Uno de los ataques que más daño pueden hacer en nuestros sistemas, redes locales, servidores, páginas web… es sin duda la denegación de servicio o DoS.
Mitigarlos es posible y aunque el “enemigo” está en la mayor parte de los ataques por delante nuestro, es posible mitigar e impedir en lo máximo posible este tipo de ciberataques.
Lo primero es conocer la diferencia entre DoS y DDoS.
DoS
Es un ataque en el que la denegación del servicio se produce por la parada o interrupción de uno de los servicios o varios por medio de un consumo excesivo de recursos utilizados en la red, como puede ser el Ancho de Banda, procesos de CPU, memoria….
Para producir este tipo de ataque, se utilizan diversas técnicas como el envío máximo de paquetes o vulnerabilidades conocidas como en su momento sufrió Windows 2008 Server y que Microsoft solucionó en su momento.
DDoS
Es un ataque distribuido y, a diferencia del anterior no directo, es decir, se hace uso de redes botnes o redes zombis para lanzar el ataque, con lo que el ataque es lanzado desde ubicaciones distintas y distribuidas. Éste requiere una coordinación ya que todos deben atacar al mismo objetivo a la vez.
Como decía al principio, estos ataques se pueden “evitar” en un cierto grado, basando la prevención en unos principios básicos, como en cualquier otro tipo de ataque.
Parte de estos pasos pasaría por:
- Monitorización de la plataforma
- Conocimiento del funcionamiento
- Diseño correcto y planificación de procedimientos
- Realización de Auditorías
- Configuración de Firewalls y dispositivos de seguridad
- Elaboración de un plan de Continuidad del Negocio
Para poder paliar este tipo de ataques, en el mercado se encuentran soluciones que ayudan a estar prevenido y mantener el servicio, intentando parar éstos.
Un ejemplo a nivel de red de prevención sería el aprovechamiento del protocolo netflow en routers, el cual es controlado a través de analizadores de este protocolo, éste envía información del tráfico que pasa por él. Los analizadores detectan comportamiento extraño, analizándolo con las firmas de ataques que contienen; si este análisis es positivo, lanza la mitigación del ataque en pocos segundos.
Las firmas analizadas se basan en umbrales de tráfico de paquetes por segundo o bytes por segundo en determinados tipos de paquetes como DNS, ICMP, IP Fragment, IP NULL, TCP SYN. TCP RST…….
Para controlar si se están sucediendo este tipo de ataques, se dispone en la actualidad de Centros de Operaciones de Seguridad conocidos como SOC que reúnen centros operativos, los cuales pueden monitorizar nuestro sistema para mitigar estos ataques.
En The Security Sentinel ofrecen este servicio, además de las auditorias para poder prevenir ataques a vuestros sistemas.
