In oktober 2016 werd DNS-provider Dyn getroffen door een grote DDoSKlik op het woord voor de betekenis (Distributed Denial of Service)-aanval door een leger van IoT-apparaten die speciaal voor dit doel waren gehackt. Meer dan 14.000 domeinen die gebruik maken van de diensten van Dyn werden overspoeld en werden onbereikbaar, waaronder grote namen als Amazon, HBO en PayPal.
Volgens onderzoek van Cloudflare bedragen de gemiddelde kosten van het falen van de infrastructuur voor bedrijven 90.000 euro per uur. Hoe kun je er dan voor zorgen dat je organisatie niet het slachtoffer wordt van dit soort aanvallen. In dit artikel ontdek je de bekendste infrastructuuraanbieders die de nodige digitale spierballen hebben om zich te beschermen tegen aanvallen die ontwikkeld zijn om jouw netwerkcapaciteit te overspoelen.
Je zult ook ontdekken welke providers bescherming kunnen bieden tegen meer geavanceerde applicatieaanvallen (OSI laagKlik op het woord voor de betekenis 7), die zonder een enorm aantal gehackte computers (ook wel bekend als een botnetKlik op het woord voor de betekenis) uitgevoerd kunnen worden.
Krachtige DDoS-bescherming van Google, maar niet iedereen is uitgenodigd
Voordelen:
- Gebruik maken van de infrastructuur van Google
- Zeer eenvoudige installatie
- Alleen beschikbaar voor geselecteerde websites
Project Shield is de creatie van Jigsaw, een spin-off van Google’s moederbedrijf Alphabet. De ontwikkeling begon enkele jaren geleden onder George Conard in de nasleep van aanvallen op verkiezingswaarnemingen en mensenrechtengerelateerde websites in de Oekraïne.
Project Shield is in staat om potentieel kwaadaardig verkeer te filteren door op te treden als een reverse proxy die tussen een website en het internet zit, waardoor connection requests worden gefilterd. Als een verbinding lijkt te komen van een legitieme bezoeker staat Project Shield de connection request toe. Als wordt vastgesteld dat een connection request kwaadaardig is, bijvoorbeeld meerdere verbindingspogingen vanaf hetzelfde IP-adres, dan wordt deze geblokkeerd. Dit systeem maakt Project Shield uiterst eenvoudig te implementeren door eenvoudigweg de DNS-instellingen van je servers te wijzigen.
Elke IT’er die leest kan zich afvragen hoe het filteren van verkeer via een proxy zal werken met SSL. Gelukkig heeft Jigsaw hier aan gedacht en een uitgebreide tutorial samengesteld om ervoor te zorgen dat beveiligde verbindingen naar jouw site naadloos werken.
Momenteel is Project Shield alleen beschikbaar voor media- en verkiezingswaarnemingswebsites en mensenrechten gerelateerde websites. De primaire focus ligt ook op kleine websites met weinig budget die zich geen dure hostingoplossingen kunnen veroorloven om zichzelf te beschermen tegen DDoS. Als jouw organisatie niet aan deze eisen voldoet, zou je wellicht een alternatieve oplossing moeten overwegen, zoals Cloudflare.
2. Cloudflare
De leider op het gebied van DDoS-bescherming
Voordelen:
- Industriële leider op het gebied van DoS-oplossingen
- Het gratis abonnement omvat basisbescherming
- De zakelijke pakketten zijn relatief duur
Iedereen die de afgelopen jaren gebruik heeft gemaakt van het internet zal bekend zijn met Cloudflare omdat veel grote websites gebruik maken van hun bescherming. Hoewel Cloudflare in de VS is gevestigd, onderhoudt het meer dan 180 datacenters over de hele wereld: een infrastructuur om te concurreren met die van Google. Dit maximaliseert de kansen van jouw sites om online te blijven.
Elke Cloudflare-gebruiker kan ervoor kiezen om de ‘I’m under attack’-modus te activeren, die zelfs de meest geavanceerde DoS-aanvallen kan beschermen door een Javascript-challenge te presenteren. Als routineprocedure werkt Cloudflare ook als een reverse proxy die tussen bezoekers en de host van jouw site zit om het verkeer te filteren op vrijwel dezelfde manier als Google’s Project Shield. In maart 2019 introduceerde Cloudflare Spectrum voor UDP, dat DDoS-bescherming en firewalling biedt voor onbetrouwbare protocollen.
Bezoekers die connection requests indienen, moeten een reeks geavanceerde filters doorlopen, waaronder de reputatie van de site, of hun IP op de blacklist staat en of de HTTP-header verdacht is. HTTP-verzoeken worden fingerprinted om ze te beschermen tegen bekende botnets. Als industriegigant kan Cloudflare gemakkelijk haar positie benutten door informatie te delen over de meer dan 7 miljoen websites die het beheert.
Cloudflare biedt een gratis basispakket met onbeperkte DDoS-bescherming. Voor degenen die bereid zijn te betalen voor een Cloudflare zakelijk abonnement (prijzen beginnen bij 180 euro per maand), is er meer geavanceerde bescherming beschikbaar, zoals custom SSL-certificaat-uploads.
3. AWS Shield
Uitstekende basis DDoS-matiging met meer dan alleen maar
Voordelen:
- Standaard gratis laag beschermt tegen de meest voorkomende aanvallen
- Eenvoudige installatie
- Geavanceerd abonnement is erg duur
AWS Shield bescherming wordt geboden door de mensen van Amazon Web Services. Het ‘Standard’ niveau is beschikbaar voor alle AWS-klanten zonder extra kosten. Dit is ideaal omdat veel kleine bedrijven ervoor kiezen om hun websites bij Amazon te hosten. Het beschermt tegen meer typische netwerk- (OSIKlik op het woord voor de betekenis laag 3) en transportaanvallen (OSI laag 4) bij gebruik van Amazon’s Cloud Front en Route 53 diensten.
Dit zou alle hackers, behalve de meest vastberaden hackers, moeten afschrikken. Echter, jouw bandbreedte, bijvoorbeeld 15Gbp/s, zal nog steeds beperkt zijn door de grootte van jouw Amazon instance, waardoor het haalbaar is voor hackers om een DoS-aanval uit te voeren als ze voldoende middelen hebben. Erger nog, jij blijft verantwoordelijk voor het betalen van het extra verkeer naar jouw instance.
Om dit te beperken biedt Amazon ook AWS Shield Advanced aan. Een abonnement is inclusief DDoS kostenbescherming, wat jou kan besparen op een enorme piek in je maandelijkse gebruiksrekening als je het slachtoffer bent van een aanval. AWS Shield Advanced kan ook jouw ACL’s (Access Control Lists) tot aan de rand van het AWS-netwerk zelf inzetten, zodat je zelfs tegen de grootste aanvallen beschermd bent.
Abonnees op het geavanceerde abonnement profiteren ook van een 24-uurs DRT (DDoS Response Team) en gedetailleerde gegevens over eventuele aanvallen op jouw instances. De gemoedsrust die AWS Shield Advanced biedt is echter duur. Je moet bereid zijn een abonnement te nemen voor minimaal een jaar voor een prijs van 2700 euro per maand. Dit komt bovenop de kosten voor het gebruik van de data transfer, die je kunt dekken op basis van ‘pay as you go’.
4. Microsoft Azure
Briljante basisbescherming met een betaalbaar betaald niveau
Voordelen:
- Standaard bescherming is zeer eenvoudig in te stellen
- Geautomatiseerde risicobeperking
- DDoS-bescherming voor alle resources
Net als Amazon biedt ook Microsoft de mogelijkheid om via hun service Azure serviceruimte te huren. Alle leden profiteren van de basis DDoS-bescherming. Functies omvatten altijd verkeersmonitoring en real time beperking van netwerkaanvallen (OSI laag 3) voor alle openbare IP-adressen die je gebruikt. Dit is precies hetzelfde type bescherming als de eigen online diensten van Microsoft en de volledige resources van het netwerk van Azure kunnen worden gebruikt om DDoS-aanvallen op te vangen.
Voor organisaties die meer geavanceerde bescherming nodig hebben, biedt Azure ook een ‘standaard’ niveau. Dit wordt alom geprezen omdat het zeer eenvoudig in te schakelen is en slechts een paar muisklikken vereist. Cruciaal is dat Azure geen wijzigingen aan je apps vereist, hoewel het standaard niveau wel bescherming biedt tegen applicatie DDoS-aanvallen (OSI laag 7) via de app gateway web app firewallKlik op het woord voor de betekenis. Azure monitor kan je real-time statistieken laten zien als er een aanval plaatsvindt. Deze worden 30 dagen bewaard en kunnen desgewenst worden geëxporteerd voor verder onderzoek.
Azure controleert voortdurend het webverkeer naar jouw bronnen. Als deze een vooraf gedefinieerde drempelwaarde overschrijden, wordt de DDoS-bescherming automatisch gestart. Dit omvat het inspecteren van packets om er zeker van te zijn dat ze niet misvormd of gespoofed zijn en het gebruik van rate limiting.
De standaard bescherming is momenteel 2700 euro per maand plus kosten voor gegevens voor maximaal 100 resources. De bescherming is gelijkelijk van toepassing op alle bronnen. Met andere woorden, je kunt de DDoS-matiging niet op maat maken voor individuele resources.
5. Neustar DDoS Protection
De beste DDoS-bescherming door beveiligingsveteranen
Voordelen:
- Eenvoudig in te stellen via DNSKlik op het woord voor de betekenis
- Toegewijde scrubbing centra om te beschermen tegen aanvallen
- Inzetbaar op locatie
- Het kost tijd om interface onder de knie te krijgen
De DDoS-beschermingsdienst van Neustar behoorde ooit aan Verisign, dat bijna net zo oud is als het internet zelf. Sinds 1995 is Verisign het uitgegroeid van een eenvoudige Certificaatautoriteit tot een belangrijke speler in de netwerkdienstensector en verkocht in 2018 haar security diensten aan Neustar.
Neustar DDoS-bescherming werkt in de Cloud. Gebruikers kunnen ervoor kiezen om connection requests om te leiden met een eenvoudige wijziging van hun DNS (Domain Name Server) instellingen. Het verkeer wordt dan naar Neustar gestuurd voor controle om netwerkaanvallen te voorkomen. Neustar analyseert al het verkeer grondig voordat het wordt omgeleid.
Aangezien Neustar twee van de dertien wereldwijde routenaamservers beheert, hoeft het geen verbazing te wekken dat de organisatie ook verschillende speciale DDoS “scrubbing-centra” onderhoudt. Deze analyseren het verkeer en filteren slechte connection requests eruit. De gecombineerde infrastructuur draait tot bijna 12TB/s en kan zelfs de meest overweldigende DDoS-aanvallen blokkeren.
Dit wordt grotendeels bereikt via NetProtect, het platform voor risicobeperking van Neustar. NetProtect is grofweg onderverdeeld in drie elementen. Het ‘Shield’ filtert netwerk- (OSI laag 3) en transportaanvallen (OSI laag 4) via DPI (Deep Packet Inspection), blacklists & whitelists en site reputation management. De NetProtect ‘proxy’ inspecteert HTTP-headers op kwaadaardig verkeer tijdens de eerste verbindingspogingen. De ‘proxy’ en ‘shield’ worden ondersteund door NetProtect’s ‘load balancer’ die helpt om applicatieaanvallen (OSI laag 7) te voorkomen.
De klantportal geeft gedetailleerde rapportages over verkeer weer en stelt je in staat om jouw bedreigingsmanagement te configureren, bijvoorbeeld door het maken van connection blacklists. Voor gebruikers die aarzelen om alles in de Cloud te implementeren, biedt Neustar ook OpenHybrid aan dat onsite kan worden geïnstalleerd.