Ausgezeichneter DDoS-Schutz

Transkript

1 DDoS-Schutz Ausgezeichneter DDoS-Schutz MADE IN GERMANY KONTAKT LINK11 GmbH Hanauer Landstraße 291a Frankfurt am Main Deutschland Telefon: +49 (0) Web:

2 02 / LINK11 DDoS-ATTACKEN Gefahrenpotenzial DDoS- und DRDoS-Attacken Im Gegensatz zu einer einfachen Denial-of-Service-Attacke (DoS) werden Distributed Denial-of-Service-Attacken (DDoS) nicht über einen einzelnen Computer, sondern gleichzeitig im Verbund mit mehreren Rechnern durchgeführt. Für eine Attacke infiziert ein Angreifer verschiedene Computer mit Schadsoftware. Diese Computer schaltet der Angreifer zu einem Botnetz zusammen. Einige Botnetze haben bereits mehrere zehntausend Computer unter Kontrolle. Neben der immensen Schlagkraft dieser DDoS-Attacken hat dies auch zur Folge, dass es für Betroffene durch die große Verteilung der Computer nahezu unmöglich ist, festzustellen woher der Angriff kommt. Die zunehmende Gefahrenlage lässt sich mit klassischen DDoS-Schutzmitteln nur schwer bekämpfen, da die Angriffsmuster häufig variieren und die Angreifer zwischen Volumen- und Applikationsangriffen wechseln oder diese kombinieren. Allianz für Cybersicherheit: DDoS-Angriffe gehören zu den am häufigsten beobachteten Sicherheitsvorfällen im Cyber-Raum. Eine im Herbst 2014 von der Allianz für Cyber-Sicherheit veröffentlichte Umfrage ergab, dass mehr als ein Drittel der befragten Unternehmen in den letzten drei Jahren Ziel eines DDoS-Angriffs auf ihre Webseiten geworden sind. Bei sogenannten Distributed Reflection and Amplification Denial of Service (DRDoS)-Attacken missbrauchen Angreifer ungeschützte und falsch konfigurierte DNS- oder NTP-Server, um großvolumige Angriffe jenseits von 100 Gigabit/Sekunde zu erzielen. DRDoS-Attacken nutzen im Verhältnis kleine Abfragen, welche beim missbrauchten Server sehr viel größere Antworten verursachen. Durch die Verwendung gefälschter IP-Adressen werden diese zum Teil bis zu 560-fach vergrößerten Antwortpakete jedoch nicht an den Angreifer zurück, sondern an das Opfer geschickt. Diese Attacken erfreuen sich seit Mitte 2013 einer großen Beliebtheit, da Angreifer mittlerweile mit wenig Ressourcen sehr große Angriffsbandbreiten erzielen können. Gegen solche Attacken sind viele DDoS-Schutzlösungen unwirksam. Verteilung der DDoS-Angriffsmethoden 29 % TCP Floods 3 % Other Sony wiederholt unter DDoS-Attacken 20 % Amplification Attacks 22% Application Attacks Während der Weihnachtsfeiertage 2014 nahm die Hacker-Gruppe Lizard Squad das Playstation Network unter Beschuss. Millionen Gamer auf der ganzen Welt konnten nicht mehr online spielen. Sony entschädigte sie u. a. mit zehn Prozent Rabatt auf Einkäufe im Playstation Store. 26 % UDP Floods Durchschnittliche Bandbreite der DDoS-Angriffe Mbps Für den Sony-Konzern war es bereits der zweite Cyberangriff innerhalb eines Monats. Ende November 2014 hatte bereits die bis dahin unbekannte Hackergruppe Guardians of Peace über 100 Terabyte Daten (Filme, Drehbücher, Geschäftsdaten) gestohlen und in Teilen veröffentlicht. 120 Mbps Application Attacks 1420 Mbps 7600 Mbps Amplification Attacks TCP Floods UDP Floods Schon 2011 wurde das Playstation Network gehackt. Innerhalb von zwei Tagen erbeuteten Hacker mehr als 75 Millionen Kundendaten. Die geschätzte Schadenssumme belief sich nach der Erweiterung der Sicherheitsinfrastruktur und Schadensersatzzahlungen auf mindestens 172 Millionen US-Dollar.

