Corero DDS5500 (DDoS Defense System) v6.50

Transcripción

1 En el presente laboratorio se identifica, examina, analiza, valora y evalúa Corero DDS5500 (DDoS Defense System) v6.50, de Corero Network Security, una herramienta de seguridad de red robusta, escalable, de naturaleza hardware-software, del tipo pasarela de seguridad con despliegue inline, de gran rendimiento, contra ataques-amenazas a nivel de red y de aplicación basados en inundación, contenido malicioso y acceso no deseado. Incluye, entre sus funcionalidades, IPS, controlador basado en tasas y cortafuegos con estado. Sus capacidades de protección abarcan desde la prevención de explotación de vulnerabilidades y código malicioso hasta el bloqueo de ataques basados en botnets y DDoS/DoS, pasando por protección de infraestructuras VoIP y protección contra aplicaciones y prevención de acceso no deseado. Se gestiona de forma local y remota, y soporta un GUI basado en web y JRE y consola de administración centralizada/remota (bajo HTTPS), pudiendo controlar múltiples unidades hardware de forma independiente o en cluster para balanceo de carga y alta disponibilidad. Se integra con dos componentes: uno para la SIEM (Security Information Event Management), denominado TLNSA (Top Layer Network Security Analyzer), que permite la administración de alertas, recepción y almacenamiento de logs, generación de informes y análisis forense que se integra con syslog; y el otro para la gestión de actualizaciones, denominado TopResponse Update Manager. IDENTIFICACIÓN DE LA HERRAMIENTA. LOCALIZACIONES DE DESPLIEGUE La herramienta de seguridad de naturaleza hardware-software Corero DDS5500 (DDoS Defense System) v6.50 basado en el hardware DSS EC modelo de la compañía Corero Network Security se cataloga como una pasarela de seguridad inline que se gestiona de forma dual, tanto local como centralizada, se integra con un componente SIEM denominado TLNSA (Top Layer Network Security Analyzer) v5.1 (para la gestión de eventos e informes) y con un componente TopResponse Update Manager v2.22 que permite, manual o automáticamente, actualizar las características de seguridad de las unidades DDS5500 preservando la integridad de las políticas de seguridad establecidas y opera bajo el paradigma cliente-servidor; los clientes integran la aplicación de servicio y el GUI se utiliza para configurar y operar con el servicio TopResponse. El cliente se conecta con las unidades DDS5500 para mantenerlas configuradas con las últimas actualizaciones. Se han identificado las siguientes localizaciones de despliegue más relevantes: (i) Protección de activos críticos online. Defiende segmentos de red de amenazas y proporciona contención de segmentos infectados. Se trata de colocar la unidad DDS5500 frente a la red interna, detrás del cortafuegos corporativo y del switch. Corero DDS5500 (DDoS Defense System) v6.50 es una herramienta de seguridad de red de rendimiento muy satisfactorio y fiabilidad significativa, que integra con una arquitectura 3DP una protección de red-aplicación eficaz contra ataques de inundación basados en tasa, contenido malicioso y accesos no deseados. Utiliza funcionalidades IPS, firewall y de limitación-control de tasas, se gestiona de forma local y centralizada vía web a través de un GUI bien dimensionado que trabaja con políticas, y entre sus potencialidades más relevantes destacan la protección contra ataques a los niveles de red y sobrecarga al nivel de aplicación tipo DoS/DDoS. (ii) Configuración de elevado caudal y HA. Proporciona procesamiento compartido adicional para entornos de elevado volumen. Se trata de configurar dos unidades hardware DDS5500, dando lugar a una única unidad inline con configuración entre correspondientes. Se ubica tras el router del ISP y detrás del switch; le sigue el firewall corporativo. (iii) Cluster de protección. Proporciona redundancia activa a la configuración actual. Se trata de añadir unidades DDS redundantes para alta disponibilidad y balanceo de