Provas Discursivas – Segurança da Informação – DDoS

postado em: Provas Discursivas | 1

logo_ticoncurso

O Provas Discursivas é uma iniciativa do TI Concurso para disseminar o conhecimento sobre temas já conhecidos. Acreditamos que isso possa servir de base para a elaboração de seus textos.

Nas próximas semanas, postaremos outros temas.

Bons estudos!!

Segurança da Informação - DDoS

Segundo publicação de relatório de segurança da Akamai para o segundo quadrimestre de 2015, houve um aumento de 100% no número de ataques distribuídos de negação de serviço (DDoS) com carga superior a 100 Gbps em relação ao mesmo período do ano anterior. Com base nesse aumento do número de ataques distribuídos de negação de serviço:

  1. cite apenas duas medidas de segurança que podem ser adotadas por empresas ou organizações para evitar ou minimizar os danos de ataques dessa natureza a seus sistemas de informação;
  2. descreva, do ponto de vista técnico, como cada medida proposta no item a) atuaria para proteger ou atenuar os danos a um sistema de informação na ocorrência de um eventual ataque; e
  3. descreva, também, do ponto de vista técnico, as deficiências ou limitações de cada medida proposta no item a).

RESPOSTA

Para o ataque DDoS não deve ser esperado que exista uma única solução que impeça o ataque completamente. No entanto, há medidas avançadas, tanto técnicas quanto gerenciais, que podem reduzir as oportunidades de eventuais atacantes ou amenizar os danos no caso de uma ocorrência.

Em resumo, as medidas para evitar ataques DDoS consistem usualmente na manutenção de uma infraestrutura composta por camadas diversas, possivelmente distribuídas, de tal forma que camadas fronteiriças comprometidas não afetem camadas internas que mantêm o serviço operante, e evitando a formação de pontos únicos de falha (SPOF – Single Point of Failure). A composição dessa infraestrutura depende do negócio e do nível de interoperatividade exigido por cada organização, mas algumas medidas que vêm sendo praticadas consistem no uso de redes de distribuição de conteúdo (CDN), controle de tráfego, utilizando políticas de roteamento (BGP) e distribuição de carga (DNS).

Dentre as diversas medidas que podem ser citadas, destacam-se:

  • Superestimar a largura de banda e os recursos computacionais (a): Manter uma largura de banda disponível e recursos computacionais superiores às necessidades do serviço ofertado. Embora a escalabilidade da banda e a quantidade de recursos dependa do porte do negócio, de uma forma geral, se o atacante não puder gerar tráfico ou uma carga suficiente para congestionar a largura de banda ou os servidores da empresa, o ataque se torna completamente ineficaz. (b)
    • Deficiências: Essa é a solução mais eficiente, porém a mais custosa, pois nem sempre é possível superestimar a largura de banda ou os recursos computacionais por limitações financeiras ou tecnológicas. Na maioria das situações, é uma solução inviável. (c)
  • Estabelecimento de padrões de tráfego (a): Monitorar o fluxo da rede e determinar padrões do tráfego para produzir filtros de rede. Dessa forma, se um novo padrão de tráfego surgir, ele pode ser filtrado e tratado por servidores específicos (cientes de que aquele tráfego pode se tratar de um ataque), deixando apenas o tráfego dentro dos padrões conhecidos fluírem pela rede. (b)
    • Deficiências: Embora o tráfego de uma rede possa seguir padrões claros e bem estabelecidos, a premissa de que o padrão não pode mudar pode não ser sempre válida. Por isso, com esta solução pode ocorrer falsos negativos. Isto é, durante um eventual ataque, conexões legítimas fora dos padrões estabelecidos (usualmente novos clientes) podem ter seu acesso negado indevidamente. Se isso ocorrer, pode-se dizer que o ataque foi parcialmente efetivo (dado que o serviço ficou indisponível aos clientes) e que a medida de segurança não teve o comportamento desejado. (c)
  • Encaminhar o tráfego inválido para “buracos negros” (a): Considerando que os ataques buscam produzir requisições falsas ao servidor, é possível descartar completamente o tráfego considerado inválido à aplicação com o uso de rotas nulas, chamadas de “buracos negros”. Como os buracos negros têm a função de descartar pacotes sem informar à origem que ele foi descartado, a existência deles dificultaria a ação de possíveis atacantes, visto que eles não teriam como estabelecer ou mensurar a eficácia dos ataques. (b)
    • Deficiências: Eventuais atacantes já estão cientes de que os sistemas corporativos são dotados de mecanismos de proteção e usualmente não esperam que esses sistemas ofereçam informações sobre seu estado. Portanto, embora essa ação dificulte a identificação do sucesso do ataque e eventualmente tenha a capacidade de minimizar sua ocorrência, essa técnica não impede que ele ocorra. (c)
  • Utilização de serviços de distribuição de conteúdo (a): Com o intuito de reduzir a carga de um eventual ataque, é possível contar com serviços especializados de fornecimento de conteúdo (CDN). Tais serviços usualmente reduzem a carga dos servidores corporativos, mantendo a informação estática (imagens, mídias, documentos, etc.) em sua infraestrutura. (b)
    • Deficiências: Essa medida equivale à medida de superestimar a largura de banda e os recursos computacionais. Contar com uma infraestrutura superior a um eventual ataque requer um aporte financeiro que não necessariamente a empresa possa contar. Portanto, pode ser inviável. Limitações de recursos (financeiros e tecnológicos) e da infraestrutura das CDN também devem ser consideradas. (c)
  • Hardening dos sistemas (a): O sistema operacional e as aplicações associadas podem ser configurados para serem mais eficientes no trato de tráfego inútil e, portanto, mais resistentes a ataques de negação de serviço. Garantir que um número razoável de inodes esteja sempre disponível em um sistema Linux ou assegurar que haja um número adequado de threads para manter o serviço, são exemplos de medidas que dificultam que um atacante seja capaz de comprometer um servidor. (b)
    • Deficiências: A ausência de problemas de segurança nos sistemas de informação deveria ser uma premissa, não uma técnica de segurança a ser adotada. Manter servidores livres de falhas de segurança conhecidas não impede que novas sejam exploradas e, muito menos, que um eventual ataque  ocorra. (c)

 

Cursos Online para Concursos

Uma resposta

  1. André Furtado

    Pessoal, seguem alguns links que podem ajudar muito nos estudos sobre este assunto:

    Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)
    http://www.cert.br/docs/whitep

    Negação de Serviço: Ataques e Contramedidas
    http://www.gta.ufrj.br/ftp/gta

    Ataques DoS (Denial of Service) e DDoS (Distributed DoS)
    http://www.infowester.com/ddos

    Abraço e bons estudos.

Deixe uma resposta