3 03 / LINK11 DDoS-SCHUTZLÖSUNG Welche Merkmale muss ein DDoS-Schutz heutzutage erfüllen? Ein wirksamer DDoS-Schutz muss in der heutigen Zeit intelligent, anpassbar und leistungsfähig sein, um bei immer höher steigenden Bandbreiten, bei immer neuen Angriffsmustern und bei sich ausbreitenden Botnetzen zuverlässig zu arbeiten. Hardwarelösungen boten in den vergangenen Jahren häufig den einzig wirksamen Schutz. Sie waren aber auch mit hohen Anschaffungs- und Wartungskosten verbunden. Bei heutigen Angriffen stoßen sie schnell an ihre Grenzen, da sie zu starr und in Relation zu den hohen Anschaffungskosten zu leistungsschwach sind. Ein zuverlässiger DDoS-Schutz muss sowohl auf Volumenangriffe durch hohe Bandbreite, als auch auf komplexe Applikationsangriffe reagieren können und gleichzeitig gegen Kombinationen aus beiden Angriffsformen gewappnet sein. Ein Schutzsystem, das rein signaturbasiert arbeitet, läuft den sich weiterentwickelnden Attacken in der Regel hinterher, da lediglich bekannte Angriffsformen erkannt werden. Ein intelligenter DDoS-Schutz hingegen ist in der Lage, noch nicht bekannte Angriffsmuster zu analysieren und eine koordinierte und schnelle Reaktion auszuführen. Denn er passt sich anwendungsspezifisch an und ermöglicht so eine geringe false/ positive Rate. Ein redundant ausgelegter DDoS-Schutz sollte 24/7 Expertensupport, niedrige Latenz, ein Alarming-System, sicheres SSL-Handling und aussagekräftige Reports bieten. Im Optimalfall wird das Blockverhalten durch permanentes Monitoring der Systemlast dynamisch angepasst und das Schutzsystem greift ausschließlich in Angriffs- oder Stresssituationen ein. Crawler-Kompatibilität, die Einhaltung der für das Unternehmen geltenden Datenschutzrichtlinien, Geo-Blocking und der Schutz von internen Diensten wie Mail, VPN-Gateways und Datenbanken sind vor allem für international operierende Unternehmen von Bedeutung. Der Link11 DDoS-Schutz bietet: 1. Signaturbasierte Erkennung sowie intelligente Verhaltensanalyse und Anpassung an neue Angriffsszenarien 2. Bandbreitenstarker Schutz im Hochsicherheits-Rechenzentrum 3. Schutz elementarer Unternehmensanwendungen 4. Große Bandbreiten und niedrige Latenz 5. 24/7 Kundenbetreuung durch das Link11 Security-Operation-Center (SOC) 6. Nachjustierbare und kundenindividuelle Filtermechanismen und individuelle Reports 7. Sowohl CAPEX als auch OPEX stehen in einem minimalem Verhältnis zur Hardware-Anschaffung 8. Geo-Blocking und On-Demand Schutz im Angriffsfall 9. Unterstützung aller wichtigen Crawler 10. Einhaltung deutscher und internationaler Datenschutz- und Compliance-Richtlinien LINK11 DDOS PROTECTION CLUSTER Server Server Internet Provider Link11 DDoS Protection Cloud Service Provider Switch Firewall IDS Loadbalancer Server INTERNET BACKBONE DATACENTER SERVICE PROVIDER CUSTOMER DATACENTER Server Link11 geschützes Netzwerk im Angriffsfall

