Veröffentlicht am
Seit dem großen DDOS-Angriff auf das DRK im Frühjahr 2023 überlegen viele Gliederungen, ob sich eine DDOS-Protection für die eigene DRK-Webseite lohnt. Im September 2023 hat die DRK Service GmbH in dem Zusammenhang auch eine Zusammenarbeit mit "Myra Security" angekündigt mit entsprechenden Rahmenvertrags-Konditionen.
Mit diesem Hilfeartikel wollen wir Ihnen bei der Entscheidungsfindung, aber auch der Planung einer solchen Lösung helfen.
Aus welchen Komponenten besteht eine DRKCMS-Webseite?
Zunächst einmal ist es sinnvoll zu verstehen, aus welchen Bestandteilen eine DRKCMS-Webseite überhaupt besteht. Wie bei einer Kette auch: Das schwächste Glied reicht aus, um die Erreichbarkeit der Webseite zu stören.
1. Schritt: Domainname und DNS: Ihre Domain ist über einen Provider registriert (in der Regel über uns) und auf Nameserver konnektiert. Diese Nameserver sorgen für die Übersetzung von www.drk-musterstadt.de in die IP-Adresse des Servers (oder der Server), sie dokumentieren aber auch, wer z.B. für E-Mails @drk-musterstadt.de zuständig ist.
DNS ist aufgrund seiner Wichtigkeit "von Anfang an redundant" konzipiert, d.h. für jede Domain sind üblicherweise zwei Nameserver zuständig. In unserem Fall stehen diese in zwei verschiedenen Rechenzentren (Köln/Frankfurt bzw. perspektivisch Köln/Düsseldorf) verschiedener Betreiber (d.h. angebunden über verschiedene Leitungen) und werden über verschiedene Haupt-Domains (dt-internet.de und d-t-internet.de) angesteuert.
2. Der Weg zum Rechenzentrum: Hat der Browser des Besuchers die IP-Adresse rausgefunden, muss er den Server kontaktieren.
Wir setzen beim DRKCMS seit je her auf sog. Colocation, d.h. wir betreiben eigene echte DELL-Server ("eigenes Metall") in einem Serverschrank, bei dem uns der Rechenzentrums-Anbieter nur den Schrank (Platz, Strom, Klimatisierung), den Uplink (also die Internet-Zuleitung) und ggf. sog. RemoteHands (also manuelle Aufträge auf Zuruf, damit für z.B. das Umstecken eines Kabels kein Techniker von uns extra vor Ort sein muss) zur Verfügung stellt.
Nur durch die Verwendung von eigener DELL-Hardware können wir die vom DRKCMS benötigte Rechenleistung (und vor allen Dingen auch Festplatten-Geschwindigkeit) bereitstellen. Mietsysteme und "Cloud-Infrastruktur", virtuell oder physisch, von klassischen Anbietern oder Amazon&Co, das hatten wir erst im Frühjahr im Rahmen des Rechenzentrums-Umzug auch nochmal geprüft, bieten meistens gar nicht die notwendige Performance (oder sie wird dann unbezahlbar).
Unsere DRKCMS-Server standen seit Beginn des DRKCMS-Hostings in Köln und sind im Frühjahr 2023 nach Düsseldorf umgezogen. Aufgrund geänderter Konzern-Struktur des Betreibers unseres Kölner Standortes soll das Datacenter nur noch für deren eigene Server genutzt, aber keine Colocation mehr angeboten werden - wir haben daher keine Expansionsmöglichkeiten, weder bzgl. Platz, noch bzgl. z.B. Bandbreite.
Und aus diesem Serverstandort ergibt sich dann auch der Leitungsweg der Daten. In den meisten Fällen gehen die Daten über das sog. DECIX (das ist der deutsche "Verteiler-Knoten", an dem alle Internet-Provider, so auch unsere Rechenzentrums-Vermieter, ihre Daten untereinander austauschen) und von dort dann über Glasfaser nach Köln bzw. Düsseldorf, wobei auch hier auf Redundanz (verschiedene Leitungscarrier und verschiedene Kabelstrecken ins Gebäude rein) geachtet wird.
