Derzeit wird so viel von zu Hause gearbeitet wie noch nie zuvor. Das VPN-Gateway ist damit zu einer geschäftskritischen Komponente geworden. Es ist aber gleichzeitig eines der schwächsten Glieder in der Kommunikation zwischen Remote-Anwendern und den unternehmensinternen Ressourcen. Eine DDoS-Attacke stellt eine große Bedrohung für die Verfügbarkeit des VPN-Gateway dar. Wenn ein VPN-Gateway an ihrer Leistungsgrenze arbeitet, kann selbst eine kleine DDoS-Attacke die Performance beeinträchtigen oder das Gateway funktionsunfähig machen.

Das Ergebnis? Remote-Benutzer können nicht mehr arbeiten.

Es gibt zwei Arten von DDoS-Attacken, die ein VPN-Gateway beeinträchtigen können:

TCP State Exhaustion-Angriff

Ein TCP State Exhaustion-Angriff füllt die TCP State-Tabelle mit simulierten TCP-Verbindungen. In diesem Fall können berechtigte Benutzer das VPN-Gateway nicht mehr nutzen, um an die dahinterliegenden Unternehmensressourcen zu gelangen.

TCP State Exhaustion attack
Zum Vergrößern klicken

Flooding-Angriffe auf Netzwerkebene

Eine VPN-Gateway-Schnittstelle ist typischerweise kleiner als die übergeordnete Internetschaltung: Deshalb muss auch eine entsprechende DDoS-Attacke nicht groß sein. Sie muss nur die Netzwerkschnittstellen des VPN-Gateway lahmlegen. Für den Benutzer sind die Unternehmensressourcen dann nicht mehr erreichbar.

Network Layer Flooding Attack
Zum Vergrößern klicken
AED Detecting a TCP SYN Flood attack
Click to enlarge image

Wenn ein VPN-Gateway langsam oder gar nicht funktioniert, kann es selbst zum Netzwerkproblem werden. In so einem Fall ist die Ursache mit traditionellen Netzwerkmanagement- und Fehlerbehebungs-Tools nur schwer zu finden. Hier benötigen Sie eine intelligente Sichtbarkeit des Netzwerkverkehrs, der über das jeweilige VPN-Gateway eintrifft. So können Sie Auffälligkeiten ermitteln, die auf eine DDoS-Attacke hinweisen.

Arbor Edge Defense (AED) von NETSCOUT bietet die passende Lösung. AED ist eine Inline-Sicherheits-Appliance (oder Virtual Device), die am Netzwerk-Perimeter zwischen Internet-Router und VPN-Gateway/Firewall eingesetzt wird. AED nutzt dafür eine hochskalierbare zustandslose Paketverarbeitungs-Engine, die nicht anfällig für TCP State Exhaustion-Angriffe und andere Attacken ist, die ein VPN-Gateway beeinträchtigen können.

Doch es reicht nicht, DDoS-Attacken zu erkennen. Sie müssen gestoppt werden, bevor sie die für die Produktivität von Remote-Mitarbeitern so wichtige Verfügbarkeit des VPN-Gateway beeinträchtigen können. AED kann diese Attacken nicht nur aufhalten, sondern liefert während und nach dem Angriff auch Details zu Angriffstyp, Größe, Rate, Protokolle und vielem mehr. Damit können Benutzer eingreifen und gegebenenfalls Gegenmaßnahmen ergreifen.

AED wird vor Ort installiert und nutzt zustandslose Paketverarbeitungstechnologie für die automatische Erkennung und Abwehr von DDoS-Attacken. Das sind die besten Verteidigungsmaßnahmen für VPN-Gateways, um Remote-Benutzern zuverlässig Zugang zu Unternehmensressourcen zu ermöglichen.

Sie möchten Endbenutzer zuverlässigen Zugang zu Unternehmensressourcen bieten? Rufen Sie uns an.