4 04 / LINK11 DDoS-SCHUTZ via DNS Link11 DDoS-Schutz via DNS-Forwarding Die DNS-Schutzlösung ist eine kosteneffiziente Lösung, um Webanwendungen eines Unternehmens zu schützen. Für die DNS-Schutzvariante von Link11 ist keine Aufstockung der Serverinfrastruktur, zusätzliche Bandbreite oder neue Routertechnologie notwendig. Die DNS-Schutzlösung lässt sich bereits ab einer IP-Adresse umsetzen und schützt Anwendungen die auf Domainnamen basieren vor DDoS- Attacken auf Layer 3-7. Hierfür werden die DNS A-Record-Einträge der betroffenen Anwendung angepasst, wodurch der Datentransfer in das Link11-Filterzentrum umgeleitet wird. Die DDoS-Protection Cloud besteht aus einem DDoS-Filter und einem Protocol Analyzer. Der DDoS-Filter blockt Volumenangriffe signaturbasiert und anhand von kundenindividuellen Filtereinstellungen. Der Protocol Analyzer basiert auf einem intelligenten statistischem Modell, das anhand einer Verhaltensanalyse komplexe Attacken und selbst unbekannte und zukünftige Angriffsformen zuverlässig erkennt und unterbindet. Der Link11 DDoS-Schutz ist sofort aktiv, nachdem die Umstellung im DNS-Server erfolgt ist. Site Shield Damit Angreifer die originale Server-IP- Adresse nicht direkt angreifen können, wird beim DNS-Schutz ein Site Shield aufgebaut. Die Router/Firewall-Konfiguration wird entsprechend geändert, so dass nur Zugriffe vom Link11 DDoS-Filter zugelassen werden. Notwendigkeit eines Site Shields Internet Provider Link11 DDoS Protection Cloud Internetprovider Die infizierten s fragen die DNS-Server nach der IP-Adresse und erhalten durch die DNS-Umstellung die IP-Adresse des Link11-Filterzentrums. Sie senden die Attacken daher nicht an den Originalserver.

5 05 / LINK11 DDoS-SCHUTZ via DNS Internet Provider Link11 DDoS Protection Cloud Internetprovider Da dem Angreifer die IP des Zielservers bekannt ist, läuft die Attacke jetzt nicht mehr auf die Domain, sondern über den Internet Service Provider (ISP) direkt auf die IP des Servers. SITE SHIELD SITE SHIELD Link11 DDoS Protection Cloud Internetprovider Ein Site Shield wird implementiert, bei dem der ISP die Ziel-IP-Adresse für Zugriffe von außen auf seiner IP-Filterliste blackholen bzw. nullrouten wird, d. h. den empfangenen Datenverkehr ins Leere laufen zu lassen.

6 06 / LINK11 DDoS-SCHUTZ via BGP Netz-Announcement: Link11 DDoS-Schutz via Border Gateway Protocol Link11 BGP-Schutzlösung bietet einen umfassenden Schutz des gesamten Unternehmensnetzwerks und schützt dadurch auch alle elementaren Unternehmensanwendungen wie Mail, VPN, Datenbankserver etc. Der BGP-DDoS-Schutz kann in einer Hot-Standby-Variante eingesetzt werden und behält den normalen Datenfluss bei, solange kein Angriff stattfindet. Nur im Angriffsfall wird der Datentransfer über das Link11-Filterzentrum geleitet. Zulässige Datenpakete werden über einen geschützten Tunnel (VPN, IP-Sec, GRE) oder durch eine direkte Anbindung vom Filtercluster an das Kundennetzwerk zurück übertragen. Nachdem die DDoS-Attacke erfolgreich abgewehrt wurde, wird der Datentransfer wieder über die ursprüngliche Route geleitet. Der Einsatz der BGP-Lösung setzt für das Umrouting ein /24 oder größeres IP-Netz voraus. Zudem lassen sich kundenindividuell auch komplette Protokolle weiterleiten. Sowohl der Kunde, wie auch das Link11-Sicherheitsteam können bei einer Standby-Integration im Angriffsfall das Netz announcen. Durch die Erweiterung mit dem Link11- Monitoring werden die Flow-Daten der lokalen Router ausgewertet, wodurch im Angriffsfall der Link11-Schutz automatisch aktiviert werden kann. Durch das Netz-Announcement wird der gesamte Traffic im Falle eines Angriffs über den Link11-Schutz geroutet und analysiert. Darüber hinaus ist es möglich kleinere, vom Angriff betroffene Netzteile zu announcen und somit z.b. nur ein /24 Netz aus einem bestehenden /16 Netz zu announcen, welches dann an den Link11-Schutz übergeben wird. Nach einem erfolgreich abgewehrten Angriff wird das Netz durch ein erneutes Announcement wieder direkt an den Kunden geroutet. Link11 Monitoring: Durch das Link11-Monitoring System wird permanent der Status des Netzwerkes überwacht und potentielle DDoS-Gefahr gemeldet. Zusätzlich überwacht das Link11 Monitoring die Verfügbarkeit der Anwendungen und meldet weitere Störfälle. Das Monitoring System wird als Remote Dienst oder als lokale Installation integriert. Internet Provider Link11 DDoS Protection Cloud Internetprovider GRE TUNNEL Es wird ein sicherer IP-Tunnel zwischen der DDoS-Schutzlösung und dem aufgebaut.