carga. En una configuración de dos unidades DSS5500, ambas unidades hardware reciben y pasan tráfico de red, a menos que exista un fallo. Se ubican detrás de los routers ISP y switches, uno por cada rama. (iv) Perímetro de red. Incrementa la protección contra ataques DDoS/DoS y amenazas a nivel de aplicación. Se ubica detrás de la siguiente cadena de entidades: Internet y router del ISP y antes del firewall corporativo que precede a la red interna. ARQUITECTURA 3DP. FUNCIONALIDADES PRINCIPALES La herramienta aquí evaluada utiliza una arquitectura 3DP (3-Defense Protection), que permite procesar el tráfico de red en aceptable a la vez que bloquea los ataques y recoge datos forenses y eventos para su análisis. Opera en tres dimensiones: protección contra DDoS/DoS e inundaciones, protección contra accesos no deseados y filtrado con estados y protección contra contenido malicioso. Para ello utiliza IPS, que permite detener contenido malicioso en base a componentes de análisis del comportamiento de peticiones-respuestas, incluye motores basados en firmas de vulnerabilidades y ataques, y exploración del uso aceptable de aplicaciones y análisis de protocolos con estado. Asimismo emplea firewall stateful, que posibilita detener accesos no deseados, y un controlador basado en tasa que permite detener diferentes tipos de ataques de inundación tipo DDoS (Distributed Denial of Service)/DoS en base a un conjunto de limitadores en tiempo real. Procesa todo el tráfico entrante, lo filtra, registra y captura en base a su configuración y deja pasar el tráfico 114 A B R I L / N º 9 9 / S i C

2 adecuado. Entre las principales características constatadas, destacan: (i) Detención de abuso de recursos. Tanto sobre el ancho de banda de red como sobre el nivel de recursos de aplicación, para usuarios tanto autorizados que puedan intentar sobreutilizar los recursos como para usuarios maliciosos que intenten ataques DoS/DDoS. (ii) Prohibición de acceso a clientes no autorizados. Si se utiliza la configuración por defecto, inicialmente el tráfico de los usuarios desconocidos se trata de forma imparcial; seguidamente para pasar de tráfico desconocido a tráfico de confianza, el host debe completar con éxito varias conexiones: si el cliente abre muchas conexiones syn TCP se infiere que es malicioso; si se alcanza el número de conexiones simultáneas permitidas se bloqueará ese tráfico. (iii) Detención de contenido malicioso. Permite proteger la explotación de vulnerabilidades del sistema o las debilidades de protocolos basados en red, así como ataques directos a través de correos electrónicos basados en virus y gusanos. (iv) Gestión y generación de informes. Permite operar en tiempo real, genera tablas-gráficos y posibilita visualizar las condiciones más críticas para controlarlas adecuadamente. Automáticamente genera informes periódicos, soporta SYS- LOG y SNMP, permite monitorizar y filtrar eventos de ataques y posibilita exportar datos de ataques en formatos CSV (Comma Separated Variables) y PCAP (PCAP Packet CAPture format). (v) Elevado rendimiento y velocidad de operaciones en base a una arquitectura multiprocesador multinúcleo de 64 núcleos de Tilera, de bajo consumo. Opera con software CoreOS como hipervisor. Permite simultáneamente manipular fragmentos de paquetes IP y segmentos TCP, implantar reglas de firewall con estados, realizar análisis de protocolos, llevar a cabo inspección profunda de paquetes, buscar vulnerabilidades y firmas de ataques, manejar gestión de seguridad y de red, procesar eventos, logging e informes y controlar las interacciones del procesador. La herramienta aquí evaluada actúa básicamente contra tres categorías de amenazas: (i) Detiene contenido malicioso en el tráfico de red, incluyendo gusanos, spyware y otros tipos de malware, así como explotación de vulnerabilidades Microsoft. (ii) Previene frente a accesos no deseados a la red o sistemas, como, por ejemplo, accesos no autorizados o ilegales. (iii) Defiende contra ataques