Źle skonfigurowane zapory nie chronią serwerów przed atakami DDoS

Co roku coraz więcej witryn jest atakowanych przy użyciu metody DDoS (Distributed Denial of Service). Firma Arbor Networks opracowała dokument "2010 Infrastructure Security Report", w którym można przeczytać, że sprzyja temu fakt niepoprawnego wdrażania systemów bezpieczeństwa, przy instalowaniu np. zapory i aplikacji IPS (Intrusion Prevention System) tuż przed serwerami.

W raporcie, opracowanym po przeanalizowaniu ankiet wysłanych do 111 firm świadczących usługi sieciowe, można przeczytać, że ataków DDoS ciągle przybywa i są one coraz bardziej agresywne. I tak np. w 2010 r. odnotowano pierwszy atak DDoS generujący ruch większy niż 100 Gb/s (czyli dwukrotnie większy niż odnotowany w 2009 r. i 10-krotnie większy niż w 2005 r.). Wzrasta też liczba takich ataków. Prawie 25% respondentów odpowiedziało, że w ciągu miesiąca odnotowują 10 i więcej ataków DDoS.

Ankieta pokazała, że użytkownicy instalują zapory w złych miejscach (przed serwerami), ułatwiając w ten sposób życie włamywaczom posługującym się technologią DDoS. W przypadku zmasowanego ataku DDoS zainstalowana w tym miejscu zapora szybko blokuje się i przestaje chronić we właściwy sposób serwery. Systemy IPS i zapory spisują się bardzo dobrze w tym miejsce wtedy, gdy filtrują wychodzący ruch. Nie zdają natomiast egzaminu, gdy są użyte jako tarcza chroniąca serwery przed lawiną przychodzących pakietów DDoS.

Z raportu wynika jednoznacznie, że ataków DDoS będzie przybywać. Chodzi tu zarówno o częstotliwość ataków, jak i ich siłę. Zabrzmi to może paradoksalnie, ale przyczyniają się do tego coraz lepiej zaprojektowane systemy bezpieczeństwa, gdyż włamywacze są wtedy zmuszeni do opracowywania coraz to bardziej wyrafinowanych metod atakowania serwerów.

Czytaj też "Bezpieczeństwo IT w 2011 r. - 5 trendów".


Zobacz również