Goed beschermd tegen een Denial of Service aanval

Hacktivisme en datalekken. Het zijn twee hardnekkige trends die de internetwereld in toenemende mate in hun greep houden. Dat het onderwerp in de belangstelling staat, komt mede door de activiteiten van een groepering als Anonymous. Hun Distributed Denial of Service (DDoS) aanvallen brachten nogal wat bedrijven en organisaties negatief in het nieuws. In deze serie artikelen gaan we dieper in op Denial of Service aanvallen en mogelijke verdedigingsmethodes.

In de vorige artikelen hebben we een analyse gemaakt van de verschillende methodes die hackers gebruiken om netwerken en applicaties aan te vallen en de gevolgen die dit soort aanvallen hebben op de bedrijfsvoering van een organisatie. Distributed Denial of Service – of DDoS – aanvallen kunnen zowel direct als indirect veel schade berokkenen aan de bedrijven die het slachtoffer worden van zo’n aanval. In dit artikel gaan we in op de verschillende mogelijkheden die een ISP of Webhoster heeft om zich hier tegen te beschermen.

On-site en off-site bescherming
De bescherming tegen de Denial-of-Service – of DoS – en DDoS aanvallen kan worden onderverdeeld in een aantal categorieën. Hoofdcategorieën zijn on-site bescherming en off-site bescherming. Beide vallen vervolgens uiteen in oplossingen voor hardware en software. Met on-site bescherming wordt de infrastructuur op de locatie zelf beschermd, met bijvoorbeeld extra hardware. Deze staat buiten de rand van een netwerk en fungeert als poortwachter voor al het in- en uitgaande verkeer. Off-site bescherming betekent dat al het inkomende verkeer bij een gedetecteerde aanval wordt omgeleid langs een zogenoemd ‘scrubbing centrum’, dat ervoor zorgt dat alleen ‘schoon’ verkeer zijn weg kan vervolgen.

Reactief en proactief
Er bestaan twee verschillende strategieën om een netwerk te beschermen tegen een DoS of DDoS aanval: reactief en proactief. Bij een reactieve strategie wordt een DoS of DDoS aanval geregistreerd, waarna gerichte maatregelen worden genomen om deze stoppen. Een voorbeeld hiervan is om internetverkeer te null-routen, waarbij een geregistreerde aanval doodloopt.

Door proactief oplossingen tegen aanvallen te implementeren, is een netwerk beter beschermd. Een goede eerste stap is bijvoorbeeld het ‘hardenen’ van een netwerk. Daarbij zijn alleen noodzakelijke services beschikbaar, zoals de toegang tot webservers beperken tot poort 80 (HTTP) en 443 (HTTPS). Oplossingen daarvoor zijn firewall instellingen op de webserver, of een voor de apparatuur geplaatste firewall.

Een logische volgende stap is het beschermen van de services zelf. Voor webservers zijn verschillende modules beschikbaar om dit te realiseren. Voor Apache en Lighttpd zijn dat bijvoorbeeld de modules mod_evasive en mod_security. Beide bieden bescherming tegen diverse reeds bekende DoS en DDoS aanvallen.

De implementatie van een Intrusion Prevention System en/of anti-DDoS apparatuur is een volgende stap. Deze gespecialiseerde apparatuur voert specifieke inspecties uit op het verkeer richting de webservers. De betreffende hardware kan op binnenkomende lijnen worden geplaatst, om middels handtekeningen van bekende aanvallen en netwerkanalyse het verkeer te filteren.

Aanschaffen of uitbesteden
Met de aldus ontstane gelaagde aanpak is een netwerk goed beveiligd tegen zowel onbekende – zero-day – aanvallen als reeds bekende aanvallen. Door softwarematige oplossingen en hardware met elkaar te combineren verdwijnt de afhankelijkheid van één leverancier. Vanzelfsprekend kunnen organisaties beschermende maatregelen tegen DoS en DDoS aanvallen zelf aanschaffen en implementeren. Een andere optie is om deze werkzaamheden uit te besteden. Er bestaan bijvoorbeeld diverse scrubbing centers waar het filteren van verkeer als een dienst worgt aangeboden. Deze oplossingen lopen uiteen van het standaard doorsturen van het internetverkeer tot het doorsturen zodra zich een aanval voordoet. Voordelen van deze scrubbing centers is dat vaak meerdere oplossingen met elkaar worden gecombineerd, terwijl opdrachtgevers vaak ook een garantie krijgen voor een bepaalde mate van schoon verkeer.

Succesvolle strategie
Een reactieve aanval is meestal een reactie op servers die door een aanval al onbereikbaar zijn geworden. Daarom is een proactieve aanpak het meest succesvol. Aanvallen worden immers automatisch gedetecteerd en indien mogelijk gefilterd. Desondanks nemen nogal wat ISP’s slechts reactieve maatregelen. Met het nog altijd toenemende aantal DoS en DDoS aanvallen zouden ISP’s en webhosters er goed aan doen om een proactief beleid te hanteren, en zo snel mogelijk een oplossing te realiseren of in te huren.

In een volgend artikel gaan we in op de verschillende zaken waar een organisatie op zou moeten letten bij het aanschaffen of inhuren van bescherming tegen dit fenomeen.



Gert-Jan de Boer
is IT-Specialist bij aaZoo en al ruim tien jaar actief als netwerk/security specialist voor diverse organisaties. aaZoo is een IT-dienstverlener gespecialiseerd in het ontwerpen, bouwen en beveiligen van internet & e-commerce omgevingen met onder andere Anti-DDoS en Intrusion Prevention oplossingen  -www.aazoo.nl