PROPUESTAS Corero Network Security: protección real frente a ataques DDoS No es nuevo afirmar que los ataques a la red son cada vez más sofisticados, pero sí que es de rigor afirmar que los ataques DoS/DDoS contra organizaciones están cobrando una notoriedad sin precedentes. Lejos quedaron los ataques aislados de hace unos años contra Microsoft, Amazon o Google y sólo hace falta abrir el periódico para ver que estas amenazas se producen diariamente a gran escala, en todos los países y contra un sinfín de objetivos. Corero propone a través de su red de partners una tecnología fiable, validada por más de 2.000 clientes y capaz de defender ante los tipos de ataques DDoS existentes. Efectivamente, y por desgracia, los medios sólo muestran la punta del iceberg como son los casos de Anonymous, LulzSec o ataques a grandes multinacionales. Los que observamos diariamente este tipo de problemática vemos que los atacantes se cuentan por tropel y muy pocas empresas están exentas de ser atacadas, o lo que es aún peor, un porcentaje muy bajo de organizaciones se encuentra realmente protegido. Sólo se puede entender este tipo de ataques y su proliferación constante conociendo su caldo de cultivo. Sin duda, las redes sociales y botnets han sido un gran revulsivo para organizar y automatizar respectivamente este tipo de ataques con un simple clic. Cabe destacar la sencillez y potencia de determinadas herramientas/exploits de ataque como LOIC, SlowLoris o ApacheKiller, que actúan en la capa de aplicación permitiendo que un grupo de amigos pueda generar un ataque DDOS sin necesidad de poner previamente en contacto a cientos de atacantes. Si unimos estos factores a los grandes anchos de banda de usuarios domésticos de hoy en día y la inexistencia de parches/soluciones para muchos de los ataques mencionados, cabe vaticinar que estamos ante un problema de gran envergadura y no fácil solución. Algunos ISP cuentan con defensa ante ciertos tipos de ataques DDoS, pero esta defensa no protege ante ataques en la capa de aplicación. Para evitar este tipo de ataque, es necesario posicionar un dispositivo de protección adicional delante de los recursos a proteger, como Corero DDS (DDoS Defense System). Nadie conoce mejor estos ataques que aquellos que los han sufrido y que saben que mediante un UTM o un IPS de última generación no existe defensa ante estas amenazas. Es fácil percibir esta indefensión, porque la protección DDoS nunca suele venir activada por defecto y su activación suele estar acompañada de un alto número de falsos positivos y un importante aumento de CPU, lo cual tiene como consecuencia un incremento de latencia y/o pérdida de paquetes. Estos dispositivos, simplemente, no están diseñados para esta función. De hecho, muchos fabricantes incluyen en sus datasheet que tienen protección DDoS pero saben que su funcionalidad es más dañina que efectiva y lo demuestran los ataques sufridos por muchas organizaciones, tanto en España como fuera de nuestras fronteras. Actualmente, Corero DDS es el único dispositivo que se posiciona entre el cortafuegos y el router de acceso a Internet, pudiendo mitigar todos los tipos de ataques DDoS conocidos hoy en día y capaz de gestionar 98 ataques masivos de más de 5 millones de IP’s. Este posicionamiento permite proteger toda la infraestructura, incluyendo los firewalls, regularmente objetivos de ataques DDoS de tipo SYN ACK reflectantes. Corero DDS se basa en la aplicación de 6 patentes exclusivas para la protección frente a ataques DDoS y, además, permite la configuración de límites de paquetes, conexiones, peticiones por aplicación (http, https, dns...) por cada IP que accede a los recursos protegidos, pudiendo mitigar cualquier tipo de ataque DDoS, tanto en las capas de red como en el nivel de la aplicación. El dispositivo Corero DDS dispone de una interfaz de configuración y administración sencilla con una visión en tiempo real de los eventos de ataque. Además de ello, garantiza un rendimiento más que óptimo para todo tipo de organizaciones con una latencia inferior a 45 micro segundos. Para adaptarse a cada tipo de empresa, Corero propone dispositivos desde 300 Mgbps hasta 40Gbps en configuraciones de alta disponibilidad y clustering, y soporta todo tipo de despliegues, incluyendo arquitecturas con tráfico asimétrico. Para una mejor compresión de los tipos de ataques que existen hoy en día, se resumen a continuación los DoS y DDoS más usuales: • DoS (Ataque a nivel de aplicación) Son los más simples y destructivos, no hace falta una gran número de atacantes, solo se requiere de una vulnerabilidad en un servicio y un exploit. Uno de los más usados últimamente se basa en la herramienta killapache, que realiza peticiones GET con varios rangos de bytes que requieren grandes cantidades de memoria en el servidor y lo dejan fuera de combate en poco tiempo. • DDoS masivo (Ataque a nivel de red) Es el “clásico” ataque DDoS: la mayoría de las veces es un ataque distribuido con potencialmente millones de direcciones IP atacando al mismo tiempo. Consiste en una inundación de paquetes con un volumen de tráfico lo suficientemente alto como para sobrecargar la “infraestructura” impidiendo el correcto funcionamiento del servicio. Afecta típicamente a los enlaces ISP, routers, switches, cortafuegos y servidores, convirtiéndoles en cuellos de botella y eliminando la posibilidad de suministrar el servicio. • DDoS reflectante (Ataque a nivel de red) Ataque TCP DDoS a nivel de red: los atacantes cambian su dirección IP origen (spoofing) para que tenga el origen de la red a atacar. Posteriormente, empiezan a realizar una inundación masiva de tipo SYN flood contra servidores en Internet que contestarán contra su objetivo. El resultado es una inundación del cortafuegos con los SYN-ACKs entrantes y la CPU de los reverse proxies y firewalls que sube hasta que no pueda tratar las peticiones de usuarios legítimos. • DDoS de Salida (Ataque a nivel de red y de aplicación) Un ataque DDoS a nivel de red visto desde otro punto de vista: este ataque DDoS involucra hosts dentro del perímetro de defensa del cliente, habitualmente PC’s infectados por malware, integrados en una red de botnet y controlados remotamente para participar en ataques DdoS. Como consecuencia, el ISP puede detectar un tráfico saliente de ataque desde la red del cliente y hacer un blackholing para proteger Internet del tráfico de ataque DDoS proviniendo de la red afectada. A parte del problema de reputación, la conexión a Internet puede ser bloqueada por el ISP. • DDOS en la capa de aplicación (Ataque a nivel de aplicación) Es una variante más reciente e inteligente de ataque DDoS. Estos ataques se basan en tráfico legítimo y conexiones TCP completadas. Una vez que la conexión TCP se establece, los atacantes realizan varias peticiones repetidas a la aplicación en un intento de agotar los recursos de los servidores y bases de datos. Es difícil defenderse porque estos ataques crean una condición de denegación de servicio sin afectar el consumo de ancho de banda, uno de los más usados es SlowLoris. Como se puede observar, hay cada vez más tipos de ataques DDoS y son cada vez más complejos de detectar. En su momento fueron necesarios los cortafuegos y luego los IPS; hoy en día, cualquier cliente que publica servicios Web, DNS o dispone de VoIP es susceptible de ser víctima de un ataque DDoS. Corero propone a través de su red de partners una tecnología fiable, validada por más de 2.000 clientes y capaz de defender ante todos los tipos de ataques DDoS existentes. Raúl Pérez Security Systems Engineer CORERO NETWORK SECURITY Raul.Perez@corero.com FEBRERO 2012 / Nº98 / SiC