Proteger las aplicaciones web y las infraestructuras de los servidores de los ataques DDoS ya no es una opción para las organizaciones que tienen presencia en línea. La llegada de los servicios de DDoS por encargo ha bajado el listón para aquellos capaces de ejecutar un ataque, convirtiendo a todas las entidades web en un objetivo potencial.
Un ataque DDoS exitoso impacta negativamente en la reputación de una organización, además de dañar las relaciones con los clientes existentes. Las pérdidas financieras significativas pueden ascender a 40.000 dólares por hora para las grandes empresas. Las entidades más pequeñas pueden enfrentarse a decenas de miles de dólares en daños, mientras que los ataques más prolongados y no mitigados tienen el potencial de acabar con el negocio.
En términos generales, hay varios enfoques para detener los ataques DDoS. Las soluciones más comunes se basan en métodos «hágalo usted mismo» (DIY), dispositivos de mitigación in situ y soluciones basadas en la nube fuera de las instalaciones.
Aunque cada uno ofrece sus propias ventajas, su eficacia general para detener los DDoS se basa en una serie de factores. Estos incluyen la escalabilidad y las capacidades de filtrado, el coste y la facilidad de integración, así como la facilidad de uso y la compatibilidad del alojamiento.
Do It Yourself | On-Premise | Off-Premisa | |
CAPEX | Nada | Caro | Moderado |
OPEX | Mínimo | Caro | Moderado |
Método de despliegue | A demanda | A demanda | Según demanda /siempre en |
Tiempo de mitigación | Significativo | Significativo | Moderado /ninguno |
Escalabilidad | Ninguna | Limitada | Virtualmente ilimitada |
Filtrado | Limitado | Significativo | Significativo |
Facilidad de uso | Compleja | Moderada | Muy fácil |
Integración | Compleja | Moderada | Fácil |
Compatibilidad con opciones de alojamiento |
Cualquier cosa | Propiedad y dedicación | Cualquier cosa |
Protección DIY
La protección DIY es ampliamente considerada como un enfoque débil para la mitigación de DDoS. En términos prácticos, se basa en el establecimiento de umbrales de tráfico estáticos (por ejemplo, utilizando mod_evasive) y reglas de listas negras de IP indiscriminadas. Se prefiere sobre todo por razones presupuestarias y rara vez es considerado por las empresas en línea.
Una de las principales desventajas de las soluciones DIY es que a menudo se emplean como una medida reactiva. Casi siempre, una configuración se ajusta manualmente después de una ola de ataques inicial. Aunque una solución de este tipo podría detener futuros ataques similares, la primera oleada exitosa suele ser suficiente para causar horas de inactividad y otros problemas.
Además, los perpetradores pueden modificar fácilmente sus métodos, atacando desde fuentes dispares y utilizando diferentes vectores. Esto mantiene a su organización en una posición defensiva, en la que tiene que desplegar repetidamente configuraciones adicionales, al tiempo que intenta recuperarse de múltiples eventos de inactividad. Esto puede durar varios días.
El verdadero problema de cualquier enfoque DIY, sin embargo, es que siempre está restringido por el ancho de banda de la red, lo que limita gravemente la escalabilidad necesaria para detener los ataques DDoS de la capa de red.
Con la mayoría de los ataques que registran más de 10Gbps y pocas organizaciones que tienen más de un enlace ascendente de 10Gbps, la solución DIY está casi siempre condenada al fracaso.
Aparatos in situ
El enfoque in situ para la protección DDoS utiliza aparatos de hardware desplegados dentro de una red, colocados delante de los servidores protegidos.
Estos aparatos suelen tener capacidades avanzadas de filtrado de tráfico armadas con una combinación de bloqueo geográfico, limitación de velocidad, reputación de IP e identificación de firmas.
Los aparatos de mitigación típicos pueden utilizarse eficazmente para filtrar el tráfico entrante malicioso. Esto los convierte en una opción viable para detener los ataques a la capa de aplicación.
Sin embargo, hay varios factores que hacen inviable confiar en los dispositivos:
- La escalabilidad sigue siendo un problema. La capacidad del hardware para gestionar grandes cantidades de tráfico DDoS está limitada por el enlace ascendente de la red, que rara vez supera los 10 Gbps (ráfaga).
- Los dispositivos locales deben desplegarse manualmente para detener un ataque. Esto afecta al tiempo de respuesta y a la mitigación, y a menudo hace que las organizaciones sufran un tiempo de inactividad antes de que se pueda establecer un perímetro de seguridad.
- Por último, el coste de comprar, instalar y mantener el hardware es relativamente alto, especialmente si se compara con una opción menos costosa y más eficaz basada en la nube. Esto hace que los dispositivos de mitigación sean una compra poco práctica, a menos que una organización esté obligada a utilizar soluciones locales (por ejemplo, por regulaciones específicas del sector).
En este último escenario, el hardware suele formar parte de un despliegue híbrido, en el que se complementa con soluciones basadas en la nube capaces de defender contra los ataques de la capa de red.
Soluciones externas basadas en la nube
Las soluciones externas son proporcionadas por los ISP o están basadas en la nube. Los ISP suelen ofrecer únicamente protección de la capa de red, mientras que las soluciones basadas en la nube proporcionan las capacidades de filtrado adicionales necesarias para detener los ataques de la capa de aplicación. Ambas ofrecen una escalabilidad prácticamente ilimitada, ya que se despliegan fuera de una red y no están restringidas por las limitaciones del enlace ascendente identificadas anteriormente.
Generalmente, las soluciones de mitigación fuera de las instalaciones son servicios gestionados. No requieren ninguna de las inversiones en personal de seguridad ni el mantenimiento que exigen las soluciones DIY y el hardware in situ. También son significativamente más rentables que las soluciones locales, a la vez que proporcionan una mejor protección contra las amenazas de la capa de red y de aplicación.
Las soluciones off-premise se despliegan como un servicio bajo demanda o siempre activo, y la mayoría de los proveedores líderes del mercado ofrecen ambas opciones.
Opción bajo demanda
Habilitada por el redireccionamiento BGP, la opción bajo demanda detiene los ataques de la capa de red, incluidos los que se dirigen directamente al servidor de origen y otros componentes de la infraestructura de la red central. Entre ellos se incluyen las inundaciones SYN o UDP, que son ataques volumétricos diseñados para obstruir las tuberías de la red con paquetes de datos falsos.
Opción siempre activa
La opción siempre activa se habilita a través del redireccionamiento DNS. Detiene los ataques de la capa de aplicación que intentan establecer conexiones TCP con una aplicación en un esfuerzo por agotar los recursos del servidor. Estos incluyen inundaciones HTTP, inundaciones DNS y varios ataques de baja y lenta (por ejemplo, Slowloris).
Vea cómo Imperva DDoS Protection puede ayudarle con los ataques DDoS.
Imperva DDoS protection
Imperva mitiga una inundación HTTP masiva: 690.000.000 de peticiones DDoS desde 180.000 IPs de botnets.
Imperva proporciona una protección DDoS fácil de usar, rentable y completa que supera los límites de la tecnología de mitigación basada en la nube.
A través de una combinación de soluciones bajo demanda y siempre activas, una red global que ofrece una escalabilidad casi ilimitada y soluciones de filtrado galardonadas para una mitigación transparente, Imperva protege completamente a sus clientes de cualquier tipo de ataque DDoS.
Visite aquí para obtener más información sobre los servicios de protección DDoS de Imperva.