basados en tasa sobre la infraestructura sobre red y aplicaciones (como inundaciones SYN y otros ataques de denegación de servicios cuyo tráfico de red parece legítimo superficialmente, pero no lo es), limitando número de conexiones, paquetes, SYN (peticiones) enviados por cada usuario origen, así como analizando el comportamiento en los diversos niveles TCP/IP (por ejemplo, en aplicación sobre GET-HTTP o DNS, en L2 sobre ICMP, etc.). PUERTOS: ROLES, MISIÓN, GESTIÓN, MANTENIMIENTO Se han constatado los siguientes tipos de roles de puerto: captura de tráfico, descartar-bloquear tráfico, externo, interno, gestión, mirror/espejo, no utilizado, alta disponibilidad y alta disponibilidad conectado al switch. Se ha observado que algunos puertos de la herramienta aquí evaluada pueden configurarse con diferentes roles, de modo que solo puede Fig. 1.- Interfaz de la aplicación de gestión para DDS5500. implantarse un rol sobre un puerto cada vez. Desde un wizard del GUI (Graphical User Interface) de gestión se configuran los roles de los puertos. Los puertos de misión permiten procesar el tráfico de red interno y externo; se denominan pares de puertos de misión. La herramienta bajo valoración soporta un máximo de cuatro. La herramienta de Corero permite la trazabilidad del estado del enlace de los pares de puertos de misión utilizando su funcionalidad de seguimiento de puertos LAN. Los puertos de gestión se utilizan para gestionar la unidad hardware, y se ha constatado que el tráfico de gestión se encuentra aislado del tráfico de misión. Los puertos de mantenimiento se utilizan para gestionar eventos y tráfico espejo de la unidad hardware bajo valoración. Estos puertos pueden tener el rol de captura, espejo o descartar, y operan a 10/100/1000 Mbps. MODOS ACCESO DE GESTIÓN. INTERFACES Se ha constatado que la herramienta aquí evaluada permite diferentes modos de accesos de gestión protegidos: (i) Arquitectura de seguridad. Permite separar el tráfico de gestión, que es tráfico que entra a uno de los puertos de gestión, del tráfico de misión que entra por los puertos internos y externos. La unidad hardware de la herramienta aquí evaluada opera como un puente para el tráfico de un puerto de gestión a otro de gestión, pero no reenvía tráfico de ges- Fig. 2.- Visualización del panel frontal de la aplicación de gestión para DDS5500. EQUIPOS UTILIZADOS EN LA EVALUACIÓN Equipamiento para servidores y sistemas finales de usuarios con Windows (7, Vista, XP, 2008, 2003, 2000) y Linux (Red Hat Enterprise, SuSe Linux, etc.); PCs con procesador Dual Xeon Quad, 3 GHz., con 4 Gb de memoria, disco duro de 250 Gb, unidad DVD/CD-ROM, tarjeta gráfica WXGA, tarjeta NIC de red 10/100/1000 Base T compatible NE2000/NDIS. Navegadores Internet Explorer 8, Mozilla Firefox. Servidores de correo electrónico Microsoft Exchange. Servidores Web y DNS. Servidores Directorio Activo-MS, LDAP y Radius. Servidores de base de datos Oracle. Servidores de ficheros y Web. SIP-H.323/VoIP. Clientes de correo electrónico como Outlook. JRE (Java Runtime Environment). Nueve redes locales, Ethernet 10/100/1000 BaseT con IEEE LLC, como soporte físico de las comunicaciones con Protocolo de Control de Acceso al Medio o MAC CSMA/CD. Acceso a Internet. Hubs/Switches de 16 puertos Ethernet 10/100/1000. Módems analógicos para RTB/ RTC V.90/ITU-TSS (a 56 Kbps) y tarjetas digitales RDSI-BE 2B+D/Acceso Básico-BRA como acceso conmutado al exterior y conexiones ADSL/cable módem. Acceso GSM/GPRS/UMTS/HSDPA. Routers. Cortafuegos. Puntos de acceso Wi-Fi, IEEE g/b/a/n. Impresoras. Smartphones. Tabletas. Una unidad hardware DDS EC modelo Analizador de protocolos para monitorizar las comunicaciones intercambiadas en todos los niveles de la arquitectura. Módulos de valoración de mecanismos de control a nivel de aplicaciones, criptográficos de cifrado, autenticación. Módulo de valoración de criptoanálisis/ esteganoanálisis. Módulo de pruebas para medidas de seguridad, latencia, ancho de banda y rendimiento con diferentes cargas de trabajo, número de usuarios y flujos. Generadores de tráfico con código malicioso, datos sensibles ocultos. Baterías de ataques contra la seguridad, el rendimiento, latencia, ancho de banda de las aplicaciones bajo control gestionable de cargas de tráfico. Módulos de amenazas a la gestión/control de red/aplicaciones vía información codificada, cifrada y esteganografiada con canales encubiertos y tráfico visible/invisible con datos maliciosos. Baterías malware EICAR. S i C / N º 9 9 / A B R I L

3 tión a otros puertos ni reenvía tráfico que no sea de gestión a los puertos de gestión. (ii) Administración de cuentas de usuarios. Posibilita crear y gestionar cuentas de usuarios, proporcionando diferentes conjuntos de privilegios a los usuarios individuales o grupos. (iii) Autenticación de usuarios. Permite establecer la identidad del usuario y nivel de privilegios. (iv) Control de acceso al servicio de gestión. Proporciona controles para cada forma de acceso de gestión. (v) Aislamiento del tráfico de gestión y de misión. Impide que nunca se combinen los tráficos de gestión y de misión. La unidad hardware crea una sesión de gestión siempre que un usuario se autentique con éxito a la unidad hardware; dicha sesión continúa hasta que el usuario finalice su sesión o expire el temporizador de time-out. La información relevante de cada sesión de gestión (que se envía al log de evento y a servidores de syslog) incluye: nombre de usuario, privilegios de sesión, hora de login cuando arranca la sesión, método de acceso de gestión (HTTP, HTTPs, telnet, consola), direcciones IP y MAC del usuario, identificador único de sesión y hora de cierre de la sesión. Se han evaluado los siguientes interfaces de gestión: (i) Consola serie. Se accede localmente a través de un puerto DB9 desde la parte frontal de la unidad hardware y proporciona acceso a un CLI (Command Line Interface), que se utiliza para realizar algunas operaciones de configuración básicas. (ii) CLI desde telnet. Posibilita acceso a casi todos los comandos de gestión y configuración de la unidad hardware. (iii) Aplicación de gestión utilizando HTTP/HTTPs. Se ejecuta como un programa JWS (Java Web Start) sobre web. El GUI posibilita una ventana para gestionar la unidad hardware y proporcionar acceso a la ayuda online sensible al contexto. (iv) Interfaz de gestión SNMP. Proporciona acceso de solo lectura a ciertas configuraciones, como objetos MIB propietarios. (v) Controlador IPS. Permite gestionar de forma centralizada varias unidades hardware. POLÍTICAS DE SEGURIDAD Cabe precisar que una política de seguridad es una construcción lógica que permite guiar las decisiones de seguridad de la herramienta aquí evaluada cuando examina flujos de tráfico para los diversos subsistemas que integra; por ejemplo, especifica que un flujo de tráfico dado debe satisfacer ciertas condiciones o debe tratarse de una forma concreta. Se han constatado tres tipos de políticas de seguridad, que pueden combinarse para mayor efectividad: (i) Política firewall. Proporciona bloqueo-restricción de tráfico basado en direcciones IP (L3), números de puerto (L4) y segmentos (pares de puertos). (ii) Política IPS. Proporciona validación de: protocolos, de contenidos de ficheros adjuntos, de firmas de ataques e incluye políticas de utilización Fig. 3.- Pantalla para la gestión de usuarios con DDS5500. Fig. 4.- Aspecto de la unidad hardware DDS EC modelo Fig. 5.