El terror de las entidades de Gobierno y Empresas en el Mundo “DDoS y DoS”
Antes que nada me gustaría iniciar con una disculpa a los fabricantes de Firewalls e IPS, ya que lo que voy a informar en esta publicación no los favorece del todo.
En un ataque de DoS y DDoS (Ataques de negación de servicio) los Firewalls e IPS si ayudan en su detección, pero no a mitigar si hay un ataque de volumetría que afecte el ancho de banda y el CPU de los equipos.
Todos han escuchado de los diversos ataques en el mundo por parte de los Hacktivistas, quienes son los que realizan este tipo de ataques, afectando sitios como (estos son solo algunos ejemplos):
 |
 |
 |
 |
 |
 |
Pero realmente saben ¿Cómo funciona el ataque de estos Hacktivistas?, pues con ayuda de mi amigo Victor Mejía encontramos una clara definición de lo sucedido, pues viendo el siguiente diagrama:
Todos los Carrier’s cuentan con nubes de MPLS conectadas a Internet y a MPLS de otras empresas, que es donde provienen los ataques, muchas veces las utilizan de puente para esconder la procedencia de estos.
Si se tiene un ataque de negación de servicio (DoS/DDoS) por ejemplo, a un servicio Web que tiene una entrada de 10MB y el ataque es de 100MB, el ancho de banda del objetivo, se queda sin capacidad y se genera una negación de servicio, pero ustedes se preguntarán, que hace mi Firewall e IPS ante eso, desafortunadamente NADA, no pueden hacer nada ante este tipo de ataque ya que ellos mitigan lo que llega a sus redes no a la entrada de sus conexiones de MPLS que es donde se requiere mitigar este tipo de ataque.
Ahora, si se trata de un ataque de fragmentación de paquetes, ver diagrama:
Los ataques llegan a los Firewalls e IPS pero de forma fragmentada y son millones de ellos, lo que va haciendo crecer la demanda en los Firewalls e IPS de Memoria y CPU, lo que con el tiempo constante de este tipo de ataque como resultado da, que el Firewall/IPS colapsa y cae, y de la misma forma que en el anterior, la solución no está del lado del objetivo/empresa/gobierno, si no de la entrada de su conexión de MPLS.
Es por ello que las empresas y entidades de gobierno, deben tener en cuenta estas medidas y no solo dejar la carga de trabajo a sus Firewalls e IPS’s, ya que pueden estar gastando en algo que no les va a solucionar el problema, lo que si pueden hacer es, buscar una solución entre su proveedor de MPLS y ustedes, para poder mitigar este tipo de ataques.
Ahora, no se dejen engañar de aquellos Carrier’s que se dicen tener “Clean Pipes” ya que no solo se requiere de esta solución para su contención.
Les recomiendo que se acerquen a alguien que realmente los asesore, sin necesidad de gastar de más, ya que un enlace mayor no les va a mitigar un ataque, un equipo FW/IPS de gran escala tampoco.
Puedo resumir en la ley básica de la Seguridad Informática, “No hay seguridad al 100%”, es por ello que debemos tomar las medidas pertinentes de acuerdo a los resultados de un Análisis de Riesgos, PenTest y Análisis de Vulnerabilidades.
Quedo a sus órdenes para ayudarles con sus dudas y/o consultas.
PD. Ayer a las 11:30 pm del 9 de Marzo del 2012, fue anunciado por los Hacktivistas a través de Sector404MX las contraseñas de acceso del servidor FTP del Senado de la República en México, también publicaron el XSS apra accesar al sitio de Materiales de la SEP en México.
¿Qué esperas para Asesorarte? ¿Te importa tu prestigio? ¿Quieres tener pérdidas de clientes?… Piénsalo.
Reciban un cordial Saludo.
Victor Miranda.
Victor Miranda
Professional Ethical Hacker, Pentester & Forensics Investigator MPCS, CEH v8, CSSP, CICP-CICAP HTCIA Member & ISECOM Member Twitter: @victormirandamx