Simplificando as políticas de rotas de desvio de nuvem para melhor eficiência e gerenciamento de riscos com o Nexusguard On-Net

As organizações encarregadas da propriedade ou do gerenciamento de um Sistema Autônomo (AS) podem aproveitar o Nexusguard Cloud Diversion para obter vantagens incomparáveis. Essa solução robusta fornece um escudo abrangente para toda a sua sub-rede IP, oferecendo proteção abrangente e resiliente contra uma ampla variedade de ameaças.
‍

Elaboração de uma estratégia de política de rotas eficaz

Quando confrontado com a difícil tarefa de mitigar ataques volumétricos de DDoS, pode ser vantajoso abordar o problema com uma nova perspectiva. Esses ataques representam uma ameaça à disponibilidade da rede ao sobrecarregar a largura de banda disponível. No entanto, a verdadeira vantagem aguarda aqueles que abordarem com sucesso três questões fundamentais:

‍

1. A rede sob ataque deve ser anunciada automática ou manualmente?

Quando se trata das duas abordagens, manual e automática, para lidar com ataques de DDoS, há vantagens e desvantagens a serem consideradas:

‍

(a) Abordagem manual

Prós: Um dos benefícios da abordagem manual é a capacidade de realizar a verificação antes de implementar o desvio. Isso garante um processo de tomada de decisão mais seguro, pois os possíveis problemas podem ser cuidadosamente avaliados com antecedência.
‍

Contras: No entanto, a abordagem manual pode causar atrasos durante o processo de verificação. Além disso, durante o horário de folga, pode haver falta de suporte experiente de engenheiros, o que pode afetar a eficácia da resposta. O erro humano na configuração da política de rotas também é uma desvantagem potencial a ser considerada.

‍

(b) Abordagem automática

Prós: A abordagem automática oferece um tempo de resposta mais rápido, graças à sua natureza automatizada. Ele é pré-configurado, o que ajuda a evitar a possibilidade de erro humano durante a implementação.
‍

Contras: Por outro lado, a abordagem automática carece da etapa de verificação, o que significa que não há oportunidade de confirmar a adequação do desvio. Ajustar a política de rotas em caso de mudanças nas circunstâncias se torna um desafio, e redes /24 não agregadas podem exigir mudanças manuais de rota para um desempenho ideal.

Ao considerar esses fatores, é importante ponderar as vantagens e desvantagens entre as duas abordagens e escolher aquela que melhor se alinha aos requisitos e restrições específicos da situação em questão.

‍

2. Todas as redes devem ser anunciadas ou somente a rede sob ataque?

Ao decidir quais redes devem ser anunciadas durante um ataque DDoS, há considerações a serem feitas. Uma abordagem é anunciar somente a rede sob ataque, separando efetivamente o tráfego relacionado ao ataque do resto. Ao fazer isso, o risco é desviado das redes não afetadas, reduzindo os danos colaterais.
‍

No entanto, há um cenário a ser abordado ao lidar com uma rede /24 em que a agregação de rotas não é possível. Nesses casos, a prática recomendada é desviar o tráfego por prefixo IP /24. Isso ocorre porque um prefixo IP /24 representa o bloco IP roteável mínimo na Internet. Para garantir que o tráfego de ataque seja impedido de entrar na rede, é necessário retirar a rede afetada dos uplinks regulares da Internet durante períodos sem ataque.
‍

Essas medidas visam isolar e proteger a rede sob ataque, minimizando o impacto em outras redes e mitigando o risco associado ao ataque DDoS.

