Ataques DoS: Monitorización

Los análisis y estudios de seguridad no dejan resquicio para la esperanza y el optimismo: Internet es un entorno cada día más hostil y prueba de ello es el vertiginoso aumento de los ataques de denegación de servicio DoS. Pero tener presencia en La Red no es una opción. No hay más remedio, nos guste o no hay que estar vigilante.

El pasado mes de febrero Eurecat, Centro Tecnológic de Catalunya, publicaba un informe que como mínimo hay que calificar como inquietante: Los ataques a la disponibilidad de las webs empresariales y de instituciones públicas han aumentado un 179% en el último año (http://eurecat.org/es/dia-internacional-de-internet-seguro). Como se ve, en Internet queda muy lejos ese espíritu “flowerpower” de colaboración, compartición y hermanamiento con el que surgió todo esto hace ya 40 años. Internet es hoy por hoy un territorio hostil y así debe asumirlo quien quiera tener presencia en este entorno.

Un incremento que no se debe a la actividad del hacktivismo como cabría esperar de una ciudadanía indignada y cabreada a nivel mundial, si no a algo mucho más prosaico: “pasta”. Como bien apunta Eurecat en su informe, quien se encuentra detrás de estos ataques es la ciberdelincuencia que trata de obtener dinero, no tumbando los servidores de las organizaciones que son sus objetivos. Chantajeando a las víctimas para no tumbarlos. Es decir, provocan un ataque de DoS (Denial of Service, Denegación de Servicio) y exigen dinero para detener el ataque y liberar los servidores.

Los ataques de DoS son ataques difíciles de prevenir y de responder cuando se producen. Provocan cuantiosos daños a las organizaciones que los padecen. Daños económicos que están, obviamente, en relación directa con la actividad de la organización y el propósito de su sitio web. Pero el daño también importante y que en la mayoría de los casos resulta muy complicado cuantificar, es el perjuicio reputacional que pueden llegar a ocasionar.

Zombies

Las redes botnet o de zombis es el pan nuestro de cada día. Un atacante difunde un troyano RAT (Troyano de Acceso Remoto) y todos los ordenadores que se infecten pasan a estar bajo su control. Un solo atacante puede tener bajo su influencia a miles de ordenadores. Estos ordenadores infectados son los que se utilizan para lanzar los ataques DDoS, ataques de Denegación de Servicio Distribuido, en donde no hay un solo origen de las transacciones. Pueden ser miles. Estos ataques hacen estragos, por la potencia y por la imposibilidad de filtrarlo y perseguir a quien lo perpetra, que casi siempre no son conscientes de que están participando en un ataque.

Un ataque de Denegación de Servicio busca dejar inaccesible un servicio, como puede ser un servidor web, un servidor de correo u otro, lanzando contra el servicio un elevado número de peticiones que, el servicio, en cuestión no sea capaz de atender. El servidor se mantiene plenamente funcional en todo momento. Lo que ocurre es que tiene tantas peticiones que atender que los tiempos de respuestas son tan elevados que en la práctica es como si el servidor estuviera caído. Algo parecido a lo que le ocurrió a la Agencia Tributaria en el arranque de la campaña de IRPF de este año. Fueron tantas las peticiones que recibieron por la web, que sus servidores no pudieron atenderlas. Consecuencia, cerca de un 25% de declaraciones menos que el año anterior en el mismo periodo de tiempo. Cuando cesan las peticiones, los servidores, sin necesidad de ninguna intervención, vuelven a recuperar su ritmo habitual y se normalizan sus tiempos de respuesta. Evitar y reaccionar ante estos de ataques es complicado. Las transacciones que asfixian a los servidores son peticiones convencionales, perfectamente “legales”, por lo que no es fácil filtrar las transacciones maliciosas de las que no lo son.

Si hay que aplicar medidas de prevención, la primera de estas precauciones debe ser dimensionar los servidores para que puedan asumir una carga de trabajo más elevada de la que es estimada como habitual. Obvio. Disponer de más capacidad de proceso de la estrictamente necesaria proporciona un margen de maniobra con la que encajar situaciones puntuales de sobrecarga que pueden tener diversas causas. Pero, ¿cuánto más dimensionar? Hay que tener en cuenta que los ataques DoS sólo es una cuestión de “carga”; no hay una configuración que impide que este tipo de ataque tenga éxito. A mayor capacidad de proceso de los servidores, más esfuerzos obliga a los atacantes para tumbarlos. Hay quien sostiene que Apple invierte varios cientos de millones de dólares anualmente en dotar a su infraestructura de la suficiente resistencia frente a esta amenaza. Como tanteo de la dimensión necesaria para los servicios, presupuesto y comprobaciones. Los test de intrusión y las pruebas de esfuerzo pueden determinar la carga que pueden soportar una determinada configuración. Y el presupuesto para ver hasta donde se puede llegar potenciando esa configuración. Hay que tener en cuenta que no es coherente gastarse en las medidas de protección más que la cuantificación de daños que puede provocar la materialización del riesgo.

Según Eurocat, los ataques a la disponibilidad de las webs empresariales y de instituciones públicas han aumentado un 179% en el último año.

Otra medida de prevención muchas veces soslayada es la monitorización de las conexiones, la monitorización de red. Esta monitorización se asocia a rendimiento y consumo de ancho de banda y pocas veces se ve como una herramienta adecuada para la seguridad. Y no es así. Las herramientas de monitorización de red pueden ser una eficaz herramienta en la prevención y reacción frente a este tipo de ataques.

