Dave Piscitello, en representación del Equipo de Seguridad de la ICANN
Durante estas últimas semanas varias organizaciones e instituciones financieras muy reconocidas han sido el blanco de ataques masivos para la interrupción de sus servicios. Muchos de estos ataques tienen características similares a los ataques realizados en el 2006 contra los servidores de los nombres de dominio de alto nivel. El Comité Asesor de Seguridad y Estabilidad de la ICANN publicó un Informe, SAC008 [PDF, 963 KB]: Ataques Distribuidos de Denegación de Servicios (DDoS), poco tiempo después de los incidentes ocurridos en el 2006. Las recomendaciones incluidas en ese informe continúan siendo importantes al día de hoy.
Alentamos a las organizaciones privadas, operadores de servicios y gobiernos para que analicen detenidamente las recomendaciones incluidas en el Informe SAC 008, el cual describe los medios más populares para reducir los ataques DDoS.
“La forma más efectiva de reducir los efectos causados por… varios ataques DoS es verificar la dirección IP de origen” – SAC008
Generalmente, los ataques DDoS utilizan direcciones IP que no están asignadas al subscriptor o direcciones IP pertenecientes a espacios reservados o privados para que resulte difícil identificar el origen del tráfico de los ataques. A esto se le llama falsificación (spoofing) de direcciones IP. Para prevenir la falsificación (spoofing), las corporaciones o proveedores de servicios de acceso deberían aplicar filtros de ingreso a las redes (descrito en el Informe SAC004 y recomendado por el Comité de Arquitectura de Internet (IAB) BCP038). La eliminación del tráfico de ataques desde su raíz tiene el beneficio adicional de evitar que los ISP reenvíen tráfico malicioso o delictivo. Todos se benefician cuando los operadores filtran las direcciones de origen falsificadas (spoofed), salvo los futuros posibles atacantes.
“Documente las políticas operativas relacionadas a medidas de respuesta… para poder proteger [sus] infraestructuras de servidores de nombres de ataques que ponen en peligro su capacidad para ofrecer un servicio, avise cuando implemente tales medidas e identifique las acciones que las partes afectadas deben implementar para que estas se cumplan”. – SAC008
Hace poco escribí un artículo llamado Preparándonos para el (inevitable) ataque DDoS, que describe cómo desarrollar políticas y preparar una respuesta al ataque en el caso de que su organización fuese atacada.
“desactive la opción de recurrencia abierta para fuentes externas en los servidores de nombres y acepte las consultas del DNS que son únicamente de parte de fuentes de confianza, para ayudar a reducir los vectores de ampliación de los ataques DDoS en el DNS – SAC008
Cuando la opción de recurrencia abierta se encuentra activa en un servidor del DNS, ese servidor aceptará consultas del DNS que son de parte de cualquier cliente (cualquier dirección IP de origen). Los atacantes aprovechan al máximo los servidores recursivos abiertos en sus ataques DDoS y ataques amplificados. La Alerta TA13-088A del US-CERT le recomienda a todos los operadores del DNS lo siguiente:
- Desactive la opción de recurrencia en servidores de nombres autoritativos
- Limite la recurrencia a clientes autorizados y
- Limite la cantidad de respuestas de los servidores de nombres recursivos
La Alerta TA13-088A también describe maneras para que cada organización evalúe si alguno de sus servidores de nombres son resoluciones abiertas y también incluye fuentes en donde se explica cómo se puede hacer esto en sistemas operativos principales y en software de servidores de nombres. (Nota: TA13-088A no presenta un recurso para el servidor del DNS de Microsoft, consulte aquí.)
El Equipo de Seguridad de la ICANN los alienta para ayudar a mitigar esta amenaza a la seguridad, estabilidad y flexibilidad que está creciendo.