Unlimited Plugins, WordPress themes, videos & courses! Unlimited asset downloads! From $16.50/m
Advertisement
  1. Code
  2. Amazon Web Services
Code

Proteger su sitio web AWS de un ataque DDoS

by
Difficulty:IntermediateLength:LongLanguages:
This post is part of a series called Securing Your Website with Incapsula.
How to Secure Your Website With Imperva Incapsula
How to Optimize and Accelerate Your Website With Imperva Incapsula
Sponsored Content

This sponsored post features a product relevant to our readers while meeting our editorial guidelines for being objective and educational.

Spanish (Español) translation by Elías Nicolás (you can also view the original English article)

Incapsula network diagram

Una actualización de nuestra serie Imperva Incapsula

Esta es la segunda de una serie patrocinada en tres partes que cubre los servicios de seguridad y rendimiento de Incapsula. En la primera parte, le presenté a Incapsula Website Security y caminé por lo fácil que es integrar su sitio web con sus sistemas: literalmente solo lleva unos minutos y brinda un conjunto increíblemente amplio de protecciones sofisticadas.

En este tutorial, describiré cómo la seguridad de Incapsula puede proteger su sitio web hospedado por Amazon Web Services (así como también cualquier sitio web) de los ataques distribuidos de denegación de servicio (DDoS).

Básicamente, los ataques DDoS son a menudo un ataque coordinado de miles de computadoras "zombies" comprometidas contra un objetivo específico, tal vez su sitio web. No es fácil defenderse de estos ataques. Los ataques DDoS no solo pueden desmantelar sus servicios y arruinar la experiencia de sus clientes, sino que también pueden generar grandes excedentes de ancho de banda y gastos posteriores.

En el siguiente y tercer episodio de esta serie, pasaremos a Incapsula CDN y Optimizer y a otras funciones, como la compresión y la optimización de la imagen, la mayor parte de esto está disponible de forma gratuita.

Incapsula es un servicio tan intrigante y sofisticado que espero convencer a los dioses editoriales de Tuts+ para que me permitan escribir más sobre él. Si tiene alguna solicitud de episodios futuros en esta serie o preguntas y comentarios sobre la de hoy, publíquelos a continuación. También puede comunicarse conmigo en Twitter @reifman o enviarme un correo electrónico directamente.

Un breve resumen de la cápsula

Incapsula The Website Home Page

Como mencioné en la primera parte, cuando se registra para Incapsula, el tráfico de su sitio web se enrutará a la perfección a través de su red de servidores potentes distribuidos a nivel mundial. El tráfico entrante se perfila de forma inteligente en tiempo real, bloqueando las últimas amenazas web (por ejemplo, ataques de inyección SQL, raspadores, bots maliciosos, spammers de comentarios) y con planes de mayor nivel, frustrando los ataques DDoS. Mientras tanto, su tráfico saliente se acelera con CDN y Optimizer. Muchas de estas características se proporcionan de forma gratuita, y puede probarlas sin costo alguno durante sus 14 días de prueba. Si ya tiene más preguntas, consulte las preguntas frecuentes de Incapsula.

Proteccion DDoS Incapsula

Según Imperva, "un estudio reciente de la industria mostró que aproximadamente el 75% de los responsables de la toma de decisiones de TI han sufrido al menos un DDoS en los últimos 12 meses, y el 31% informó interrupción del servicio como resultado de estos ataques".

Incapsula protege ampliamente su sitio web contra los tres tipos de ataques DDoS:

  1. Ataques basados en volumen
  2. Ataques de protocolo
  3. Ataques de capa de aplicación

Incapsula protege ampliamente su sitio web contra los tres tipos de ataques DDoS:

    Puede medir la responsabilidad financiera de un ataque DDoS en su empresa con la calculadora de costos de inactividad DDoS de Incapsula:

    Incapsula DDoS Downtime Cost Calculator

    Aquí hay resultados de muestra que se me muestran con mi configuración:

    Sample results from Incapsula DDoS Downtime Cost Calculator

    Con el plan Incapsula Pro, obtendrá un sofisticado firewall de aplicaciones web (WAF) y protecciones de puerta trasera para minimizar la responsabilidad y el riesgo.

    Para la protección contra los ataques DDoS de la capa de aplicación, necesitará el plan Business que comienza en $ 299 por sitio por mes. El plan Enterprise ofrece protección contra ataques de capa de red.

