Suchen

Premium-Partner Juniper auf der „IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2014“ „Low and Slow“-Attacken: Junipers Gegengift gegen die schleichende Infizierung

Autor / Redakteur: IT-BUSINESS / Das Interview führte Dr. Andreas Bergler / Dr. Andreas Bergler

Eine zunehmend eingesetzte Art der DDoS-Attacken (Distributed Denial of Service) sind „Low and Slow“-Angriffe. Karl-Heinz Lutz von Juniper, der auf der„ IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2014“ einen Vortrag halten wird, erklärt, welche Techniken gegen die neuen Bedrohungen helfen.

Firmen zum Thema

Karl-Heinz Lutz, Partner Development Channel System Engineer DACH bei Juniper
Karl-Heinz Lutz, Partner Development Channel System Engineer DACH bei Juniper
(Bild: Juniper)

ITB: ‚Low and Slow‘-Attacken dürften den wenigsten Unternehmen ein Begriff sein. Woran liegt das und was macht diese Art Angriffe so gefährlich?

Lutz: In der Vergangenheit nutzte man für DDoS-Attacken in erster Linie große Datenvolumen von vielen Quellen, um Interfaces, Ports oder Ressourcen des angegriffenen Netzes durch die pure Vielzahl von Anfragen zu blockieren oder zu überlasten. Die Quellen für diese Art von Angriffen lassen sich mittlerweile aber schnell identifizieren. Mit DDoS-Filtern und Rate Limitern auf entsprechenden Firewalls oder Appliances können solche Angriffe heute meist leicht gestoppt werden. ‚Low and Slow‘-Attacken, wie sie bei Tools wie LOIC oder SlowLoris verwendet werden, nutzen einen anderen Weg. Sie versuchen mit kleinen Paketraten aufwändige Abfragen bei den Webdiensten zu generieren und die Ressourcen auf den Web- oder Backend-Servern zu blockieren. So kann mit relativ geringen Datenmengen die Erreichbarkeit dieser Webcenter eingeschränkt werden, da sie nun ‚von innen‘ heraus überlastet sind. Bisherige Firewalls sind für diese Art Angriffe nicht gewappnet, da die Anfragen regelkonform sind und somit von den konventionellen Firewall-Filtern nicht detektiert werden. Genau darin liegt die Gefahr für viele Kunden, da sie keine Tools für diese neuen Angriffsszenarien haben und bestehende Systeme zu viele False Positives generieren oder gänzlich bei der Erkennung versagen.

ITB: Juniper beansprucht, mit seinen Lösungen Hacker stoppen zu können, bevor sie Schaden anrichten können. Wie funktioniert das?

Lutz: Juniper nutzt entsprechend den Angriffsszenarien verschiedene Technologien. So erkennt WebApp Secure Hacker bereits in der Erkundungsphase, indem es ‚Fake‘-Informationen in den Datenstrom einfügt, die dann nach Manipulation durch Hacker von WebApp Secure erkannt werden. Anschließend erfolgen ein Fingerprinting und die Profilierung des Angreifers. So können seine Aktivitäten auch bei Wechsel der IP-Adresse demselben Angreifer weiter zugeordnet werden. Fingerprints von Angreifern können sogar weltweit über eine Juniper-Datenbank (Spotlight) ausgetauscht werden. Das System kann variabel mit Verzögerungen bis hin zum Blockieren reagieren. Bei den neuen ‚Low and Slow‘-Attacken überprüft DDoS Secure die Anfragen sowie den Zustand der Ressourcen und bewertet jede einzelne Session auf einen Angriffsversuch. Ziel beider Lösungen ist es, mit minimaler Konfiguration, unabhängig von Veränderungen der tatsächlich vorhandenen Installation, einen Schutz zu bieten und die gegenüber anderen Technologien gefürchteten False Positives möglichst vollständig zu eliminieren.

ITB: Wie gewährleisten Sie, dass Angreifer – sogar unabhängig von der IP – zu hundert Prozent richtig erkannt werden?

Lutz: In der Tat sind IP-Adressen nur bedingt sinnvoll, da Hacker in den allerwenigsten Fällen von einer realen IP-Adresse angreifen, sondern TOR-Netze oder gestohlene Profile nutzen. Daher profilieren wir die Angreifer auf Basis eines Fingerprints. Dazu werden bis zu 200 Merkmale wie Browser-Version, Schriftarten oder Add-Ons an das Profil des Hackers gebunden.

Mehr über Junipers Schutz-Konzept für Datacenter lesen Sie auf der nächsten Seite.

Vogel IT-Akademie IT-SECURITY 2013
Bildergalerie mit 44 Bildern

(ID:42699378)