8ackProtect - FAQ

Welche Informationen werden für die Umstellung auf 8ackProtect benötigt?

Wir brauchen einen technischen Ansprechpartner mit Zugang zu den betroffenen Systemen und mit der Berechtigung, Änderungen im DNS durchführen zu können.

Wie funktioniert der DDoS-Schutz?

Wir leiten die Zugriffe auf Ihre Systeme über unser Anti-DDoS-Center und filtern den schadhaften Traffic heraus. Durch unser mehrstufiges System sind wir sowohl gegen Volumenangriffe (Layer 3/4) als auch gegen Angriffe auf webbasierte Dienste und TCP-Services geschützt. Die Kombination aus aktiver Angriffserkennung, Blockieren von erkannten Bots, Unterbinden von Zugriffen aus bestimmten Ländern oder Kontinenten und der Möglichkeit, aktiv und in Echtzeit Angriffe zu analysieren, versetzt uns in die Lage, auf neue Angriffsmethoden flexibel zu reagieren und diese abzuwehren.

Wenn wir während eines Angriffs zu Ihnen wechseln, wie lange dauert es, bis wir wieder online sind?

Unser Team muss erst die Art des DDoS-Angriffs analysieren, um die richtigen Gegenmaßnahmen planen und einleiten zu können. Die schnellste Hilfe könnten wir innerhalb von 30 Minuten leisten, bei DDoS-Angriffen von Botnetzen aus sind Sie in der Regel innerhalb von 2h nach erfolgter Analyse wieder online, bei schwerwiegenden und professionellen Angriffen kann die Time-To-Recover auch 24h betragen.

Der Ablauf ist hier dokumentiert.

Was passiert nach der Umstellung?

Mit der Soforthilfe sorgen wir dafür, dass Ihre Webseiten so schnell wie möglich wieder online sind; wenn Sie es mit einem hartnäckigen Angreifer zu tun haben können diese Maßnahmen langfristig aber umgangen werden: Sie benötigen dann eine nachhaltige Anti-DDoS-Strategie, bei deren Aufbau und Umsetzung wir Ihnen gerne helfen.

Wir betreiben Server/Service XYZ: ist 8ackProtect dazu kompatibel?

8ackProtect ist zu allen Web- und Applicationservern kompatibel, sowohl auf HTTP als auch HTTPS-Ebene. Weiterhin können beliebige TCP-Dienste geschützt werden, Kompatibilitätsprobleme sind bisher nicht bekannt.

Müssen wir den Hoster/Anbieter wechseln?

Nein, ein Umzug zu einem anderen Hoster ist nicht zwingend notwendig. Wir empfehlen Ihnen für den kompletten Schutz Ihrer Webseiten hinter dem Umbrella-Schirm aber einen Hoster/Rechenzentrum, bei dem Sie den Zugriff auf Ihre Server und Webpräsenzen per Firewall auf einige wenige IPs beschränken können, um z.B. nur die Umbrella-Server-IPs zuzulassen.

Ist der DDoS-Schutz mit deutschem Datenschutz und dem BDSG vereinbar?

Alle Umbrella-Server und Dienste werden ausschließlich in deutschen, ISO-zertifizierten Rechenzentren gehostet. Bei Bedarf schließen wir gerne einen Vertrag über eine Auftragsdatenverarbeitung gem § 11 BDSG, um die Rechtmäßigkeit unserer Dienstleistungen und Sicherheit Ihrer Daten zu gewährleisten.

Hat 8ackProtect einen Einfluss auf Google, Suchmaschinen, SocialMedia, Payment-Provider etc?

Wir führen eine laufend aktualisierte Liste mit IPs, von Google, Facebook, Twitter, Payment-Providern, ECommerce-Diensleistern, CDNs und SocialMedia-Plattformen, um auch im Falle von GeoIP-Blocks die wichtigen Dienste zuzulassen, wenn dies gewünscht ist.

Folgende Dienste und Plattformen werden per Whitelist unterstützt, weitere fügen wir gerne auf Anfrage hinzu:

Social Media & Suchmaschinen:

  • Google
  • Facebook
  • Twitter
  • Yandex
  • Instagram

Payment-Provider:

  • PayOne
  • barzahlen.de
  • PayPal
  • HiPay
  • OptioPay
  • MagnaLister
  • Klarna

CDN-Provider

  • MaxCDN

Wir betreiben unsere Seiten mit HTTPS-Verschlüsselung, benötigen Sie die Keys/Zertifikate?

Für den kompletten DDoS-Schutz (Layer 7) und WAF-Funktionalitäten benötigen wir die SSL-Private-Keys und Zertifikate. Unser Schutz setzt auf die Analyse der gesamten Anfrage; ohne die SSL-Keys und Zertifikate ist der Datenstrom auch für uns verschlüsselt und der Schutz beschränkt sich auf Volumenangriffe via Layer 3/4.

Können SSL-Zertifikate verschiedener Anbieter benutzt werden?

Selbstverständlich könen Sie für verschiedene Domains SSL-Zertifikate verschiedener Anbieter benutzen, selbst LetsEncrypt-Zertifikate sind mit anderen Zertifikaten mischbar.