- Interfaz de configuración de la política de seguridad con DDS5500. aceptable de aplicaciones. (iii) Política basada en tasa. Permite proteger los recursos de un uso excesivo por parte de usuarios legítimos, así como de atacantes que empleen diversas técnicas de denegación de servicios. Proporciona límites en el número de peticiones del cliente, en el número de conexiones, controla la inundación de segmentos SYN en el protocolo de transporte TCP y limita la tasa de las aplicaciones. Se han evaluado los tres componentes de una política: (i) Condición del flujo de tráfico. El tráfico se especifica por el segmento o segmentos (puertos) a los que llega el tráfico o bien al servidor o servidores (grupo o grupos de computadores) desde donde viene o va el tráfico, o al protocolo o protocolos (servicios: SSL, HTTP, SMTP, FTP, DNS, etc.) que se utilizan en el tráfico. (ii) Acciones firewall. Es la respuesta al tráfico: permitir, rechazar o drop-descartar. (iii) Respuesta del sistema. Especifica el modo en el que sistema responde al tráfico, por ejemplo, registrar (logging) un evento, copiar el tráfico a un puerto para descartarlo, etc. COMPONENTE TOP LAYER NSA. ANÁLISIS FORENSE. TIPOS DE INFORMES La presente herramienta aquí evaluada integra un componente tipo SIEM denominado TLNSA (Top Layer Network Security Analyzer) para la gestión de eventos y alertas con monitorización en tiempo real; permite generar informes a medida (se ha constatado la existencia de numerosos informes predeterminados, por defecto, que facilita la puesta en marcha de la herramienta) sobre correlación de datos, informes sobre intrusiones, reglas, ataques, uso de la Web; permite generar informes de cumplimiento normativo como SOX, PCI, etc. TLNSA permite gestionar la información relevante de seguridad relacionada con eventos en tiempo real de los dispositivos desplegados en la red. Este proceso requiere recoger los ficheros de log y otros datos de eventos de los dispositivos, normalizar los datos, realizar la agregación de los datos en una base de datos y correlacionar los datos para realizar funciones de monitorización, alerta, generación de informes y tareas forenses. El servidor de TLNSA se utiliza para monitorizar y generar informes (en formatos como HTML, MHTML, Word, Excel, pdf y texto) sobre los eventos de los dispositivos desplegados. El análisis y administración de la seguridad depende de la implementación de módulos; cada uno en TLNSA puede gobernarse por uno o más usuarios. Se ha constatado que mediante workflow se automatizan las interacciones entre los usuarios, proporcionando una plataforma común. El módulo de alertas visualiza la lista de todas las alertas configuradas. La arquitectura de TLNSA se com- 116 A B R I L / N º 9 9 / S i C

4 pone básicamente de los siguientes elementos: (i) TLNSA Server. Recibe del recolector de datos todas las alertas para generar informes con vistas a poder realizar acciones correctivas y mejorar la seguridad. (ii) Recolector de datos. Recoge los logs de eventos de forma automática de los dispositivos desplegados en la red, los comprime y los envía al servidor. (iii) Interfaz GUI. Uno de sus botones, denominado centro de seguridad, incluye los siguientes módulos: dashboard (permite tener una visión global de la infraestructura de red; el gestor del dashboard proporciona una forma precisa de monitorizar las áreas de seguridad críticas), informes (permite configurar y generar informes) y eventos (posibilita monitorizar criterios predefinidos y crear vistas personalizadas para monitorizar detecciones de ataques, eventos de emergencia, actividad de puertos y protocolos, malware detectado, etc.). Desde la pantalla del dashboard se tiene acceso, entre otros, al visor de eventos, a la actividad de los puertos, a los principales ataques por eventos por víctima, etc. Existen dos clases de paneles en el dashboard: monitores e informes. Un perfil es un conjunto de instrucciones que identifican las localizaciones de los dispositivos de log, a cuántos datos se debe acceder, el método seguido para analizar los datos, cómo deben resolverse las direcciones IP y la personalización de los informes. Se ha constatado que cuando se crea un perfil se pueden recoger los ficheros de log tanto desde una base de datos integrada o desde un fichero. El análisis forense permite registrar y analizar los eventos de red para descubrir las fuentes de los ataques de seguridad u otros incidentes que pueden ser problemáticos. Implica capturar todos los paquetes de datos que pasan a