DOCUMENTO TÉCNICO

Diagramas y documentación técnica de arquitectura DDoS

Updated October 01, 2020
  • Share via AddThis

Introducción

Durante más de 20 años, F5 ha trabajado con sus clientes para defender sus aplicaciones contra los ataques de denegación de servicio distribuidos (DDoS). Con el tiempo, F5 ha desarrollado capacidades de productos fundamentales para permitir que las aplicaciones y servicios puedan mantener la resiliencia contra los ataques DDoS. Muchos ataques de alto perfil desde 2018 han hecho que los proveedores de servicios y los proveedores de servicios gestionados (MSP), las organizaciones financieras y las empresas rediseñen sus redes para incluir la protección contra DDoS. Trabajando con estos clientes, F5 ha desarrollado la arquitectura de referencia de DDoS Protection que incluye componentes en la nube y en las instalaciones.

La arquitectura de referencia incluye varios niveles de defensas locales para proteger las capas 3 a 7. El nivel de defensa de la red protege el DNS y las capas 3 y 4. Liberado del ruido de los ataques a la red, el nivel de defensa de las aplicaciones puede utilizar sus recursos de CPU para proteger las aplicaciones de capa superior. Este diseño permite a las organizaciones defenderse contra todo tipo de ataques DDoS y proporciona beneficios en todos los centros de datos de la organización. Por último, el componente de la nube de la solución DDoS Protection funciona como un mecanismo de seguridad para la mitigación de ataques volumétricos.

Las cuatro categorías de DDoS

Aunque el panorama de las amenazas DDoS está en constante evolución, F5 ha comprobado que los ataques siguen englobándose en cuatro tipos de ataque que presentan las siguientes características:

  • Volumétrico: un ataque basado en volúmenes que puede estar en la capa 3, 4 o 7. Los ataques en L3-4 suelen ser tráfico UDP falsificado.
  • Asimétrico: tráfico UDP de un solo lado o sin estado.
  • Computacional: ataque diseñado para consumir CPU y memoria, generalmente en L7 a través de TCP.
  • Basado en la vulnerabilidad: ataques que explota las vulnerabilidades del software.

Los mecanismos defensivos han evolucionado para hacer frente a estas diferentes categorías, y las organizaciones de alto perfil han aprendido a implementarlos en configuraciones específicas para maximizar su postura de seguridad. Trabajando con estas empresas y afinando sus componentes, F5 ha desarrollado una arquitectura de mitigación de DDoS recomendada que puede adaptarse al escalado específico del centro de datos y a los requisitos del sector.

Creación de una solución de protección DDoS

La siguiente arquitectura de referencia DDoS Protection se ha creado en torno a componentes conocidos del sector. Algunos pueden proporcionarlos otros vendedores y proveedores, pero otros son componentes específicos de F5.

Componentes de una arquitectura de protección DDoS

En la Figura 1 se asignan los componentes de la arquitectura DDoS con las cuatro categorías de ataques DDoS que mitigan.

Categoría de ataque Componente de mitigación
Volumétrico

Servicio de depuración basado en la nube

Centro de depuración (modelo distribuido/Anycast)

Base de datos de reputación IP

Blackhole

Flowspec

Asimétrico

Servicio de depuración basado en la nube

Centro de depuración (modelo distribuido/Anycast)

Base de datos de reputación IP

Blackhole

Flowspec

Computacional

Controlador de entrega de aplicaciones

Cortafuegos de red

Cortafuegos de aplicaciones web

Basado en la vulnerabilidad

Base de datos de reputación IP

Sistemas de prevención/detección de intrusiones (IPS/IDS)

Controlador de entrega de aplicaciones

Cortafuegos de aplicaciones web

Figura 1: Asignación de los componentes de mitigación de DDoS a los tipos de ataque

Servicio de depuración de DDoS basado en la nube

Un servicio de depuración de DDoS basado en la nube es un componente crítico de cualquier arquitectura de mitigación de DDoS. Cuando un atacante envía 50 Gbps de datos al punto de entrada de 1 Gbps de una organización, no importa la cantidad de equipo del que se disponga en las instalaciones dado que esto no resolverá el problema. El servicio en la nube, alojado en una auténtica nube pública o en el proveedor de servicios de ancho de banda de la organización, soluciona el problema separando lo que es obviamente malo de lo que es probablemente bueno.

