Comunicados CCN-CERT

Recomendaciones de seguridad en el uso de redes de distribución de contenido, CDN

  • El Informe CCN-CERT BP-10 está disponible en la parte pública del portal.
  • El documento pretende ofrecer una guía de buenas prácticas muy útil, teniendo en cuenta que prácticamente la totalidad de los servicios de CDN ofrecen servicios para mitigar DDoS1.
  • El Informe recoge un “Decálogo Básico de Seguridad” con las principales medidas a adoptar cuando se migra un servicio a un proveedor de CDN, así como una comparativa general de los principales proveedores de estos servicios.

El CCN-CERT, del Centro Criptológico Nacional, ha hecho público el informe BP-10 de Recomendaciones de Seguridad para CDN, con el fin de ofrecer una guía de buenas prácticas en el uso de este tipo de servicios de redes de distribución de contenido. La importancia de este documento es que prácticamente la totalidad de los servicios de CDN ofrecen servicios para mitigar los ataques DDoS. Así, en función del nivel de seguridad que el usuario haya seleccionado, normalmente Bajo, Medio o Alto Ataque, el CDN analizará y filtrará las conexiones, implementando una serie de medidas de seguridad adicionales para realizar filtrado de tráfico.

El documento, disponible en la parte pública del portal del CCN-CERT, ofrece una comparativa general de los principales proveedores de CDN y un recopilatorio con las técnicas de protección de los CDN frente a ataques DDoS (Javascript Challenges, pruebas en paquetes TCP SYN, filtrado de conexiones SSL, redirección 302 HTTP, Cookies HTTP o Captacha).

Asimismo, el Informe agrupa las principales recomendaciones de seguridad en el uso de CDN, como la configuración SSL/TLS en la conexión entre el usuario y el CDN; la configuración para servicios bajo conexión HTTP; activar el uso de HSTS o cambiar la dirección IP original asociada al servidor.

Permitir sólo el acceso al pool de direcciones IP del CDN; proteger contra ataques de fuerza bruta y límite de conexiones; revisar la configuración de los registros DNS o evitar los motores de búsqueda de servicios, son otras de las recomendaciones que recoge el documento.

1 Un ataque distribuido de denegación de servicio, DDoS, es un tipo de ataque cuya finalidad es hacer que un servicio en línea no esté disponible, generalmente interrumpiendo o suspendiendo temporalmente los servicios que presta el servidor.

 

CCN-CERT (01/03/2018)

Acceso al Informe BP-10 de Recomendaciones de Seguridad para CDN

Ministerio de Defensa
CNI
CCN
CCN-CERT