(+54) 11 43153217 info@planex.com.ar
DDOS Y 5G: CUANTO MÁS GRANDE ES EL TUBO, MÁS FUERTE ES LA AMENAZA

DDOS Y 5G: CUANTO MÁS GRANDE ES EL TUBO, MÁS FUERTE ES LA AMENAZA

por | Jul 16, 2018 | General

Dos de los mayores hypes en telecomunicaciones hoy en día son IoT y 5G. Todo el mundo está hablando de ellos, planificándolos, probándolos e incluso implementándolos.

Es una imagen optimista, pero hay una trampa: todos sabemos que el DDoS es una amenaza presente y creciente. En este post, expondré que 5G aumenta la amenaza DDoS y, como resultado, requiere defensas más fuertes que las estrategias tradicionales actuales. Además, presentaré una nueva arquitectura de solución que proporciona una defensa actual más sólida y tiene el valor agregado de ser a prueba de futuro también.

¡Creo que todos podemos estar de acuerdo en que DDoS está aquí y no va a desaparecer!

Entonces, DDoS es una amenaza para todos con presencia en la red, pero ¿por qué crece tanto en tamaño como en frecuencia? Una de las razones es que la proliferación explosiva de dispositivos IoT,  proporciona a los piratas informáticos un paisaje en crecimiento desde el cual que lanzar estos ataques.

Una segunda razón por la que los ataques DDoS siguen creciendo es una ganancia financiera fácil . Los ataques DDoS pueden incluir demandas de rescate, o pueden ser una forma de dañar a un competidor, ya sea paralizando su negocio, o usando el ataque como una cortina de humo para ocultar el cibertecreto de los secretos comerciales.  Una tercera razón es que los hacktivistas ven cada vez más a los DDoS como una manera fácil de castigar a los enemigos ideológicos, ya sean gubernamentales o corporativos, con una publicidad amplificada en paralelo a la inundación de tráfico DDoS amplificada.

Los proveedores de servicios de comunicación (CSP) son a menudo objetivos de ataques DDoS, pero incluso cuando no son el objetivo, su red es el medio y sufren de tráfico excesivo que puede obstaculizar su capacidad de proporcionar servicios a sus muchos clientes que no están siendo en absoluto, los espectadores inocentes. El costo de estos ataques es alto. Kaspersky Lab estima que el costo para las pequeñas y medianas empresas (SMB) es superior a $ 120 K por cada ataque y para las grandes empresas (incluidos los CSP), puede ser de $ 1-2 M o más. La gran mayoría de los CSP experimenta ataques DDoS cada año, a menudo muchas veces al mes.

Los costos son, por supuesto, directos e indirectos: pueden incluir multas por Acuerdo de Nivel de Servicio (SLA) para clientes empresariales afectados, costos incurridos por centros de llamadas sobrecargados, esfuerzos para restaurar o reemplazar infraestructura impactada, compras adicionales de nueva infraestructura y, por supuesto, costos asociado con daño a la reputación. Intentar evitar la rotación de clientes, ejecutar campañas promocionales y ofrecer descuentos para recuperar clientes y restaurar la reputación, o para atraer nuevos clientes, todo contribuye al costo de estos ataques.

Entonces, ¿qué tiene que ver todo esto con 5G? Bueno, la próxima expansión exponencial del ancho de banda de alta velocidad significa que, además de la motivación generalizada, las herramientas de ataque fácilmente disponibles y la proliferación de fuentes de ataque de IoT, los ataques serán mucho más grandes porque la «autopista 5G» tendrá muchos carriles más para permitir enormemente mayores tasas de tráfico, tanto buenas como malas.

En este entorno, más de un tercio de los clientes de CSP esperan que los CSP los protejan de estos ataques. Esperan seguridad, no solo la conectividad y los CSP intentan enfrentar este desafío. Tradicionalmente, han adoptado varias técnicas para combatir el DDoS, pero todas son limitadas cuando se trata de ataques de gran volumen.

