Desde el CCN-CERT nos alertan de un incremento en los ataques de tipo DDos (ataques de Denegación de Servicio) en universidades españolas. Nos envían también diferentes medidas a tomar para evitar/mitigar estos ataques:
Medidas de mitigación:
- Activar los servicios de mitigación anti DDoS que tengan a su disposición y tener preparada una copia estática de la página web por si los atacantes tuvieran éxito.
- Contratación de un servicio anti-DDoS también del servidor donde se publique la web o el suministrado por diversos fabricantes.
- Limitar los accesos a las bases de datos por si un ataque de inyección SQL tuviera éxito y los atacantes consiguieran exfiltrar información.
- Uso de firewall a nivel de aplicación.
- Usar procedimientos de almacenado o “prepare-statements” con comprobación de parámetros y tipificación de los mismos.
- Usar Frameworks para la programación de las webs.
- Todo texto introducido a través de la web debe ser utilizado como texto y formateado como tal.
Medidas en las configuraciones de los dispositivos perimetrales:
Para aplicar en routers:
- Ajustar los parámetros de trafficshaping y rate-limiting.
- Despliegue de Unicast Reverse Path Forwarding.
Para aplicar en firewalls:
- Activar la protección contra SYN flood.
- Activar el módulo de IPS para las conexiones entrantes a los servicios expuestos en internet.
- Los umbrales de las conexiones por segundo establecerlos o bajar el umbral.
- Permitir únicamente IPs con origen España en los servicios que no se vean afectados por recibir conexiones de otros países (medida de carácter temporal).
- Bloquear IPs relacionadas con los ataques perpetrados estos días.
- Eliminar conexiones con “User-Agents” relacionados con herramientas de test de intrusión o hacking.
Para Servidores web:
- Activar Mod_security o/y instalar firewall de aplicaciones destinado al servidor de aplicaciones.
- Activar Dynamic IP Restrictions (DIR)
- Regular el número de conexiones máximas simultaneas (MaxClients).
- Controlar el número de descargas desde una única IP (mod_limitpconn).
- Activar mod_bwshare para permitir conexiones basado en histórico.
- Activar mod_dosevasive módulo de apache destinado contra DDOS
- Instalar fali2ban para regular los accesos de Login junto con la inclusión de captchas en los logins o formularios.
Más información: