L'appliance UTM (Unified Threat Management) con Intrusion Prevention (IPS) abilitata ha la capacità di prevenire un attacco DDoS? Ho letto alcuni articoli e nessuno di loro ha una spiegazione perfetta.
No, generalmente no, anche se ovviamente dicono che possono.
Il ragionamento -
Per definizione, un DDoS - in fase di distribuzione - sfrutta i punti di attacco multipli per generare un livello di traffico che travolge la vittima. A differenza di un DoS, che può fare affidamento su trucchi intelligenti e stack IP fragili per causare problemi basati sull'analisi del traffico, un DDoS riguarda esclusivamente il volume.
Diciamo che hai un grande sito seduto alla fine di un link da 10 Gigabit. Il tuo ISP, ovviamente, può gestire un volume molto più alto, ma quando il router si connette al router, consente solo 10 Gbps.
Ora un utente malintenzionato invia 321 Gbps di traffico a te. Cosa farà la tua UTM? Può funzionare solo con il magro flusso di 10 Gbps, e il massimo che può fare è girarlo - ma a quel punto, il danno è già stato fatto. Il tuo traffico legittimo è già interrotto e probabilmente non lo stai facendo perché la linea è occupata.
Per la protezione da DDoS, è necessario rivolgersi a qualcuno come Prolexic (ora parte di Akamai, ma Akamai fa anche altre cose, quindi uso il loro vecchio nome per ridurre l'ambiguità). Questi provider hanno una larghezza di banda enorme e durante un attacco il traffico viene reindirizzato attraverso di essi e solo loro possono inviare il traffico a te. Possono tamponare l'attacco e cercare di identificare e rilasciare il brutto traffico prima che attraversi il tuo puny link da 10 Gig.
Non dubito che molti dispositivi UTM continuino a dire che possono essere d'aiuto con DDoS. La mia macchina sostiene anche di essere resistente alla ruggine, ma ho macchie di ruggine. Un vero DDoS non può essere mitigato nell'endpoint e gli UTM sono quasi sempre nell'endpoint.
Nessuna singola misura può efficacemente prevenire gli attacchi DDoS. Tuttavia, è possibile reindirizzare il traffico o riconfigurare l'infrastruttura di rete (sia logica che fisica, che potrebbe causare un po 'di sovraccarico, ma comunque, la disponibilità è fondamentale) nel tentativo di consegnare i contenuti e ridurre il traffico DDoS in entrata.
Il motivo per cui DDoS è una tale minaccia persistente è che, oltre alla sua origine esterna al tuo data center, il traffico DDoS può anche provenire dall'interno del data center. In questo caso, IDS e IPS, che sono tradizionalmente collocati ai confini, sono entrambi inutili in questo caso. Quello che segue è uno scenario in cui possono verificarsi attacchi DDoS interni e sono necessari meccanismi di prevenzione alternativi:
Un certo numero di data center è sotto provisioning, il che significa che un uplink che collega più subnet ha la stessa capacità di trasmissione di un singolo dispositivo che risiede in ciascuna sottorete. Di conseguenza, se quattro macchine iniziano a estrarre 1 GB di dati ciascuno su un uplink da 1 GB, il collegamento sarà saturo e scollegherà efficacemente le subnet associate dal resto del data center. Questo è un DDoS interno, forse uno per una cattiva progettazione architettonica in questo caso. Tuttavia, sfruttando questa debolezza progettuale, gli aggressori possono semplicemente identificare uno di questi uplink sotto provisioning e le subnet connesse, iscriversi legittimamente ad un account (ad esempio su Amazon EC2) per ospitare alcune macchine virtuali al suo interno e iniziare a trasmettere i dati ad un macchina mirata in una sottorete adiacente tramite il collegamento vulnerabile. Il risultato è un attacco DDoS. Non ci sarebbe modo di dire che succederà. Nessuna singola misura di protezione può "bloccare" istantaneamente il traffico in arrivo.
Alcuni data center implementano il protocollo heartbeat per rilevare la congestione. La congestione potrebbe accadere nel momento in cui l'utente malintenzionato cerca di invadere le sottoreti vulnerabili, quindi idealmente questo è il momento in cui dovresti iniziare a reindirizzare il traffico e riconfigurare la rete. Tuttavia, gli attaccanti esperti presteranno attenzione a non allagare completamente la rete con le sonde. Di conseguenza, l'heartbeat non rileva una quantità di traffico insolita e pertanto non attiva uno standby.
In realtà, la domanda riguarda la possibilità o meno, non su come o quanto, e quindi i sistemi IDS e UTM rivendicano un certo livello di difesa DDoS. Difesa non completa, perché in teoria non esiste una difesa completa contro l'attacco DDoS. Quasi tutti i moderni firewall e sistemi di protezione dalle intrusioni (IPS) rivendicano un certo livello di difesa DDoS.
Alcuni dispositivi UTM (Unified Threat Management) o NGFW (Next Generation Firewall) offrono servizi Anti-DDoS e possono mitigare molti attacchi DDoS.
I dispositivi UTM e i dispositivi IPS possono identificare efficacemente i messaggi di attacco DDoS attraverso l'uso di tecniche avanzate, la maggior parte di questi dispositivi sono solitamente progettati per condurre un'analisi approfondita dello stato di tutti i messaggi.