Nederland merkt inmiddels voor de zoveelste week achtereen de impact die DDoS aanvallen kunnen hebben op de samenleving. Nieuwssites die niet meer te bereiken zijn of een ontregeling van het online betalingsverkeer. De bezorgdheid loopt op tot hoog niveau, wanneer minister Dijsselbloem vaststeltdat de aanval is geslaagd omdat het betalingsverkeer was ontregeld, maar hackers niet in de systemen van banken zijn gekomen.

De genomen maatregelen om DDoS aanvallen tegen te kunnen gaan hebben niet kunnen verhinderen dat diensten volledig ontoegankelijk waren. Valt er dan niets tegen DDoS te doen? Zeker wel. De aanval zelf stoppen is onmogelijk, wel zijn er maatregelen te nemen die het effect van een DDoS aanval kunnen beperken.

Verschillende effecten van DDoS

De aard van een DDoS aanval ligt natuurlijk in het belasten van het netwerk of serverpark van een doelwit, waardoor deze onbereikbaar wordt voor het legitieme verkeer. Een dergelijke aanval wordt met gebruik van botnets direct op het doelwit gericht of indirect via amplitude of reflector methodes, zodat het gewenste DDoS effect nog sneller wordt bereikt.

Daarnaast zijn er tientallen verschillende vormen van DDoS-aanvallen (bijvoorbeeld SynFlood attacks, Smurf attacks, Slowloris attacks, SSL renegotiating attacks) en deze worden tegenwoordig vaak tegelijkertijd uitgevoerd. Sommige hiervan richten zich op het belasten van het netwerk, andere zijn bedoeld om de server-resources in beslag te nemen, terwijl weer andere zich op de applicatielaag richten.

De complexiteit van deze aanvallen vraagt om een andere aanpak dan de traditionele netwerkbeveiliging kan bieden.Traditionele netwerkbeveiliging heeft het over firewalls, IPS of IDS en een gelaagd beveiligingsmodel waarin allerlei deeloplossingen gezamenlijk een complex geheel moeten vormen om de effecten van DDoS tegen te kunnen gaan. Deze setup levert eenvoudigweg niet meer de middelen om internetbedreigingen gericht op applicaties tegen te kunnen gaan.

Twee stappen voor betere beveiliging

De eerste stap naar een adequaat model is IT-beveiliging inrichten op de te beschermen applicaties. Hiervoor kan worden gekozen voor een Application Delivery full proxy architectuur die in staat is om een hoog volume aan verkeer af te kunnen handelen en bovendien in staat is om communicatie te stoppen wanneer deze niet van een reguliere gebruiker afkomstig is. Een Application Delivery full proxy firewall is daarnaast in staat om veel meer capaciteit te bieden als het gaat om het aantal concurrent verbindingen per seconde en heeft inzicht in zowel netwerk- als applicatieverkeer. Zelfs is het mogelijk om DDoS-aanvallen die plaatsvinden in encrypted SSL-verkeer tegen te gaan. Dit is juist de bottleneck bij traditionele firewall-oplossingen en de reden waarom sites volledig onbereikbaar raken.

De tweede stap is het beschermen van applicaties op het juiste niveau. Inderdaad op applicatieniveau. Hier wordt vaak over het hoofd gezien dat een DNS-query de eerste stap is naar het gebruik van de applicatie. We hebben allemaal de recente berichtgeving rondom Spamhaus gezien waarin DNS DDoS werd ingezet om een verschil van mening duidelijk te maken. Het beschermen van DNS dient te beginnen met het kunnen distribueren van DNS-queries over verschillende datacenters om zodoende het effect per datacenter te beperken. Een protocolfilter kan UDP-verkeer onderscheiden van daadwerkelijk DNS-verkeer. En om DNS cache poisoning tegen te gaan, moet er in samenwerking met de externe DNS servers on-the-fly DNSsec signing worden uitgevoerd.

Nu we de bereikbaarheid van de applicatie zeker hebben gesteld, wordt het hoog tijd om de applicatie zelf te beschermen door vast te stellen welke requests wel en niet zijn toegestaan als mede te bepalen wat de server terug mag communiceren naar de gebruiker. Hierdoor kan het lekken van gevoelige data worden tegengegaan. Applicaties worden zodoende beschermd tegen gevolgen van bedreigingen als SQL injectie, cross site scripting en cross site request forgery. Juist deze bedreigingen zorgen ervoor dat bijvoorbeeld gegevens uit een organisatiedatabase worden gelekt en op straat komen te liggen, met juridische conflicten en wellicht (financiële) penalties tot gevolg. Wellicht het allerbelangrijkste is het geschonden vertrouwen.

Helaas, anno 2013 is beveiliging van een applicatie geen commodity meer die op netwerkniveau generiek kan worden geregeld. Het wordt hoog tijd dat beveiliging begint op applicatieniveau en applicatiespecifiek wordt ontworpen. Hierdoor kunnen aanvallen zoals DDoS beter worden opgevangen en de negatieve effecten gereduceerd. Een Application Delivery full proxy firewall is hierbij een essentiële bouwsteen in het beschermen van applicaties en data.

Een versie van dit artikel verscheen eerder op Computable.nl.