Mejor protección DDoS de 2021

BY admin
|
Mejor protección DDoS

1. Project Shield

2. Cloudflare

3. AWS Shield

4. Microsoft Azure

5. Verisign DDoS Protection/ Neustar

Sigue leyendo para ver nuestro análisis detallado de cada servicio

En octubre de 2016 el proveedor de DNS Dyn sufrió un gran ataque DDoS (Distributed Denial of Service) por parte de un ejército de dispositivos IoT que habían sido hackeados especialmente para ello. Más de 14.000 dominios que utilizaban los servicios de Dyn fueron sobrecargados y quedaron inaccesibles, incluyendo grandes nombres como Amazon, HBO y PayPal.

Según una investigación de Cloudflare, el coste medio de los fallos de infraestructura para las empresas es de 100.000 dólares (75.000 libras) por hora. ¿Cómo puede entonces asegurarse de que su organización no sea víctima de este tipo de ataques? En esta guía descubrirá los principales proveedores de infraestructuras que cuentan con el músculo digital necesario para protegerse de los ataques diseñados para inundar la capacidad de su red.

También descubrirá qué proveedores pueden ofrecer protección contra ataques más sofisticados a las aplicaciones (capa 7), que pueden llevarse a cabo sin un gran número de ordenadores pirateados (a veces conocidos como botnet).

  • También hemos destacado los mejores servicios de alojamiento web.

Project Shield

Project Shield (Crédito de la imagen: Future)

Project Shield

Potente protección DDoS de Google, pero no todo el mundo está invitado

Razones para comprar
+Aprovecha la infraestructura de Google +Su configuración es muy sencilla

Razones para evitar
Sólo está disponible para sitios web selectos

Project Shield es la creación de Jigsaw, una rama de la empresa matriz de Google, Alphabet. El desarrollo comenzó hace varios años bajo la dirección de George Conard a raíz de los ataques a sitios web relacionados con la supervisión de las elecciones y los derechos humanos en Ucrania.

Project Shield es capaz de filtrar el tráfico potencialmente malicioso actuando como un proxy inverso que se sitúa entre un sitio web y la Internet en general, filtrando las solicitudes de conexión. Si una conexión parece provenir de un visitante legítimo, Project Shield permite la solicitud de conexión. Si se determina que una solicitud de conexión es mala, por ejemplo, si hay varios intentos de conexión desde la misma dirección IP, se bloquea. Este sistema hace que Project Shield sea extremadamente fácil de implementar simplemente cambiando la configuración DNS de su servidor.

Los usuarios avanzados que estén leyendo se preguntarán cómo funcionará el filtrado de tráfico a través de un proxy con SSL. Afortunadamente, Jigsaw ha pensado en esto y ha reunido un tutorial completo para asegurarse de que las conexiones seguras a su sitio funcionan sin problemas. También hay otros tutoriales disponibles en la sección de soporte.

Actualmente, Project Shield sólo está disponible para sitios web relacionados con los medios de comunicación, la supervisión de elecciones y los derechos humanos. El enfoque principal es también para los pequeños sitios web con pocos recursos que no pueden permitirse costosas soluciones de alojamiento para protegerse de los DDoS. Si su organización no cumple con estos requisitos, puede que tenga que considerar una solución alternativa como Cloudflare.

  • Puede registrarse en Project Shield aquí

Cloudflare

Cloudflare

Cloudflare

El gigante de la protección DDoS

Razones para comprar
+Líder del sector en soluciones DDoS +El nivel gratuito incluye protección básica

Razones para evitar
-Los paquetes para empresas son relativamente caros

Cualquiera que haya utilizado Internet en los últimos años estará familiarizado con Cloudflare, ya que muchos sitios web importantes hacen uso de su protección. Aunque Cloudflare tiene su sede en Estados Unidos, mantiene más de 180 centros de datos en todo el mundo: una infraestructura que compite con la de Google. Esto maximiza las posibilidades de que su sitio permanezca en línea.

