HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red V

36 0 0 0

Buenos días.


El siguiente POST es laparte 5 de las tecnologías que implemententa el USG6000 de #HUAWEI para defender la red contra ataques, y es parte 2 del tema ATAQUES DE AL TRÁFICO DE LA RED.

Este es el link de la parte I:

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnolog%C3%ADas-de-defensa-contra-ataques-a-la-red-iv/thread/582140-100233


PRINCIPIOS DE DEFENSA CONTRA ATAQUES DE TRÁFICO PARTE II

 

Defensa contra Ataques del Tipo Paquetes TCP (TCP Packets Attack)

 

Proceso de Establecimiento de Una Conexión y Desconexión de TCP

tcpip

La figura describe el proceso de conexión y desconexión de una sesión TCP.


·        Dentro del modelo TCP/IP, TCP usa el saludo de tres vías como mecanismo para proveer conexiones confiables.

 

§  Primer Saludo: el cliente envía un paquete SYN (SYN=a) hacia el servidor, y entonces entra en el estado SYN_SENT, posteriormente espera la confirmación del servidor.

§  Segundo Saludo: después de recibir el paquete SYN, el servidor envía un paquete del tipo ACK (ACK=A+1) para confirmar el paquete SYN del cliente. Mientras tanto, el servidor envía un paquete SYN (SYN=b) , esto es, un paquete SYN-ACK packet. En este caso, el servidor en estado SYN_RCVD

§  Tercer Saludo: después de recibir el paquete SYN-ACK desde el servidor, el cliente envía un paquete ACK (ACK=b+1) hacia el servidor. Después de que el paquete es enviado, el cliente y el servidor entran en estado ESTABLISHED. Aquí, el saludo de tres vías se completa.

 

§  Si el paquete SYN-ACK enviado al servidor es un paquete anormal, el cliente envía un paquete del tipo RST hacia el servidor, y el servidor responde bajo el estado LISTEN.

 

·        Para terminar una conexión, TCP usa un saludo de 4 vías:


§  Primer Saludo: el cliente envía un paquete FIN (FIN=a) hacia le servidor, indicando que no serán enviados más datos. En adición, el cliente entre en el estado FIN_WAIT_1 y espera la confirmación por parte del servidor.

§  Segundo Saludo: el servidor envía un paquete ACK (AK=a+1) para confirmar que ha recibido el paquete FIN. De cualquier modo, el servidor no completa la transmisión de datos y no se envía ningún paquete FIN hacia el cliente. Por consiguiente, el servidor entra en estado LAST_WAIT.

§  Tercer Saludo: si no es necesario transmitir más datos, el servidor envía un paquete FIN (FIN=b) hacia el cliente, entra en estado LAST_ACK, y espera la confirmación del cliente.

§  Cuarto Saludo: el cliente envía un paquete ACK (ACK=b+1) para conformar que se ha recibido el paquete FIN, entre en el estado TIME_WAIT, y espera para que se termine la conexión.. después de que se envía el paquete ACK, el servidor entra en estado CLOSED. Finaliza el proceso del saludo de cuatro vías y la conexión termina.

 

 

Ataques SYN Flood

 

·        Los ataques con paquetes forzados no tienen una dirección IP o esta no es alcanzable. Gran cantidad de conexiones inconclusas consumen los recursos del servidor. Como resultado, el servidor falla la intentar procesar las conexiones legítimas.

synflood

La figura describe el proceso de conexión y desconexión de una sesión TCP.



Defensa Contra Ataques SYN Flood –Autenticación del Origen (Origenes Falsificados)

 

Ø  La siguiente imagen describe el proceso de defensa contra SYN-FLOOD, para un mejor entendimiento, no se traducirá el contenido de la imagen, sino la explicación del proceso.


DEFSYN


·        El dispositivo anti-DDoS colecta estadísticas de flujo de paquetes SYNC mediante la IP de destino y habilita la autenticación de la fuente cuando el flujo de paquetes SYN el umbral especificado.

·        Este método principalmente aplica para la defensa contra ataques de fuentes falsificadas.

·        Se puede habilitar la detección first-packet grandes flujos de paquetes SYN con dirección IP o puerto cambiante para mejorar el desempeño del  procesamiento del dispositivo anti-DDoS.

·        El proceso del mecanismo es el siguiente:


§  Después de recibir un paquete SYN, el dispositivo anti-DDoS envía un paquete SYN-ACK hacia la IP origen del paquete SYN.

§  El dispositivo anti-DDoS checa la respuesta del paquete SYN-ACK para validar la IP origen.


Ø Si el dispositivo anti-DDoS no recibe ningún paquete de respuesta, el paquete SYN se considera parte de un ataque, y el dispositivo anti-DDoS lo descarta.

