Whitepaper. Citrix NetScaler: een goede verdediging tegen DoS-aanvallen. citrix.nl

Transcriptie

1 Citrix NetScaler: een goede verdediging tegen DoS-aanvallen

2 Het aantal Denial of Service- oftewel DoS-aanvallen is de voorbije paar jaar fors toegenomen. Dat dit type aanval tegen de beschikbaarheid opnieuw is opgedoken op de radar van de beveiligingsteams, is al verontrustend genoeg. Maar er is meer: de aard van deze aanvallen is veranderd. DoS-aanvallen zijn niet meer in hoofdzaak gericht tegen grote internetbedrijven. Tegenwoordig is elke organisatie in gevaar, ongeacht grootte of sector. Het is ook veel moeilijker dan vroeger om deze aanvallen te detecteren. Tegenwoordig zijn het beperkte, kleinschalige aanvallen op de applicatielaag en de achterliggende systemen, naast de bekende grootschalige aanvallen van vroeger, die bedoeld zijn om de netwerkverbinding te overbelasten of om kritieke netwerksystemen/-diensten omver te laten vallen. In deze whitepaper kijken we naar het huidige DoS-landschap en bespreken we hoe met het hedendaagse DoS-gevaar kan worden omgegaan. Uitgelegd wordt hoe Citrix NetScaler als Application Delivery Controller of ADC een even robuuste als betaalbare basis kan zijn om de organisatie tegen DoSaanvallen te beschermen. Voordelen van NetScaler: Uitgebreide beveiligingsmechanismen die een doeltreffende bescherming bieden tegen DoSaanvallen in alle lagen van de computingstack. Innovatieve, gevoelige technieken voor de meest verraderlijke soorten DoS-aanvallen zonder onnodig in de weg te zitten van legitieme transacties. Gebruik van dezelfde NetScaler-footprint om de starre datacenters van vroeger om te vormen tot schaalbare en flexibele enterprise-cloudnetwerken van nu. Inzicht in het DoS-landschap Vroeger werden DoS-aanvallen door hackers gebruikt om de grootste internetvoorzieningen plat te leggen. Later kwamen DoS-aanvallen meer op de achtergrond te staan. Aanvallen uit financiële motieven kwamen ervoor in de plaats. Voor deze laatste categorie aanvallen waren technieken nodig die minder opvielen. Belangrijke gegevens kun je immers alleen stelen als je niet wordt opgemerkt. In die periode werden DoS-aanvallen vooral gebruikt als chantagemiddel. De boeven dreigen met een DoS-aanval, tenzij ze vóór die en die dag een bepaald bedrag krijgen. Als je betaalt, krijg je keurig een tje met bedankt. Betaal je niet, dan merk je het vanzelf. 2

3 Terugkeer van de DoS-aanval De afgelopen paar jaar is de DoS-aanval terug. En hoe! Deze ontwikkeling kan vooral worden toegeschreven aan het feit dat de DoS-aanval de favoriete techniek is geworden bij sociaal en politiek gemotiveerde aanvallen. Objectief bekeken zijn ze perfect geschikt voor dergelijke gevallen. Het gaat de aanvallers niet om belangrijke gegevens, ze zijn alleen uit op aandacht van het doelwit en, nog belangrijker, van het grote publiek. Een opmerkelijk nevenproduct van dit hacktivisme was de release van (bijna) gratis toolkits voor het maken van DoS-aanvallen. Door deze toolkits en de toegankelijkheid van botnets staan DoSaanvallen nu weer in het middelpunt van de belangstelling. Ze liggen bovendien aan de basis van enkele specifieke kenmerken van het huidige DoS-landschap. Ten eerste zijn er nagenoeg geen technische of financiële belemmeringen meer. Iedereen kan tegenwoordig een DoS-aanval op poten zetten. Ten tweede kunnen DoS-technieken (mede om dezelfde redenen) nu ook worden gebruikt voor financieel gemotiveerde aanvallen. Via deze aanvallen kan een concurrent worden platgelegd of kan een rookgordijn worden gecreëerd voor een multivectoraanval die uiteindelijk bedoeld is om belangrijke gegevens te stelen. Het belangrijkste om hierbij op te merken is dat elke organisatie nu een