Tipps für den Schutz gegen DDoS-Angriffe
Distributed-Denial-of-Service-Angriffe wirkungsvoll bekämpfen
Fortsetzung des Artikels von Teil 2
Einsatz von Firewalls oder Intrusion-Prevention-Systemen (IPS)
Nahezu jedes Firewall- oder IPS-System nimmt für sich in Anspruch, über eine DDoS-Abwehrfunktion zu verfügen. Das gilt beispielsweise für Next Generation Firewalls (NGFW). Ein Vorteil solcher Systeme mit integrierten Firewall-, IPS- und DDoS-Funktionen ist, dass sie einfach zu verwalten sind. Dem stehen jedoch mehrere Nachteile gegenüber. So kann ein einzelnes System leichter durch DDoS-Angriffe lahmgelegt werden, bei denen ein großes Datenvolumen verwendet wird.
Zudem sind die Schutzverfahren, die solche Systeme mitbringen, gegebenenfalls nicht so ausgereift wie die anderer, spezieller Lösungen.
Ein weiterer Schwachpunkt eines solchen integrierten Systems ist, dass die DDoS-Schutzfunktion die Performance beeinträchtigt. Die Folgen sind ein niedrigerer Datendurchsatz und erhöhte Latenzzeiten. Letzteres ist vor allem beim Einsatz von Echtzeitanwendungen wie Voice over IP und Videoübertragungen nicht akzeptabel.
Einsatz spezieller Appliances für die Abwehr von DDoS-Attacken
Dies sind spezielle Hardware-Systeme, die im Rechenzentrum installiert werden. Sie identifizieren und stoppen weniger typische DDoS-Angriffe auf den Ebenen 3 und 4 sowie komplexe Attacken auf Layer 7. Implementiert werden die Appliances am zentralen Internet-Zugangspunkt. Daher können sie volumetrische Angriffe abwehren und den gesamten Datenverkehr überwachen, der für das Netzwerk bestimmt ist oder dieses verlässt. So sind die Appliances in der Lage, die Datenmuster von Layer-7-Angriffen zu entdecken.
Ein weiterer Pluspunkt ist, dass sich die Kosten für den Einsatz solcher Appliances sehr gut vorausberechnen lassen. Sie bleiben nämlich konstant, unabhängig davon, ob ein Unternehmen einmal im Halbjahr oder jeden Tag angegriffen wird. Ein Nachteil ist, dass eine Appliance eine zusätzliche Hardware-Komponente darstellt, die in das Systemmanagement eingebunden werden muss. Außerdem besteht die Gefahr, dass groß angelegte DDoS-Angriffe Systeme mit niedriger Bandbreite überfordern. Zudem sind bei den Lösungen vieler Hersteller häufige Updates der Signaturen erforderlich.
Es gibt zwei grundlegende Versionen von hardwaregestützten Systemen für die DDoS-Abwehr: Lösungen für Carrier und Komponenten für den Einsatz in Unternehmen. Systeme für Carrier sind auf die globalen Netze von Internet-Service-Providern zugeschnitten und dementsprechend kostspielig. Die meisten Unternehmen und öffentlichen Einrichtungen, die für ihre Firmen-Rechenzentren eine kosteneffiziente Lösung benötigen, die DDoS-Angriffe erkennt und blockiert, greifen
daher zu einer Enterprise-DDoS-Appliance.
- Distributed-Denial-of-Service-Angriffe wirkungsvoll bekämpfen
- Optionen für den Schutz vor DDoS-Attacken
- Einsatz von Firewalls oder Intrusion-Prevention-Systemen (IPS)
- Auswahlkriterien für DDoS-Appliances
Lesen Sie mehr zum Thema
