IT-Security Firewalls vor DDoS-Angriffen schützen

Von Karl Heuser

DDoS-Angriffe auf die Netzwerke öffentlicher Verwaltungen häufen sich massiv. Firewalls bieten keinen wirklichen Schutz vor solchen Attacken, da Angreifer solche Stateful Security-Komponenten durch gezielte „State Exhaustion“-Angriffe überlasten und einen Ausfall herbeiführen können. Unser Gastautor Karl Heuser plädiert daher für IT-Sicherheitslösungen, die zwischen Internet und Firewall als „First Line of Perimeter“-Schutz platziert werden.

Anbieter zum Thema

Eine DDoS-Schutzlösung sollte hybrid konzipiert sein
Eine DDoS-Schutzlösung sollte hybrid konzipiert sein
(© kentoh - stock.adobe.com)

Cyber-Kriminelle nehmen in immer stärkerem Maß öffentliche Verwaltungen ins Visier. Neben isolierten Ransomware- und DDoS-Attacken werden zunehmend kombinierte Cyberangriffe durchgeführt. Dabei werden häufig komplexe Distributed-Denial-of-Service-Angriffe, kurz DDoS-Angriffe, als Druckmittel eingesetzt.

Ein Beispiel ist der DDoS-Angriff auf 200 Regierungsorganisationen in Belgien im Mai 2021. Er führte dazu, dass die betroffenen Institutionen vom Internet abgeschnitten waren und ihre Services nicht mehr anbieten konnten. Dazu gehörte auch die Online-Buchung von Corona-Impfterminen.

Nach Angaben der Europa Union Agency for Cybersecurity (ENISA) waren öffentliche Verwaltungen und Regierungseinrichtungen in der Europäischen Union zwischen Mitte 2020 und 2021 das Hauptziel von Cyber-Attacken, noch vor Serviceprovidern und Unternehmen. Das Ziel: Kriminelle wollen von den betroffenen Einrichtungen Geld erpressen; politisch motivierte „Hacktivisten“ und ausländische Geheimdienste möchten dagegen das Vertrauen der Bürger in staatliche Einrichtungen untergraben.

Firewalls schützen nicht vor DDoS

Dass solche DDoS-Attacken erfolgreich sind und öffentliche Services lahmlegen, hat folgenden Grund: Viele IT-Verantwortliche vertrauen darauf, dass Firewalls derartige Angriffe abwehren. Dafür sind diese Systeme jedoch nicht ausgelegt. Im Gegenteil: Gezielte DDoS-Attacken können Firewalls und andere „Stateful“ IT-Systeme wie VPN-Gateways überlasten und lahmlegen.

Was bedeutet „Stateful“?

Stateful heißt, dass eine Firewall mithilfe von Verfahren wie Stateful Packet Inspection (SPI) den Netzwerkverkehr, die Kommunikationskanäle, IP-Adressen, Zeitstempel und den Status von Übertragungsprotokollen überprüft. Diese Informationen werden in einer Liste (State Table) gespeichert. Dadurch kann ein System potenzielle Risiken durch Verbindungsanfragen besser einschätzen.

Wie solche Angriffe funktionieren

Das machen sich „State-Exhaustion“-DDoS-Angriffe zunutze, etwa nach dem TCP-Flood-Verfahren. Die Initiatoren starten dabei über gehackte IT-Systeme (Botnetze) eine große Zahl von Verbindungsanfragen (SYN-Messages) an Server. Die Firewall speichert Details dazu in einer Tabelle (TCP State Table). Anschließend bestätigt sie die Anfrage, indem sie an die Clients ein SYN-ACK-Datenpaket versendet und „wartet“ auf deren Antwort. Dafür hält das System eine TCP-Verbindung offen.

Bei TCP Flood bleiben jedoch die Bestätigungen aus. Stattdessen treffen weitere SYN-Messages ein, für die eine Firewall Ressourcen vorhalten muss – bis die State Table „überläuft“ und das System keine neuen TCP-Verbindungen mehr akzeptiert. Dann haben auch legitime Nutzer wie Bürger und Mitarbeiter keinen Zugriff mehr auf Webseiten und digitale Services einer öffentlichen Verwaltung. Mit dieser Methode lassen sich auch VPN-Gateways lahmlegen, über die Mitarbeiter vom Homeoffice aus auf das Unternehmensnetzwerk zugreifen.

Gegenmaßnahme: DDoS-Schutz für Firewalls

Laut dem „16th Worldwide Infrastructure Security Report (WISR)“ von Netscout gaben 83 Prozent der Unternehmen und Öffentlichen Verwaltung an, dass Firewalls und VPN-Gateways maßgeblich dazu beitrugen, dass DDoS-Angriffe auf ihre Netzwerke erfolgreich verliefen. Zum Schutz von Firewalls und VPN-Konzentratoren müssen daher „zustandslose“ (stateless) IT-Sicherheitslösungen am Netzwerkperimeter vorgeschaltet werden. Diese sind gegenüber State-Exhaustion-Angriffen unempfindlich, blockieren solche DDoS-Attacken und schützen auch bis zu einem gewissen Grad vor volumetrischen Angriffen.

Gleichermaßen verzeichnete Netscout im ersten Halbjahr 2021 in Deutschland DDoS-Attacken mit einer Bandbreite von bis zu rund 1,3 Terabit pro Sekunde. Derartige Angriffbandbreiten können jedoch lokale DDoS-Schutzsysteme nicht abwehren. Eine DDoS-Schutzlösung sollte daher hybrid konzipiert sein und den Best-Practice-Empfehlungen folgen: Das heißt, im Falle von hoch volumetrischen Angriffen sollte der Datenverkehr zur Mitigation an einen Cloud Protection Service (Scrubbing) weitergeleitet werden.

Ein solcher Cloud-Protection-Service stellt sicher, dass diese volumetrischen Angriffe abgewehrt werden und die Netze und digitalen Services einer Öffentlichen Verwaltung weiterhin verfügbar bleiben.

Bildergalerie

Fazit

Ein Ziel von Bund, Ländern und Gemeinden ist, die Digitalisierung der öffentlichen Verwaltungen voranzubringen. Doch der Erfolg solcher Initiativen hängt maßgeblich davon ab, dass die IT-Infrastruktur und digitalen Services Cyber-Angriffen standhalten, insbesondere auch DDoS-Attacken. Mit herkömmlichen IT-Security Konzepten lässt sich das nicht erreichen. Daher ist es an der Zeit, die Netzwerkinfrastruktur von öffentlichen Verwaltungen neu zu bewerten und vor solchen hochentwickelten DDoS-Angriffen zu schützen.

Der Autor: Karl Heuser
Account Manager Security DACH bei Netscout

Bildquelle: Netscout

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48115548)