Sí, el enrutamiento de agujeros negros se puede adaptar y personalizar en función de las necesidades de seguridad específicas tanto de las redes pequeñas como de las grandes empresas.
El enrutamiento de agujeros negros (RTBH) activado de forma remota, también conocido como enrutamiento de agujeros negros, es una de las medidas defensivas implementadas por un proveedor de servicios de Internet (ISP) o por los administradores de red para mitigar un ataque distribuido de denegación de servicio (DDoS). El enrutamiento de agujeros negros redirige el tráfico malicioso o no deseado a un "agujero negro" (una interfaz nula como null0) a través del dominio de protocolo de puerta de enlace interior, donde se descarta de forma permanente. Cuando se produce un ataque DDoS, los administradores de red pueden redirigir rápidamente a un agujero negro todo el tráfico que se envía desde una dirección IP de origen específica o a una dirección IP de destino específica. El RTBH se diseñó principalmente para alejar el tráfico de ataque del borde de Internet de la red de área extensa (WAN) de una organización, lo que impide que el DDoS sature los puertos o las conexiones de Internet. La función de RTBH se basa en la IP de destino, por lo que si necesita realizar un filtrado basado en la IP de origen mediante RTBH, tendrá que activar el reenvío de ruta inversa de unidifusión (uRPF). Se debe aplicar a ambos lados de la conexión o "enlace" de tránsito de Internet, y el uRPF tendría que estar habilitado en modo flexible o estricto para realizar un RTBH basado en la IP de origen.
El enrutamiento de agujeros negros del tráfico es una de las muchas medidas defensivas que se utilizan contra el tráfico no deseado, como un ataque DDoS. El enrutamiento de agujeros negros redirige el tráfico a una interfaz nula o de descarte.
¿Qué es un ataque DDoS?
Un ataque DDoS es una acción maliciosa dirigida contra un servidor, un servicio o una red. Los ataques DDoS saturan el objetivo con tráfico, lo que agota sus recursos y su ancho de banda. Como resultado, es posible que el objetivo se ralentice o se bloquee, lo que le impedirá gestionar el tráfico legítimo. Los ataques DDoS los suelen llevar a cabo botnets (una red de ordenadores y dispositivos infectados con malware, que están bajo el control del atacante y se pueden dirigir para inundar de tráfico un objetivo. Como las botnets pueden incluir cientos o miles de dispositivos, a las defensas de seguridad les puede resultar difícil detectar y mitigar los ataques. Algunos de los ataques DDoS más comunes son las inundaciones ICMP, las inundaciones SYN, los ataques de Slowlorisy las Inundaciones HTTP.
¿Cómo funciona el enrutamiento de agujeros negros?
Para bloquear un ataque DDoS con un agujero negro, los administradores configuran los routers para redirigir el tráfico a una interfaz nula, con lo que el tráfico se descarta de forma eficaz. Normalmente, esto se debe a que la red no tiene suficiente capacidad de puertos de Internet para hacer frente al ataque sin poner en peligro el ancho de banda de los servicios de producción.
Los ISP y los administradores de red pueden utilizar varias técnicas de prevención de enrutamiento de agujeros negros para impedir que el tráfico DDoS malicioso llegue a su objetivo. Estos métodos de enrutamiento de IP pueden redirigir el tráfico en función de las direcciones IP de origen o de destino.
- El enrutamiento de agujeros negros estático consiste en configurar manualmente los routers para que rechacen el tráfico procedente de una dirección IP específica o destinado a ella. Con esta técnica de rutas estáticas se bloquea de forma eficaz el tráfico procedente de direcciones IP que se sabe que son maliciosas para que no llegue a los servidores.
- El enrutamiento de agujeros negros BGP es una tecnología de filtrado de paquetes basada en el destino, que utiliza el protocolo de puerta de enlace de frontera (BGP) para "anunciar" o comunicar una ruta de agujero negro para una dirección IP específica a otros routers dentro de la red BGP.
- El filtrado de agujeros negros activado de forma remota, o filtrado RTBH, suele bloquear el tráfico en función de las direcciones IP de destino. El filtrado RTBH también utiliza BGP, pero proporciona un enfoque más controlado y dirigido, lo que permite a los administradores de red mitigar los ataques contra determinados puestos o subredes sin afectar a toda la red.
- El enrutamiento de agujeros negros BGP Flowspec ofrece un enfoque aún más detallado para el filtrado de tráfico. Con esta técnica, los administradores pueden especificar parámetros adicionales que ayuden a dirigir el tráfico malicioso con mayor precisión, al tiempo que permiten que el tráfico de red legítimo llegue a su destino.
- Las listas de bloqueo utilizadas para filtrar el spam también se puede usar para el enrutamiento de agujeros negros. Las listas de bloqueo contienen direcciones IP conocidas por enviar spam o tráfico malicioso. Cuando a un servidor de correo electrónico llega tráfico procedente de una dirección IP de la lista de bloqueo, se descarta automáticamente o se pone en cuarentena para su revisión.
- El filtrado de IP basado en el destino se suele utilizar para descartar el tráfico no deseado de una red. Para ello, se puede utilizar un único router host o "todos" los routers de la red. El RTBH también se puede aplicar a la dirección en la que un paquete atraviesa una red (recepción entrante o transmisión saliente).
¿Cuáles son las ventajas del enrutamiento de agujeros negros?
El enrutamiento de agujeros negros puede ser un medio alternativo para mitigar los ataques DDoS y bloquear otro tipo de tráfico malicioso. Al descartar el tráfico destinado a determinadas direcciones IP, el enrutamiento de agujeros negros puede mejorar el rendimiento de la red y reducir la congestión.
¿Cuáles son los inconvenientes del enrutamiento de agujeros negros?
Dado que el enrutamiento de agujeros negros también puede redirigir el tráfico legítimo, esta técnica de mitigación de DDoS puede hacer que los servicios o las aplicaciones web orientados a Internet no estén disponibles para los usuarios y el tráfico legítimos. Además, el enrutamiento de agujeros negros proporciona muy poca información sobre la naturaleza del tráfico, lo que impide a los equipos de seguridad recabar información sobre su origen o la eficacia de las técnicas de mitigación. Al no haber registro ni visibilidad de las acciones realizadas, los falsos positivos podrían ser un problema que hay que solucionar. Según la magnitud del ataque, es posible que el enrutamiento de agujeros negros afecte al rendimiento de la red para los pares del operador de red que habilite la función RTBH.
¿Es el enrutamiento de agujeros negros una defensa eficaz contra los ataques DDoS?
Si bien el enrutamiento de agujeros negros de DDoS puede redirigir eficazmente el tráfico malicioso y alejarlo de una dirección IP, en realidad esta técnica no constituye una forma eficaz de defensa. Como el enrutamiento de agujeros negros también puede redirigir el tráfico legítimo, podría desconectar uno de los activos objetivo, con lo que básicamente llevaría a cabo la misión del atacante. En función de la infraestructura del ISP, otros clientes podrían experimentar un rendimiento degradado o quedarse también sin conexión. Por este motivo, la mayoría de las organizaciones tratan de adoptar medidas ofensivas contra DDoS más eficaces que no interfieran con el tráfico legítimo ni provoquen tiempos de inactividad.
Preguntas frecuentes
El enrutamiento de agujeros negros es una medida defensiva reactiva que desvía el tráfico malicioso y lo aleja de la red, para evitar que posibles eventos de seguridad DoS o DDoS afecten a los servicios de producción.
A diferencia de las medidas de seguridad tradicionales, que se centran en identificar y bloquear las amenazas, el enrutamiento de agujeros negros redirige el tráfico malicioso a un "agujero negro" virtual, con lo que aísla y neutraliza las amenazas potenciales.
A pesar de no ser la solución definitiva, el enrutamiento de agujeros negros es una de las herramientas de una estrategia integral de ciberseguridad, que proporciona una capa adicional de defensa contra diversas ciberamenazas.
Un posible inconveniente es el riesgo de falsos positivos, es decir, que el tráfico legítimo se identifique y desvíe por error. También preocupa la calidad o la coherencia de la mitigación que se está llevando a cabo debido a la falta de informes y de visibilidad. Para mitigar este riesgo, es fundamental realizar una configuración minuciosa y una supervisión adicional.
Las actualizaciones periódicas son cruciales para garantizar la eficacia del enrutamiento de agujeros negros. Las ciberamenazas evolucionan y mantenerse a la vanguardia requiere una supervisión continua y ajustes en las configuraciones.
Por qué los clientes eligen Akamai
Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.