    Incapsula Pricing and Plans

    Las protecciones DDoS de Incapsula funcionarán tanto si aloja su sitio web en AWS como en cualquier host web. Así es cómo se entregan y qué proporcionan:

    • Proporcionado como una poderosa red de Data Centers posicionados globalmente
    • Aplicación (capa 7) y red (capas 3,4) Protección DDoS
    • Respaldado por un equipo de seguridad 24x7 y un SLA de tiempo de funcionamiento del 99,999%
    • Disponible como un servicio siempre-on o bajo demanda

    Aquí hay un mapa de los centros de datos globales de la red Incapsula:

    Incapsula Global Data Centers

    Puede ver cómo Incapsula administra sus visitantes reales y el tráfico DDoS antes de que lleguen a su sitio web (a menudo reflejado por Incapsula para el rendimiento):

    Incapsula How DDoS works

    También hay protección DDoS general para todos los tipos de servicios (UDP / TCP, SMTP, FTP, SSH, VoIP, etc.) cuando se registra para la protección de la infraestructura de una dirección IP individual.

    La protección IP individual permite a los usuarios implementar Protección DDoS para defender todo tipo de entornos, incluidos:

    • Entornos en la nube (por ejemplo, AWS, Azure)
    • Servidores de juegos (y otros dispositivos que usan protocolos propietarios)
    • Dispositivos en red individuales y servidores de origen

    Cuando se une a este servicio, Incapsula le asignará una dirección IP de nuestro propio rango de IP para el tráfico de enrutamiento. Luego se establece un túnel entre los servidores de origen (o enrutadores / equilibradores de carga) y la red Incapsula. Una vez en su lugar, este túnel se utiliza para enrutar el tráfico limpio de nuestra red a su origen, y viceversa. A continuación, transmite las direcciones IP asignadas a tus usuarios a través de DNS, haciendo de estas tus direcciones nominales de "origen".

    Incapsula Data Center Traffic Flow with GRE Tunnel

    Antes de explicar más acerca de las ventajas de Incapsula para los clientes de AWS, analicemos más acerca de los ataques DDoS y la terminología de redes.

    Cómo operan los ataques DDoS

    La siguiente imagen (de Wikipedia) muestra cómo un atacante aprovecha una red de computadoras imposibles de rastrear y pone en peligro a los "zombis" para poner de rodillas una aplicación web:

    Wikipedia Image of a DDoS attack

    Las protecciones DDoS de Incapsula funcionan en la Aplicación (Capa 7) y la Red (Capas 3 y 4) de las Siete Capas del Modelo OSI. Aquí está la guía de Wikipedia de estas capas para más detalles:

    OSI Model Seven Layers

    Si bien puede parecer complejo, estas son esencialmente las capas que utilizan los ataques DDoS, ya que son las que conectan su sitio web a los usuarios de Internet y otras computadoras en Internet.

    El enfoque de cinco anillos de Incapsula para la protección DDoS

    Desde un punto de vista conceptual, la protección Incapsula DDoS se basa en un conjunto de anillos concéntricos alrededor de la aplicación, cada uno de los cuales filtra una porción diferente del tráfico. Cada uno de estos anillos en sí mismo puede ser pasado por alto fácilmente; sin embargo, al trabajar al unísono detienen casi todo el tráfico malicioso. Mientras que algunos ataques DDoS pueden detenerse en los anillos exteriores, los ataques persistentes de vectores múltiples solo pueden detenerse usando todos (o la mayoría) de ellos.

    Incapsula 5-Ring Approach to DDoS Protection

    Como tal, Incapsula defiende contra todo tipo de intentos de piratería y ataques, incluidas las amenazas definidas en el top ten del Proyecto Abierto de seguridad de aplicaciones web (OWASP):

    1. Inyección
    2. Autenticación rota y gestión de sesiones
    3. Cross-Site Scripting (XSS)
    4. Referencias de objetos directos inseguros
    5. Configuración incorrecta de seguridad
    6. Exposición de datos sensibles
    7. Falta el control de acceso del nivel de función
    8. Falsificación de solicitudes entre sitios (CSRF)
    9. Uso de componentes con vulnerabilidades conocidas
    10. Redirecciones y reenvíos no validados

    Así es como funciona el enfoque de cinco anillos de la solución Incapsula:

    Anillo 5: Clasificación del cliente vs. Ataques volumétricos de la capa 7. En algunos casos, los atacantes pueden usar un ataque de capa de aplicación volumétrica (por ejemplo, inundación HTTP) como una distracción destinada a enmascarar otros ataques más dirigidos. Incapsula usa la clasificación del cliente para identificar y filtrar estos bots mediante la comparación de firmas y el examen de varios atributos: información de IP y ASN, encabezados HTTP, variaciones de soporte de cookies, huella de JavaScript y otros signos reveladores. Incapsula distingue entre humanos y tráfico bot, entre bots "buenos" y "malos" e identifica AJAX y API.

