7. Estudio de Mercado para la selección de fabricantes y equipamiento que permita
7.2. Sistemas de prevención de la Denegación de servicio (Anti-DDoS)
servicio (Anti-DDoS)
Como se ha valorado anteriormente, la prevención de una denegación de servicio en un sistema de votación telemática es fundamental para el correcto transcurso de unas elecciones generales así como para mantener la reputación que actualmente gozan los sistemas de votación actuales. El mercado de DoS ha mostrado un crecimiento significativo en los últimos dos años. Gran parte de esto ha sido impulsado por el marcado aumento de los ataques DDoS y la comprensión de que estos ataques son fáciles de lanzar y se utilizan a menudo como una diversión para el robo de la propiedad intelectual.
Podemos distinguir dos grandes bloque de ataques DDos: Los ataques que apuntan a la capa de red y los que apuntan a la capa de aplicación.
Con los ataques de capa de red, el objetivo es enviar paquetes maliciosos a través de diferentes protocolos de red para consumir el ancho de banda disponible de la blanco y obstruir sus canales de Internet. Sin embargo, con los ataques de la capa de aplicación, el objetivo es consumir los recursos informáticos, la CPU y la RAM, que un servidor web tiene a su disposición para procesar las solicitudes. También hay ataques de agotamiento de estado que atacan las tablas de estado de conexión en firewalls, servidores de aplicaciones web y otros componentes de infraestructura.
Los ataques de capa de red son los que leemos a menudo en los medios de comunicación y que se atribuyen al servicio de interrupción en muchos sitios importantes. Las inundaciones de SYN, las inundaciones de ACK o los ataques de amplificación basados en UDP pueden clasificarse como ataques de capa de red. Los ataques de capa de red se miden normalmente en Gbps (gigabits por segundo), por la cantidad de ancho de banda que pueden consumir por segundo. A medida que "gan-rush" el sitio web, también se llaman ataques volumétricos.
Los ataques de la capa de aplicación, sin embargo, pueden ser pequeños y silenciosos en comparación con los ataques de capa de red, pero igual de perturbadores y realmente más complejos de manejar. Los ataques de capa de aplicación generalmente requieren mucho menos paquetes y ancho de banda para lograr el mismo objetivo: eliminar un sitio. Los ataques de capa de aplicación se miden en RPS (solicitudes por segundo), para la cantidad de tareas de procesamiento iniciadas por segundo. Son ejecutados por bots- visitantes inhumanos que son capaces de establecer un apretón de manos TCP para interactuar con una aplicación específica.
105
Figura 24 - "Magic Quadrant" de soluciones DDoS Fabricante Seleccionado: Akamai ®
Akamai Technologies es uno de los mayores fabricantes de seguridad que operan a nivel mundial. Akamai se enorgullece de una red global de mitigación de DDoS, compuesta por seis centros de depuración ubicados estratégicamente alrededor del mundo para proteger las infraestructuras frente a Internet contra todos los tipos conocidos de ataques DDoS en las capas de red, transporte y aplicación. Sus técnicas de filtrado de DDoS, enrutamiento avanzado y dispositivos de hardware anti-DoS eliminan el tráfico DDoS cerca del origen de la actividad de la botnet. Para la protección DDoS no enrutada, así como la protección DNS, sus 175.000 servidores y 1.300 ubicaciones de red en más de 100 países aseguran mantener la disponibilidad y el rendimiento del sitio web durante los ataques DDoS. Akamai ha logrado mitigar con éxito algunos de los ataques DDoS más grandes y sofisticados del mundo y ha estado activo en este campo desde 2003. La compañía ofrece soluciones basadas en la nube de rendimiento web, entrega de medios, redes y seguridad. Debido a la fuerte relación entre el negocio de la red de distribución de contenido (CDN) de la compañía y su negocio DDoS, Akamai / Prolexic es uno de los mayores de los proveedores de servicios DDoS revisados. Tal vez debido a su tamaño, la empresa mostró cierta rigidez en la forma en que vende y despliega servicios DDoS. La plataforma de Akamai Technologies tiene más de 8 TBps a 10 TBps de capacidad de red disponible en promedio. Si eligen a Akamai Technologies como proveedor de servicios DDoS, los clientes deben entender que hay una superposición de funcionalidad entre las dos pilas de soluciones. En general, los usuarios de Akamai Technologies calificaron como promedio los servicios de protección DDoS de la compañía. Los profesionales de seguridad y riesgo que buscan un CDN grande con una capacidad global significativa de DDoS deben considerar las Tecnologías Akamai.
Producto seleccionado: Akamai Kona Site Defender.
