Link11 mit zweistufiger DDoS-Erkennung und Echtzeit-Monitoring
DDoS-Abwehr als Managed Service "Made in Germany"
Der Hosting- und Sicherheitsspezialist Link11 bietet von Frankfurter Rechenzentren aus die Abwehr von DDoS-Angriffen (Distributed Denial of Service) als Managed Service an. Damit bieten die Frankfurter eine Alternative zu teuren DDoS-Abwehrgeräten wie auch zu ausländischen Managed Services. Ein Echtzeit-Monitoring-System ermöglicht den Link11-Kunden nun den zeitnahen Überblick über den Datenverkehr und den Eingriff in DDoS-Abwehrmechanismen.
F5: Highend-Firewall zum Schutz von UMTS- und LTE-Netzen
Juniper: Mehr Schutz vor DDoS-Angriffen
Arbor: Carrier-erprobte DDoS-Abwehr für den Mittelstand
Link11 hat seine DDoS-Abwehrlösung ursprünglich zum Schutz eigener Hosting-Angebote entwickelt, bietet den Schutzmechanismus aber inzwischen als generischen Managed Service an. Die Lösung arbeitet mittels Filterung des Netzwerkverkehrs und bietet damit eine Alternative zum DDoS-Schutz mittels Nutzung verteilter Datenhaltung per CDN (Content Delivery Network) oder aber mittels Spezial-Appliances, wie sie Arbor Networks, Radware und einige andere Hersteller anbieten.
Der Schutzmechanismus von Link11 arbeitet dabei auf zwei Ebenen: Per Netzwerk-Monitoring erkennt die Lösung großangelegte netzwerkbasierte Angriffe wie zum Beispiel Syn-Floods oder UDP-Floods. Ergänzt wird dies durch den Abgleich der IP-Adressen mit Botnet-Datenbanken. Als zweite Ebene nutzt der Frankfurter Anbieter Tracking und Filterung auf Applikationsebene, um beispielsweise Slow-HTTP-Angriffe zu erkennen.
Für diese Filterung nutzt Link11 ein hinterlegtes Regelwerk von rund 200 Regeln sowie ein selbstlernendes Monitoring-System. „Wir filtern sehr granular“, betont Link11-Vertriebsleiter Raymond Hartenstein, „und tracken dabei auf der Basis der IP-Adresse, wie sich ein Benutzer auf der Site verhält.“
Das System beobachtet das Benutzerverhalten und bewertet es anhand eines Scoring-Modells: Während ein normaler Nutzer zum Beispiel im Bereich von 200 bis 300 Punkten liegt, so Hartenstein, greife – jeweils nach Vorgabe des Kundenunternehmens – ab bestimmten Schwellenwerten wie zum Beispiel 1.000 Punkten ein Bündel von Abwehrmaßnahmen. Hierzu zählen das Blockieren des Zugriffs, das Drosseln zum Beispiel auf maximal fünf Verbindungen pro Sekunde, das Zuschalten von Captchas (Eingabeaufforderungen, um menschliche Benutzer von Bots zu unterscheiden) sowie die Nutzung von Javascript-Weichen. „DDoS-Bots verraten sich zum Beispiel durch ständiges Neuladen der Startseite“, erläutert Link11-Chef Karsten Dresler und betont: „Dank unseres selbstlernenden Systems haben wir eine sehr geringe False-Positive-Rate.“
Als externer Dienstleister hat Link11 die DDoS-Abwehr für knapp 70 Unternehmen übernommen, darunter laut Angaben Hartensteins auch zwei der zehn größten deutschen E-Commerce-Anbieter. Die Zwischenschaltung des Link11-Services erfolgt dabei durch Änderung der DNS-Einträge, um den Datenverkehr umzuleiten. Dadurch, so Hartenstein, könne man auch kurzfristig eingreifen und mitunter sogar helfen, noch während ein DDoS-Angriff gerade läuft. Der Zeitpunkt der Traffic-Umleitung über die Link11-Systeme hänge dabei aber von der voreingestellten TTL (Time to Live) des DNS-Eintrags ab, der im Minuten-, aber auch im Tagesbereich liegen könne.
Für Hochverfügbarkeit nutzt Link11 laut Unternehmensangaben mehrere Rechenzentren im Frankfurter Raum sowie ein redundant ausgelegtes 292-GBit/s-Netzwerk, das an die drei größten Internet-Exchanges DE-CIX (Frankfurt), AMS-IX (Amsterdam) und LINX (London) sowie an die Netze von der Deutschen Telekom, Global Crossing, Level3, Telia Sonera, Tiscali und Cogent angeschlossen ist. Damit verfüge man über eine Backbone-Kapazität von bis zu 960 GBit/s, beim Ausfall eines Netzes könne man den Datenverkehr komplett über andere Carrier umleiten.
Über den reinen Abwehrdienst hinaus bietet Link11 seinen Kunden ein mandantenfähiges Web-Portal, über das sie ihren Datenverkehr in Echtzeit einsehen können. Aus der Überblicksansicht könne man direkt in einzelne Bereiche hineinzoomen und die Filter ändern. Zudem könne ein Administrator über das Interface eigene Black- und Whitelists pflegen, selbst Benutzer anlegen oder auch Reports erstellen.
Als deutsches Unternehmen unterliegt Link11 dem deutschen Datenschutzrecht – sicher von Vorteil in Zeiten schlagzeilenträchtiger Skandale rund um das umfangreiche Abhören des Internetverkehrs durch den amerikanischen und britischen Geheimdienst. In den letzten zwei Wochen verzeichnete Link11 laut Vertriebsleiter Hartenstein gestiegenen Datenverkehr auf der eigenen Website. Inwieweit dies mit dem aktuellen Prism-Abhörskandal zusammenhängt, konnte er aber nicht sagen.
Der Preis für das Startpaket liegt bei 250 Euro im Monat. Es umfasst DDoS-Abwehr mit bis zu 500 MBit/s und Support per E-Mail zu Geschäftszeiten. Größere Pakete beinhalten mehr Bandbreite, den Zugang zum Portal-Interface sowie den Schutz mehrerer Domains. Link11 erwägt derzeit, den DDoS-Abwehr-Service auch als White-Label-Angebot für andere Hoster bereitzustellen.
Weitere Informationen finden sich unter www.link11.de.
Lesen Sie mehr zum Thema
