BLOG

Sichere Application mit F5 BIG-IP DDoS-Schutz

Griff Shelley Miniatur
Griff Shelley
Veröffentlicht am 05. Januar 2024

Verkehrsstaus machen keinen Spaß. Noch schlimmer dürften aber die digitalen Staus sein. Wie oft ist Ihnen das schon passiert: Sie geben Ihren Benutzernamen und Ihr Passwort ein, um Ihren Kontostand über die mobile App Ihrer Bank abzurufen, und landen im Teufelskreis: Ihr Browser versucht, eine Verbindung zum Server Ihrer Bank herzustellen, während Sie warten und Ihre Vorfreude von Sekunde zu Sekunde wächst.

Leider passiert das öfter als Ihnen lieb ist. Banken jeder Größe weltweit sehen sich Distributed-Denial-of-Service-(DDoS)-Angriffen mit erschreckender Regelmäßigkeit ausgesetzt. Bis zu einem gewissen Grad ist das nachvollziehbar. Eine wirksame Strategie für Anwendungssicherheit und Bereitstellung kombiniert verschiedene Technologien und Verfahren, die hand in hand arbeiten, um den Endnutzern ein schnelles, zuverlässiges und sicheres Anwendungserlebnis zu bieten. Komplexe Anwendungen, wie sie Banken üblicherweise nutzen, bringen naturgemäß viele Angriffsvektoren für unterschiedliche Angriffstypen mit sich. Allein im letzten Jahr verzeichneten europäische Finanzinstitute einen Anstieg von DDoS-Angriffen um 73 % gegenüber dem Vorjahr. Mit DDoS-Angriffen, also gezielten Staus im Datenverkehr, wollen Angreifer die Systemressourcen so sehr erschöpfen, dass der angegriffene Server abstürzt oder so stark verlangsamt wird, dass legitime Nutzer ihre Anwendungen nicht mehr erreichen können. Man kann es sich vorstellen wie jemanden, der extra einen (physischen) Stau verursacht, um Sie daran zu hindern, pünktlich zur Arbeit zu kommen. Die Folgen dieser Angriffe sind offensichtlich: Umsatzeinbußen, beschädigter Geschäftsname und frustrierte Kunden, die Ihre Anwendung möglicherweise zugunsten eines Konkurrenten verlassen, wenn Ihre Seite oder App mehr als zwei Sekunden zum Laden braucht.

Die wachsende Bedrohung: Volumetrische DDoS-Angriffe

Hier erfahren Sie, wie sich diese Art von Anfällen von leichten Kopfschmerzen bis hin zu Migräne entwickeln: Es gibt Dutzende Arten von DDoS -Angriffen, die böswillige Akteure auf eine Application starten können. Diese treffen mehrere Ebenen des OSI-Modells und richten verheerenden Schaden sowohl für App-Benutzer als auch für Anbieter an. Es ist wie eine abgewandelte Parodie von Baskin-Robbins – 31 Varianten verweigerter Dienste. Die häufigste und ärgerlichste Art von DDoS-Angriffen, die insbesondere auf der Transportschicht ( Schicht 4 des OSI-Modells) vorkommt, ist jedoch der volumetrische DDoS-Angriff. Auch wenn die Einzelheiten volumetrischer DDoS-Angriffe unterschiedlich sind, ist das Endergebnis immer dasselbe: Der Angreifer überflutet den Zielserver mit Datenverkehr, um dessen CPU und Speicher voll auszulasten. Dadurch kommt es zu Fehlfunktionen und die Dienste werden für alle verbundenen Clients – legitim oder nicht – unterbrochen. Das Ärgerliche daran: Sie sind billig und fast jeder mit Zugriff auf das Darknet kann einen solchen Angriff starten. Für nur ein paar Dollar pro Stunde kann ein Angreifer eine Application oder Website effektiv lahmlegen, was den Opfern potenziell Umsatzeinbußen in Millionenhöhe bescheren kann.

Warum diese Angriffe wichtig sind: Die Kosten

Solche Angriffe sind für Anwender, die auf ihre Anwendungen zugreifen möchten, ohne Frage eine große Belastung. Doch eine Gruppe ist in diesen Situationen noch stärker gefordert: Die NetOps- und SecOps-Teams, die hinter den Kulissen arbeiten, um Anwendungen verfügbar und sicher zu halten. Für sie ist ein DDoS-Angriff jeglicher Art mehr als bloß eine Störung; er kann einen ganzen Monat lahmlegen, andere Projekte beeinträchtigen und enorm viel Zeit, Geld sowie Personal binden.

