Arbor Pravail

(
H OJ A D E DATOS
)
Arbor Pravail
Sistema de protección de
disponibilidad (APS)
PROTECCIÓN SIMPLIFICADA Y PROBADA PARA SU SITIO WEB Y NEGOCIO ONLINE
Los centros de datos están expuestos a una variedad creciente de ataques de denegación
de servicio distribuido (DDoS). Abarcan desde ataques de inundación por avalancha que
pretenden agotar el ancho de banda de la red hasta ataques dirigidos a aplicaciones
esenciales tales como correo electrónico, servicios Web, comercio electrónico y voz
sobre IP (VoIP). Los ataques son cada vez más sofisticados y, sin embargo, más fáciles de
perpetrar. Como resultado, los operadores de centros de datos de todo el mundo sufren
interrupciones de servicio debidas a ataques DDoS cuya frecuencia y gravedad progresivas
no tienen precedentes para las empresas.
El liderazgo de Arbor
Eficacia y fiabilidad
La inmensa mayoría de los
principales proveedores de
servicios del mundo confían en
Arbor Networks para su defensa
contra ataques DDoS. Si su
proveedor de servicios de red ofrece
defensa DDoS, es muy probable que
utilice productos Arbor.
Liderazgo en investigación
Los investigadores de seguridad de
Arbor cuentan con una visibilidad en
tiempo real del 70% del tráfico de
Internet. Este acceso incomparable
a las amenazas emergentes
permite al equipo ASERT (Arbor
Security Engineering and Response
Team) desarrollar rápidamente
actualizaciones automáticas de
Pravail APS.
Cloud SignalingSM Coalition
Este enfoque innovador de la defensa
contra ataques DDoS ofrece a las
empresas protección coordinada local
y en la nube. Esta coalición cuenta
cada vez con más proveedores de
todo el mundo en sus filas.
Arbor Networks® es el proveedor de soluciones de defensa contra ataques DDoS preferido
por los proveedores de servicios, grandes proveedores de hospedaje y proveedores de cloud
computing. Como estándar de facto en materia de defensa contra ataques DDoS para la
gran mayoría de ISP de nivel 1 y nivel 2, Arbor dispone de la tecnología de neutralización de
ataques DDoS más testada y fiable. El sistema de protección de disponibilidad Arbor Pravail™
(“Pravail APS”) ofrece tecnología testada de primera clase de defensa contra ataques DDoS
cuya finalidad es proteger el centro de datos de las empresas.
Consolidación de centros de datos, cloud computing y botnets
La tendencia creciente hacia la consolidación y el modelo cloud computing significa que
las empresas dependen más que nunca de sus centros de datos. La disponibilidad de los
servicios (Web, comercio electrónico, transacciones financieras, cadena de suministro, correo
electrónico, etc.) es esencial. Si las aplicaciones clave dejan de funcionar, el negocio se
resiente y queda paralizado.
La propagación global de botnets (conjuntos de ordenadores comprometidos) ha generado
una epidemia de ataques DDoS. A medida que las herramientas de ataque se vuelven
cada vez más sofisticadas y fáciles de utilizar, los operadores de botnets derriban las
aplicaciones a las que se dirigen con ataques de ancho de banda reducido que esquivan
la detección de las redes de los proveedores y de los dispositivos de seguridad perimetral
tradicionales. Por lo general, los operadores de centros de datos no perciben estos
ataques hasta que los servicios críticos dejan de funcionar o se degradan gravemente. En
esos momentos, la presión por encontrar y resolver el problema puede ser extrema y, sin
embargo, las herramientas y la experiencia necesarias para ello son a menudo insuficientes.
Pravail APS se ha diseñado específicamente para proteger la continuidad del negocio
y la disponibilidad frente a la constelación creciente de amenazas a las aplicaciones.
Proporciona la tecnología de detección y mitigación de ataques más avanzada y sofisticada
del mundo en un dispositivo fácil de implantar que neutraliza automáticamente los ataques
antes de que afecten a los servicios críticos.
Pantalla de resumen de la interfaz gráfica de usuario Web de Pravail APS. Los iconos “Protection Level”
(Nivel de protección) permiten habilitar las protecciones predefinidas del servidor Web o de otros
servidores/grupos del centro de datos.
