{"id":1065,"date":"2024-06-03T09:14:14","date_gmt":"2024-06-03T07:14:14","guid":{"rendered":"https:\/\/www.lan-wan-telecom.de\/?p=1065"},"modified":"2024-06-03T09:25:34","modified_gmt":"2024-06-03T07:25:34","slug":"erweiterung-von-nokia-fuer-ip-router-schuetzt-vor-ddos-angriffen","status":"publish","type":"post","link":"https:\/\/www.lan-wan-telecom.de\/index.php\/2024\/06\/03\/erweiterung-von-nokia-fuer-ip-router-schuetzt-vor-ddos-angriffen\/","title":{"rendered":"Erweiterung von Nokia f\u00fcr IP-Router sch\u00fctzt vor DDoS-Angriffen"},"content":{"rendered":"<h5>J\u00e9r\u00f4me Meyer<\/h5>\n<p><em>Teile dieses Textes wurden mit DeepL.com (kostenlose Version) \u00fcbersetzt.<\/em><\/p>\n<p>Wer mit den 7 Schichten des OSI-Modells vertraut ist wei\u00df, dass die beiden f\u00fcr IP-Netzbetreiber wichtigsten Schichten die Schicht 3 (Netz) und die Schicht 4 (Transport) sind. Wenn es jedoch um verteilte Denial-of-Service-Bedrohungen (DDoS) geht, m\u00fcssen Sie auch die Schicht 7 (Anwendung) ber\u00fccksichtigen, die oft das Hauptziel von DDoS-Angriffen ist.<\/p>\n<p>Die konventionelle Strategie der letzten 20 Jahre bestand darin, sich auf spezialisierte DDoS-Scrubbing-Appliances zu verlassen \u2013 zus\u00e4tzlich zu anderen zustandsbehafteten Sicherheitsger\u00e4ten wie Firewalls oder Intrusion Detection\/Prevention-Systemen \u2013 um die Verkehrsstr\u00f6me einzelner Pakete zu untersuchen und festzustellen, ob sie potenziell b\u00f6sartig sind.<\/p>\n<p>Dieser Ansatz hat zwar gute Dienste geleistet, ist aber nicht immer die optimale L\u00f6sung f\u00fcr die heutigen Netze. Die Verlagerung hin zu verschl\u00fcsseltem Internet-Verkehr (Datenschutz ist eine gute Sache!) und die zunehmenden Anforderungen durch das kontinuierliche Wachstum des Netzverkehrs haben dazu gef\u00fchrt, dass die Pr\u00fcfung einzelner Pakete weniger effektiv und letztlich nicht wirtschaftlich ist.<\/p>\n<p>Was w\u00e4re also, wenn man Ihnen sagen w\u00fcrde, dass man Router verwenden kann, um einen gro\u00dfen Teil der DDoS-Angriffe der Schicht 7 abzuschw\u00e4chen? Die Leute werden sagen: \u201eAber&#8230; bei Routern geht es doch nur um Layer 3!\u201c Die Realit\u00e4t ist aber, dass die \u00fcberwiegende Mehrheit der heutigen L7-DDoS-Angriffe von Botnets \u00fcber das Transmission Control Protocol (TCP) ausgeht (der Anwendungsverkehr \u00fcber TCP kann dank der TCP-Handshake-Anforderung nicht von gef\u00e4lschten Quellen stammen). Das bedeutet, dass man Botnets im Netz erkennen kann und diese Quellen mithilfe von L3\/L4-Zugangskontrolllisten (ACLs) auf den Routern blockieren k\u00f6nnen, anstatt den gesamten Datenverkehr auf der Grundlage des Aussehens der Verkehrsstr\u00f6me der Pakete zu blockieren.<\/p>\n<p>Dies ist der Kern von Deepfield Defender, der Nokia-Software zur DDoS-Erkennung und -Abwehr. Deepfield erkennt, was die Router im Netz \u201esehen\u201c, indem es die Telemetriedaten des Datenverkehrs mit Deepfield Secure Genome, einer von Nokia laufend aktualisierten Sicherheitskarte des Internets, korreliert. Anschlie\u00dfend wird den Routern mitgeteilt, was bei einem aktiven DDoS-Angriff zu blockieren ist. Mit anderen Worten: Defender arbeitet wie das Gehirn des Netzs, indem er erkennt, was passiert, und eine Reaktion veranlasst, um das Netz und die darauf aufbauenden Dienste zu sch\u00fctzen. Ein konkretes, aktuelles Beispiel aus dem Einsatz bei einem Nokia-Kunden in Europa: Zu Beginn dieses Jahres wurde dieser Dienstanbieter von einer Hacktivistengruppe angegriffen, die einen Web-DDoS-Angriffsvektor (manipulierte HTTPS-POST-Anfragen \u00fcber Proxys in Wohngebieten) verwendete. Die Angriffe f\u00fchrten zu erheblichen Unterbrechungen der Dienste f\u00fcr seine Abonnenten.