Schadensbegrenzung durch Web-Switching

Abwehr stärken durch Einsatz von Web-Switches

Zu den gefährlichsten Angriffsformen zählen solche, die Adressen-Spoofing verwenden. Dabei wird teilweise die Source-Adresse des Angriffssystems durch einen Fantasiewert ersetzt, um zu verhindern, dass die Spur bis zum Hacker zurückverfolgt werden kann. Wie oben erwähnt, lässt sich auch die Source-Adresse gegen die des Zielsystems austauschen. Die Folge: Statt des Angreifers wird das Opfer mit Antwortmeldungen anderer Systeme überschüttet. Eine Möglichkeit, Web-Server gegen Poison Attacks resistent zu machen, besteht darin, den TCP/IP-Stack des Systems zu "härten". Das bedeutet:

- alle unnötigen Dienste und Daemons deaktivieren,

- Patches und neue Software-Releases umgehend einspielen,

- hereinkommenden Verkehr zu filtern.

Diese Aufgaben lassen sich auf die Firewall oder einen Web-Switch verlagern, der den Servern vorgelagert ist. Der Vorteil dabei ist, dass nicht jeder einzelne Server abgesichert werden muss, sondern nur der Switch. Er lässt sich auch gegen State Resource Attacks einsetzen. So ist ein Web-Switch beispielsweise in der Lage, eingehenden Verkehr nach unzulässigen Adressen oder defekten Paketen zu durchsuchen. Zudem sind diese Geräte meist für mehrere Tausend TCP-Verbindungen pro Sekunde ausgelegt. Das heißt, sie sind nicht so schnell an ihre Leistungsgrenze zu treiben wie ein Server.

Ein weiterer Vorteil ist, dass sich Web-Switches so konfigurieren lassen, dass sie Schwachpunkte der TCP-Protokollfamilie kompensieren. Statt, wie im TCP-Standard vorgegeben, Sitzungen im Anfangsstadium ("embryonale" Sessions") mehrere Minuten lang zu unterhalten, können Web-Switches eine Sitzung bereits nach wenigen Sekunden für "tot" erklären. Dies entspricht auch eher der gängigen Praxis. Denn diverse Studien haben ergeben, dass kein Internet-Nutzer bereit ist, mehr als acht bis zehn Sekunden zu warten, bis eine Verbindung zu einer Website etabliert ist.