Los 5 mejores tickets de soporte de red para automatizar
¿Qué es lo que más te frustra del soporte de red? Nada se siente mejor que jugar al detective en un problema de red oscuro y ser el héroe de TI que lo resuelve. Pero demasiado...
El siguiente artículo es la parte 2 de una serie de 3 partes sobre la solución de problemas de ataques DDoS, y es una publicación invitada de Matt Conran de Perspectiva de red. En este artículo, Matt cubre los desafíos del enfoque manual de resolución de problemas de DDoS.
Introducción
Un ataque DDoS (Distributed Denial of Service) es una emboscada para enajenar los servicios en línea mediante un enorme tráfico de numerosas fuentes. En este ciberataque, el verdugo emplea más de una única dirección IP. Asi que, Cuando pensamos en DDoS, los elementos más importantes que nos vienen a la mente son los componentes de detección y mitigación. Después de todo, aquí es donde se empuja el dinero y donde se introducen las nuevas y sofisticadas funciones. Sin embargo, es toda la efectividad de la solución de extremo a extremo lo que detiene el DDoS a tiempo.
La pieza que falta del rompecabezas es la resolución de problemas. Muchos perciben que mapeo de una red y la solución de problemas es una tarea técnica que solo requiere las manos de un ingeniero. Pero hay un proceso completo de la empresa que debe integrarse, lo que lleva al trabajo final de configuración práctica y, por lo tanto, detiene el DDoS.
El procedimiento implica la coordinación de personas de diferentes equipos y antecedentes técnicos para combinar de manera eficiente y formar una solución. Esto no es algo que suceda automáticamente o por casualidad. Necesita ser ensayado y controlado con precisión. Uno de los mayores problemas con los ataques DDoS es la falta de preparación. La falta de preparación lleva al pánico y luego nada se arreglará si eso ocurre.
Toda la experiencia técnica del mundo no lo ayudará a menos que las culturas entre los equipos funcionen de manera eficiente. Y con un evento DDoS, seguramente necesitará varios equipos que operen juntos.
El arte de la creación de redes
El arte de la creación de redes ha dado lugar a miles de diseños de redes diferentes, a menudo denominados copos de nieve únicos. En la red SP, a menudo proporciona el mismo requisito de conectividad de objetivo final, como L2VPN y L3PVPN. Sin embargo, el tipo de diseño de red varía considerablemente de un proveedor a otro.
Muchos diseños quedan en la cabeza del diseñador cuando debería estar en un depósito central, rastreado con cambios. La solución de problemas de diversos diseños y configuraciones de red se vuelve difícil cuando recibe un ataque DDoS con volúmenes que alcanzan la escala de Terabyte.
Agujero negro disparado remotamente (RTBH)
El Agujero Negro Activado Remotamente (RTBH) es uno de los más comunes. Formas de mitigar un ataque. Utiliza el Protocolo de puerta de enlace fronteriza (BGP) dentro de la red e instala reglas en el lugar de reenvío para bloquear el destino y mitigar el ataque DDoS. Básicamente, completa el ataque DDoS en nombre del atacante. RTHB ha sido útil en el pasado, pero uno de sus defectos es que combina el enrutamiento del modo misión y las funciones de seguridad en el mismo dispositivo.
Las reglas de firewall que se utilizan para bloquear un ataque se colocan en el dispositivo de red que desempeña la función principal de enrutar el tráfico del punto A al punto B. Entonces, desde un punto de vista técnico, ya tenemos desafíos. Para agravar esto aún más, la mayoría de las veces tenemos que combinar dos equipos para trabajar en el mismo dispositivo, tanto de seguridad como de red. Desde un punto de vista operativo, el enfoque más común para la mitigación de DDoS es mezclar dos sombreros técnicos en el mismo dispositivo.
En el pico de un ataque DDoS, la colaboración del equipo es fundamental y la mitigación de DDoS existente, como RTBH, puede plantear desafíos de coordinación del equipo. Para protegerse de manera eficiente contra DDoS, una solución nunca puede verse como singular únicamente desde el punto de vista técnico. Es todo el proceso de resolución de problemas y la colaboración de los equipos lo que gana la carrera con éxito.
La capacidad de mirar todo
Para una protección DDoS eficiente, debe examinar todas las capas de la pila del modelo de interconexión de sistemas abiertos (OSI). Ya no se trata solo de una capa; los ciberdelincuentes están utilizando múltiples capas para penetrar en una red. Los ataques paralelos se utilizan a menudo combinando el ataque volumétrico de capa 4 con el ataque de aplicación de capa 7. Básicamente, tenemos dos capas de la pila que necesitan solución de problemas: la capa 4 y la capa 7.
Esto también podría involucrar potencialmente a dos equipos separados: el equipo de redes para la capa 4 y un equipo de aplicaciones para la capa 7. Combinando algunos cortafuegos y balanceadores de carga, tenemos una buena combinación de interacción de equipo disperso. Este tipo de colaboración debe optimizarse y coordinarse de manera eficiente.
Ejemplo de enfoque manual
El enfoque manual de DDoS contiene una serie de pasos antes de llegar al origen del problema. Todo esto puede necesitar ser llevado a cabo por diferentes personas, equipos, lugares y tiempos. Seguramente, las personas involucradas no estarán sentadas una al lado de la otra. Dependiendo del ataque y cómo fue señalado es lo que cuenta. Si se trata de un ataque a nivel de aplicación, es posible que un administrador deba ver los registros de servidores individuales iniciando sesión manualmente o a través de un analizador de registros central.
Otro administrador puede tener que rastrear a través de un grupo de máquinas y emitir comandos como “Netstat” para determinar qué conexiones están abiertas en ese servidor o dispositivo. Otro administrador tiene que comprobar si la carga de la máquina es alta o determinar el número de Procesos HTTP correr. Un administrador de Linux o firewall debe crear scripts personalizados y ejecutarlos en tablas de IP para determinar otros tipos de información de seguridad.
Una nota sobre los scripts personalizados
Los scripts personalizados creados por ingenieros individuales son excelentes para uno de los trabajos, pero si desea que se automaticen entre equipos, las cosas se complican. La persona que crea el guión suele ser la que gestiona el guión. ¿Qué sucede cuando esta persona se va o si hay errores o cambios necesarios?
El trabajo adicional que está más allá del ámbito de ese ingeniero se agrupa en sus operaciones diarias normales y eventualmente se dejará de lado. Es mucho mejor almacenar todas sus secuencias de comandos en una base de datos administrada centralmente donde no hay una sola persona a cargo. Los ataques DDoS están evolucionando rápidamente. El tipo de cambios aleatorios requeridos (TCP – > UDP) sería un simple comando en el servidor C2. Tratar de rastrear todo esto con scripts personalizados es perjudicial para usted y su empresa.
Ataques avanzados
Es posible que sea necesario llamar a un ingeniero más avanzado para ver los encabezados de host HTTP o las tablas de sesión. en un equilibrador de carga para determinar si se trata de un ataque más sofisticado. Los ataques de la capa 7 no superan los paquetes por segundo, por lo que debemos profundizar más que el estándar de 5 tuplas y determinar los problemas intermitentes.
En ocasiones, es posible que debamos hacer más esfuerzos para examinar los recuentos de congestión, las ventanas de congestión, TCP RTT u otras características avanzadas. En un servidor web, es posible que debamos buscar encabezados específicos para escribir en Null0.
Comunidades BGP
Las comunidades BGP a menudo son adecuadas para las mitigaciones de DDoS. La comunidad BGP se establece en una ruta y luego esa ruta se bloquea en el borde de la WAN. Si se configura incorrectamente, implicaría mucho trabajo manual para averiguar dónde está la fuente del problema.
Comentarios de Cierre
El enfoque manual para la solución de problemas eventualmente debe llevarse a cabo y luego toda la información de diagnóstico debe agruparse de alguna manera en un solo lugar para tomar una decisión sobre qué hacer. Intentar repetir estos pasos con las mismas personas sin automatización no es el camino para que las operaciones sean fluidas. Hay muchos pasos diferentes involucrados que requieren muchos equipos diferentes, combinando muchos sombreros tecnológicos diferentes.
Algunos de estos dispositivos necesarios para la solución de problemas pueden incluso estar en diferentes redes con diferentes inicios de sesión. Podría darse el caso de que necesite presentar un ticket de solución de problemas incluso para ingresar al dispositivo para iniciar la solución de problemas. Ya tenemos las manos atadas y DDoS ya está ganando por mucho. Este tipo de solución de problemas no le está haciendo ningún favor, especialmente cuando ya estamos en un juego del gato y el ratón. Combinar equipos, sombreros técnicos y conjuntos de habilidades es una tarea difícil y requiere una buena gestión de equipos y proyectos. En lugar de dejar la fe en los dioses, es mejor tener una solución para que las cosas funcionen para ti. Entonces, cuando ocurre un DDoS y ciertamente sucederá, está listo con solo hacer clic en un botón para mitigarlo.
NetBrain ofrece un enfoque único para la automatización de redes cerrando así la brecha entre la detección y la mitigación de DDoS. la habilidad para NetBrain integrarse con los sistemas de detección y mitigación completa la pieza faltante del rompecabezas de Denegación de servicio (DDoS). No es la empresa de mapeo sino la empresa de automatización la que aprovecha Mapeo de Red Dinámico, Ejecutable Runbooks y rico marco de integración de API y flujos de trabajo para solucionar cualquier tipo de DDoS.