3. Der Weg zu unserem Server: Sind die Daten im Gebäude angekommen, müssen sie in unsere Colocation-Schränke rein. Das ist ab dann normale Netzwerkverkabelung mit entsprechender Bandbreite.
Erster Ansprechpartner bei uns ist dann unsere Firewall, die den Traffic filtert und innerhalb unseres Netzwerkes verteilt. Unser Netzwerk sieht eigentlich nicht anders aus als in einem "gut ausgestatteten" Serverraum, aber natürlich mit redundantem Strom (jedes Gerät an zwei Stromkreisen/Sicherungen angeschlossen; die natürlich beide mit Batterie+Diesel gesichert sind) und mit ultraschnellem 10G-Netzwerk.
Bei der DDOS-Attacke im März war hier der Engpass: Am Standort Köln haben wir "nur" 1 GBit/s im Uplink. Das ist immer noch ein Vielfaches dessen, was wir operativ für das DRKCMS brauchen: Über einen 1 GBit/s-Uplink kann man immer noch eine sechsstellige Terrabyte-Anzahl an Traffic im Monat übertragen, was für mehrere hunderttausend Rotkreuz-Webseiten reichen würde. Und die wenigsten DDOS-Attacken gehen auf Bandbreit - eine solche Layer2-Attacke ist im Einkauf viel zu teuer, denn man hat keinen "Hebeleffekt": Man benötigt die gleiche Menge und Ausdauer an Traffic beim Angreifer, mit der man das Opfer blockieren möchte.
Im März aber war genau das der Fall: Dieser 1Gbit/s-Uplink wurde im März überlastet. Dadurch hatten wir keine Möglichkeit, auf unserer Firewall den Traffic zu filtern (weil der Stau auf der Zufahrtsstraße bereits alles blockiert hat). Unsere Server und unser Netzwerk hinter dem Uplink waren verfügbar, aber teilweise war kein Produkt mehr nutzbar, weil die Zufahrt dicht war.
Am Standort Düsseldorf haben wir volle 10 GBit/s sowohl als Uplink, als auch als Firewall-Leistung zur Verfügung, so dass wir auch derartige Attacken zukünftig besser selbst beherrschen können.
4. Die Server selbst: Ihr DRKCMS liegt mit ein paar Hundert anderen Installationen auf einem DELL-Server, kaum größer als ein Pizza-Karton, aber teurer als ein durchschnittliches Pizza-Lieferfahrzeug. Deren betreiben wir derzeit eine Handvoll, im Hintergrund laufen noch zwei Dutzend weitere Server in etwas anderer Konfiguration, und auf einem davon liegt auch die Datenbank Ihres DRKCMS.
Üblicherweise sind diese Server das Haupt-Angriffsziel einer DDOS-Attacke, hier hat man eine Hebelwirkung: Mit einer kleinen Anfrage (z.B. dem Seitenaufruf einer aufwendigen Suche, ein sehr kleines Datenpaket in wenigen Millisekunden verschickt) kann man für mehrere Sekunden sehr viel Rechenleistung für den Suchauftrag verursachen.
Sollte es gelingen, den Server so in die Knie zu zwängen, wären damit alle auf diesem Server liegenden DRKCMS-Installationen betroffen. Aus diesem Grund haben unsere Server als zusätzliche Absicherung eine Überwachung des Zugriffsverhaltens und sperren im Zweifelsfall Gegenstellen auch einfach aus.
5. Die DRKService-Server im Hintergrund: Das DRKCMS kommuniziert an sehr vielen Stellen mit dem Server der DRK Service GmbH: Formulare mit KDB-Anbindung, DLDB-Abfragen für Kleidercontainer, Kurse uvam.
Dies war in den letzten Jahren der Flaschenhals, der für die meisten kürzeren Ausfälle des DRKCMS verantwortlich war. Gibt es zu viele Anfragen (weil einfach viel los ist, oder weil es sich um einen Angriff handelt unterhalb der Schwelle, die unser System als kritisch einstuft), dann wird deren Server u.U. sehr langsam und zieht damit die generelle Performance der DRKCMSe in die Knie. Durch die vielen kleinen Schnittstellen einerseits, und durch die blockierten Ressourcen (während unsere Server auf die Rückmeldung warten) sind davon auch Seiten betroffen, bei denen gar keine DLDB-Inhalte eingebunden sind.