Las soluciones tradicionales de seguridad perimetral no ofrecen una defensa
completa contra los ataques DDoS
¿Puede permitirse el lujo de
ignorar los ataques DDoS y otras
amenazas para la disponibilidad?
Cuando los servicios expuestos
a Internet dejan de funcionar, las
consecuencias para la empresa
pueden ser devastadoras. Considere
los siguientes aspectos:
• Pérdida directa de ingresos y
beneficios. Podría decirse que
este es el coste más cuantioso y la
forma más fácil de calcular el tiempo
de inactividad. Por ejemplo, si un
comercio online que obtiene el 40
por ciento de sus ingresos durante
las dos últimas semanas del año
sufre una interrupción del servicio
dos días antes de Navidad, el impacto
financiero puede ser devastador. Los
ataques pueden continuar durante
días o incluso semanas.
• Merma de reputación y valor
de marca. Las noticias viajan
con rapidez en la actual era de la
información, especialmente cuando
se trata de interrupciones de servicio
o brechas de seguridad. La cobertura
negativa de los medios puede afectar
gravemente a la reputación de una
organización y al valor de su marca.
• Caída de productividad. Cuando los
servicios online dejan de funcionar,
la productividad de los empleados
y las empresas que dependen de
ellos puede reducirse drásticamente.
Un cálculo sencillo permite mostrar
el impacto: Coste de la pérdida de
productividad = Número de empleados
que utilizan la aplicación x salario medio
por hora x horas de inactividad.
• Penalizaciones. Algunas
organizaciones pueden enfrentarse
a penalizaciones financieras si no
consiguen cumplir determinados
requisitos de disponibilidad. Por
ejemplo, una empresa que ofrece un
servicio como parte de una cadena
de suministro compleja podría
enfrentarse a fuertes penalizaciones
por cualquier retraso causado.
Las organizaciones deben tener en
cuenta las amenazas para la seguridad
al desarrollar sus planes de mitigación
de riesgos. Para comprender mejor
los costes directos e indirectos de
los ataques contra la disponibilidad,
consulte el informe técnico de Arbor
titulado The Business Value of DDoS
Protection (El valor comercial de la
protección contra ataques DDoS).
Las soluciones tradicionales de seguridad perimetral, como firewalls y sistemas IPS (sistema de
prevención de intrusiones), son elementos esenciales de toda estrategia de defensa por capas,
si bien no están diseñadas para resolver los ataques DDoS. Los firewalls aplican las políticas
que rigen el acceso a los recursos de los centros de datos, y los IPS bloquean el código dañino
que puede infectar los sistemas finales o aprovechar las vulnerabilidades conocidas. Los
ataques DDoS plantean un problema distinto, ya que consisten en tráfico legítimo procedente
de distintas fuentes y diseñado para agotar recursos críticos tales como las capacidades de
enlace, sesiones y servicio de aplicaciones (p. ej., HTTP y DNS), o las bases de datos backend. Al tratarse de tráfico autorizado que no contiene firmas de código dañino conocido, los
firewalls y los IPS no lo detienen. De hecho, estos dispositivos son víctimas habituales de
los ataques DDoS. Como dispositivos de inspección en línea y con estado, están sujetos a
muchas de las vulnerabilidades que intentan aprovechar dichos ataques. Para hacer frente a las
amenazas que plantean los ataques DDoS a la disponibilidad, se necesita una nueva clase de
producto. Pravail es esa solución.
Razones por las que las soluciones basadas en firewalls e IPS no resuelven el problema de los
ataques DDoS
Vulnerabilidad a ataques
DDoS
• Se trata de dispositivos en línea y con estado, por lo que son vulnerables y
objetivo de los ataques DDoS.
• Son las primeras afectadas por los ataques de avalancha o conexión.
No garantizan la
disponibilidad
• Diseñadas para ofrecer protección contra amenazas conocidas (no emergentes).
• Diseñadas para buscar amenazas en sesiones individuales, no en varias sesiones.
Protección limitada a
ciertos ataques
• Sólo resuelven amenazas para aplicaciones concretas.
