¿Se acabarán los ataques DoS?
Combatir los ataques de denegación de servicio distribuida (DDoS) es uno de los problemas más difíciles a los que se enfrentan los responsables de seguridad. Hay start-ups que dicen contar con soluciones que potegen contra este tipo de ataques, pero los expertos están recibiendo los productos con cierto escepticismo.
Durante los últimos tres meses, cuatro pequeñas firmas especializadas –Arbor Networks, Asta Networks, Captus Networks y Mazu Networks– han comenzado a lanzar soluciones capaces de identificar los ataques DDoS y de ayudar a los usuarios a impedirlos. En la práctica, las cosas no están tan claras.
Los hackers lanzan ataques DDoS instalando código “zombie” en numerosos servidores mediante herramientas de freeware disponibles. El código les permite usar tales servidores para lanzar un bombardeo de paquetes sobre el sitio de la víctima. Esto es lo que el adolescente canandiense Mafiaboy hizo hace casi dos años cuando atentó contra Yahoo, Amazon.com, eTrade, CNN.com y otros sitios Web.
Hasta el día de hoy, combatir tales ataques ha obligado a los ingenieros de redes e ISP emplear horas en analizar manualmente logs de tráfico, intentando filtrar las intrusiones y legitimando el tráfico cliente. Los cuatro start-ups citados aseguran que sus equipos pueden automatizar esta tarea y proporcionar una respuesta a tiempo a esos ataques.
¿Estamos salvados?
No todavía. Incluso si este tipo de soluciones funciona como promete, ninguno está presente todavía en las redes de producción de los ISP o en los centros de hosting Web. Y hay sólo hay algunos indicios, la mayoría anecdóticos, de que ofrezcan el nivel de seguridad requerido. Lo dice con ironía el gurú de seguridad Marcus Ranum, inventor del primer cortafuegos comercial y algunas de las primeras soluciones de detección de intrusiones: “Soy escéptico. Ademas, detectar ataques DDoS no es difícil: el sitio Web se viene abajo”.
La cuestión es detectar un ataque DDoS con el tiempo suficiente y darle la respuesta automatizada adecuada a fin de tener la oportunidad de sobrevivir. Y ninguna de las cuatro flamantes soluciones ha probado todavía que puedan hacer esto.
En la práctica
Los equipos de Arbor, Asta y Mazu son un tanto similares en diseño. Cada dispositivo está directamente conectado o situado frente a un router o conmutador, e instalados en varios puntos con grandes volúmenes de tráfico, como puntos de acceso a las redes de los ISP o junto a grandes servidores Web. Los dispositivos monitorizan y analizan el tráfico y pueden reconocer los paquetes que son parte de un ataque DDoS entrante, aseguran los fabricantes. Pueden además sugerir el modo en que los routers del ISP pueden filtrar los paquetes.
El equipo de Captus también detecta y filtra tráfico DDoS, pero hace las veces de un cortafuegos de gran ancho de banda. Como tal, se instala en el perímetro de Internet, típicamente en sitios de hospedaje Web y localizaciones de grandes usuarios.
El equipamiento de Mazu, llamado TrafficMaster Inspector for DDoS, está siendo probado por Equinix, firma que gestiona seis puntos de acceso a Internet para conexiones peer-to-peer para ISP, telecos y grandes empresas. Equinix tiene una red paralela que transporta trafico duplicado con propósitos experimentales. El equipo está en pruebas en al menos otras dos redes, con resultados similares: refuerza pero no es concluyente.
Start-ups anti-DDoS
Compañía Producto Web
---------------------------------------------------------------------------------------
Arbor Networks Peakflow DoS www.arbornetworks.com
Asta Networks Vantage System www.astanetworks.com
Captus Networks CaptIO/CaptIO-G www.captusnetworks.com
Mazu Networks TrafficMaster www.mazunetworks.com
Inspector for DDoS
TrafficMaster
Enforce for DDoS
DDoS
--------
Mediante los ataques Distributed Denial of Service los hacker introducen código malicioso en varios servidores, que comienzan a actuar como zombies inundando una misma dirección IP de paquetes hasta que la inutilizan.
Qué preguntar a los suministradores
- ¿Sirven para los ataques DDoS o sólo para los DoS?