Cortafuegos de red con conciencia de DDoS

El cortafuegos de red ha sido la piedra angular de la seguridad perimetral durante mucho tiempo. Sin embargo, muchos cortafuegos de red no son en absoluto resistentes a los ataques DDoS. De hecho, muchos de los cortafuegos que más se comercializan se pueden desactivar mediante los ataques de capa 4 más sencillos. El rendimiento bruto no es la respuesta si el cortafuegos no reconoce y mitiga el ataque.

Para un dispositivo de control de la seguridad basado en las capas 3 y 4, F5 recomienda a los arquitectos que opten por un cortafuegos de red de alta capacidad y consciente de los ataques DDoS. En concreto, los arquitectos deben buscar dar soporte a millones (no miles) de conexiones simultáneas y ser capaces de repeler varios ataques (por ejemplo, inundaciones de SYN) sin que el tráfico legítimo se vea afectado.

Controlador de entrega de aplicaciones

Los controladores de entrega de aplicaciones (ADC) proporcionan puntos estratégicos de control en la red. Cuando se eligen, aprovisionan y controlan adecuadamente, pueden reforzar significativamente la defensa contra DDoS. Por ejemplo, la naturaleza de proxy completo del ADC de F5 reduce las amenazas computacionales y basadas en la vulnerabilidad al validar protocolos comunes como HTTP y DNS. Por estas razones, F5 recomienda un ADC de proxy completo.

Cortafuegos de aplicaciones web con protección DDoS integrada

El cortafuegos de aplicaciones web es un componente de nivel superior que entiende y aplica la política de seguridad de la aplicación. Este componente puede ver y mitigar los ataques de la capa de aplicaciones, ya sean inundaciones HTTP volumétricas o ataques basados en vulnerabilidades. Varios proveedores ofrecen cortafuegos para aplicaciones web. Sin embargo, para una arquitectura de DDoS eficaz, F5 recomienda únicamente su propio módulo de cortafuegos de aplicaciones web por las siguientes razones:

  • El cortafuegos de aplicaciones web de F5 puede proporcionar servicios adicionales como la protección contra el pirateo, el «web scraping» y el cumplimiento de la normativa PCI.
  • Los clientes de F5 se benefician de utilizar una combinación de ADC y cortafuegos de aplicaciones web para aplicar la política de entrega de aplicaciones y de seguridad de las mismas de forma simultánea.
  • El ADC de F5 descarga e inspecciona el tráfico SSL. Al combinarlo con el cortafuegos de aplicaciones web, los clientes pueden consolidar la terminación SSL y el análisis de seguridad de la carga útil encriptada en un solo dispositivo.

Sistemas de detección y prevención de intrusiones

Los sistemas de detección y prevención de intrusiones (IDS/IPS) pueden desempeñar un papel importante en la mitigación de DDoS. F5 recomienda que la funcionalidad IDS/IPS no se implemente únicamente en una ubicación (por ejemplo, integrada en un cortafuegos de capa 4). Más bien, los IDS/IPS deben implementarse en instancias estratégicas frente a componentes de back-end que puedan necesitar una protección específica y adicional, como una base de datos o un servidor web específico. Un IPS tampoco es un sustituto de un cortafuegos de aplicaciones web. Asegurar la infraestructura y las aplicaciones es igual que pelar una cebolla. Un IPS está diseñado para detener los ataques en la capa superior (protocolos), mientras que los WAF están diseñados para proteger las capas inferiores (aplicaciones).

Base de datos de reputación IP

Una base de datos de reputación IP ayuda en la defensa de los ataques asimétricos de denegación de servicio al impedir que los atacantes DDoS utilicen escáneres conocidos para sondear una aplicación y, posteriormente, llevar a cabo su explotación y penetración. Una base de datos de reputación IP puede generarse internamente o provenir de un servicio de suscripción externo. Las soluciones de reputación IP de F5 combinan inteligencia de código abierto (OSINT), datos de F5 y fuentes de terceros para proporcionar una amplia cobertura de dominios maliciosos.

Una arquitectura de protección DDoS de varios niveles

F5 recomienda una solución DDoS híbrida que cubra la nube y las instalaciones. Los ataques volumétricos se mitigarán con F5 Silverline DDoS Protection, un servicio prestado a través de la plataforma basada en la nube F5 Silverline. Silverline DDoS Protection analizará y eliminará la mayor parte del tráfico de ataque.