mogelijk DoS-doelwit is, ongeacht grootte, branche of agenda. Evolutie van de DoS-aanval Het gemak waarmee een DoS-aanval tegenwoordig kan worden uitgevoerd, heeft tot de terugkeer van de DoS-aanval geleid. Maar er heeft nog een belangrijke verandering plaatsgevonden en kennis daarvan is nodig om een goede beveiliging mogelijk te maken. DoS-aanvallen verplaatsen zich, net als andere soorten aanvallen, omhoog in de computingstack. Verplaatsen is eigenlijk het verkeerde woord, omdat dat suggereert dat ze hun oorspronkelijke positie verlaten. Wat ze eigenlijk doen, is gewoon nieuwe trucjes aan het arsenaal toevoegen. Opvallende, grootschalige netwerkgerichte DoS-aanvallen zijn niet per se iets van het verleden. Er komt gewoon een nieuw soort DoS-aanvallen bij, via de hogere lagen van de stack. Een grote uitdaging bij deze nieuwe aanvallen is dat ze vaak een afspiegeling zijn van legitieme sessies of transacties. Zo komen ze ongehinderd door allerlei vormen van beveiliging heen, zoals door firewalls en andere systemen die indringers moeten tegenhouden. 3

4 Afbeelding 1: Asymmetrische DoS-aanval Een tweede probleem is dat DoS-aanvallen steeds asymmetrischer worden (zie afbeelding 1). Technisch bekeken betekent dit dat er maar een relatief klein aantal applicatie-requests en/of een klein beetje bandbreedte nodig is om een onevenredig groot beslag op backend-bronnen te leggen. Meer praktisch bekeken betekent dit opnieuw dat de aanval moeilijker te detecteren is, aangezien er geen onverwachte pieken in het aantal transacties of de hoeveelheid netwerkverkeer meer zijn die hun aanwezigheid verraden. Ondanks alle veranderingen blijven DoS-aanvallen erop gericht om ergens in de keten resources te overbelasten. Dit kunnen de netwerkpijpen zijn, de statustabellen van netwerkdevices en server, of de verwerkingscapaciteit van de applicatiehosts. Dit mag nooit worden vergeten, want alleen dan is een succesvolle strategie tegen DoS-aanvallen mogelijk. High-level strategieën tegen DoS-aanvallen Oplossingen tegen DoS-aanvallen kunnen in twee categorieën worden onderverdeeld: devices die bij de klant zelf staan en diensten die worden aangeboden via de cloud. Binnen deze categorieën zijn er de meest uiteenlopende opties, elk met specifieke voor- en nadelen. Devices bij de klant De eerste optie om DoS-aanvallen te bestrijden is een optie die ook meteen weer mag worden vergeten: de firewall of het intrusion prevention system. Deze devices beschikken wel over een aantal beveiligingsmechanismen tegen DoS-aanvallen (het ene systeem meer dan het andere), maar meestal zijn ze te beperkt om tegen het netwerk gerichte DoS-aanvallen af te weren. Ook bieden ze geen enkele bescherming tegen aanvallen op de hogere lagen. Bovendien zijn deze devices inherent stateful. Ze moeten de status van pakketten en de dataflow in de gaten houden, waardoor ze zelf doelwit kunnen zijn van DoS-aanvallen. 4

5 Speciale devices tegen DoS-aanvallen zijn een tweede mogelijkheid. Meestal bieden deze een behoorlijk uitgebreide bescherming tegen multilayer-dos-aanvallen, maar ook zij hebben hun tekortkomingen. Zo hebben ze last van dezelfde beperkingen als alle andere on-site oplossingen: ze zijn volstrekt nutteloos als de aanval de internetverbinding(en) overbelast, want in zo n geval bereikt het verkeer dergelijke systemen überhaupt niet meer. Ook zijn ze erg gevoelig voor SSLgebaseerde aanvallen, die een ware aanslag vormen op de verwerkingscapaciteit, zeker wanneer er geen speciale hardware is voor SSL-terminatie en -inspectie. Een ander punt om rekening mee te houden is de mate waarin elk afzonderlijk DoS-beveiligingsmechanisme het overbodig maakt om weer een device aan te schaffen voor elke belangrijke