Die erfolgreiche Bekämpfung von DDoS-Erpressungsangriffen ist für Unternehmen und Service Provider gleichermaßen zu einer hohen Priorität geworden. Wie der neueste Threat Intelligence Report zeigt, haben Angreifer im ersten Halbjahr 2021 fast 5,4 Millionen Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) gestartet. Das ist ein Anstieg von 11 Prozent gegenüber dem gleichen Zeitraum im Jahr 2020.
Es ist kein Zufall, dass die Notwendigkeit für Unternehmen, Telearbeit-Initiativen zu unterstützen, mit der Zunahme von Angriffen zusammenfällt. Die Geräte, die zur Unterstützung dieser Initiativen eingesetzt werden, nämlich VPN-Gateways und -Konzentratoren, Firewalls, Load Balancer, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS), sind „Stateful“ arbeitende Geräte. Das bedeutet, dass sie Verbindungsinformationen halten, die u. a. für Routing, Sicherheit und Datenverkehrsmanagement verwendet werden. Damit sind sie auch anfällig für DDoS-Angriffe.
Warum sind diese Geräte Ziele von DDoS-Angriffen?
Zu den häufigsten Angriffen gehören State-Exhaustion DDoS-Angriffe. Sie deaktivieren Dienste oder die zugrunde liegende Netzwerkinfrastruktur, die für die Bereitstellung von Verbindungen und Inhalten für Endbenutzer verantwortlich ist. Dazu werden die dafür benötigten Ressourcen mit illegitimen Verbindungen gefüllt, wodurch legitime Verbindungen blockiert werden.
Um besser zu verstehen, warum Angreifer diese Geräte ins Visier nehmen, ist es hilfreich, zwei der häufigsten Geräte zu untersuchen: Firewalls und VPN-Gateways.
EXTRA: Cyber-Security: Wie du DDoS-Attacken abwehren kannst
Stateful-Angriffsziel 1: Firewalls
Ein weit verbreiteter Irrglaube ist, dass Firewalls DDoS-Angriffe allumfänglich stoppen können. Dies ist aus den folgenden Gründen nicht der Fall:
- Firewalls bieten einen rudimentären Schutz vor DDoS-Angriffen in Form von SYN-, UDP- und ICMP-Flood-Schutz. Aber selbst dieser begrenzte DDoS-Schutz wirkt sich erheblich auf die Performance wichtigerer anderer Funktionen aus.
- Da eine Firewall auf die Überprüfung bidirektionaler Verbindungen angewiesen ist, also Stateful arbeitet, kann sie in einem asymmetrischen Routing-Szenario, in dem nur eingehende DDoS-Angriffspakete gesehen werden, nicht funktionieren.
- Des Weiteren bieten Firewalls keinen detaillierten Einblick in den verworfenen DDoS-Angriffsverkehr.
- Firewalls können nicht ausreichend oder gar nicht, mit Cloud-basierten DDoS Lösungen kommunizieren, um große Volumen basierte DDoS Angriffe abwehren zu können.
Stateful-Angriffsziel 2: VPNs
Obwohl das VPN-Gateway zu einem wichtigen Instrument geworden ist, stellt es ein schwaches Glied in der Kommunikationskette zwischen Remote-Benutzern und Unternehmensressourcen dar.
Es gibt zwei Arten von DDoS-Angriffen, die darauf abzielen, ein VPN-Gateway zu beeinträchtigen:
- TCP-State-Exhaustion-Angriffe: Diese Angriffe zielen darauf ab, die TCP Session Tabelle mit gefälschten TCP-Verbindungen zu füllen. Wenn dies im VPN-Gateway geschieht, können legitime BenutzerInnen keine neue Verbindung zum VPN-Gateway aufbauen, um auf Unternehmensressourcen zuzugreifen.
- Netzwerk Layer 3 DDoS: Angriffe auf Netzwerkebene eines VPN-Gateways, die Netzwerkschnittstelle ist in der Regel kleiner ausgelegt als die vorgeschaltete Internetleitung. Daher muss ein DDoS-Angriff nicht so groß sein – nur groß genug, um die Netzwerkschnittstelle des VPN-Gateways zu überlasten.
EXTRA: Cyber Security Awareness: 5 Tipps, wie du deine Mitarbeiter sensibilisierst
Schutzmaßnahmen
Da Firewalls, VPN-Gateways und andere Stateful arbeitenden Geräte nicht vollumfänglich in der Lage sind, sich gegen das gesamte Spektrum von DDoS Angriffen zu verteidigen, ist eine dedizierte Lösung zur Angriffserkennung und Angriffsabwehr erforderlich.
Solche Lösungen zur DDoS Erkennung und Abwehr sollten die folgenden Merkmale aufweisen:
- Sie sollten sich leicht in den Cybersicherheits-Stack und die Prozesse integrieren lassen.
- Sie sollten nicht Stateful sondern Stateless basiert arbeiten.
- Dieser Stateless DDoS-Schutz sollte auch vor dem VPN-Gateways eingesetzt werden, um eingehende DDoS-Angriffe zu stoppen, die Verfügbarkeit des VPN zu schützen und den Fernzugriff zu ermöglichen.
- Wenn eine Stateful Inspektion erforderlich ist, sollte diese nur kurzfristig genutzt werden.
- Die Verwendung von Stateless basierten Geräte an der Netzwerkgrenze zum Internet, kann auch dazu dienen Brute-Force-Angriffe auf Passwörter zu verhindern.
- Des Weiteren sollte die Lösung die Möglichkeit bieten effektiv den Netzwerkverkehr, eingehend und vor allem ausgehend, auf Indicators of Compromise (IoCs) zu prüfen und bei Bedarf diesen Verkehr zu blockieren.
Fazit
Da die MitarbeiterInnen wahrscheinlich dauerhaft zu einer hybriden Arbeitswelt wechseln werden, werden AngreiferInnen auch weiterhin den erweiterten Fußabdruck nutzen, um größere und umfangreichere DDoS-Angriffe zu starten. Herkömmliche Verteidigungsmaßnahmen wie Firewalls sind angesichts solcher adaptiven Angriffe nicht mehr ausreichend. Dedizierte DDoS Lösungen sind für Unternehmen heute unverzichtbar.