F5 Cloud Services sorgen nach massivem DDoS-Angriff für zuverlässigen Schutz

Mirai Communication Network Co., Ltd. aus Ogaki City in der Präfektur Gifu bietet Ihnen ein umfassendes Dienstleistungsangebot: vom Internetdienstanbieter (ISP) über Mietserver, Betrieb und Verwaltung von Rechenzentren, Domain-Erwerb sowie Management bis hin zu Geschäftsunterstützungsnetzwerken auf Basis des glasfasergestützten Netzwerks der gesamten Präfektur Gifu und der Gifu Information Superhighway. Um DDoS-Angriffe wirkungsvoll zu verhindern, setzen wir F5 Distributed Cloud DNS ein. Im Gespräch mit Herrn Yuki Kano und Frau Atsuko Tanaka aus unserer Technologieabteilung erläuterten sie die spezifischen Anforderungen, Funktionen und erwarteten Vorteile, die bei der Implementierung für unser Unternehmen maßgeblich sind.

Der Bedarf

Unter dem Motto „Internetdienstanbieter mit menschlichem Gesicht“ bietet Mirai Communication Network Co., Ltd. ein umfassendes Spektrum netzwerkbezogener Dienste – nicht nur für private Firmen, sondern auch für Kommunen und öffentliche Einrichtungen. „Im Bereich Hosting-Services betreuen wir Kunden deutschlandweit, unser klarer Fokus liegt jedoch auf unserem regionalen Geschäftsmodell. Insofern verstehen wir uns als Internetdienstanbieter mit 'menschlichem Gesicht',“ erklärt Herr Yuki Kano aus der Technikabteilung des Unternehmens. „Im Gegensatz zu vielen üblichen Serveranbietern, die sich vor allem auf Fernwartung verlassen und deren Mitarbeiter für Kunden nicht sichtbar sind, besuchen unsere Technik- und Wartungsteams, mich eingeschlossen, regelmäßig die Kunden vor Ort. Wir arbeiten bei jedem Projekt direkt mit unseren Kunden zusammen und entwickeln passgenaue Lösungen,“ fügt er hinzu. Im Dezember 2023 brachte ein großskaliger DDoS-Angriff Mirai Communication Network dazu, die Systemarchitektur grundlegend zu überprüfen. „Unsere DNS-Server wurden gezielt attackiert, was die Namensauflösung stark beeinträchtigte. Obwohl wir Anfragen aus IP-Adressen, die als Angriffsstelle ermittelt wurden, sofort blockierten und die Services schnell wiederherstellten, wurde uns klar: Wenn der DNS-Server ausfällt, ist Kommunikation kaum möglich – auch bei funktionierendem Netzwerk. Dieser Vorfall machte uns klar, wie wichtig es ist, DNS-Server gegen Attacken zu schützen,“ sagt Kano. Bereits vor dem Angriff implementierten wir Maßnahmen wie die Überwachung des Netzwerkverkehrs, um mögliche DDoS-Angriffe früh zu erkennen und nur legitimen Traffic zuzulassen. Der Angriff zeigte jedoch, dass wir speziellere Schutzmechanismen für die DNS-Server brauchten. Deshalb prüfen wir jetzt den Einsatz eines dedizierten DDoS-Schutzdienstes.

Die Transformation

Nach etwa drei Monaten intensiver Prüfung des Angriffs entschied sich Mirai Communication Network für F5 Distributed Cloud DNS. Frau Atsuko Tanaka aus der Technologieabteilung, die direkt in die Bewertung der verschiedenen Tools involviert war, beschreibt: „Wegen der Dringlichkeit konzentrierten wir uns auf Lösungen, die sich schnell über Cloud-Dienste realisieren lassen. Anfangs stand der Service von F5 nicht auf unserer Liste. Während der Evaluierung legte F5 uns ein Angebot vor, und wir erkannten klare Vorteile bei Kosten und Integration in unsere bestehende Umgebung.“ Einige Wettbewerber verlangten eine Neukonfiguration sowohl des primären als auch des sekundären DNS-Servers auf der SaaS-Seite, andere boten nur eine primäre DNS-Lösung ohne Integration in eine sekundäre DNS an. „Bei anderen Services musste man bereits beim Vertragsabschluss festlegen, ob Schutzmaßnahmen auf dem primären oder sekundären DNS angewendet werden sollten. Zudem variierten die Kosten je nach Anfragevolumen, was die Budgetsteuerung erschwerte“, erläutert Herr Kano, warum sie sich für F5 entschieden haben. Für öffentliche Auftraggeber wie Kommunalverwaltungen erfolgen Ausschreibungen meist über ein festes Jahresbudget. Preisanpassungen aufgrund unerwarteter Angriffe kann man deshalb nicht auf den Servicepreis umlegen. F5 Distributed Cloud DNS setzt auf ein Preismodell, das sich an der Anzahl der Zonen orientiert und flexibel gestaltet ist: Selbst wenn die Zonenzahl das vereinbarte Kontingent übersteigt, entstehen während der Vertragslaufzeit keine Zusatzkosten. Anpassungen lassen sich bei Neuverträgen in den Folgejahren vornehmen. Mirai Communication Network richtete eine Proof of Concept (PoC)-Umgebung für Tests mit F5 Distributed Cloud DNS ein. Kano erklärt: „Zum Zeitpunkt der Entscheidung für den Service von F5 erhielt wir sowohl einen PoC- als auch einen Käuferservice-Account. Die Benutzeroberfläche ist intuitiv und leicht verständlich, und mit der Unterstützung der F5-Ingenieure verlief die Verifizierung reibungslos.“