En ocasiones, una campaña de DDoS puede incluir ataques a la capa de aplicaciones a los que se debe hacer frente en las instalaciones. Estos ataques asimétricos y computacionales pueden mitigarse utilizando los niveles de defensa de la red y de las aplicaciones. El nivel de defensa de la red está compuesto por servicios de cortafuegos de red de L3 y L4 y de un simple equilibrio de la carga dirigida al nivel de defensa de las aplicaciones. El nivel de defensa de las aplicaciones consta de servicios más sofisticados (y más intensivos en cuanto al uso de la CPU) que incluyen la terminación SSL y una pila de cortafuegos de aplicaciones web.

Diagrama de la arquitectura híbrida de referencia de F5 DDoS Protection
Figura 2: Diagrama de la arquitectura híbrida de referencia de F5 DDoS Protection

La separación de la defensa de la red y la defensa de las aplicaciones para la parte local de la arquitectura de DDoS Protection tiene ventajas convincentes.

  • Los niveles de defensa de la red y de las aplicaciones pueden ampliarse de forma independiente. Por ejemplo, cuando aumenta el uso del cortafuegos de aplicaciones web, se puede añadir otro dispositivo (o blade) al nivel de aplicaciones sin que ello afecte al nivel de red.
  • Los niveles de defensa de la red y de las aplicaciones pueden utilizar diferentes plataformas de hardware e incluso diferentes versiones de software.
  • Cuando se aplican nuevas políticas en el nivel de defensa de aplicaciones, el nivel de defensa de la red puede dirigir únicamente una parte del tráfico a las nuevas políticas hasta que estén completamente validadas.

Componentes y capacidades de F5

En la Figura 3 se muestran los componentes necesarios para proporcionar capacidades específicas. Los componentes de F5 de la arquitectura de referencia de DDoS Protection incluyen:

  • Silverline DDoS Protection
  • BIG-IP® AFM™ (AFM)
  • BIG-IP® Local Traffic Manager™ (LTM)
  • BIG-IP® DNS™ con DNS Express™
  • BIG-IP® Advanced Web Application Firewall ™ (Advanced WAF)
  Nube Defensa de la red Defensa de aplicaciones DNS

Componentes de F5

SilverLine DDoS

Protection

BIG-IP AFM

BIG-IP LTM

BIG-IP LTM

BIG-IP Advanced WAF

BIG-IP DNS con DNS Express™

Modelo OSI

Capas 3 y 4

Capas 3 y 4

Capa 7

DNS

Capacidades

Depuración volumétrica

Gestión de panel de control del tráfico

Cortafuegos de red

Equilibrio de carga de capa 4

Listas de denegación de IP

Terminación de SSL

Cortafuegos de aplicaciones web

Equilibrio de carga secundaria

Resolución de DNS

DNSSEC

Ataques mitigados

Inundaciones volumétricas

Amplificación

Inclusión en lista de protocolos

Inundaciones de SYN

Inundaciones de ICMP

Paquetes mal formateados

Inundaciones de TCP

Malos conocidos

Slowloris

Slow POST

Apache Killer

RUDY/Keep Dead

Ataques de SSL

Inundaciones de UDP

Inundaciones de DNS

Inundaciones de NXDOMAIN

NXNS

Ataques de DNSSEC

Figura 3: Asignación de los componentes de F5 a las capacidades de mitigación de DDoS

Enfoque alternativo y consolidado para la protección en las instalaciones

Aunque la arquitectura de varios niveles es preferible en entornos de gran ancho de banda, F5 entiende que, para muchos clientes, la construcción de varios niveles de DDoS puede ser excesiva para un entorno de bajo ancho de banda. Estos clientes implementan un dispositivo perimetral de mitigación de DDoS que consolida la entrega de aplicaciones con servicios de cortafuegos de red y de aplicaciones web.

Las prácticas recomendadas aquí siguen siendo válidas. Las referencias a los niveles de defensa de la red y las aplicaciones pueden aplicarse simplemente al nivel único y consolidado de la arquitectura alternativa.

Uso de la arquitectura de DDoS Protection para mantener la disponibilidad

La nube para la defensa volumétrica

Las organizaciones corren el riesgo de sufrir ataques DDoS volumétricos a gran escala capaces de desbordar su capacidad de ancho de banda de entrada a Internet. Para defenderse de estos ataques, pueden efectuar un cambio de ruta (con un anuncio de ruta BGP) para dirigir el tráfico entrante a centros de datos de gran ancho de banda que puedan depurar el tráfico malicioso y enviar el tráfico limpio y depurado de vuelta al centro de datos de origen de la organización.

