DDoS-Schutz auf Anwendungsebene

Hacker nehmen vermeintlich sichere Web-Dienste ins Visier

| Autor / Redakteur: Guido Schaffner / Peter Schmitz

Cyberkriminelle attackieren zunehmend die Verschlüsselungen und Sicherheitsprotokolle von Transaktions-Servern, Web-Diensten, IT-Komponenten oder der IT-Infrastruktur.
Cyberkriminelle attackieren zunehmend die Verschlüsselungen und Sicherheitsprotokolle von Transaktions-Servern, Web-Diensten, IT-Komponenten oder der IT-Infrastruktur. (Bild: Pixabay / CC0)

Der Online-Handel boomt und mit ihm digitales Banking. Um E-Commerce- und Online-Banking-Transaktionen für Endverbraucher sicher zu gestalten, verwenden Anbieter für diese Transaktionen eine Verschlüsselung. Doch weil die sensiblen personenbezogenen Informationen und Finanzdaten für Cyber­kriminelle ein attraktives Ziel sind, versuchen sie, Verschlüsselungen und Sicherheits­protokolle zu umgehen.

Im vergangenen Jahr kauften deutsche Verbraucher Waren und Dienstleistungen im Wert von über 74 Milliarden Euro im Internet. Damit wurde jeder achte Euro des gesamten Einzelhandels im Onlinegeschäft ausgegeben. Auch Bankgeschäfte werden fast nur noch digital erledigt: Mehr als drei Viertel der deutschen Internetnutzer führen ihre Finanzangelegenheiten online durch. Banking-Anbieter setzen für Finanz-Transaktionen zwar auf eine sichere Verschlüsselung, aber Finanzdaten sind für Cyberkriminelle ein attraktives Ziel und damit sind auch die schützenden Verschlüsselungen und Sicherheitsprotokolle ein Ziel für ihre Angriffe.

Insbesondere Angreifer von Distributed-Denial-of-Service (DDoS) -Attacken zielen daher auch immer öfter auf diese verschlüsselten Dienste. Bei einer DDoS-Attacke werden Server, Web-Dienste, IT-Komponenten oder die IT-Infrastruktur solange mit Datenverkehr überlastet, bis diese nicht mehr verfügbar sind. Laut dem 13. Sicherheitsbericht von Netscout Arbor berichten 53 Prozent der befragten Institutionen – hierzu gehören Unternehmen, Bildungseinrichtungen und Behörden – von Angriffen auf verschlüsselte Dienste. Darüber hinaus verzeichnen 42 Prozent von ihnen DDoS-Angriffe auf die Transport Layer Security, beziehungsweise das Secure-Sockets-Layer- (TLS/SSL) Protokoll. Dies ist ein hybrides Verschlüsselungsprotokoll, das eine sichere Datenübertragung im Netz gewährleisten soll.

TLS 1.3 - Viel heiße Luft oder ein großer Wurf?

Transportverschlüsselung Teil 1

TLS 1.3 - Viel heiße Luft oder ein großer Wurf?

29.05.18 - Die Bedeutung der Datenverschlüsselung hat in den vergangenen Jahren massiv zugenommen. Beim Entwurf von TLS 1.3 bestand das Ziel darin, der aufkeimenden Bedrohung durch das Quantencomputing mit einer anspruchsvolleren Verschlüsselung gegenzusteuern, ohne dabei die User-Agents zu überfordern und gleichzeitig eine höhere Performance für latenzsensible IoT-Anwendungen zu liefern. lesen

Doch der Datenverkehr, der bei Angriffen auf die Anwendungsschicht anfällt, ist nur sehr schwer vom echten Benutzer-Traffic zu unterscheiden. Um daher Aktivitätsmuster zu identifizieren, die an einem Angriff beteiligt sind, muss die tatsächliche Transaktion auf der Anwendungsschicht analysiert werden. Fortschritte in der Verschlüsselungstechnologie, beispielsweise die neueste Version der Transport Layer Security (TLS 1.3), können es erschweren, Bedrohungen zu identifizieren und zu blockieren. Viele netzwerkbasierte Lösungen zur Bedrohungs- und Betrugserkennung haben sich in der Vergangenheit auf eine transparente, passive Entschlüsselung von verschlüsselten Sitzungen über den Zugriff auf die privaten Schlüssel des Servers verlassen. Mit der Einführung von TLS 1.3 ist das nicht ganz so einfach, da nicht alle Informationen, die zum Entschlüsseln einer Sitzung benötigt werden, von der Leitung mitgelesen werden können. TLS 1.3 schreibt vor, dass das Konzept Perfect Forward Secrecy (PFS) benutzt werden muss, um die Vertraulichkeit der Kommunikation zu erhöhen.