Für deren Server ist es indes schwer zu erkennen, was freundlicher und was feindlicher Traffic ist: Die Anfragen haben alle das gleiche Format (sie werden ja nicht vom Angreifer formuliert, sondern aus dem DRKCMS heraus) und sie kommen alle von uns. Jede Art von Firewall oder DDOS-Protection ist an deren Stelle im Prinzip hilflos/nutzlos.
Die DRK Service GmbH arbeitet daran, die Abhängigkeiten von deren Server zu minimieren. Zum Beispiel sollen Formulare (KDB etc.) zukünftig nicht mehr direkt aus dem DRKCMS kommen (und damit eine Datenverbindung zwischen uns erfordern), sondern direkt vom Browser bei der Service GmbH abgefragt werden.
Wie funktioniert DDOS-Protection?
Die meisten DDOS-Produkte sind sog. Web-Application-Firewalls (WAF, Layer7), das bedeutet:
- Ihre Domain zeigt technisch nicht auf das DRKCMS, sondern auf den Server des DDOS-Anbieters
- Dieser nimmt den Seitenaufruf an, analysiert ihn und leitet ihn im Hintergrund an uns weiter
- Wir beantworten die Anfrage (gegenüber dem DDOS-Anbieter)
- und er liefert sie aus.
Eine solche DDOS-Protection hilft, Angriffe gezielt (und ausschließlich) gegen Ihre eigene Webseite zu verhindern. Das Konzept dieser Produkte basiert aber darauf, dass der dahinterliegende Server exklusiv für Sie zur Verfügung steht (und nicht von anderen Kunden, die evtl. angegriffen werden könnten), und dass der auch "versteckt" betrieben wird (d.h. ein Angreifer ihn nicht direkt erreichen kann).
Das ist vom Prinzip beim DRKCMS nicht vorgesehen.
Das bedeutet: Im Falle eines erfolgreichen Layer2-Angriffs (wie im Frühjahr), einer Überlastung des Servers oder einer Verzögerung aufgrund einer Überlastung der DLDB-/KDB-Server (wie gesagt die Haupt-Ursache in den letzten Jahren) ist auch die DDOS-Protection machtlos. Maximal kann sie aus dem Cache heraus eine gespeicherte Version ausliefern.
Ich habe eine DDOS-Protection beauftragt. Funktioniert das problemlos?
Nein.
Erster Aspekt: Wenn Sie die IP-Adresse Ihrer Domain auf Ihren DDOS-Anbieter ändern (statt auf Ihren DRKCMS-Server), dann funktionieren einige Scripte nicht mehr automatisch, z.B. können wir keine SSL-Zertfikate mehr ausrollen, weil das eine Kommunikation zwischen der Zertifizierungsstelle und uns über den Domainnamen erfordert.
Und wenn die Domain bei uns liegt, und unser System feststellt, dass die IP-Adresse nicht auf uns zeigt, passt es die Konfiguration automatisch an. Dann würde Ihre DDOS-Protection versehentlich überbrückt.
Zweiter Aspekt: Sobald Sie den Verkehr nur noch durch Ihren DDOS-Anbieter leiten, wird unsere eigene DDOS-Protection Ihren Anbieter als Angreifer einstufen (denn: Es kommt ungewöhnlich viel Traffic von dort) und aussperren, und Ihre Seite ist dann offline.
Neben diesen Aspekten (die wir bei uns entsprechend konfigurieren müssen) gibt es auch noch folgende Überlegungen, die Sie in Ihre Planung einbinden sollten:
Absicherung 1: Wir haben am Standort Düsseldorf extra einen zweiten Uplink legen lassen, so dass wir über "geheime" IP-Adressen weiterhin für Ihren DDOS-Anbieter erreichbar sind. Im Falle eines erneuten erfolgreichen Layer2-Angriffs auf das gesamte DRK ist "Ihr" Server dann zwar auch von der überfüllten Zufahrtsstraße betroffen, aber Ihr DDOS-Anbieter kann sozusagen über einen geheimen Hintereingang bei uns die Seite abrufen und trotzdem in Ihrem Namen ausliefern.
