Nachfolgende Empfehlungen verstehen sich als Leitlinie, den Schutz vor verteilten Denial of Service (DoS) -Angriffen zu verbessern. Gleichzeitig dienen sie als Diskussionsgrundlage zur konkreten Realisierung von Maßnahmen in den Bereichen Server-Betreiber, Netzvermittler, Inhalte-Anbieter und Endnutzer. Anlass sind die im Februar verstärkt beobachteten DoS-Angriffe auf renommierte Internet-Anbieter.
Hierbei hatten sich die Angreifer Zugang zu hunderten von Rechnern im Internet verschafft, auf denen sie die Programme für die DoS-Attacken installierten. Von einem separaten Rechner aus synchronisierten sie diese Angriffsprogramme derart, dass die Wirksamkeit des Angriffs durch die Vielzahl der gleichzeitig angreifenden Rechner stark erhöht war. Diese Art Angriff wird als Distributed Denial of Service (DDoS)-Angriff bezeichnet. Eine allgemeine Analyse dieser Angriffs-Tools ist HIER zu finden.
Die beobachteten Angriffe basierten auf zwei wesentlichen Schwachstellen: Zum einen wurden die Absenderadressen der "angreifenden" Datenpakete gefälscht (IP-Spoofing), zum anderen wurden - vor den Angriffen auf ausgewählte Zielrechner - auf einer großen Anzahl weiterer, nur unzureichend geschützter Internet-Rechner unberechtigterweise Programme installiert, die ferngesteuert in Massen Datenpakete absenden können. Das besondere an diesen DDoS-Angriffen ist, dass diese daher auch diejenigen treffen können, die sich ansonsten optimal vor Eindringlingen aus dem Internet geschützt haben (für die Erkennung und Behandlung von Angriffen vgl. ERKENNUNG VON ANGRIFFEN AUS DEM INTERNET. Insofern sind Rechner, auf denen noch nicht einmal sogenannte Grundschutzmaßnahmen umgesetzt sind, nicht nur für den jeweiligen Betreiber eine Gefahr, sondern auch für alle anderen Rechner im Internet. So waren die Vorbereitungen zu den kürzlich bekannt gewordenen Angriffen nur dadurch möglich, dass verschiedene schon seit längerem bekannte Schwachstellen nicht beseitigt wurden.
Wirksame Maßnahmen gegen verteilte Denial-of-Service-Angriffe müssen in einer konzertierten Aktion an vielen Stellen in der vorhandenen komplexen Internetstruktur getroffen werden. Serverbetreiber im Internet, die Ziel der genannten Angriffe waren, können eine Reihe von sinnvollen Maßnahmen ergreifen, aber das DoS-Problem nicht vollständig lösen. Vielmehr müssen verschiedene Zielgruppen (Inhalte-Anbieter, Serverbetreiber, Netzvermittler und Endanwender) - jeder in seinem Bereich - tätig werden. Nur gemeinsam kann das Internet im Hinblick auf die Gefährdung durch DoS-Angriffe sicherer gemacht, die Durchführung von Denial-of-Service-Angriffen erschwert sowie eine spätere Verfolgung der Urheber dieser Angriffe erleichtert werden.
Durch die unten angegebenen Maßnahmenempfehlungen werden folgende Zielgruppen in ihrer Aufgabe, das Internet gegen DoS-Angriffe zu schützen, angesprochen:
Bild: In der Abbildung sind die in diesem Papier verwendeten Zielgruppen (die Inhalte-Anbieter sind hier nicht von den Serverbetreibern getrennt) bezüglich der Kommunikationsstruktur im Internet angegeben. Die Nummern beschreiben, welche Maßnahmen bei den jeweiligen Komponenten zu beachten sind. Die Maßnahmen 4 und 13 gelten für alle Komponenten und sind deshalb in der Zeichnung nicht angeführt.
Durch die unmittelbare Umsetzung und Einhaltung der Empfehlungen sowie durch eigene weiterführende Sofortprogramme können die angesprochenen Zielgruppen entscheidend dazu beitragen, dass das gemeinsame Ziel, das Internet sicher zu gestalten, erreicht wird. Eine besondere Rolle kommt den Netzvermittlern zu, die normalerweise keine Schutzfunktion für die Serverbetreiber übernehmen. Bei dem für DoS-Angriffen verwendeten IP-Spoofing sind die Netzvermittler diejenigen, die wirksam falsche Pakete schon beim Einspeisen in das Internet erkennen und verhindern können (s.u.).
