(D)DoS Protection in High Performance Umgebungen

Die Menge an Angriffen auf Web-Shops und Web-Portale hat ein Ausmaß erreicht, dass mühelos selbst die größten und leistungsfähigen Installationen überlastet. Auch Service Provider kennen das Problem der (D)DoS Angriffe auf die Hosting-Systeme ihrer Kunden, die ihre Netze über die Grenzen hinaus belasten.

Der Schutz mit IPS Systemen reicht hier nicht mehr aus, da selbst diese an die Grenze ihrer Leistungsfähigkeit kommen, wenn die Anzahl der Angriffe mehrere zehn- oder gar mehrere hunderttausend Angriffe pro Sekunde überschreiten. Unter dieser Last blockieren dann die IPS Systeme den Datenstrom und der Angriff ist erfolgreich. Dazu kommt die Tatsache das immer mehr PC Systeme mit einem Bot infiziert sind und so den Angreifern immer mehr Ressourcen für noch stärkere Angriffe zur Verfügung stehen. Analysen des BKA zufolge ist alleine in Deutschland jeder neunte PC Teil eines Bot-Netzwerks.

Für kleine Installationen mag daher der Schutz mit herkömmlichen IPS System noch ausreichend sein, in großen Installationen ist dies nicht mehr der Fall. Hier bedarf es anderer Lösungen um (D)DoS Angriffen Herr zu werden. Besonders wichtig ist es, dass sich ein solcher Schutz sofort und ohne Änderung der Topologie implementieren lassen muss. Stark frequentierte Webseiten können nicht einfach offline gehen, daher muss sich eine solche Lösung quasi im laufenden Betrieb einfügen lassen.

Die Lösung zum Schutz vor (D)DoS Angriffen für High Performance Umgebungen kommt von Fortinet auf Basis von Fortigate Systemen mit SP2-ASIC Prozessoren. Der Security-Prozessor analysiert direkt am 10G Port den ankommenden Traffic, noch bevor dieser die weiteren ASIC oder die CPU belastet. So wird erreicht, dass nur Traffic, der nicht zum (D)DoS Angriff gehört weitergereicht wird. Zusätzlich bieten dann die Systeme durch ihre UTM Funktionen weitere Mechanismen zum Schutz der dahinter liegenden Installation.

Als Systeme kommen die Modelle 3140B oder 3950B mit XG-2 Modul zum Einsatz. Diese werden dank dem transparenten Modus einfach in die vorhandene Infrastruktur und direkt in vorderster Linie in den Datenstrom eingefügt. Danach werden die Parameter des Normalbetriebs ermittelt und die Grenzwerte zum Schutz der dahinter liegenden Installation definiert. Die hier vorgestellte Lösung ist keine Fiktion, sondern eine Lösung, die genau wie hier beschrieben große Web-Shops oder Portale schützt.