internetverbinding. De derde, vaak meest ideale optie is een moderne ADC, die toch al vaak wordt gebruikt op strategische punten in de meeste netwerken. Toonaangevende ADC s als NetScaler bieden een uitgebreide bescherming tegen DoS-aanvallen voor alle lagen van de computingstack. Ze hebben zelfs support voor rekenintensieve SSL-gebaseerde DoS-aanvallen. Het resultaat is een oplossing met een aanzienlijke bescherming tegen DoS-aanvallen zonder installatie van andere aparte devices. Diensten in de cloud Het grote voordeel van DoS-bescherming in de cloud is dat er daarmee, in tegenstelling tot oplossingen bij de klant zelf, ook actie kan worden ondernomen tegen DoS-aanvallen die internetverbindingen platleggen. De twee mogelijkheden in deze categorie (aanbieders van Content Delivery Networks (CDN s) en aanbieders van anti-dos-diensten) werken met datacenters met een enorme bandbreedte. Hierdoor zijn deze oplossingen beter in staat om grootschalige aanvallen tegen te gaan. De bedrijven die dergelijke oplossingen aanbieden, hebben fors geïnvesteerd in allerlei technologieën tegen DoS-aanvallen. Een goede beveiliging is immers de bestaansreden van hun bedrijf. Er zijn echter enkele significante verschillen, én mogelijke tekortkomingen, om rekening mee te houden. Onder andere: Significante verschillen in de bescherming die wordt geboden tegen DoS-aanvallen in de hogere lagen. Dit is in zekere mate niet te vermijden. Er is namelijk geen enkele externe aanbieder die de features van uw applicaties beter begrijpt dan uzelf. Hoewel CDN s in principe altijd beschikbaar zijn, worden ze meestal maar gebruikt voor slechts een deel van de belangrijkste sites en applicaties die een organisatie heeft aan klantzijde. Zelfs dan zijn er manieren voor hackers om rond of door het CDN te gaan, bijvoorbeeld door de internetproviders te blijven aanvallen of door een enorm aantal requests te versturen, wat resulteert in cache-misses zodat uw eigen infrastructuur in actie moet komen. Datacenters met anti-dos-bescherming kunnen al het verkeer van de organisatie aan, maar ze zijn niet altijd beschikbaar (dit kan te duur zijn). In plaats daarvan worden ze selectief door de klant ingezet wanneer een aanval wordt gedetecteerd. Hierdoor is dit een slechte oplossing voor DoSaanvallen in de hogere lagen. Die gaan immers niet altijd gepaard met brute kracht en zijn daarom niet altijd even gemakkelijk te detecteren. 5

6 Het antwoord: Defense-in-Depth De ideale aanpak is dan ook een Defense-in-Depth-strategie, waarbij een dienst in de cloud en on-site device elkaar aanvullen. Gezien de opkomst van aanvallen op de applicatielaag kan een on-site oplossing, met name een ADC, de grootste impact bieden. De meeste organisaties kunnen het beste hiermee beginnen. Ze mogen echter niet te lang wachten met een DoS scrubbing service die grootschalige aanvallen tegen het netwerk kan tegenhouden. Zeker voor high-profile targets is dit belangrijk. NetScaler tegen DoS-aanvallen NetScaler is in elk opzicht een moderne ADC, met een degelijke bescherming tegen de klassieke DoS-aanvallen op de netwerklaag, maar ook tegen de meer geavanceerde en steeds vaker voorkomende aanvallen tegen de sessie- en applicatielaag, waaronder zeer kleinschalige, asymmetrische aanvallen. NetScaler pakt DoS-aanvallen op dezelfde manier aan als alle andere gevaren, met een gelaagd beveiligingsmodel. Dit maakt dat NetScaler geen enkele moeite heeft met DoS-aanvallen waar dan ook in de computingstack. Aanvallen Oplossing van NetScaler Detectie steeds moeilijker Applicatie Verbinding en sessie Netwerk GET- en POST-floods; slowloris, Slow POST en andere kleinschalige varianten Flooding van verbindingen, SSL-floods, DNSfloods (udp, query, nxdomain) Syn-, UDP-, ICMP-, PUSH- en ACK-floods; LAND-, smurf- en teardrop-aanvallen Validatie van het applicatieprotocol, surge protection, priority queuing, bescherming tegen HTTP-floods, bescherming tegen kleine HTTPaanvallen Volwaardige proxyarchitectuur, high-performance design, intelligent geheugen, uitgebreide DNSbescherming Geïntegreerde beveiligingsmaatregelen, default deny, protocolvalidatie, afknijpen Afbeelding 2: De oplossingen van NetScaler tegen DoS-aanvallen Opmerking: een belangrijk deel van de maatregelen van afbeelding 2 kan bescherming bieden tegen DoS-aanvallen in verschillende lagen. Als ADC is NetScaler ontwikkeld om hoge prestaties neer te zetten, met een model van default deny en een volwaardige proxyarchitectuur, wat allemaal aspecten zijn die gelden voor alle lagen van de computingstack. Om een en ander niet te ver te leiden worden ze maar op één plaats vermeld. Beveiliging van de netwerklaag Bij een DoS-aanval op de netwerklaag wordt meestal de netwerkinfrastructuur van een organisatie aan klantzijde overbelast met een enorme hoeveelheid verkeer of speciaal samengestelde pakketten die netwerkdevices aan het wankelen brengen. Features van NetScaler om aanvallen op deze laag af te weren: Geïntegreerde verdedigingsmechanismen. NetScaler heeft een krachtige TCP/IP-stack die aan de normen voldoet en verbeteringen biedt die speciaal bedoeld zijn om tal van low-level DoS-aanvallen tegen te gaan. Een voorbeeld daarvan is een implementatie van SYN-cookies (een bekende manier om SYN-floods te bestrijden). Deze implementatie is gericht op optimale prestaties (om toegestane verbindingen een maximale throughput te geven) en op een betere beveiliging (om vervalste verbindingen tegen te gaan). Andere DoS-aanvallen die op dezelfde manier of door middel van de standaardconfiguratie worden bestreden, zijn teardrop-, LAND-, ping of death-, smurf- en fraggle-attacks. 6

7 Default deny. Default deny lijkt misschien een relatief eenvoudig beveiligingsmechanisme, qua concept tenminste, maar dan wel een heel krachtig mechanisme. Packets die niet expliciet zijn toegestaan of die niet bij een toegestane flow horen, worden automatisch gedropt. NetScaler is daarmee in staat om diverse aanvallen tegen te houden, waaronder generieke UDP-, ACK- en PUSH-floods. Protocolvalidatie. Bij een bijzonder vervelend type DoS-aanval worden allerlei verkeerde gegevens verzonden, zoals packets met een ongeldige combinatie van vlaggen, onvolledige fragmenten of anderszins verkeerde headers. Een goed voorbeeld voor de netwerklaag is de zogenaamde Christmas tree, waarbij de verkeerde packets oplichten (vandaar de naam) met alle mogelijke TCP-flags ingeschakeld. NetScaler pakt deze subklasse aan door ervoor te zorgen dat communicatieprotocollen strikt volgens de specificaties worden gebruikt en door combinaties die technisch misschien wel toegestaan maar toch gevaarlijk zijn, te voorkomen. Hiermee biedt NetScaler een complete bescherming, aangezien dit verdedigingsmechanisme geldt voor alle ondersteunde protocollen, waaronder TCP, UDP, DNS, RADIUS, Diameter, HTTP, SSL, TFTP en SIP. Beperking van de snelheid (afknijpen). DoS-aanvallen kunnen ook worden tegengegaan door overbelasting van netwerkverbindingen en servers te voorkomen door verkeer boven een bepaalde limiet af te knijpen of om te leiden. Met NetScaler kan dit heel fijnmazig worden geregeld in de vorm van AppExpert Rate Controls. Hiermee kunnen de systeembeheerders vastleggen hoe NetScaler moet reageren bij het bereiken van bepaalde configureerbare drempelwaarden voor de bandbreedte of het aantal verbindingen of requests naar of van een bepaald onderdeel, zoals virtuele servers, domeinen en URL s. Dit mechanisme moet echter wel met