DDoS seguridad

Tipos de ataques DDoS que he recibido – I

Recuerdo aún cuando en el 2012 ví el primer ataque DDoS de amplificación UDP, aquel fue de DNS…

No fuimos objetivo del ataque sinó que se usó un dns nuestro como amplificador.

Aunque en realidad dicho server no era un “open resolver“, simplemente se nos usó como vector para amplificar peticiones mediante queries tipo “ANY”.

El descubrimiento fue por casualidad ya que era de poco volumen, pero afectó a la cpu de un clúster de balanceadores Cisco CSS:

DDoS-DNS-vs-cpu

El problema de CPU del CSS lo solucionamos con un parche y modificación del tipo de balanceo:

flow-state 53 udp flow-disable nat-enable
  • Ataques de Amplificación UDP. Breve introducción:

Los ataques de amplificación UDP se basan en inundar al host atacado con tanto tráfico que no pueda responder correctamente a su propio tráfico legítimo ( degradación de red ).
Esto es, saturar el ancho de banda que disponga. A veces además, si se consigue traspasar los equipos perimetrales de red, se puede llegar a degradar a otros dispositivos.

La mayoría de ataques de amplificación UDP son reflejados. Los actores de este tipo de ataques son de 3 tipos:
– El verdadero atacante ( que usará spoofing haciéndose pasar por la ip del atacado ) o que usará una botnet que a su vez usará spoofing.
– Los amplificadores del ataque ( hosts vulnerables o mal configurados que amplificarán las peticiones spoofeadas )
– La víctima ( al que han suplantado su IP y recibirá el tráfico )

  • Veamos un ejemplo de ataque de amplificación dns:

read more »

Uncategorized

retomando el blog

Hace dos años que no posteo y tengo bastantes artículos en la recámara que iré subiendo:
SDN, Seguridad de Red, DDoS recibidos y contramedidas, balanceadores de carga …

He cambiado de servidor dedicado en OVH y he decidido activar SSL, http/2 y HSTS ( ya tocaba … ).

Me he encontrado que el Time to First Byte ha aumentado considerablemente con SSL.

Después de ”jugar” con nginx y diferentes cifrados he conseguido bajar ese TTFB un poco y mantener una calificación A+ en www.ssllabs.com.

Por otro lado, he activado Incapsula como WAF en el cloud. Logs de Incapsula:

incapsula-qualys

Probaré NAXSI ( Nginx Anti XSS & SQL Injection ) https://github.com/nbs-system/naxs, a ver que tal …

 

read more »

Cisco linux PKI seguridad switches

Cisco IOS – Gestión Automatizada con ssh y PKI

El el post anterior ya adelantamos la ventaja de usar ssh con PKI en dispostivos Cisco con IOS versión 15:

La gestión automatizada.

Veremos un ejemplo de acceso ssh sin contraseña a dispostivos Cisco para lanzarles comandos y configuraciones. Usando este método, configuraremos de golpe una community snmp, una access-list y obtendremos el Serial Number dos switches.

read more »

Cisco PKI seguridad switches

Cisco IOS – Configuración de acceso SSH con PKI

Una de las funcionalidades de Cisco IOS versión 15 es el acceso SSH con certificados. Esto es, el acceso ssh usando la infraestructura de clave pública o PKI.

En este post vamos a ver cómo se configura, pero antes hablaré brevemente de la gestión automatizada de la red. read more »

Cisco seguridad switches

Configurar ssh en dispositivos Cisco

En este post vamos a configurar SSH en un switch Cisco. El método también sirve para cualquier dispositivo basado en IOS, esto es routers etc.

Aunque en los switches Cisco, si tenemos activo el acceso https, algo que no recomiendo y que viene por defecto activado en las IOS gestionables por web, ya dispondremos de los certificados y requisitos para directamente habilitar ssh versión 2, prefiero definir paso por paso el procedimiento que considero más recomendable y seguro.

Además aplicaremos configuraciones que permitiran asegurar la configuración y el acceso al dispositivo.

read more »

ancho de banda Cisco Firewall linux Pix

Multipath TCP – Introducción y prueba en laboratorio

El año pasado vi un vídeo de una Google Tech Talk de Costin Raiciu (University Politehnica of Bucharest) y Christoph Paasch (Universite Catholique de Louvain) sobre Multipath TCP y me interesó mucho. Por cuestiones de tiempo y proyectos no me animé a probarlo, pero ha llegado el momento!

En este post veremos dos ejemplos prácticos que he realizado en laboratorio.

Multipath TCP o mptcp, es una extensión del protocolo tcp que permite multiplexar varias conexiones tcp sobre diferentes rutas.
Para concretar un poco y no extenderme demasiado, sobre un segmento tcp estándar observaríamos una nueva opción en la cabecera tcp.
Esta opción es la tipo 30 y está reservada por la IANA. Lo veremos en una captura en este post. read more »

OTP radius raspberry seguridad

Nueva release de MultiOTP

En el post anterior vimos la configuración del doble factor de Autenticación con Cisco VPN SSL con MultiOTP y Freeradius.

MultiOTP ha sacado una nueva versión con muy interesantes mejoras. Además han sido reconocidos y certificados por la autoridad de OpenAuthentication.
Enhorabuena!

¿Qué novedades hay en MultiOTP 4.1.x ? read more »

Cisco Firewall linux OTP radius seguridad windows

Doble Factor de Autenticación – Cisco VPN SSL con MultiOTP y Freeradius

En el post anterior vimos concepto de Doble Factor de Autenticación. En este post, vamos a realizar una prueba de concepto para usar doble factor de autenticación en un escenario de VPN.

  • 1 – Dispositivos hardware y software usados en este PoC:
Cliente Cisco VPN AnyConnect
Firewall Cisco ASA ( servidor VPN SSL )
Radius IAS o NPS integrado en Active Directory
Freeradius sobre Ubuntu Server + MultiOTP ( clase PHP )
Token compatible con OATH ( algoritmos TOTP - rfc6238 y HTOP - rfc4226 )
  • 2 – Topología:

2-factor-authentication-multiotp-freeradius-cisco-asa read more »

OTP seguridad

Doble Factor de Autenticación – Intro

  • El concepto:

Doble Factor de Autenticación es un método de seguridad que permite añadir una verificación adicional en el proceso de autenticación.

La autenticación más común y sencilla se basa únicamente en un usuario y contraseña estático.
Este es el método de autenticación habitual para acceder al correo, a diferentes páginas web …
Pregúntate que sucedería si te roban tu usuario y contraseña …

Cuando realizas operaciones bancarias, ¿usas una tarjeta de coordenadas?
Seguramente sí. Esto podemos considerarlo un factor doble de autenticación. read more »

Cisco switches

Solución a error Low on memory en Cisco IOS

El error “%% Low on memory; try again later” se muestra en consola cuando un dispositivo Cisco con IOS se queda sin memoria RAM.
Cuando se ha agotado la memoria, ni siquiera es posible acceder remotamente mediante ssh o telnet y para recuperar el control del dispositivo es necesario reiniciarlo.

Yo he podido comprobarlo, o mejor dicho, sufrirlo con unos switches Cisco Catalyst 2960 y la versión de IOS 15.0(2)SE2. El problema es debido a un memory leak o fuga de memoria que todavía no está solucionado.

read more »