HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red IV

38 0 0 0

Buenas noches a todos.


Esta es la cuarta publicacionde las siete que compenen el tema de tecnología de defensa contra ataques de la red. 

Este tema es uno de 4, que comprende la defensa contra los ataques al tráfico de la red


PRINCIPIOS DE DEFENSA CONTRA ATAQUES DE TRÁFICO PARTE I

 

Anti-DDoS

 

Primer Paquete Descartado

 

Ø  La siguiente imagen describe el proceso de Anti-DDoS, para un mejor entendimiento, no se traducirá el contenido de la imagen, sino la explicación del proceso.

antiddos


·        Algunos atacantes envían paquetes de ataque con una IP de origen o puerto cambiantes. La tecnología de primer paquete descartado (first-packet discarded) en el dispositivo anti-DDoS puede bloquear el tráfico. Se puede configurar este método y el método de autenticación de la dirección origen para prevenir ataques con “orígenes forzados”.

 

·        En casos normales, TCP, DNS e ICMP tienen mecanismos de retransmisión. Si estos paquetes son descartados durante la interacción, se retransmiten. De cualquier modo, los atacantes no transmiten estos paquetes. Entonces, el dispositivo anti-DDoS descarta el primer paquete y verifica si los paquetes retransmitidos son recibidos de la dirección IP origen para determinar si la dirección es legítima.

 

·        El dispositivo anti-DDoS verifica su el paquete es retransmitido con base en el 3-tuple y en el intervalo de tiempo definido. El 3-tuple incluye dirección IP, puerto origen y protocolo; el intervalo de tiempo es configurable.

 

§  Si el paquete no coincide ninguna de las parte del 3-tuple, el dispositivo anti-DDoS considera que el paquete “primer paquete” y lo descarta.

§  Si un paquete coincide con los valores del 3-tuple, el dispositivo verifica si el intervalo entre este paquete y el que precede coinciden con el mismo 3-tuple.


Ø Si el intervalo de tiempo más pequeño que el especificado dentro del límite más bajo o mayor que el especificado dentro del límite más alto, el dispositivo considera que el paquete es un “first-packet” y lo descarta. Si el intervalo está entre el limite más bajo y el límite más alto, el dispositivo considera que es un paquete subsecuente y le permite el paso.

 

·        First-packet discarded aplica para paquetes TCP, ICMP y DNS. UDP no tiene mecanismos de retransmisión. De cualquier modo, los protocolos de la capa de aplicación que utilizan tienen mecanismos de retransmisión. Por consiguiente, first-packet discarded también aplica para UDP.

 

Limitación y Bloqueo de Tráfico

·        Se puede implementar limitación y bloqueo del tráfico como defnesa ante los ataques del tráfico en ciertos servicios que no utilicen los recursos d ela red o el volumen se tráfico sea pequeño.

§  Bloqueo de tráfico: políticas de servicio definidas por el usuario, el bloqueo de tráfico indica que todos los paquetes que coincidan con las políticas definidas por el usuario sean descartados. Dentro de las políticas por defecto, el bloqueo de tráfico indica que todos los paquetes coincidan con las políticas que no estén definidas por el usuario sean descartados.


§  Limitación del tráfico: dentro de los servicios de las políticas definidas por el usuario, el límite de tráfico indica que el exceso de paquetes que coincida con los servicios definidos por el usuario sean descartados. En la política definida por defecto, el límite de tráfico indica que el exceso de paquetes que coincida con los servicios no definidos por el usuario, son descartados.

 

Filtro

·        Se puede configurar un filtro pata el dispositivo anti-DDoS para tomar acciones para los paquetes que coincidan con firmas o elementos especificados.

·        El dispositivo provee 7 tipos de filtros, incluyendo IP, TCP, UDP, HTTP, DNS, ICMP y SIP

Ø A continuación, una tabla con las descripciones:

filtro


·         Un filtro es un conjunto de condiciones de filtrado definidas por el usuario en dispositivo anti-DDoS, incluyendo la dirección IP origen y destino del paquete, protocolo y TTL. Si los paquetes coinciden con estas condiciones, coinciden entonces con el filtro, por tanto el dispsitivo toma las acciones especificadas para esos paquetes.


