DDoS-Attacken abwehren
Wie Unternehmen ihr DNS schützen
Glaubt man einer Umfrage des DDoS-Abwehrspezialisten Arbor Networks, wurde im vergangenen Jahr ein Drittel aller befragten Unternehmen Opfer einer DDoS-Attacke (Distributed Denial of Service) auf ihre DNS-Server (Domain Name System Server). 2012 war es noch nur ein Viertel der Befragten. Auch der Cisco-Sicherheitsreport 2014 zeigt das steigende Risiko - so haben die Sicherheitsexperten festgestellt, dass jedes einzelne in Augenschein genommene Unternehmen bereits von DDoS-Angriffen betroffen war.
Aber: Trotz der stetig wachsenden Gefahr treffen Unternehmen nicht die notwendigen Vorkehrungen, um einen wichtigen Teil ihrer IT-Infrastruktur zu schützen. Nur wenige haben spezielles Personal, das sich intern um das Thema DNS-Sicherheit kümmert und aktive Vorsorge betreibt. Dieser Beitrag soll aufzeigen, wie DNS-basierte DDoS-Attacken funktionieren und was Unternehmen dagegen tun können.
Massive Angriffe
Es ist erstaunlich einfach, die DNS-Infrastruktur eines Unternehmens einzusetzen, um eine DDoS-Attacke auszuführen. Dafür nutzen die Angreifer die IP-Adresse ihres Opfers und senden darüber Anfragen an viele verschiedene Name-Server - die dann wiederum ihre Antworten zurückschicken.
Das Ganze wäre kein allzu großes Problem, wenn diese Antworten in etwa die gleiche Größe hätten wie die Anfragen selbst. Allerdings nutzen Angreifer hier oft eine sogenannte DNS Amplification Attack, einen "verstärkten" Angriff, bei dem die Name-Server sehr große Datenmengen auf eine vermeintlich kleine Anfrage zurückschicken. Dieses Verfahren hat sich besonders verbreitet, seit es den Standard Domain Name Security Extensions (DNSSEC) gibt, mit dem DNS-Einträge digital signiert werden.
Ein Beispiel: Eine Anfrage, die gerade einmal 44 Byte groß ist, wird von einer gekaperten IP-Adresse an eine Domain geschickt, die den DNSSEC-Standard nutzt - und eine mehr als 4.000 Byte große Antwort auslöst. Mit einer Internetverbindung von einem Mbit/s hätte ein Angreifer also die Möglichkeit, 2.830 je 44 Byte große Anfragen pro Sekunde zu verschicken. Die Antworten an den Zielserver könnten sich allerdings in einer Größenordnung von 93 Mbit/s bewegen. Diese Zahlen lassen sich sogar leicht multiplizieren, wenn ein Botnetz mit Tausenden von Rechnern Anfragen an den gleichen Zielserver schickt. Zehn Komplizen könnten so schnell Antworten mit einer Größe von einem Gbit/s verursachen und den Zielserver komplett handlungsunfähig machen.
- Datenklau droht überall
Gerade wenn sensible Daten zwischen verschiedenen Personen über Unternehmens- und Landesgrenzen hinweg ausgetauscht werden, muss deshalb eine Kombination verschiedener Verfahren dafür sorgen, dass Dokumente und Daten sowohl beim Transport als auch beim Herunterladen auf fremde Endgeräte geschützt sind. Informationsschutz beinhaltet unter anderem: - Eine Zwei-Faktor-Authentifizierung ...
... zum Beispiel über eine SMS-TAN und ein Benutzer-Passwort. - Vertrauliche Dokumente werden ...
... verschlüsselt auf dem Server abgelegt. Außerdem findet bei jeder Datenübertragung ebenfalls eine Verschlüsselung statt. - Shielding muss dafür sorgen, ...
... dass IT-Abteilung und IT-Provider keinen Zugriff auf die Daten erlangen. Das ist durch konsequente Trennung von Anwendungs- und Systemadministration und integrierte Freigabeprozesse mit Vier-Augen-Prinzip für sicherheitsrelevante Administrationsfunktionen sicherzustellen. - Mit Digital-Rights-Management ...
... ist eine koordinierte Zugriffsverwaltung möglich, können Berechtigungskonzepte erstellt werden und erfolgt eine revisionssichere Protokollierung aller Aktionen, die an Dokumenten und Datensätze ausgeübt wurden. - Wasserzeichen ...
... können verhindern, dass sensible Daten unautorisiert weitergegeben werden. - Ablage der Daten ...
... in sicheren, ISO zertifizierten Rechenzentren, auf die kein Zugriff von Seiten ausländischer Geheimdienste besteht.
Viele Name-Server lassen sich so konfigurieren, dass sie erkennen, wenn sie wiederholt Anfragen für dieselben Daten von der gleichen IP-Adresse bekommen. Aber es gibt auch offene rekursive Server - schätzungsweise 33 Millionen weltweit. Diese akzeptieren dieselbe Anfrage von derselben gekaperten IP-Adresse - und zwar immer und immer wieder.
Was kann ein Unternehmen tun, um sich gegen solche Angriffe zu schützen?