¿Un dispositivo Unified Threat Management (UTM) con Prevención de intrusiones (IPS) habilitado tiene la capacidad de prevenir un ataque DDoS? He leído algunos artículos y ninguno de ellos tiene una explicación perfecta.
No, generalmente no, aunque, por supuesto, dicen que sí pueden.
El razonamiento -
Por definición, un DDoS (ser distribuido) está aprovechando los múltiples puntos de ataque para generar un nivel de tráfico que abruma a la víctima. A diferencia de un DoS, que puede depender de trucos inteligentes y pilas de IP frágiles para causar problemas basados en el análisis del tráfico, un DDoS tiene que ver con el volumen.
Digamos que tienes un sitio grande al final de un enlace de 10 Gigabit. Su ISP, por supuesto, puede manejar un volumen mucho más alto, pero cuando su enrutador se conecta a su enrutador, solo permiten 10 Gbps a través.
Ahora un atacante te envía 321 Gbps de tráfico . ¿Qué va a hacer tu UTM? Solo puede funcionar con el escaso goteo de 10 Gbps, y lo máximo que puede hacer es rechazarlo, pero en ese punto, el daño ya está hecho. Su tráfico legítimo ya está interrumpido y es probable que no llegue a usted porque la línea está ocupada.
Para protegerse contra DDoS, debe dirigirse a alguien como Prolexic (ahora parte de Akamai, pero Akamai también hace otras cosas, así que uso su antiguo nombre para reducir la ambigüedad). Estos proveedores tienen un ancho de banda masivo y, durante un ataque, redirecciona el tráfico a través de ellos, y solo ellos tienen permiso para enviarlo a usted. Pueden amortiguar el ataque e intentar identificar y eliminar el tráfico malo antes de que atraviese su pequeño enlace de 10 Gig.
No dudo que muchos dispositivos UTM sigan diciendo que pueden ayudar con DDoS. Mi auto también dice ser a prueba de óxido, pero tengo manchas de óxido. Una verdadera DDoS no se puede mitigar en el punto final, y los UTM casi siempre están en el punto final.
Ninguna medida individual puede prevenir eficazmente los ataques DDoS. Sin embargo, puede redireccionar el tráfico o reconfigurar la infraestructura de la red (tanto lógica como física, lo que puede causar un poco de sobrecarga, pero aún así, la disponibilidad es clave) en un intento de entregar su contenido y reducir el tráfico DDoS entrante.
La razón por la que DDoS es una amenaza tan persistente es que, además de que su fuente es externa a su centro de datos, el tráfico DDoS también puede provenir del centro de datos. Como tales, IDS e IPS, que tradicionalmente se ubican en las fronteras, son inútiles en este caso. El siguiente es un escenario en el que pueden ocurrir ataques DDoS internos y que se necesitan mecanismos preventivos alternativos:
Varios centros de datos tienen un suministro insuficiente, lo que significa que un enlace ascendente que conecta varias subredes tiene la misma capacidad de transmisión que un solo dispositivo que reside en cada una de las subredes. Como resultado, si cuatro máquinas comienzan a expulsar 1 GB de datos a través de un enlace ascendente de 1 GB, el enlace se saturará y desconectará efectivamente las subredes asociadas del resto del centro de datos. Eso es un DDoS interno, quizás uno por un diseño arquitectónico deficiente en este caso. Sin embargo, al utilizar esta debilidad en el diseño, los atacantes pueden simplemente identificar uno de estos enlaces ascendentes con aprovisionamiento insuficiente y las subredes conectadas, registrarse legítimamente en una cuenta (por ejemplo, en Amazon EC2) para alojar algunas máquinas virtuales en ella y comenzar a transmitir datos a un servidor. máquina seleccionada en una subred adyacente a través del enlace vulnerable. El resultado es un ataque DDoS. No habría manera de decir que va a suceder. Ninguna medida de protección individual puede "bloquear" instantáneamente el tráfico que viene.
Algunos centros de datos implementan el protocolo de latido para detectar la congestión. La congestión puede ocurrir en el momento en que el atacante novato está investigando si hay subredes vulnerables que las inunden, por lo que idealmente esta es la etapa en la que debería comenzar a redirigir su tráfico y reconfigurar la red. Sin embargo, los atacantes experimentados tendrán cuidado de no inundar completamente la red con sondas. Como resultado, el latido del corazón no detectará una cantidad inusual de tráfico y, por lo tanto, no activará un modo de espera.
En realidad, la pregunta es sobre o no, no sobre cómo o cuánto, y por lo tanto, los sistemas IDS y UTM reclaman algún nivel de defensa DDoS. No es una defensa completa, porque en teoría no hay una defensa completa contra el ataque DDoS. Casi todos los sistemas modernos de protección contra intrusos y cortafuegos (IPS) reclaman algún nivel de defensa DDoS.
Algunos dispositivos Unified Threat Management (UTM) o los firewalls de próxima generación (NGFW) ofrecen servicios Anti-DDoS y pueden mitigar muchos ataques DDoS.
Los dispositivos UTM y los dispositivos IPS pueden identificar eficazmente los mensajes de ataque DDoS mediante el uso de técnicas avanzadas. La mayoría de estos dispositivos generalmente están diseñados para realizar una inspección exhaustiva y exhaustiva de todos los mensajes.