Corero Network Security: protección real frente a ataques DDoS

Anuncio
PROPUESTAS
Corero Network Security: protección
real frente a ataques DDoS
No es nuevo afirmar que los ataques a la red son cada vez más sofisticados, pero
sí que es de rigor afirmar que los ataques DoS/DDoS contra organizaciones están
cobrando una notoriedad sin precedentes. Lejos quedaron los ataques aislados de
hace unos años contra Microsoft, Amazon o Google y sólo hace falta abrir el periódico
para ver que estas amenazas se producen diariamente a gran escala, en todos los
países y contra un sinfín de objetivos. Corero propone a través de su red de partners
una tecnología fiable, validada por más de 2.000 clientes y capaz de defender ante
los tipos de ataques DDoS existentes.
Efectivamente, y por desgracia, los medios
sólo muestran la punta del iceberg como son
los casos de Anonymous, LulzSec o ataques a
grandes multinacionales. Los que observamos
diariamente este tipo de problemática vemos
que los atacantes se cuentan por tropel y muy
pocas empresas están exentas de ser atacadas, o lo que
es aún peor, un porcentaje muy bajo de organizaciones
se encuentra realmente protegido.
Sólo se puede entender este tipo de ataques y su
proliferación constante conociendo su caldo de cultivo.
Sin duda, las redes sociales y botnets han sido un gran
revulsivo para organizar y automatizar respectivamente
este tipo de ataques con un simple clic. Cabe destacar la
sencillez y potencia de determinadas herramientas/exploits de ataque como LOIC, SlowLoris o ApacheKiller,
que actúan en la capa de aplicación permitiendo que
un grupo de amigos pueda generar un ataque DDOS sin
necesidad de poner previamente en contacto a cientos
de atacantes. Si unimos estos factores a los grandes
anchos de banda de usuarios domésticos de hoy
en día y la inexistencia de parches/soluciones para
muchos de los ataques mencionados, cabe vaticinar
que estamos ante un problema de gran envergadura
y no fácil solución.
Algunos ISP cuentan con defensa ante ciertos
tipos de ataques DDoS, pero esta defensa no protege
ante ataques en la capa de aplicación. Para evitar este
tipo de ataque, es necesario posicionar un dispositivo
de protección adicional delante de los recursos a proteger, como Corero DDS (DDoS Defense System).
Nadie conoce mejor estos ataques que aquellos
que los han sufrido y que saben que mediante un UTM
o un IPS de última generación no existe defensa ante
estas amenazas. Es fácil percibir esta indefensión,
porque la protección DDoS nunca suele venir activada
por defecto y su activación suele estar acompañada
de un alto número de falsos positivos y un importante
aumento de CPU, lo cual tiene como consecuencia un
incremento de latencia y/o pérdida de paquetes. Estos
dispositivos, simplemente, no están diseñados para esta
función. De hecho, muchos fabricantes incluyen en sus
datasheet que tienen protección DDoS pero saben que su
funcionalidad es más dañina que efectiva y lo demuestran
los ataques sufridos por muchas organizaciones, tanto
en España como fuera de nuestras fronteras.
Actualmente, Corero DDS es el único dispositivo
que se posiciona entre el cortafuegos y el router de
acceso a Internet, pudiendo mitigar todos los tipos de
ataques DDoS conocidos hoy en día y capaz de gestionar
98
ataques masivos de más de 5 millones de IP’s. Este
posicionamiento permite proteger toda la infraestructura,
incluyendo los firewalls, regularmente objetivos de
ataques DDoS de tipo SYN ACK reflectantes.
Corero DDS se basa en la aplicación de 6 patentes
exclusivas para la protección frente a ataques DDoS
y, además, permite la configuración de límites de
paquetes, conexiones, peticiones por aplicación (http,
https, dns...) por cada IP que accede a los recursos
protegidos, pudiendo mitigar cualquier tipo de ataque
DDoS, tanto en las capas de red como en el nivel de
la aplicación.