‍

3. Como a rede sob ataque deve ser anunciada?

Para anunciar com eficácia a rede sob ataque, há várias etapas que podem ser tomadas. Primeiro, a rede deve ser anunciada à Nexusguard (ASN45474) usando o protocolo externo Border Gateway (eBGP) para o roteamento adequado. Isso garante que o tráfego da rede seja direcionado para o destino apropriado.
‍

Ao anunciar a rede sob ataque, é recomendável anunciá-la como uma rede /24, indicando o intervalo de prefixo IP específico associado à rede. Esse nível de granularidade permite roteamento e controle mais precisos sobre o fluxo de tráfego.
‍

Para estabelecer o caminho de retorno para o tráfego, um GRE (Encapsulamento de Roteamento Genérico) ou túnel inteligente pode ser construído. Esses mecanismos fornecem uma maneira segura e eficiente de o tráfego da rede sob ataque ser roteado de volta ao destino pretendido.
‍

Durante os períodos sem ataque, é crucial retirar o anúncio da rede sob ataque dos uplinks da Internet em tempos de paz. Ao fazer isso, o tráfego normal não será roteado por esses caminhos, minimizando qualquer impacto ou interferência potencial causada pelo ataque em andamento.
‍

Seguindo essas etapas, a rede sob ataque pode ser anunciada e gerenciada de forma eficaz, garantindo que o tráfego seja direcionado adequadamente e que a rede permaneça operacional e segura durante ataques de DDoS.

‍

Segurança aprimorada facilitada por meio da política de rota de desvio de nuvem Nexusguard On-Net

Durante as operações normais, um cliente de Proteção de Origem (OP) com o endereço de rede IP 123.45.6.0/24 anuncia sua rede para provedores upstream usando seu próprio ASN 123. No entanto, quando essa rede sofre um ataque de DDoS, um agente de desvio de nuvem entra em ação, anunciando a rede 123.45.6.0/24 para o Nexusguard Cloud, que redireciona uma parte do tráfego do ataque para os centros de depuração para mitigação. Infelizmente, parte do tráfego de ataque ainda pode fluir pelos uplinks originais da Internet em tempos de paz, causando degradação e afetando a qualidade da rede.
‍

Para resolver esse problema de forma eficaz, o modo On-Net do aplicativo Cloud Diversion foi introduzido. O agente Cloud Diversion estabelece um peer iBGP com o roteador cliente OP. Quando a política de desvio é acionada, o anúncio da rede é enviado ao roteador do cliente OP. Nesse ponto, o engenheiro de rede pode implementar uma política usando tags de comunidade do BGP. Essa política garante que a rede sob ataque (123.45.6.0/24) seja enviada exclusivamente para o Nexusguard Cloud, ao mesmo tempo em que a retira dos uplinks usuais da Internet em tempos de paz.
‍

Como resultado dessa abordagem, a rede sob ataque e o restante das redes fluem por meio de uplinks separados da Internet, chegando finalmente ao mesmo destino. Essa segregação ajuda a manter a integridade da rede sob ataque e evita o impacto em outras redes causado pelo tráfego de ataque.

‍

Benefícios do Nexusguard On-Net

A solução On-Net da Nexusguard oferece vários benefícios que aprimoram as operações de rede em tempos de paz e em situações de ataque DDoS. Uma vantagem significativa é a separação dos fluxos de rede em tempo de paz e sob ataque por meio de diferentes uplinks da Internet. O roteamento desses fluxos separadamente minimiza os danos colaterais, garantindo que o desempenho e a qualidade das redes em tempos de paz sejam mantidos. Isso ajuda a mitigar problemas como latência de rede e perda de pacotes, proporcionando uma experiência perfeita para usuários regulares da rede.
‍

Outro benefício notável do Nexusguard On-Net é a capacidade de automatizar totalmente os anúncios de rotas. Isso minimiza a necessidade de intervenção manual da equipe de rede, reduzindo as chances de erro humano durante mudanças de rota. Com anúncios de rotas automatizados, o processo se torna mais eficiente e confiável, permitindo um gerenciamento de rede mais suave e uma resposta a possíveis ameaças.
‍

Além disso, o Nexusguard On-Net permite o desvio de tráfego quase imediato, com exceção do tempo necessário para a convergência do BGP. Esse desvio rápido ajuda a mitigar os ataques de DDoS em um estágio inicial, minimizando os possíveis danos que eles podem causar. Ao desviar imediatamente o tráfego de ataque da rede alvo, o impacto no desempenho e na disponibilidade da rede pode ser reduzido significativamente.