Los factores que pueden influir en la elección de un proveedor de protección DDoS en la nube son la ubicación geográfica de las instalaciones de depuración, la capacidad de ancho de banda, la latencia, el tiempo de mitigación y el valor de la solución. Como se indica en la Figura 4, los ataques DDoS pueden alcanzar un consumo de ancho de banda que se mide en cientos de Gbps, lo que hace que una infraestructura corra el riesgo de verse completamente desbordada.

En algunos casos, puede añadirse tiempo adicional a las solicitudes entrantes cuando un depurador de la nube no tiene un centro de depuración cerca del centro de datos de la organización. Para reducir la posible latencia, los MSP y otras empresas globales deben utilizar depuradores de nubes que estén estratégicamente situados en las regiones donde tienen operaciones que pueden verse afectadas por los ataques.

Capacidad y habilidad

Mantener la disponibilidad frente a los ataques volumétricos depende tanto de la cobertura global (centros de datos en Norteamérica, Europa y Asia) como de los terabits de capacidad global o los cientos de gigabits por centro.

Las organizaciones dirán que el verdadero valor de un depurador de nube únicamente se percibe después de una campaña de ataque. Las preguntas que determinan si resulta satisfactorio son:

  • ¿Fue caro?
  • ¿Cuál fue el nivel de falsos positivos?
  • ¿Ha facilitado de visibilidad y control sobre la entrega del tráfico legítimo?

Always Available o Always On

Las organizaciones pueden utilizar la suscripción Silverline DDoS Protection Always Available para enrutar el tráfico a través de F5 Silverline cuando se detecta un ataque DDoS. De forma alternativa, la suscripción Silverline DDoS Protection Always On puede enrutar el tráfico a través de F5 Silverline en todo momento para garantizar una mayor disponibilidad de las redes y aplicaciones de la organización.

Modelos de implementación

Silverline DDoS Protection tiene dos modelos principales de implementación: modo enrutado y modo proxy.

El modo enrutado es para las empresas que necesitan proteger toda su infraestructura de red. Silverline DDoS Protection aplica el Border Gateway Protocol (BGP) para enrutar todo el tráfico hasta el centro de depuración y protección, y utiliza un túnel de encapsulación de enrutamiento genérico (GRE)/VPN L2/Equinix Cloud Exchange para enviar el tráfico limpio de vuelta a la red de origen. El modo enrutado es un diseño escalable para empresas con grandes implementaciones de red. No requiere ninguna configuración específica de las aplicaciones y ofrece una opción sencilla de activación y desactivación de Silverline DDoS Protection.

El modo proxy es para las empresas que necesitan proteger sus aplicaciones de ataques DDoS volumétricos pero que no tienen una red pública de clase C. El DNS se utiliza para dirigir todo el tráfico a los centros de depuración de F5 Silverline. El tráfico limpio se envía a través de la Internet pública a los servidores de origen de las aplicaciones.

Los métodos de tráfico de retorno utilizados por Silverline DDoS Protection incluyen:

  • Túneles GRE.
  • Equinix Cloud Exchange.
  • L2 VPN.
  • Internet pública.

Ataque volumétrico en el punto de mira: ataques de amplificación

En la Figura 4 se muestra que en 2019-2020 se batió varias veces el récord del mayor ataque DDoS del mundo. Para alcanzar tal consumo de ancho de banda, en estos ataques se utilizó una combinación de ataques de inundación (es decir, ACK, NTP, RESET, SSDP, SYN y UDP) junto con Anomalía TCP, Fragmentación UDP y Reflejo CLDAP desde miles de puestos públicos de Internet involuntarios a una víctima determinada.

Figura 4: Nuevas cotas de ataques DDoS en 2020
Figura 4: Nuevas cotas de ataques DDoS en 2020

Defensa de la red local

El nivel de defensa de la red se construye alrededor del cortafuegos de la red. Está diseñado para mitigar los ataques computacionales como las inundaciones de SYN y las inundaciones de fragmentación ICMP. Este nivel también mitiga los ataques volumétricos hasta la congestión del punto de entrada (normalmente entre el 80 y el 90 por ciento del tamaño nominal de la distribución). Muchas organizaciones integran sus bases de datos de reputación IP en este nivel y tienen control de las direcciones IP por origen durante un ataque DDoS.