de nodige zorg worden toegepast, want het is tenslotte niet de bedoeling om de wel toegestane communicatie in de weg te zitten. Bescherming tegen DoS-aanvallen op de verbindings- en sessielaag DoS-aanvallen die gericht zijn tegen de verbinding proberen de statustabellen van de devices te overbelasten, terwijl DoS-aanvallen tegen de tussenliggende lagen van de stack meestal gericht zijn op het verstoren van DNS- of SSL-functionaliteit. Features van NetScaler die gericht zijn tegen deze twee typen aanvallen zijn: Volwaardige proxyarchitectuur. Als volwaardige proxyoplossing maakt NetScaler actief deel uit van de verkeersstroom. NetScaler is dus geen passieve component die wel ziet wat er gebeurt maar daar geen invloed op kan uitoefenen. NetScaler vangt alle inkomende sessies op en creëert daarmee afstand tussen de externe en interne bronnen. Tegelijk wordt het hierdoor mogelijk om het verkeer te inspecteren en desgewenst te manipuleren voordat het wordt doorgestuurd naar de bestemming. Op deze manier kunnen diverse schadelijke elementen meteen worden weggefilterd en wordt tegelijk een basis geboden voor de geavanceerde inspecties die verder nog nodig zijn om de resterende schadelijke elementen te verwijderen. Bovendien kan NetScaler dienst doen als buffer voor de achterliggende bronnen en bescherming bieden tegen diverse gevaren, zoals veel soorten DoS-aanvallen. High-performance design. NetScaler als doeltreffende buffer voor de achterliggende bronnen betekent dat er veel kracht nodig is. Als dit niet zo zou zijn, zou NetScaler gewoon een extra point of failure worden bij een DoS-aanval. NetScaler heeft een speciaal ontwikkeld platform waarop zowel de hardware als de systeemsoftware zijn ontworpen en geoptimaliseerd, speciaal voor de NetScaler-workload. Als specifieke features kunnen we het speciale besturingssysteem noemen (voor deterministische, low-latency processing), de geoptimaliseerde netwerkstack, de intelligente HTTPparsing-engine en het selectieve gebruik van functiespecifieke hardware-accelerators. Om SSL-floods tegen te gaan zijn speciale SSL-accelerators, die samen met een volwaardige proxy in staat zijn om lege SSL-verbindingen of SSL-verbindingen met slechte bedoelingen te identificeren en te verwijderen, erg belangrijk. 7

8 Prestatiescore NetScaler (MPX serie) TCP-verbindingen per seconde: HTTP-requests per seconde: HTTP-throughput: 8,5 miljoen 4,7 miljoen 120 Gbps SSL-transacties per seconde SYN-aanvallen per seconde DNS-requests per seconde: Gelijktijdige SSL-sessies Gelijktijdige TCP-sessies 38 miljoen 35 miljoen 7,5 miljoen 75 miljoen Intelligent geheugengebruik. NetScaler gaat flooding van verbindingen ook tegen door geheugenloze technieken toe te passen bij het onderhandelen over de verbinding. Deze technieken worden gebruikt op diverse lagen in de stack, ook voor de TCP- en HTTP-setup, en zorgen ervoor dat NetScaler pas bronnen hoeft toe te wijzen wanneer een nieuwe verbinding volledig is gevalideerd of wanneer een concreet verzoek van een applicatie wordt verzonden. Op deze manier worden extreem grote verbindingstabellen voorkomen en zijn veel reapingroutines niet meer nodig. In andere gevallen wordt reaping nog wel toegepast voor intelligent geheugenbeheer, bijvoorbeeld door bij een tekort aan geheugen de eliminatie van fragmenten te prioriteren, en om bepaalde langzame aanvallen op de applicatielaag, zoals later besproken, tegen te gaan. Dit alles leidt ertoe dat NetScaler zelf beter bestand wordt tegen DoS-aanvallen en de achterliggende systemen beter worden gebufferd. Uitgebreide DNS-bescherming. DoS-aanvallen tegen DNS, een essentiële service in de infrastructuur van het moderne datacenter, zijn noch nieuw, noch ongebruikelijk. De