Absicherung 2: Wie oben beschrieben: Sie teilen sich Ihren DRKCMS-Server mit ein paar hundert anderen Installationen. Und sollte der Server in die Knie gezwängt werden, beträfe das auch Ihre Installation. DDOS-Protection funktioniert nur sinnvoll, wenn der dahinterliegende Ziel-Server eben keine anderen Aufgaben hat, durch die er angreifbar ist.
Wenn Sie sich also wirklich sinnvoll schützen möchten, empfiehlt es sich, dass wir Ihr DRKCMS auf eigene (exklusiv für Sie bereitgestellte) Hardware umziehen, die im Falle eines Angriffs auf den Gesamtverband weiterhin nur für Sie da sind und nur von Ihrem DDOS-Anbieter aus (s. vorheriger Punkt, geheimer Uplink) zugänglich sind.
Absicherung 3: Wie eingangs beschrieben ist der Haupt-Engpass der letzten Jahre nicht unsere DRKCMS-Plattform gewesen, sondern die Server der DRK Service GmbH (weil die natürlich auch ein ganz anderes Budget für deren Betrieb haben als wir, d.h. die können gar nicht so viele Anfragen aufnehmen). In Kombination mit einem eigenen Server (s. vorheriger Punkt) können wir eine definierte Grenze einbauen, ab welcher Last wir die Verbindung Ihres Servers nach Berlin trennen und kurzschließen, damit Ihre Seite (ansonsten) weiter erreichbar bleibt.
Wichtig: Ab diesem Moment wäre aber jegliche Interaktion im Bereich Kursanmeldung, Online-Spende, Kontaktformulare etc. deaktiviert, womit der Angreifer weiterhin ein Teil-Ziel erreicht hätte.
Ist DDOS-Protection sinnvoll?
Wie oben beschrieben genügt es nicht, einfach bei irgend einem Anbieter ein Produkt zu buchen. Sondern Sie brauchen eine umfangreiche Planung Ihres Vorhabens, bei dem auch genau über die Schutzziele gesprochen werden muss:
- Genügt es, dass im Falle eines Ausfalls Ihre Webseite (in der Version vom Vortag aus dem Cache heraus) aufrufbar ist?
- Oder brauchen Sie eine Möglichkeit, tagesaktuell als Redakteur Änderungen vornehmen zu können?
- Oder ist Ihnen gar eine Interaktion mit dem Besucher, speziell z.B. Kursbuchungen wichtig?
Je nach dem, wie Sie diese Fragen beantworten, reicht das Spektrum von einer einfachen DDOS-Protection mit Caching, die für wenige Hundert Euro im Jahr angeboten wird, bis hin zu fünfstelligen Mehrkosten pro Jahr für eigene Serverinfrastruktur.
Es wäre falsch zu glauben, dass dadurch die Verfügbarkeit Ihrer Webseite auf 100% steigt. Fehler auf Ihrer, auf unserer oder auf Seiten des DDOS-Anbieters können weiterhin auftreten, oder Ausfälle, die weder eine DDOS-Attacke, noch eine normale (technisch erkennbare) Downtime sind, d.h. wo Ihr Anbieter dann nicht einspringt, weil er sie nicht abfedert bzw. erkennt. Plus Potential für Konfigurationsfehler o.ä., die überhaupt nur entstehen, weil man die Komplexität erhöht und einen Anbieter dazwischen hängt.
Gehen Sie davon aus, dass Sie die Hälfte an möglichen Störungen nicht durch Wahl eines DDOS-Protection-Produktes beseitigt sind.
Und dann überlegen Sie, was die Downtime Ihrer Webseite wirklich pro Stunde kostet.
Mit diesen Zahlen können Sie jetzt ausrechnen, ob sich die Investition lohnt, um die Wahrscheinlichkeit eines Ausfalls (bzw. deren Auswirkungen) um 50% zu reduzieren.