Über die finanziellen Auswirkungen hinaus dürfen auch die menschlichen Kosten dieser Angriffe nicht unterschätzt werden. In manchen Fällen dienen DDoS-Angriffe als Ablenkungsmanöver, die es den Angreifern ermöglichen, zusätzlich zur Dienstsperre auch persönliche Informationen der Benutzer aus den Datenbanken ihrer Opfer zu extrahieren und so den Schaden und die Störungen noch zu vergrößern. Persönlich identifizierbare Informationen (PII) landen in den Händen von Kriminellen, seriöse Unternehmen verlieren das Vertrauen der Öffentlichkeit, Betriebsteams aller Art verlieren zahllose Stunden mit Aufräum- oder Reparaturarbeiten, während die Apps, die das Lebenselixier ihrer Unternehmen sind, unter langwierigen Ausfallzeiten leiden.

F5-Lösungen für die sichere Application

Es ist jedoch nicht alles Untergang und Finsternis. Der BIG-IP Local Traffic Manager (LTM) von F5 zeichnet sich dadurch aus, dass er Applications trotz DDoS-Angriffen am Laufen hält und als Puffer zwischen Applications und problematischen Benutzern fungiert, die versuchen könnten, diese Application lahmzulegen. Wenn Sie BIG-IP LTM bereits in Ihrer Umgebung einsetzen, stärken Sie Ihren Schutz auf Netzwerkebene ( Ebene 3 ) und Ebene 4 dank der Fähigkeit, DDoS-Angriffe auf Netzwerk- und Transportebene zu erkennen und abzuschwächen. Es ist wichtig zu beachten, dass BIG-IP LTM zwar eine hervorragende Sicherheitslösung für diese Ebenen bereitstellt, die Bereitstellung als einzige Sicherheitslösung jedoch keine ganzheitliche App- Sicherheitsstrategie darstellt. Um Ihre Strategie zur Application in eine Richtung zu lenken, mit der Sie mehrere Arten von Bedrohungen bewältigen können, sollte die Eindämmung von Angriffen auf Application (Ebene 7) ganz oben auf Ihrer To-do-Liste stehen.

Aufgrund ihrer versteckten Natur können derartige Angriffe zu den problematischsten gehören, da sie mit herkömmlichen Abwehrmechanismen bekanntermaßen nur schwer zu erkennen sind. Während ein volumetrischer DDoS-Angriff auf der Transport- oder Netzwerkebene als plötzliche Datenflut erscheinen kann, kann sich ein Angriff auf Ebene 7 verbergen , sich in den legitimen Application einmischen und mit der Zeit an Intensität zunehmen, bis er Server und Application überlastet und Anfragen aus dem legitimen App-Verkehr ablehnt.

Umfassender Schutz mit BIG-IP Advanced WAF

Diese Faktoren können Layer-7-DDoS-Angriffe für NetOps- und SecOps-Teams besonders ärgerlich machen, da sie ganze Bereiche von Online-Unternehmen lahmlegen können und dabei länger unentdeckt bleiben als andere Arten von DDoS-Angriffen. Weitere Informationen zu den Schäden, die derartige Angriffe anrichten können, finden Sie im hervorragenden Artikel meines Kollegen Jay Kelley über den Layer-7-DDoS-Angriff, der sich negativ auf die Applications Outlook, OneDrive und Azure Portal von Microsoft ausgewirkt hat. Wenn Sie also Layer-7-Schutz benötigen (und das ist unbedingt der Fall, wenn Sie überhaupt Applications für Ihre Benutzer unterstützen), sollten Sie die Einbeziehung von BIG-IP Advanced WAF in Ihre Strategie zur Application in Erwägung ziehen. Es handelt sich um eine dedizierte Web Application Firewall (WAF), die jede BIG-IP LTM-Bereitstellung ergänzt und eine App- Sicherheitsstrategie gewährleistet, die sich über mehrere Ebenen erstreckt und Ihnen und Ihren Benutzern zusätzliche Sicherheit gibt. Weitere Informationen zu den verschiedenen Arten von DDoS-Angriffen und den betroffenen OSI-Ebenen finden Sie im CISA-Leitfaden zu DDoS-Angriffen. Wenn Sie die Funktionen von BIG-IP Advanced WAF testen möchten, wenden Sie sich für eine Demonstration an unser Vertriebsteam