pixel_dreams - Fotolia

Wie Sie die Herkunft einer IP-Adresse vor Angreifern verbergen

Damit ein Cloud Security Provider (CSP) und sein Schutz gegen DDoS-Angriffe angemessen funktionieren, muss die Herkunft der IP-Adresse geheim sein.

Sogenannte DDoS-Angriffe (Distributed Denial-of-Service) häufen sich. Daher sind Unternehmen sich dieses Risikos bewußt, und wissen, wie sie diesen Attacken begegnen. DDoS-Angriffe lassen sich heutzutage im Dark Web in Auftrag geben und diese illegalen Services sind sogar erschwinglich. Solche Dienste machen Websites unbrauchbar, indem sie mittels einer großen Menge an Daten die darunterliegenden Server in die Knie zwingen. Sind Unternehmen von ihren Websites abhängig, etwa um Umsatz zu generieren, dann kann sich ein solcher Angriff signifikant bemerkbar machen.

Viele Unternehmen setzen inzwischen auf Cloud-basierte Security Provider (CSP) wie zum Beispiel CloudFlare oder Incapsula, um solche Angriffe zu verhindern. Diese Services zur Abschwächung von DDoS-Angriffen bieten im Prinzip einen Puffer zwischen einem potenziellen Angreifer und der Website, indem sämtlicher Traffic durch die Infrastruktur des CSPs geleitet wird. Alle Anfragen an die Website werden genau genommen durch den CSP verarbeitet. Der Traffic wird analysiert, und böswilliger Datenverkehr verworfen, ohne dass er negativen Einfluss auf die Website des Clients hat.

Bei der Verwendung eines CSPs hängt alles davon ab, ob sich die echte Adresse der Unternehmens-Webserver verborgen halten lässt, auf der die Ziel-Website gehostet ist. Sobald der Angreifer die ursprüngliche IP-Adresse kennt, kann er sie direkt angreifen. Weil alle Anfragen an die Website durch die Infrastruktur des CSPs laufen, sollte sich die Herkunft der IP-Adresse relativ einfach verschleiern lassen. Es gibt allerdings diverse Möglichkeiten, wie sich die echte Adresse durch Fehler bei der Konfiguration einer Anwendung oder eines Servers herausfinden lassen. Zum Beispiel kann ein Angreifer die Herkunft einer IP-Adresse durch Websites möglicherweise enttarnen, indem er einen Verlauf der IP-Domänen verfolgt. Möglich sind auch Dateien auf dem Webserver, die die Adresse im Quellcode beinhalten.

In einem kürzlich ausgegebenen Dokument (PDF-Download), das sich Maneuvering Around Clouds: Bypassing Cloud-based Security Providers nennt, haben sich Security-Experten einem Thema gewidmet, das sie als Origin-exposing Attacks oder Angriffe auf die Herkunft von Websites bezeichnen, die von Cloud-basierten Services vor DDoS-Angriffen geschützt werden. Das Team hat in diesem Zusammenhang das Tool CloudPiercer vorgestellt. Es scannt mithilfe verschiedener Methoden und versucht auf diese Weise, die ursprüngliche IP-Adresse herauszufinden. Die an dieser Stelle verwendeten Methode sind im Dokument erklärt. Nachfolgenden finden Sie die Methoden kurz erklärt und Empfehlungen, wie Sie den Schwachstellen begegnen können, um die Herkunft der IP-Adresse zu schützen.

  1. IP-Verlauf: Einige Websites verfolgen den IP-Verlauf von Websites und die echte Adresse könnte sich darin befinden. Unternehmen sollten mit der Implementierung eines CSPs die IP-Adresse ihrer Webserver ändern.
  2. Subdomänen: Diese sind nicht vom CSP geschützt und können aus diesem Grund die ursprüngliche IP-Adresse enthüllen. Diese potenzielle Schwachstelle adressieren Sie am besten, indem sie einzigartige Namen für die Subdomänen verwenden, die sich von einem Angreifer nicht leicht erraten lassen.
  3. DNS-Einträge: Diese können die echte IP-Adresse in Einträgen wie MX, TXT oder AAAA verraten, die alle öffentlich verfügbar sind. Die Unternehmen müssen sicherstellen, dass sämtlichen Informationen zur IP-Adresse aus allen DNS-Einträgen verschwindet.
  4. Pausieren der Services zur Abschwächung von DDoS-Angriffen: Bei diesem Schritt könnte die Herkunft der IP-Adresse exponiert werden. Wenn ein Unternehmen den Dienst für eine gewisse Zeit pausieren muss, sollten Sie die IP-Adresse nach Wiederaufnahme des Services ändern.
  5. SSL-Zertifikate: Fehler bei der Konfiguration der SSL-Zertifikate könnten dazu führen, dass die IP-Adresse öffentlich einsehbar ist. Aus diesem Grund sollte das Unternehmen dem CSP die Organisation des SSL-Zertifikats für die Domäne überlassen.
  6. Sensible Dateien: Manchmal bleiben Dateien aus Versehen auf dem Webserver, in der die IP-Adresse im Original hinterlegt ist. Potenzielle Angreifer können diese finden. Aus diesem Grund sollten Security-Teams unbedingt den Quellcode aller Dateien auf dem Webserver überprüfen.
  7. Links in den Inhalten: Im Inhalt wird anstatt des Namens einer Domäne unter Umständen eine IP-Adresse benutzt. Ein Entwickler könnte somit die echte IP-Adresse im Quellcode preisgeben, wenn er sie als Ersatz für den Namen der Domäne einsetzt. Das Security-Team des Unternehmens sollte deswegen alle Dateien und Inhalte sorgfältig überprüfen und sicherstellen, dass die ursprüngliche IP-Adresse nicht aus Versehen irgendwo vergessen wurde.
  8. Nach außen gehende Links: Anders als bei eingehenden Verbindungen zum Webserver, die durch den CSP geroutet werden, würden sämtliche ausgehende Verbindungen vom Webserver zu einem anderen Server die echte IP-Adresse enthüllen. Es ist relativ einfach, dies zu verhindern. Stellen Sie sicher, dass niemand auf dem Webserver selbst auf einen Link klickt. Somit können keine ausgehenden Verbindungen den Ursprung der IP-Adresse enthüllen.

Die Entwickler des Tools CloudPiercer haben herausgefunden, dass mehr als 70 Prozent der Websites die Herkunft der IP-Adresse auf ein oder andere Weise offenbaren, obwohl sie einen CSP einsetzen. Das Geheimhalten dieser Adresse ist maßgeblich dafür, ob ein CSP und seine Services zur Abschwächung von DDoS-Angriffen funktionieren. Setzt Ihr Unternehmen auf einen solchen Service, dann sollten Sie die oben genannten Punkte beachten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close