Entradas populares

  • CISCO IOS 15.0
    Hace tiempo me preguntaba porque CISCO salto de la versión de IOS 12.4T, hacia la versión 15 directamente. Y estos días he encontrado la res...
  • ¿Dos fabricantes para doble barrera perimetral o solo uno?
    Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más s...
  • QoS en Paloalto for dummies
    Hola de nuevo, gracias a todos por los comentarios y/o correos. Os dejo un resumen para configurar calidad de servicio en un Paloalto.  Como...

martes, 26 de julio de 2011

Cyberwarfare, Counter-hacking appliance de Mykonos Software

¿Cuántos de nosotros nos hemos encontrado con una infraestructura bajo ataque? ¿Y cuales son nuestras herramientas actuales?

Bien, una vez nos encontramos con un cliente con problemas de denegación de servicios o con un ataque deliberado de forma inteligente contra sus recursos, ¿que solemos hacer? Mitigación del problema o activar contramedidas de medio pelo.


1.-Activar restricciones en las conexiones nuevas (TCP Syn), inicialmente para todos los usuarios.
2.-Detectar las redes origen, y a poder ser las regiones parar incluirlas en una lista negra.
3.-Activar, las firmas IPS de los sistemas intermedios y activar el registro de los servicios atacados.
3.-Avisar a la operadora, para que a su vez, limite ese tráfico.


Pero todo esto, al final es como recibir una bofetada en la cara y apretar los dientes. 


Existe un producto de Mykonos Software que, es el primero que empieza a recorrer el camino de la autodefensa en al red. Es un appliance que permite, reconocer los atacantes y sus métodos y en principio, defenderte activamente. No obstante, en los siguientes días espero conocer algo más que el datasheet. http://www.mykonossoftware.com/appliance.php


Sin disponer de este appliance, existen servicios de emergencia de respuesta temprana que pueden realizar estas tareas por ti. ¿Pero en que se fundamentan estos servicios?


En las leyes que nos rigen, si eres atacado puedes defenderte. Es el mismo concepto de autodefensa que se utiliza habitualmente fuera de internet.
Bien, pues actualmente se están desarrollado diferentes plataformas que permiten exactamente eso. Defender tu infraestructura de forma activa, o dicho de otra manera. Atacar a las redes o equipos que te atacan, pero previamente se tienes que poder demostrar que tu has avisado a los administradores de la infraestructura de tu defensa con un correo o notificando el ataque mediante tu CERT.


Esta defensa puede pasar, por principalmente inyectar cambios es sus DNS de forma que la mayoría de ordenadores zombies, controlados remotamente, ataquen al atacante. También para que el atacante, pierda el control sobre los zombies o para simplemente, ambas cosas.
Otra acción, es inundar la red de la operadora que permite ese tráfico con tráfico simulado. De forma que por sus propias políticas de QoS, al llegar al máximo permitido de conexiones o ancho de banda corte el ataque.


Y como última opción, automatizar el proceso de detección y explotación de vulnerabilidades y hacer caer sus sistemas.


Seguro que las empresas, que tienen todos sus activos en la red, empiezan armando sus defensores con herramientas de defensa activa, como la que os comentaba.
HTH,
Robclav













No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)