Start Allgemein DDos Angriffe, was man dagegen tun kann und was es kostet, sich...

DDos Angriffe, was man dagegen tun kann und was es kostet, sich dagegen abzusichern

222

Wir hatten uns mit einer Presseanfrage an Unternehmen gewandt, die im Internet Werbung für die Dienstleistung DDoS Schutz machen, haben dazu auch dann das eine oder andere Telefongespräch geführt.

Eine Antwort auf unsere Presseanfarge, wollen wir dann hier einmal als Beispiel veröffentlichen.


diebewertung.de

Mit welchen monatlichen Ausgaben muss ein Webseitenbetreiber rechnen, um sich gegen solche DDoS Angriffe, wie als Beispiel beigefügt, abzusichern?

Kemelhost:

In den meisten Fällen werden für den Webseitenbetreiber keine zusätzlichen Kosten entstehen, sofern dieser sich bereits bei einem Provider befindet, welcher einen geeigneten DDoS-Dauerschutz anbietet, sowie den Traffic nicht nach Verbrauch berechnet (FairUse- / Flatrate- / unbegrenzt Traffic). Der große Vorteil hierbei wäre, dass direkt der Provider die eingehenden Angriffe mitigieren und zusätzliche Anpassungen für den Webseitenbetreiber durchführen kann ohne, dass der Betreiber in den meisten Fällen hierfür zusätzliche Kosten zahlen müsste.

Eine subjektive Meinung von uns ist, dass jeder Webseiten-betreiber vor dem Erwerb eines Servers / Webservers bei einem Provider genaustens deren DDoS-Schutz (beispielsweise durch eigene Recherche oder zumindest durch Feedbacks von anderen Kunden) überprüfen sollte, um zukünftige aufwändige, umständliche und/oder teure Workarounds zu vermeiden.

Sollte der Webseitenbetreiber allerdings sich bereits bei einem Provider befinden, welcher keinen DDoS-Schutz anbietet und beispielsweise durch feste Verträge keinen Wechsel durchführen können, so müsste der Webseitenbetreiber nach einer Proxy-Lösung suchen, welche die eingehenden DDoS-Angriffe / BotNet-Attacks filtert, bevor diese die Webseite erreichen.

Hierbei ist die bekannteste Lösung „CloudFlare“. Für mittelgroße Webseiten reichen in den meisten Fällen die kostenfreie Lösung bzw. die € 20,- / Monat Pro-Version (für etwas komplexere Layer7 Attacks, wodurch eine Web-Application-Firewall notwendig wäre). Die Bedenken von Proxy-Regelungen werden unten
Bei großen Webseitenbetreibern, welche eine eigene Netzwerkinfrastruktur und eigene Server für den Betrieb der Webseite (und eventuell auch andere Firmenanwendungen) besitzen, sind qualifizierte IT-Security-Spezialisten erforderlich, welche sich ausgezeichnet mit Filterung von eingehenden Angriffen auskennen.

Natürlich wären hierbei die Kosten höher eigene Leute einzustellen, doch man wäre dadurch nicht mit einem anderen Unternehmen gebunden und hätte zeitgleich eigene Spezialisten, welche permanent die Sicherheit des Unternehmens überwacht, für die IT-Sicherheit sollte man letztendlich vor allem bei sehr großen Firmen nicht Geld sparen, da diese einer der Hauptziele von Angreifern letztendendes sind.

diebewertung.de

Was raten Sie jedem Webseitenbetreiber?

Kemelhost:
Wir empfehlen jeden Webseitenbetreiber genaustens zu kontrollieren, bei welchem Provider man seine Webseite laufen lassen möchte und genaustens zu kontrollieren, wie viel Wert der Provider in DDoS-Schutz und Netzwerksicherheit liegt. Vor allem bei sehr großen Webseitenbetreiber, welche ihre Webseite gerne mit eigenen Servern und eigener Netzwerkinfrastruktur betreiben möchten, sollte man hierbei die IT-Sicherheit nicht unterschätzen und geeignete IT-Security-Spezialisten.

diebewertung.de

Wie ist Cloudflare einzuschätzen?

