El objetivo de este artículo es analizar de forma general la problemática de los ataques de denegación de servicio y hablar sobre algunas soluciones que pueden ayudar a combatirlos.

Un ataque de denegación de servicio (DoS, por sus siglas en inglés) tiene como fin impedir el acceso legítimo de los
usuarios a un recurso de red o computadora en particular. Un ataque distribuido de denegación de servicio (DDoS) es similar pero con la diferencia de que intervienen múltiples fuentes de ataque dispersas en la red (Internet) hacia el mismo objetivo.

Un efecto colateral de la evolución en la complejidad de los ambientes de TI es que  constantemente surgen nuevas vulnerabilidades y amenazas. En la actualidad se sabe que la principal motivación de los hackers es el factor económico, sin embargo, en los últimos meses ha habido un repunte muy notorio del lado político -conocido como hacktivismo– en los ciberataques registrados.

Hoy se sabe de al menos dos grupos muy activos en este sentido, Anonymous y Lulzsec, quienes han llevado a cabo diversos ataques de denegación de servicio como protesta o reacción ante ciertos sucesos de la vida política mundial. Los ataques pueden ser dirigidos a empresas privadas, entidades gubernamentales, instituciones financieras, instituciones educativas, etcétera, sin importar su tamaño, y generan degradación de los servicios que ofrecen pudiendo implicar un impacto económico así como pérdida de reputación.

Algunos ejemplos recientes: Mastercard y Paypal fueron atacadas como reacción a su decisión de no prestar sus servicios para apoyar el financiamiento de Julian Assange y su sitio Wikileaks; la operación Tequila como respuesta al despido de la periodista Carmen Aristegui, y  la operación contra la Ley Sinde (propuesta de ley que realizó el presidente de España para intentar enfrentar la crisis que aqueja a ese país).

Sin duda, estos grupos han demostrado que cuentan con poder de convocatoria, buena organización, herramientas tecnológicas como LOIC (Low Orbit Ion Cannon) y, sobre todo, con gran capacidad de lograr sus objetivos.

La principal problemática de los ataques de tipo DDoS, desde el punto de vista tecnológico, radica en que no son fáciles de detectar y, sobre todo, en que son muy difíciles de detener utilizando los elementos tradicionales de seguridad (firewalls, ACL, IPS/IDS, etcétera).

Se requiere contar con infraestructura diseñada de modo específico que sea capaz de distinguir, de la forma más precisa y oportuna, el tráfico normal del malicioso (aquel asociado con los ataques) para posteriormente eliminarlo de manera muy puntual. El lugar más adecuado para ubicar estos “componentes de seguridad” es en la nube, es decir, en el backbone de la red de los carriers y no en la red de los clientes.

Una de las tecnologías que puede ayudar a disminuir este tipo de problemas es la de  análisis del comportamiento de la red (network behavior analysis), la cual se basa principalmente en algoritmos de detección de anomalías para identificar comportamientos inusuales en la red para, posteriormente y mediante la utilización de otras técnicas, eliminar el tráfico anómalo y dejar solo el tráfico legitimo en la red de los clientes.

Los elementos a considerar de manera general son los siguientes:

  • Detección. Contempla la caracterización del tráfico para el establecimiento de líneas base y perfiles de tráfico normal, basándose en primer lugar en la información que proveen protocolos como Netflow y SNMP. Obviamente, se requiere contar con un monitoreo 7x24x365 para detectar las anomalías mediante la comparación del tráfico en cada momento versus el tráfico caracterizado previamente.
  • Mitigación. Es necesario redirigir el tráfico (utilizando los protocolos de ruteo como BGP) a nivel backbone o red troncal hacia la zona de limpieza, donde es analizado para eliminar los paquetes maliciosos y reenviando el tráfico limpio (legítimo) al destino final.
  • Restablecimiento. Una vez que el ataque ha finalizado, se debe eliminar la redirección del tráfico a la zona de limpieza para que el tráfico fluya de forma normal, es decir, como lo hacía antes del ataque.

.

Como conclusión podemos decir que el riesgo de sufrir un ataque distribuido de denegación de servicios siempre ha estado latente, pero a últimas fechas ha aumentado sobre todo para cierto tipo de organizaciones, y los más indicados para ayudar a mitigar dicho riesgo son los carriers, principalmente por el tipo de mitigación que se requiere; de ahí  que resulte prioritario que estos consoliden en sus redes elementos de detección y limpieza de tráfico anómalo.

.

[email protected]