    Anillo 4: Lista de Visitantes y Reputación. Después de marcar y bloquear el tráfico volumétrico malicioso, Incapsula divide el resto del tráfico del sitio web en visitantes "grises" (sospechosos) y "blancos" (legítimos). Esta tarea cuenta con el respaldo del sistema de reputación Incapsula.

    Anillo 3: Cortafuegos de aplicación web para vectores de ataque directo. Además de ofrecer protección DDoS, la solución Incapsula incluye un Web Application Firewall (WAF) de nivel empresarial que protege los sitios web de cualquier amenaza de capa de aplicación, como inyección SQL, scripts entre sitios, acceso ilegal a recursos e inclusión remota de archivos. WAF utiliza tecnología sofisticada de inspección de tráfico y técnicas de crowdsourcing, junto con una amplia experiencia en la entrega de seguridad de aplicaciones de extremo a extremo. Las funciones avanzadas incluyen un motor de reglas personalizado (IncapRules, revisado a continuación), protección de shell de puerta trasera y autenticación integrada de dos factores (revisado en la primera parte).

    Anillo 2: desafíos progresivos. Incapsula aplica una serie de desafíos progresivos que están diseñados para garantizar el equilibrio óptimo entre una protección DDoS sólida y una experiencia de usuario ininterrumpida. La idea es minimizar los falsos positivos mediante el uso de un conjunto de desafíos transparentes (por ejemplo, soporte de cookies, ejecución de JavaScript, etc.) para proporcionar una identificación precisa del cliente (humano o bot, "bueno" o "malo").

    Anillo 1: Detección de anomalías conductuales. Incapsula usa reglas de Detección de anomalías para detectar posibles instancias de sofisticados ataques de Capa 7. Este anillo actúa como una red de seguridad automatizada para atrapar ataques que pueden haber escapado por las grietas.

    Anillo 0: Equipo de seguridad dedicado. En última instancia, su experiencia con Incapsula cuenta con el respaldo del equipo de expertos profesionales del Centro de operaciones de seguridad de Imperva y su personal de soporte técnico 24x7. Proactivamente analizan el comportamiento interno de la aplicación y detectan el uso irregular antes de que un problema se generalice.

    A continuación, Incapsula mitiga un ataque DDoS de 250GBps, uno de los más grandes de Internet:

    Incapsula DDoS Attack Mitigation Example

    Además, Incapsula Web Application Firewall está certificado por PCI (PCI fue creado por organizaciones de crédito globales como American Express, MasterCard y Visa):

    El PCI Security Standards Council es un foro global abierto, lanzado en 2006, responsable del desarrollo, gestión, educación y conocimiento de los estándares de seguridad PCI, incluido el estándar de seguridad de datos (PCI DSS), estándar de seguridad de datos de aplicaciones de pago ( PA-DSS) y requisitos de seguridad de transacción PIN (PTS).

    Por supuesto, la protección DDoS se implementa fuera de su red. Esto significa que solo el tráfico filtrado llega a los hosts, lo que protege su inversión en hardware, software e infraestructura de red, a la vez que garantiza la continuidad de su negocio.

    Incapsula DDoS Protection para AWS

    No importa si aloja su aplicación con AWS o no, porque las capacidades de protección DDoS de la solución Incapsula salvaguardarán su sitio web. Pero, si es cliente de AWS, no se deje engañar por la idea de que Amazon lo protegerá por completo: Incapsula brinda protecciones adicionales significativas.

    Al igual que la mayoría de las plataformas de alojamiento, AWS no es una plataforma de seguridad. Si bien ofrece capacidades básicas de mitigación de DDoS, como las cookies SYN y la limitación de la conexión, no está diseñado para proteger servidores y aplicaciones alojadas. Si su servidor web es golpeado por una aplicación (capa 7) ataque DDoS, AWS no lo protegerá. Peor aún, si sufres una red masiva (capas 3 y 4) ataque DDoS, se te cobrará por el ancho de banda adicional y recibirás una gran factura a fin de mes. Cualquiera que haya tratado con el servicio al cliente de Amazon sabe que obtener reembolsos no siempre es fácil.