• De forma predeterminada, deben permitir el tráfico atacante común, como el
puerto 80 TCP (HTTP) o el puerto 53 UDP (DNS). No mitigan los ataques que
contienen solicitudes válidas.
Se implementan en
la ubicación incorrecta
• Muy cerca de los servidores.
• Demasiado cerca para proteger el router anterior.
Incompatibilidad con los
sistemas de protección
DDoS de la nube
• No interactúan con las soluciones de prevención de DDoS de la nube.
• Aumentan el tiempo de respuesta a los ataques DDoS.
Carecen de experiencia
en DDoS
• Requieren la intervención de expertos en seguridad.
• Necesitan conocer el tipo de ataque antes de que se produzca.
Principales tecnologías
Protección contra amenazas inmediata y lista para funcionar
Pravail APS se instala fácilmente y proporciona protección inmediata frente a la mayoría de las
amenazas. Su configuración es sencilla; además, el sistema no requiere un periodo de aprendizaje. El
personal de seguridad y de redes agradecerá la simplicidad del proceso de configuración y la sencillez
de la interfaz de usuario.
Protección automatizada y avanzada de ataques DDoS
Dado que el coste del tiempo de inactividad es extremadamente alto para muchas organizaciones,
el diseño de Pravail APS le permite detectar y prevenir automáticamente ataques DDoS con
poca o ninguna interacción del usuario, antes de que los servicios se degraden. También ofrece
planes alternativos y técnicas de resolución sencillos cuando los ataques no pueden identificarse
y mitigarse de inmediato, con el fin de acelerar la resolución.
Visibilidad y control
Pravail APS no es una “caja negra”. Al tiempo que ofrece protección automatizada contra
ataques DDoS, proporciona la visibilidad en tiempo real de los ataques y la flexibilidad que los
operadores precisan para alterar las contramedidas y los umbrales.
Conjunto completo de contramedidas
Pravail APS incorpora contramedidas DDoS avanzadas desarrolladas por Arbor e implementadas
en los principales ISP, operadores de sistemas múltiples (MSO), instituciones financieras y
proveedores de cloud computing y hospedaje. Esta tecnología ha demostrado su solidez y eficacia
en los entornos más exigentes de todo el mundo. Además, el equipo ASERT (Arbor Security
Engineering and Response Team) ha desarrollado un nuevo conjunto de protecciones basadas
en paquetes que neutralizan más de 150 familias de código dañino, lo que representa la gran
mayoría de la amenaza global de botnets.
Defensa avanzada contra
ataques DDoS
Protección contra:
• Ataques DoS con/sin suplantación
• Avalanchas TCP (SYN, etc.), ICMP,
UDP
• Botnets
• Blackenergy, Darkness,
YoYoDDoS, etc.
• Herramientas DoS/DDoS comunes
• Slowloris/Pyloris, Pucodex,
Sockstress, ApacheKiller
Pantalla de países principales de la interfaz gráfica de usuario Web de Pravail APS. El icono “Block”
(Bloquear) permite bloquear selectivamente el tráfico por país de origen.
• Botnets voluntarios
(Anonymous, etc.)
• HOIC, LOIC, etc.
• Ataques contra aplicaciones
Inteligencia de ATLAS (AIF)
Arbor mantiene relaciones estrechas y privilegiadas con los principales ISP de todo el mundo.
Mediante su amplia red de sensores y fuentes de datos, Arbor tiene visibilidad en tiempo real
de más del 70% del tráfico global de Internet. Nuestros investigadores de seguridad (ASERT)
aprovechan esta perspectiva incomparable para desarrollar defensas contra las amenazas
emergentes. La inteligencia ATLAS (AIF) de Arbor es un servicio en tiempo real que aprovisiona
automáticamente a los dispositivos Pravail APS con las últimas defensas contra las nuevas
amenazas.
