Schutz von Daten und digitalen Ressourcen 3 Gefahren, vor denen ein Internetknoten schützen kann

Immer mehr Daten werden entlang digitaler Wertschöpfungsketten ausgetauscht. Unternehmen müssen sich daher intensiv darum kümmern, ihre Verbindungen zu Partnern und ihre digitalen Ressourcen in der Cloud zu schützen. Drei Gefahren können bereits am Internetknoten abgewehrt werden.

Für die Betreiber von Internet-Infrastrukturen ist es sowohl für ihr eigenes Geschäft als auch für das ihrer Kunden von entscheidender Bedeutung, das Vertrauen in das Internet zu stärken und zu erhalten. Deshalb ist für einen Internetknoten (Internet Exchange, IX) von zentraler Bedeutung, zusätzliche Sicherheitsdienste zum Schutz vor vorsätzlichen und unbeabsichtigten Schäden bereitzustellen.

1. DDoS-Attacken

Die wohl bekannteste Art von Angriffen, die an einem IX abgewehrt werden können, sind volumetrische DDoS-Attacken. Dabei geht es darum, die Kommunikation des Angriffsziels mit dem Internet zu unterbinden. Neben dem „klassischen“ DDoS sehen wir in den letzten Jahren vermehrt auch neue Formen wie Amplification-Angriffe und Ransom-DDoS. Trotz der zunehmenden Zahl und des Umfangs der Angriffe entwickeln sich DDoS-Angriffe derzeit nicht so aggressiv wie in der Vergangenheit. Es wurde viel getan, um neue Sicherheitslücken schneller zu erkennen und dann auch direkt zu schließen. Hinzu kommt, dass die kostenlose Verfügbarkeit von DDoS-Abwehrdiensten von Unternehmen wie Cloudflare oder FastNetMon ebenfalls dazu beigetragen hat, das Problem einzudämmen.

Um DDoS-Attacken am IX abzuwehren, kommt Blackholing zum Einsatz. Dieses Verfahren sorgt dafür, dass kein Datenverkehr mehr an eine Adresse gesendet wird, solange sie angegriffen wird. Dadurch entstehen zwar keine Schäden, aber „guter Traffic“ wird ebenfalls blockiert, das bedeutet, dass z.B. eine Internetseite nach wie vor nicht erreichbar ist und die Angreifer ihr Ziel erreicht haben. Die Weiterentwicklung Blackholing Advanced kann die Daten, die an eine IP-Adresse gesendet werden, nicht nur begrenzen, sondern auf bestimmte TCP- und UDP-Protokolle beschränken. Bei Amplification-Angriffen lässt sich so prüfen, welche TCP/UDP-Quell- und Zielports speziell blockiert werden müssen. Alle anderen Ports sind weiterhin zugänglich, was bedeutet, dass das Netzwerk weiterhin kommunizieren kann. Eine weitere Neuerung von Blackholing Advanced besteht darin, dass es sich nicht mehr nur um eine binäre Umschaltung zwischen „Daten fließen“ und „keine Daten fließen“ handelt. Auch die Menge des Datenverkehrs lässt sich begrenzen (Ratenbegrenzung). Statt Hunderten von Gigabytes können so beispielsweise lediglich 10, 15 oder 20 MBit/s fließen, sodass es nicht zu einer völligen Überlastung kommt. Das Ziel kann die eingehende Last immer noch bewältigen, es kann bösartigen Traffic aussortieren und zulassen, dass legitime Anfragen eingehen und beantwortet werden.

2. IP Hijacking

Ein weiteres Risiko im Netz stellt das sogenannte IP Hijacking dar. Dieser Angriffsvektor erlaubt es Kriminellen, den Datenverkehr in Richtung einer bestimmten Website abzufangen und weiterzuleiten. Dadurch können beispielsweise Zahlungsdaten von E-Commerce-Kunden erbeutet werden. Neben dieser Form, bei der IP Hijacking absichtlich und mit kriminellem Hintergrund eingesetzt wird, kann dies auch unabsichtlich passieren. Mit dem weiteren Wachstum des Internets wird es auch immer wahrscheinlicher, dass es zu mehr Fällen von unabsichtlichem IP Hijacking kommt. Das MANRS-Projekt der Internet Society hat herausgefunden, dass es zwischen 2019 und 2020 einen Anstieg der IP-Hijacking-Vorfälle um fast 40 Prozent gab.

Technologien wie RPKI-Ursprungsvalidierung und IRR-Filterung können zur Entschärfung des Problems eingesetzt werden. Die Funktion von RPKI ist die Herkunftsvalidierung, sie sorgt dafür, dass es nicht so einfach ist, durch einen Tippfehler oder Ähnliches versehentlich den falschen IP-Raum zu melden. Auf diesem Weg kann auch überprüft werden, ob es überhaupt zulässig ist, diesen IP-Raum anzumelden. Sollte dies nicht der Fall sein, so können entsprechende Anmeldungen sehr leicht herausgefiltert werden. Die IRR-Filterung (Internet Routing Registries) dient dazu, die Weitergabe von falschen Routing-Informationen zu verhindern. Dieser Filter wird bereits seit Jahren in der Internet-Infrastruktur eingesetzt, während RPKI Origin Validation erst seit Kurzem verfügbar ist.

3. ASN Hijacking

Jedes Netzwerk benötigt eine Autonomous System Number (ASN), um ein Teil des Internets zu werden. Durch die Nutzung der ASN einer anderen Entität können Kriminelle vorgeben, diese Entität zu vertreten. Dies kann böswillig genutzt werden, hauptsächlich, um unerwünschte Nachrichten wie Spam zu versenden und DDoS-Angriffe auszuführen. ASN-Hijacking lässt sich vor allem bei Unternehmen beobachten, die zwar eine ASN registriert haben, sie aber aktuell nicht im Internet bekannt geben. Es ist in der Praxis sehr schwierig festzustellen, wer hinter der Nummer steckt: der rechtmäßige Eigentümer oder ein böswilliger Akteur. Derartige Machenschaften können sogar dazu führen, dass rechtmäßige ASN-Eigentümer auf Listen böswilliger Akteure landen oder ein ernsthaftes Reputationsproblem bekommen. Unternehmen sollten ihre ASN also stets beobachten, selbst wenn sie diese aktuell nicht nutzen.

Weitere Sicherheit bietet hier die sogenannte Bidirectional Forwarding Detection (BFD). Dabei handelt es sich um ein Protokoll, das sicherstellt, dass, wenn zwei Netze miteinander verbunden sind, die Daten in beide Richtungen fließen. Mit BFD kann ein Problem innerhalb von Sekunden oder sogar Millisekunden erkannt werden, sodass die Beteiligten die Datenübertragung über die defekte Verbindung einstellen und eine alternative Route wählen können. BFD wird zunehmend auch an einem IX, wie ab voraussichtlich Anfang 2022 dem DE-CIX, implementiert und sorgt für zusätzliche Sicherheit.

Über den Autor

Dr. Thomas King ist Chief Technology Officer beim Internetknoten-Betreiber DE-CIX.

(ID:47824713)