Mitigación para ataque dos para equipos linux.
Páginas: 2 (488 palabras)
Publicado: 1 de diciembre de 2011
Existen dos Aspectos en este ataque.
• El costo de Procesamiento del Handshake, es más elevado en el servidor que en el cliente. La vulnerabilidad explica que el servidor requiere 15 veces máscapacidad de procesamiento que un cliente. Esto significa que con un pc normal, se podría desafiar a un servidor de gama alta (multinúcleo).
• El uso de la Renegociación SSL permite activar ciertosHandshake’s en la misma conexión TCP. Incluso de un Pc (cliente) detrás de una conexión ADSL, se puede atacar un servidor con una enorme cantidad de peticiones de renegociación.
Técnicas de mitigación1. Desactivación de renegociación SSL.
Una de las formas de verificar si realmente la Renegociación ssl esta deshabilitada, es con un cliente Open SSL (versión 0.9.8k) y enviar una R en una línea enblanco.
Ejemplo:
$ openssl s_client -connect www.luffy.cx:443 -tls1
[...]
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supportedCompression: zlib compression
Expansion: zlib compression
[...]
R
RENEGOTIATING
140675659794088:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:591:
Enlace para parche quedeshabilita la renegociación: https://github.com/bumptech/stud/pull/47
2. Limitar la tasa de Handshakes SSL.
Si Define Deshabilitar la renegociación SSL, puedes usar filtrar el tráfico con unaregla de Red para limitar el número de Handshakes en conexiones tcp DESDE UNA SOLA IP.
Sus servidores aun seguirán siendo vulnerables a una Botnet Grande, solo funcionará si hay un puñado de ip´s deorigen.
Script Para limitar los Handshakes SSL : https://github.com/vincentbernat/ssl-dos/blob/master/iptables.sh
3. Aumentar la capacidad de procesamiento en el lado Servidor.
Se refiere a que SSLse incrementa linealmente con el numero de núcleos, es posible escalar este problema agregado mas CPU o mas núcleos en cada una de las CPU. Esta solución puede ser muy costosa pero de todas...
• El costo de Procesamiento del Handshake, es más elevado en el servidor que en el cliente. La vulnerabilidad explica que el servidor requiere 15 veces máscapacidad de procesamiento que un cliente. Esto significa que con un pc normal, se podría desafiar a un servidor de gama alta (multinúcleo).
• El uso de la Renegociación SSL permite activar ciertosHandshake’s en la misma conexión TCP. Incluso de un Pc (cliente) detrás de una conexión ADSL, se puede atacar un servidor con una enorme cantidad de peticiones de renegociación.
Técnicas de mitigación1. Desactivación de renegociación SSL.
Una de las formas de verificar si realmente la Renegociación ssl esta deshabilitada, es con un cliente Open SSL (versión 0.9.8k) y enviar una R en una línea enblanco.
Ejemplo:
$ openssl s_client -connect www.luffy.cx:443 -tls1
[...]
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supportedCompression: zlib compression
Expansion: zlib compression
[...]
R
RENEGOTIATING
140675659794088:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:591:
Enlace para parche quedeshabilita la renegociación: https://github.com/bumptech/stud/pull/47
2. Limitar la tasa de Handshakes SSL.
Si Define Deshabilitar la renegociación SSL, puedes usar filtrar el tráfico con unaregla de Red para limitar el número de Handshakes en conexiones tcp DESDE UNA SOLA IP.
Sus servidores aun seguirán siendo vulnerables a una Botnet Grande, solo funcionará si hay un puñado de ip´s deorigen.
Script Para limitar los Handshakes SSL : https://github.com/vincentbernat/ssl-dos/blob/master/iptables.sh
3. Aumentar la capacidad de procesamiento en el lado Servidor.
Se refiere a que SSLse incrementa linealmente con el numero de núcleos, es posible escalar este problema agregado mas CPU o mas núcleos en cada una de las CPU. Esta solución puede ser muy costosa pero de todas...
Leer documento completo
Regístrate para leer el documento completo.