Todos los usuarios de Cloudflare pueden optar por activar el modo «Estoy bajo ataque», que puede proteger contra los ataques DoS más sofisticados presentando un desafío de Javascript. Como rutina, Cloudflare también actúa como un proxy inverso que se sitúa entre los visitantes y el anfitrión de su sitio para filtrar el tráfico de manera muy similar al Project Shield de Jigsaw. En marzo de 2019, Cloudflare introdujo Spectrum para UDP, que proporciona protección DDoS y cortafuegos para protocolos poco fiables.

Los visitantes que realizan solicitudes de conexión tienen que pasar por un guante de sofisticados filtros que incluyen la reputación del sitio, si su IP ha sido incluida en la lista negra y si el encabezado HTTP parece sospechoso. Las solicitudes HTTP se someten a una impresión digital para protegerlas de las redes de bots conocidas. Como gigante del sector, Cloudflare puede aprovechar fácilmente su posición compartiendo información entre los más de 7 millones de sitios web que gestiona.

Cloudflare ofrece un paquete básico gratuito que incluye mitigación de DDoS sin medición. Para aquellos que estén dispuestos a pagar por una suscripción empresarial de Cloudflare (los precios comienzan en 200 dólares o 149 libras esterlinas al mes), hay disponible una protección más avanzada, como la carga de certificados SSL personalizados.

  • Puede registrarse en Cloudflare aquí

AWS Shield

AWS Shield

AWS Shield

Excelente mitigación básica de DDoS con más además

Razones para comprar
+La capa gratuita estándar protege contra los ataques más comunes +Fácil configuración

Razones para evitar
-La capa avanzada es muy cara

La protección de AWS Shield es proporcionada por la buena gente de Amazon web services. La capa ‘Estándar’ está disponible para todos los clientes de AWS sin coste adicional. Esto es ideal ya que muchas pequeñas empresas eligen alojar sus sitios web con Amazon. AWS Shield Standard está disponible para todos los clientes sin coste adicional. Protege contra ataques más típicos de red (capa 3) y de transporte (capa 4) cuando se utilizan los servicios Cloud Front y Route 53 de Amazon.

Esto debería alejar a todos los hackers, excepto a los más decididos. Sin embargo, su ancho de banda, por ejemplo 15Gbp/s, seguirá estando limitado por el tamaño de su instancia de Amazon, lo que hace posible que los hackers lleven a cabo un ataque DoS si tienen los recursos suficientes. Peor aún, usted sigue siendo responsable de pagar por el tráfico adicional a su instancia.

Para mitigar esto Amazon también ofrece AWS Shield Advanced. Una suscripción incluye la protección de los costes de DDoS, que puede salvarte de un enorme pico en tu factura de uso mensual si eres víctima de un ataque. AWS Shield Advanced también puede desplegar sus ACL (Listas de Control de Acceso) en la frontera de la propia red de AWS dándole protección incluso contra el mayor de los ataques.

Los suscriptores de AWS Shield Advanced también se benefician de un equipo de respuesta DDoS permanente, así como de métricas detalladas sobre cualquier ataque a sus instancias. Sin embargo, la tranquilidad que ofrece AWS Shield Advanced es cara. Debe estar dispuesto a suscribirse durante un mínimo de un año por un precio de 3.000 dólares (2.200 euros) al mes. A esto hay que añadir los costes de uso de la transferencia de datos, que se pueden cubrir con un sistema de «pago por uso».

  • Puede registrarse en AWS Shield aquí

Microsoft Azure

Microsoft Azure

Microsoft Azure

Brillante protección básica con un nivel de pago asequible

Razones para comprar
+La protección estándar es extremadamente fácil de configurar +Mitigación automática de amenazas

Razones para evitar
-.Protección DDoS general para todos los recursos

Como Amazon, Microsoft ofrece la opción de alquilar espacio de servicio a través de su servicio Azure. Todos los miembros se benefician de una protección DDoS básica. Las características incluyen la monitorización del tráfico en todo momento y la mitigación en tiempo real de los ataques de red (capa 3) para cualquier dirección IP pública que utilice. Este es el mismo tipo de protección que se ofrece a los propios servicios en línea de Microsoft y se pueden utilizar todos los recursos de la red de Azure para absorber los ataques DDoS.

