DDoS-aanvallen te weerstaan met meerlagen beveiliging
26 juni 2013 -
Hoewel DDoS-aanvallen al tientallen jaren bestaan, zijn ze de laatste tijd wereldnieuws, door urenlang onbereikbare websites van banken, overheden en andere bedrijven. Zijn die aanvallen te weerstaan? Niet eenvoudig, maar wel effectief met behulp van meerlagen beveiliging. Dat stelt Harry Driedijk, Country Manager Nederland van A10 Networks.
Driedijk: "Het zal altijd wel een kat-en muisspel blijven tussen enerzijds de cybercriminelen en hackers en anderzijds ICT-managers die hun netwerk zo goed mogelijk proberen te beveiligen. Om op effectieve wijze DDoS-aanvallen te weerstaan is de beste oplossing een gelaagde beveiliging te implementeren. Oftewel een oplossing die met een combinatie van technieken al het netwerkverkeer op verschillende niveaus filtert en beveiligt. Zo'n gelaagde oplossing wordt een 'Unified Application Services Gateways' (UASG) genoemd. Die zijn te vergelijken met intelligente routers, maar dan speciaal ontwikkeld om de beschikbaarheid van kritische applicaties en websites onder alle omstandigheden te optimaliseren. Dus ook tijdens extreme netwerkbelastingen veroorzaakt door een DDoS-aanval. UASG's bestaan uit een combinatie van hardware en software, met beveiligingtechnieken die op meer lagen hun werk doen. Om servers zowel te ontlasten van zware taken, als ze te beschermen tegen digitale aanvallen."
Wat zijn DDoS-aanvallen en waar komen ze vandaan?
Om DDoS-aanvallen te kunnen weerstaan, is het belangrijk om te weten waaruit ze bestaan en waar ze vandaan komen. Driedijk: "Ruim 25procent ervan zijn zogenaamde SYN flood aanvallen. Oftewel een verzoek om met elkaar te verbinden. Als in korte tijd veel van die verzoeken niet worden beantwoord, snoepen die simpelweg de verwerkingscapaciteit op. Als remedie daartegen kan een UASG tegenwoordig ruim 200 miljoen SYN floods per seconde afweren zonder dat applicatieservers daar merkbaar last van hebben. Dat voorkomt veel ellende. UASG's kunnen ook verdachte pieken in het verkeer naar de zogenaamde naamserver blokkeren en alleen bekende gebruikers toegang geven tot het netwerk of de website. Verder kunnen ze excessief verkeer opvangen (cachen) en filteren naar geografische herkomst. Bij de DigiD-aanval is het blokkeren van buitenlands verkeer als tijdelijke oplossing gebruikt. Door genoemde combinatie van technieken bieden UASG's dus ook een effectieve verdediging tegen DDoS-aanvallen."
