Was ist Cloudflare und warum ist es wichtig?

Cloudflare Servers

Cloudflare Servers

Letzte Woche war es wieder soweit. Ein weiterer Fall von sensiblen Daten, die im Internet zugänglich waren, wurde bekannt. Die Firma Cloudflare verteilte ungewollt, durch einen Fehler in der Programmierung, sensible Daten von unzähligen Nutzern im Internet. Das Interessante an diesem Fall ist zum einen, dass es sich nicht um einen Angriff von Hackern handelte und zum anderem die Erkenntnis, wie viel Internet Traffic weltweit über Cloudflare abgewickelt wird. Da viele Leser vermutlich den Namen dieser Firma noch nie gehört haben, möchte ich in diesem Artikel auch eine Antwort auf die Frage geben, was das Geschäftsmodell der Firma Cloudflare ist und wessen Daten da öffentlich im Netz standen und teilweise noch stehen.

Die Firma Cloudflare

Cloudflare betreibt ein Netz regional verteilter und über das Internet verbundener Server, mit denen Inhalte ausgeliefert werden. So eine Dienstleistung nennt sich Content Delivery oder Content Distribution Network, kurz CDN. Bei dieser Art der Auslieferung von Inhalten geht es um eine Verbesserung der Geschwindigkeit beim Aufbau der Website und oft auch um eine Reduzierung der Bandbreite.

Wenn deine Website beispielsweise für Besucher aus China gedacht ist, dein Server aber hier in der Schweiz steht, so lässt sich durch den Einsatz eines CDN tatsächlich die Zugriffsgeschwindigkeit für chinesische Benutzer erheblich steigern.

Aus diesem Grund bieten auch wir von NOVATREND die einfache Integration des Cloudflare Services in unserem Administrationsbereich cPanel an.

Novatrend Cloudflare cPanel Backend

Cloudflare legt, vereinfacht gesagt, Kopien deiner Website an und kopiert sie auf eigene Server, die in der ganzen Welt verteilt stehen. Wenn nun ein Besucher auf die Website zugreift, stellt ein System zur Lastverteilung sicher, dass immer die Server angesprochen werden, die deine Website am schnellsten ausliefern werden. Die Cloudflare Server sind quasi ein großer, weltweit erreichbarer Seitencache.

Cloudflare ist ein Startup und hat bisher 182,000,000 US$ Kapital erhalten. Es wurde im Jahr 2009 gegründet und bietet außer der schnellen Verbreitung von Website Inhalten auch einen DDoS-Schutz und weitere Sicherheitsservices wie eine Web-Firewall an. Im Laufe der Jahre wurden die Algorithmen von Cloudflare immer leistungsfähiger. Große mediale Aufmerksamkeit erhielt der Dienst im Jahr 2013 als Wikileaks ihn zum Schutz der eigenen Website erfolgreich nutzte.

Cloudflare entwickelte sich sehr positiv in den letzten Jahren und lieferte immer mehr Inhalte von immer mehr Kunden aus. Um ein Gefühl für die Bedeutung der Firma für das gesamte Internet zu bekommen, hier ein paar Zahlen: 7.7 % aller Websites weltweit nutzen CDNs. Davon nutzen 5,5 % Cloudflare. Das entspricht einem Marktanteil von 71.8 %. Der nächste Mitbewerber Akamai kommt auf einen Anteil von 12.7 %.

Marktanteil Cloudflare https://w3techs.com/technologies/overview/proxy/all
Marktanteil Cloudflare https://w3techs.com/technologies/overview/proxy/all

Gerade der DDoS Schutz Service von Cloudflare wurde für viele Firmen, wie beispielsweise online Shop Betreiber eine Art Lebensversicherung. Wenn durch einen DDoS Angriff nichts über den online Shop verkauft werden kann, verdient man kein Geld. Da immer mehr Services ihre Geschäfte ausschließlich über das Internet erledigen, wird das Wachstum von Cloudflare verständlicher.

Mit der zunehmenden Verbreitung von HTTPS verschlüsselten Seiten ergab sich die Notwendigkeit, auch diese auf Cloudflare Servern zwischen zu speichern.

An diesem Punkt wird es kompliziert, weil die Datenpakete ja aus gutem Grund verschlüsselt sind und eine verteilte Speicherung problematisch ist. Daher bietet Cloudflare vier Möglichkeiten die Inhalte zu cachen.