Die nachfolgenden Maßnahmen sind bezüglich der Zielgruppen gegliedert, wobei die ersten fünf Maßnahmen bei der Abwehr bzw. der Schadensbegrenzung von DDoS-Angriffen helfen, da sie bei den Übertragungswegen im Internet ansetzen. Die restlichen Maßnahmen beziehen sich auf die Auswahl, Konfiguration und Pflege der Endsysteme im Internet und erschweren die Vorbereitung eines DDoS-Angriffs, d. h. das Eindringen in eine Vielzahl von Rechnern und die dortige Installation von Angriffsprogrammen.
Restrisiken werden jedoch
auch nach Umsetzung der Maßnahmen verbleiben, weshalb geordnete Meldeverfahren
für Angriffe über das Internet entwickelt werden sollten.
Maßnahmen für Netzvermittler
Den Netzvermittlern kommt eine zentrale Rolle bei der Verhinderung von DoS zu. Die Netzvermittler sind zwar selber nur selten Ziel von DoS-Angriffen, haben aber indirekt Nutzen von einem sichereren Internet, da das Vertrauen aller Nutzer und damit ihre Zahl wächst.
Maßnahme 1: Verhinderung von IP-Spoofing
Viele DoS-Angriffe nutzen gefälschte IP-Absenderadressen. Dies macht einerseits einige Angriffe erst möglich und erschwert andererseits die Suche nach dem Verursacher. Durch entsprechende technische Regeln (RFC 2267 vom Januar 1998) in der Netzinfrastruktur der Netzvermittler können die Netzbetreiber diese Möglichkeit wesentlich einschränken, so dass gefälschte Pakete nicht weiter ins Internet vermittelt werden. Eine Organisation, die an einen Netzbetreiber angeschlossen ist, hat einen bestimmten IP-Adressbereich zur Verfügung. Jedes IP-Paket, dass aus dieser Organisation in das Internet geschickt wird, müsste eine IP-Absenderadresse aus diesem Bereich haben. Ist dies nicht der Fall, so handelt es sich um eine gefälschte Adresse und das IP-Paket sollte vom Netzvermittler nicht weitergeleitet werden, d. h., es soll eine Paketfilterung auf die Absenderadressen beim Einspeisen der Pakete in das Internet durchgeführt werden. Zwar ist IP-Spoofing innerhalb des erlaubten Adressbereichs der Organisation noch immer möglich, jedoch ist der Kreis der möglichen Verursacher auf die Organisation eingeschränkt. Ein normaler Heimzugang in das Internet hat nur eine einzige erlaubte IP-Adresse, so dass über solche Wählzugänge IP-Spoofing gar nicht mehr möglich wäre.
Maßnahme 2: Einsatz von Paketfiltern bei Netzvermittlern
Häufig sind Server nur über eine einzelne
Netzverbindung an den Netzvermittler angebunden. Selbst wenn die Server
widerstandfähig gegen DoS-Angriffe sind, so ist doch diese Netzverbindung selber
in ihrer Kapazität beschränkt und kann von einem Angreifer vollständig
ausgelastet werden, so dass die Server aus dem Internet nicht mehr erreichbar
sind. Daher sollten Netzvermittler in Erwägung ziehen, die Netzanbindung der
Serverbetreiber durch den Einsatz von Paketfiltern gegen DoS-Angriffe
abzuschirmen, d. h. es soll eine Paketfilterung (auf Ports) beim Verlassen der
Pakete aus dem Internet durchgeführt werden. Dies ist insbesondere dann sehr
effektiv, wenn in Zusammenarbeit mit einem Angriffserkennungssystem beim
Serverbetreiber der Paketfilter dynamisch an den jeweils laufenden Angriff
angepasst werden kann. (Darüber hinaus kann der Netzvermittler in Absprache mit
dem Serverbetreiber den Paketfilter auch so konfigurieren, dass Maßnahme 3 auch
auf der Seite des Netzvermittlers ergänzt wird.)
