Exposición de los puntos finales de Cloud-VPN e IKEv2 a ataques DoS
Las soluciones VPN basadas en la nube suelen exponer los endpoints IKEv2 (Internet Key Exchange v2) a la red pública de Internet para facilitar el establecimiento de túneles escalables y bajo demanda para los clientes. Si bien esto permite flexibilidad y una amplia accesibilidad, también aumenta significativamente la superficie de ataque. Estos endpoints accesibles públicamente se convierten en objetivos atractivos para ataques de denegación de servicio (DoS), donde los adversarios pueden inundar los servidores de intercambio de claves con un gran volumen de tráfico IKE.
Además de la sobrecarga computacional y de memoria que implica gestionar un gran número de iniciaciones de sesión, estos ataques pueden sobrecargar gravemente el sistema subyacente debido a tasas extremas de E/S de paquetes, incluso antes de alcanzar la capa de aplicación. El efecto combinado de la saturación de E/S y el procesamiento a nivel de protocolo puede provocar el agotamiento de recursos, impidiendo así que los usuarios legítimos establezcan nuevos túneles o mantengan los existentes, lo que en última instancia perjudica la disponibilidad y la fiabilidad del servicio VPN.
Implementación de un mecanismo de limitación de la capa de red
Para mejorar la resiliencia de nuestra infraestructura contra ataques DoS dirigidos a IKE, implementamos un mecanismo de limitación generalizado en la capa de red para limitar la tasa de inicios de sesiones IKE por IP de origen, sin afectar el tráfico IKE asociado a los túneles establecidos. Este enfoque reduce la carga de procesamiento en los servidores IKE al filtrar proactivamente el tráfico excesivo antes de que llegue al servidor IKE. Paralelamente, implementamos un sistema de seguimiento para identificar las IP de origen que presentan patrones consistentes con el comportamiento de inundación de IKE, lo que permite una respuesta rápida a las amenazas emergentes. Esta mitigación a nivel de red está diseñada para funcionar en conjunto con la protección complementaria en la capa de aplicación, proporcionando una estrategia de defensa por capas contra vectores de ataque tanto volumétricos como específicos del protocolo.
La implementación se realizó en nuestro marco de plano de datos (basado en FD.io/VPP – Procesador de paquetes vectoriales ) introduciendo un nuevo nodo en la ruta de procesamiento de paquetes para paquetes IKE.
Este nodo personalizado aprovecha el mecanismo de limitación genérico disponible en VPP, con un enfoque equilibrado entre la eficiencia de la memoria y la precisión: las decisiones de limitación se toman inspeccionando las direcciones IP de origen de los paquetes IKEv2 entrantes, procesándolos en una tabla hash de tamaño fijo y verificando si se ha producido una colisión con direcciones IP vistas anteriormente durante el intervalo de tiempo de limitación actual.
Minimizar el impacto en los usuarios legítimos
Pueden producirse falsos positivos ocasionales o una limitación excesiva no intencionada cuando distintas direcciones IP de origen colisionan dentro del mismo contenedor hash durante un intervalo de limitación determinado. Esta situación puede surgir debido a colisiones hash en la estructura de datos de limitación utilizada para la velocidad. Sin embargo, el impacto práctico es mínimo en el contexto de IKEv2 , ya que el protocolo es inherentemente resistente a fallos transitorios a través de sus mecanismos de retransmisión integrados. Además, la lógica de limitación incorpora la realeatorización periódica de la semilla de la tabla hash al final de cada intervalo. Esta regeneración de semillas garantiza que la probabilidad de colisiones repetidas entre el mismo conjunto de IP de origen a lo largo de intervalos consecutivos se mantenga estadísticamente baja, lo que reduce aún más la probabilidad de anomalías sistemáticas de limitación.
Proporcionar observabilidad sobre iniciadores de alta tasa con un enfoque probabilístico
Para complementar el mecanismo de limitación de IKE, implementamos un mecanismo de observabilidad que conserva metadatos en las IP de origen limitadas. Esto proporciona visibilidad crítica de los iniciadores de alta tasa y facilita la mitigación de flujos de trabajo posteriores. Emplea una política de desalojo aleatorio de uso menos frecuente (LFU) , seleccionada específicamente por su equilibrio entre precisión y eficiencia computacional en condiciones adversas o de alta carga, como ataques DoS.
En lugar de mantener una lista de frecuencias completamente ordenada, lo cual resultaría costoso en un plano de datos de alto rendimiento, LFU 2-Random aproxima el comportamiento de LFU muestreando aleatoriamente dos entradas de la caché al momento del desalojo y eliminando la que presenta la menor frecuencia de acceso. Este enfoque probabilístico garantiza una sobrecarga mínima de memoria y procesamiento, así como una adaptación más rápida a los cambios en los patrones de tráfico de denegación de servicio (DoS). Esto garantiza que los atacantes con una alta frecuencia histórica no permanezcan en la caché tras un período de inactividad determinado, lo que afectaría la observabilidad de los atacantes activos más recientes (véase la Figura 6). Los datos recopilados se utilizan posteriormente para generar respuestas adicionales durante escenarios de inundación de IKE, como la inclusión dinámica de IP maliciosas en listas negras y la identificación de usuarios legítimos con posibles configuraciones incorrectas que generen un tráfico IKE excesivo.
Notas de cierre
Animamos a servicios VPN basados en la nube similares o a aquellos que exponen endpoints de servidores IKEv2 con conexión a internet a que investiguen proactivamente mecanismos de mitigación similares que se adapten a su arquitectura. Esto aumentaría la resiliencia de los sistemas ante ataques de inundación de IKE con un bajo coste computacional, además de ofrecer visibilidad crítica sobre los iniciadores activos de alta velocidad para tomar medidas adicionales.
CISCO Blog. J. T. y H. R. A-S. Traducido al español