·         El dispositivo anti-DDoS soporta las siguientes acciones para los paquetes que coincidan con los filtros correspondientes:

Ø Bloquear los paquetes

Ø Boquear los paquetes y colocar la dirección IP en la lista negra

Ø Permitir los paquetes

Ø Permitir los paquetes y colocar la IP en la lista blanca

Ø Limitar la frecuencia de los paquetes

Ø Ejecutar la autenticación de la fuente (aplica solo para filtros HTTP)

 

Lista Negra y Lista Blanca


·        El sistema del dispositivo anti-DDoS enlista en la lista negra las direcciones IP no confiables y descarta los paquetes que tienen como origen estas direcciones, y del mismo modo, la lista blanca enlista las direcciones IP confiables y permite los paquetes cuyo origen son estas direcciones.

lists


·        La lista negra se clasifica en dos tipos:

§  Lista Negra Estática: el administrador coloca las direcciones de manera manual en la lista negra. De este modo, el dispositivo anti-DDoS puede reenviar las coincidencias con los paquetes subsecuentes como no confiables y descartarlos. La lista negra estática toma efecto a menos que el administrador la elimine.

 

§  Lista Negra Dinámica: la lista negra dinámica no puede ser configurada de manera manual por el administrador. Durante el proceso de defensa, si se detecta una IP de origen ilegitimo, esta es agregada de manera dinámica a la lista negra. Durante la defensa contra los ataques a las aplicaciones en capa 7 tal como el ataque de TCP CONNECTION FLOOD, HTTP flood y HTTPS FLOOD, el sistema agrega a la lista negra la dirección IP que está originando el ataque solo si se habilita la función lista negra. El sistema bloquea el tráfico de la dirección IP que está realizando el ataque dentro del tiempo de espera y hace una detección nuevamente cuando este tiempo expira.

 

Ø Para el elemento del filtrado basado en lista negra estática, si se habilita el comando drop-mark-black para los paquetes que coincidan con la fingerprint, la dirección IP origen puede ser agregada a la lista negra sol si se habilita la función dynamic blacklist.


Ø La lista negra dinámica puede tener efecto de tres maneras:

ü Automática las entradas en la lista negra automática automáticamente toman efecto después de ser generadas.

ü Manual después de que las entradas se generan de manera automática, el administrador necesita si se valida la lista negra.

ü Close  (cerrada) no se genera un entrada en la lista dinámica durante la defensa.


§  El sistema puede defender la red de manera efectiva con ataques del tipo HTTP y HTTPS flood en el modo de autenticación del origen, incluso si el modo dynamic blacklist no entre en función o no tome efecto. De c cualquier modo, el el monitoreo de defensa de URL contra ataques del tipo TCP CONNECTION FLOOD y HTTP FLOOD son validos solo si la lista negra toma efecto.


§  Para evitar interrupciones en el servicio a causa de mandar a la lista negra direcciones de usuarios normales, se debe asegurar que la función lista dinámica esté deshabilitada por defecto.

 

·        La Lista Blanca se clasifica en dos tipos:

 

§  Lista Blanca Estática el administrador agrega de manera manual a la lista blanca la dirección IP origen, máscara de subred, número de puerto destino y protocolo. De este modo, el sistema del anti-DDoS considera los paquetes subsecuentes que coinciden como confiables y los reenvía de manera directa. La lista blanca estática toma efecto, a menos que el administrador la elimina de manera Manual.

Ø Una dirección IP de origen puede agregarse de manera simultánea a la lista blanca y a la lista negra con base a diferentes números de puerto o diferentes protocolos.

 

§  Lista Blanca Dinámica: durante la defensa de la red, la dirección IP origen que sea autenticada es agregada de manera dinámica a la lista blanca.

ü La lista blanca dinámica tiene su propio tiempo de espera. Antes de que el tiempo expire, la lista blanca toma efecto y el sistema permite que los paquetes de provengan de la fuentes que se ha catalogado como confiable pase. De cualquier modo, cuando el tiempo de la lista blanca termina, no tiene mayor efecto y el sistema debe autenticar los paquetes de la fuente por nueva cuenta para determinar si permite que los paquetes pasen.


Finaliza hasta aquí este post, recuerda visitar los post anteriores a este tema para que tengas un amplio conocimiento de esta tecnología de defensa contra los ataqies a la red. Recuerda comentar y dejar tu 

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión