Foto: Marta, Serra Tramuntana
La Marta, fotografiada en la Serra Tramuntana de Mallorca, gracioso animal que se deja ver cuando empieza la noche. Vive entre rocas pero es una trepadora excelente
1. ¿Qué es un ataque de denegación de servicio?
Este tipo de ataques tienen como objetivo degradar la calidad de un servicio, y dejarlo en un estado no funcional. Para lograrlo, se saturan los recursos del sistema que aloja el servicio que se quiere interrumpir, enviándoles una avalancha de peticiones que no son capaces de atender.
Una evolución de este tipo de ataque es la denegación de servicio distribuido o DDoS por sus siglas en inglés Distributed Denial of Service. Consiste en utilizar un elevado número de dispositivos atacantes contra el objetivo. Los ataques DDoS muchas veces son llevados a cabo por bots, sistemas infectados cuyo propietario muchas veces desconoce que sus dispositivos forman parte de esta red maliciosa.
2. Requerimiento Esquema Nacional de Seguridad
La protección contra la denegación de servicio es una medida de seguridad clave en soluciones SaaS y conforma una de las medidas a implementar en el Esquema Nacional de Seguridad a partir de categoría MEDIA.
3. Medidas de prevención frente a las DoS y DDoS
Los ataques de denegación de servicio, ya sea distribuido o no, causan graves consecuencias en los sistemas atacados. Implementar medidas preventivas será imprescindible ya que, en caso contrario, solamente sabremos que hemos sido víctimas de este ataque cuando el servicio deje de funcionar.
Para minimizar las consecuencias de estos ataques sobre nuestros sistemas se deberán incorporar distintas medidas de seguridad.
3.1 Medidas de protección en la red interna
Cuando el sistema de información se encuentra publicado en Internet se han de incorporar elementos de protección perimetral para protegerlo. Entre otras medidas:
- Ubicar el servidor web en una zona desmilitarizada (entre cortafuegos), también llamada DMZ, evitando así que un intruso pueda acceder a la red interna si vulnera el servidor web;
- Implementar un sistema de detección y prevención de intrusiones (IDS/IPS) que monitorizan las conexiones y nos alerta si detecta intentos de acceso no autorizados o mal uso de protocolos;
- utilizar un dispositivo o software con funcionalidad mixta (antivirus, cortafuegos y otras), como un UTM que permite gestionar de manera unificada la mayoría de ciberamenazas que pueden afectar a una empresa.
El uso combinado de estos elementos, que pueden ser tanto software como hardware, y su correcta configuración, reducirá las posibilidades de sufrir un ataque de denegación de servicio.
3.2 Medidas de protección en el alojamiento
En caso de que se haya contratado un alojamiento de tu sistema de información debes informarte sobre las medidas de seguridad que ha implementado el proveedor (PaaS o IaaS). Tendrás que comprobar que son como las del apartado anterior. Algunos proveedores ofrecen estas medidas de seguridad en el panel de administración del alojamiento web. Verifica con el proveedor quién será el encargado de su configuración y administración.
3.3 Gestión de ancho de banda
Esta puede que sea la forma de protección más básica, pero no por ello la menos eficaz. Independientemente de que el servicio web se encuentre dentro de la organización o subcontratado se ha de contar con el mayor ancho de banda posible. De esta forma, se podrán gestionar mejor los picos de tráfico que causan las denegaciones de servicio.
3.4 Redundancia y balance de carga
La redundancia consiste en tener el activo duplicado en más de un servidor y el balanceado de carga permite que se asigne a un servidor u otro en función de la carga de trabajo que esté soportando. Esta medida reduce los riesgos de sufrir uno de estos ataques, ya que al tener más de un servidor se reducirá la posibilidad de que se detenga debido a la sobrecarga. Además, aporta otras ventajas como la tolerancia a los fallos, ya que si un servidor cae, el total del trabajo lo asumiría el otro servidor.
3. 5 Sensores de tráfico DdoS
Existen soluciones de software de sensores especial que se ejecutan en las instalaciones del sistema y, en cuanto está instalado, empieza a recopilar estadísticas y generar perfiles de uso que le ayudan a proteger la empresa.
Este tipo de software supervisa el tráfico y, gracias a la generación continua de datos estadísticos e información analítica de comportamiento, mejora de forma constante su capacidad de detección, incluso de anomalías muy leves que son características del inicio de un ataque de DDoS.
Debido a que el software del sensor se ejecuta en un servidor x86 estándar o en un equipo virtual, no es necesario instalar hardware especial que deba mantener.
3.6 WAF, Web Application Firewall
Una de las soluciones que cualquier servicio de alojamiento de sistemas de información considerado crítico debe tener es un cortafuegos de aplicación o WAF por sus siglas en inglés Web Application Firewall. Los proveedores de seguridad web basados en la nube pueden ser de gran ayuda a la hora de evitar y mitigar los efectos de un ataque de denegación de servicio. Los WAF, que ofrecen las soluciones basadas en la nube, actúan como intermediarios entre nuestro servicio web y los usuarios, interponiéndose también a ciberdelincuentes o bots. Ante cualquier indicio de ataque, el WAF actuará y evitará que las conexiones maliciosas lleguen al sitio web, evitando así las denegaciones de servicio.