Abwehr von DDoS-Angriffen: Das Unternehmen ist geschützt und bleibt online
9. Dezember 2014Als ein Ergebnis aus der Akquise von Defense.Net stellt F5 Networks die Silverline-Reihe vor. Dabei bietet die Silverline DDoS Protection (Distributed Denial of Service) als erstes Mitglied dieser Produktfamilie neben der Kombinationsmöglichkeit von On-premise-DDoS-Schutzmöglichkeiten mit einem Cloud Service auch die Option, diesen Dienst als alleinstehenden Cloud Service zu nutzen.
Über Programmiertechnologien wie iRules lassen sich Schutz und Performance vollständig individuell an Kundenbedürfnisse anpassen. Dieser hybride Lösungsansatz ermöglicht es, die komplette Bandbreite an DDoS-Angriffen zu absorbieren und die Angriffe so zu beheben, dass die Benutzer davon nichts mehr bemerken. Mit Hilfe der offenen und programmierbaren F5-Architektur können IT-Security-Verantwortliche Regeln setzen, um etwa Attacken über Zero-Day-Exploits abzuwehren. Diese Lösung spielt mit den Application-Delivery-Controller-Modulen von F5 zusammen und bietet in dieser Kombination einen umfassenden DDoS-Schutz.
Angriffe nach dem Konzept Distributed Denial of Service (DDoS) gehören nach wie vor zum „Handwerkszeug“ der bösen Jungs – so lautet die einstimmige Aussage der Sicherheitsexperten. Nachweisen lässt sich diese Aussage anhand der vielen Untersuchungen, wie sie von Unternehmen wie Trendmicro, Kaspersky oder Akamai in den letzten Monaten publiziert wurden. Und eine Ende dieser Angriffsart ist auch im kommenden Jahr nicht in Sicht: Die DDoS-Attacken steigen an – sowohl was die Häufigkeit, als auch die Komplexität dieser Angriffe angeht.
Besonders infam sind dabei Verbindungen von DDoS-Angriffen, die mit einem hohen „Angriffsvolumen“ – mehreren Hundert GBit/s – sich gegen Unternehmen richten. Denn in diesem Fall wird sich die volle Aufmerksamkeit der Sicherheitsverantwortlichen der betroffenen Firma ganz auf die Abwehr dieses Angriffs richten. Wenn zur selben Zeit noch ein spezieller Angriff auf ganz bestimmt Applikationsdienste und -Daten gefahren wird, kommt diese Kombiattacke mit einer viel höheren Wahrscheinlichkeit an die gewünschten Informationen.
Um einem derartigen kombinierten Angriffsszenario die Stirn bieten zu können, empfiehlt sich für viele Unternehmen ein Zusammenspiel von Abwehrtechniken, die im eigenen Haus vorgehalten – On Premise – werden, und von Cloud-basierten Lösungen, die sich im Angriffsfall möglichst umfassend um den DDoS-Angriff kümmern. Auf diese Weise können Unternehmen sicherstellen, dass selbst bei DDoS-Angriffen mit einem sehr hohen Angriffsvolumen das Unternehmen weiterhin „online“ bleibt und dass das Business weiterläuft.
Dazu muss allerdings die Sicherheitslösung alle möglichen DDoS-Angriffsvektoren abblocken, ehe sie auf das Unternehmensnetzwerk treffen. Dazu ist auch eine hohe Skalierbarkeit der Sicherheitsvorkehrungen nötig, denn sie muss mit der steigenden Komplexität und dem immer größeren Angriffsvolumina zurechtkommen. Um auch noch gegen eventuell spezielle DDoS-Angriffe gegen Anwendungen gefeit zu sein, sollte die Sicherheitslösung auch noch auf den höheren Netzwerkebenen (Layer 3 bis Layer 7) gegen alle gängigen Angriffsvektoren Schutz bieten.
Für die technisch versierten Sicherheitsverantwortlichen im Unternehmen sollten die Informationen zum jeweiligen Angriff möglichst in Echtzeit verfügbar sein. Damit sind sie in der Lage, passende Gegenmaßnahmen anzustoßen. Zudem sind die entsprechenden Parameter vor, während und nach dem Angriff auszuwerten. So lassen sich Planungen für die Zukunft besser an die Anforderungen ausrichten, die aufgrund der Angriffe sichtbar werden.
Wenn diese Lösung nicht im eigenen Unternehmen vorliegt, sondern als eigenständiger Service bezogen wird, steht einem ein Schutz rund um die Uhr, sieben Tage die Woche zur Verfügung. Das Security Operations Center von F5 Networks bietet mit der „F5 Silverline DDoS Protection“ einen 24/7-Service für derartige Angriffe an. Er passt besonders gut mit den DDoS-Lösungen von F5 Networks zusammen, die Unternehmen im eigenen Rechenzentrum einsetzen. Dieser hybride Schutzansatz spielt aber auch mit anderen DDoS-Schutzlösungen zusammen.
Dazu werden verschiedene Schutz-Level angeboten. Sie kommen den individuellem Anforderungs- und potenziellem Angriffsprofil eines Unternehmens entgegen:
- Always On: erste Verteidigungslinie – sie verhindert permanent das Eindringen von schädlichem Traffic ins Netzwerk.
- Always Available: Primärer On-Demand-Schutz – er lässt sich bei einem Angriff sofort aktivieren.
- Ready Defense: Sekundärer DDoS-Schutz – er stellt zusätzliche Kapazität für die DDoS-Abwehr eines Unternehmens zur Verfügung.
Prinzipiell wird der DDoS-Angriff vom Silverline-Service abgewehrt und kommt somit gar nicht zum Unternehmensnetzwerk durch. Das bedeutet für eine Organisation, dass das Business wie gewohnt weiterlaufen kann. Dadurch reduziert sich das Ausfallsrisiko der Internetanbindung. Und im Unternehmen selbst muss keine extrem aufwändige Lösung implementiert sein, da das Gros des Angriffsvolumens bereits vom Silverline-Service übernommen und behandelt wird.
Jedes Unternehmen, das Inhalte oder Anwendungen über das Internet anbietet, kann von dem Cloud-basierten Service profitieren und sein Geschäft so auch bei einem DDoS-Angriff – mit marginalen Einschränkungen für die Anwender/Kunden – aufrecht erhalten. Laut F5 Networks kommt dieser Cloud-basierte Dienst mit allen DDoS-Attacken zurecht und bietet zudem Schutz gegen Angriffe auf den Ebenen 3 bis 7 (Netzwerk- bis Applikationsebene). Der Service leitet den „gesäuberten“ – also von DDoS-Angriffspaketen befreiten – Datenverkehr an das Unternehmen weiter.
Wenn der Datenverkehr beim Silverline-Service (im Data Center von F5 Networks mit den DDoS-Schutzmechanismen) eintrifft, wird er in einem „Spectrum of Suspicion“ gelenkt und analysiert. Dabei wird die bestmögliche Vorgehensweise für das Entfernen der Angriffspakete bestimmt und dann der Datenverkehr von ihnen „gesäubert“. Dieser gefilterte Verkehr wird dann an die betreffende Website weitergeleitet. Das erfolgt alles sehr schnell, so dass die Benutzer davon nichts bemerken.
Um diesen Service vorhalten zu können, hat F5 Networks eigene, weltweit verteilte Rechenzentren im Einsatz. Sie sind alle so konzipiert, dass sie selbst mit hochvolumigen DDoS-Angriffen zurechtkommen. Dazu verfügen die Rechenzentren über eine Bandbreite von 2,0 Terabit/s für die eigentliche Angriffsbehandlung sowie um 1,0 Terabit/s für die Überwachung des Datenverkehrs. Dabei arbeitet F5 Networks mit den großen Carriern zusammen und stellen dabei auch sicher, dass diese komplette Bandbreite ausschließlich für diese DDoS-Abwehr bereit steht.