Por Shawn P.

McCarthy No es fcil defender a un servidor web federal en contra de la negacin distribuida de servicio ataques, pero no es imposible tampoco. Desde hace aos, el gobierno ha estado bajo presin en una guerra ciberntica no declarada con los piratas informticos de todo el mundo. La negacin simple y hasta el momento es el ataque ms comn de servicio, que mantiene un servidor muy ocupado con el trfico de datos falsos que no puede hacer su trabajo real. Un distribuidos de denegacin de servicio ataque pozos varios equipos a travs de Internet contra un servidor de destino nico. Los ataques ms graves de la actualidad organizar el uso de cientos de mquinas y tener el servidor de destino fuera de servicio durante la duracin del ataque. Los administradores del sitio estn buscando ocupado formas de defenderse. Se requerir de un esfuerzo ms centralizada para hacer una diferencia real, adems de un compromiso por parte de los proveedores de servicios de Internet para poner verdaderamente una tapa sobre el monstruo. El paso de la defensiva primero es entender cmo se juega el juego. Sola ser posible decir quin fue el envo de demasiado trfico de datos mediante el examen de los paquetes de datos. Pero los piratas han tomado la suplantacin de IP, que oculta la direccin de la mquina originaria. La Internet, diseado para compartir datos abiertamente, es muy confiada. Volcado de un paquete de datos en cualquier lugar de la red, y que sern entregados sin prejuicios. Estilos de ataque Cuando un servidor est bajo ataque, es importante reconocer el estilo de ataque. A veces es una combinacin de estilos. Captus Networks Corp. de Woodland, California, ha identificado cuatro tipos de ataques ms comunes como:

Internet Control Message Protocol inundaciones. Una mesa de ping ICMP en el servidor produce una respuesta de eco para confirmar la presencia del servidor. Cuando se envan pings suficiente, el servidor de destino no puede hacer nada, sino responder a las solicitudes. Ataque Smurf. Que parece proceder de propia direccin IP del servidor de destino o en algn lugar de su red. Correctamente dirigida, puede inundar la red con pings y las respuestas mltiples. User Datagram Protocol inundacin. UDP servicios de diagnstico generar caracteres que se repiten desde el extremo receptor de la mquina. Esto puede pantano de la red con datos intiles. TCP SYN. Mltiples peticiones falsificadas para las conexiones de Transmission Control Protocol forzar al servidor para mantener los puertos abiertos, en espera de respuestas. Estos cuatro tipos de ataques involucran el trfico entrante. En un nivel superior y ms grave, un servidor de destino est en peligro y se utiliza para atacar a las mquinas en otro lugar. Se hace necesario controlar el trfico saliente del servidor, tambin. Muchas agencias han instalado dos defensas bsicas:

Un servidor de seguridad en la LAN se conecta a la agencia un proveedor de servicios de Internet u otro punto de acceso a la red. Un firewall puede impedir que los hackers, pero no es bueno para detener un ataque de denegacin de servicio. Muchos servidores de seguridad se puede configurar para actuar como routers de filtrado de paquetes, lo que significa que tira los paquetes malos y an as dejar que el trfico legtimo a travs. Pero por el momento en que el mal trfico llega al cortafuegos, ya es la obstruccin de la conexin a Internet.

Una red basada en sistema de deteccin de intrusos. Un IDS es generalmente ajustado a lo que se denomina modo promiscuo para que pueda ver todos los datos que pasan. Puede registrar los datos incorrectos o activar una alarma. Un IDS basado en host es similar, pero configurado para monitorear un solo servicio en un host. Ambos tipos de sistemas de deteccin de intrusos puede ser configurado para buscar firmas de datos especficos o anomalas. No reaccionan directamente a la intrusin, pero pueden provocar distintos sistemas de filtrado. Una desventaja es que, como PC software antivirus, debe ser constantemente actualizado con las firmas de los datos sospechosos. Cortafuegos y sistemas de deteccin de intrusos son medidas reactivas. No van a parar un ataque, y se puede cerrar slo una parte de ella hacia abajo. El trfico de mal se puede apagar en dos puntos:

El obstculo ms eficaz es trabajar con el proveedor de Internet para filtrar el flujo de datos errneos, basados en el anlisis de los paquetes que llegan. Esto es mucho tiempo pero vale la pena, ya que mantiene la red libre de trfico no deseado. Un mtodo ms rpido pero menos eficaz es instalar un sistema de intrusin de trfico de limitacin de deteccin que se ve para el trfico inusuales o anmalos. Se aprovecha de una caracterstica de TCP / IP para confirmar si el trfico proviene de una fuente nonspoofed. Un IDS limitar el trfico, tambin puede replantear la comunicacin de datos entre dos puntos por preguntar al remitente para disminuir la tasa de reconocimiento de datos. Servidores legtimos de hacerlo. Aquellos que no se consideran poco fiables, por lo que sus paquetes se filtran. Este mtodo es eficaz contra todo lo que el experto en seguridad Steve Gibson ha denominado "script kiddies", que trabajan dentro de Microsoft Windows y descargar scripts de hacking en Internet. Hackers como no saben de mtodos sofisticados de ocultar sus direcciones IP. En teora, un dispositivo de limitacin de trfico instalado fuera del firewall que quitar a cabo y redirigir el trfico mal sin convertirse en un cuello de botella para el trfico de bueno. Tambin podra negar los datos de entrada de determinadas direcciones IP, ya sea por un tiempo determinado o hasta que se detiene un ataque. La negacin termina automticamente cuando el flujo de trfico vuelve a la normalidad. Los administradores con sistemas de este tipo se pueden establecer umbrales y polticas de diversos factores desencadenantes, as como alertas y filtros para el trfico de malo.

nico proveedor puede prohibir a los paquetes Pero este enfoque no se libera la red de paquetes no deseados. Slo el proveedor de Internet puede mantenerlos fuera. Adems, es casi imposible que la recta de trfico de limitacin de enfoque tenga xito, en gran medida con los paquetes falsificados porque cada uno puede llegar con una direccin IP falsa diferentes. La mejor apuesta en general es un enfoque a varios niveles:

Un filtrado de trfico y dispositivo de limitacin en el firewall agencia lmite de entrada de servicios de negacin de trfico. Si lo hace filtrado de salida, se puede evitar que los servidores agencia de ser utilizados en un ataque. Una disposicin similar en el punto ms alto ancho de banda va a hacer an ms. Las grandes redes del gobierno tienen una ligera ventaja aqu, porque no hay que contar con los proveedores comerciales para instalar estos dispositivos. Finalmente, despus de dos o ms puertas de enlace har que la red de la agencia es redundante y por lo tanto ms difciles de apagar. Shawn P. McCarthy desarrolla productos para un proveedor de motor de bsqueda web. E-mail l en smccarthy@lycos-inc.com. ******** Un sistema IDS es "Tormenta de fuego" se encuentra en el hilo Enlaces Seguridad en los artculos de seguridad.