Los profesionales de seguridad más experimentados son conscientes de que para que la seguridad de aplicaciones y la protección frente a DDoS sean adecuadas deben contar con
106
soluciones flexibles y comprometerse contantemente a actualizar y personalizar su estrategia de seguridad. Kona Site Defender proporciona una solución flexible mediante un número ilimitado de reglas personalizadas, protección para aplicaciones móviles y acceso a un equipo de servicios profesionales que pueda satisfacer sus necesidades de seguridad a largo plazo. Akamai presta servicio a 6000 de las principales firmas online, entre las que se encuentran las 30 empresas más importantes del sector de los medios de comunicación y el entretenimiento, los 20 sitios más relevantes de comercio electrónico, 150 de los portales de noticias más importantes a nivel internacional y 100 de los principales bancos mundiales. La popularidad y ubicuidad de nuestra plataforma nos concede visibilidad ante el tráfico mundial, tanto legítimo como malicioso, y procedente de cualquier sector vertical o región. Esta visibilidad, junto con el motor de análisis de datos Cloud Security Intelligence (CSI), nos permite ofrecer una aplicación personalizable, flexible, precisa y con capacidad de ampliación, además de seguridad móvil. A continuación mostramos en detalle qué medidas de seguridad del ENS satisfacen el equipamiento seleccionado:
107
Tabla 6– Cumplimiento de la normativa ENS de las soluciones DDoS
DDoS
MARCO DESCRIPCIÓN AKAMAI
Política de seguridad X
Normativa de seguridad X
Procedimientos de seguridad X
Proceso de autorización
op.pl.1 Análisis de riesgos X
op.pl.2 Arquitectura de seguridad X
op.pl.3 Adquisición de nuevos componentes op.pl.4 Dimensionamiento/Gestión de capacidades
op.pl.5 Componentes certificados X
op.acc.1 Identificación op.acc.2 Requisitos de acceso op.acc.3 Segregación de funciones y tareas op.acc.4 Proceso de gestión de derechos de acceso
op.acc.5 Mecanismo de autenticación X
op.acc.6 Acceso local (local logon) op.acc.7 Acceso remoto (remote login) op.exp.1 Inventario de activos
op.exp.2 Configuración de seguridad X
op.exp.3 Gestión de la configuración op.exp.4 Mantenimiento op.exp.5 Gestión de cambios
op.exp.6 Protección frente a código dañino X
op.exp.7 Gestión de incidentes X
op.exp.8 Registro de la actividad de los usuarios X op.exp.9 Registro de la gestión de incidentes X op.exp.10 Protección de los registros de actividad X op.exp.11 Protección de claves criptográficas X op.ext.1 Contratación y acuerdos de nivel de servicio
op.ext.2 Gestión diaria X
op.ext.9 Medios alternativos
op.cont.1 Análisis de impacto X
op.cont.2 Plan de continuidad
op.cont.3 Pruebas periódicas X
op.mon.1 Detección de intrusión op.mon.2 Sistema de métricas
mp.if.1 Áreas separadas y con control de acceso mp.if.2 Identificación de las personas mp.if.3 Acondicionamiento de los locales mp.if.4 Energía eléctrica
mp.if.5 Protección frente a incendios mp.if.6 Protección frente a inundaciones mp.if.7 Registro de entrada y salida de equipamiento mp.if.9 Instalaciones alternativas
mp.per.1 Caracterización del puesto de trabajo mp.per.2 Deberes y obligaciones
mp.per.3 Concienciación mp.per.4 Formación mp.per.9 Personal alternativo mp.eq.1 Puesto de trabajo despejado mp.eq.2 Bloqueo de puesto de trabajo mp.eq.3 Protección de equipos portátiles mp.eq.9 Medios alternativos
mp.com.1 Perímetro seguro X
mp.com.2 Protección de la confidencialidad mp.com.3 Protección de la autenticidad y de la integridad mp.com.4 Segregación de redes
mp.com.9 Medios alternativos mp.si.1 Etiquetado
mp.si.2 Criptografía X
mp.si.3 Custodia mp.si.4 Transporte mp.si.5 Borrado y destrucción mp.sw.1 Desarrollo
mp.sw.2 Aceptación y puesta en servicio mp.info.1 Datos de carácter personal mp.info.2 Calificación de la información
mp.info.3 Cifrado X
mp.info.4 Firma electrónica X
mp.info.5 Sellos de tiempo X
mp.info.6 Limpieza de documentos mp.info.9 Copias de seguridad (backup)
mp.s.1 Protección del correo electrónico X mp.s.2 Protección de servicios y aplicaciones web X mp.s.8 Protección frente a la denegación de servicio X mp.s.9 Medios alternativos MEDIDAS DE LA PROTECCION (MP) PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS (MP.IF) GESTION DEL PERSONAL (MP.PER) PROTECCIÓN DE LOS EQUIPOS (MP.EQ) PROTECCIÓN DE LAS COMUNICACIONES (MP.COM) PROTECCIÓN DE LOS SOPORTES INFORMATICOS (MP.SI) PRO. DE LAS APLICACIONES PROTECCIÓN DE LA INFORMACIÓN (MP.INFO) PROTECCION DE LOS SERVICIOS (MP.S) MARCO OPERACIONAL (OP) PLANIFICACIÓN (OP.PL) CONTROL DE ACCESCO (OP.ACC) EXPLOTACIÓN (OP.EXP) SERVICOS EXTERNOS (OP.EXT) CONTINUIDAD DEL SERVICIO (OP.CONT) MONITORIZACIÓN DEL SISTEMA (OP.MON)
Medidas de Seguridad - ENS
MEDIDA MARCO ORGANIZATIVO (ORG) org.1 org.2 org.3 org.4
108