En un artículo anterior escribía sobre qué son los ataques DoS. Ahora llega el momento de combatirlos.

Es necesario aclarar que no hay una fórmula mágica para evadir por completo los ataques DoS ni que las medidas que existen valgan para todo tipo de servidores pero se puede hacer bastante para mitigarlos y protegernos de amenazas de cierta envergadura.

Si ya leíste Entendiendo los ataques DoS, no puedes perderte este artículo.

Este texto no pretende ser una guía paso a paso que detalle las instrucciones para instalar y configurar un servidor, pues para ello sería necesario varios artículos, pero sí marcaré las pautas a tener en cuenta para mantenerse lo más protegido posible y disponer de un punto de comienzo en busca de la seguridad y robustez.

Todas las medidas que describo son complementarias. Una no excluye a la otra y pueden coexistir perfectamente.

Personalmente, definiría tres secciones a las que habría que prestarle especial atención no sólo para protegernos de ataques DoS, sino para tener un sistema robusto ante cualquier tipo de amenaza:

  1. Configuración
  2. Implementación
  3. Seguridad

El primer punto, la configuración, es de vital importancia. Disponer de un gran servidor de grandes prestaciones pero mal configurado no sirve para nada. Con unas cuantas peticiones podría presentar inestabilidad.

Dentro de este primer punto englobo la correcta instalación y establecer adecuadamente las opciones necesarias para configurar cada uno de los servicios. Por ejemplo, si la instalación y la configuración del servidor web Apache no estuviera bien realizada, hay grandes posibilidades de generar un consumo injustificado del procesador o de memoria provocando que un aumento en las visitas a la web o el más pequeño de los ataques tumbara nuestro servidor.

Por implementación se entendería todo lo relacionado al software que ofrece el contenido a los visitantes. En un servidor web, este software sería un gestor de contenidos como Wordpress, Joomla o algún sistema de foros como MyBB. Configurar y mantener este software actualizado evitará que terceras personas aprovechen vulnerabilidades conocidas para perjudicar nuestros sitios. O bien el uso excesivo de complementos en estos gestores de contenido convertiría una liviana plataforma en una pesada y costosa aplicación fácil de saturar y dejar inoperativa nuestra web.

Dentro de la última sección, la seguridad, existen dos frentes bien diferenciados para protegerse de los ataques DoS y otras amenazas:

  • software
  • hardware

En las medidas de protección por software existen varias opciones, todas ellas complementarias.

firewall mLo primero, un firewall por software. El cortafuegos desempeña una función primordial ya que será el encargado de cerrar puertos, limitar recursos, supervisar procesos y eventos prestando especial atención a cualquier patrón de comportamiento sospechoso.

Existen alternativas como ConfigServer Security & Firewall y Advanced Policy Firewall. No es recomendable instalar dos firewalls. Lejos de duplicar la protección, sólo se conseguirá que ninguno de los dos funcione adecuadamente.

Podría hablar también sobre iptables pero el uso de las alternativas anteriores de CSF y APF ya comprenden la gestión y configuración de iptables de por sí.

ModSecurity también es un firewall pero a nivel web y es instalado como un módulo adicional de Apache Web Server. Su principal misión, aunque no la única, es detectar patrones en las peticiones web que recibe nuestro servidor e identificar ataques webs como inyecciones SQL, Cross site scripting, cookies mal formadas, etc.

Además de ModSecurity, tenemos otros módulos para Apache como mod_reqtimeout que permitirá establecer límites para aquellas conexiones recibidas que son sospechosamente lentas en establecerse y que podrían constituir parte de un intento de ataque.

mod_qos también será útil para limitar la cantidad de conexiones simultáneas a un recurso web, el ancho de banda a utilizar o el número de conexiones máximas desde una misma dirección IP.

También existen opciones más complejas en forma de distribuciones Linux como CloudLinux o como pack de herramientas + kernel linux optimizado como BetterLinux.

CloudLinux y Betterlinux no son recursos para combatir un ataque DoS u otras vulnerabilidades pero nos serán de gran ayuda para establecer límites e impedir, hasta cierto punto, que una web atacada repercuta a otras webs o servicios alojados en el mismo servidor.

hardware mDejando atrás las opciones por software, sin duda alguna, la mejor opción para mitigar los ataques DoS es la protección por hardware.

La protección por hardware comprende una serie de sistemas encargados de analizar a tiempo real todo el tráfico que llegará al servidor, identificar el considerado como amenaza y desviarlo para permitir que sólo el tráfico legítimo alcance al servidor. Este proceso se realiza fuera del servidor, como si de un router o switch se tratara.

Las medidas de protección por hardware son las más efectivas y robustas ya que se trata de un sistema especialmente diseñado para tales funciones pero no por ello debemos obviar la protección por software. Algunos ataques son tan pequeños que no son considerados una amenaza por la protección por hardware pero pueden ser lo suficientemente contundentes para afectar al servidor si no se han tomado una serie de medidas por software como las que antes indicaba.

Y por último, fuera del rango de acción de la protección por software o por hardware, existen servicios muy completos como CloudFlare que nos será de gran ayuda para combatir ataques y amenazas.

CloudFlare no es realmente una opción anti-DoS, pero es capaz de mitigar sus efectos y detener ciertos patrones de comportamiento, sobre todo por bots y procesos automatizados.

Parte del tráfico que llega a nuestro servidor será filtrado y procesado por CloudFlare para identificar amenazas o aplicar ciertas restricciones. Además de esto, el contenido estático que alojamos en nuestra web puede ser almacenado por CloudFlare y ser entregado a nuestros visitantes desde la propia infraestructura de CloudFlare en lugar de ser distribuido desde nuestro servidor. Es por esto que indicaba que aunque no es una medida dedicada a los ataques DoS puede ser de ayuda para mitigar sus efectos ya que nuestro servidor no tendrá que entregar la totalidad del contenido solicitado sino que contará con CloudFlare para entregar parte de ese contenido reduciendo los recursos de nuestro sistema y la transferencia de datos destinada a transmitir ese contenido.

desconectar m¿Y si todo esto falla? La única opción viable es desconectar al servidor de la red o, incluso, apagarlo mientras dure el ataque o la amenaza.

Dejar a un servidor bajo un ataque no tiene sentido y es perjudicial. De por sí, el servidor es incapaz de seguir prestando servicio así que no habrá diferencia entre mantenerlo conectado o desconectado. Al dejarlo apagado evitaremos que nuestra transferencia de datos asignada se agote y nos veamos forzados a pagar el excedente de transferencia consumida. También cabe la posibilidad que debido al ataque se estén generando grandes archivos de logs (archivos de registros del sistema o de servicios) los cuales pueden aumentar su tamaño y agotar el espacio en disco dejando un sistema operativo lento e inestable.

De una forma u otra, un mal funcionamiento puede acarrear corrupción de datos dejando inservible las bases de datos u otras partes críticas del servidor.

Sígueme

Suscríbete

Recibe todas las novedades en tu correo

copyright © bitplanet.es 2017

Todos los derechos reservados salvo contenidos que apliquen su propia licencia

aviso legal | política de privacidad | política sobre cookies