Algunas organizaciones pasan el DNS a través del primer nivel hasta un servidor DNS en la zona desmilitarizada (DMZ). En esta configuración, con los controles de capa 4 adecuados pueden validar los paquetes DNS antes de enviarlos al servidor.

Figura 5: El nivel de defensa de la red protege contra los ataques DDoS en la capa de red
Figura 5: El nivel de defensa de la red protege contra los ataques DDoS en la capa de red

Defensa de nube privada

Para las organizaciones con una estrategia de virtualización, puede ser un reto mitigar los ataques DDoS que se dirigen a su infraestructura virtualizada sin un hardware específico. Las soluciones de seguridad virtualizadas que se ejecutan en servidores x86 comerciales listos para su uso (COTS) a menudo carecen de los atributos de alto rendimiento de los dispositivos personalizados, lo que hace que la mitigación eficaz de los ataques DDoS centrados en el software sea casi imposible en muchos casos.

Figura 6: SmartNIC como parte de la arquitectura de referencia de protección DDoS para nubes privadas
Figura 6: SmartNIC como parte de la arquitectura de referencia de protección DDoS para nubes privadas

La solución de F5 para este caso pasa por una nueva generación de tarjetas de interfaz de red (NIC) (conocidas como SmartNIC) para reforzar la solución de edición virtual (VE) de BIG-IP AFM. Al programar una solución FPGA integrada de alto rendimiento dentro de estas SmartNIC para detectar y bloquear los ataques DDoS antes de que lleguen a los servidores de aplicaciones y a BIG-IP VE, F5 es capaz de bloquear órdenes de ataques de magnitud superior (hasta 300 veces más grandes) que cualquier solución comparable de solo software para mantener las aplicaciones en línea. Al liberar de la mitigación de DDoS a BIG-IP AFM VE en una SmartNIC no solo se ahorran ciclos para la VE CPU con el fin de optimizar otras funciones de seguridad (como WAF o SSL), sino que también puede reducir el coste total de propiedad hasta en un 47 %.

El punto de mira de los ataques DDoS computacionales: mitigación de las inundaciones de conexiones TCP y SSL

Como ataques de capa 4, las inundaciones de conexiones TCP pueden afectar a cualquier dispositivo con estado en la red, especialmente a los cortafuegos que no son resistentes a los DDoS. El ataque está diseñado para consumir la memoria de las tablas de conexiones de flujo en cada dispositivo con estado. A menudo, estas inundaciones de conexiones están vacías de contenido real. Pueden absorberse mediante tablas de conexión de alta capacidad en el nivel de red o mitigarse mediante cortafuegos de proxy completo.

Las inundaciones de conexiones SSL están diseñadas específicamente para atacar los dispositivos que terminan el tráfico encriptado. Dado el contexto criptográfico que debe mantenerse, cada conexión SSL puede consumir entre 50 000 y 100 000 bytes de memoria. Esto hace que los ataques SSL sean especialmente dañinos.

F5 recomienda tanto la capacidad como la técnica de proxy completo para mitigar las inundaciones de conexiones TCP y SSL. En la Figura 7 se muestra la capacidad de conexión de los cortafuegos de red basados en F5.

Serie de plataformas Tamaño de la tabla de conexiones de TCP Tamaño de la tabla de conexiones de SSL

Chasis VIPRION

12-144 millones

1-32 millones

Dispositivos de gama alta

24-36 millones

2,5-7 millones

Dispositivos de gama media

24 millones

4 millones

Dispositivos de gama baja

6 millones

0,7-2,4 millones

Edición virtual (con SmartNIC VE)

3 millones

0,7 millones

Figura 7: Capacidad de conexión de las plataformas de hardware de F5

Defensa de aplicaciones en las instalaciones

El nivel de defensa de las aplicaciones es donde F5 recomienda implementar mecanismos de defensa conscientes de las aplicaciones y de uso intensivo de la CPU, como muros de inicio de sesión, políticas de cortafuegos de aplicaciones web y contexto de seguridad dinámico mediante F5 iRules. A menudo, estos componentes compartirán espacio en el rack con dispositivos IDS/IPS específicos de este nivel.