7 07 / LINK11 DDoS-SCHUTZ via BGP Internet Provider IP ANNOUNCEMENT Link11 DDoS Protection Cloud Internetprovider GRE TUNNEL Sobald eine DDoS-Attacke erkannt wurde, wird das Routing auf Link11 umgestellt und der Schutz aktiviert. Internet Provider Link11 DDoS Protection Cloud Internetprovider Der Datenverkehr wird über Link11 geleitet und gefiltert. Der Kunde kann dabei festlegen, welche IPs unverändert weitergeleitet werden und welche überwacht werden sollen.

8 08 / LINK11 MONITORING Link11 Monitoring Das Link11 Monitoring-System überwacht permanent den Status des Netzwerkes und reportet potenzielle DDoS-Gefahren. Zusätzlich überwacht das Monitoring die Verfügbarkeit der Anwendungen und meldet weitere mögliche Störfälle. Das Monitoring-System kann als Remote Dienst oder als lokale Installation integriert werden. Remote-Monitoring-System Das Link11 Remote-Monitoring überwacht automatisch und in Echtzeit die via DNS-Forwarding angeschlossenen Server des Link11 DDoS-Schutzes. Es analysiert die Anwendungen, das Serververhalten sowie den ankommenden und ausgehenden Datentransfer und prüft permanent die Antwortzeiten. So werden bereits im Vorfeld drohende Angriffsszenarien erkannt und effizient abgewehrt. Lokales Monitoring-System für den BGP Schutz Beim lokalen Monitoring-System wird ein Monitoring-Server im lokalen Netzwerk installiert. Das Monitoring-System wertet die Flow-Daten des Routers aus und alarmiert sobald Angriffsmuster erkannt werden. Das System wird permanent durch das Link11 Security-Operation-Center (SOC) überwacht. Um eine permanente Kommunikation zwischen dem Monitoring-System und dem SOC zu ermöglichen, verfügt das Monitoring-System über eine Out-of-band-Anbindung. Link11 Security-Operation-Center: Im Security Operation Center analysieren DDoS-Schutz- und Netzwerk-Experten kontinuierlich die Angriffsmuster und leiten im Angriffsfall den Datentransfer über das Link11 DDoS-Filterzentrum. Internetprovider SFLOW GATEWAY Monitoring Server

9 09 / LINK11 WEBGUI Link11 WebGUI Zur Überwachung der Serverfunktionen stellt Link11 seinen Kunden eine webbasierte, grafische Benutzeroberfläche zur Verfügung. Diese bietet einen Einblick in die Echtzeitanalyse des Datenverkehrs, zeigt abgewehrte DDoS-Angriffe, die Serververfügbarkeit und stellt Messergebnisse zu aktuellen Server-Antwortzeiten zur Verfügung. Zeiträume können individuell dargestellt und bedarfsorientiert analysiert werden. Darüber hinaus werden die Art der Attacken und die jeweiligen Ursprungsorte übersichtlich aufbereitet. Neben der Nutzerverwaltung (mit individuellen Lese- oder Schreibrechten) können mit der Geo-Blocking-Funktion auch beispielsweise einzelne Länder über das WebGUI ausgesperrt werden. Die Funktionen im Überblick Das Diagnose Dashboard bietet allgemeine DDoS-Informationen und Hinweise zu aktuellen Gefahren. Zudem wird durch eine DDoS-Warnsystem- und eine DDoS-Traffic-Anzeige ein schneller Überblick zum aktuellen Sicherheitsstatus ermöglicht. Der Einstellungsbereich ermöglicht es, die Granularität des intelligenten DDoS-Filters anzupassen und anhand von Black- und Whitelisten Voreinstellungen zu gewünschtem Zugriff und unerwünschtem Zugriff zu treffen. Die Whitelist ermöglicht es, gewünschten dauerhaften Zugriff für Systeme einzurichten, welche sich in ihrem Verhalten zu stark von einem normalen Nutzer abweichen würden. So werden beispielsweise erwünschte Internet Crawler identifiziert und die Kompatibilität mit den Standard-Suchmaschinen, mit erwünschten Advertising-Bots und Administratoren gewährleistet. Das Reporting gestattet individuelle Berichte und terminierbare Reports in einer Management-Übersicht. Die Reports können regelmäßig, automatisiert versendet werden. Alle Einstellungen, die von den Administratoren im Nutzerinterface getätigt werden, können nachverfolgt und ad-hoc korrigiert werden. Eine Alert-Funktion kann per SMS über akute Bedrohungen benachrichtigen. In der Blockliste sieht man für jede geblockte Verbindung den Grund der Filterung, den Ursprungsort und die Dauer der Verbindung. In dieser Blockliste lassen sich die geblockten Verbindungen auch für zukünftige Verbindungsversuche freischalten. Dashboard-Ansicht der Link11 WebGUI

