Suchen

Juniper auf der IT-Security Management & Technology Conference 2014 Abwehr von „Low and Slow“-Attacken

Autor / Redakteur: Dr. Andreas Bergler / Peter Schmitz

Eine zunehmend eingesetzte Art der DDoS-Attacken (Distributed Denial of Service) sind „Low and Slow“-Angriffe. Karl-Heinz Lutz von Juniper, der auf der IT-Security Management & Technology Conference 2014IT-Security Management & Technology Conference 2014 einen Vortrag halten wird, erklärt, welche Techniken gegen die neuen Bedrohungen helfen.

Firmen zum Thema

Karl-Heinz Lutz, Partner Development Channel System Engineer DACH bei Juniper
Karl-Heinz Lutz, Partner Development Channel System Engineer DACH bei Juniper
(Bild: Juniper)

Security-Insider: ‚Low and Slow‘-Attacken dürften den wenigsten Unternehmen ein Begriff sein. Woran liegt das und was macht diese Art Angriffe so gefährlich?

Lutz: In der Vergangenheit nutzte man für DDoS-Attacken in erster Linie große Datenvolumen von vielen Quellen, um Interfaces, Ports oder Ressourcen des angegriffenen Netzes durch die pure Vielzahl von Anfragen zu blockieren oder zu überlasten. Die Quellen für diese Art von Angriffen lassen sich mittlerweile aber schnell identifizieren. Mit DDoS-Filtern und Rate Limitern auf entsprechenden Firewalls oder Appliances können solche Angriffe heute meist leicht gestoppt werden.

‚Low and Slow‘-Attacken, wie sie bei Tools wie LOIC oder SlowLoris verwendet werden, nutzen einen anderen Weg. Sie versuchen mit kleinen Paketraten aufwändige Abfragen bei den Webdiensten zu generieren und die Ressourcen auf den Web- oder Backend-Servern zu blockieren. So kann mit relativ geringen Datenmengen die Erreichbarkeit dieser Webcenter eingeschränkt werden, da sie nun ‚von innen‘ heraus überlastet sind.

Bisherige Firewalls sind für diese Art Angriffe nicht gewappnet, da die Anfragen regelkonform sind und somit von den konventionellen Firewall-Filtern nicht detektiert werden. Genau darin liegt die Gefahr für viele Kunden, da sie keine Tools für diese neuen Angriffsszenarien haben und bestehende Systeme zu viele False Positives generieren oder gänzlich bei der Erkennung versagen.

Security-Insider: Juniper beansprucht, mit seinen Lösungen Hacker stoppen zu können, bevor sie Schaden anrichten können. Wie funktioniert das?

Lutz: Juniper nutzt entsprechend den Angriffsszenarien verschiedene Technologien. So erkennt WebApp Secure Hacker bereits in der Erkundungsphase, indem es ‚Fake‘-Informationen in den Datenstrom einfügt, die dann nach Manipulation durch Hacker von WebApp Secure erkannt werden. Anschließend erfolgen ein Fingerprinting und die Profilierung des Angreifers. So können seine Aktivitäten auch bei Wechsel der IP-Adresse demselben Angreifer weiter zugeordnet werden. Fingerprints von Angreifern können sogar weltweit über eine Juniper-Datenbank (Spotlight) ausgetauscht werden. Das System kann variabel mit Verzögerungen bis hin zum Blockieren reagieren.

Bei den neuen ‚Low and Slow‘-Attacken überprüft DDoS Secure die Anfragen sowie den Zustand der Ressourcen und bewertet jede einzelne Session auf einen Angriffsversuch. Ziel beider Lösungen ist es, mit minimaler Konfiguration, unabhängig von Veränderungen der tatsächlich vorhandenen Installation, einen Schutz zu bieten und die gegenüber anderen Technologien gefürchteten False Positives möglichst vollständig zu eliminieren.

Security-Insider: Wie gewährleisten Sie, dass Angreifer – sogar unabhängig von der IP – zu hundert Prozent richtig erkannt werden?

Lutz: In der Tat sind IP-Adressen nur bedingt sinnvoll, da Hacker in den allerwenigsten Fällen von einer realen IP-Adresse angreifen, sondern TOR-Netze oder gestohlene Profile nutzen. Daher profilieren wir die Angreifer auf Basis eines Fingerprints. Dazu werden bis zu 200 Merkmale wie Browser-Version, Schriftarten oder Add-Ons an das Profil des Hackers gebunden.

Mehr über Junipers Schutz-Konzept für Datacenter lesen Sie auf der nächsten Seite.

galleryid=2576

Security-Insider: Inwieweit ersetzt Junipers webbasierte Intrusion Deception die bisherige Schwachstellensuche? Welche anderen Security-Lösungen können sich die Unternehmen damit sparen?

Lutz: Die Secure-Produkte von Juniper Networks verstehen sich als Ergänzungslösungen in bestehende Security-Umgebungen, da kein System ideal für alle Angriffe positioniert ist. Allerdings können in den SRX-Firewall-Systemen automatisch Regelwerke erstellt werden, die die bereits gewonnenen Informationen – etwa durch WebApp Secure oder Spotlight Secure – nutzen.

Security-Insider: Wie integriert sich die Lösung in ein Security-Management für Data Center? Wie sieht dort Junipers Schutz-Konzept aus?

Lutz: Die Data Center sind die Kronjuwelen der Unternehmen und daher besonders schützenswert. Neben den bereits bekannten Perimeter Firewalls der SRX-Serie, bietet Juniper Networks speziell für den Data-Center-Bereich mit Firefly virtualisierte Firewall-Lösungen an. Diese sichern einzelne virtuelle Maschinen innerhalb von Hypervisor-Umgebungen und erlauben VM-übergreifenden Schutz bei minimalsten Performance-Einbußen. Zusammen mit WebApp Secure und DDoS Secure kann nun ein mehrschichtiges Sicherheitskonzept aufgebaut werden. Dabei gewinnt das zukünftige Zusammenspiel der einzelnen Systeme bis hin zu einer ganzheitlichen intelligenten Firewall immer mehr an Bedeutung.

Die Management Plattform Junos Space mit dem Security Director dient zur Steuerung der Firewalls und erlaubt die intuitive Verwaltung von großen Regelwerken insbesondere für große Rechenzentren. Darüber hinaus bietet Junipers Junos Space Schnittstellen für Drittanbieter und kann in bestehende SIEM-Lösungen integriert werden.

(ID:42723552)