Die gemeinsame Nutzung von Schlüsseln

Ein möglicher Ansatz, um sich gegen Angriffe auf die Anwendungsschicht zu schützen, kann die Verwendung eines Content Delivery Networks (CDN) sein. Wenn verschlüsselte Dienste geschützt werden, kann dies bedeuten, dass der Diensteigentümer private Schlüssel zur Nutzung durch den Drittanbieter übergibt oder erzeugt. Unabhängig davon, ob dies der Fall ist oder nicht, beendet und entschlüsselt der CDN-Anbieter die Kundenkommunikation zur Überprüfung in seiner Umgebung. Dies hilft, DDoS-Angriffe auf Anwendungsebene zu minimieren. Für manche Kunden ist das Risiko einem Drittanbieter die Schlüssel zu übergeben akzeptabel, für andere nicht.

Ergänzendes zum Thema
 
Die vier wichtigsten Angriffsarten auf verschlüsselte Web-Services

Die zweiten Option ist es, ein Reverse-Proxy im Netzwerk zu verwenden. Die Nutzung eigener Reverse-Proxies sind für das Load-Balancing üblich, und sie ermöglichen die Überprüfung des Datenverkehrs. Da der Proxy jedoch anfällig für Überlastungsangriffe ist (TCP State Exhaustion), wäre es sinnvoll, wenn er wiederum der DDoS-Abwehrlösung Telemetrie-Daten zur Verfügung stellt. So kann der angreifende Host identifiziert und blockiert werden. Überlastungsangriffe zielen darauf ab, in Geräten der Internetinfrastruktur, wie Firewalls und Load-Balancern, alle verfügbaren TCP-Verbindungen zu belegen. Angriffe auf Applikationsebene führen ganz allmählich, und damit schleichend, zur Überlastung der Ressourcen von Applikationsservern. Mit Bezug auf den Proxy versuchen derartige Angriffe, seine Fähigkeiten zur Sitzungsverwaltung zu beinträchtigen. Diesem Problem kann begegnet werden, indem dem Reverse-Proxy eine DDoS-Schutzlösung vorgeschaltet wird, die sowohl State-Exhaustion-Angriffe als auch Angriffe auf die TLS-Aushandlung identifizieren und blockieren kann.

Es gibt jedoch noch eine dritte Option: die transparente, passive Entschlüsselung. Wie erwähnt, müssen jedoch im Zusammenhang mit TLS 1.3 einige Aspekte beachtet werden. Eine passive Entschlüsselung ist nach wie vor möglich, wenn ephemere Diffie-Helman-Chiffren (wie in TLS 1.3 genutzt) verwendet werden. Zusätzlich sind statische Schlüssel sitzungsübergreifend wiederzuverwenden. Dabei werden die Schlüssel unter Verwendung einer Key-Management-Plattform in der gesamten Netzwerksicherheitslösung verteilt und dann periodisch gewechselt. Dieser Mechanismus ermöglicht eine transparente Entschlüsselung des Datenverkehrs, um Bedrohungen zu identifizieren und zu blockieren, ähnlich wie bei bestehenden Mechanismen vor TLS 1.3.

eTLS hebelt Forward Secrecy von TLS 1.3 wieder aus

Transportverschlüsselung kontra Industrie

eTLS hebelt Forward Secrecy von TLS 1.3 wieder aus

14.12.18 - Mit eTLS hat die ETSI eine Implementierungs­variante von TLS 1.3 entwickelt, welche die vollständige Forward Secrecy des IETF-Standards mit nicht-ephemeralen DH-Schlüsseln unterwandert. eTLS ist also ein vergleichsweise durchsichtiger Versuch einiger Interessengruppen, die Forward Secrecy von TLS 1.3 gleich wieder abzuschaffen. lesen

Fazit

Je nach unternehmerischen und gesetzlichen Anforderungen, sollte IT-Security immer individuell betrachtet und ein auf die eigenen Bedürfnisse angepasstes Konzept verfolgt werden. Da jedoch DDoS-Angriffe auf die Applikationsebene immer häufiger auftreten, müssen Unternehmen eine geeignete Lösung finden, wobei die Verschlüsselung unerlässlich bleibt. 2017 stieg die Anzahl der Attacken auf Anwendungsebene bei Unternehmen um 30 Prozent. Die meisten DDoS-Attacken führten dabei zu einer Überlastung der Bandbreite bei den Betroffenen. Dies war bei mehr als jedem Zweiten (57 Prozent der Unternehmen) der Fall.

Über den Autor: Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45698502 / DDoS, Fraud und Spam)