Solución de alta gama: Centros de depuración

La forma en que funcionan los centros de depuración es que cuando se identifica un ataque entrante -generalmente mediante un muestreo periódico de los umbrales de tráfico de red y la intervención humana- todo el tráfico se desvía a un centro de datos especializado cuya función es inspeccionar cada paquete, eliminar el contenido del ataque y enviar los paquetes de datos limpios regresan a la red CSP.

Como señala Frost & Sullivan , esta solución es bastante problemática por las siguientes razones:

  1. Costo: Aquí es un alto costo asociado a los recursos de red adicionales y el trabajo humano implicado en el cambio de ruta tanto tráfico.
  2. Calidad: Hay una gran probabilidad de calidad reducida durante el ataque debido al tiempo que lleva desviar, fregar y devolver el flujo de tráfico limpio.
  3. Exactitud: En el caso de las solicitudes de tráfico asimétricas y los correspondientes paquetes de acuses de recibo (que a menudo constituyen el ataque amplificado), no siempre se viaja por las mismas rutas, lo que dificulta determinar cuándo el tráfico es legítimo y cuándo es ilegítimo.
  4. Evasión: Los atacantes se han adaptado a la laguna de la tasa de muestreo de esta solución empleando estallidos de tráfico a corto plazo pero muy grandes para evadir el mecanismo de muestreo.

Solución de gama baja: sistemas en línea (originalmente diseñado para la implementación de Enterprise)

Estas soluciones no recurren al tráfico de muestreo ya que operan en línea, pero:

  • No fueron diseñados para operar a la escala del tráfico CSP
  • No manejan la asimetría por las mismas razones que arriba
  • No miran el tráfico saliente, por lo que no mitigan los ataques salientes
  • No pueden ayudar a priorizar el tráfico legítimo de mayor prioridad durante los ataques

Las soluciones de gama alta son demasiado costosas para la mayoría de los CSP y, en última instancia, son de eficacia limitada. Las soluciones de gama baja no son realmente adecuadas para CSP. Lo que se requiere es un enfoque nuevo y rentable que satisfaga los desafíos actuales y que pueda escalar sin esfuerzo para manejar los ataques más grandes y desconocidos del futuro, protegiendo a las redes y clientes de CSP, todo el tiempo y a tiempo. Este nuevo enfoque, implementado por Allot, consiste en un sistema de mitigación DDoS en línea altamente escalable que detiene los ataques volumétricos entrantes y salientes, utiliza el aprendizaje automático para detectar patrones desconocidos previamente y está completamente integrado con la funcionalidad DPI para garantizar la calidad del tráfico legítimo durante los ataques.

Esta solución no requiere ninguna inversión en infraestructura para redirigir el tráfico a los centros de depuración y, dado que es automática, no requiere mucha supervisión. Debido a que está en línea, siempre está operativo y responde en segundos en lugar de minutos o decenas de minutos, por lo que no se introduce la latencia. Debido a que la solución está integrada con Deep Packet Inspection (DPI), su aplicación y conocimiento del usuario garantiza la priorización basada en políticas del tráfico crítico, incluso durante los ataques más grandes. Finalmente, debido a que utiliza el aprendizaje automático para analizar de forma centralizada las proporciones del tráfico entrante y saliente, detecta patrones desconocidos, lo que proporciona seguridad a prueba del futuro. Y para aumentar la rentabilidad, esta solución se puede implementar como un clúster virtualizado para garantizar un acceso ilimitado, escalabilidad elástica y proporciona protección de velocidad de cable que no puede ser abrumada. No importa la cantidad de datos que pasan a través de los sensores, siempre se puede manejar el volumen de relaciones que llega al controlador.

DDoS es una amenaza real y creciente. Los avances tecnológicos como 5G producirán beneficios imprevistos, pero también darán lugar a amenazas mejoradas. Los CSP deben ser proactivos para mantenerse a la vanguardia del juego.

www.planex.com.ar

¿Qué tecnología debería elegir en IoT?

¿Qué tecnología debería elegir en IoT?

por | Nov 6, 2017 | General

En el mercado actual de IoT, hay varias tecnologías inalámbricas de red IoT para elegir. Estas incluyen redes de área amplia de baja potencia (LPWAN), que tienen varias iteraciones de propiedad incluyendo Sigfox y LoRaWAN, conexiones celulares en la familia de telefonía móvil GSM, ahora con versiones dedicadas como Cat M1 para IoT y la especificación (NB-IoT).

Además de estas opciones adicionales, se incluye la tecnología inalámbrica inteligente de red ubicua (Wi-SUN),  las comunicaciones satelitales tradicionales, Bluetooth y derivados de Wi-Fi.

Hemos limitado nuestros perfiles de tecnología a las tecnologías de radio que ofrecen  ancho de banda a menor capacidad que las opciones de telefonía móvil GSM.

NB-IoT Narrowband IoT es una nueva especificación de tecnología móvil desarrollada por el organismo de estándares 3GPP para abordar la necesidad en IoT de dispositivos de transmisión de datos de baja potencia  y baja frecuencia en la transmisión de datos.

NB-IoT puede operar en el espectro GSM o utilizar un bloque de recursos no utilizados dentro de una banda de guardia existente del  transporte de LTE. Los chipsets compatibles con NB-IoT ahora están disponibles, pero son nuevos en el mercado y aún se encuentran en etapa de prototipo. 3GPP aún no ha anunciado planes para un programa de certificación NBIoT.

Los programas de certificación con compañías de telefonía celular han implicado altas tarifas en el pasado, pero actualmente no hay detalles disponibles.

NB-IoT, particularmente en Europa, se está viendo como un importante sucesor de las redes 2G, que están empezando a retirarse.

LoRaWAN es una tecnología de radio de baja potencia patentada y desarrollada por Semtech pero licenciada para uso global por otros proveedores.  La tecnología es respaldada por LoRa Alliance, que proporciona certificación para la interoperabilidad del proveedor.

Los radios LoRaWAN se usan comúnmente en dispositivos de baja potencia con transmisiones de datos de baja frecuencia.

Los LoRaWAN se suelen diseñar en topologías en estrella con gateways que transmiten mensajes entre dispositivos finales y un servidor de red central.

Sigfox es una tecnología de banda angosta. Utiliza un método de transmisión de radio estándar llamado modulación por desplazamiento de fase binaria (BPSK), y toma fragmentos muy estrechos de espectro y cambia la fase de la onda de radio del operador para codificar los datos. Esto permite que el receptor solo escuche en una pequeña porción de espectro que mitiga el efecto del ruido.

Requiere un radio de acceso de bajo costo y una estación base más sofisticada para administrar la red. Por lo tanto, la tecnología es adecuada para conectar objetos de baja consumo como contadores de electricidad, relojes inteligentes o electrodomésticos, que deben estar encendidos continuamente y emitir solo pequeñas cantidades de datos.

La red Wi-SUN inalámbrica inteligente ubicua (Wi-SUN) es una tecnología basada en el estándar IEEE 802.15.4g. Respaldado por la Alianza Wi-SUN, cuenta con una organización externa que desarrolla pruebas para certificar que el equipo IoT basado en estándares IEEE 802.15.4g es compatible e interoperable con otros equipos certificados.

Las redes Wi-SUN admiten topologías de estrella y malla, así como implementaciones híbridas de estrella / malla, pero normalmente se presentan en una topología de malla donde cada nodo transmite datos para que la red proporcione conectividad de red. Las redes Wi-SUN se implementan tanto en dispositivos con energía externa como con baterías internas.

 

× ¿Cómo puedo ayudarte?