Suchen

DDoS-Schutz auf Anwendungsebene Hacker nehmen vermeintlich sichere Web-Dienste ins Visier

| Autor / Redakteur: Guido Schaffner / Peter Schmitz

Der Online-Handel boomt und mit ihm digitales Banking. Um E-Commerce- und Online-Banking-Transaktionen für Endverbraucher sicher zu gestalten, verwenden Anbieter für diese Transaktionen eine Verschlüsselung. Doch weil die sensiblen personenbezogenen Informationen und Finanzdaten für Cyber­kriminelle ein attraktives Ziel sind, versuchen sie, Verschlüsselungen und Sicherheits­protokolle zu umgehen.

Firmen zum Thema

Cyberkriminelle attackieren zunehmend die Verschlüsselungen und Sicherheitsprotokolle von Transaktions-Servern, Web-Diensten, IT-Komponenten oder der IT-Infrastruktur.
Cyberkriminelle attackieren zunehmend die Verschlüsselungen und Sicherheitsprotokolle von Transaktions-Servern, Web-Diensten, IT-Komponenten oder der IT-Infrastruktur.
(Bild: Pixabay / CC0 )

Im vergangenen Jahr kauften deutsche Verbraucher Waren und Dienstleistungen im Wert von über 74 Milliarden Euro im Internet. Damit wurde jeder achte Euro des gesamten Einzelhandels im Onlinegeschäft ausgegeben. Auch Bankgeschäfte werden fast nur noch digital erledigt: Mehr als drei Viertel der deutschen Internetnutzer führen ihre Finanzangelegenheiten online durch. Banking-Anbieter setzen für Finanz-Transaktionen zwar auf eine sichere Verschlüsselung, aber Finanzdaten sind für Cyberkriminelle ein attraktives Ziel und damit sind auch die schützenden Verschlüsselungen und Sicherheitsprotokolle ein Ziel für ihre Angriffe.

Insbesondere Angreifer von Distributed-Denial-of-Service (DDoS) -Attacken zielen daher auch immer öfter auf diese verschlüsselten Dienste. Bei einer DDoS-Attacke werden Server, Web-Dienste, IT-Komponenten oder die IT-Infrastruktur solange mit Datenverkehr überlastet, bis diese nicht mehr verfügbar sind. Laut dem 13. Sicherheitsbericht von Netscout Arbor berichten 53 Prozent der befragten Institutionen – hierzu gehören Unternehmen, Bildungseinrichtungen und Behörden – von Angriffen auf verschlüsselte Dienste. Darüber hinaus verzeichnen 42 Prozent von ihnen DDoS-Angriffe auf die Transport Layer Security, beziehungsweise das Secure-Sockets-Layer- (TLS/SSL) Protokoll. Dies ist ein hybrides Verschlüsselungsprotokoll, das eine sichere Datenübertragung im Netz gewährleisten soll.

Doch der Datenverkehr, der bei Angriffen auf die Anwendungsschicht anfällt, ist nur sehr schwer vom echten Benutzer-Traffic zu unterscheiden. Um daher Aktivitätsmuster zu identifizieren, die an einem Angriff beteiligt sind, muss die tatsächliche Transaktion auf der Anwendungsschicht analysiert werden. Fortschritte in der Verschlüsselungstechnologie, beispielsweise die neueste Version der Transport Layer Security (TLS 1.3), können es erschweren, Bedrohungen zu identifizieren und zu blockieren. Viele netzwerkbasierte Lösungen zur Bedrohungs- und Betrugserkennung haben sich in der Vergangenheit auf eine transparente, passive Entschlüsselung von verschlüsselten Sitzungen über den Zugriff auf die privaten Schlüssel des Servers verlassen. Mit der Einführung von TLS 1.3 ist das nicht ganz so einfach, da nicht alle Informationen, die zum Entschlüsseln einer Sitzung benötigt werden, von der Leitung mitgelesen werden können. TLS 1.3 schreibt vor, dass das Konzept Perfect Forward Secrecy (PFS) benutzt werden muss, um die Vertraulichkeit der Kommunikation zu erhöhen.