    Incapsula complementa a AWS con su servicio de protección DDoS basado en la nube. Este servicio mejora las capacidades de seguridad básicas de AWS para que sus aplicaciones críticas estén completamente protegidas contra todo tipo de ataques DDoS.

    Mediante la tecnología avanzada de inspección de tráfico, Incapsula DDoS Protection para AWS detecta y mitiga automáticamente los ataques DDoS de red volumétrica (capa OSI 3) y de aplicación sofisticada (capa 7), sin interrupción comercial para los usuarios.

    Su servicio siempre activado protege los sitios web y las aplicaciones basados ​​en AWS contra todo tipo de ataques DDoS, desde ataques masivos de red volumétrica (capas OSI 3 y 4) hasta aplicaciones sofisticadas (capa 7). La detección automática y la mitigación transparente de las penetraciones DDoS minimizan los falsos positivos, asegurando una experiencia de usuario normal, incluso cuando están bajo ataque.

    ¿Quieres experimentar con Incapsula y AWS?

    Si desea experimentar con Incapsula y AWS con una instancia de ejemplo EC2 y una guía simple, siga mi guía de instalación de Tuts + para WordPress en la nube de Amazon y luego use la primera parte de esta serie para registrarse en Incapsula y realizar los simples cambios de DNS. para integrarlo con su sitio web. Como describo en ese episodio, los resultados se consolidan rápida e impresionantemente.

    Por supuesto, si está usando el servicio DNS de Amazon Route53, es tan fácil configurar su sitio como describí en la primera parte con mi servicio DNS genérico.

    Simplemente inicie sesión en la consola de administración de Route53 y luego busque los conjuntos de registros de su dominio. De la lista de registros, seleccione el subdominio que está agregando a Incapsula y edite el registro en el cuadro de diálogo Edit Record Set.

    Si está usando un CNAME, se ve así:

    Incapsula AWS Route53 CNAME Example

    Si estás usando un www. o dominio desnudo y un registro A, se ve así:

    Incapsula AWS Route53 Naked Domain A Record Example

    Si prefiere simplemente un recorrido visual, consulte el sitio de demostración de Incapsula y algunos de estos excelentes recursos sobre las protecciones DDoS de Incapsula para AWS.

    En primer lugar, está la Incapsula DDoS Protection Overview (pdf) (captura de pantalla a continuación):

    Incapsula DDoS Protection Overview Whitepaper

    También hay estas referencias útiles y detalladas:

    Y, también hay una página de inicio de DDoS para hosts genéricos (no AWS).

    Los servidores de Incapsula realizan inspecciones de paquetes robustas y profundas para identificar y bloquear paquetes maliciosos en función de los detalles más detallados. Esto les permite examinar al instante todos los atributos de cada paquete entrante, al mismo tiempo que sirve cientos de gigabits de tráfico a una velocidad en línea.

    La red Incapsula de más de 700 Gbps de centros de depuración globales mitiga los mayores ataques DDoS, incluidas las inundaciones SYN y las amplificaciones DNS, que pueden superar los 100 Gbps. La red Incapsula escala según demanda para contrarrestar los ataques masivos de DDoS volumétricos. Esto garantiza que la mitigación se aplique fuera de su propia red, permitiendo que solo el tráfico filtrado llegue a sus hosts.

    Pronto, Incapsula proporcionará la protección individual de la infraestructura IP que mencioné anteriormente para los clientes de AWS. Una vez configurado, puede usar los grupos de seguridad de Amazon para garantizar que todo el tráfico externo esté restringido para originarse desde dentro de Incapsula. Esto elimina a los atacantes externos de ignorar sus servicios con Incapsula y atacarlo directamente. Esencialmente, solo configura grupos de seguridad para restringir por las direcciones IP de la red Incapsula.

    Y sí, aún puede usar su dominio de CloudFront para servir archivos estáticos mientras utiliza Incapsula para la mitigación de DDoS y el DNS Route 53 de AWS.