Lo habitual es que la red se monitorice para comprobar el estado de funcionamiento de los dispositivos sondeados, para obtener alertas de aquellos que pueden presentar problemas de funcionamiento y/o rendimiento. Y también para tener información sobre el consumo del ancho de banda. También en algunas configuraciones la monitorización de red también contempla agentes y otros mecanismos para chequear el estado de funcionamiento de programas y servicios. Pero, siempre desde la perspectiva de reaccionar ante problemas de funcionamiento operativo normal y rendimiento. Aunque esta monitorización puede caer de lleno en el ámbito de la seguridad, se preocupa de la disponibilidad, en la mayoría de los casos la filosofía que anima la configuración de la monitorización es el cumplimiento de los acuerdos de servicio, los sacros santos SLAs.

EFECTOS COLATERALES DOS

Los ataques de DoS no sólo afectan a las organizaciones que los padecen. Cada vez son más los servicios en cloud, en la nube. Cuando se lanza un ataque DoS el primero en lamentarlo es el proveedor de la nube. Tanto que no es extraño que el proveedor haya “invitado” amablemente a algunos de sus clientes a dejar su nube por la frecuencia con la que se producían ataques DoS contra ellos.

Sin embargo, por la propia naturaleza de este tipo de aplicaciones, la monitorización de red se ha visto que es un arma muy eficaz para detectar ataques de toda índole y aplicar las oportunas contramedidas, ya sea de forma manual o automáticamente. De hecho, las funcionalidades de los sistemas de detección de intrusiones, IDS/IPS, se basan en la monitorización del tráfico de red para detectar anomalías con las que detectar tempranamente ataques. Y no sólo para descubrir ataques que estén relacionados con el tráfico de red. La monitorización de red puede detectar un ataque DoS y, convenientemente configurado, puede identificar la propagación de malware o campañas de spamming, sondas no autorizadas y otras operaciones no permitidas, que parece que sólo son detectables a nivel de aplicación. Un IDS/IPS es un escáner de red más especializado que otro software de monitorización de propósito general.

Los ataques de DoS son ataques difíciles de prevenir y de responder cuando se producen. Provocan cuantiosos daños económicos y reputacionales a las organizaciones que los padecen.

Por ejemplo, la monitorización de red puede enfrentarse eficazmente a los ataques de DoS si se configura para monitorizar el tráfico de red dirigido a los servidores con patrones que permitan reconocer esos ataques. También si se asignan umbrales permitidos en los ratios de tráfico por host. Con los datos que se obtienen con estos sondeos es posible aplicar limitaciones y restringir el tráfico procedente de orígenes sospechosos, antes de que sea demasiado tarde y ese tráfico deje inutilizado a algún servicio.

Sin duda, la mejor forma de prevenir ataques es contar con una infraestructura combinada de software de monitorización de red de propósito general con sistemas IDS/IPS especializados.  Pero en muchas situaciones se cuenta con la justificación y recursos para plantear el despliegue de la monitorización de red y no para el IDS/IPS. En estos casos, además del rendimiento y funcionamiento vigilado de los dispositivos, también se pueden definir controles que si bien no detectan esos ataques de forma tan certera como puede hacerlo un sistema especializado, si permite añadir más seguridad al conjunto del sistema si se monitoriza comportamientos anómalos en el flujo de la red.

La monitorización de red no sólo previene ataques DoS desde el exterior. También es posible evitar que el sistema propio se convierta en atacante de otros sistemas. Si la red corporativa sufre la infección de algún troyano de botnet, puede convertir a todo el departamento de “Marketing” en los zombis que están contribuyendo a tumbar un servidor en las chimbambas.

Y en la perspectiva de ciberseguridad, también hay que darle la importancia que se merece a la monitorización de red en la investigación de incidentes de seguridad. Los registros que se obtienen en el sondeo habitual del tráfico es una evidencia muy apreciada en el análisis forense digital. No sólo para determinar la autoría de un ataque sino también para explicar cómo se han sucedido los ataques, fijar la línea temporal y la secuencia de acciones que han tenido lugar, más allá de los registros y logs que puedan haber dejado las entidades afectadas.

Obviamente, sólo la monitorización de red y aplicar restricciones al tráfico sospechoso no es el remedio definitivo para evitar los ataques DoS. Hay que aplicar distintas medidas a distintos niveles. Así, normalmente los servicios y aplicaciones comerciales, servidores web, servidores de correo, bases de datos, cuentan también con distintas configuraciones que ayudan a prevenir estos ataques, como puede ser limitar el número de conexiones concurrentes, los tiempos de sesión, las peticiones provenientes de un mismo origen, etcétera. Y contar con la colaboración de los operadores de comunicaciones con los que se contratan la conectividad de los servidores. Los operadores de comunicaciones y proveedores de cloud, de nube, pueden aplicar la monitorización del tráfico y aplicar contra medidas a bajo nivel que es posible que no puedan evitar un ataque DoS pero si minimizar su impacto. Esta “colaboración”, normalmente se conforma en paquetes de servicio adicional a lo habitual.

Como se ve, la tranquilidad que aporta a los responsables y técnicos la monitorización de la red en cuanto a rendimiento y funcionamiento, puede extenderse a otros aspectos relacionados con la seguridad.

Sigue descubriendo:

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
¡Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *