08 octubre 2010

Cómo mitigar ataques de Denegación de Servicio (D)DoS

La polémica que se ha desatado con el ataque convocado por el grupo Anonymous de 4chan contra la SGAE y El Ministerio de Cultura, como se suele decir, ha generado "ríos de tinta digital" sobre los detalles del ataque e incluso en ciertas listas de correo se discutía sobre lo lícito o ilícito del mismo como forma de manifestación ante la actitud de la SGAE. Ayer, Yago además nos contaba cómo había protegido ACENS (el ISP que alberga el sitio web de la SGAE), el resto de la infraestructura, al saber que iba a ser víctima de una muerte anunciada y segura por parte de un ataque DoS contra uno de sus clientes.


Asimismo, tuve la oportunidad de asistir a un webinar titulado "Stopping DDoS attacks: How to protect your services and generate new revenue" patrocinado por Arbor Networks, "un fabricante de equipos específicos para detectar y parar Ataques de Denegación de Servicio"

Según contaba en el webinar Tom Bienkowski, el director de producto, los ataques (D)DoS, cada vez tienen más sentido debido al auge del cloud computing, tendencia por la que los servicios se dan desde la nube, desde Internet. Se hace imprescindible proteger a los proveedores de estos servicios, pudiendo garantizar la fiabilidad y disponibilidad del servicio. En la presentación aparecía un gráfico de evolución de diferentes ataques de Denegación de Servicio, ordenados en el tiempo y se mostraba el ancho de banda utilizado. En 2009, se llegaban a ver ataques de hasta 50 Gbps!!!!
Fundamentalmente los ataques de Denegación de Servicio suelen ser de dos tipos:
  • Altísimo número de conexiones / agotamiento ancho de banda existente: Como los realizados a través de botnets en las que los administradores deciden utilizar una legión de ordenadores "zombies" para lanzar peticiones contra un único objetivo; o por convocatorias como las de 4chan en las que cada cliente, según esté o no de acuerdo con la causa, se baja un software que ejecuta en el momento en el que se convoca el ataque. El objetivo es consumir o el ancho de banda disponible para el servicio o los recursos de todo lo que haya por el camino: routers, switches, firewalls, balanceadores, servidores, etc,...
  • Consumo de la capacidad de procesamiento de recursos: Este tipo de ataque es más oculto. Se basa en atacar únicamente aplicaciones específicas como pueden ser protocolo (HTTP, DNS, VOIP, etc,...) mediante paquetes malformados que tardan mucho en procesarse y descartarse. En este caso con un número menor de ataques se logra que se bloquee el servicio igualmente. Un ejemplo conocido pueden ser los ataques de tipo LAND, Slowloris, envenenamiento de DNS, Smurf, etc,...
Los motivos de los ataques suelen variados:
  • Extorsión: Ya sean mafias o grupos de ciberdelincuentes, eligen un destino y exigen algo a cambio (en general, una suculenta suma) o su web quedará fuera de combate el tiempo que deseen. Un ejemplo de este ataque fue el sufrido por Genbeta hace un par de años por la publicación de una nota que no gustó a determinado grupo.
  • Fines ideológicos: Véase el caso de la convocatoria a SGAE/mcu.es/promusicae a través de 4chan.
  • Por contrato: "Tumbad la web de mi competencia que mientras yo venderé y haré negocio".
El impacto que una Denegación de Servicio tiene sobre el sitio objetivo, está claro: económico, pérdida de productividad, multas por fallo en un SLA, reputación e imagen....

Tom de Arbor Networks, insistía en que los productos tradicionales de seguridad perimetral (como firewalls, IDS e IPS) no pueden parar algunos ataques de DDoS puesto que tienen que permitir ciertos servicios de entrada, mantener tablas de estados, las firmas que utilizan no corresponden a ataques de DoS, y si permites un máximo de sesiones por IP origen, en cuanto el ataque es distribuido, tampoco vale de nada...

La solución según Arbor es complementar el parque con un elemento más llamado IDMS (Intelligent DDoS Mitigation System). Este tipo de equipos debe ir situado en la primera línea de defensa, incluso antes del firewall o en una ubicación externa, en un ISP con capacidad para procesar altas cantidades de tráfico de red. Estos equipos -los suyos- están especializados en la detección y bloqueo de ataques de una forma más inteligente, con diferentes motores, y añadiendo una capa más de protección.

Mi opinión
Después de escuchar atentamente la explicación del empleado de Arbor Networks, evidentemente la conclusión que saco es que por supuesto que sus equipos introducirán una capa más de protección ante determinado tipo de ataques DDoS o por lo menos reaccionarán ante fluctuaciones del tráfico considerado como "normal" dentro de una organización.

Sin embargo, y pese a que la muestra de equipos que ofrecen en el portfolio, van desde el 1,5 Gbps de procesamiento hasta los 40 Gbps, si los ataques registrados en 2009 ya llegaban hasta 50 Gbps, en determinados entornos, se quedaría corto.

Por otra parte, creo que con una combinación del resto de los componentes de seguridad perimetral existentes en el mercado (y en casi todas las organizaciones grandes) como firewalls, IPS, WAF, balanceadores y gestores de ancho de banda se pueden llegar a eliminar varios de estos ataques. Lo que está claro es que si no dispones de ancho de banda disponible, un DDoS por agotamiento del caudal disponible, te va a llegar igualmente, tengas el equipo que tengas. De hecho, no supo contestar a mi pregunta sobre si habían tenido algún caso de éxito contra un ataque convocado a través de 4chan publicándolo con gran orgullo y a los cuatro vientos, si hubieran tenido esa experiencia.

