Un reporte de Arbor Networks indicó que las recientes oleadas de denegación de servicio distribuidas han sido agravadas por ubicar incorrectamente los firewalls y los sistemas de prevención de intrusos.

En el estudio Infraestructure Security Reporte 2010 de Arbor Networks, se encuestó a 111 proveedores de servicio global, tanto de la rama móvil como no móvil y se encontró un gran aumento en los ataques DDoS durante el 2010. El tráfico malicioso alcanzó un máximo de 100Gbps por primera vez, el doble que se registró en 2009 y 10 veces más de la cifra máxima que se registró en 2005. Los vectores de ataque más recientes incluyen ataques a nivel de aplicación y no sólo de inundación de paquetes.

La frecuencia de los ataques parece haber aumentado, ya que 25 de los encuestados recibieron 10 o más ataques por mes y 69% de ellos sufrieron al menos uno.

Sin embargo, de acuerdo a Arbor los proveedores de servicio podrían reducir significativamente su vulnerabilidad a los ataques DDoS, al ubicar mejor a sus dispositivos de seguridad, como los firewalls.

Durante el 2010, cerca de la mitad de los encuestados experimentaron alguna falla en sus firewalls o IPSs debido a ataques DDoS, algo que pudo ser prevenido usando una mejor configuración de seguridad en sus routers.

“Los firewalls no deben ser ubicados enfrente de los servidores. Las personas lo hacen porque han sido programadas para hacerlo” dice el arquitecto de Arbor, Roland Dobbins. En muchos casos, estos dispositivos se convierten en cuellos de botella cuando sufren de ataques DDoS, logrando los propósitos de los atacantes con facilidad.

Los firewalls y los IPS estaban bien en las LAN, en donde filtraban el tráfico saliente, pero resultaron puntos de falla evidentes cuando se usan como barreras de protección en contra de grandes volúmenes de tráfico entrante, indicó.

Un punto claro del reporte de Arbor es que los ataques DDoS están incrementando su tamaño, alimentados irónicamente por el incremento de inversión en las defensas en su contra. Como el fenómeno del aumento del SPAM, luego de que se mejoraron los filtros anti-spam, las mejores defensas impulsan a los atacantes a mejorar sus técnicas lanzando cada vez más tráfico a sus objetivos.

Un punto ciego podrían ser las redes de los proveedores de servicios móviles, que Dobbins indica, podrían ser considerados 2ISPs accidentales”.

Actualmente, los proveedores de servicios móviles casi no conocen nada del estado de sus teléfonos móviles, a pesar de que la mitad de ellos reportan problemas de seguridad de sus clientes. La misma proporción reportó pérdida del servicio relacionada a incidentes de seguridad, lo que sugiere que esas redes se podrían convertir en la siguiente base de los criminales para atacar objetivos de internet.

“Ellos no tienen visibilidad hacia su red IP. Tienen casi una década de atraso”, dijo Dobbins, en relación a los proveedores en este espacio.

En términos de largo plazo, una pieza faltante de las defensas DDoS son las políticas, situación motivada por la falta de confianza en las autoridades que la mitad de los encuestados expresó. Muchos de los escépticos no ven la utilidad de reportar los ataques a autoridades y consideran que sería de poco beneficio, incluso si lo hicieran.
Fuente