Checklists para proteger sua rede de ataques DDoS

Nada deve dar mais medo a um administrador de redes do que ataques distribuidos de negação de serviço. Nao muito tempo atrás ferramentas como o Tribe Flood Network do Mixter deram trabalho a administradores de redes que sofreram na mão de miúdos do estilo do Mafia Boy, lembro que um provedor Inglês foi mesmo encerrado depois de sucessivos ataques .

Hoje a situação mudou, os sistemas operativos e dispositivos de rede foram melhorados. A Cisco como nao podia deixar de ser possui também varias soluções. Vou deixar aqui 2 documentos que recomendo para administradores de rede preocupados com o risco de ataques desse genero:

Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks
Characterizing and Tracing Packet Floods Using Cisco Routers

4 pensamentos sobre “Checklists para proteger sua rede de ataques DDoS

  1. Ola amigos,

    Descupa ai pela ausencia, tenho estado um pouco ocupado..mas da sempre um tempinho pra dar um pulinho ao blog.

    Em relacao ao topico, este e de certeza um dos mais particulares ataques e mais facilimos de projectar … mas numa opiniao pessoal eu sugeria usar NAT(network address translation), assim embora ainda estarias susceptivel a ataque, mas sera somente no teu gateway … e entre o gateway podias utilizar alguns mecanismos fortes de seguranca , como autenticacao, e certificados de seguranca (Microsoft ).

    Isola o gateway , ou crias uma rede de perimetro , na qual os usuarios de fora teram acesso , e mesmo que esteja ela compremetida , o tua rede interna esta segura!!!!

    -Nao se esquecer de configurar bem o DNS(Domain name system) , pra que a rede interna , nao usa este DNS pra achar recursos na internet(cloud), com isso quero dizer que a o DNS interno esta configurado com forwarder(Encaminhadores), pra a rede de perimetro assim , fica mesmo quase impossivel haver essa penetracao por parte dos hackers.

    -Resumindo, 1 das formas mais viaveis de evitar DDOS ataques , e usar NAT , na rede interna, e configurar uma rede isolada (Perimetro), no qual os servidores de acesso publico …bem nem todos …cabe a ti criar backups, e redudancia, e usar mecanismos de seguranca tais como:
    -IPsec, e certificados de seguranca ou Firewalls .

    Espero que isso ajude em algo , e mais uma vez descupe-me pela minha linguagem …esta cada vez pior …envergonho-me disso por vezes lol mas epa fazer kie!!!!

    Aquel abraco,
    Manuel Ricardo(Viruzina)

  2. aí viruzina, como vai?

    Bom o problema dos ataques DDoS tem mesmo que ver com pacotes (layer 3) e como layer 3 tem de existir para haver presença na net, logo vês, por isso a yahoo foi derrubada e isto nao é um problema de sistema operativo, penso eu (embora ping of death fosse) é mais um problema da stack tcp/ip (o protocolo UDP) que nao previu mecanismos de integridade suficientes (janelamento por exemplo).

    Por isso viruzina é que o Smurf continuará a ser eficaz porque usa broadcast (com endereço de origem forjado) e broadcast nao pode deixar de existir.

    Em redes privadas p/ mitigar ataques de DDoS eu recomendaria:

    1 – Uso de VLANs, NAT e DMZ para servir o exterior como vc mencionou.
    2 – Listas de acesso para barrar pacotes indesejaveis como ICMP echo.

    Em redes publicas:

    1 – Listas de acesso no router de fronteira para limitar a taxa de pacotes SYN que entram pela interface do link serial.
    2 – Limitar taxa de entrada de pacotes ICMP pela interface do link serial.

    Acredito que com isso e mais outros.

    Continuação de um bom dia.

  3. Mano,

    Tens Toda Razao, a tua metodologia e aceitavel, mas nao se esqueca que neste caso os broadcasts que te referias , aparecem forjados … e lista de acesso , sem querer menosprezar nao tem a capacidade granular de analise “a fundo”, dos pacotes , e determinar que este e Ddos… Sim Broadcasts tem de existir!!!!

    Em resumo, a mais flexivel e convicente metologia seria de aplicar , um IPS(intrusion prevention system), que contem application-specific integrated circuit (ASIC).
    ASIC , nao sei qual seria a traducao direita , em portugues , mas acho que sao circuitos integrados customized pra um objectivo particular.Tipo um sistema embido dentro do IPS.somente dedicado a detencao , e prevencao destes tipos de ataques.

    e volto a citar novamente o uso do IPsec, porque acredito que uma compania de grande porte como a Yahoo possui um grande sistema de redundancia ou datacenters backups pra tal…Mas isso nao importa porque o objectivo e compremeter o servico de acesso publico , ou o website!

    E tens razao, o uso de certificados nao seriam tao quanto relevante , neste caso, qaundo mencionei , me referia a ataques oriundos de dentro…nao pra ataques publicos … e podes crer que acontece mesmo..e facil menosprezar a nossa rede interna e assegurar o exterior e sem darmos conta que os ataques sao bem internos.

    O Ipsec , tambem e uma ferramenta genial, porque contem uma numero de sequencia , que pode ate certo ponto , decifrar alteracoes no pacote IP, sebem que isso sao so especs,porque nao posso assumir que a internet toda ha de usar ipsec, mas e de certeza uma mais valia….

    -o Ddos ataques , a prevencao e mais comportamental, por trends,porisso foco em uso de IPS systems, seja ele embido no roteador or stand-alone sofwtare systems..

    lol tou paiado o portugues bazou…………….

    forca bros,
    Manuel Ricardo(viruzina)

  4. Pingback: Quer construir seu proprio ‘roteador’? Use o NetFPGA | Switching News Network Angola (SNN Angola)

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s