Jérôme Meyer

Teile dieses Textes wurden mit DeepL.com (kostenlose Version) übersetzt.

Wer mit den 7 Schichten des OSI-Modells vertraut ist weiß, dass die beiden für IP-Netzbetreiber wichtigsten Schichten die Schicht 3 (Netz) und die Schicht 4 (Transport) sind. Wenn es jedoch um verteilte Denial-of-Service-Bedrohungen (DDoS) geht, müssen Sie auch die Schicht 7 (Anwendung) berücksichtigen, die oft das Hauptziel von DDoS-Angriffen ist.

Die konventionelle Strategie der letzten 20 Jahre bestand darin, sich auf spezialisierte DDoS-Scrubbing-Appliances zu verlassen – zusätzlich zu anderen zustandsbehafteten Sicherheitsgeräten wie Firewalls oder Intrusion Detection/Prevention-Systemen – um die Verkehrsströme einzelner Pakete zu untersuchen und festzustellen, ob sie potenziell bösartig sind.

Dieser Ansatz hat zwar gute Dienste geleistet, ist aber nicht immer die optimale Lösung für die heutigen Netze. Die Verlagerung hin zu verschlüsseltem Internet-Verkehr (Datenschutz ist eine gute Sache!) und die zunehmenden Anforderungen durch das kontinuierliche Wachstum des Netzverkehrs haben dazu geführt, dass die Prüfung einzelner Pakete weniger effektiv und letztlich nicht wirtschaftlich ist.

Was wäre also, wenn man Ihnen sagen würde, dass man Router verwenden kann, um einen großen Teil der DDoS-Angriffe der Schicht 7 abzuschwächen? Die Leute werden sagen: „Aber… bei Routern geht es doch nur um Layer 3!“ Die Realität ist aber, dass die überwiegende Mehrheit der heutigen L7-DDoS-Angriffe von Botnets über das Transmission Control Protocol (TCP) ausgeht (der Anwendungsverkehr über TCP kann dank der TCP-Handshake-Anforderung nicht von gefälschten Quellen stammen). Das bedeutet, dass man Botnets im Netz erkennen kann und diese Quellen mithilfe von L3/L4-Zugangskontrolllisten (ACLs) auf den Routern blockieren können, anstatt den gesamten Datenverkehr auf der Grundlage des Aussehens der Verkehrsströme der Pakete zu blockieren.

Dies ist der Kern von Deepfield Defender, der Nokia-Software zur DDoS-Erkennung und -Abwehr. Deepfield erkennt, was die Router im Netz „sehen“, indem es die Telemetriedaten des Datenverkehrs mit Deepfield Secure Genome, einer von Nokia laufend aktualisierten Sicherheitskarte des Internets, korreliert. Anschließend wird den Routern mitgeteilt, was bei einem aktiven DDoS-Angriff zu blockieren ist. Mit anderen Worten: Defender arbeitet wie das Gehirn des Netzs, indem er erkennt, was passiert, und eine Reaktion veranlasst, um das Netz und die darauf aufbauenden Dienste zu schützen. Ein konkretes, aktuelles Beispiel aus dem Einsatz bei einem Nokia-Kunden in Europa: Zu Beginn dieses Jahres wurde dieser Dienstanbieter von einer Hacktivistengruppe angegriffen, die einen Web-DDoS-Angriffsvektor (manipulierte HTTPS-POST-Anfragen über Proxys in Wohngebieten) verwendete. Die Angriffe führten zu erheblichen Unterbrechungen der Dienste für seine Abonnenten.

Die erste Reaktion des Anbieters bestand darin, seinen bestehenden DDoS-Scrubber zu verwenden, um einen „Geo-Block“ zu implementieren und nur Datenverkehr aus dem Land zuzulassen, in dem er tätig ist. Dieser Ansatz kann bis zu einem gewissen Grad funktionieren, führt aber in der Regel zu hohen False-Positive-Raten, die legitime Nutzer außerhalb des Landes beeinträchtigen. Es führt auch zu hohen Falsch-Negativ-Raten, da Botnet- und Proxy-Verkehr auch aus dem Land stammen kann.

Dieser Dienstanbieter hatte vor kurzem Deepfield Defender in sein mehrschichtiges Sicherheitskonzept aufgenommen (noch einmal: mehrschichtig!) und beauftragte daher das Nokia Deepfield Emergency Response Team (ERT) mit seiner Hilfe. Nachdem das Team die Angriffsdetails erhalten hatten, entwickelten es eine Strategie, die viel effektiver und genauer war und schnell umgesetzt werden konnte.

Es erstellte neue Erkennungs- und Eindämmungsregeln, die auf spezifischen Botnet- und Proxy-Quellen basierten, um den bösartigen Datenverkehr direkt am Peering Edge über die vorhandenen Router des Kunden zu blockieren. Noch besser ist, dass dies durch eine schnelle Aktualisierung des Deepfield Secure Genome Feeds erreicht wurde. Es waren keinerlei Updates oder Eingriffe an der lokalen Deepfield-Installation oder den Routern erforderlich. Wer sich für dieses Beispiel interessiert, findet weitere Details in diesem Video auf Youtube.

Über Jérôme Meyer

Jérôme Meyer ist Sicherheitsforscher bei Nokia Deepfield und beteiligt sich an der Entwicklung des Deepfield-Portfolios für Netzsicherheit und -analyse. Er erwarb einen Master-Abschluss am Institut National des Sciences Appliquées in Lyon, Frankreich.

(sm)