- ¿Pueden diferenciar el tráfico “bueno” del “malo”?
- ¿Qué nivel de automatización ofrecen las respuestas al ataque DDoS?
Durante los últimos tres meses, cuatro pequeñas firmas especializadas –Arbor Networks, Asta Networks, Captus Networks y Mazu Networks– han comenzado a lanzar soluciones capaces de identificar los ataques DDoS y de ayudar a los usuarios a impedirlos. En la práctica, las cosas no están tan claras.
Los hackers lanzan ataques DDoS instalando código “zombie” en numerosos servidores mediante herramientas de freeware disponibles. El código les permite usar tales servidores para lanzar un bombardeo de paquetes sobre el sitio de la víctima. Esto es lo que el adolescente canandiense Mafiaboy hizo hace casi dos años cuando atentó contra Yahoo, Amazon.com, eTrade, CNN.com y otros sitios Web.
Hasta el día de hoy, combatir tales ataques ha obligado a los ingenieros de redes e ISP emplear horas en analizar manualmente logs de tráfico, intentando filtrar las intrusiones y legitimando el tráfico cliente. Los cuatro start-ups citados aseguran que sus equipos pueden automatizar esta tarea y proporcionar una respuesta a tiempo a esos ataques.
¿Estamos salvados?
No todavía. Incluso si este tipo de soluciones funciona como promete, ninguno está presente todavía en las redes de producción de los ISP o en los centros de hosting Web. Y hay sólo hay algunos indicios, la mayoría anecdóticos, de que ofrezcan el nivel de seguridad requerido. Lo dice con ironía el gurú de seguridad Marcus Ranum, inventor del primer cortafuegos comercial y algunas de las primeras soluciones de detección de intrusiones: “Soy escéptico. Ademas, detectar ataques DDoS no es difícil: el sitio Web se viene abajo”.
La cuestión es detectar un ataque DDoS con el tiempo suficiente y darle la respuesta automatizada adecuada a fin de tener la oportunidad de sobrevivir. Y ninguna de las cuatro flamantes soluciones ha probado todavía que puedan hacer esto.
En la práctica
Los equipos de Arbor, Asta y Mazu son un tanto similares en diseño. Cada dispositivo está directamente conectado o situado frente a un router o conmutador, e instalados en varios puntos con grandes volúmenes de tráfico, como puntos de acceso a las redes de los ISP o junto a grandes servidores Web. Los dispositivos monitorizan y analizan el tráfico y pueden reconocer los paquetes que son parte de un ataque DDoS entrante, aseguran los fabricantes. Pueden además sugerir el modo en que los routers del ISP pueden filtrar los paquetes.
El equipo de Captus también detecta y filtra tráfico DDoS, pero hace las veces de un cortafuegos de gran ancho de banda. Como tal, se instala en el perímetro de Internet, típicamente en sitios de hospedaje Web y localizaciones de grandes usuarios.
El equipamiento de Mazu, llamado TrafficMaster Inspector for DDoS, está siendo probado por Equinix, firma que gestiona seis puntos de acceso a Internet para conexiones peer-to-peer para ISP, telecos y grandes empresas. Equinix tiene una red paralela que transporta trafico duplicado con propósitos experimentales. El equipo está en pruebas en al menos otras dos redes, con resultados similares: refuerza pero no es concluyente.
Start-ups anti-DDoS
Compañía Producto Web
---------------------------------------------------------------------------------------
Arbor Networks Peakflow DoS www.arbornetworks.com
Asta Networks Vantage System www.astanetworks.com
Captus Networks CaptIO/CaptIO-G www.captusnetworks.com
Mazu Networks TrafficMaster www.mazunetworks.com
Inspector for DDoS
TrafficMaster
Enforce for DDoS
DDoS
--------
Mediante los ataques Distributed Denial of Service los hacker introducen código malicioso en varios servidores, que comienzan a actuar como zombies inundando una misma dirección IP de paquetes hasta que la inutilizan.
Qué preguntar a los suministradores
- ¿Sirven para los ataques DDoS o sólo para los DoS?
- ¿Pueden diferenciar el tráfico “bueno” del “malo”?
- ¿Qué nivel de automatización ofrecen las respuestas al ataque DDoS?