Ø Si el dispositivo recibe un paquete de respuesta, checa si la respuesta del paquete es respuesta de un paquete SYN-ACK. Si sí, el dispositivo antI-DDoS agrega a la lista blanca la dirección Ip y reenvía todos los paquetes SYN provenientes de esa IP antes de que el tiempo de la recién agregada IP a la lista blanca haya finalizado. Se puede ajustar un tiempo de espera para las IP que entran en la lista blanca.

Ø Para los paquetes SYN  cuya dirección IP no se agrega a la lista blanca, el dispositivo anti-DDoS continúa verificando la autenticación de fuente.

 

Defensa Contra Ataques SYN Flood –Autenticación del Origen (Fuentes Reales)

 

·        Después de que la IP origen se agrega a la lista blanca, la recolección para estadísticas y análisis continúa desempeñándose. Límite de flujo es implementado en los paquete con IP origen anormales para para prevenir ataques iniciados por IP origen reales.

§  Límite de Flujo para flujo TCP anormal: el flujo de paquetes que no corresponde a paquetes ACK (SYN, SYN-ACK y FIN/RST) para paquetes CK es obtenido con base al origen. Cuando la frecuencia excede el límite del flujo dentro del período de tiempo configurado, la dirección IP de origen es identificado como anormal, y el flujo de paquetes no ACK es restringido dentro del umbral.


§  Límite permanente: en todos los casos, esta función limita la frecuencia de todos los paquetes con excepción de loa paquetes ACK debajo del umbral.

·        Se necesita habilitar la función de autenticación SYN-FLOOD antes de configurar el límite de flujo para direcciones IP reales. El dispositivo anti-DDoS colecta los paquetes SYN y habilita El límite de flujo real basado en fuente cuando la frecuencia de los paquetes SYN alcanza el umbral de alarma.

 

Mecanismos del Ataque SYN-ACK FLOOD y Mecanismos de Defensa.

Ø  La siguiente imagen describe el proceso de SYN-ACK, para un mejor entendimiento, no se traducirá el contenido de la imagen, sino la explicación del proceso.

SYN-ACK



·        Mecanismo de ataque:

§  El atacante falsifica la dirección IP de origen y envía mareas de paquetes SYN-ACK hacia la red objetivo. Las mareas de paquetes degradan el desempeño de la sesión basada en envío de los dispositivos de la red, tales como firewalls o IPS, o incluso consumen los recursos de los dispositivos.

§  Adicionalmente, los ataques de  reflexión de marea de paquetes SYN puede causar que el servidor envíe una gran cantidad de paquetes SYN-ACK.


·        Mecanismo de Defensa

§  El dispositivo anti-DDoS colecta estadísticas de la frecuencia de flujo de los paquetes SYN-ACK mediante la dirección IP de destino y habilita la autenticación cuando la frecuencia de flujo de paquetes SYN-ACK excede el límite del umbral especificado.


·        Después de recibir un paquete SYN-ACK, el dispositivo anti-DDoS envía un paquete SYN de regreso a la dirección IP origen del paquete SYN-ACK.

·        El dispositivo anti-DDoS checa la respuesta del paquete de la dirección IP origen para validarla.


§  Si el dispositivo anti-DDoS no recibe ninguna respuesta del paquete, el paquete SYN-ACK es identificado como ataque y el dispositivo antiDDoS lo descarta.

§  El dispositivo anti-DDoS recibe un paquete de respuesta, checa si tal paquete de respuesta pertenece a un paquete del tipo SYN. Si sí, la dirección IP origen es agregada a la lista blanca y responde a todos los paquetes SYN-ACK  que provengan de esta IP antes de que el tiempo de la recién agregada IP expire. Se puede configurar el tiempo de expiración de la IP.

§  Para los paquetes SYN-ACK cuya dirección IP origen no esté en la lista blanca, el dispositivo anti-DDoS  continúa desempeñando la verificación de la autenticación de la fuente.

·        Después de recibir un paquete SYN-ACK, el dispositivo anti-DDoS envía de regreso un paquete SYN hacia la IP origen del paquete SYN-ACK.


·        El dispositivo anti-DDoS checa la respuesta del paquete de la IP origen para validarla.

§  Si el dispositivo anti-DDoS no recibe ningún paquete de respuesta, el paquete SYN-ACK se identifica como ataque y por consiguiente es descartado.

§  Si el dispositivo recibe un paquete de respuesta, checa si la respuesta corresponde a un paquete SYN. Si sí, el dispositivo anti-DDoS agrega la dirección IP de origen a la lista blanca y responde a todos los paquetes provenientes de esa IP antes de que expire el tiempo de espera.