Kemelhost:

CloudFlare ist eine ideale Lösung für kleine bis mittelgroße Webseiten, welche sich zurzeit bei einem Provider ohne einen geeigneten DDoS-Schutz befinden, mit diesem allerdings vertraglich gebunden sind und dadurch ein Proxy zum Schutz der Webseite gegen DDoS-Angriffe benötigen. Wie in der vorletzten Frage bereits beschrieben ist in den meisten Fällen bereits (vor allem bei nicht komplexen Angriffen) die Free- bzw. Pro-Version ausreichend, doch man dürfte dies lediglich als Zwischenlösung einsehen.

Die Nutzung einer Proxy-Lösung ist generell nicht der ideale Weg, da dies nicht nur bei Zuwachs eine „Kostenfalle“ sein könnte, sondern man auch ebenfalls mit einem weiteren Unternehmen gebunden ist und man zusätzlich die IP-Adresse nicht besitzen wird, welche von der Proxy-Lösung zugewiesen wird, sodass man mit weiteren Einschränkungen arbeiten müsste. Zudem dürfte nicht vergessen werden, dass Proxy-Lösungen wie CloudFlare bei den Free- bzw. Pro-Version ausschließlich Schutz vor den Webseiten-Default-Ports (80- & 443) anbietet.

Schutz vor Firmenanwendungen, die auf eigenen Custom-Ports laufen gäbe es nur bei der „Enterprise“-Variante welche allerdings in den meisten Fällen leider gar nicht kostengünstig sind.
Es ist letztendlich aus einer Sicht „keine richtige Lösung“, wenn jede einzelne Webseite weltweit bei CloudFlare wäre, denn dadurch wäre das Internet zu sehr zentralisiert und bei Ausfällen sehr schwer betroffen.

CloudFlare hatte nämlich jährlich bereits Ausfälle gehabt, wodurch allein durch die Downtime von CloudFlare praktisch das „halbe Internet“ leider nicht mehr erreichbar war. Bei kritischen Anwendungen, welche eine permanente 100% Uptime benötigen (z.B. für Logistik und Infrastruktur) könnte ein derartiger Ausfall spürbare Folgen haben.

Im Großen und Ganzen ist CloudFlare natürlich eine sehr tolle Proxy-Lösung, falls man mit einem Provider ohne einen geeigneten DDoS-Schutz gebunden ist und man hierfür schnellstmöglich eine Lösung gegen eingehende Angriffe benötigen. Für eigene Firmenprogramme, welchen einen Schutz benötigen, gäbe es ebenfalls die Option, direkt bei CloudFlare (sowie bei Providern, welche einen idealen DDoS-Schutz anbieten) ein Angebot anzufragen.

diebewertung.de

Welchen Schutz bietet Google Shields?

Kemelhost:

Google Shields bietet praktisch eine ähnliche Lösung wie CloudFlare (DDoS-Schutz mittels Proxy-Lösung) welche sich allerdings genaustens auf Medien, Webseite von Journalisten und Menschenrechtsorganisationen fokussieren.

Google Shields ist allerdings verglichen zu CloudFlare nicht all zu sehr bekannt. Dadurch hat CloudFlare den kleinen Vorteil, dass es durch die große Anzahl verknüpften Webseiten und den weltweiten Rechenzentren den Proxy-Schutz ständig verbessern könnte.

Google Shields hingegen hatte bis jetzt keine große bekannte Downtime und bietet dadurch eine zuverlässigere Uptime. Zudem bietet Google Shields ebenfalls eine statische IPv4-Adresse, sodass der Webseitenbetreiber weiß, welche IP-Adresse die Webseitenproxy besitzt, sodass Funktionen, welche eine statische IP-Adresse benötigen (wzB. IP-Whitelisting) wesentlich einfacher verglichen mit einer dynamischen IP-Adresse ist.

Gesprochen haben wir auch mit Link11 aus Frankfurt am Main, Ein Unternehmen mit dem wir vor Jahren unsere eigenen Erfahrungen gemacht haben. Erfahrungen die sehr teuer waren, udn soetwas von einem „Nachkobern“ hatten. Ob das heute auch noich so ist, wissen wir nicht aber, das Unternehmen verlangt, wenn man Kunde werden will eine Frontup Zahlung von 3.000 Euro plus dann monatlich 750 Euro als Gebühr.

Ein wieteres Unternehmen das wir angesprochen haben, will keine Frontabzahlung aber ruft einen Monatspreis von 2.500 Euro auf, udn will dann einen 24 Monatsvertrag haben. Auch das nicht nur ungewöhnlich, sondern in unseren Augen auch ein Abkasiermodel.