• Avalanchas HTTP URL GET/POST
Cloud Signaling
Por lo general, los ataques de ancho de banda reducido, tan eficaces en desactivar
las aplicaciones de los centros de datos, pasan desapercibidos a la mayoría de
soluciones DDoS integrales basadas en proveedores. No obstante, los ataques DDoS
también consisten en ataques de inundación por avalancha que consumen el ancho
de banda con el fin de saturar los enlaces de Internet a los centros de datos. Este tipo
de ataques volumétricos sólo se puede mitigar en la red del proveedor. Las empresas
necesitan una solución DDoS integral con doble protección: basada en el proveedor y a
nivel local. Cloud SignalingSM permite esta protección integral. A través de Cloud Signaling,
Pravail APS avisa automáticamente al proveedor de la fuente de datos de los ataques de
que estos representan una amenaza a la disponibilidad.
• Avalanchas de solicitudes SIP
Registros de ataques y generación de informes en tiempo real e históricos
Pravail APS ofrece informes detallados de ataques en tiempo real para que los operadores
comprendan visualmente las medidas adoptadas por el dispositivo. Además de documentar
las acciones en registros de auditoría, Pravail APS ofrece informes analíticos en los que se
detallan los hosts bloqueados, los países de origen de los ataques y las tendencias históricas.
Los informes son fáciles de comprender y, además, se pueden compartir con colegas o
miembros de la dirección al objeto de informarles sobre las amenazas a la disponibilidad de
los servicios y sobre las medidas adoptadas para hacer frente a los ataques.
“Si el centro de datos no está
disponible, todo el cumplimiento
normativo o la integridad de
datos que pueda imaginar
no va a ayudar a sus clientes,
su empresa ni su marca. Arbor
resuelve la amenaza número
uno a la disponibilidad de los
recursos de los centros de
datos…”
Rendimiento
Los equilibradores de carga, firewalls y dispositivos IPS (incluso aquellos que integran
funciones anti DDoS) suelen ser los eslabones más débiles en caso de ataque DDoS, ya que
su capacidad de seguimiento de sesiones queda agotada. Las exclusivas defensas basadas en
paquetes de Pravail APS previenen esta vulnerabilidad. Pravail APS detecta y mitiga la mayoría
de los ataques DDoS sin controlar el estado de ninguna sesión, y sólo almacena un mínimo
de información durante breves periodos en los casos en que se requiera el seguimiento de
sesiones. En condiciones de uso real, Pravail APS mitiga los ataques cuya capacidad sea como
máximo la del enlace de red para suministrarle tráfico. Si el enlace se aproxima a la saturación,
Pravail APS Cloud Signaling avisa al proveedor de la fuente de datos del ataque para iniciar la
mitigación en la nube. Como resultado, la protección de los centros de datos es total.
• Ataques de malformación de
encabezados HTTP
• Ataques de solicitudes HTTP lentas
• Ataques de envenenamiento de
caché de DNS
• Avalanchas de solicitudes de DNS
• Ataques personalizados: dirigidos
exclusivamente a su servicio
• Protección basada en ubicación
de IP
• Pravail también permite crear
protecciones personalizadas
configuradas por el usuario
Rob Ayoub: Director de Programas globales
y Seguridad de red de Frost and Sullivan
Especificaciones de los dispositivos Arbor Pravail
“La facilidad de uso, la protección
inmediata lista para funcionar
y las fuentes de datos de
inteligencia ATLAS automáticas
de Pravail APS contribuyen a
reducir la carga administrativa
sin sacrificar la protección local.”
Michael Suby: Vicepresidente de
investigación de Stratecast
Dispositivo Pravail
Todos los modelos utilizan el mismo factor de
forma de 2U de altura para montaje en rack.
El dispositivo se gestiona y personaliza a
través de una interfaz gráfica de usuario Web.
Modelos/rendimiento
APS 2104: 2 Gbps
APS 2105: 4 Gbps
APS 2107: 8 Gbps
APS 2108: 10 Gbps
Rendimiento de paquetes pequeños
8,5 Mpps al nivel de protección recomendado
9,6 Mpps con protección únicamente de lista
de filtros
Tel. gratuito EE. UU. +1 866 212 7267
Tel.: +1 978 703 6600
Fax: +1 978 250 1905
Caribe y Latino America
Persona de contacto:
Daniel Villanueva
Tel.: +54 911 3653 5330
[email protected]
Europa
Conexiones simultáneas
N/A: Pravail no controla las conexiones.