través de un cierto punto de tráfico, escribirlos en un área (fichero) y realizar seguidamente un análisis en modo batch. Se han constatado como principales categorías de informes: (i) Informes basados en dispositivo. Dan una valoración rápida de los dispositivos de la red, incluye informes basados en ataques, basados en eventos, informes de ancho de banda y de uso web. (ii) Informes de cumplimiento. Soporta la documentación pedida por las actas de cumplimiento regulador. Permite generar informes predefinidos que soportan leyes como HIPAA (Health Insurance Portability and Accountability Act), GLBA (Gramm-Leach-Bliley Act), FISMA (Federal Information Security Management Act), PCI (Payment Card Industry), SOX (Sarbanes-OXley Act). (iii) Informes estadísticos. Permite comparar diferentes tipos de datos, como ataques contra eventos sobre Fig. 6.- Interfaz del componente TLNSA para DDS5500. Fig. 7.- Visualización de servicios con DDS5500. Fig. 8.- Visualización de reglas IPS con DDS5500. Fig. 9.- Ventana de ataques detectados y bloqueados de DDS5500. un intervalo de tiempo definido, entre diferentes protocolos. Existen dos tipos: estadísticas por horas y estadísticas por días; estas últimas pueden ser estáticas (por ejemplo, estadísticas de ataques y eventos por día) y dinámicas (proporcionan información sobre la variación de los puertos y protocolos más activos determinados dinámicamente de la base de datos en días seleccionados). (iv) Informes de resumen. Permiten visualizar datos consolidados sobre dispositivos. (v) Informes de distribución. Posibilitan visualizar un conjunto de dispositivos que se distribuyen sobre un intervalo de cuenta de ataques/ eventos malware, etc. (vi) Informes sobre queries ocultas. CONSIDERACIONES FINALES Se ha sometido durante veinte días la presente herramienta de Corero a un continuado y exhaustivo conjunto de pruebas y diferentes baterías de test. Se ha evaluado la herramienta hardware-software con resultados globales en protección, gestión y rendimiento en torno al 96,8%. En las baterías de test se han evaluado los bloques maestros de la herramienta, utilizando, entre otros, los siguientes ataques: (1) Frente a los ataques DDoS con control de tasas: (i) A nivel de red no distribuidos desde direcciones estáticas o cambiantes. (ii) A nivel de red elevadamente distribuidos desde nubes de más de un millón de fuentes. (iii) Basados en peticiones excesivas del cliente a nivel de red/aplicación. (iv) Basados es superación de tasas por conexiones excesivas a nivel de red/aplicación, configuradas por cliente o servidor. (v) A nivel de abuso de aplicaciones. Se trata de evaluar cómo la herramienta limita el uso excesivo del ancho de banda aplicado por cliente, servidor o protocolo. (vi) Basados en intentos de reconocimiento. Se trata de evaluar la capacidad de la herramienta, tanto en modo bypass como en modo bloqueo para protegerse frente al escaneo de puertos y OS-fingerprinting de servidores. Los resultados obtenidos han sido del 96,8%. (2) Frente al acceso no deseado con firewall: (i) Ataques basados en errores de red. Se trata de evaluar la capacidad para protegerse contra tráfico malformado desde L2 (con tramas y direcciones MAC) al nivel de aplicación y mantenimiento del tráfico adecuado. (ii) Ataques basados en errores de paquetes. Se trata de evaluar la capacidad para protegerse contra errores de protocolo indicativo de ataque L2/L3/L4 como es el caso de una dirección IP de valor cero o un puerto de valor nulo. (iii) Ataques basados en técnicas de evasión avanzadas. Se trata de evaluar las capacidades de defensa contra intentos masivos de evasión, así como S i C / N º 9 9 / A B R I L

