MAPS Número 1 en Ciberseguridad

Cómo proteger el Stateful firewall de ataques DDoS

julio 19, 2021 admin 0 Comments

El firewall de hoy en día es un componente común y muy importante de la pila de seguridad de la red. Con su posición en el borde de la red, se le pide al firewall que haga muchas cosas más allá de bloquear las conexiones de red, como realizar NAT, terminación de VPN, protección contra virus y malware e incluso protección DDoS. Con cada tarea adicional, el cortafuegos se carga y se empuja más allá de sus límites o diseño. Esto es especialmente cierto en lo que respecta a la defensa DDoS. Debido a la naturaleza con estado de un firewall, es muy susceptible a los ataques DDoS de agotamiento del estado. Cuando se presiona, los proveedores de firewall recomendarán que no confíe en el firewall para la defensa DDoS. En su lugar, ellos y las mejores prácticas de la industria recomiendan que se implemente una solución de protección DDoS sin estado dedicada frente al firewall para protegerlo y los servicios detrás de él.

Arbor Edge Defense (AED) de NETSCOUT es una de esas soluciones. Implementado en las instalaciones, frente al firewall y utilizando tecnología de procesamiento de paquetes sin estado, AED puede detener todo tipo de ataques DDoS, especialmente los ataques de agotamiento del estado que amenazan la disponibilidad del firewall y otros dispositivos con estado detrás de él. AED puede actuar como una primera línea de defensa para bloquear también los ataques que no son DDoS, como el escaneo entrante o los ataques de fuerza bruta que quitan la carga del firewall. El DEA también puede actuar como última línea de defensa para bloquear los IOC salientes que el firewall no ha detectado.

¿Qué es la protección DDoS sin estado?

Las soluciones de ciberseguridad basadas en red utilizan dos métodos diferentes de inspección de paquetes.

Inspección de estado: también conocida como filtrado dinámico de paquetes, es una tecnología utilizada en la mayoría de los firewalls de próxima generación o sistemas de detección / prevención de intrusiones. Este método de inspección monitorea el estado de las conexiones activas conocidas y usa esta información para determinar qué paquetes de red permitir o bloquear. Este tipo de protección es buena para bloquear el acceso a aplicaciones específicas, escaneos de puertos, etc.

Inspección sin estado: con este método, a los paquetes se les permite la entrada a la red o se les niega el acceso según su dirección de origen o destino, o alguna otra información estática, como un valor particular en el encabezado de un paquete. (p. ej., encabezado regular). Este método de inspección del sistema operativo no rastrea las conexiones / sesiones individuales, sino que toma una decisión de “ir / no ir” paquete por paquete. Este tipo de inspección es mejor para detectar y bloquear ataques DDoS (es decir, agotamiento del estado de TCP) y bloquear los IoC basados ​​en la reputación de forma masiva.

leave a comment