Dass das Internet of Things (IoT) noch bevor es sich richtig etabliert hat komplett kaputt ist, ist die eine Sache. Was aber noch bedenklicher ist, wie massiv doch die (D)DoS Angriffe geworden sind – und dies ist erst der Anfang.
Die (D)DoS Angriffe die zurzeit wie eine Welle oder besser wie ein Tsunami über Anbieter, Dienste und Webserver hineinbrechen sind wohl leider erst nur der Anfang. Der Breitbandausbau ist wichtig und auch zwingend notwendig. Aber dadurch steht viel Bandbreite bei eher sehr schlecht abgesicherten Systemen den Angreifern zur Verfügung. Da die Bandbreiten und die Anzahl der schlecht gesicherten Systeme immer mehr werden, ist das was wir derzeit erlebt haben nur der Anfang – es wird noch viel schlimmer.
All diejenigen die Dienste in egal welcher Form auch immer anbieten sind nun in der Plicht ihre Dienste und vor allem ihre Internetanbindungen zu schützen. Dies gilt im Besonderen, wenn diese Dienste durch das eigene lokale Rechenzentrum zur Verfügung gestellt werden. Hier gibt es für alle, die auf einen funktionierenden Internetzugang angewiesen sind Handlungsbedarf.
Um zu verstehen, wie dieser Handlungsbedarf aussieht muss man die Art der Angriffe verstehen und auch unterscheiden. Bei einer groben Einteilung gibt es zwei Arten von Angriffe. Die mit wenig Volumen und Bandbreite ganz gezielt auf Schwachstellen in der (Web-)Anwendung abzielen um diese unbrauchbar zu machen und auf der anderen Seite die Angriffe die mit massiven Volumen und Bandbreite eine Überlast verursachen um so den kompletten Betrieb zu stören. Gegen die massiven Angriffe ist man am Ende seiner Internetverbindung völlig machtlos. Denn wenn man einmal das Datenpaket hat, ist es ja schon über die Leitung gekommen und hat diese schon belastet, ganz egal ob man dann das Paket verwirft oder nicht. Der eigene Dienst ist eben nun mal der letzte in der Kette und somit bei dieser Art des Angriffs ein leichtes Opfer. Das Problem ist hierbei aber nur, dass selbst wenn man auf den Dienst zur Not verzichten kann, die komplette Internetleitung unbrauchbar ist und dadurch sämtliche Dienste und die Internetnutzung nicht mehr möglich sind. Bei einem Angriff mit wenig Volumen und Bandbreite der direkt auf die Anwendung als solches zielt, kann man natürlich auch am Ende der Leitung was unternehmen, was man natürlich auch sollte.
In Anbetracht der zwar Arten von Angriffen ergeben sich auch zwei Szenarien zum Schutz der eigenen Dienste und vor allem auch der eigenen Internetanbindung. Unabhängig von (D)DoS Angriffen muss jede Anwendung die aus dem Internet zu erreichen ist, gegen DoS, also Denial of Service Angriffe geschützt werden. Dies gilt universell und ist völlig unabhängig von den aktuellen Angriffen. Je nach Anwendung lassen sich geeignete Maßnahmen durch ADC, WAF oder auch Reverse Proxy Systeme ergreifen, die dann die eigenen Dienste vor gezielten Angriffen schützen.
Bei den Volumen und Bandbreiten Angriffen ist es ungemein schwieriger hier etwas zu tun. Vor allem geht dies in keinen Fall ohne externe Hilfe durch den ISP, Carrier oder einem externen Standort. Bei dieser Art des Angriffs geht es nur darum die unerwünschten Daten von der eigenen Leitung fern zu halten um noch handlungsfähig zu bleiben. Da für die meisten mittelständischen Unternehmen ein Ausfall von einem Dienst eher noch zu kompensieren ist, wie der Ausfall der Internetanbindung selbst, geht dieser Artikel nur auf dieses Szenario ein. Vor allem ist dieses Szenario mit noch normalen IT Budgets bezahlbar, wo hingegen im anderen Fall dies nicht mit dem Einwurf von Münzen sondern eher von sehr großen Scheinen zu realisieren ist. Auch im Hinblick darauf, dass es selbst Dienste wie Twitter es nicht geschafft haben erreichbar zu bleiben, muss man schon schweres Geschütz auffahren um sich hier passend zu schützen.
Richtet man das Szenario darauf aus, die eigene Internetanbindung frei von der zweiten Art des Angriffs zu halten, so lässt sich dies sehr einfach bewerkstelligen. Alles was man benötigt ist ein externer Standort bei dem die eigenen Dienste terminieren. Durch den Einsatz geeigneter LoadBalancer, ADC’s oder NextGen-ADC’s und vielleicht noch in Kombination mit WAF Funktion brandet erst mal dort alles an, was so aus den Weiten des Internet kommt. Der eigene Dienst und die Daten verbleiben davon unberührt im eigenen Rechenzentrum. Der entscheidende Vorteil ist hier nicht nur der Schutz der Anwendungen, sondern auch die einstellbaren Limiter für Bandbreite und Sessions die zum eigentlichen Dienst durchgelassen wird. Passend konfiguriert prallt am externen Standort alles ab und die eigene Internetanbindung bleibt weiterhin uneingeschränkt nutzbar. Kurzum das Unternehmen bleibt, wenn auch bei dem einem oder anderen Dienst etwas eingeschränkt, auf jeden Fall arbeitsfähig und online.
Als give-away bekommt man beim Einsatz des externen Standorts noch IPv6 Adressen für seine Dienste mit dazu. So bietet man ohne extra Aufwand seinen Benutzern der Dienste einen echten Dual Stack Betrieb an, ohne selbst schon IPv6 einführen zu müssen.
Wenn Sie ihre Dienste schützen wollen und Fragen zum Thema (D)DoS Schutz haben, sprechen Sie und wie gewohnt an.