Clase XXII - 24102019 - - Serie Mr.Robot

SERIE MR. ROBOT /  Período 25'30'' a 31'.25''

Objetivo de estudio: Acciones / Salvaguardas a desarrollar sobre un servidor, frente a un ataque informático de DoS.

Período: 25:30” a 31:25”.

Características del ataque:

Ataque activo: produjo cambios en la información y en los recursos de  un sistema.

š  Interrupción (Sistema lógico de red destruido, se vuelve no disponible. Afectó la disponibilidad de los recursos de la red y con ello la de los activos digitales).

š  Intercepción (Programa, proceso o persona accede a una parte del sistema para la cual no tiene autorización. Afectó la confidencialidad de los datos).

š  Modificación  desautorizada del software instalado en el sistema víctima. Se compromete la integridad de la información. El atacante obtuvo derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema.

š  Suplantación (Una entidad no autorizada inserta objetos falsificados en el sistema.  Afecta la autenticidad).
š  Se determinó que fue externo (Estados Unidos, Finlandia, Tailandia, Kuwait) con el  propósito de dejar fuera de servicio a la empresa.

Activos vulnerados: Sistemas de operación de la red de servidores, servidores, recursos digitales disponibles en los servidores, activos intangibles (reputación,  imagen).

Vector de ataque:

Objetivo: Desestabilizar  el sistema informático de la empresa atacada.

Recursos: DDoS, Botnet y Rootkit.

Acciones / salvaguardas que implementan los responables de seguridad para resolver el problema.

-       Reconfiguración DNS.

-       Detención de servidor / servicios.

-       Reinicio de servidores

-       Reparto de carga

-       Redirección del tráfico.

Es un proceder pensado para mitigar el riesgo (identificarlo de manera inmediata, detenerlo y evitar lo más posible que se propague).

El ciberataque derribó las sig. capas de defensa: Perímetro, red intena, host, aplicaciones.

El coste para la empresa del incidente a gran escala, provocó perdida de continuidad, extracción de información (pudo haber la fuga o pérdida de datos), daños en la reputación e imagen, implicaciones legales y un alto costo económico para la organización / marca (13M o +). Otros daños colaterales: pérdida de interés  por la empresa de futuros inversores, costes extras asociados a solucionar los problemas del incidente por parte de especialistas.

Objetivo de estudio: Acciones / Salvaguardas a desarrollar sobre un servidor, frente a un ataque informático de DoS.

Reconfiguración DNS

Un dominio es el nombre que identifica una página web. Por ejemplo escom44.com.ar.

Una dirección IP es una serie de números que identifican a cada recurso de internet: es su DNI. Por ejemplo, IP : 200.58.123.103 (DNS : dtc003.dattaweb.com) para el dominio antes mencionado.

La utilidad de los DNS es enlazar el dominio con su correspondiente IP. 

Por lo tanto, cuando un visitante teclea un dominio y hace clic en en botón ‘intro’ los DNS lo dirigen al servidor en el que se encuentra tu página web.

DNS es el acrónimo de "Domain Name Service / Server". Es un sistema de codificación específico que permite transformar el nombre de un dominio en una dirección IP numérica. Por tanto, es la manera que permite localizar en Internet la máquina (ordenador) a la que se refiere un determinado dominio registrado.

Para que un paquete de datos llegue al lugar correcto, la dirección IP no solo debe hacer referencia a la red en cuestión, sino también al dispositivo final (el host) dentro de dicha red. Ampliar: https://www.ionos.es/digitalguide/servidores/know-how/direccion-ip/
Es un sistema que tiene como principal objetivo, generar automáticamente nombres o direcciones IP, a los equipos que se encuentran ubicados dentro de una red informática, así como también, convertir la dirección IP del servidor en un dominio web.


Principales usos de un servidor DNS

Los servidores DNS son utilizados para diferentes objetivos, entre los cuales podemos destacar:

• Resolución de nombres: Mediante esta acción podemos dar una dirección IP a un nombre de host completo.
• Resolución de direcciones: Al contrario de la acción anterior, ésta consiste en otorgar un nombre de host a una dirección IP suministrada por el administrador de red.
• Resolución de servidores de correo: Podemos crear un servidor de correo electrónico utilizando este servicio, a partir de una dirección IP suministrada por el administrador del sistema.

¿Cómo se realiza la asignación de nombres en Internet?

El sistema de nombres de dominio (DNS) es el sistema responsable de la conversión de nombres de dominio alfanuméricos en direcciones IP numéricas.

La asignación de nombres está descentralizada en los servidores DNS distribuidos globalmente. Así, cada dirección de Internet escrita en la barra de búsqueda del navegador web es enviada desde el router a un servidor DNS. Este traduce el nombre de dominio en una secuencia de números y envía de vuelta la dirección IP correspondiente. Si la respuesta desde el servidor DNS falla, no será posible acceder a la página web y aparecerá el mensaje de error “El servidor DNS no responde”.