10 10 / LINK11 FILTERTECHNOLOGIE So funktioniert die Link11 Filtertechnologie Der Link11 DDoS-Schutz basiert auf zwei Schutzmethoden. Dabei wird der Link11 DDoS-Filter, mit einer signaturbasierten Erkennung, vorgeschaltet und um den Link11-Protocol-Analyzer, mit einer kundenindividuellen statistischen Verhaltensanalyse, ergänzt. In der ersten Stufe werden alle unerwünschten Traffic-Varianten, wie z. B. UDP oder ICMP, kundenindividuell gefiltert. Viele dieser Daten-Pakete werden für den Betrieb von Webseiten und Applikationen nicht benötigt, sehr häufig jedoch als trafficintensive Flooding-Methode für einen Angriff eingesetzt. Die zweite Stufe, der Protocol-Analyzer, basiert auf einem intelligenten statistischen Modell. Anhand einer Verhaltensanalyse erkennt es komplexe Attacken sowie unbekannte und zukünftige Angriffsformen zuverlässig und unterbindet diese. Die Nutzer werden mit dem regulären Nutzerverhalten im Netzwerk verglichen und in einem Scoring-Modell eingeordnet. Umso höher die Abweichung vom Verbindungsstandard ist, desto mehr Scoringpunkte werden der Verbindung zugerechnet. In einer Entscheidungsmatrix werden die Scoringpunkte verbindungsindividuell der aktuellen Systemlast gegenübergestellt. Abhängig vom Ergebnis der Entscheidungsmatrix wird über die Filterung der Verbindung entschieden. Bei steigender Systemlast passt sich die Scoringgrenze, ab welcher Punktzahl geblockt wird, dynamisch an und fließt entsprechend in die Entscheidungsmatrix ein. Der DDoS-Filter schützt anhand von mehr als 100 Überprüfungsmerkmalen vor DDoS-Angriffen auf der transport- und vermittlungsorientierten Ebene (Layer 3 und Layer 4 des OSI-Modells). Gegenüber starren, automatisierten DDoS-Schutzlösungen wird der Protocol Analyzer permanent weiterentwickelt. Durch seine intelligente Analyse ist er nahezu täuschungsresistent und schützt dabei vor allen DDoS-Attacken auf der transport- und anwendungsorientierten Ebene (Layer 4-7 des OSI-Modells). 24x7 Netzwerk Überwachung 24x7 Filter Überwachung Backbone Multi Ten Gigabit Aggregation Bogon Filtering IP Reputation Filtering Protocol Verification Stateful TCP Connection Filtering IP Rate Limiting Statistical Application Protocol Filtering Customer Gateway Backbone