5 de control y reordenación integrada, utilizando errores de fragmentación, fragmentos solapados/perdidos, etc. (iv) Ataques con tráfico midflow y stateless. Se trata de evaluar la capacidad de protección contra ataques stateless DDoS con reflexibilidad a nivel de red y aplicación eliminando tráfico midflow. (v) Ataques basados en transgresión del firewall. Se trata de evaluar la capacidad de bloquear grandes cantidades de tráfico no deseado de clientes que intentan abusos actuando sobre puertos, protocolos y direcciones IP de forma aislada o en grupos. (vi) Ataques basados en grandes bloques de IPs. Se trata de evaluar las características shun groups y sus políticas para bloquear grandes cantidades de tráfico no deseado mientras se permite el tráfico adecuado, actuando contra botnets, bloqueo GEO y actualizaciones SANS DShield. Los resultados obtenidos han sido del 97,1%. (3) Frente al contenido malicioso con IPS: (i) Ataques basados en violaciones del uso de las aplicaciones. Se trata de evaluar las capacidades para bloquear exploits relacionados con vulnerabilidades de aplicaciones sin firmas, control del uso de aplicaciones, restricción de métodos HTTP, WebDAV, etc. (ii) Ataques basados en anomalías de protocolos. Se trata de evaluar la capacidad de protección frente a implementaciones deficientes de protocolos y exploits como killapache script para HTTP, protección de amenazas del día cero, etc. (iii) Ataques basados en ficheros de datos cuestionables. Se trata de evaluar la capacidad para proteger contra malware, ficheros adjuntos de correo maliciosos, validación de datos, descargas HTTP peligrosas con análisis en tiempo real. (iv) Ataques de nivel de aplicación. Se trata de evaluar las capacidades para proteger contra ataque DDoS al nivel de aplicación sobre HTTP, DNS utilizando diferentes herramientas. (v) Ataques con exploits basados en servidor y malware. Se trata CONCLUSIONES Fig Visor de eventos de seguridad de DDS5500. de evaluar la protección frente a distintas formas de exploits y vulnerabilidades, la validación de protocolos y las configuraciones de política y conjuntos de reglas. (vi) Ataques de clientes problemáticos. Se trata de evaluar la capacidad de monitorizar las respuestas de servidor, bloqueo de nuevas conexiones de clientes que desean realizar abusos, bloqueo en base al establecimiento de límites en la petición de clientes, etc. Los resultados obtenidos han sido del 96,6%. Los resultados de las medidas del caudal máximo en régimen estacionario han sido de 4,4 Gbps, y los resultados de las medidas en torno al número máximo de sesiones concurrentes sin fallos relevantes han sido de dos millones de sesiones. Los resultados de la valoración de los mecanismos de gestión-administración han sido muy satisfactorios (97%). Se ha medido una tasa de protección máxima para inundación syn DoS de hasta un millón y medio por segundo. No se han observado derivas significativas ante pruebas de carga-estrés combinadas con ataques sigilosos, no convencionales y estandarizados. Se ha medido un máximo de establecimiento y caída de sesiones en torno a cuarenta mil por segundo en régimen nominal. Se ha constatado la efectividad de los mecanismos de respuesta de filtrado de paquetes, rechazo, filtro de sesión, reinicio de sesión, redirección forense y circuito proxy transparente. Los resultados de los test y baterías de pruebas en relación a la latencia obtenidos han sido con paquetes de hasta 1518 bytes de entre 39 a 50 microsegundos en diferentes regímenes de tráfico validos para aplicaciones de tráfico isócrono VoIP. Los resultados obtenidos de las pruebas side-channels efectuadas han sido aptos, resaltando los análisis de timing con un 93,7%. Los resultados de la medición de las tasas de falsos positivos ha sido satisfactoria, incluso con ataques encubiertos, combinados y señuelos. Objetivo: herramienta de seguridad de red de naturaleza hardware-software catalogada como pasarela de seguridad inline, que integra IPS, firewall y control-limitación de tasas. Protege frente a ataques de inundación DoS/DDoS a nivel de red-aplicación, así como contra contenido malicioso y accesos no autorizados. Se gestiona tanto de forma local como remota vía HTTPS/SSL. Opera bajo la pila de protocolos TCP/IP con interfaces 10/100/1000 Mbps. Incluye cuatro