Por que IPS e firewalls não são soluções anti-DDoS?

Defender-se contra ataques DDoS é desafiador; Firewalls evoluíram, mas tabelas de sessões limitam sua eficácia diante de inúmeras fontes de origem.

Marcio Oliveira
*Na foto: Marcio Oliveira – Imagem: divulgação / NSFocus

Quando acontece um ataque DDoS (Distributed Denial of Service) ou ataque distribuído de negação de serviço, podem existir inúmeras fontes de origem em direção a um ou mais alvos computacionais de uma determinada empresa. No dia a dia, trata-se de algo extremamente complexo de se proteger, pois não basta fazer uma regra para bloquear um IP de origem, já que podem existir milhares de IPs voltados para o mesmo ataque, tornando inviável o bloqueio.

Com a evolução técnica dos Firewalls e IPS, que trabalham no modelo Stateful e possuem tabela de sessões, entende-se que o tráfego deve ser simétrico. Atualmente, a maioria das soluções de Firewall compreende que um pacote que não tenha passado originalmente por ele, pode ser um ataque e o bloqueia. Apesar disso, a tabela de sessões é finita, pois possui um número máximo de registros que podem ser processados simultaneamente.

Ou seja, se o objetivo de um ataque DDoS é a exaustão de recursos, não faz sentido utilizar dispositivos que possuem limites. Na prática, em relação a um Firewall ou IPS, ambos sofreriam rapidamente com a exaustão de recursos, indisponibilizando totalmente acessos e serviços. Porém, ainda assim, muitos profissionais ainda adotam tais soluções como proteção base contra ataques DDoS.

Firewalls e IPS não são soluções desenhadas para defesa de DDoS, pois possuem proteções sensíveis na camada 4, focadas em técnicas de SYN Flood, ICMP Flood e, em alguns casos, ACK Flood. Entretanto, esses tipos não são os mais utilizados atualmente, sendo que existem outras várias formas de ataques. Segundo o estudo “2022 Global DDoS Attack Landscape Report”, realizado pela NSFOCUS, mais da metade dos ataques de negação de serviço são baseados em UDP, cerca de 60%.

Ainda de acordo com o relatório, os ataques superiores a 100 Gbps aumentaram mais de 50% no último ano, representando um ataque a cada hora, em média. O pico ultrapassou 1 Tbps em seis meses, e os ataques baseados em UDP foram os mais comuns, sendo que um terço deles foi UDP reflexivo e o restante não reflexivos de grandes pacotes. Isso mostrou que os invasores controlaram recursos de ataque extremamente abundantes e não precisaram nem de reflexão UDP para amplificar o tráfego.

Em relação ao Firewall, todo esse contexto pode ser ainda mais complicado, por conta da quantidade de funcionalidades que o equipamento possui, além da concorrência de recursos para inspeção de um pacote em todas as análises necessárias para definir se pode ou não entrar no ambiente. Pode até parecer possível contar com recursos suficientes para tratar ataques DDoS em menor escala e complexidade, mas quando a ofensiva não for contemplada pelo que o Firewall entende, este será o primeiro a sofrer uma indisponibilidade.

O ideal para qualquer empresa é utilizar uma solução dedicada, com inteligência artificial, alta performance e Stateless (não orientado a tabela de sessão), para conseguir tratar quantidades massivas de pacotes e separar os válidos daqueles maliciosos, por meio de regras, algoritmos e alta tecnologia. Além disso, outro ponto importante é contar com uma base externa de atualizações de ameaças embarcadas, pois a cada novo IP, URL ou Hash malicioso descoberto, a solução será capaz de responder agilmente e proteger contra ataques de DDoS nas camadas 4 e 7.

Vale ressaltar que uma solução anti-DDoS possui flexibilidade de implementação. Isso quer dizer que para uma empresa tradicional, ela pode ser instalada no modo inline, logo após o roteador que recebe o link de Internet. No caso de grandes provedores de Internet, pode ser implementada no modelo out-of-path, ou seja, recebendo somente o tráfego que for detectado previamente como malicioso.

Por fim, como premissa básica, o importante é manter uma segurança em camadas, onde o ambiente tenha maior resiliência e entendimento de que cada solução tem a sua função e seus pontos fortes. Não adianta tentar proteger um negócio de um ataque DDoS somente com um checkbox no Firewall ou IPS.

*Por Marcio Oliveira

*Marcio Oliveira é engenheiro da computação e pós-graduado em Cyber Security e possui mais de 10 anos de experiência em segurança da informação. Com passagens pela Record TV, Safeway, Tivit e Embratel, desde o início de 2023 é responsável pela área de pré-vendas da NSFOCUS para a América Latina.


Leia também