11 11 / LINK11 FILTERTECHNOLOGIE SCHUTZ-METHODE MITIGIERTE ATTACKEN (u.a.) LAYER 3-4 Fragment-Screener: prüft die Fragmente und blockiert falsche Anfragen Ping of Death Nestea / Nestea 2 Teardrop / Newtear Bonk / Boink Syndrop Jolt / Jolt 2 / SSPING / sping / Icenewk Rose Fragementation Attack Syntax-Screener Land / La Tierra TCP-SYN-Proxying: nur erfolgreiche TCP-SYN- Anfragen werden weitergeleitet TCP SYN Flooding TCP Ack Flood / Stream Signaturbasiertes Filtering WinNuke Apache Killer Firewalling: blockiert standardmäßig UDP und erlaubt nur kundenindividuell bestimmte UDP-Dienste wie DNS, SIP UDP Floods, z. B. Pepsi Fraggle DNS Reflection Firewalling: blockiert standardmäßig ICMP echo / Chargen bzw. erlaubt kundenindividuell nur wenige Mbit/s pro Protokoll Echo / Chargen Smurf LAYER 4-7 Firewalling: blockiert standardmäßig SNMP- Verbindungen auf den Webserver und erlaubt nur kundenindividuell SNMP bei bestimmten IPs SNMP-Reflection Protokoll-Analyse: Protokollspezifische Analyse (z.b. des HTTP-Traffics) auf mechanisches Verhalten in Kombination mit auf Algorithmen basierenden, statistischen Nutzerdaten PIH Flooding (PHP Interpreting Host Flooding) Get Food, Slow Loris, Slow Read Gefälschte DNS-Abfragen DNS Reflection Rate Limiting: blockiert standardmäßig alle Anfragen ab einer gewissen Anzahl, die kunden individuell eingestellt werden kann Botnet Spontane Gruppenbildung im Internet Geo-Filter Ausreichende Kapazität der Backendserver

12 12 / LINK11 LEISTUNGSMERKMALE Die Leistung und Funktionalität des Link11 DDoS-Schutzes im Detail Features Die von Link11 entwickelte Filtertechnologie basiert auf einer Deep Packet Inspection. Anfragen für die Domain werden pro IP-Adresse untersucht. Auffälliges Verhalten des Nutzers der IP-Adresse erhält im Rahmen eines Scoring-Systems Punkte. Hat der Nutzer aufgrund seines Verhaltens eine vorab definierte Punktzahl erreicht, wird er blockiert. Der Filter kann sowohl mit statischen Webinhalten, als auch mit dynamischen umgehen. Da eine legitime Anfrage nicht von einem Proxy/Cache beantwortet wird, sondern vom Originalserver, kommt es hier nicht zu Komplikationen. Leistungsmerkmale: DDoS-Schutz-Cluster analysiert den Datentransfer auf bestimmte Muster und wertet diese anonymisiert aus. Inhalte von Datenpaketen werden nicht gespeichert. Die Link11 DNS-Lösung ist eine kostengünstige Variante um Webserver zu schützen. Die Link11 BGP-Lösung eignet sich für alle Kundennetze ab einer Mindestgröße von 256 zusammenhängenden IP-Adressen (/24-Netz bzw. Class-C-Netz). Die Aktivierung des DDoS-Schutzes erfolgt in der BGP-Variante sofort, nachdem das Routing umgeschaltet wurde, in der DNS-Variante, nachdem die geänderten Einträge im DNS-Server aktiv sind. SSL-Verbindungen können direkt am Link11 DDoS-Filter terminiert werden. Das erhöht die Performance durch spezielle leistungsstarke Hardware und ermöglicht die Protokollanalyse zur Erkennung von SSL-DDoS-Attacken. Die SSL-Konfiguration wird permanent hinsichtlich aktueller Sicherheitsentwicklungen überwacht und aktualisiert. Der Datentransfer wird vom deutschen DDoS-Schutz-Cluster bearbeitet und unterliegt dem deutschen Datenschutz.