    Administrar la seguridad de su sitio con Incapsula

    Revisé los elementos iniciales de esto en el episodio uno; Una vez que su sitio esté configurado, lo verá listado en el tablero:

    Incapsula Dashboard Site List

    La configuración de Incapsula le proporciona un control completo sobre su amplia variedad de potentes funciones. Puede ver las configuraciones de DDoS desde el submenú de la aplicación de Web Firewall (WAF):

    Incapsula Dashboard Settings

    A partir de ahí, puede configurar el comportamiento de su DDoS. En Configuración avanzada, puede instruir a Incapsula sobre cuándo y cómo desafiar a los atacantes sospechosos:

    Incapsula DDoS Advanced Settings

    También puede incluir en la lista blanca direcciones IP, URL, ciertos países y más:

    Incapsula Whitelist Rules for DDoS

    IncapRules Filter Events y Trigger Actions

    El área de Events del tablero ayuda a filtrar, identificar y comenzar a responder a ataques de todo tipo, incluido DDoS:

    Incapsula DDoS Event Filtering and Examination

    Con la ayuda de aquí o de sus propias especificaciones, puede configurar reglas para filtrar, alertarlo y responder automáticamente a este tipo de ataques. Se llaman IncapRules. El submenú IncapRules proporciona descripciones completas sobre cómo definir reglas más detalladas.

    Incapsula InCap Rules

    Agregar y administrar la Lista de reglas es bastante fácil:

    Incapsula List of Incap Rules

    IncapRules le permite aprovechar toda la gama de poderosas capacidades de inspección de tráfico de la red Incapsula. Con ellos, puede crear políticas personalizadas basadas en el contenido del encabezado HTTP, la geolocalización y mucho más.

    La sintaxis de IncapRules se basa en 'filtros' descriptivos y un conjunto de operadores lógicos. Combinados, estos se usan para formar una regla de seguridad (conocido como 'Trigger') que conduce a una de las 'Acciones' predefinidas. Aquí están algunos ejemplos:

    En esta imagen, estamos configurando una regla para que requiera cookies si hay más de 50 sesiones activas y permite una mayor actividad desde direcciones IP específicas o bots de Búsqueda de Google.

    IncapRules Example Filter

    Para contrarrestar los ataques de fuerza bruta, puede implementar una regla relativamente simple para limitar el número de solicitudes POST posteriores a su página de inicio de sesión. Por ejemplo, este filtro simple será activado por más de 50 solicitudes POST posteriores realizadas por visitantes inhumanos (que no sean del navegador) en el lapso de un minuto:

    Una vez activada, dicha regla puede responder con cualquier cantidad de acciones. En este caso, la regla se establece en [Bloquear sesión] [Block Session] que terminará instantáneamente la sesión. Alternativamente, puede establecer la acción en [Alerta][Alert], que le notificará de manera transparente sobre el incidente con mensajes de correo electrónico y GUI.

    Por supuesto, los umbrales de velocidad genéricos pueden interrumpir la experiencia del usuario de forma incorrecta. Por ejemplo, es posible que desee restringir esto a su API y tasas de solicitud más altas de lo normal. Una cosa que puede hacer es modificar la sintaxis de la regla con el filtro [URL], para crear una regla que las solicitudes de POST no activen a las URL de la API:

    Al emplear filtros múltiples con varios operadores lógicos (por ejemplo y / o más grandes / más pequeños que, y, etc.) para vincularlos, el conjunto de filtros IncapRules ofrece combinaciones ilimitadas, lo que le permite crear políticas de seguridad personalizadas para cada tipo de escenario.

    ¡Puede obtener más información sobre IncapRules y protección contra los ataques de fuerza bruta aquí, o no dude en probarlo!

    Incapsula T-Shirt

    ¿Qué exploraremos a continuación?

    Espero que estés disfrutando aprender sobre Incapsula DDoS Protection. Cuando le di una oportunidad a la solución Incapsula, quedé impresionado con la integración simple y la amplia gama de poderosas capacidades de protección. Si la aplicación de su sitio web puede ser susceptible a ataques a gran escala, sus protecciones DDoS serán increíblemente valiosas y rentables.

    A continuación, profundizaré en Incapsula CDN y Optimizer, comenzando con el plan gratuito, que incluye una red de distribución de contenido, minimización, compresión de imágenes, optimización de TCP, conexión previa a la conexión y muchas características más.

    Por favor, siéntase libre de publicar sus preguntas y comentarios a continuación. También puede comunicarse conmigo en Twitter @reifman o enviarme un correo electrónico directamente. También puede navegar por mi página de instructor de Tuts+ para leer los otros tutoriales que he escrito.

    Enlaces relacionados

    Advertisement
    Advertisement
    Advertisement
    Advertisement
    Looking for something to help kick start your next project?
    Envato Market has a range of items for sale to help get you started.