Die gemeinsame Nutzung von Schlüsseln

Ein möglicher Ansatz, um sich gegen Angriffe auf die Anwendungsschicht zu schützen, kann die Verwendung eines Content Delivery Networks (CDN) sein. Wenn verschlüsselte Dienste geschützt werden, kann dies bedeuten, dass der Diensteigentümer private Schlüssel zur Nutzung durch den Drittanbieter übergibt oder erzeugt. Unabhängig davon, ob dies der Fall ist oder nicht, beendet und entschlüsselt der CDN-Anbieter die Kundenkommunikation zur Überprüfung in seiner Umgebung. Dies hilft, DDoS-Angriffe auf Anwendungsebene zu minimieren. Für manche Kunden ist das Risiko einem Drittanbieter die Schlüssel zu übergeben akzeptabel, für andere nicht.

Ergänzendes zum Thema
Die vier wichtigsten Angriffsarten auf verschlüsselte Web-Services

DDoS-Attacken auf Web-Dienste lassen sich nach in vier Kategorien einteilen:

  • Angriffe auf die TLS/SSL-Aushandlung, die auch als „Handshake“ bekannt ist. Hierbei werden die Details der Verschlüsselung zwischen den Partnern ausgehandelt.
  • Protokoll- oder Verbindungsangriffe auf Schwachstellen von SSL-Service-Ports.
  • Hochvolumige Angriffe auf SSL-Service-Ports, die mit hohem Datenverkehr die Port-Kapazitäten fluten und damit überlasten.
  • Angriffe auf Anwendungsebene auf die darunterliegende Dienste der SSL/TLS Verschlüsselung – zum Beispiel Mail-Protokolle

.

Die zweiten Option ist es, ein Reverse-Proxy im Netzwerk zu verwenden. Die Nutzung eigener Reverse-Proxies sind für das Load-Balancing üblich, und sie ermöglichen die Überprüfung des Datenverkehrs. Da der Proxy jedoch anfällig für Überlastungsangriffe ist (TCP State Exhaustion), wäre es sinnvoll, wenn er wiederum der DDoS-Abwehrlösung Telemetrie-Daten zur Verfügung stellt. So kann der angreifende Host identifiziert und blockiert werden. Überlastungsangriffe zielen darauf ab, in Geräten der Internetinfrastruktur, wie Firewalls und Load-Balancern, alle verfügbaren TCP-Verbindungen zu belegen. Angriffe auf Applikationsebene führen ganz allmählich, und damit schleichend, zur Überlastung der Ressourcen von Applikationsservern. Mit Bezug auf den Proxy versuchen derartige Angriffe, seine Fähigkeiten zur Sitzungsverwaltung zu beinträchtigen. Diesem Problem kann begegnet werden, indem dem Reverse-Proxy eine DDoS-Schutzlösung vorgeschaltet wird, die sowohl State-Exhaustion-Angriffe als auch Angriffe auf die TLS-Aushandlung identifizieren und blockieren kann.

Es gibt jedoch noch eine dritte Option: die transparente, passive Entschlüsselung. Wie erwähnt, müssen jedoch im Zusammenhang mit TLS 1.3 einige Aspekte beachtet werden. Eine passive Entschlüsselung ist nach wie vor möglich, wenn ephemere Diffie-Helman-Chiffren (wie in TLS 1.3 genutzt) verwendet werden. Zusätzlich sind statische Schlüssel sitzungsübergreifend wiederzuverwenden. Dabei werden die Schlüssel unter Verwendung einer Key-Management-Plattform in der gesamten Netzwerksicherheitslösung verteilt und dann periodisch gewechselt. Dieser Mechanismus ermöglicht eine transparente Entschlüsselung des Datenverkehrs, um Bedrohungen zu identifizieren und zu blockieren, ähnlich wie bei bestehenden Mechanismen vor TLS 1.3.

Fazit

Je nach unternehmerischen und gesetzlichen Anforderungen, sollte IT-Security immer individuell betrachtet und ein auf die eigenen Bedürfnisse angepasstes Konzept verfolgt werden. Da jedoch DDoS-Angriffe auf die Applikationsebene immer häufiger auftreten, müssen Unternehmen eine geeignete Lösung finden, wobei die Verschlüsselung unerlässlich bleibt. 2017 stieg die Anzahl der Attacken auf Anwendungsebene bei Unternehmen um 30 Prozent. Die meisten DDoS-Attacken führten dabei zu einer Überlastung der Bandbreite bei den Betroffenen. Dies war bei mehr als jedem Zweiten (57 Prozent der Unternehmen) der Fall.

Über den Autor: Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.

(ID:45698502)