13 13 / LINK11 FUNKTIONALITÄTEN Folgende Funktionalitäten sind im Link11 DDoS-Schutz enthalten DNS-Forwarding / BGP-Announcement Der Dienst kann über ein Weiterleiten per DNS Forwarding implementiert werden oder der Datenverkehr wird im Angriffsfall per BGP zu Link11 geleitet und gefiltert. Der DDoS-Schutz ist dadurch unabhängig vom Server-Standort des Kunden User / IP Filtering Link11 betrachtet das Verhalten des einzelnen Nutzers und filtert nutzergranular Multi Ten Gigabit Aggregation Mehrere 10GE Tier-1 Provider Uplinks an den einzelnen Scrubbing-Centern IP Reputation Filtering Es erfolgt ein Abgleich mit der Link11 Datenbank, die IP Adressen beinhaltet, die Teil eines Botnetz sind, oder anderweitig negativ aufgefallen ist Protocol Verification Überprüfung, ob der Nutzer auch das angegebene Protokoll spricht (z.b. HTTP, POP3, HTTPS etc.) Stateful TCP Connection Inspection Analyse des 3-Wege-Verbindungsaufbaus des TCP-Protokolls sowie SYN Flood- Erkennung und -Blockierung IP Rate Limiting Kundenindividuelle Bandbreiten-/ Abfragebeschränkung bei bestimmtem Datenverkehr oder Verbindungskriterien, schränkt die Auswirkungen eines Angriffs ein Statistical Application Protocol Inspection Analyse der Anwendungsprotokolle (z.b. HTTP) mit mehreren statistischen Modellen und Filterung von bösartigen Anfragen Crawler Detection / Identification Identifizierung von erwünschten bzw. unerwünschten Internet Crawlern. Kompatibilität zu den Standard-Suchmaschinen Flooding Attack Mitigation (HTTP, SYN, UDP, etc.) Erkennung und Verhinderung von volumenbasierten Attacken auf eine Webseite Rate Limiting Individuelle Begrenzung der Datenrate zum Kunden GEO Blocking Ausschluss von Nutzern aus bestimmten Regionen (länderspezifisch) SSL Handling Optionale Terminierung der SSL-Verbindungen direkt am Link11 DDoS-Filter Web Application Firewall (WAF) Filtering Optional eine zusätzliche WAF zur Anwendung eigener Firewall-Regeln zum Applikationsschutz Caching Statische HTTP-Kundeninhalte werden im Link11 Netzwerk gecacht Layer 3 und 4 DDoS Mitigation DDoS-Schutz auf Protokollebene 3 und 4 Layer 7 DDoS Mitigation Anwendungsspezifischer Schutz auf Applikationsebene Individual Suspicious-User-Behavior Recognition Statistisches Verfahren zur individuellen Erkennung von auffälligem Verhalten auf der Webseite Whitelisting/Blacklisting Möglichkeit eine eigene Blacklist und Whitelist zu pflegen Suspicious-User Blocking Ab einem definierten Schwellwert werden auffällige Nutzer blockiert. Diese können sich optional über eine CAPTCHA Seite frei schalten User Interface/Realtime Monitoring Grafische Benutzeroberfläche, die Echtzeit- Analyse über den Datenverkehr auf der Seite erlaubt, über die Form von Angriffen informiert und als administrative Schnittstelle dient Reporting Individuelle Berichte, die an definierte Nutzer verschickt werden können DNS Anycast Protection Um Angriffe auf die DNS Struktur abzuwehren hat Link11 einen DNS-Anycast-Verbund an 25 Standorten Integration in einem CDN möglich.

14 14 / LINK11 NETZWERK Physikalische Präsenzen des europäischen Backbones London, UK LON 1 DDOS SCRUBBING CENTER Frankfurt, DE FFM 2 FFM 3 Amsterdam, NL FFM 1 DDOS SCRUBBING CENTER AMS 1 DDOS SCRUBBING CENTER FFM 4 FFM 5 AMS 3 AMS 2 Netzwerkanbindung Die Netzwerkanbindung des DDoS-Filtercluster ist auf maximale Verfügbarkeit, Leistungsstärke und Sicherheit ausgelegt. Alle systemrelevanten Komponenten sind redundant aufgebaut und entsprechen dem aktuellen Stand der Technik. Die Link11 GmbH überwacht die Auslastung des Netzwerks zu jeder Zeit und sorgt für ausreichend Kapazität. Hohe Bandbreiten und geringe Latenzzeiten werden durch direkte Verbindungen zu den größten Internet Carriern (Level3, Global Crossing, Deutsche Telekom etc.), die für den mehrheitlichen Datentransfers in Europa verantwortlich sind, sichergestellt. Zusätzlich gibt es direkte Anbindungen an die größten Peering Points DE-CIX, AMS-IX und LINX, die weltweit zu den drei größten Internet- Exchange-Points gehören. Clusterstandorte und Sicherheit Das Hauptcluster befindet sich in zwei zertifizierten Hochsicherheits-Rechenzentren der Firma Interxion in Frankfurt am Main. Die Rechenzentren sind nach dem Tier-3- Standard gebaut. Dadurch sind alle Server sowohl mit einer unterbrechungsfreien Stromversorgung, als auch mit zusätzlichen Diesel-Notstromaggregaten abgesichert. Dadurch wird eine Verfügbarkeit von 99,999% seitens Interxion garantiert. Die Rechenzentren sind durch einen Sicherheitszaun geschützt und werden rund um die Uhr von Wachpersonal und Videokameras überwacht. Zusätzlich befindet sich im Zugang zu jedem Rechenzentrumsgebäude eine Personenvereinzelungsanlage, welche nur durch einen authentifizierten Fingerabdruck zu öffnen ist. Ein weiteres Backup Cluster steht für Notfälle in Amsterdam zur Verfügung. Service-Standard / Service Level Agreement (SLA) Die Link11 GmbH arbeitet nach höchsten Service-Standards. Hervorzuheben sind unter anderem, wie oben beschrieben, das Hochverfügbarkeits- und das Redundanz-Prinzip. Die Service-Standards sind insgesamt in mehreren Einheiten definiert: Es gibt Service-Kategorien für die Reaktionszeiten, für die Fehlerbehebung und für die generelle Netz- und Dienstverfügbarkeit. Die Service-Standards sind seitens der Link11 GmbH als fest definierte Ansprüche der Kunden festgehalten. Bei komplexen Anforderungen können jeweils individuelle Vereinbarungen der Service-Standards getroffen werden.