Was ist anders als z.B. beim Cloudflare-DDoS-Schutz?

Unser persönlicher DDoS-Support hilft Ihnen, auch hartnäckige Angriffe zu überstehen. Im Gegensatz zu Cloudflare lassen wir z.B. Google-Crawler und Social Media wie Facebvook, Twitter, Instagram u.a. durch und haben die größten Payment-Provider auf unserer Whitelist, damit Payment-Prozesse von Ecommerce reibunsglos funktionieren.

Im Gegensatz zu Cloudflare ist unser DDoS-Schutz "Always On" und muss nicht extra aktiviert werden, auch eine Cookie-basierte "Challenge" muss nicht gelöst werden; ihre Webseiten sind für die User normal zu benutzen.

Wie erhalte ich die echte IP der Webseitenbesucher?

Umbrella benutzt mehrere Header, um den dahinter liegenden Webseiten die wahre IP der Vesucher mitzuteilen; folgende Header werden aus Kompatibilitätsgrunden zu bestehenden Lösungen mit der wahren IP an Webserver übermittelt (eigeen Header können auf Wunsch eingerichtet werden):

X-Real-IP         (Standard-Header)
CF-Connecting-IP  (CloudFlare-Header)
Client-IP         (custom Header)
X-Forwarded-For   (Standard-Header)

Apache

mod_remoteip ( ab Apache 2.4 zu bevorzugen )

nach der Umstellung muss das LogFormat noch angepasst werden (Apache 2.4), siehe Serverfault

# enable module
a2enmod remoteip

#
# /etc/apache2/mods-enabled/remoteip.conf
#

RemoteIPHeader X-Real-IP
# RemoteIPTrustedProxy -> IP or CIDR, multiple times
RemoteIPTrustedProxy 1.2.3.4   # proxy1 
RemoteIPTrustedProxy 3.4.5.6   # proxy2
RemoteIPTrustedProxy 5.6.70/24 # proxy cidr


# nur fuer lokale addressen
#RemoteIPInternalProxy 192.168.123.0/24     
#RemoteIPInternalProxy 192.168.124.0/24     


# endable conf 
a2enconf remoteip


#
#
#

service apache2 restart


# ------------------------------------------------
#
# nedded adjustment (change %h (original) -> %a )
# 

LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined


# ------------------------------------------------

mod_rpaf (obsolete ab apache 2.4)

  • nimmt die letzte IP vom X-Forwarded-For - Header
  • ersetzt REMOTE_ADDR damit
  • obsolete ab Apache 2.4
# /etc/apache2/mods-enabled/rpaf.conf 

RPAFenable On
RPAFsethostname On
RPAFproxy_ips IP.VOM.REVERSE.PROXY
RPAFheader X-Forwarded-For # or insert custom headers

sehr hackish, Backup-Lösung für ServerConf oder htaccess

# hackish, somewhat

SetEnvIf CF-Connecting-IP "^(\d{1,3}+\.\d{1,3}+\.\d{1,3}+\.\d{1,3}+).*" XFF_CLIENT_IP=$1
RequestHeader set REMOTE_ADDR %{XFF_CLIENT_IP}e

Nginx

  1. Lösung: realip - module (doc)
server {
  ...
  # if behind proxy
  real_ip_header X-REAL-IP;    # header mit der wahren IP des Client
  set_real_ip_from 12.34.56.78/28;  # Umbrella-Server-IP / CIDR
  ...
  }

IIS

  1. Lösung: Microsoft beschreibt in einem "Enhanced Logging for IIS 8.5" die Möglichkeit, einen Custom Header, den unser System bei jedem Aufruf mitliefert, ins Logfile zu schreiben.

Magento

# app/etc/local.xml

<remote_addr_headers><!-- list headers that contain real client IP if webserver is behind a reverse proxy -->
           <header1>HTTP_X_REAL_IP</header1>
</remote_addr_headers>

Piwik

# config/config.ini.php


[General]
; if behind SSL-Proxy
assume_secure_protocol = 1 

; Uncomment line below if you use a standard proxy
;proxy_client_headers[] = HTTP_X_FORWARDED_FOR
;proxy_host_headers[] = HTTP_HOST

; Uncomment line below if you use CloudFlare
;proxy_client_headers[] = HTTP_CF_CONNECTING_IP

PHP generisches CodeSnippet

  • als Include im Header:
# change_remote_addr.php

<?php

if (isset($_SERVER['HTTP_CF_CONNECTING_IP'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_CF_CONNECTING_IP'];
    # alternativ: X_REAL_IP, HTTP_CLIENT_IP
}

# debug-output
# echo  $_SERVER['REMOTE_ADDR'];

?>
## FTP-Login ## Warum seid Ihr nicht auf Facbook? [Darum](http://www.aftenposten.no/meninger/kommentar/Dear-Mark-I-am-writing-this-to-inform-you-that-I-shall-not-comply-with-your-requirement-to-remove-this-picture-604156b.html) "If liberty means anything at all", British George Orwell wrote in the preface to Animal Farm, "it means the right to tell people what they do not want to hear." Und Facebook ist alles andere als frei, unabhängig und liberal.