Simplificación de las políticas de rutas de desvío de la nube para mejorar la eficiencia y la gestión de riesgos con Nexusguard On-Net

Las organizaciones a las que se les ha confiado la propiedad o la administración de un sistema autónomo (AS) pueden aprovechar Nexusguard Cloud Diversion para obtener ventajas incomparables. Esta sólida solución proporciona un escudo integral para toda la subred IP, lo que brinda una protección integral y resiliente contra una amplia gama de amenazas.
‍

Elaboración de una estrategia de política de rutas eficaz

Cuando nos enfrentamos a la abrumadora tarea de mitigar los ataques DDoS volumétricos, puede resultar ventajoso abordar el problema con una nueva perspectiva. Estos ataques suponen una amenaza para la disponibilidad de la red al desbordar el ancho de banda disponible. Sin embargo, la verdadera ventaja está en manos de quienes aborden con éxito tres cuestiones fundamentales:

‍

1. ¿Debería anunciarse la red atacada de forma automática o manual?

Cuando se trata de los dos enfoques, manual y automático, para hacer frente a los ataques DDoS, hay ventajas y desventajas a tener en cuenta:

‍

(a) Enfoque manual

Ventajas: Una de las ventajas del enfoque manual es la capacidad de llevar a cabo la verificación antes de implementar la desviación. Esto garantiza un proceso de toma de decisiones más seguro, ya que los posibles problemas pueden evaluarse minuciosamente de antemano.
‍

Contras: Sin embargo, el enfoque manual puede introducir demoras durante el proceso de verificación. Además, durante las horas no laborables, es posible que falte el apoyo de un ingeniero experimentado, lo que podría afectar a la eficacia de la respuesta. Un error humano a la hora de configurar la política de rutas también es un posible inconveniente a tener en cuenta.

‍

(b) Enfoque automático

Ventajas: El enfoque automático ofrece un tiempo de respuesta más rápido, gracias a su naturaleza automatizada. Está preconfigurado, lo que ayuda a evitar la posibilidad de errores humanos durante la implementación.
‍

Contras: Por el lado negativo, el enfoque automático carece del paso de verificación, lo que significa que no hay oportunidad de confirmar la idoneidad del desvío. Ajustar la política de rutas en caso de que cambien las circunstancias se convierte en un desafío, y las redes no agregadas que funcionan las 24 horas del día pueden requerir cambios de ruta manuales para lograr un rendimiento óptimo.

Al considerar estos factores, es importante sopesar las ventajas y desventajas entre los dos enfoques y elegir el que mejor se adapte a los requisitos y limitaciones específicos de la situación en cuestión.

‍

2. ¿Deberían anunciarse todas las redes o solo la red atacada?

A la hora de decidir qué redes deben anunciarse durante un ataque DDoS, hay que tener en cuenta. Un enfoque consiste en anunciar únicamente la red atacada, separando de manera efectiva el tráfico relacionado con el ataque del resto. De este modo, el riesgo se desvía de las redes no afectadas, lo que reduce los daños colaterales.
‍

Sin embargo, hay un escenario que abordar cuando se trata de una red /24 en el que no es posible la agregación de rutas. En estos casos, la práctica recomendada es desviar el tráfico por prefijo IP /24. Esto se debe a que el prefijo IP /24 representa el bloque IP enrutable mínimo de Internet. Para garantizar que el tráfico de ataques no entre en la red, es necesario retirar la red afectada de los enlaces superiores de Internet habituales durante los períodos en los que no se produce un ataque.
‍

Estas medidas tienen como objetivo aislar y proteger la red atacada y, al mismo tiempo, minimizar el impacto en otras redes y mitigar el riesgo asociado con el ataque DDoS.

‍

3. ¿Cómo se debe anunciar la red atacada?