  • Off: Keinerlei Inhalte werden über HTTPS vermittelt
  • Flexible: HTTPS wird innerhalb der Cloudflare Infrastruktur verwendet aber die Verbindung zwischen der Original Site und Cloudflare ist unverschlüsselt
    Cloudflare Flexible SSL
    Cloudflare Flexible SSL
  • Full: Zusätzlich zu der Version Flexible wird nun auch mit der Original Site verschlüsselt kommuniziert, das Zertifikat wird aber nicht ausgewertet, d.h., es wird nicht überprüft ob es gültig ist.
    Cloudflare Full SSL
    Cloudflare Full SSL
  • Full (strict): CloudFlare gibt das Zertifikat selbst heraus und hört den gesamten Traffic mit. Dadurch ist der Verkehr komplett verschluesselt, das Zertifikat wird ausgewertet und der Man in the Middle hat das Nachsehen.
    Cloudflare Strict SSL
    Cloudflare Strict SSL

Die Grafiken stammen von Cloudflare selbst (Introducing Strict SSL: Protecting Against a Man-in-the-Middle Attack on Origin Traffic).
Alle Varianten sind … „hmmm“ … schlecht … denn die ursprüngliche Idee von HTTPS ist ja eine verschlüsselte Kommunikation vom Browser des Besuchers bis zum Original Server (Siehe auch CloudFlare, SSL and unhealthy security absolutism).

Sie sind auch deshalb schlecht, weil in den Varianten Flexible und Full die Nutzersessions gehackt werden kann, wie damals 2010 als HTTPS noch ein Fremdwort für viele war.

Firesheep Extension 2010
Firesheep Extension 2010

Die Variante strict ist ebenfalls nicht perfekt, weil in diesem Fall der gesamte verschlüsselte Traffic über Cloudflare läuft und Cloudflare selbst der Man in the middle ist!

Wessen Daten waren betroffen?

Völlig unabhängig vom erfolgreichen Geschäftsmodell wurde letzte Woche besagter Programmierfehler bekannt.

Die Cloudflare-Server scheinen seit dem 22. September verschlüsselte Inhalte unverschlüsselt im Netz verteilt zu haben, somit wären über 5 Millionen Webseiten von Cloudflare-Kunden für knapp fünf Monate betroffen. Besonders schlimm soll das Leck zwischen dem 13. und 18. Februar gewesen sein.

Die Cloudflare Kunden sind große Firmen wie beispielsweise Uber und Zendesk , aber auch kleinere wie die Seiten des deutschen Bundestages.
Die Daten dieser Kunden sind deine und meine Daten!

Dezentrale vs. zentrale Strukturen

Strukturen können zentral oder dezentral geordnet werden. Beide Konzepte haben Vor- und Nachteile. Zentrale Systeme funktionieren meist schnell und effektiv, beispielsweise eine Armee oder die Strukturen von Amazon, Apple, Google, Facebook und viele andere mehr. Zentrale Systeme bieten immer eine einfache Möglichkeit der Kontrolle. In der Natur könnte man sie vereinfacht mit einer Monokultur vergleichen.

Dezentrale Systeme dagegen sind langsamer, komplexer, und schwerer zu kontrollieren. Sie sind dafür erheblich unempfindlicher gegenüber Schädlingen und vergleichbar mit einer Mischkultur in einem tropischen Regenwald der sich über Jahrmillionen selbst erhält.

In einer Monokultur kann ein einziger Schädling das gesamte System zum Stillstand bringen, in einer Mischkultur ist das praktisch unmöglich.

Das Internet ist eine dezentrale Struktur, ein Verbund autonomer Rechnersysteme mit definierten Protokollen zur Kommunikation. Es ist so ziemlich das Gegenteil von Cloudflare, da es selber diese dezentrale Struktur aushebelt.

Die vernünftige und leider auch teure Lösung des Problems wäre, die eigenen Server „anständig“ zu konfigurieren.

Update (siehe Kommentar von Carsten)
… und im Bedarfsfall auch dort zu platzieren, wo der anvisierte Markt sich befindet …

Dadurch würde man dem dezentralen Ansatz des Internets Genüge tun. Vorfälle wie jetzt bei Cloudflare würden nur einen sehr kleinen Teil des Netzes betreffen. Leider sind die Sites dann nicht ganz so schnell erreichbar wie mit der Cloudflare Technik 🙁

Dieses Dilemma zwischen dezentraler Architektur wie dem Internet und zentralen Ansätzen wie Cloudfare ist schwer auflösbar und vermutlich ein langer Prozess.
Sprich mal mit einem Biobauern über zentral organisierte Landwirtschaft 🙂

Links


tl;dr: Sensible Daten werden von allen an der Verarbeitung dieser Daten Beteiligten gelesen und meist auch gespeichert.

Save

Save

Save

Save

Save

Save

Autor: Hagen Graf

consultant, author, trainer, solution finder, web architect, developer, open source lover, visionary, orator, the good old webmaster. Able to simplify!

Ein Gedanke zu „Was ist Cloudflare und warum ist es wichtig?“

  1. Moin Hagen,

    meine volle Zustimmung für

    „Das Internet ist eine dezentrale Struktur, ein Verbund autonomer Rechnersysteme mit definierten Protokollen zur Kommunikation. Es ist so ziemlich das Gegenteil von Cloudflare, da es selber diese dezentrale Struktur aushebelt.

    Die vernünftige und leider auch teure Lösung des Problems wäre, die eigenen Server „anständig“ zu konfigurieren.“

    Ich ergänze hier noch: Und im Bedarfsfall auch dort zu platzieren, wo der anvisierte Markt sich befindet.

    Zu Cloudflare habe ich folgende Meinung:

    Cloudflare ist für die meisten Nutzer überflüssig und in vielen Fällen nur sinnvoll als Notlösung einzusetzen, falls kurzfristig extrem hohes Trafficvolumen auftritt. In einer solchen Situation kann Cloudflare nützlich sein, um den eigenen Server temporär zu entlasten.

    Außerdem bieten, wenn überhaupt, nur das 200 $ pro Monat kostende Business Paket oder die teureren Enterprise Pakete einen wirklichen Sicherheitsgewinn. Erst da hat man, im Rahmen der Möglichkeiten von Cloudflare, vollen DDoS Schutz, umfangreichere WAF Regeln etc.

    Die 200 $ monatlich in einen vernünftigen Server/Hoster investiert, da bliebe allerdings nicht mehr viel Bedarf für Cloudflare übrig.

    Cloudflare hat eine gute PR Abteilung, ist schön bunt und recht einfach zu bedienen, das perfekt Zusatzpaket um eigene Dienste aufzuwerten und Mehrwerte für die eigenen Kunden zu präsentieren. Aber das ist nur Marketing.

    Nur mal einige Punkte:

    – Der ganze Dienst hat sich immer wieder als recht störanfällig erwiesen. Außerdem hast Du bei der Fehlerbehebung immer eine Partei mehr mit im Boot.

    – Innerhalb DACH gibt es keine spürbare Verbesserung der Website Performance, häufig sogar schlechtere Ladezeiten u. a. wegen:

    – Die Minifying Funktionen und die starke Komprimierung (Gzipping) bringen gewisse Geschwindigkeitsvorteile, sind aber häufig nicht nutzbar, da es zu Problemen bei den eingesetzten Skripten (WordPress, Joomla und besonders Magento) kommt. Dann ist man mit Cloudflare langsamer unterwegs als vorher.

    – Der DDoS Schutz nützt dir dann nicht viel, wenn der Ursprungsserver z. B. über seine IP angegriffen wird. Diesen Schutz sollte sowieso der Hoster gewähren, z.B. durch die Anbindung an Dienstleister wie Voxillity u. a. Auf die kann innerhalb von Sekunden umgeroutet werden, die filtern dann den kompletten Traffic und lassen nur die gewünschten Pakete zum Server durch.

    – Vernünftige Logs gibt es erst ab dem Enterprise Paket

    – Die WAF in den preiswerten Paketen lässt immer noch zuviele Angriffsversuche durch. Da wurden bis vor kurzem jahrealte Hacks, die auf veraltete WordPress Pluginversionen zielten schlichtweg nicht erkannt.

    Und das ist ja DIE Zielgruppe für die kostenlosen Accounts.

    Das Thema HTTPS hattest Du ja selber schon angesprochen und die Datenschutzproblematik lassen wir mal ganz außen vor.

    Mein Fazit: Cloudflare für bestimmte Anwendungsfälle im Business- oder Enterprise Tarif, kann durchaus Sinn machen. Alle anderen sollten auf ihren guten Webhoster vertrauen.

    Ich wünsche Dir eine schöne Woche.
    Carsten

Kommentar verfassen