MTBF
44 000 h
Puntos finales protegidos
Ilimitados
Normativa
Cumple la Directiva RoHS 2002/95/CE.
Grupos de protección configurados por el
usuario
50
Interfaz gráfica de usuario Web:
Admite interfaces de usuario multilingües.
Opciones de alimentación
2 fuentes de alimentación CA o CC
redundantes e intercambiables sin interrumpir el
funcionamiento; 600 W máx. de salida continua;
admite PMBus
Memoria
18 GB
Procesador
2 unidades CPU Intel Xeon de 2,40 GHz
Interfaces de protección
2 x 10 GE fibra óptica SR o LR; O BIEN
12 x GE fibra óptica SX o LX; O BIEN 12 x GE
cobre.
Condiciones ambientales
Temperatura (en funcionamiento):
10 °C a 35 °C
Temperatura (sin funcionar):
−40 °C a 70 °C
Tel.: +44 208 622 3108
Asia-Pacífico
Tel.: +65 6299 0695
www.arbornetworks.com
Copyright © 2011 Arbor Networks, Inc. Todos los
derechos reservados. Arbor Networks, el logotipo de
Arbor Networks, Peakflow, ArbOS, How Networks Grow,
Pravail, Arbor Optima, Cloud Signaling y ATLAS son
marcas registradas de Arbor Networks, Inc. El resto
de las marcas pueden ser marcas comerciales de sus
respectivos propietarios.
DS/PRAVAIL/ES/0911
Autenticación
En el dispositivo, RADIUS; TACACS.
Disponibilidad
Bypass en línea, doble fuente de alimentación,
clúster RAID de unidades de disco duro de
estado sólido
Discos duros
2 SSD en RAID 1; 2 unidades de 120 GB
6 Omni Way
Chelmsford, Massachusetts 01824
Interfaces de gestión
2 x 10/100/1000 BaseT, cobre; puerto de
consola serie RJ-45
Conexiones HTTP/segundo
368 000 al nivel de protección recomendado
613 000 con protección únicamente de lista de
filtros
Dimensiones físicas
Chasis: 2U de altura para montaje en rack
Altura: 8,67 cm
Anchura: 43,53 cm
Profundidad: 61 cm
Peso: 18,5 kg
Sedes corporativas
Gestión
SNMP Gets v1, v2c; SNMP Traps v1, v2c, v3;
CLI; IU Web; HTTPS; gestión basada en
funciones, personalizable por SSH
Humedad (sin funcionar):
95%, sin condensación a temperaturas de
23 °C a 40 °C
Sistema operativo
ArbOS®, nuestro sistema operativo propio
integrado.
Navegadores compatibles
Firefox 3.6, Firefox 4.0+ (y posteriores); Opera;
Safari 5.0+ (y posteriores); Chrome 11.0+
(y posteriores); IE 8 y 9.
Generación de informes y registros
Generación de informes de tráfico en tiempo real
e históricos, obtención de detalles exhaustivos
por grupo de protección (tráfico total, admitido/
bloqueado, principales URL/servicios/
dominios de destino, tipos de ataques, orígenes
bloqueados, principales orígenes por ubicación
de IP).
Protección contra ataques DDoS
Ataques de inundación por avalancha TCP/
UDP/HTT; protección contra botnets;
protección contra hacktivistas; protección de
comportamiento de host; anti-suplantación;
filtrado configurable de expresiones de
avalancha; filtrado basado en expresiones de
carga; listas negras y blancas permanentes y
dinámicas; creación de formas de tráfico; varias
protecciones para HTTP, DNS y SIP; ataques a
la pila TCP; ataques de fragmentación; ataques
de conexión.
Modos
Activo en línea; Inactivo en línea (generación de
informes, sin bloqueo); Monitor de puerto SPAN
Actualizaciones en tiempo real
Inteligencia de ATLAS (AIF): Base de datos
de firmas para más de 150 familias de
código dañino (Slowloris, LOIC, YoyoDDoS,
BlackEnergy, etc.)
Notificaciones
SNMP Trap, Syslog, correo electrónico
Cloud Signaling
Sí (mitigación de ataques DDoS en colaboración
con proveedores de servicios)