Como soluciones válidas para este tipo de ataques, sólo Akamai parece ser una solución fiable, gracias a la multitud de cachés por todo el Mundo y en momentos puntuales, y a fin de proteger el resto del ISP, la solución llevada a cabo por Acens eliminando la ruta hacia la web de SGAE cuando es una "Crónica de una Muerte Anunciada" como la de 4chan, parece de lo más inteligente. Al fin y al cabo, dejar sin ancho de banda disponible, con un poder de convocatoria como ese, seguro que lo consiguen, al menos, sacrificas el peón que sabes que muere igualmente y salvas el resto del tablero; pero desde el punto de vista de la defensa, desafortunadamente, siguen sin existir balas de plata que te garanticen que puedes dormir tranquilo al 100%

8 comments :

Anónimo dijo...

Buen artículo Lorenzo.
¿Sabes qué hacen exactamente los cacharros de Arbor? La descripción que has puesto tiene cierto sabor snake oil :-)
Gracias
-Ppt

Kitai dijo...

Akamai lo pagas con creces.

Una búsqueda en google revela alternativas más baratas que el tremendamente hinchado precio de Akamai.

Txalin dijo...

Estaria bien hablar sobre como mitigar un ddos sin utilizar servicios externos. Es decir, este articulo (con todo el respeto del mundo) realmente no habla de mitigar un ddos, habla de:
a) Comprar un cajón que para ddos (habria que ver como)
b) Contratar los servicios de una empresa.

Hecho de menos algo mas "util" para un admin de sistemas en su dia a dia, sinceramente.

No os siente mal, es solo una opinion como cualquier otra :)

Lorenzo Martínez dijo...

@Anónimo -> La verdad es que en el webcast tampoco dió muchos detalles sobre cómo lo hace. Indicaba que tenía firmas específicas para ataques conocidos, basados en firmas generadas por ASERT (allos mismos), Fingerprint Sharing Alliance, creadas por el usuario,etc,... y además lo que tengo entendido que este tipo de solución aprenden el comportamiento "normal" de la red, analizando el tráfico, e identifican las variaciones sensibles para detectar y bloquear un DoS. Sin embargo, como en todo IPS/IDS/WAF es importante afinar convenientemente para evitar falsos positivos (en este caso un efecto Meneame/slashdot/Barrapunto podría generar una autodenegación de servicio si no está bien configurado)

@Kitai -> Como servicio conocido y reputado en organizaciones que "conozco/he trabajado" y que lo tienen, están encantados con ello. Otra cosa es que sea caro o no.

@Txalin-> Agradezco tu comentario porque es muy constructivo. Entiendo lo que pides y realmente siento decirte que es posible fortificar y optimizar la pila TCP/IP de las máquinas, el orden de las reglas de los cortafuegos,... crear bandas de prioridad en los gestores de ancho de banda para hacer QoS, configurar los balanceadores para que se reparta la carga, etc,etc,etc,etc,... pero... lamentablemente si el número de conexiones o el ancho banda utilizado que te piden es superior a la capacidad de lo que los routers son capaces de gestionar, se colapsará y lo que haya detrás no valdrá para nada. De ahí que el "cortar" a la SGAE únicamente quitando una ruta sea la solución adoptada por Acens, al menso evita que toda la infraestructura de Acens muera, porque lo que está claro es que si no, muere la de la SGAE y todo lo demás!

Jordi Prats dijo...

Muy buen articulo Lorenzo! Hay mucho iluso que se piensa que porque tenga un balanceador con un puente en la etiqueta, o con cualquier "generador de PDFs" que hay en el mercado, activando la opción "Proteyer contra ataque DDoS Yes/No" en un interfaz web pueden solucionar estos temas.

Lorenzo Martínez dijo...

@Anónimo -> La verdad es que en el webcast tampoco dió muchos detalles sobre cómo lo hace. Indicaba que tenía firmas específicas para ataques conocidos, basados en firmas generadas por ASERT (allos mismos), Fingerprint Sharing Alliance, creadas por el usuario,etc,... y además lo que tengo entendido que este tipo de solución aprenden el comportamiento "normal" de la red, analizando el tráfico, e identifican las variaciones sensibles para detectar y bloquear un DoS. Sin embargo, como en todo IPS/IDS/WAF es importante afinar convenientemente para evitar falsos positivos (en este caso un efecto Meneame/slashdot/Barrapunto podría generar una autodenegación de servicio si no está bien configurado)

@Kitai -> Como servicio conocido y reputado en organizaciones que "conozco/he trabajado" y que lo tienen, están encantados con ello. Otra cosa es que sea caro o no.

@Txalin-> Agradezco tu comentario porque es muy constructivo. Entiendo lo que pides y realmente siento decirte que es posible fortificar y optimizar la pila TCP/IP de las máquinas, el orden de las reglas de los cortafuegos,... crear bandas de prioridad en los gestores de ancho de banda para hacer QoS, configurar los balanceadores para que se reparta la carga, etc,etc,etc,etc,... pero... lamentablemente si el número de conexiones o el ancho banda utilizado que te piden es superior a la capacidad de lo que los routers son capaces de gestionar, se colapsará y lo que haya detrás no valdrá para nada. De ahí que el "cortar" a la SGAE únicamente quitando una ruta sea la solución adoptada por Acens, al menso evita que toda la infraestructura de Acens muera, porque lo que está claro es que si no, muere la de la SGAE y todo lo demás!

Kitai dijo...

Akamai lo pagas con creces.

Una búsqueda en google revela alternativas más baratas que el tremendamente hinchado precio de Akamai.

Alvaro dijo...

Radware si tiene documentado qeu sus equipos hayan soportado ataques como los de 4chan. http://www.radware.com/Products/ApplicationNetworkSecurity/default.aspx