Ir al contenido principal
Todas las coleccionesHuawei
USG6000F - Activación anti DoS & DDoS
USG6000F - Activación anti DoS & DDoS

En este artículo se describe como realizar la activación del servicio anti-ataques de denegación de servicio.

Abraham García avatar
Escrito por Abraham García
Actualizado hace más de una semana

Un ataque DoS (Denial of Service) busca hacer que un servicio sea inaccesible al inundarlo de solicitudes. Un DDoS (Distributed Denial of Service) hace lo mismo, pero proviene de múltiples fuentes, lo que lo hace más difícil de detener.

Un firewall es útil en estos casos porque filtra el tráfico, bloqueando solicitudes sospechosas y ayudando a proteger la disponibilidad de los servicios ante ataques.

Dispositivos compatibles

USG6510FD
USG6530FD
USG6585F
USG6615F

Activación

  1. Nos dirjimos al menú Policy > Security Protection > Attack Defense > Flood Attack.

    Habilitamos la interfaz que deseemos activar el servicio, en este caso sería el puerto LAN, pero puede ser WAN o LAN, depende que flujo deseemos que vigile

  2. Tenemos la posibilidad de colocar que direcciones IP de destino queremos vigilar su seguridad, en este caso sería para todas las direcciones.

  3. Se recomienda habilitar el aprendizaje de parámetros para que el firewall aprenda dentro de la red las características de los ataques comunes dentro de la red, ya que hay que tener en cuenta que un ataque DoS puede variar entre intervalos de comunicación, tamaños de paquetes, tipos, etc.

    Clic en "Set learning parameters"

    Habilitamos y se recomienda que guarde durante un lapso de 7 días por el espacio de memoria del equipo y se recomienda habilitar la casilla "automatic aplication" para que el firewall tome decisiones y establezca reglas o cambie parámetros y los tipos de ataques habilitados.

  4. Habilitamos los tipos de ataques que deseemos estar protegidos, los valores predeterminados no se recomienda moverlos ya que viene calibrados para lo que es más común dentro de los escenarios. En este escenario habilitamos los siguientes.

    Lista de los tipos de ataques:

    1. SYN Flood: Este ataque implica el envío masivo de paquetes SYN a un servidor, intentando agotar recursos de la red al establecer múltiples conexiones sin completarlas. El servidor queda sobrecargado y no puede manejar solicitudes legítimas.

    2. UDP Flood: En un ataque de este tipo, se envían grandes volúmenes de paquetes UDP a puertos aleatorios en un objetivo. Esto puede hacer que el sistema receptor intente responder a cada paquete, lo que puede agotar su ancho de banda o recursos.

    3. HTTP Flood: Este ataque intenta abrumar un servidor web enviando una gran cantidad de solicitudes HTTP. Es más sofisticado porque simula tráfico legítimo y puede ser difícil de detectar y mitigar.

    4. DNS Request Flood: Este ataque consiste en saturar un servidor DNS enviando muchas solicitudes de resolución de nombres. Puede provocar que el servidor se quede sin recursos y no pueda responder a peticiones legítimas.

    5. ICMP Flood: Utiliza paquetes ICMP (como los de tipo ping) para inundar un objetivo con tráfico. Esto puede consumir ancho de banda y recursos de procesamiento, lo que ralentiza o bloquea el servicio.

    6. NDP Flood: Este tipo de ataque se dirige a redes que utilizan IPv6, enviando un alto volumen de mensajes de Neighbor Discovery Protocol (NDP). Puede impactar la conectividad de la red al abrumar el manejo de estos mensajes.

    7. HTTPS Flood: Similar al HTTP flood, pero utiliza el protocolo HTTPS. Debido a la encriptación, puede ser más difícil de detectar. Este ataque busca consumir recursos del servidor web mediante solicitudes encriptadas.

    8. DNS Response Flood: En este ataque, se inunda a un servidor con respuestas DNS falsas o no solicitadas, lo que puede agotar recursos y hacer que no pueda procesar solicitudes legítimas de servicios DNS.

    9. SIP Flood: Orientado a la infraestructura de VoIP, este ataque envía un alto volumen de solicitudes SIP (Session Initiation Protocol) para saturar un servidor de comunicaciones. Puede interrumpir la capacidad de realizar llamadas legítimas.

  5. Validamos su correcta operación desde el apartado Monitor > Logs > Threat Logs con la aparición de los ataques de recibidos.

FAQ (Preguntas y Respuestas)

¿Como se les conoce a los equipos que realizan ataques DoS internamente?

Se les conoce como Botnets o Zombies

¿Comúnmente de dónde vienen los ataques DoS?

Vienen de un equipo interno infectado denominado como Botnet, pero también existen ataques a puertos y servicios publicados hacia internet.

¿Es necesario tener licencia para su activación?

Si debe tener la licencia

¿Cuál es el objetivo de los ataques DoS?

Saturar un servicio en específico hasta que se congestione y colapse con el objetivo comúnmente por vandalismos o intentar distraer a los administradores de seguridad mientras en tiempo real se lleva a cabo otro ataque más sofisticado de forma oculta.

Artículos Relacionados

Huawei - Firewall - Activar Licencia | Base de Conocimiento

Huawei - Firewall - Filtrado web | Base de Conocimiento

Huawei - Firewall - Zonas en un Firewall Huawei USG6000E | Base de Conocimiento

Huawei - Firewall - Balanceo de cargas. | Base de Conocimiento

Huawei - Firewall - Bloqueo de aplicaciones | Base de Conocimiento

Huawei - Firewall - Cómo configurar PBR | Base de Conocimiento

¿Ha quedado contestada tu pregunta?