§  Para los paquetes SYN-ACK cuya dirección IP origen no esté en la lista blanca, el dispositivo anti-DDoS  continúa desempeñando la verificación de la autenticación de la fuente.


Mecanismo de Ataque para ACK FLOOD y Mecanismo de Defensa

ackflood


ü Mecanismo de defensa: se utiliza el chequeo de la carga útil y el chequeo de sesión

 

·        Los atacantes utilizan un gran número de paquetes zombi del tipo ACK, los cuales usualmente resultan en lo  siguiente:

§  En los atacantes envían mareas de paquetes ACK con sobrecarga, los enlaces podrían congestionarse.

§  Si los atacantes envían mareas de paquetes ACK con mucha frecuencia, agregando direcciones IP o puertos cambiantes, el desempeño del reenvío de los dispositivos de la red que requieren d recursos para sus sesiones se pueden ver comprometidos, o incluso la red se puede paralizar.

§  Si los atacantes envían un gran número de paquetes con sobrecarga hacia el servidor, el servidor no puede responder a los servicios legítimos.


·        Chequeo de Sesión

§  En la mayoría de los casos, si la frecuencia de envío de los paquetes ACK excede el umbral, el dispositivo anti-DDoS inicia el chequeo de sesión para esos paquetes.

§  El dispositivo anti-DDoS manada a la lista blanca las IP origen que pasan el chequeo de la sesión. La lista blanca ayuda a prevenir el retraso en el reenvío de los servicios normales.


·        Modo Estricto

§  En el modo estricto se recomienda el método de despliegue en línea:

Ø Si un paquete no encuentra coincidencia con ninguna sesión dentro de las entradas, el dispositivo anti-DDoS descarta el paquete ACK.

Ø Si un paquete encuentra coincidencia dentro de alguna sesión dentro de las entradas, el dispositivo permite el paquete.

·        Modo Básico

§  En el modo de despliegue “fuere de línea”, los caminos de reenvío y regreso son diferentes. Las sesiones establecidas antes del desvío del tráfico no existen en el dispositivo anti-DDoS. En este caso, se recomienda el modo básico. Si la frecuencia de paquetes ACK dentro de un período de tiempo consecutivo excede el umbral, se habilita el modo básico para e chequeo de la sesión.


Ø Si un paquete no encuentra coincidencia con ninguna sesión dentro de las entradas, el dispositivo anti-DDoS permite el paquete CK y establece la sesión. Después, el dispositivo ejecuta el chequeo de sesión en los paquetes subsecuentes provenientes de la misma IP origen antes de reenviarlos.


Ø Si un paquete del tipo ACK encuentra coincidencia con una de las entradas en las tablas de sesión, el dispositivo anti-DDoS continúa checando los número de secuencia de los paquetes. Si el número de secuencia es correcto, el paquete es reenviado. De no ser así, el paquete se descarta.

·        Chequeo de Carga útil

§  El dispositivo anti-DDoS ejecuta el chequeo de carga útil en el paquete que pasa el chequeo de sesión. Si la carga útil está llena o contiene caracteres repetidos, tales como 11111…, el dispositivo anti-DDoS lo descarta, debido a que la carga útil de un paquete ACK no se llena con caracteres repetidos.

§  Se puede habilitar el chequeo de carga útil solo después de habilitar el chequeo de sesión.

 

Mecanismo del Ataque FIN/RST FLOOD y Mecanismo de Defensa

finflood

v Mecanismo de Ataques: un atacante utiliza un botnet para enviar un gran número de paquetes FIN/RSTcon puerto o dirección Ip cambiante. Tal ataque compromete el desempeño de los dispositivos basados en reenvío o incluso llega a quebrar la red a causa de la denegación del servicio.


ü Mecanismo de Defensa: el dispositivo anti-DDoS habilita el chequeo de sesión cuando la frecuencia de paquetes FIN/RST  alcanza el umbral.


·        El dispositivo anti-DDoS habilita el chequeo de sesión cuando la frecuencia de paquetes FIN/RST alcanza el umbral.

§  Si la sesión es iniciada por un paquete SYN o SYN-ACK, el dispositivo anti-DDoS permite el paso del paquete SYN-RST.

§  Si la sesión es iniciada por otro tipo de paquetes, tal como un paquete ACK, el dispositivo anti-DDoS checa la secuencia del paquete para determinar si se permite el paso o no.


Finaliza hasta aquí este tema, recuerda visitar los post anteriores pata saber más rfespecto a los métodos de defensa que ofrece el USG6000, no olvides comentar, compartir y dejar tu ♥

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión