1. Limitando la tasa: Esta es la defensa más común y efectiva. El firewall monitorea el tráfico entrante de cada dirección IP o subred. Si el número de solicitudes de una sola fuente excede un umbral predefinido dentro de un marco de tiempo especificado, el firewall eliminará automáticamente más paquetes de esa fuente. Esto evita que un solo atacante o una botnet abrume la red con una avalancha de solicitudes. La limitación efectiva de la tasa requiere una configuración cuidadosa para equilibrar la seguridad con el tráfico legítimo. La configuración demasiado agresiva puede bloquear a los usuarios legítimos.
2. Filtrado de paquetes: Los firewalls pueden filtrar el tráfico en función de varios criterios, como la dirección IP de origen, la dirección IP de destino, el número de puerto y el protocolo. Esto permite que el firewall bloquee direcciones IP maliciosas conocidas o rangos asociados con ataques DDoS. La lista negra Botnet IPS y/o países con alta actividad DDoS es una táctica común.
3. Sistemas de detección/prevención de intrusos (IDS/IPS): Algunos firewalls integran capacidades IDS/IPS. Estos sistemas pueden detectar patrones indicativos de ataques DDoS, como inundaciones SYN o inundaciones UDP. Un IPS puede tomar medidas automáticamente, como dejar paquetes maliciosos o bloquear la dirección IP de origen.
4. Bloqueo Geo: Esto implica bloquear el tráfico que se origina en ubicaciones geográficas específicas que se sabe que están asociadas con ataques DDoS a gran escala. Si bien es efectivo en algunos casos, también puede bloquear a los usuarios legítimos de esas regiones.
5. Filtrado de contenido: Algunos firewalls avanzados pueden inspeccionar el contenido de los paquetes para identificar y bloquear el tráfico malicioso asociado con los ataques DDoS. Esto puede ser útil para detectar y bloquear ataques sofisticados que intentan evadir los métodos tradicionales.
6. Puertas de enlace a nivel de aplicación (ALGS): Estas puertas de enlace analizan el tráfico a nivel de aplicación (por ejemplo, HTTP, HTTPS) para detectar y mitigar ataques que se dirigen a aplicaciones específicas en lugar de a la red en su conjunto. Esto puede ser crucial para defenderse de los ataques DDoS de la capa de aplicación.
7. Servicios de mitigación DDOS: Si bien no es estrictamente parte del firewall en sí, muchas compañías usan servicios de mitigación DDoS externos. Estos servicios actúan como una primera línea de defensa, limpiando el tráfico malicioso antes de que incluso llegue al firewall y la red de la compañía. Esto a menudo es necesario para ataques a gran escala.
Limitaciones:
* ataques sofisticados: Los ataques DDoS altamente sofisticados pueden usar técnicas para evadir las reglas de detección y omitir el firewall, como el uso de fuentes distribuidas y direcciones IP constantemente cambiantes.
* Volumen: Un ataque DDoS suficientemente grande aún puede abrumar incluso el firewall más robusto y sus recursos.
* ataques de día cero: Los firewalls no siempre están preparados para vectores de ataque nuevos y desconocidos.
En conclusión, un firewall es una parte crucial de una estrategia integral de protección DDoS, pero no es una bala de plata. Es necesario un enfoque en capas que incluya múltiples medidas de seguridad, como limitación de tarifas, filtrado, IDS/IP, servicios de mitigación externos y diseño de red robusto para mitigar de manera efectiva el riesgo de ataques DDoS.