El dispositivo Corero DDS dispone de una interfaz
de configuración y administración sencilla con una visión
en tiempo real de los eventos de ataque. Además de ello,
garantiza un rendimiento más que óptimo para todo tipo
de organizaciones con una latencia inferior a 45 micro
segundos. Para adaptarse a cada tipo de empresa,
Corero propone dispositivos desde 300 Mgbps hasta
40Gbps en configuraciones de alta disponibilidad y
clustering, y soporta todo tipo de despliegues, incluyendo
arquitecturas con tráfico asimétrico.
Para una mejor compresión de los tipos de ataques
que existen hoy en día, se resumen a continuación los
DoS y DDoS más usuales:
• DoS (Ataque a nivel de aplicación)
Son los más simples y destructivos, no hace falta
una gran número de atacantes, solo se requiere de una
vulnerabilidad en un servicio y un exploit. Uno de los más
usados últimamente se basa en la herramienta killapache,
que realiza peticiones GET con varios rangos de bytes que
requieren grandes cantidades de memoria en el servidor
y lo dejan fuera de combate en poco tiempo.
• DDoS masivo (Ataque a nivel de red)
Es el “clásico” ataque DDoS: la mayoría de las veces
es un ataque distribuido con potencialmente millones
de direcciones IP atacando al mismo tiempo. Consiste
en una inundación de paquetes con un volumen de
tráfico lo suficientemente alto como para sobrecargar la
“infraestructura” impidiendo el correcto funcionamiento
del servicio. Afecta típicamente a los enlaces ISP, routers,
switches, cortafuegos y servidores, convirtiéndoles
en cuellos de botella y eliminando la posibilidad de
suministrar el servicio.
• DDoS reflectante (Ataque a nivel de red)
Ataque TCP DDoS a nivel de red: los atacantes
cambian su dirección IP origen (spoofing) para
que tenga el origen de la red a atacar. Posteriormente, empiezan a realizar una inundación
masiva de tipo SYN flood contra servidores en
Internet que contestarán contra su objetivo. El
resultado es una inundación del cortafuegos
con los SYN-ACKs entrantes y la CPU de los
reverse proxies y firewalls que sube hasta que no pueda
tratar las peticiones de usuarios legítimos.
• DDoS de Salida (Ataque a nivel de red y de
aplicación)
Un ataque DDoS a nivel de red visto desde otro
punto de vista: este ataque DDoS involucra hosts dentro
del perímetro de defensa del cliente, habitualmente
PC’s infectados por malware, integrados en una red
de botnet y controlados remotamente para participar
en ataques DdoS. Como consecuencia, el ISP puede
detectar un tráfico saliente de ataque desde la red del
cliente y hacer un blackholing para proteger Internet del
tráfico de ataque DDoS proviniendo de la red afectada. A
parte del problema de reputación, la conexión a Internet
puede ser bloqueada por el ISP.
• DDOS en la capa de aplicación (Ataque a
nivel de aplicación)
Es una variante más reciente e inteligente de
ataque DDoS. Estos ataques se basan en tráfico
legítimo y conexiones TCP completadas. Una vez que
la conexión TCP se establece, los atacantes realizan
varias peticiones repetidas a la aplicación en un intento
de agotar los recursos de los servidores y bases de
datos. Es difícil defenderse porque estos ataques
crean una condición de denegación de servicio sin
afectar el consumo de ancho de banda, uno de los
más usados es SlowLoris.
Como se puede observar, hay cada vez más tipos
de ataques DDoS y son cada vez más complejos
de detectar. En su momento fueron necesarios los
cortafuegos y luego los IPS; hoy en día, cualquier cliente
que publica servicios Web, DNS o dispone de VoIP es
susceptible de ser víctima de un ataque DDoS.
Corero propone a través de su red de partners una
tecnología fiable, validada por más de 2.000 clientes
y capaz de defender ante todos los tipos de ataques
DDoS existentes. 
Raúl Pérez
Security Systems Engineer
CORERO NETWORK SECURITY
[email protected]
FEBRERO 2012 / Nº98 /
SiC
Descargar