuchen müsste. Bei verschlüsselten Päckchen wie sie etwa Banken austauschen, ist das schwierig und teilweise nicht erwünscht." UPC Cablecom, wie auch andere Provider, fokussierten sich daher in erster Linie auf den Brute-Force-Schutz. Hierfür erfassen Provider ein Basisprofil des Onlineverkehrs des Webshops. Weichen die Werte stark davon ab, könnte dies auf einen Angriff hindeuten. Bichsel nennt ein Beispiel: Liege die sogenannte Cleanbandbreite bei 500 Mbit/s und schnelle die Bandbreite auf 1 Gbit/s hoch, so stimme vermutlich etwas nicht. Doch dies müsse überprüft werden. Schliesslich könne sich das Bandbreitenprofil eines Onlineshops von gestern auf heute ändern, sagt Bichsel. Wird etwa eine plötzliche Steigerung des Traffics erfasst, müsse zunächst die Frage geklärt werden, ob es sich um eine Promoaktion für den Onlineshop eines Kunden oder um einen DDoS-Angriff handle.

Gutartiger und bösartiger Traffic

Bei Swisscom können kleinere DDoS-Attacken meist von lokalen, im Rechenzentrum befindlichen Komponenten wie Traffic Shapern und Intrusion-Prevention-Systemen abgefangen werden, wie Florian Leibenzeder sagt. Er ist Senior Security Analyst im Swisscom Computer Security Incident Response Team (CSIRT). Grössere Angriffe, welche die Bandbreite des Internet-Uplinks fluten oder mit einer hohen Anzahl gleichzeitiger Verbindungen die State Tables von Firewalls und Webservern füllen, können laut Leibenzeder nur vorgelagert im Netz des Upstream-Providers erfolgreich bekämpft werden. Das "Cleaning Device" verwirft dann laut Leibenzeder die DDoS-Datenpakete und routet den gutartigen Verkehr über einen "Tunnel" direkt bis zum letzten Swisscom-Router vor dem Zielsystem, bei dem nun nur noch "gesäuberter" Datenverkehr ankommt. Wird ein DDoS-Angriff von den Security-Monitoring-Komponenten erkannt, kann der Angriffsdatenverkehr im Backbone von Swisscom IP-Plus mittels Routing-Anpassungen durch ein sogenanntes "Cleaning Device" geleitet werden. Diese Umleitung geschieht teilweise automatisch mittels getesteter Auto-Mitigation-Regeln, oft jedoch manuell, da wie bei UPC Cablecom eine gezielte Anpassung der Mitigation an den Angriff notwendig ist, wie Leibenzeder erklärt. Dies alles erfordere eine umfangreiche Infrastruktur und hochspezialisiertes Personal. Technisch wird nach dem ISO-OSI-Netzwerk-Modell der Traffic auf den Schichten 3, dem Transport-Layer, gefiltert, indem etwa IP-Adressen geprüft werden. Auf Layer 4 findet ein Filtering auf Basis von TCP und UDP Ports statt. Auf dem Layer 7, dem Application-Layer, wird nach protokollspezifischen Parametern gefiltert.

Auch Sunrise bietet mit "Business DDoS-Protection" einen Service für Unternehmen im Web an. Die DDoS-Protection-Lösung von Sunrise überwacht den Verkehr bis Layer 4. Datenpakete könnten bis zum letzten Bit analysiert und entsprechend weitergeleitet oder entsorgt werden. Zu den Funktionen zählen etwa die Umleitung und die Reinigung (Mitigation) des Traffics.

Hoster helfen Händlern

Auch Hoster bieten ihren Kunden einen DDoS-Schutz an, wie etwa Green.ch, der aktuell rund 150 Kunden betreut. Das Unternehmen bietet für Onlineshops etwa Domain-Namen, Hosting und ein E-Commerce-Tool an. Im Bereich der Sicherheit schützt das Unternehmen "alle Elemente gegen Missbräuche und Attacken", wie der Serviceanbieter auf Anfrage mitteilte. "Da wir für den Dienst sogar unser eigenes Rechenzentrum nutzen, sind auch alle technischen Elemente in unserem direkten Einflussbereich", sagt Unternehmenssprecherin Susanne Felice-Tanner. "Wir verfügen über ein Monitoring auf verschiedenen Ebenen und in verschiedenen Bereichen. Eine nützliche Abwehr gegen alle Formen von Attacken und Missbräuche besteht aus unserer Sicht aus mehreren Komponenten. Aus technischen, betrieblichen und personellen Schutzmassnahmen, einer laufenden Überwachung und aus einem abgestuften Notfallplan, der bei Vorfällen sofort angewandt wird", erklärt Felice-Tanner. Details nannte Green.ch aber nicht. Es gelte das Prinzip "Security first."