aanvallen kunnen gewone UDP-floods zijn, maar ook query-gebaseerde floods waarbij de meest uiteenlopende trucs worden gebruikt, zoals het opvragen van records voor niet-bestaande hosts, om de DNS-servers te overbelasten. Voor de bestrijding van deze aanvallen ondersteunt NetScaler twee verschillende modi: 1) de DNS proxy mode, waarbij loadbalancing wordt toegepast voor de interne DNS-servers van de organisatie en 2) de authoritative mode, waarbij NetScaler de directe oplossing van de organisatie is voor naamen IP-omzetting. Verdedigingsmechanismen die op een van deze modi of beide modi betrekking hebben, zijn de volwaardige proxyarchitectuur en het high-performance design van NetScaler, de degelijke DNS-implementatie, de DNS-protocolvalidatie en het DNS-specifieke afknijpen. De support die NetScaler heeft voor DNSSEC maakt het mogelijk om aanvallen tegen te gaan die werken met vervalste en corrupte hostrecords om zich zo te kunnen verspreiden naar nieuwe doelwitten. Bescherming tegen DoS-aanvallen op de applicatielaag De nieuwste innovatie in DoS-aanvallen, de applicatielaag, is om diverse redenen problematisch. Om te beginnen zijn aanvallen tegen de applicatielaag minder breed van aard. Vaak zijn ze niet alleen specifiek gericht tegen een bepaald protocol in de applicatielaag (HTTP bijvoorbeeld), maar ook tegen een specifieke applicatie. De zaak wordt nog bemoeilijkt door het feit dat het aanvallende verkeer qua inhoud en volume vaak niet te onderscheiden is van het normale verkeer. Een klassiek voorbeeld is een qua bandbreedte zeer beperkte aanval die niets meer doet dan het versturen van een continue serie verzoeken naar een applicatie waarvan bekend is dat die verzoeken daarna veel rekenkracht kosten (een complexe berekening of zoekopdracht bijvoorbeeld). Beveiligingsdevices op een lager niveau, zoals netwerkfirewalls, staan grotendeels machteloos tegen dergelijke aanvallen. Zelfs devices op een hoger niveau zullen regelmatig moeten worden bijgesteld om nieuwe tactieken en applicatiespecifieke variabelen te kunnen ondersteunen. 8

9 Features van NetScaler om DoS-aanvallen tegen de applicatielaag te bestrijden: Validatie van het applicatieprotocol. RFC-compliance en best practices voor HTTP-gebruik afdwingen is een uitermate doeltreffende methode voor NetScaler om de meest uiteenlopende aanvallen uit te schakelen op basis van afwijkende aanvragen en ongeoorloofd HTTP-gedrag. Geïntegreerde contentfilters, reacties op maat en bidirectionele HTTP-rewrites maken het mogelijk om het beveiligingsbeleid verder uit te breiden. Surge protection en priority queuing. Een succesvolle bescherming tegen DoS-aanvallen beschermt de achterliggende servers tegen overbelasting en zorgt ervoor dat de clients een respons krijgen en dat kritisch verkeer geen last kan hebben van een aanval. Features van NetScaler die dit mogelijk maken, zijn surge protection and priority queuing. NetScaler handelt pieken in het verkeer keurig af door het tempo waarmee nieuwe verbindingen aan de server worden gepresenteerd te baseren op hun capaciteit. Belangrijk is dat er met dit mechanisme geen verbindingen worden gedropt. In plaats daarvan worden ze door NetScaler bijgehouden en alsnog aangeboden, in volgorde van ontvangst, aan de back-end-servers zodra die daar klaar voor zijn. Een kenmerk dat hier nauw verband mee houdt, priority queuing, biedt een schema dat kan dienen om de volgorde van verwerking van de wachtende requests te bepalen. Die volgorde hangt dan af van het relatieve belang van de desbetreffende applicaties. Gedrag van de server zonder surge protection Gedrag van de server met surge protection 9

10 Bescherming tegen HTTP-floods. HTTP GET-floods kunnen op een innovatieve manier worden ondervangen. Wanneer een aanval wordt geconstateerd (op basis van een configureerbare drempelwaarde voor het aantal wachtende verzoeken), stuurt NetScaler een instelbaar percentage clients een simpele uitdaging toe. Deze uitdaging is zo gemaakt dat legitieme clients er gemakkelijk op kunnen reageren, terwijl domme DoS-drones dit niet kunnen. Met deze informatie kan NetScaler valse aanvragen onderscheiden en laten vallen. De verzoeken die worden verzonden door legitieme gebruikers, blijven behouden. Soortgelijke technieken, gecombineerd met rate limiting op applicatieniveau, worden gebruikt om HTTP POST- en recursive GET-floods te bestrijden. Bescherming tegen kleine HTTP-aanvallen. NetScaler houdt slowloris-aanvallen automatisch tegen. Dit type aanvallen biedt HTTP-headers bij stukjes en beetjes aan de server aan, net onder de time-outlimiet, waarbij een geldige verbinding net nooit wordt bevestigd. Slow POST-aanvallen bestrijden, die de HTTP-data maar heel langzaam aan de server doorgeven, is iets moeilijker, maar niet onmogelijk. In deze gevallen gebruikt NetScaler speciaal ontwikkelde algoritmen om de condities op het niveau van de applicatieverzoeken te bewaken. Het aantal langzame verbindingen dat wordt aangeboden wordt beperkt en het overschot aan langzame verbindingen in het geheugen wordt proactief opgeschoond. Nieuwe kleinschalige DoS-varianten kunnen ook worden bestreden door het prestatievermogen van de server in de gaten te houden en door met speciale afknijpregels te werken. Besluit DoS-aanvallen die de beschikbaarheid in gevaar brengen zijn de afgelopen jaren steeds talrijker en slimmer geworden. De meeste organisaties die zich tegen deze klasse van aanvallen willen beschermen, hebben een combinatie nodig van scrubbing services in de cloud en on-site technologie. Als on-site oplossing bij de klant is Citrix NetScaler de ideale keuze. Met NetScaler gebruikt een organisatie het platform dat de starre computeromgeving van vroeger omvormt tot bijzonder flexibele datacenters in de cloud ook om een robuuste multi-layer-beveiliging te bieden tegen DoS-aanvallen die de normale bedrijfsvoering in gevaar kunnen brengen. Hoofdkantoor Fort Lauderdale, FL, Verenigde Staten India Development Center Bangalore, India Hoofdkantoor Latijns-Amerika Coral Gables, FL, Verenigde Staten Hoofdkantoor Silicon Valley Santa Clara, CA, Verenigde Staten Hoofdkantoor Online Division Santa Barbara, CA, Verenigde Staten UK Development Center Chalfont, Verenigd Koninkrijk Hoofdkantoor EMEA Schaffhausen, Zwitserland Hoofdkantoor Pacifisch gebied Hongkong, China Over Citrix Citrix (NASDAQ:CTXS) is marktleider op het gebied van mobile workspaces, en biedt met virtualisatie, mobility management, netwerken en cloudservices nieuwe manieren om beter te werken. Citrix-oplossingen maken zakelijke mobility mogelijk in de vorm van beveiligde, persoonlijke workspaces die mensen directe toegang bieden tot apps, desktops, data en communicatievoorzieningen op elk device, over elk netwerk en in elke cloud. Dit jaar viert Citrix 25 jaar innovatie, vereenvoudiging van de IT en verbetering van de productiviteit van medewerkers. Citrix boekte in 2013 een jaaromzet van 2,9 miljard dollar. Citrix-oplossingen worden gebruikt in meer dan organisaties en door meer dan 100 miljoen gebruikers wereldwijd. Meer informatie op Copyright 2015 Citrix Systems, Inc. Alle rechten voorbehouden. Citrix en NetScaler zijn handelsmerken van Citrix Systems, Inc. en/of een of meer van zijn dochterondernemingen. Ze kunnen geregistreerd zijn in de Verenigde Staten en in andere landen. Andere product- en bedrijfsnamen die hierin worden genoemd, kunnen handelsmerken zijn van hun respectievelijke bedrijven. 0115/PDF 10