Maßnahmen für Serverbetreiber
Die Rechner der Serverbetreiber kommen nicht nur als Opfer der DoS-Angriffe in Betracht. Wegen ihrer leistungsfähigen Anbindung an das Internet sind sie auch potentielle Ausgangsplattformen. Daher muss verhindert werden, dass diese Rechner als Ausgangspunkt für Angriffe auf weitere Rechner missbraucht werden.
Maßnahme 3: Einsatz von Paketfiltern bei Serverbetreibern
Server sollten im Normalfall nur wenige Dienste anbieten und entsprechend konfiguriert werden. Auf dem vorgeschalteten Router sollten Paketfilterregeln implementiert werden, die nur die zugehörigen Protokolle passieren lassen und beispielsweise sicherheitskritische Dienste oder gerichtete Broadcasts (RFC 2644) abblocken. Im Falle eines Angriffs können diese Router so umkonfiguriert werden, dass die Anfragen von verdächtigen einzelnen IP-Adressen oder -Adressbereichen abgewiesen werden. (Darüberhinaus sollte der Serverbetreiber den Paketfilter zusätzlich so konfigurieren, dass aus seinem Netz heraus IP-Spoofing nicht möglich ist und so die Maßnahme 1 unterstützt wird. Die dazu vorzunehmenden Einstellungen sind in den Systemverwalter-Handbüchern der Router beschrieben.)
Maßnahme 4: Automatische Angriffserkennung
DoS-Angriffe zeichnen sich normalerweise dadurch aus, dass sie Server anomal auslasten. Daher sollten typische Kennwerte (Speicherauslastung, Stacks, Netzauslastung, ...) ständig überwacht werden. Eine automatische Alarmierung ermöglicht dann, zeitnah Reaktionen einzuleiten (hostbasierte Angriffserkennung). Hierzu sind ggf. geeignete Zusatzprodukte heranzuziehen.
Maßnahme 5: Etablierung eines Notfallplans
Im Falle eines Angriffs ist es von zentraler Bedeutung, schnell reagieren zu können. Nur so ist es möglich wirksame Gegenmaßnahmen einzuleiten, eventuell den Angreifer zu identifizieren und den Normalbetrieb innerhalb kurzer Zeit wieder herzustellen. In einem Notfallplan ist daher eine geeignete Eskalationsprozedur festzuschreiben. Notwendige Angaben sind dabei u. a. Ansprechpartner, Verantwortliche, alternative Kommunikationswege, Handlungsanweisungen und Lagerort möglicherweise benötigter Ressourcen (z. B. Magnetbänder). Nähere Informationen zum Umgang mit Angriffen aus dem Internet finden HIER
Maßnahme 6: Sichere Konfiguration der Server
Die Server der Serverbetreiber können als Agenten eines DoS-Angriffs missbraucht werden. Der Angreifer installiert dazu unter Ausnutzung bekannter Schwachstellen Schadsoftware. Daher müssen die Betreiber der Server diese sorgfältig und sicher konfigurieren. Nicht benötigte Netzdienste sind zu deaktivierten und die benötigten abzusichern, ein hinreichender Passwort- und Zugriffsschutz sowie rechtzeitiges Ändern (insbesondere voreingestellter) Passwörter muss sichergestellt sein.
Maßnahme 7: Restriktive Rechtevergabe und Protokollierung
Durch Manipulationen an Servern kann ein Angreifer diese als Agenten missbrauchen oder ihre Leistungsfähigkeit einschränken. Deshalb müssen alle Änderungen und alle Zugriffe auf den Server protokolliert werden. Es ist auf eine restriktive Vergabe von Zugriffsrechten der Nutzer, auf die zur Verfügung gestellten Systemressourcen und auf eine erhöhte Sorgfalt bei Konfigurationsänderungen zu achten. In regelmäßigen Abständen ist das Dateisystem auf Integrität zu überprüfen. Werden lediglich statische Daten benötigt, kann ein manipulationssicherer, schreibgeschützter Datenträger verwendet werden.