Aquí es también donde suele tener lugar la terminación de SSL. Aunque algunas organizaciones terminan SSL en el nivel de defensa de la red, no es muy común debido a la sensibilidad de las claves SSL y a las políticas en contra de mantenerlas en el perímetro de seguridad.

Figura 8: Un cortafuegos de aplicaciones web defiende contra los ataques DoS de la capa de aplicaciones
Figura 8: Un cortafuegos de aplicaciones web defiende contra los ataques DoS de la capa de aplicaciones

El punto de mira de los ataques DDoS asimétricos: mitigación de las inundaciones GET

Los GET y POST recursivos se encuentran entre los ataques más perniciosos hoy en día. Pueden ser muy difíciles de distinguir del tráfico legítimo. Las inundaciones de GET pueden saturar las bases de datos y los servidores, y también pueden causar una «distribución inversa completa». F5 registró un atacante que enviaba 100 Mbps de consultas GET a un objetivo y extraía 20 Gbps de datos.

Entre las estrategias de mitigación de las inundaciones de GET se incluyen:

  • La defensa del muro de inicio de sesión.
  • Perfiles de protección de DDoS.
  • Aplicación del navegador real.
  • CAPTCHA.
  • iRules de estrangulamiento de solicitudes.
  • iRules personalizadas.

La configuración y el ajuste de estas estrategias se pueden encontrar en la Documentación de prácticas recomendadas para DDoS de F5.

Mitigación de DDoS de DNS

El DNS es el segundo servicio más atacado después del HTTP. Cuando el DNS se interrumpe, todos los servicios externos del centro de datos (no solo una aplicación) se ven afectados. Este único punto de fallo total, junto con la infraestructura de DNS, a menudo deficientemente aprovisionada, convierte al DNS en un objetivo muy atractivo para los atacantes.

Sobreprovisionamiento de servicios DNS contra inundaciones de consultas

Desde siempre, los servicios DNS han estado deficientemente aprovisionados. Un porcentaje significativo de las implementaciones de DNS se encuentra deficientemente aprovisionada hasta el punto de que son incapaces de soportar incluso ataques DDoS pequeños o medianos.

Las memorias caché de DNS han ganado en popularidad, ya que pueden aumentar el rendimiento percibido de un servicio DNS y proporcionar cierta resistencia contra los ataques de consulta de DNS estándar. Los atacantes se han pasado a lo que se denomina ataques de «no such domain» (o NXDOMAIN), que agotan rápidamente las ventajas de rendimiento que proporciona la caché.

Para remediarlo, F5 recomienda colocar en el front-end el servicio de nombres de dominio BIG-IP DNS con el módulo de proxy DNS especial de alto rendimiento llamado F5 DNS Express™. DNS Express actúa como «resolucionador» absoluto frente a los servidores DNS existentes. Carga la información de zona de los servidores y resuelve cada una de las solicitudes, o devuelve NXDOMAIN. No es una caché y no puede vaciarse mediante inundaciones de consultas NXDOMAIN.

Considerar la ubicación de servicios DNS

A menudo, el servicio DNS existe como un conjunto propio de dispositivos aparte del primer perímetro de seguridad. Esto se hace para mantener el DNS independiente de las aplicaciones a las que sirve. Por ejemplo, si parte del perímetro de seguridad parece afectado, el DNS puede redirigir las solicitudes a un centro de datos secundario o a la nube. Mantener el DNS separado de los niveles de seguridad y aplicaciones puede ser una estrategia eficaz para mantener la máxima flexibilidad y disponibilidad.

Algunas grandes empresas con múltiples centros de datos proporcionan el servicio DNS fuera del perímetro de seguridad principal utilizando una combinación de BIG-IP DNS con DNS Express y el módulo de cortafuegos BIG-IP AFM. La principal ventaja de este enfoque es que los servicios DNS siguen estando disponibles incluso aunque el nivel de defensa de la red se desconecte debido a ataques DDoS.

Independientemente de si el DNS se proporciona dentro o fuera de la zona desmilitarizada (DMZ), tanto BIG-IP DNS como BIG-IP AFM pueden validar las solicitudes DNS antes de que lleguen al servidor DNS.