interfaces de administración en switch aislado con asignación flexible. Puntualizaciones/limitaciones: cualquier usuario puede tener múltiples sesiones de gestión simultáneas sobre cualquier servicio de gestión. Se ha constatado un máximo de ocho sesiones simultáneas de gestión para todos los usuarios. El puerto de consola solo soporta una sesión de gestión. Se utilizan niveles muy granulares de amenazas a la hora de clasificar los ataques. El GUI de la unidad hardware es una aplicación Java Web Start que se ejecuta como una aplicación autónoma. El mecanismo de decremento del número de créditos basado en el comportamiento del usuario limita de forma muy satisfactoria la tasa del cliente en régimen de elevada carga y ataques concurrentes. Soporta IEEE 802.1Q. Impacto de su utilización: el motor de respuesta a ataques incluye un sistema que permite, en tiempo real, identificar en el visor de eventos tipos de ataques, atacantes, víctimas, así como tomar medidas rápidas para impedir o mitigar una nueva amenaza. Posibilita, durante ataques prolongados, un acceso adecuado a los servicios. Utiliza reglas basadas en política para limitar, en base a un uso de aplicación aceptable, las tasas de tráfico, tanto a los servidores como a las aplicaciones. Prestaciones/ventajas específicas: presenta un potente interfaz de gestión basado en políticas. Fácil despliegue, implantación y gestión. Presenta una instalación rápida y numerosas opciones de interfaz que le dotan de gran flexibilidad. Integra un OS-hipervisor bien recortado, así como tecnología de procesadores de 64-núcleos Tilera de gran efectividad. Soporta un servicio automatizado de actualizaciones muy satisfactorio. Utiliza un registro de eventos flexible basado en TLNSA. Presenta un consumo de potencia reducido. Documentación: suficiente. Utilización de ficheros.pdf. Estructuración de la herramienta: (i) Unidad hardware DDS5500 modelo (ii) Software DDS5500 v6.50. (iii) Software Top Layer Network Security Analyzer v5.1. (iv) Software TopResponse Update Manager v2.22. Calificación final: herramienta de seguridad de red de naturaleza hardware-software escalable, de rendimiento muy satisfactorio y fiabilidad significativa. Integra con una arquitectura 3DP una protección de red-aplicación eficaz contra ataques de inundación basados en tasa, contenido malicioso y accesos no deseados. Utiliza funcionalidades IPS, firewall y de limitación-control de tasas. Se gestiona de forma local y centralizada vía Web a través de un GUI bien dimensionado que trabaja con políticas. Entre sus potencialidades más relevantes destacan la protección contra ataques a los niveles de red y sobrecarga al nivel de aplicación tipo DoS/DDoS. Permite la posibilidad de configuraciones de cluster de protección y alta disponibilidad con balanceo de carga para tráfico aún de mayores proporciones. Soporta múltiples tipos de despliegues inline. Permite una cuidada generación de informes a medida y predefinidos. El nivel de falsos positivos es significativamente reducido. La protección de servidores web es satisfactoria incluso frente a elevadas cargas de trabajo y niveles de ataques concurrentes. Soporta gestión SNMP de solo lectura. El proceso de actualizaciones es rápido y no genera problemas. Permite el acceso a los servicios durante oleadas continuadas de ataques. Incluye, cambiables en caliente, dos fuentes de alimentación AC y un grupo de ventiladores. El analizador de seguridad proporciona gestión de eventos de seguridad en tiempo real, alertas y análisis forense, así como informes tanto personalizados como predefinidos, posibilitando ayuda al cumplimiento normativo, monitorización en tiempo real, correlación de alertas, así como alertas contextuales; facilita funcionalidades de inteligencia de seguridad global. EQUIPO DE EVALUACIÓN Prof. Dr. Javier Areitio Bertolín Catedrático de la Facultad de Ingeniería. Director del Grupo de Investigación Redes y Sistemas. UNIVERSIDAD DE DEUSTO 118 A B R I L / N º 9 9 / S i C