10 de diciembre de 2016

MuyComputerPRO

Mitos sobre IPS y firewall como sistemas de defensa frente a ataques DDoS

Mitos sobre IPS y firewall como sistemas de defensa frente a ataques DDoS

Mitos sobre IPS y firewall como sistemas de defensa frente a ataques DDoS
marzo 01
16:26 2015

Bipin Mistry

Bipin Mistry, vicepresidente de Gestión de Producto de Corero.

Ya es hora de poner fin a los mitos que con frecuencia se presentan al momento de elegir una solución de seguridad de red para proteger nuestros activos contra los ataques DDoS. A saber:

  • Mito nº1: Un IPS puede proteger contra ataques de Denegación de Servicio Distribuida (DDoS).
  • Mito nº 2: Un Firewall o cortafuegos de próxima generación puede ser una primera línea de defensa contra ataques DDoS.

¿Cree usted que las mayores instituciones financieras, compañías de juego y grandes empresas que han sido objeto de un ataque DDoS no tenían desplegado un firewall o una solución IPS? Por supuesto que sí … sin embargo, ellos aún son “DDoSed”.

No obstante, permítanme añadir un punto de vista técnico sobre todo esto para desmitificar dichos mitos. Antes de hablar de soluciones para la protección contra ataques DDoS, es conveniente entender primero qué tipos de ataques existen en la actualidad. De forma concisa estos son los tres principales:

  • Volumétricos por Inundación (TCP SYN, UDP, e inundaciones HTTP).
  • Ataques Reflexivos (NTP, DNS, SSDP/UPnP, Chargen, SNMP); tenga en cuenta que éstos son casi siempre amplificados.
  • Agotamiento de recursos (tráfico fragmentado y mal formado, Bajo y solicitudes lentas).

Vamos a pensar en cómo un atacante se aseguraría de que estos asaltos llegan con éxito a sus objetivos: Internet frente a servidores y servicios. Los atacantes comienzan abordando los puertos que se suelen encontrar abiertos en los firewalls: 80, 53, 25 y 443, por nombrar algunos. Luego, los atacantes suelen emplear vectores de amenazas que explotan las debilidades en la capa de cabecera de la red/aplicación.

Mecanismos de protección proporcionados por los cortafuegos y Sistemas de Prevención de Intrusiones

Un firewall es un dispositivo de estado completo que está diseñado y configurado para bloquear los puertos no deseados. Pero, los puertos 80, 53, 25 y 443 siempre están abiertos, ya que son los puntos de entrada para el tráfico de desarrollo de servicio deseado. Los ataques DDoS, mencionados anteriormente, se producen a través de estos puertos abiertos y, por lo tanto, son transparentes para los cortafuegos.

Por otra parte, los ataques por inundación volumétricos explotan precisamente la naturaleza state full del firewall para llenar las tablas de estado con volúmenes de tráfico no deseado, repercutiendo en el paso del tráfico legítimo. ¿Le gustaría que ese tipo de cuello de botella actuase como su “primera línea de defensa”?

Los IPS, por su parte, se despliegan en lo más profundo de la red, normalmente, detrás del firewall. Estos sistemas están diseñados para prevenir intrusiones como, ataques al servidor, inyecciones de código, o intentos de cross site scripting, entre otros; y, por tanto, realizan una inspección profunda de paquetes (DPI) para evitar estas intrusiones, que se producen principalmente en la capa de aplicación.

Ahora bien, si un IPS se viese obligado a tener que lidiar con el tráfico DDoS, además de con el resto del tráfico, el dispositivo IPS no sería capaz de seguir el ritmo de la inspección de todo ello en los altos niveles de rendimiento requeridos, por lo tanto, daría lugar a otro cuello de botella. Más importante aún, un IPS opera sobre la filosofía de permitir únicamente el buen tráfico conocido. Bajo una carga pesada, esto a menudo puede dar lugar a falsos positivos.

La mayor parte de las funcionalidades de los IPS se están fusionando ahora en Firewalls de Próxima Generación. Sin embargo, ninguno de los fabricantes de  NGFW / NGIPS tratan el problema DDoS, lo que indica, por tanto, la necesidad de una solución dedicada independiente para la prevención de ataques DDoS.

Un sistema de mitigación de DDoS desplegado en línea y en el borde de la red es la protección más eficaz contra DDoS. Un sistema de mitigación de DDoS debe llevar a cabo inspecciones de control de tráfico (red y los encabezados de aplicación), no DPI, determinar si hay un ataque DDoS presente o no, y de forma instantánea mitigar un ataque a velocidades de línea de decenas de Gbps. Por otra parte, un sistema de mitigación de DDoS deberá funcionar con la filosofía de “no-hacer-daño” y solo actuar contra el mal tráfico conocido. El objetivo principal de esta filosofía es asegurar que un buen tráfico siempre llega, mientras se asegura de los efectos de los ataques DDoS se reducen al mínimo.

Como profesionales de la seguridad, tenemos que asegurarnos de que los mitos sobre que los cortafuegos y dispositivos IPS garantizan una protección DDoS no proliferan, dando una falsa sensación de seguridad, de la misma manera que las últimas víctimas de los ataques DDoS la tenían.

About Author

Elisabeth Rojas

Elisabeth Rojas

Articulos relacionados

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!