Solución de problemas

La causa de este molesto mensaje de error puede ser un fallo de la red. Esto quiere decir que el servidor DNS no está disponible temporalmente. En la mayoría de los casos, la causa del problema está relacionada con la configuración del navegador o con cambios en la configuración del cortafuegos.

1. Probar otros navegadores

Para comprobar si el problema de conexión es producido por el navegador web, habrá que probar la página web deseada utilizando aplicaciones alternativas( Mozilla Firefox, Google Chrome, Microsoft Internet Explorer y Apple Safari). En caso de que el error desaparezca después de probar con un navegador diferente, se recomienda ajustar la configuración de tu actual navegador, así como comprobar que estés utilizando la versión más reciente del mismo. También puede resultar útil desinstalar el programa y volver a instalarlo de nuevo.

2. Desactivar Firewall

Si cambiar de navegador no arroja ningún resultado, otra de las causas más frecuentes de este error es el cortafuegos de Windows: Ir a Panel de control y desactivar Firewall de manera temporal. Si, una vez hecho esto, el mensaje de error desaparece y se puede acceder a la web deseada, es posible que la causa del problema fuera, efectivamente, el cortafuegos. Por lo tanto, el siguiente paso será la gestión de su configuración. Si aun desactivando Firewall el error permanece, se deberá variar la configuración del servidor DNS.

3. Reiniciar el router

Normalmente, los problemas de conexión a Internet pueden solucionarse reiniciando el router. Para ello solo será necesario presionar el correspondiente botón de encendido. Una opción un poco más brusca es desconectar el cable de alimentación eléctrica. En este caso, es necesario esperar alrededor de 30 segundos hasta que todos los componentes electrónicos se hayan apagado completamente antes de conectarlo de nuevo. Si, a pesar de reiniciar el router, sigue apareciendo el mensaje “El servidor DNS no responde”, será necesario escoger un servidor DNS diferente.

4. Cambiar de DNS

Si se han descartado fuentes comunes de error como una caída del router o un conflicto con el Firewall de Windows, el próximo paso a seguir será cambiar el servidor DNS. Por lo general, la resolución de nombres para usuarios privados es gestionada por el servidor de nombres del proveedor de Internet, cuyos servidores pueden ser lentos o estar sobrecargados. 
Una de las alternativas son los servidores DNS públicos que suelen encontrarse en las listas especiales de servidores DNS. Uno de los servidores DNS más rápidos, gratuitos y de confianza es el servidor público operado por Google.

Seguridad en DNS / Amenazas y vulnerabilidades 

En un entorno DNS se identifican varios puntos donde posibles ataques pueden desarrollarse. Estos puntos o “vectores de ataque” se sitúan tanto localmente en el propio servidor DNS y red local, como en las comunicaciones entre servidores y clientes. 

Vectores de ataque y amenazas en un escenario DNS 

Sobre el escenario típico DNS, representado en la Ilustración  se numeran las 5 áreas principales que presentan una superficie susceptible a amenazas. 

En la prevención de las amenazas locales, la solución más sencilla es la implementación de medidas y políticas de seguridad en la red interna. Mecanismos anti spoofing (suplantacion de identidad) , así como la protección de los canales de acceso a los servidores y sus archivos sentarán la línea base de protección en esta área. 

Resumiendo

Los ciberataques están a la orden del día, y se hacen cada vez más comunes. Estos pueden ir desde simples situaciones hasta hechos más complejos. De cualquier manera, se trata de delitos informáticos. 

¿En qué consiste un ataque DNS?

Debemos conocer en qué consiste el sistema de nombre de dominio (DNS), sometido a distintos ataques por parte de los ciberdelincuentes, porque es una parte fundamental en la estructura de navegación web.

Como vimos, el DNS es un protocolo que traduce el nombre real de un dominio, denominado en caracteres numéricos que conforman la dirección IP. Esto le permite leerse en caracteres alfabéticos, es decir, como la URL de un sitio web.

Este protocolo se creó con la idea de facilitar el trabajo a los usuarios de Internet, quienes, de lo contrario, hubiesen tenido que introducir números para abrir un sitio web.

Ante esto, los ataques DNS buscan detectar vulnerabilidades en el protocolo. Esto pretende desviar al usuario hacia otra dirección, con fines de promover publicidad, realizar fraudes o extender spyware.

Algunos tipos de ataques DNS son:

1. Sustracción de información con DNS

En este tipo de ataque informático, los hackers se aprovechan de las vulnerabilidades del servidor para robar datos. Esto se efectúa a través de un túnel por donde se desvía la información.

Una de las razones que dan paso a este problema, es que los firewalls tradicionales no son tan eficientes al momento de realizar la detección de una amenaza.

Como resultado, las pérdidas económicas pueden ser enormes, además de alterar el funcionamiento normal de los sistemas informáticos de las empresas afectadas.


2. Ataque DDoS al servidor DNS

En este tipo de ataque, los servidores se ven saturados, ya que su tráfico se hace excesivo e incontrolable. El resultado es que la conexión a los servidores DNS se convierte en una acción bloqueada.

Esto puede ocasionar pérdidas millonarias para las empresas cuya actividad depende de sus URL, por lo que invierten grandes cantidades de dinero en la prevención de estas amenazas.

Cuando sucede este tipo de ataque, el sistema de servidores colapsa, y los sitios web dependientes del mismo resultan caídos.

3. Hijacking con DNS

Esta técnica de hackeo busca alterar la identidad del DNS establecido por la empresa proveedora de Internet. De esta forma, los nombres de los dominios quedan alterados, y los usuarios se conectan a servidores manejados por ciberdelincuentes.

En el caso del DNS Hijacking, es común encontrar la existencia de sitios web fraudulentos, que se hacen pasar por webs reales pertenecientes a bancos e instituciones financieras.

4. Saboteo con DNS

Se trata de un tipo de ataque que busca afectar la experiencia del usuario, especialmente cuando ocurre una suplantación en los datos de dirección del servidor DNS, el cual se encuentra asociado al sistema operativo del ordenador.

Por lo tanto, se entorpece la navegación del internauta, cuando los sitios web que le interesan, no abren, se ralentiza o se desvían a otras webs.

5. Ataque día cero

Cuando un proveedor de software saca al mercado un nuevo producto con alguna brecha de seguridad de la que no son conscientes ni el proveedor ni la empresa antivirus, se denomina vulnerabilidad de día cero o exploit de día cero.

Este ataque recibe su nombre debido a que es realizado durante el mismo día que se hace pública una falla de seguridad en el protocolo DNS. De esta forma, el atacante es capaz de colapsar el sistema entero, causando importantes pérdidas a los afectados.

Tiene una simbología especial para los hackers, ya que suelen retarse entre ellos para establecer quién logra aprovechar la vulnerabilidad durante el mismo día cero.


Evitando los ataques DNS

Conociendo que existen diferentes amenazas sobre los servidores DNS, y que las empresas víctimas de esta situación pueden sufrir pérdidas irreparables, es necesario tomar las medidas preventivas del caso.

Es por ello que lo más recomendable es contar con algún software de seguridad, que realice revisiones periódicas del router.

Del mismo modo, es necesario colocar contraseñas fuertes en el router, evitar el acceso al mismo de personas no autorizadas, y verificar su actualización continua.

Por último, siempre es recomendable buscar asesoría profesional con alguna compañía especializada en el área de seguridad informática, a objeto de evitar cualquier ataque DNS que pueda presentarse.

Reparto  / balance de carga

Un balanceo de carga es un sistema muy utilizado cuando se tiene que atender mucho tráfico en una aplicación o sitio web. Básicamente, consiste en crear un grupo de servidores que se encarga de atender las solicitudes que recibe un servicio, como una página web, servidores de correo electrónico, un web service, etc.

Mediante el balanceo, todas las solicitudes al sistema se reparten entre diversos servidores y, con ello, se aumenta la cantidad de usuarios concurrentes que un proyecto puede atender.

El grupo de los distintos servidores configurados para atender las peticiones se denomina cluster y para distribuir la carga entre ellos una máquina debe actuar como balanceador. Éste además es capaz de evaluar la carga y tiempos de respuesta de los servidores, para saber a quienes dirigir el tráfico entrante con la ayuda de una serie de reglas.


Cuándo implementar un balanceo de carga

Debido a las características de los servidores y del software que responde a las solicitudes de los clientes, solamente es posible atender a un número limitado de usuarios al mismo tiempo. En algunas circunstancias, aumentar la potencia de la máquina puede incrementar el número de solicitudes concurrentes que el servidor es capaz de atender, pero seguimos teniendo el limitante del software de servidor: Apache, IIS, MySQL o el que corresponda.

Ante sistemas de alta demanda, la regla divide y vencerás funciona muy bien y mediante el balanceador se puede configurar diversos servidores menores que son capaces de funcionar en conjunto mejor que un servidor individual muy potente. 

Con el balanceo, se incorporan más o menos máquinas al cluster y, gracias a ello, tener capacidad de escalar una aplicación hasta cualquier nivel de uso.

Otra de las ventajas es la capacidad de hacer cambios a una arquitectura, sin necesidad de hacer cambios de IP, introduciendo y retirando del sistema máquinas que pueden tener diversas configuraciones o versiones de software distintas.

Por tanto, para aplicaciones web pesadas o para sitios web que van a recibir un alto volumen de tráfico, merece la pena contar con un sistema de balanceo de carga. 

Las ventajas de equilibrar la carga de un servidor

La distribución del tráfico en diversos servidores reduce los tiempos de respuesta, ya que el tráfico de un servidor lento es transferido automáticamente a otro más rápido –incluso con muchas peticiones a la vez–, aumentando así la seguridad contra fallos y caídas. Esto garantiza que una página siga funcionando aunque el servidor deje de estar disponible.

Además, facilita el mantenimiento del sistema de servidores. Las actualizaciones y configuraciones del servidor pueden tener lugar durante su funcionamiento sin que se produzca pérdida de rendimiento. El balanceador de carga reconoce el estado de mantenimiento y desvía las peticiones como corresponda. Todo esto hace del balanceo de carga una solución muy flexible de hosting.

Redirección del tráfico

Durante la última década, los ataques distribuidos de denegación del servicio (DDoS, por sus siglas en inglés) han seguido proliferando y se han convertido en uno de los principales tipos de amenazas al que se enfrentan prácticamente todos los sectores y áreas empresariales expuestos a la red pública de Internet. Por lo tanto, la protección contra ataques DDoS debe ser la base de una estrategia de seguridad correcta.

El fin de los ataques DDoS es intentar bloquear sitios web e infiltrarse en ellos mediante la inundación del servidor de origen del sitio con solicitudes falsas, a menudo desde varias ubicaciones y redes. Si no se frena el proceso, el tráfico de este ataque DDoS puede producir resultados que van desde lentitud en la carga de las páginas hasta un bloqueo completo del tráfico legítimo al sitio.

Estos tipos de ataques pueden provenir de distintas fuentes, incluidos "hacktivistas", piratas informáticos con ánimo de lucro, grupos de piratas informáticos patrocinados por estados y otros. En muchos casos, los ataques DDoS aprovechan la ventaja de la multiplicación de fuerzas de los "botnets", que son esencialmente ejércitos de ordenadores que sufren una intrusión y son reclutados para generar tráfico de ataque desconocido para su propio usuario o administrador.

Por ello en algunos casos, frente al error (conexión rechazada)  se debe redireccionar el tráfico de un servidor  a otro hasta solucionar el problema.

1. Un usuario abre un navegador web, escribe www.ejemplo.com en la barra de direcciones y pulsa Intro.
2. La solicitud de www.ejemplo.com se envía al servicio de resolución de nombres DNS, que normalmente lo administra el proveedor de Internet (ISP) del usuario.
3. El servicio de resolución de nombres DNS del ISP reenvía la solicitud de www.ejemplo.com a un servidor de nombres raíz DNS (Los Root Servers son los servidores DNS principales de todo el mundo, estos se encargan de resolver las peticiones DNS para los dominios de más alto nivel. Existen 13 Root Server distribuidos en varios puntos del planeta, principalmente en Estados Unidos. Estos servidores están bajo el dominio: root-servers.org).
4. El servicio de resolución de nombres DNS reenvía de nuevo la solicitud de www.ejemplo.com, esta vez a uno de los servidores de nombres de nivel superior (TLD) de los dominios .com. El servidor de nombres de los dominios .com responde a la solicitud con los nombres de cuatro servidores de nombres  que están asociados al dominio ejemplo.com.
5. El servicio de resolución de nombres de DNS almacena en caché (almacena) los cuatro servidores de nombres. La próxima vez alguien navegue a ejemplo.com, el servicio de resolución de nombres omite los pasos 3 y 4, ya que ya tiene los servidores de nombres de ejemplo.com. Los servidores de nombres suelen almacenarse en caché durante dos días.
6. El servicio de resolución de nombres DNS elige un servidor de nombres y reenvía la solicitud de www.example.com a este servidor de nombres.
El servidor de nombres busca en la zona hospedada de ejemplo.com el registro www.ejemplo.com, obtiene el valor asociado, como la dirección IP de un servidor web, 192.0.2.44, y devuelve la dirección IP al servicio de resolución de nombres DNS. 
7. El servicio de resolución de nombres DNS por fin tiene la dirección IP que el usuario necesita. El servicio devuelve ese valor al navegador web.
Nota: El servicio de resolución de nombres DNS también almacena en caché la dirección IP de ejemplo.com durante la cantidad de tiempo que usted especifique, para que pueda responder más rápidamente la próxima vez que alguien visite ejemplo.com.
8. El navegador web envía una solicitud de www.ejemplo.com a la dirección IP que ha obtenido del servicio de resolución de nombres DNS. Ahí es donde está su contenido.
9. El servidor web u otro recurso en la dirección 192.0.2.44 devuelve la página web de www.ejemplo.com al navegador web y el navegador web muestra la página.