Entradas populares

  • CISCO IOS 15.0
    Hace tiempo me preguntaba porque CISCO salto de la versión de IOS 12.4T, hacia la versión 15 directamente. Y estos días he encontrado la res...
  • ¿Dos fabricantes para doble barrera perimetral o solo uno?
    Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más s...
  • QoS en Paloalto for dummies
    Hola de nuevo, gracias a todos por los comentarios y/o correos. Os dejo un resumen para configurar calidad de servicio en un Paloalto.  Como...

lunes, 10 de diciembre de 2012

El cazador oculto: Arbor networks protección antiDDOS

 El cazador oculto(el guardian entre el centeno), es una obra de J. D. Salinger , que hace una metáfora de alguien que se carga a sus espaldas la responsabilidad de proteger a los niños, pero que a la vez se mantiene oculto.
Proteger y permanecer oculto, es lo que hace Arbor Networks, y sus equipos de protección ante ataques de denegación de servicio. Actualmente, existe una gran variedad de motivaciones por las cuales una organización se puede ver atacada:
Hacktivismo, protestas online, manipulación del mercado, cyberguerras, extornsion, cyberterrorismo, etc.
Pero cuantas formas hay de combatir estos ataques? Es seguro desviar todo nuestro tráfico a un centro de limpieza online? Son todos los mismo tipos de ataques? Esto lo puede hacer mi operadora por mí? Que diferencias hay entre un IPs y Arbor networks?
Las respuestas, evidentemente conducen a que es necesario contar con un equipo de contramedidas ante un ataque de denegación de servicio. El primer asunto, es dividir el problema para maximizar la protección. Esto se traduce en un equipo que se encarga de los ataques volumétricos (Peakflow) y otro que se encargan de los ataques más complejos orientados a explotar vulnerabilidades de aplicación o de spoofing(Pravail).
Esta división se da, pese que a todos los ataques quieren explotar un vector de ataque que deje a los recursos a proteger sin cpu, sin sockets o simplemente sin memoria. Con recursos, nos referimos a servidores, pero también a routers, firewalls, balanceadores, switches...etc. Todos pueden verse afectados, y con cualquiera de ellos, el o los ataques conseguirían el objetivo.
Bien, podríamos pensar que con un IPS podríamos parar estos ataques, pero alguien conoce algún IPS capaz de inspeccionar y proteger 1,5 Teras de tráfico en tiempo real? Básicamente, por como trabaja un IPS, y la latencia que puede añadir lo hace inviable. De ahí, es de donde nace la necesidad de crear un equipo donde haya diferentes capas de inteligencia, desde las medidas de comprobación más básicas a las más complejas. Cualquiera de las cuales puede descartar un tráfico, y además en aquellas que se tiene que comparar patrones se hace de una forma muy simple, permitiendo un gran rendimiento.
Añadir que estos equipos están pensados para no ser detectados, ser robustos y además no trabajan basándose en estados. Básicamente, buscan eliminar el máximo número de posibles vectores de ataque. Y aunque casi nadie los conoce, son los encargados de proteger de forma ANONYMA, de la mayoría de organizaciones importantes. Tanto directamente como indirectamente mediante los servicios de las operadoras.
Hth,
Robclav



No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)