Warum Firewalls und Intrusion Protection bei Distributed-Denial-of-Service-Attacken versagen

(openPR) White Paper von Arbor Networks erläutert Gefahren durch verteilte Distributed-Denial-of-Service-Angriffe

München, 04. März 2013. Dass viele Distributed-Denial-of-Service-Attacken (DDoS) solch durchschlagende „Erfolge“ erzielen, ist auf Fehleinschätzungen von IT-Sicherheitsexperten und Netzwerkspezialisten in den Unternehmen zurückzuführen. Diese ernüchternde Erkenntnis begründet Arbor Networks in seinem neuen White Paper. Es zeigt: Firewalls und IDP-Systeme stehen DDoS-Attacken hilflos gegenüber. Mehr noch, sie leisten den Hackern ungewollt technische Schützenhilfe.

Die DDoS-Attacke auf die Süddeutsche Zeitung war einer der jüngsten spektakulären Fälle hier in Deutschland – und sie werden erschreckend schnell mehr und heftiger. Das belegen Daten von Arbor Networks, einem Anbieter von Netzwerksicherheits- und -Managementlösungen für Enterprise- und Service-Provider-Netze. Im Jahr 2012 registrierten rund 76 Prozent der weltweiten Service-Provider Distributed-Denial-of-Service-Angriffe auf Netzwerke ihrer Kunden. Wenn Web-Server nicht erreichbar sind, ist das für die betroffenen Unternehmen fatal - es bedeutet Umsatzeinbußen und Image-Schäden.

Firewall und Intrusion Protection reichen nicht aus

„Viele Anwender bauen darauf, dass Firewalls und Intrusion-Protection-Systeme ausreichen, um Distributed-Denial-of-Service-Angriffe abzuwehren“, erläutert Michael Tullius, Territory Manager Deutschland/Schweiz bei Arbor Networks. „Doch der Gegenteil ist der Fall.“ So weisen laut dem White Paper IPS-Lösungen eine Reihe von Eigenschaften auf, die sie besonders anfällig für DDoS-Attacken machen. So analysieren Intrusion-Protection-Systeme jedes Datenpaket, bevor sie es weiterleiten. Angreifer können sich das zunutze machen, indem sie IPS mit Daten überschwemmen und dadurch überlasten. Dies ist allerdings, laut dem White Paper von Arbor Networks, nur eine von mehreren Techniken, um die Schutzwirkung von Intrusion-Protection-Systemen auszuschalten.

Auch die Auffassung vieler IT-Manager, Firewalls seien eine unüberwindliche Hürde für Cyber-Kriminelle, die Server und Web-Seiten lahmlegen wollen, erweist sich als Irrglaube. Denn Firewall-Systeme verfügen über keine Mechanismen, mit denen sie DDoS-Angriffe erkennen und stoppen können. Daher sind gerade Firewalls derartigen Attacken meist schutzlos ausgeliefert, beispielsweise solchen, mithilfe von manipulierten ICMP-Pings (Internet Control Messaging Protocol).

Intelligente DDoS-Mitigation-Lösung schafft Abhilfe

Einen Ausweg aus diesem Dilemma bieten „Intelligente DDoS Mitigation“-Lösungen (IDMS) wie Pravail und Peakflow von Arbor Networks. Sie unterbinden alle Arten von Distributed-Denial-of-Service-Attacken auf die Netze von Unternehmen und Service-Providern. Auch ausgefeilte Angriffe auf der Anwendungsebene haben keine Chance. Solche komplexen Attacken treten zunehmend an die Stelle von Versuchen, mithilfe einer Vielzahl koordinierter Anfragen von „gekaperten“ Rechnern aus, IT-Systeme und Netzwerke in die Knie zu zwingen.

„Mit Pravail und Peakflow verfügt Arbor Networks über zwei ausgezeichnete Lösungen, mit denen Unternehmen, öffentliche Einrichtungen und Service-Provider ihre IT-Infrastrukturen nachhaltig gegen Distributed-Denial-of-Service-Angriffe absichern können“, erläutert Martin Twickler, Managing Director der Exclusive Networks Deutschland GmbH. „Die Lösungen von Arbor ergänzen unser Sicherheitsportfolio in diesem Segment perfekt. Unsere Reseller sind so in der Lage, für ihre Kunden IT-Sicherheitslösungen bereitzustellen, die alle Aspekte von IT-Security abdecken, inklusive DDoS.“

Das Hintergrundpapier von Arbor Networks „Why IPS Devices and Firewalls Fail to Stop DDoS Threats – How to Protect Your Data Center's Availability” steht bei Arbor kostenlos zum Download bereit:

http://www.ddosrisksurvey.com/docs/