Suchen

Sicherer Einstieg ins Cloud Computing – Teil 3 DNS- und Routing-Probleme sowie DoS-Attacken von vornherein vermeiden

| Redakteur: Stephan Augsten

Infrastrukturelle Probleme sowie passende Endgeräte und VPN-Techniken für sichere Cloud-Verbindungen wurden in den ersten beiden Artikeln dieser Serie diskutiert. Dieser Beitrag wird sich nun intensiver mit den Gefahren des Cloud Computing auseinandersetzen, die beispielsweise mit Routing und DNS einhergehen.

Firmen zum Thema

Das Auflösen und Routen von Verbindungsanfragen in die und in der Cloud birgt Sicherheitsrisiken.
Das Auflösen und Routen von Verbindungsanfragen in die und in der Cloud birgt Sicherheitsrisiken.
( Archiv: Vogel Business Media )

Bei der Betrachtung der Cloud-Risiken, die mit Routing und dem Domain Name System (DNS) einhergehen, muss man zwischen verschiedenen Verbindungen unterscheiden. Denn abhängig davon, ob man von einer Client-Cloud-, einer Intercloud- oder einer Cloud-zu-Cloud-Verbindung ausgeht, ergeben sich unterschiedliche Schwachstellen und Risiken.

Die Vorteile des Domain Name System liegen auf der Hand: Zunächst einmal kann sich ein Anwender den Domänennamen www.Security-Insider.de leichter merken, als die dazugehörige IP-Adresse. Die Übersetzung des Namens in eine von Maschinen interpretierbare IP und umgekehrt bietet darüber hinaus eine große Flexibilität.

Verschiedene Server lassen sich aus Load-Balancing-Gründen so einstellen, dass sie zum gleichen Domänennamen hin auflöen. Gleichermaßen können Unternehmen mittels Proxy-Lösungen eine IP-Adresse für Anfragen aus dem Internet nutzen, während intern geschützte und nicht routingfähige Adressen verwendet werden.

Der Nachteil bei der Verwendung von DNS ist, dass ein Client zunächst einmal darauf vertraut, dass die Auflösung in einen Domainnamen und das damit einhergehende Routing einwandfrei ablaufen. Ruft ein User bzw. eine Anwendung www.Security-Insider.de auf, dann wird automatisch davon ausgegangen, dass die zurückgegebene IP-Adresse tatsächlich korrekt ist.

Angesichts der Gefahr des IP-Spoofing, also der Fälschung der Quell-Adresse innerhalb des IP-Paket-Headers, kann sich dieses grenzenlose Vertrauen rächen. Das Risiko, sich beim Herstellen einer Cloud-Verbindung mit einer bösartigen Kopie der Cloud zu verbinden, ist nicht zu unterschätzen. Deshalb sollte man bei Cloud-Aufrufen wenn möglich die IP-Adresse und nicht den Domänennamen verwenden.

In einigen Fällen ist die Verwendung der IP-Adresse aber nicht so ohne weiteres möglich. Deshalb sollten die in eine Cloud-Umgebung eingebundenen Domains eine sichere DNS-Implementierung wie DNSSEC unterstützen. In diesem Fall sind die beiden kommunizierenden Domains digital signiert und dazu gezwungen, einen öffentlichen Schlüssel auszutauschen. Hier liegt aber auch der Nachteil: Sowohl die Domänen als auch die darauf zugreifenden Clients müssen DNSSEC unterstützen.

Wegelagerern auf der Datenroute

Selbst wenn es gelingt, die Endpunkte umfassend zu schützen, dann ist das Routing noch lange nicht sicher. Der Weg, den die Datenpakete nehmen, könnte aufgrund von Manipulationen immer noch durch feindliches Territorium führen. Einem Angreifer wäre es möglich, Inhalte auszuspionieren oder die Verarbeitung der Datenpakete komplett zu verhindern.

Im letzteren Fall müsste der Cyberkriminelle einfach nur bestimmte Datenpakete fallen lassen oder umleiten, bevor sie ihr eigentliches Ziel erreichen. Das ist deutlich subtiler, als einen kompletten Denial of Service zu verursachen, da dem Anwender nicht unbedingt klar ist, warum eine Anfrage nicht zu Ende geführt wird. Derartige Attacken sind besonders effektiv, wenn man Sprach- oder Video-Anwendungen lahmlegen möchte – denn nur kurze oder zeitweilige Störungen können den Service unbrauchbar machen.

Verwendet die Cloud einen Front-End-Server, dann gilt es als nächstes zu überlegen, wie der Traffic an die Server-Farm weitergegeben und verteilt wird. Verfolgt man einen Anycast-Ansatz, bei dem Load Balancing mithilfe ständig wechselnder Adressierung realisiert wird, ist das Netz deutlich robuster als bei der DNS-Lastverteilung (Round-robin DNS).

Kostengünstiger sowie einfacher zu implementieren und zu konfigurieren ist und bleibt aber die Round-robin-Methode. Deshalb muss man sich damit auseinandersetzen, welchen Ansatz der Cloud-Computing-Provider in welchen Fällen verfolgt. In den meisten Cloud-Szenarien sollte Anycast den Vorzug gegenüber Round-robin erhalten.

Bei der Adressierung des Cloud-Computing-Servers wird das Routing ein weiteres Mal zum Problem. Im Gegensatz zur Verbindung vom Client zum Front-End wird diese Verbindung transparent von Anwendungen, Maschinen und Netzwerken verwendet. Dies ist zweifelsohne wichtig, denn die Server-Farmen sind geographisch oft weit voneinander entfernt. Die großen Distanzen erhöhen zwangsläufig die Anfälligkeit des Routing.

Seite 2: Weitere Cloud-Computing-Angriffe

(ID:2053265)