Para las organizaciones que necesitan una protección más sofisticada, Azure también ofrece un nivel «estándar». Esto ha sido ampliamente elogiado por ser muy fácil de habilitar, requiriendo sólo unos pocos clics de su ratón. Lo más importante es que Azure no requiere que hagas ningún cambio en tus aplicaciones, aunque el nivel estándar ofrece protección contra ataques DDoS a las aplicaciones (capa 7) a través del firewall de aplicaciones web de la pasarela de aplicaciones. Azure monitor puede mostrarle métricas en tiempo real si se produce un ataque. Estas se conservan durante 30 días y se pueden exportar para su estudio posterior si lo desea.

Azure comprueba constantemente el tráfico web hacia sus recursos. Si estos superan un umbral predefinido, se lanza automáticamente la mitigación de DDoS. Esto incluye la inspección de paquetes para asegurarse de que no están malformados o suplantados, así como el uso de la limitación de velocidad.

La protección estándar cuesta actualmente 2.944 dólares (2.204 euros) al mes más gastos de datos para un máximo de 100 recursos. La protección se aplica por igual a todos los recursos. En otras palabras, no se puede adaptar la mitigación de DDoS para los individuales.

  • Puede registrarse en Microsoft Azure aquí

Protección DDoS de Verisign

Protección DDoS de Verisign

Protección DDoS de Verisign / Neustar

Los lo mejor en protección DDoS de los veteranos de la seguridad

Razones para comprar
+Fácil de configurar a través de DNS +Centros de depuración dedicados para proteger contra los ataques +Puede desplegarse en las instalaciones

Razones para evitar
-La interfaz tarda en dominarse

Actualización: Los servicios de seguridad de Verisign se transfieren a Neustar.

Verisign es casi tan antiguo como la propia Internet. Desde 1995 ha pasado de ser una simple Autoridad de Certificación a convertirse en uno de los principales actores del sector de los servicios de red.

La protección DDoS de Verisign opera en la nube. Los usuarios pueden optar por redirigir los intentos de conexión con un simple cambio en la configuración de sus DNS (Servidor de nombres de dominio). El tráfico se envía a Verisign para su comprobación con el fin de evitar ataques a la red. Verisign analiza a fondo todo el tráfico antes de redirigirlo.

Como Verisign opera dos de los trece servidores de nombres de rutas globales, no debería sorprender que la organización también mantenga varios «centros de depuración» dedicados al DDoS. Éstos analizan el tráfico y filtran las solicitudes de conexión incorrectas. La infraestructura combinada funciona a casi 2TB/s y puede bloquear incluso los ataques DDoS más abrumadores.

Esto se consigue en gran medida a través de Athena, la plataforma de mitigación de amenazas de Verisign. Athena se divide a grandes rasgos en tres elementos. El «Escudo» filtra los ataques de red (capa 3) y de transporte (capa 4) mediante DPI (inspección profunda de paquetes), listas negras & listas blancas y gestión de la reputación del sitio. El ‘proxy’ de Athena inspecciona las cabeceras HTTP en busca de tráfico malicioso durante los intentos de conexión iniciales. El «proxy» y el «escudo» están respaldados por el «equilibrador de carga» de Athena, que ayuda a prevenir los ataques a las aplicaciones (capa 7).

El portal del cliente muestra informes detallados sobre el tráfico y permite configurar la gestión de amenazas, por ejemplo, creando listas negras de conexiones. Para los usuarios que son reacios a desplegar todo en la nube, Verisign también ofrece OpenHybrid, que puede instalarse in situ.

  • Puede registrarse en Verisign DDoS Protection aquí

Image Credit: Wikimedia Commons (Antoine Lamielle)