Para anunciar de manera efectiva que la red está siendo atacada, hay varios pasos que se pueden tomar. En primer lugar, hay que anunciar la red a Nexusguard (ASN45474) utilizando el protocolo de puerta de enlace fronteriza externo (eBGP) para un enrutamiento adecuado. Esto garantiza que el tráfico de la red se dirija al destino apropiado.
‍

Al anunciar la red atacada, se recomienda anunciarla como una red /24, indicando el rango de prefijos IP específico asociado a la red. Este nivel de granularidad permite un enrutamiento y un control más precisos del flujo de tráfico.
‍

Para establecer la ruta de retorno para el tráfico, se puede construir un GRE (encapsulación de enrutamiento genérico) o un túnel inteligente. Estos mecanismos proporcionan una forma segura y eficiente de redirigir el tráfico de la red atacada a su destino previsto.
‍

Durante los períodos sin ataques, es crucial retirar de los enlaces de Internet en tiempos de paz el anuncio de que la red está siendo atacada. De este modo, el tráfico normal no se dirigirá a través de esas rutas, lo que minimizará cualquier posible impacto o interferencia que cause el ataque en curso.
‍

Siguiendo estos pasos, la red atacada se puede anunciar y administrar de manera efectiva, garantizando que el tráfico se dirija adecuadamente y que la red permanezca operativa y segura durante los ataques DDoS.

‍

Seguridad mejorada simplificada gracias a la política de rutas de desvío a la nube On-Net de Nexusguard

Durante las operaciones normales, un cliente de Origin Protection (OP) con la dirección de red IP 123.45.6.0/24 anuncia su red a los proveedores de upstream mediante su propia ASN 123. Sin embargo, cuando esta red sufre un ataque DDoS, entra en acción un agente de desvío de la nube, que anuncia la red 123.45.6.0/24 a Nexusguard Cloud, que redirige una parte del tráfico del ataque a los centros de depuración para mitigarlo. Lamentablemente, es posible que parte del tráfico de los ataques siga fluyendo a través de los enlaces superiores de Internet originales en tiempos de paz, lo que provoca una degradación y afecta a la calidad de la red.
‍

Para abordar este problema de manera efectiva, se introduce el modo On-Net de la aplicación Cloud Diversion. El agente de Cloud Diversion establece un par de iBGP con el router del cliente OP. Cuando se activa la política de desvío, el anuncio de red se envía al router del cliente OP. En este punto, el ingeniero de red puede implementar una política mediante etiquetas de comunidad BGP. Esta política garantiza que la red atacada (123.45.6.0/24) se envíe exclusivamente a Nexusguard Cloud y, al mismo tiempo, la retire de los enlaces de Internet habituales en tiempos de paz.
‍

Como resultado de este enfoque, la red atacada y el resto de las redes fluyen a través de enlaces superiores de Internet separados y, en última instancia, llegan al mismo destino. Esta segregación ayuda a mantener la integridad de la red atacada y evita el impacto en otras redes causado por el tráfico atacado.

‍

Ventajas de Nexusguard On-Net

La solución On-Net de Nexusguard ofrece varios beneficios que mejoran las operaciones de red en situaciones de ataque DDoS y en tiempos de paz. Una ventaja importante es la separación de los flujos de red en tiempos de paz de los que están siendo atacados a través de diferentes enlaces ascendentes de Internet. El enrutamiento de estos flujos por separado minimiza los daños colaterales y garantiza que se mantengan el rendimiento y la calidad de las redes en tiempos de paz. Esto ayuda a mitigar problemas como la latencia de la red y la pérdida de paquetes, proporcionando una experiencia perfecta para los usuarios habituales de la red.
‍

Otro beneficio notable de Nexusguard On-Net es la capacidad de automatizar completamente los anuncios de rutas. Esto minimiza la necesidad de intervención manual por parte del equipo de red, lo que reduce las posibilidades de que se produzcan errores humanos durante los cambios de ruta. Con los anuncios de rutas automatizados, el proceso se vuelve más eficiente y confiable, lo que permite una administración de la red y una respuesta más fluidas a las posibles amenazas.
‍

Además, Nexusguard On-Net permite un desvío del tráfico casi inmediato, con la excepción del tiempo necesario para la convergencia de BGP. Este rápido desvío ayuda a mitigar los ataques DDoS en una fase temprana, minimizando el daño potencial que pueden causar. Al desviar rápidamente el tráfico de ataque fuera de la red objetivo, el impacto en el rendimiento y la disponibilidad de la red se puede reducir significativamente.