Casos de uso de la arquitectura de referencia

A continuación se presentan tres casos de uso de la arquitectura de referencia que se corresponden con tres situaciones habituales de los clientes:

  1. Proveedor de servicios gestionados (movilidad o línea fija)
  2. Centro de datos de grandes instituciones de servicios financieros (FSI)
  3. Centros de datos empresariales

Cada caso de uso que aparece a continuación contiene un diagrama del escenario de implementación, una breve descripción de los aspectos específicos del caso de uso y los componentes de F5 recomendados dentro de ese escenario. Consulte también la Figura 14 para obtener información adicional sobre el tamaño.

Arquitectura de referencia de DDoS Protection para proveedores de servicios gestionados (movilidad o línea fija)

El caso de uso del centro de datos de un MSP consiste en proporcionar seguridad a una variedad de aplicaciones al mismo tiempo que se maximiza el valor de los recursos del centro de datos. El retorno de la inversión (ROI) es fundamental para los MSP, que a menudo quieren hacerlo todo desde un solo dispositivo si pueden, y están dispuestos a desconectarse durante un ataque DDoS.

En este caso de uso, el MSP está poniendo todos los huevos en la misma cesta. Obtiene la solución más rentable, pero también se encuentra con la mayor dificultad para mantener la disponibilidad.

Por otro lado, la organización gana en eficiencia al concentrar recursos especializados con conocimiento profundo en una única plataforma. F5 proporciona sistemas de alta disponibilidad, escalabilidad y rendimiento superiores, y un soporte de primera clase que ayuda a compensar aún más el riesgo.

No hay duda de que el ahorro económico es la mayor ventaja de esta arquitectura consolidada. Es una solución superior de DDoS que utiliza equipos que ya están en funcionamiento para ofrecer aplicaciones que generan ingresos todos los días. El entorno consolidado ayuda a ahorrar en espacio de rack, energía y gestión.

Ubicación Equipo de F5

Nube

Silverline DDoS Protection:

Suscripción Always On

Suscripción Always Available

Nivel local consolidado

Par de dispositivos BIG-IP de gama media y alta

Complemento de licencia: BIG-IP DNS

Complemento de licencia: Advanced WAF

Complemento de licencia: BIG-IP AFM

Complemento de licencia: BIG-IP Application Policy Manager (APM)

Figura 9: Recomendaciones de tamaño para el escenario de implementación de MSP

Arquitectura de referencia de DDoS Protection para FSI de gran tamaño

Figura 10: Diagrama del escenario de implementación de un centro de datos de FSI de gran tamaño de F5 DDoS Protection
Figura 10: Diagrama del escenario de implementación de un centro de datos de FSI de gran tamaño de F5 DDoS Protection

Escenario de FSI de gran tamaño

El escenario de un centro de datos de FSI de gran tamaño es un caso de uso ya maduro y bien reconocido para DDoS Protection. Por lo general, la FSI dispondrá de varios proveedores de servicios, pero puede renunciar a las ofertas de soluciones de DDoS volumétrico de esos proveedores en favor de otro servicio de depuración. Muchas de ellas es posible que también tengan un depurador de nube de respaldo como una póliza de seguros en caso de que falle el depurador de nube principal en la mitigación de ataques DDoS volumétricos.

El centro de datos de FSI suele incluir poco personal corporativo, por lo que no es necesario un cortafuegos de última generación.

Las FSI tienen la política de seguridad más estricta al margen de las instituciones militares federales. Por ejemplo, casi todos los FSI deben mantener la carga útil encriptada en todo el centro de datos. Los FSI tienen la clase de activos de mayor valor (cuentas bancarias) en Internet, por lo que son objetivos frecuentes, no solo de los DDoS, sino también de la piratería informática. La arquitectura local de dos niveles permite a las organizaciones de FSI escalar su política de seguridad integral y de uso intensivo de la CPU en el nivel de aplicación, independientemente de su inversión en el nivel de red.

Este caso de uso permite a las FSI crear una solución resistente a los DDoS al mismo tiempo que conservan (de hecho, aprovechan) los equipos de seguridad que ya tienen. Los cortafuegos en el nivel de defensa de la red siguen haciendo su trabajo, y los dispositivos BIG-IP en el nivel de defensa de las aplicaciones siguen impidiendo las infracciones.