Maßnahme 8: Einsatz von Open-Source-Produkten
Für den Fall, dass Schwachstellen neu entdeckt werden, die einen DoS-Angriff ermöglichen oder erleichtern, ist es wichtig, dass diese schnell behoben werden können. Meist werden derartige Schwachstellen in Open-Source-Software wesentlich schneller behoben als in Produkten, deren Quellcode nicht veröffentlicht ist. Häufig können die Veränderungen im Quellcode sogar selbst durchgeführt werden. Daher sollten Open-Source-Produkte bei ähnlicher Leistungsfähigkeit bevorzugt werden .
Maßnahmen für Inhalte-Anbieter
Maßnahme 9: Auswahl geeigneter und IT-sicherheitsbewußter Serverbetreiber
Die Inhalte-Anbieter sollten durch die Wahl ihres Serverbetreibers darauf hinwirken, dass dieser Sicherheit und Verfügbarkeit als zentrale Leistungsmerkmale ansieht. Daher sollten sie einen Serverbetreiber wählen, der entsprechende Erfahrungen mit den benötigten Internet-Plattformen vorweisen und seine Bemühungen im Bereich IT-Sicherheit nachweisen kann, z. B. durch ein IT-Sicherheitskonzept.
Maßnahme 10: Vermeidung aktiver Inhalte
Viele WWW-Seiten im Internet sind derzeit nur nutzbar, wenn in den Browsern aus Sicherheitssicht bedenkliche Einstellungen vorgenommen werden, die von einem Angreifer missbraucht werden können. Durch bewusste Vermeidung sicherheitskritischer Techniken (z. B. aktive Inhalte) können Inhalte-Anbieter dazu beitragen, dass auf den Clients keine unsicheren Einstellungen vorhanden sein müssen. Weitere Informationen zu "Ausführbare Inhalte - "Sicherheitsrisiken und Lösungen".
Maßnahme 11: Tägliche Überprüfung von Dateien auf Viren und Angriffsprogrammen
Viele Inhalte-Anbieter stellen auf ihren
WWW-Seiten Programme und Dokumente zum Download bereit. Gelingt es einem
Angreifer, dort ein trojanisches Pferd einzubringen, so kann er in kurzer Zeit
auf eine große Verbreitung hoffen. Eine solche Vorgehensweise ist insbesondere
bei DDoS-Angriffen für Angreifer verlockend, da dabei eine große Zahl von
Rechnern für einen wirkungsvollen Angriff benötigt wird. Der Inhalte-Anbieter
sollte deshalb täglich mit speziellen Suchprogrammen überprüfen, ob auf seinen
Seiten Programme mit Schadenfunktionen (Viren, Trojanische Pferde, DoS-Programme,
etc.) verfügbar sind .
Maßnahmen für Endanwender
Rechner der Endanwender sind im Normalfall nicht Ziel von DoS-Angriffen. Allerdings können diese Rechner dazu benutzt werden, dass ein Angreifer in einem ersten Schritt Programme auf ihnen installiert, die dann ferngesteuert einen DoS-Angriff auf beliebige Rechner ermöglichen. Daher können auch Endanwender einen Beitrag zum Schutz vor DoS-Angriffen leisten.
Maßnahme 12: Schutz vor Schadprogrammen
Rechner von Endanwendern können als Agenten für Angriffe missbraucht werden. Am leichtesten lassen sich solche Agenten über Viren, trojanische Pferde oder durch aktive Inhalte (insbesondere ActiveX) auf die einzelnen Rechner installieren. Daher ist ein zuverlässiger und aktueller Virenschutz und das Abschalten aktiver Inhalte im Browser dringend anzuraten. Ggf. kann auch der Einsatz von Hilfsprogrammen zum Online-Schutz des Clients (beispielsweise PC-Firewalls) erwogen werden.
Maßnahmen für alle Zielgruppen
Die hier empfohlenen Maßnahmen sind Standardmaßnahmen . Die Praxis zeigt jedoch, dass sie aus unterschiedlichen Gründen häufig nicht umgesetzt werden.
Maßnahme 13: Zeitnahes Einspielen von Sicherheits-Updates
Immer wieder werden neue sicherheitsrelevante Schwachstellen in den Betriebssystemen und der Serversoftware entdeckt, die wenig später durch Updates (Patches) der Hersteller behoben werden. Die relevanten Updates sind schnellst möglich einzuspielen, um die bekannt gewordenen Schwachstellen zu beheben.
am 01.02.2002 Aktualisiert by Reini