SANS Institute envía a sus organizaciones asociadas un llamamiento
para que configuren correctamente sus sistemas y así evitar en lo
posible los ataques de denegación de servicio (DoS), últimamente
tan de moda en Internet.
No vamos a repetir aquí lo que ya hemos dicho en anteriores boletines
(ver enlaces al final de este documento) sobre los ataques de
denegación de servicio, sus implicaciones y la forma de evitarlos.
En esta ocasión SANS Institute, una organización conocida y reputada
en el campo de la seguridad, hace un llamamiento para que todas las
organizaciones conectadas a Internet configuren correctamente sus
sistemas y, así, evitar ataques de denegación de servicio a terceros.
Efectivamente, estas medidas no evitarán que se realicen ataques DoS
contra nosotros, pero evitarán en lo posible que nuestros sistemas
sean empleados contra máquinas ajenas o, llegado el caso, permiten
que se nos pueda identificar (y por tanto, ponerse en contacto con
nosotros) si nuestra red está siendo utilizada en un ataque de este
tipo.
Las reglas son extremadamente sencillas y se implantan de forma muy
eficiente en cualquier router de frontera. Personalmente opino que
estas configuraciones deberían ser absolutamente obligatorias para
cualquier organización conectada a Internet, incluyendo a los
propios «carriers».
* Regla a aplicar a los datagramas que entran en nuestra red:
Deben filtrarse todos los datagramas entrantes cuya dirección
de origen o remitente:
* Sea inválida por pertenecer a los rangos asignados a redes
privadas.
* Pertenezca a nuestra propia red.
También deben filtrarse los datagramas entrantes cuyo destinatario
sea la dirección «broadcast» de nuestra red.
De esta forma se evitan un buen número de ataques y, por otra parte,
se evita también que seamos utilizados como amplificador «smurf»
contra otros.
* Regla a aplicar a los datagramas que salen de nuestra red:
No debe permitirse que ningún datagrama malicioso abandone nuestra
red, de forma que pueda atacar otras. Para ello:
* No debemos dejar salir ningún datagrama cuya dirección IP fuente
pertenezca al rango de IPs reservadas para redes privadas.
* No debemos dejar salir ningún datagrama cuya dirección IP fuente
no pertenezca a nuestra red.
Adjuntamos el llamamiento remitido por SANS Institute:
To: Jesús Cea (xxxxxxx)
From: Alan Paller, Research Director, The SANS Institute
This is an urgent request for your cooperation to slow down the wave of
denial of service attacks?
As you may know, denial of service (DOS) attacks are virulent and still
very dangerous. These are the attacks responsible for the many outages
reported recently in the press and others that have been kept more secret.
DOS attacks are a source of opportunities for extortion and a potential
vehicle for nation-states or anyone else to cause outages in the computer
systems used by business, government, and academia. DOS
attacks, in a nutshell, comprise a world-wide scourge that
has already been unleashed and continues to grow in
sophistication and intensity.
One effective defense for these attacks is widely available and
is neither expensive nor difficult to implement, but requires
Internet-wide action; that's why we're writing this note to
request your cooperation.
The defense involves straightforward settings on routers that
stop key aspects of these attacks and, in doing that, reduce
their threat substantially. These settings will not protect you
from being attacked, but rather will stop any of the
computers in your site from being used anonymously in attacking
others. In other words, these settings help protect your systems
from being unwitting assistants in DOS attacks, by eliminating
the anonymity upon which such attacks rely. If everyone
disables the vehicles for anonymity in these attacks, the attacks
will be mitigated or may cease entirely for large parts of the net.
The simple steps can be found at the SANS website at the URL
http://www.sans.org/dosstep/index.htm and will keep your site
from contributing to the DOS threat. Tools will soon be
publicly posted to determine which organizations have and have
not protected their users and which ones have systems that
still can be used as a threat to the rest of the community.
More than 100 organizations in the SANS community have tested
the guidelines, which were drafted by Mark Krause of UUNET with
help from security experts at most of the other major ISPs and
at the MITRE organization. The testing has improved them
enormously. (A huge thank-you goes to the people who did the
testing.)
We hope you, too, will implement these guidelines and reduce
the global threat of DOS attacks.
We also urge you to ask your business partners and universities and
schools with which you work to implement these defenses. And if you
use a cable modem or DSL connection, please urge your service provider
to protect you as well.
As in all SANS projects, this is a community-wide initiative.
If you can add to the guidelines to cover additional routers and systems,
we welcome your participation.
Alan
Alan Paller
Director of Research
SANS Director of Research
sansro@sans.org
301-951-0102
Más información:
Immediate Actions Requested Of All Organizations Connected To The
Internet
http://www.sans.org/dosstep/index.htm
Ataques masivos. ¿Es tan fiero el león como lo pintan?
http://www.hispasec.com/unaaldia.asp?id=474
http://www.argo.es/~jcea/artic/hispasec44.htm
Address Allocation for Private Internets
ftp://ftp.rediris.es/docs/rfc/19xx/1918
Changing the Default for Directed Broadcasts in Routers
ftp://ftp.rediris.es/docs/rfc/26xx/2644
jcea@hispasec.com
Deja una respuesta