Ubicación Equipo de F5

Nube

Silverline DDoS Protection:

Suscripción Always On

Suscripción Always Available

Nivel de red

Chasis VIPRION (par)

Complemento de VIPRION: BIG-IP AFM

Nivel de aplicación

Dispositivo BIG-IP de gama media

Complemento de licencia: Advanced WAF

DNS

Dispositivo BIG-IP de gama media (par)

Figura 11: Recomendaciones de tamaño para el escenario de implementación de FSI

Arquitectura de referencia de DDoS Protection para empresas

Figura 12: Diagrama del escenario de implementación de un centro de datos empresarial de F5 DDoS Protection
Figura 12: Diagrama del escenario de implementación de un centro de datos empresarial de F5 DDoS Protection

Escenario de cliente empresarial

El escenario empresarial anti-DDoS es similar al escenario de una FSI de gran tamaño. La principal diferencia es que las empresas tienen personal dentro del centro de datos y, por tanto, necesitan los servicios de un cortafuegos de nueva generación (NGFW). Pueden que se sientan tentadas a utilizar un único NGFW tanto para la entrada como para la salida, pero esto les hace vulnerables a los ataques DDoS, ya que los NGFW no están diseñados para gestionar los ataques DDoS que evolucionan o son multivectoriales.

F5 recomienda que las empresas obtengan protección contra los ataques DDoS volumétricos mediante un depurador en la nube como F5 Silverline. En las instalaciones, la arquitectura empresarial recomendada incluye un NGFW más pequeño en una ruta independiente del tráfico de aplicaciones de entrada. Al utilizar un nivel de defensa de la red y un nivel de defensa de las aplicaciones, las empresas pueden aprovechar el escalado asimétrico, añadiendo más dispositivos F5 WAF si detectan que la CPU es insuficiente.

Distintas verticales y empresas tienen requisitos diferentes. Al utilizar los equipos de F5 en ambos niveles, la arquitectura empresarial permite a los clientes decidir dónde tiene más sentido desencriptar (y, opcionalmente, volver a encriptar) el tráfico SSL. Por ejemplo, una empresa puede desencriptar SSL en el nivel de defensa de la red y reflejar el tráfico desencriptado en un TAP de red mediante en el que se supervise las posibles amenazas avanzadas.

Ubicación Equipo de F5

Nube

Silverline DDoS Protection:

Suscripción Always On

Suscripción Always Available

Nivel de red

Dispositivo BIG-IP de gama alta (par)

Complemento de licencia: BIG-IP AFM

Nivel de aplicación

Dispositivo BIG-IP de gama media

Complemento de licencia: Advanced WAF

DNS

Dispositivo BIG-IP de gama media (par)

Figura 13: Recomendaciones de tamaño para el escenario de implementación del cliente empresarial

Especificaciones de tamaño

En la Figura 14 se muestran las especificaciones de la gama de dispositivos de hardware de F5 que están disponibles para satisfacer los requisitos de escalado de las organizaciones.

  Rendimiento Inundación de SYN (por segundo) Inundación de ICMP Inundación de HTTP (redirección JavaScript) Conexiones TCP Conexiones SSL

Chasis VIPRION 2400 de 4 blades

160 Gbps

196 millones

100 Gbps

350 000 RPS

48 millones

10 millones

Dispositivo 10200V

Dispositivo de gama alta

80 Gbps

80 millones

56 Gbps

175 000 RPS

36 millones

7 millones

Dispositivo 7200V

Dispositivo de gama media

40 Gbps

40 millones

32 Gbps

131 000 RPS

24 millones

4 millones

Dispositivo 5200V

Dispositivo de gama baja

30 Gbps

40 millones

32 Gbps

131 000 RPS

24 millones

4 millones

Figura 14: Especificaciones de hardware de F5 para la protección DDoS. Consulte los casos de uso para obtener recomendaciones específicas.

Conclusión

Esta arquitectura de referencia recomendada de DDoS Protection esta basada en la larga experiencia de F5 en la lucha contra los ataques DDoS con sus clientes. Los proveedores de servicios encuentran que tienen éxito adoptando un enfoque consolidado. Las instituciones de servicios financieros globales están reconociendo que la arquitectura híbrida recomendada representa la ubicación ideal para todos sus controles de seguridad. Los clientes empresariales también están reorganizando y rediseñando sus controles de seguridad en torno a esta arquitectura. En el futuro inmediato, una arquitectura híbrida de DDoS Protection debería seguir proporcionando la flexibilidad y la capacidad de gestión que los arquitectos necesitan para combatir las amenazas DDoS actuales.