Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Actividad Controles de Ciberseguridad Iso 27032
Actividad Controles de Ciberseguridad Iso 27032
• Monitoreo: El sistema rastrea y registra las solicitudes entrantes junto con su origen
y tiempo de llegada.
• Establecimiento de límites: Se definen límites de tasa para determinar cuántas
solicitudes puede recibir el sistema en un período de tiempo específico.
• Verificación de solicitudes: Cada vez que una solicitud llega al sistema, se verifica si
cumple con los límites de tasa establecidos.
• Acciones en caso de exceder el límite: Si una solicitud excede el límite de tasa
establecido, se activan medidas de protección. .
• Registros y auditoría: El sistema mantiene registros detallados de las solicitudes,
incluyendo información relevante como dirección IP, usuario, hora de llegada y acción
tomada en caso de exceder los límites..
RELACION CON OTROS SISTEMAS CONTRA CIBERAMENAZAS
• Firewalls de aplicaciones web (WAF): pueden integrarse con WAF para proporcionar
una protección más completa, mientras que la limitación de tasa controla el flujo de
solicitudes, un WAF puede analizar y filtrar las solicitudes en función de reglas de seguridad
adicionales.
• Sistemas de detección y prevención de intrusos (IDS/IPS): Puede trabajar en
conjunto con IDS/IPS para detectar y bloquear actividades maliciosas.
• Sistemas de gestión de identidades y accesos (IAM): : Al combinar la limitación de
tasa de solicitudes con un IAM, se pueden establecer políticas y reglas más granulares para
controlar el acceso a los recursos del sistema.
• Sistemas de monitoreo y análisis de registros: Los sistemas de limitación de tasa
genera registros que pueden ser analizados y monitoreados utilizando herramientas de
monitoreo de seguridad y análisis de registros para identificar patrones de ataque, anomalías
y otras señales de actividades maliciosas.
• Sistemas de protección contra ataques de botnet: Al combinar la limitación de tasa
con sistemas de detección de botnet y listas negras de direcciones IP conocidas de botnet, se
puede reducir la capacidad de los atacantes para utilizar bots y controlarlos remotamente.
CASO REAL DE APLICACIÓN DE UN SISTEMA DE LIMITACIÓN
DE TASA DE SOLICITUDES
Imaginemos el siguiente escenario: una empresa tiene un sitio web que ofrece servicios en línea y recibe una gran cantidad
de tráfico diariamente, debido a la popularidad y el crecimiento del sitio, los atacantes ven una oportunidad para
interrumpir el servicio o comprometer las cuentas de los usuarios mediante ataques de denegación de servicio o fuerza
bruta. Para proteger el servidor web y garantizar la disponibilidad y seguridad del servicio, la empresa decide implementar
un sistema de limitación de tasa de solicitudes para establecer un límite máximo de solicitudes permitidas por dirección IP
en un período de tiempo determinado.
Cuando un usuario legítimo accede al sitio web, el sistema permite que sus solicitudes pasen sin problemas, sin embargo,
si un atacante intenta enviar una gran cantidad de solicitudes en un corto período de tiempo, el sistema detecta esta
actividad como sospechosa y aplica la limitación de tasa. En este caso, el sistema de limitación de tasa de solicitudes
bloqueará o restringirá las solicitudes excesivas del atacante, puede bloquear temporalmente la dirección IP del atacante,
redirigir sus solicitudes a una página de Captcha para verificar la autenticidad del usuario o simplemente retrasar la
respuesta a sus solicitudes.
Con esta medida la empresa logra mitigar los ataques de denegación de servicio y fuerza bruta. El servidor web puede
seguir operando de manera óptima al evitar la saturación de recursos y garantizar una experiencia de usuario fluida y
segura.
"Rate Limiting Techniques" - OWASP: https://owasp.org/www-project-application-security-verification-
standard/4.0/en/controls/C3_2018_Rate_Limiting_Techniques/
"Rate Limiting Best Practices" - Cloudflare: https://developers.cloudflare.com/rate-limiting/best-practices
"API Rate Limiting: How and Why You Should Use It" - RapidAPI Blog: https://rapidapi.com/blog/api-rate-limiting-
how-and-why-you-should-use-it/
"Introduction to Rate Limiting with NGINX and NGINX Plus" - NGINX: https://www.nginx.com/blog/rate-limiting-
nginx/
"Rate Limiting in Practice" - Shopify Engineering Blog: https://shopify.engineering/rate-limiter-in-practice
“¿Cómo aplico un límite de tasa a un URI o parámetro de solicitud específico en AWS WAF?”-
AWS:https://repost.aws/es/knowledge-center/waf-apply-rate-limit
BIBLIOGRAFIA
GRACIAS
CARLOS AUGUSTO
CONTRERAS
JOSE READ LOPEZ
BERNARDO CRISTANCHO
SOLER
JUAN SEBASTIAN
CHIMBACO BONILLA