<\/p>\n<p>Die erste Reaktion des Anbieters bestand darin, seinen bestehenden DDoS-Scrubber zu verwenden, um einen \u201eGeo-Block\u201c zu implementieren und nur Datenverkehr aus dem Land zuzulassen, in dem er t\u00e4tig ist. Dieser Ansatz kann bis zu einem gewissen Grad funktionieren, f\u00fchrt aber in der Regel zu hohen False-Positive-Raten, die legitime Nutzer au\u00dferhalb des Landes beeintr\u00e4chtigen. Es f\u00fchrt auch zu hohen Falsch-Negativ-Raten, da Botnet- und Proxy-Verkehr auch aus dem Land stammen kann.<\/p>\n<p>Dieser Dienstanbieter hatte vor kurzem Deepfield Defender in sein mehrschichtiges Sicherheitskonzept aufgenommen (noch einmal: mehrschichtig!) und beauftragte daher das Nokia Deepfield Emergency Response Team (ERT) mit seiner Hilfe. Nachdem das Team die Angriffsdetails erhalten hatten, entwickelten es eine Strategie, die viel effektiver und genauer war und schnell umgesetzt werden konnte.<\/p>\n<p>Es erstellte neue Erkennungs- und Eind\u00e4mmungsregeln, die auf spezifischen Botnet- und Proxy-Quellen basierten, um den b\u00f6sartigen Datenverkehr direkt am Peering Edge \u00fcber die vorhandenen Router des Kunden zu blockieren. Noch besser ist, dass dies durch eine schnelle Aktualisierung des Deepfield Secure Genome Feeds erreicht wurde. Es waren keinerlei Updates oder Eingriffe an der lokalen Deepfield-Installation oder den Routern erforderlich. Wer sich f\u00fcr dieses Beispiel interessiert, findet weitere Details <a href=\"https:\/\/youtu.be\/y37SFlpkEes\" target=\"_blank\" rel=\"noopener\">in diesem Video<\/a> auf Youtube.<\/p>\n<p><em>\u00dcber J\u00e9r\u00f4me Meyer<\/em><\/p>\n<p><em>J\u00e9r\u00f4me Meyer ist Sicherheitsforscher bei Nokia Deepfield und beteiligt sich an der Entwicklung des Deepfield-Portfolios f\u00fcr Netzsicherheit und -analyse. Er erwarb einen Master-Abschluss am Institut National des Sciences Appliqu\u00e9es in Lyon, Frankreich.<\/em><\/p>\n<p>(sm)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>J\u00e9r\u00f4me Meyer Teile dieses Textes wurden mit DeepL.com (kostenlose Version) \u00fcbersetzt. Wer mit den 7 Schichten des OSI-Modells vertraut ist wei\u00df, dass die beiden f\u00fcr IP-Netzbetreiber wichtigsten Schichten die Schicht 3 (Netz) und die Schicht 4 (Transport) sind. Wenn es jedoch um verteilte Denial-of-Service-Bedrohungen (DDoS) geht, m\u00fcssen Sie auch die Schicht 7 (Anwendung) ber\u00fccksichtigen, die [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,5,11],"tags":[],"class_list":["post-1065","post","type-post","status-publish","format-standard","hentry","category-firmen-news","category-networks","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1065"}],"version-history":[{"count":2,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1065\/revisions"}],"predecessor-version":[{"id":1067,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1065\/revisions\/1067"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}