Dafür nannte der Anbieter Aspectra nähere Details. Das Unternehmen betreut Kunden wie Fust, Nettoshop oder Exlibris. Die Schutzmechanismen finden auf verschiedenen Layern statt, wie Kaspar Geiser, Geschäftsführer von Aspectra, erklärt. Hierzu zählen etwa Mechanismen wie die limitierte Anzahl von Anfragen pro IP. Ausserdem könnten über Länderfilter gezielt der Datenverkehr bestimmter Regionen aus- oder zugeschaltet werden. In Zusammenarbeit mit Drittanbietern werden auch DDoS-Dienste in der Cloud genutzt. Zudem seien nur relevante Ports/Anwendungen aus dem Internet erreichbar. Seien Loadbalancer im Einsatz, sei nur der Loadbalancer erreichbar und nicht die Anwendung selbst.

Das sagt der ISSS-Experte

Was taugen die Dienste unterm Strich? ISSS-Sicherheitsexperte Annino nahm die Angebote für die Redaktion unter die Lupe. Die von Sunrise, Swisscom und UPC Cablecom sind ähnlich, da sie auf dem Produkt von Arbor Networks basieren. Hierbei liegt der Fokus auf dem Schutz vor sogenannten "volumetrischen (DoS-)Angriffen". Dabei wird durch den Angriff die verfügbare Kapazität der Internetanbindung ausgefüllt und es besteht keine Kapazität mehr für weitere, legitime Verbindungen, wie Annino erklärt. Eine grundsätzliche Schwäche dieser Lösungsvariante sei, dass sie keinen Schutz vor Application-Level-Angriffen biete.

Dabei sei auch eine Kombination mit Application-Level-Schutzmassnahmen möglich. Die Lösung sei gewissermassen eine Applikationsschutzmassnahme, da auch DDoS-Angriffe auf dem Application Layer abgewehrt werden könnten, etwa durch das Filtern bestimmter HTTP-Requests oder DNS-Amplification-Angriffen. Lokale Application Level Gateways liessen sich kombinieren. Der konkrete Unterschied der drei Angebote bestehe aber in der Kapazität des Schutzes vor DoS-Angriffen, also darin, wie viele Schutzsysteme durch die Provider betrieben würden, die bei einem Angriff den Verkehr abfingen. Hierbei lautet die Devise für Annino: "Je mehr, desto besser!"

Bei den Angeboten der Hoster bietet Aspectra zusätzlich zum Schutz von Volumetric-Angriffen auch Application-Level-Schutz an. Sämtliche Server sind zudem mittels Firewall geschützt, wie Geiser ergänzt. Ein reiner Stand-Alone-DDoS-Schutz biete man aber nicht. Beim Einsatz von Drittprodukten arbeite Aspectra etwa mit Incapsula und Cloudfare zusammen.

Erst die Kombination verspricht umfassenden Schutz

Onlinehändler müssen selbst verschiedene Angebote einholen, evaluieren und dann entscheiden. Ein Schutzkonzept vor DDoS-Angriffen sollte sich gegenseitig ergänzend gebaut werden. Also provider-seitig mit Schutz vor volumetrischen Angriffen und inhouse mit Schutzmassnahmen gegen Application-Level-DDoS-Attacken. "Die beiden Lösungsvarianten ergänzen sich somit ideal und sollten nicht als Alternative zueinander betrachtet werden. Es gibt zudem auch cloudbasierte Lösungen für beide Varianten", sagt Annino.

"Wenn ich einen Onlineshop betreibe, muss ich mich gegen Bruteforce-Angriffe schützen", sagt Bichsel. Ansonsten könnte ein Erpresser eine Attacke etwa im sogenannten Darkweb als Dienstleistung einkaufen. "Ein Onlineanbieter kann sich das nicht leisten, nicht gegen Bruteforce-Attacken geschützt zu sein", sagt Bichsel. Um sich gegen Sophisticated-Angriffe zu rüsten, müsse man zusätzlich den Applikationsschutz betrachten. Auch Provider Sunrise rät, ergänzend zum DDoS-Schutz-Service, zu einer aktuellen Firewall, dem Monitoring der Systeme und des Netzwerks sowie zum DDoS-Protection Service für Webanwendungen einschlägiger Hersteller.

Händler, die auf die kontinuierliche Verfügbarkeit ihrer Onlineshops oder Portale angewiesen sind und bei einem Ausfall schnell hohe Umsatzeinbussen erleiden oder auch Reputationsverluste fürchten, sollten auf jeden Fall eine professionelle DDoS-Mitigation-Lösung in Betracht ziehen, wie Leibenzeder rät. "Eine solche Lösung ist letztlich nichts anderes als eine Versicherung. Man hofft, sie nie zu brauchen, aber im Notfall ist man gerüstet. Und Angreifer, die erkennen, dass ihre Angriffe erfolgreich abgewehrt werden, suchen sich in der Regel sehr schnell einfachere Ziele", sagt Leibenzeder.