Das Ergebnis

DNS-Änderungen erfordern gründliche Tests sowie Aufgaben wie das Eintragen der notwendigen Datensätze auf dem Zielserver und das Übertragen der WHOIS-Informationen. Die Abläufe nach der Migration bleiben jedoch unverändert zu unserer aktuellen Umgebung. Wir rechnen nicht damit, zusätzliche Personalkapazitäten einsetzen zu müssen", erklärt Herr Kano. Mit F5 Distributed Cloud DNS können Sie den primären DNS als „versteckt“ einstellen und so vor dem Internet verbergen, um ihn vor Distributed Denial-of-Service-Angriffen zu schützen. Den bestehenden DNS-Server nutzen wir weiterhin für die Systemkonfiguration, während F5s Distributed Cloud die sekundäre DNS-Ebene übernimmt und alle DNS-Anfragen verarbeitet. Nicht nur erfüllt das unsere anfängliche Vorgabe für den Schutz vor DDoS-Attacken, es verbessert auch die Reaktionszeiten durch die geografisch verteilte, cloudbasierte sekundäre DNS. Zusätzlich übertragen wir Aufgaben wie Software-Upgrades und ähnliche Tätigkeiten an F5, wodurch wir unser Betriebsaufkommen weiter senken“, ergänzt Herr Kano.

F5 Distributed Cloud DNS ermöglicht es Ihnen, Primary- und Secondary-DNS zu konfigurieren. Das bestehende Primary-DNS verwenden Sie ausschließlich zur Konfiguration, während das Secondary-DNS in der Cloud von F5 DNS-Anfragen bearbeitet. Mit dieser Lösung schützen wir Sie vor Distributed Denial-of-Service-Angriffen und verbessern die Antwortzeiten durch ein geografisch verteiltes Cloud-Netzwerk.

F5 bietet im Rahmen der F5 Distributed Cloud Services diverse Netzwerk- und Sicherheitsfunktionen, darunter Distributed Cloud DNS, das wir diesmal eingeführt haben, sowie Load Balancer, Firewalls, API-Gateways, WAFs, API-Sicherheit, Bot-Schutz und verwaltete Kubernetes-Plattformen. „Wir prüfen derzeit, DNS-Load-Balancing als Service anzubieten. Mit der steigenden Zahl von Unternehmen, die Systeme in verschiedenen Umgebungen wie On-Premises und Cloud betreiben, ist der Bedarf an DNS-basiertem Lastenausgleich eindeutig gegeben“, erklärt Frau Tanaka mit Blick auf mögliche Services jenseits von Distributed Cloud DNS. Herr Kano betont zudem die Vorteile, die er im praktischen Training mit F5 Distributed Cloud Services erkannt hat: „Wir haben festgestellt, dass der Service detaillierte Konfigurationsmöglichkeiten bietet und gleichzeitig äußerst benutzerfreundlich bleibt. Für eine spätere Serviceerweiterung erachten wir Monitoring-Funktionen wie HTTPS- und DNS-Monitoring als sehr wertvoll. Außerdem freuen wir uns darauf, in Zukunft Proof of Concepts (PoCs) für Managed Kubernetes zu testen.“ F5 Distributed Cloud Services erleichtern das Management und den sicheren Betrieb von Anwendungen und Netzwerken, die über verschiedene Umgebungen verteilt sind, ebenso wie die schnelle Entwicklung und Bereitstellung über Kubernetes-Plattformen. „Bestehende Dienste, die wir über physische und virtuelle Appliances anbieten, lassen sich auf SaaS-Lösungen umstellen, die sich leicht bereitstellen und skalieren lassen. Wir gehen davon aus, dass die Nutzung von F5 Distributed Cloud Services in Zukunft zunimmt“, sagt Herr Kano. Er sieht außerdem Chancen, gemeinsam mit F5 Herausforderungen von Kommunen, Schulbehörden und regionalen Unternehmen anzugehen. „Indem wir F5-Lösungen noch intensiver nutzen und sie mit unseren Services verknüpfen, bin ich sicher, dass wir neue Kundenbedürfnisse entdecken und einen echten Mehrwert schaffen können“, ergänzt Herr Kano.