15 15 / LINK11 UNTERNEHMENSPROFIL Link11 GmbH - Unternehmensprofil Die Link11 GmbH hat sich seit der Gründung im Jahr 2005 zu einem führenden deutschen Spezialanbieter von DDoS-Schutzlösungen entwickelt. Die hochperformante Link11 DDoS- Schutzcloud bietet intelligenten und zuverlässigen Schutz designed, hosted und managed in Germany. Zu den Kunden von Link11 gehören dieführenden E-Commerce-, Finanz- und Versicherungsunternehmen. Als offizieller Partner nationaler und internationaler Institutionen und Fachverbände engagiert sich Link11 aktiv in den Bereichen IT-Security, Internettechnologie und E-Commerce. Für ihre innovative DDoS-Schutzlösung wurde Link11 drei Jahre in Folge ausgezeichnet. Der Hosting & Service Provider Award und der ZETA-Award prämierten die Lösung in 2014 zudem als besonders effizient und zukunftsorientiert. Deutscher Rechenzentrumspreis 2014 Link11 DDoS-Schutz gewinnt in zwei Kategorien: Rechenzentrums-Sicherheit und Online-Publikumspreis. Security Insider Award 2013 Die Leser des Security Insider haben Link11 zum IT-Security Produkt des Monats Juli 2013 gewählt. Eco Internet Award 2012 Link11 wurde vom eco Verband der Deutschen Internetwirtschaft im Jahr 2012 mit dem Internet Award für die Innovativste DDoS-Schutz Lösung ausgezeichnet. Allianz für Cyber-Sicherheit Als Zusammenschluss aller wichtigen Akteure im Bereich Cyber-Sicherheit in Deutschland stellt die Allianz ausführliche Informationen zur Sicherheitslage bereit. Bitkom Im Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. liefert Link11 Expertise in den Bereichen Cyber-Sicherheit und DDoS-Schutz. bevh Link11 ist Preferred Business Partner des Bundesverbandes E-Commerce und Versandhandel e.v. Diesen Status bekommen nur zuverlässige & innovative Dienstleister. RIPE NCC Link11 hat als Mitglied des RIPE NCC eine Local Internet Registry und kann Netz-Announcements im Falle von DDoS- Angriffen vornehmen. SecurITy Das Qualitätszeichen SecurITy bestätigt die Vertrauenswürdigkeit des Link11 DDoS- Schutzes und dass die IT-Entwicklung ausschließlich in Deutschland stattfindet. TÜV SÜD zertifiziert Die Link11 GmbH geht besonders verantwortungsvoll mit den Systemressourcen um und bezieht in seinen Rechenzentren ausschließlich Öko-Strom.

16 KONTAKT LINK11 GmbH Hanauer Landstraße 291a Frankfurt am Main Deutschland Telefon: +49 (0) Web: