La Fundación Wikimedia es la organización sin ánimo de lucro que opera Wikipedia y una variedad de proyectos de conocimiento libre como Wikimedia Commons, Wikiquote y Wiktionary. La Fundación está comprometida con el conocimiento libre, y su visión consiste en crear un mundo en el que todas las personas puedan compartir libremente el conocimiento.
Si bien estos proyectos están dirigidos por una comunidad global de voluntarios, el personal de la Fundación está a cargo del sistema tecnológico central de estos proyectos, y promueve iniciativas políticas y de protección que fomentan el conocimiento libre, y apoya a los voluntarios en sus esfuerzos por captar conocimiento a través de idiomas, culturas y continentes.
Reto: detener un ataque DDoS masivo que interrumpió los sitios de Wikimedia en todo el mundo
"Wikimedia quiere convertirse en la infraestructura esencial del ecosistema del conocimiento libre", explica Grant Ingersoll, director técnico de la Fundación Wikimedia. "Queremos que todos tengan acceso a nuestro contenido, que lo usen y lo incorporen en sus vidas, que se enriquezcan y ayuden a mejorar Internet".
Para alcanzar este objetivo, los sitios de Wikimedia deben ser fiables, seguros y rápidos. "Los voluntarios que crean y editan todo nuestro contenido no pueden hacer su trabajo si nuestros sitios no son accesibles, son difíciles de usar o son atacados por bots", afirma Faidon Liambotis, director de ingeniería de fiabilidad del sitio. "Quiero que mi equipo pueda dormir tranquilo por la noche con la confianza de que todos nuestros sitios web están funcionando".
En cuanto a la seguridad, Wikimedia no había sufrido un ataque DDoS grande durante varios años. Lamentablemente, la suerte de la organización cambió el 7 de septiembre de 2019, cuando un ataque masivo impidió el acceso a sus sitios, primero en Europa, África y Oriente Medio, y luego en otras partes del mundo, incluso en Estados Unidos y Asia. "En el pico del ataque, eran cientos de GB/s", recuerda Chris Danis, ingeniero de fiabilidad del sitio.
Durante las primeras horas de la interrupción, el equipo de Wikimedia intentó sin éxito detener los ataques y restablecer la conexión de sus sitios. "Intentamos varias soluciones de mitigación que implicaban reasignar nuestro equilibrio de carga basado en GeoDNS, y tratamos de aplicar algunas medidas técnicas de tráfico cuando este entraba a través de enlaces de emparejamiento", explica Danis.
Solución: Wikimedia restablece rápidamente su conexión con Magic Transit
Cloudflare contactó con Wikimedia y se ofreció a ayudar con Magic Transit, una solución que protege la infraestructura de red. Liambotis recuerda que se pusieron en contacto de inmediato en el momento del ataque, pese a que era viernes por la noche. "Cuando el equipo nos llamó, ya sabían lo que estaba pasando", sostiene.
"Creo que el centro de operaciones de seguridad de Cloudflare y el equipo de inteligencia para detectar amenazas ya conocían la firma del ataque (TCP ACK del puerto 65535) antes de que les pidiéramos ayuda", añade Danis. "Cloudflare nos facilitó estimaciones de ataques que eran muy superiores a lo que nosotros podíamos medir. Una vez que activaron Magic Transit, Cloudflare midió el ataque (en diferentes puntos y unidades) en aproximadamente 300 GB/s de ancho de banda, 105 Mp/s de tráfico TCP ACK y 340 Mp/s de inundaciones UDP".
Liambotis informa que con Magic Transit, su equipo pudo detener el ataque implementando los cambios necesarios en sus políticas de enrutamiento. "Sin embargo, es una generalización", indica. El ataque se activaba y desactivaba, y cambiaba los patrones. Magic Transit resolvió el problema, incluso cuando el ataque evolucionaba".
Resultados y beneficios: Magic Transit es una pieza esencial de la estrategia de protección contra DDoS de Wikimedia
Wikimedia continúa utilizando Magic Transit para mitigar ataques DDoS. Liambotis valora que la herramienta se puede activar y desactivar según sea necesario. "Poder desactivar los anuncios de Cloudflare de nuestro espacio IP nos da opciones en caso de que algo salga mal".
Magic Transit tampoco interfiere con la encriptación de un extremo a otro entre los proyectos de Wikimedia y sus usuarios, incluso cuando está activo. Esto, además de las capacidades técnicas, hizo que Magic Transit fuera la opción idónea para el equipo. "Valoramos la capacidad de respuesta de Cloudflare a nuestras necesidades de seguridad y privacidad. Como organización, somos muy conscientes de las preocupaciones en torno a la privacidad".
Wikimedia también valora que Magic Transit filtre el tráfico en el perímetro de la red en lugar de desviarlo a un centro de filtrado centralizado, tal y como hacen algunos proveedores de soluciones de "filtrado" en la nube. "Otras opciones utilizan una arquitectura más centralizada", afirma Liambotis. "No filtran en el perímetro, sino en algunos centros de filtrado distantes, por lo que no satisficieron nuestros requisitos en cuanto a capacidad y prestaciones. Si tuvieran un problema en uno de sus centros de filtrado y nuestro tráfico se desviara allí, sufriríamos problemas de latencia".
"Los cambios de enrutamiento necesarios para activar un centro de filtrado centralizado afectan tanto a la latencia del usuario como al tiempo de mitigación", añade Danis. "Filtrar globalmente en el perímetro, como hace Magic Transit, elimina la latencia en el tráfico legítimo".
"Desde la perspectiva del riesgo de infraestructura, la amenaza de ataques DDoS es muy elevada en nuestra lista, y Cloudflare Magic Transit es fundamental para nuestra estrategia de mitigación de DDoS", explica Liambotis.
El equipo de Wikimedia sigue impresionado con la capacidad de respuesta de Cloudflare cuando surgen problemas. "Hemos tenido que interactuar con el equipo de Cloudflare en varias ocasiones desde que implementamos Magic Transit, incluso por un problema complejo que implicaba enrutar bucles en algunas partes de la red de Cloudflare", recuerda Danis. "Nos ha impresionado la velocidad de respuesta y su competencia técnica".
"Cloudflare tiene una infraestructura fiable y cuenta con un equipo sumamente competente y con capacidad de reacción. Están muy bien capacitados para desviar incluso el mayor de los ataques", añade Ingersoll.
Cloudflare Magic Transit volvió a poner en línea los centros de datos de Wikimedia después de que un ataque DDoS masivo causara interrupciones periódicas a nivel global.
La inspección del tráfico en busca de amenazas en un punto de presencia de Cloudflare cercano al origen garantiza que el tráfico de Wikimedia sea rápido, incluso durante los ataques DDoS.
“Desde la perspectiva del riesgo de infraestructura, la amenaza de ataques DDoS es muy elevada en nuestra lista, y Cloudflare Magic Transit es fundamental para nuestra estrategia de mitigación de DDoS.”
Faidon Liambotis
Director de ingeniería de confiabilidad del sitio
“Cloudflare cuenta con una infraestructura fiable y con un equipo sumamente competente que reacciona con rapidez. Están muy preparados para bloquear incluso ataques a gran escala.”
Grant Ingersoll
Director técnico