Jak skutecznie odeprzeć ataki DDoS?
2014-06-24 11:05
Przeczytaj także: Ataki ddos: jak chronić firmę?
2. Zakup firewalla lub systemu IPS
Obecnie praktycznie każdy dostępny na rynku firewall czy system IPS jest wyposażony w pewne funkcje zabezpieczające sieć przed atakami DDoS. Zaawansowane zapory nowej generacji (NGFW, ang. Next Generation Firewall) oferują usługi IPS oraz ochrony przed atakami DDoS i potrafią poradzić sobie z wieloma tego rodzaju zagrożeniami. Połączenie firewalla, systemu IPS i ochrony przed atakami DDoS w jednej obudowie ułatwia zarządzanie infrastrukturą. Naraża jednak urządzenie na przeciążenie intensywnymi atakami DDoS, a także może nie dysponować mechanizmami wykrywania wyrafinowanych ataków w warstwie 7, dostępnych w rozwiązaniach innego typu. Kolejnym mankamentem jest fakt, że włączenie ochrony przed atakami DDoS w firewallu lub systemie IPS może obniżyć ogólną wydajność danego urządzenia, co zmniejsza przepustowość sieci i zwiększa opóźnienia odczuwane przez użytkowników końcowych.
3. Zakup dedykowanego urządzenia do ochrony przed atakami DDoS
Dedykowane urządzenia fizyczne instalowane w samym centrum przetwarzania danych bądź w przedsiębiorstwie służą do wykrywania i powstrzymywania podstawowych (warstwy 3 i 4) oraz zaawansowanych (warstwa 7) ataków DDoS. Wdrożenie takiego urządzenia w głównym punkcie wejścia całego ruchu WWW umożliwia blokowanie zarówno ataków masowych, jak i monitorowanie całego ruchu wchodzącego do sieci i ją opuszczającego w celu wykrywania wzorców podejrzanych zachowań w warstwie 7. Koszt nabycia takiego urządzenia jest z góry ustalony i taki sam niezależnie od częstotliwości odpierania ataków. Minusem takiego rozwiązania jest konieczność zainstalowania i skonfigurowania nowego urządzenia w centrum przetwarzania danych bądź serwerowni oraz późniejszego nim zarządzania. Ponadto modele niższej klasy mogą sobie nie poradzić z najbardziej intensywnymi masowymi atakami. Trzeba też pamiętać, że wiele produktów wymaga regularnych aktualizacji sygnatur ataków.
Dedykowane sprzętowe rozwiązania do zwalczania ataków DDoS dostępne są w dwóch głównych wersjach – operatorskiej (Carrier) i korporacyjnej (Enterprise). Wersje operatorskie to duże, bardzo drogie urządzenia przeznaczone do wykorzystania w sieciach globalnych dostawców Internetu. Większość przedsiębiorstw pragnących zabezpieczyć swoje prywatne centra przetwarzania danych zwykle sięga po modele korporacyjne. Urządzenia dostępne obecnie na rynku potrafią poradzić sobie z dużym, intensywnym atakiem i chronią w pełni warstwy 3, 4 oraz 7. Można je również zastosować jako uzupełnienie podstawowej ochrony przed masowymi atakami DDoS, zapewnianej przez dostawcę Internetu, o wykrywanie i dławienie ataków w warstwie 7. Chociaż – w odróżnieniu od rozwiązań hostowanych – urządzenia te wymagają poniesienia pewnych kosztów inwestycyjnych, w dalszej perspektywie okazują się zdecydowanie tańsze, ponieważ nie występują żadne opłaty dodatkowe za ochronę przed intensywnymi atakami.
Przedsiębiorstwa powinny szukać urządzeń antyDDoS, które wykorzystują do wykrywania zagrożeń adaptacyjne metody analizy zachowania. Takie urządzenia „uczą się” normalnej aktywności aplikacji, po czym wykorzystują te dane jako punkt odniesienia analizy ruchu w sieci. Takie podejście do ochrony aplikacji ma tę zaletę, że chroni użytkowników przed nieznanymi atakami typu zero-day. Urządzenie nie musi czekać na aktualizację sygnatur, aby zauważyć podejrzany ruch.
Ataki DDoS stają się coraz większym problemem praktycznie wszystkich przedsiębiorstw, niezależnie od ich wielkości.
Potencjalne zagrożenia i ich intensywność są coraz poważniejsze w miarę podłączania do Internetu kolejnych urządzeń, w tym tabletów i telefonów komórkowych. Jeśli firma posiada jakikolwiek serwis WWW, znajduje się w gronie potencjalnych celów ataku. Z uwagi na postępującą ewolucję ataków DDoS przedsiębiorstwa nie mogą już polegać wyłącznie na ochronie zapewnianej przez dostawcę Internetu. Muszą już teraz podjąć konkretne kroki, które lepiej przygotują je na przyszłość i zapewnią proaktywną obronę sieci oraz usług aplikacyjnych.
Mariusz Rzepka, dyrektor regionalny na Polskę, Białoruś i Ukrainę
Przeczytaj także:
Gigantyczny atak DDoS w Chinach
1 2
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)