Aviso importante: |
Actualizado (09:26 CET+1) 9 de agosto de 2024
En los últimos días, los usuarios han sido objeto de un importante ataque DDoS que ha causado cortes generalizados, incluyendo una interrupción de nueve horas de servicios de Microsoft como Microsoft 365, Intune, Power BI y Azure App Services. Para más detalles, véase (TechRepublic) (BleepingComputer). A continuación se presentan señales y soluciones clave para identificar y abordar este tipo de problemas.
Si ha experimentado los siguientes problemas en los últimos días, es probable que haya sido objeto de un ataque DDoS:
- Alta utilización de CPU / RAM;
- Firewall congelado / no responde;
- Aumento de la carga en la red;
- La carga de tráfico en los puertos de conexión ha aumentado;
Comprensión de la situación
Un ataque DDoS inunda una red, servicio o servidor con tráfico excesivo procedente de múltiples fuentes, haciéndolo inaccesible a los usuarios legítimos. Este reciente ataque pone de manifiesto la necesidad de contar con mecanismos de defensa sólidos y estrategias de respuesta rápida.
Para verificar si ha sido objeto de un ataque DDoS, inicie sesión en la WebGUI de su dispositivo y compruebe los registros e informes. Busque direcciones desconocidas o alguna de la lista siguiente. Si encuentra tales direcciones, confirma un ataque DDoS. Un ejemplo de un ataque DDoS actual está en la imagen de abajo:
Log & Report > Log / Events
dyn_repppp_1- Mirando las reglas de hits de políticas WAN a Internas. El número de aciertos aumentará significativamente.
Tranquilidad y plan de acción
Aunque un ataque DDoS puede causar interrupciones, no es fatal. Sin embargo, es importante ser consciente y proteger de forma proactiva sus dispositivos y su red. He aquí algunas acciones recomendadas:
Si no puede acceder a la interfaz gráfica de usuario (GUI) del dispositivo, intente restaurar el acceso utilizando cualquier método disponible. Esto puede implicar desconectar la WAN o reiniciar el dispositivo, si es posible. Si es necesario volver a conectar la WAN lo antes posible y evitar al mismo tiempo un nuevo bloqueo, siga los siguientes pasos:
Nota: Si tiene acceso a la interfaz Web, vaya directamente a Aplicar política de seguridad
- Desactive todas las reglas de política del puerto TCP 443 de WAN a LAN.
- Vuelva a conectar el puerto WAN si estaba desconectado anteriormente.
- Continúe con el siguiente paso para solucionar el problema.
Recopilaremos las direcciones IP relevantes y las incluiremos en la base de datos del filtro de bloqueo de reputación IP con nuestro proveedor para eliminar todas las posibles fuentes de ataque lo antes posible. Sin embargo, para la protección operativa de su dispositivo, puede bloquear estas direcciones manualmente. La siguiente tabla de direcciones IP se actualizará en consecuencia
Aplicar política de seguridad:
Security Policy > Policy Control
- Aplique el Control de políticas para bloquear direcciones IP de atacantes conocidos. Esto ayudará a prevenir que los paquetes DDoS inunden los dispositivos y evitar problemas de rendimiento o caídas del sistema.
Estas dos URL se utilizan para recopilar direcciones IP identificadas como parte de ataques web recogidos de nuestros datos internos. Se recomienda actualizar estas listas cada hora para mantener las defensas al día. Para automatizar este proceso en su dispositivo, consulte la sección "Activar lista de bloqueo externa" de este artículo:
Nota: La decisión de utilizar la "Lista de Bloqueo Externa" puede ser ineficaz en algunos casos, el bloqueo mediante Política de Seguridad > Control de Políticas puede ser más versátil.
3.38.109.148/32 5.181.31.136/32 38.52.176.0/20 38.56.83.250/32 45.154.205.251/32 45.190.172.0/22 45.190.248.0/22 45.191.184.0/22 45.225.40.137/32 89.238.132.172/32 94.156.250.11/32 199.36.158.100/32 |
110.45.140.73/32 |
173.27.116.193/32 |
Nota: Si deshabilita todas las reglas de política del puerto TCP 443 de WAN a LAN en los pasos anteriores, asegúrese de volver a activarlas .
Habilite DOS / ADP y modifique la configuración de sensibilidad:
[uOS]Security Policy > DoS Prevention > DoS Prevention Policy
[ZLD]Security Policy > ADP
- Habilite la Prevención de DoS con Sensibilidad Baja. Si el ataque es grave, sugerimos aumentar la sensibilidad (cámbiela a media para empezar) y bloquear la duración
Habilitar Lista de Bloqueo Externa
Nota: necesitará una licencia Gold Security Pack para utilizar esta solución.
[Servicios de Seguridad > Lista de Bloqueo Externa > Reputación IP
[ZLD]Servicios de seguridad > Filtro de reputación > Reputación IP > Lista de bloqueos
La URL de origen se obtiene de nuestros datos de backend. Se recomienda actualizar cada hora. (ZLD recomienda actualizar diariamente)
Reflexiones finales
El reciente ataque DDoS subraya la necesidad de mantener vigilantes las prácticas de ciberseguridad. Tomando las medidas recomendadas, puede reducir significativamente el riesgo de nuevas interrupciones y proteger su red de posibles amenazas. Si tiene alguna pregunta o necesita más ayuda, no dude en ponerse en contacto con nuestro equipo de soporte. Manténgase seguro y alerta.
Comentarios
0 comentariosInicie sesión para dejar un comentario.