Drown oder wenn das Pferd nicht saufen will

Die Pferde zur Tränke führen

Hoster testen die Systeme in ihren Rechenzentren routinemässig auf Sicherheitslücken. Solche Tests finden einerseits regelmässig statt und andererseits bei Bedarf bzw. wenn Lücken bekannt werden. Die Resultate dieser Tests teilen sie ihren Kunden mit und fordern sie auf, Lücken zu beseitigen. „Drown“ zum Beispiel war bei einem Kunden von aspectra ein Thema.

Saufen müssen sie selber

Als Hoster hat man in der Regel die Verantwortung für die Systeme, das Betriebssystem und allenfalls noch für ein paar Standardapplikationen wie Datenbanken oder Web- und Applikationsserver. Die Applikation hingegen ist in der Verantwortung des Kunden bzw. seines Integrators. Wenn nun ein Kunde eine Lücke nicht oder nicht schnell genug behebt, steht der Hoster vor einem Dilemma: Einerseits hat man einem Kunden gegenüber keine Weisungsbefugnis. Andererseits dürfen Lücken auf Kundensystemen nicht die Infrastruktur des Hosters oder andere Kunden gefährden.

Und die Pferde, die trinken?

Als Hoster kann man die Systeme eines Kunden vom Netz nehmen. Das ist aber eine extreme Massnahme, die man in der Regel vermeiden möchte. aspectra trennt deshalb alle Kundensysteme galvanisch voneinander. Jeder Kunde hat seine eigenen durch Firewalls getrennten Netzwerkzonen. Angriffe von Kundenservern innerhalb des Rechenzentrums werden damit verhindert. Natürlich könnte ein gekapertes System immer noch versuchen, andere Kundensysteme über das Internet zu hacken. Dann aber greifen die üblichen Sicherheitssysteme wie Firewalls, Reverse Proxies, Intrusion Detection Systeme etc.

Links zum Thema:
DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis
test.drownattack.com