El incremento de los ciberataques en los últimos tiempos se ha disparado en número y diversidad y todas las compañías, sea cual sea su tamaño, están expuestas a sufrirlos. Las consecuencias de estos ataques pueden ser devastadoras por el impacto en el negocio, por lo que es apremiante blindar las redes para garantizar su seguridad. Por Zigor Gaubeca, Director de Ingeniería y Tecnología de Aire Networks.
Tipos de ataques e impacto en redes de operador: Los ataques que suelen afectar mayoritariamente a los operadores son los ataques volumétricos que consisten en inundar la red tanto de tráfico como de paquetes por segundo, saturando así la entrada de un circuito, provocando una degradación grave del servicio. Estos ataques, que pueden durar horas e incluso días, suelen tener como origen miles de redes que lanzan ataques de forma distribuida sobre uno o varios equipos de la red, saturan los enlaces e imposibilitan el flujo de tráfico normal por lo que la percepción de los usuarios es una falta de servicio total.
El otro tipo de ataques son los que van dirigidos a los sistemas y dispositivos (no a los accesos) que no se producen por el exceso de tráfico sino por el contenido de este tráfico, y es que la revisión pormenorizada del tráfico es compleja y costosa. En cualquier caso, este tipo de ataques no suele impactar en el funcionamiento y rendimiento de la red pero pueden estar enfocados a espiar nuestro tráfico, detectar vulnerabilidades en versiones de software para posteriormente lanzar un ataque que inutilice equipos de cliente o de la red, inspección silenciosa para vulnerar servicios críticos en la red como pueden ser DNs, VoIP, Web, mail, etc.
Habitualmente, los ataques volumétricos están basados en protocolos UDP que pueden programarse en un botnet para ser activados a demanda por el atacante. Otra tendencia actual es SYN Flood, basado en TCP que ataca a máquinas: no está orientado a tumbar dispositivos por tráfico, sino que envía muchos paquetes para lograrlo.
En el caso de Aire Networks, la alta capacidad de los pops donde interconectamos con nuestros operadores y proveedores de contenidos hace que, los ataques volumétricos, los más riesgosos para la red de operadores no tengan afectación en nuestra red.
Detección de ataques: La detección de los ataques se realiza mediante técnicas de muestreo: se recogen estadísticas del tráfico, no del contenido, a través de los equipos de red que envían información relevante sobre el origen, destino y tipología del paquete. Una de las claves es que los sistemas sean lo más ligeros posible para no impactar en el performance de los equipos de red. Gracias al sistema IPFIX, son los chips de los switches y los routers los que envían las estadísticas de tráfico de manera que donde corren los protocolos de routing, procesos de sistemas, firewalls, no se ven afectados por esas técnicas de recogida de información de la red.
En el caso de Aire Networks, realizamos un muestreo avanzado de 1 por 1.000, cuando lo habitual para redes de más de 1 Tbps de tráfico es de 1 por 10.000 o incluso más. Con este muestreo tan bajo podemos ser mucho más precisos en la detección de los ataques.
Mitigación básica de los ataques: En el mercado, se suelen emplear dos técnicas de mitigación: FlowSpec y RTBH. Mediante FlowSpec, se cortan los flujos que están atacando, no el tráfico completo. Cuando el sistema detecta flujos que no superan ciertos umbrales predefinidos de tráfico o sean ips ya identificadas como parte de un botnet, reconoce un ataque y envía una regla de firewall por bgp a los router frontera para mitigar el ataque. Este tipo de técnica, habitualmente empleada en operadores Tier 1 y también en Aire Networks, permite una mitigación mucho más granular al cortar por flujos, no por ips. Para mitigaciones mucho más complejas también permite enviar el tráfico a un scrubbing center para su posterior análisis de los paquetes en capa 7. Esta técnica es más ventajosa frente a RBTH (Remotely-Triggered Black Hole) porque el cliente no se queda en ningún caso sin servicio.
La RBTH aplica un filtrado completo y se bloquea el destino completo de la red al que va dirigido el ataque. Este protocolo sí puede ser usado en prácticamente todas las redes por su sencillez y bajo coste de implementación, mientras que el FlowSpec requiere de cierta modernización de las redes y por lo tanto de inversión.
En el caso de Aire Networks, combinamos el FlowSpect con el desvío de información para su análisis a un scrubbing center. Además, trabajamos para acercar el scrubbing center al punto más cercano de la red o del servicio del cliente, de manera que establecemos una doble capa de protección logrando así un sistema de mitigación en tiempo real.
Aquí puedes leer la versión online de la última edición de Teleinforme, dedicada a la Feria Acutel:
