260 likes | 394 Views
Solución de Seguridad Administrada del Proveedor de Servicios Servicios de Protección DDoS. Presentación TDM Octubre de 2005. Agenda. Caso Sólido para Protección DDoS Vista General de Protección DDoS Resumen Técnico del Servicio Descripciones Detalladas del Servicio Conclusiones.
E N D
Solución de Seguridad Administrada del Proveedor de ServiciosServicios de Protección DDoS Presentación TDM Octubre de 2005
Agenda • Caso Sólido para Protección DDoS • Vista General de Protección DDoS • Resumen Técnico del Servicio • Descripciones Detalladas del Servicio • Conclusiones
Tendencias Macro Alimentando los Ataques DDoS • La Explosión de Banda Ancha ha resultado en números cada vez mayores de PCs caseras con conexiones a Internet siempre activas inseguras • El crecimiento de Comercio Electrónico ha provocado que la dependencia de Internet sea más crítica que nunca antes • La globalización debida a la explosión de dot coms, la subcontratación y las aplicaciones p2p haaumentado el intercambio de tráfico internacionalen forma significativa • La mayoría delos ataques son lanzados desde ubicaciones multinacionales- muy difíciles de aislar y de tomar acción en contra de los extorsionadores
El Paradigma de Seguridad Está Cambiando • Las amenazas de seguridad son más dañinas para los negocios que nunca antes • Impacto directo sobre la rentabilidad • Pérdida de ingresos debida a tiempos de caídas y daños colaterales • La pérdida de credibilidad produce daños perdurables sobre la reputación del negocio • Daños del "Día Cero" • Los ataques que se propagan velozmente (gusanos y virus) ocurren demasiado rápido para que los productos reactivos los puedan manejar – Se requiere una solución proactiva • Las obligaciones legales requieren efectuar las acciones debidas • Ley de Portabilidad de los Seguros de Salud y de Responsabilidades (HIPAA) • Ley Sarbannes Oxley • Ley Gramm-Leach–Bliley (GLBA) • Ley de Protección de los Datos de la Unión Europea • Las empresas no pueden enfrentar esto solas – ¡es casi imposible! • Muchas de estas amenazas de seguridad pueden ser evitadas en la red del SP • Las empresas deben asociarse con el SP para construir un mecanismo de defensa en capas que haga que su infraestructura de red sea a prueba de balas
Impactos Causados por la Negación del Servicio Conclusiones Clave del Reporte • Los incidentes en los sitios Web han aumentado dramáticamente • Las organizaciones no están reportando pérdidas derivadas de ataques DDoS para evitar "publicidad negativa"
Tendencias Recientes de la Industria acerca de los Ataques DDoS “La extorsión se está convirtiendo en algo más común,” dice Ed Amoroso, director de seguridad de la información de AT&T. "Está ocurriendo de forma suficiente que ya no nos sorprende." La extorsión mediante DDoS está creciendo, Network World, 16/05/05(http://www.networkworld.com/news/2005/051605-ddos-extortion.html) • Los Ataques DDoS están impactando a todos los negocios principales Finanzas, Cuidados de la Salud, Gobierno Federal, Manufactura, Comercio Electrónico, Retail, Temporada de vacaciones, eventos deportivos importantes para los medios, juegos en línea • Los ataques enfocados con demandas específicas de extorsión están aumentando 16% de ataques enfocados con demandas de extorsión, en comparación a 4% el año pasado • Las Demandas de Extorsión cubren desde $10,000 a algunos millones Ataques contra los negocios de todos los tamaños, de todos los segmentos del mercado “En los ultimos ocho meses hemos detectado un aumento de los grupos de atacantes más organizados que están intentando extorsionar dinero de los usuarios,” dice Rob Rigby, director de servicios de seguridad administrados de MCI Inc. La extorsión mediante DDoS está creciendo, Network World, 16/05/05(http://www.networkworld.com/news/2005/051605-ddos-extortion.html)
CE BOTNETS – Facilitando Ataques DDoS Extorsionador • ¡BOTNETs para Rentar! • Un BOTNET está compuesto de computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central • Los BOTNETs permiten todos los tipos de ataques DDOS: Ataques ICMP, Ataques TCP, Ataques UDP y sobrecarga de http • Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades más recientes de los sistemas • Un BOTNET relativamente pequeño con únicamente 1000 zombies puede causar una gran cantidad de daños. • Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer más de 100MBit/s • ¡El tamaño de los ataques está aumentando constantemente! Zombies Ruteador del Borde del ISP Conexión de la Última Milla Instalación del cliente: Servidor/FW/Switch/Ruteador
Impacto de los Ataques DDoS En todas las capas de la red • Aplicaciones • Los ataques aprovechan el uso de TCP/HTTP para abrumar los recursos computacionales • Host/servidores • Los ataques intentan sobrecargar los recursos utilizando ataques de protocolos—Los servidores críticos no responderán a una solicitud normal • Ancho de Banda • Los ataques saturan el ancho de banda de las conexiones de datos IP que limitan o bloquean los flujos legítimos de tráfico • Infraestructura • Los ataques están dirigidos hacia los activos críticos de la red incluyendo ruteadores, servidores DNS/DHCP y otros dispositivos que permiten conexiones a la red • Daños colaterales • Los ataques impactan a los dispositivos que no son blancos originales de los ataques y sobrecargan los dispositivos de cómputo que transportan al ataque DDoS
Amenazas DDoS - Expectativas de las Empresas • Los clientes requieren de un SP con visibilidad a Internet/redes para lograr que el problema DDoS "se disipe" • Los clientes empresariales conocedores pueden detener al ataque en sus sitios, pero el daño habrá ocurrido • Los clientes necesitan que la protección sea automática • – La mitigación en la red y la protección de la última milla son sumamente críticos para la disponibilidad de la red del cliente y para la continuidad del negocio • La protección entrante y saliente es necesaria • DoS saliente y el tráfico de gusanos son amenazas igualmente importantes para la disponibilidad y son fuentes potenciales de responsabilidad legal como lo es el tráfico entrante Las empresas pueden adquirir los servicios de Protección DDoS administrados para mitigar estos ataques antes de que saturen el ancho de banda de la última milla – ¡hoy!
Seguridad de Puntos Extremos Servicio de Protección DDoS • Protege servidores/computadoras de escritorio • Evita el desbordamiento de buffers • Controla la conexión a los puertos • Valida la política de acceso para asegurar cumplimiento de parches/AV • Bloquea al sistema • Detección de anomalías y mitigación • Minimiza los impactos de los ataques DDOS • Escala a los ataques más grandes • Activación en tiempo real para reducir la ventana de vulnerabilidad • Visibilidad del tráfico de la red Firewall/Control de Acceso Conectividad Segura SISTEMA DE DEFENSA CONTRA AMENAZAS • Limita la propagación de gusanos • Controla los intentos de conexión • Límite a el tráfico entrante hacia el servidor (ingress) • Bloque era el tráfico saliente para limitar la infección (egress) • Valida la adherencia a protocolos • Servicios VPN capa 2/3 • Segmenta la red (VLANs privados) • VPN SSL • "Snooping" DHCP • Inspección ARP dinámica • Guardia BPDU por Puerto • Bloqueo de inundación de los puertos IDS/IPS Administración • Detecta los gusanos y su propagación • Identificación de ataques • Mitigación de ataques • Análisis forense • Administración del sistema TDSS • Monitoreo de seguridad unificado • Configuración de dispositivos coordinada Seguridad del Contenido • Seguridad Web • Cuarentena • Filtraje del Puerto 80 • Filtraje URL • Limpieza del contenido almacenado/enviado Sistema de Defensa en Capas en Contra de Amenazas Protección DDoS – Disponible Hoy
Agenda • Caso Sólido para Protección DDoS • Vista General de Protección DDoS • Resumen Técnico del Servicio • Descripciones Detalladas del Servicio • Conclusiones
NOC Tráfico Legitimo + de Ataque a Enfocar Limpieza de Tráfico Inyección Conexión WAN fuera de banda Borde CE Ruteador de Notificación Detector Cisco Servicio Administrado de Protección DDoS para Redes Para Clientes Empresariales y SMB Protección DDoS Administrada de Redes Internet Centro de Limpieza - DC Proceso de Multiverificación (MVP) Ataque DDoS Elementos Funcionales Clave Centro de Limpieza- CA Núcleo del SP • Detección de Amenazas • NetFlow/Arbor Peakflow SP • Detector Cisco Conexión de Última Milla • Mitigación • Cisco Guard Instalación del cliente: Servidor/FW/Switch/Ruteador Cliente Empresarial
Protección DDoS – Servicios AdministradosBeneficios para los Clientes (Impulsando la Categoría de Socio Confiable) • Requiere ser manejado en la nube – Las empresas entienden el cuello de botella de la última milla y el beneficio de la protección upstream • Menor TCO, Máxima protección: La inversión en los servicios de protección es fácilmente justificable al ser comparada con la pérdida de ingresos creada por el tiempo de caída de la red, por la pérdida de credibilidad y por pagos de rescate a los extorsionadores • Mitigación Proactiva en Tiempo Real:La mitigación de los ataques ocurren en tiempo real rápidamente, antes de que la última milla y los recursos del centro de datos sean abrumados • Protege el ancho de banda de la última milla: Permite el aprovisionamiento económico del ancho de banda de la última milla, únicamente para las tasas de tráfico legítimas • Protección en contra de ataques muy amplios:La capacidad de limpieza está basada en “el tamaño máximo de ataque” en lugar del ancho de banda de la conexión de la última milla • Continuidad del Negocio: Mejora el tiempo de operación de la red, lo cual resulta en una mejor experiencia para los clientes y su retención, así como una mejor reputación de la empresa
Ventajas: Protege el ancho de banda de la última milla así como el centro de datos — el ancho de banda típico de la última milla no puede resistir ataques sin una actualización significativa Protección en contra de los ataques más amplios, no está limitada por el tamaño del ancho de banda de la última milla — Los ataques han alcanzado hasta 5 Gbps Permite el aprovisionamiento económico del ancho de banda de la última milla y de la capacidad de los dispositivos del borde únicamente para las tasas legítimas de tráfico (Ninguna sorpresa de cargos por ráfagas de los ataques DDoS) La protección upstream cubre económicamente múltiples centros de datos Aproveche el SOC del proveedor en lugar de intentar mantener altos conocimientos internos acerca de ataques DDoS Servicios DDoS AdministradosBeneficios
Agenda • Caso Sólido para Protección DDoS • Vista General de Protección DDoS • Descripción Técnica del Servicio • Descripciones Detalladas del Servicio • Conclusiones
Proceso de Detección PASOS 1. Los ataques son lanzados por extorsionadores a través de BOTNETS. 2a. Cisco Detector en las instalaciones del cliente puede detectar en forma precisa cuando el cliente está bajo ataque. 2b. Las estadísticas de Netflow desde los Ruteadores Cisco son exportadas a Arbor Peakflow del SP para correlación. Las anomalías son revisadas para detectar un comportamiento inesperados del tráfico. 2c. El Detector o Arbor Peakflow del SP le indica al Guard que un ataque ha comenzado.
Proceso de Mitigación PASOS 3a. Un anuncio BGP es el mecanismo utilizado para desviar el tráfico a Cisco Guard 3b. Todo el tráfico (malicioso y legítimo) dirigido al destino atacado se redirecciona al Guard 4. Cisco Guard descarta las anomalías DDoS y permite únicamente que el tráfico legítimo continúe 5. El tráfico limpiado se inyecta de regreso a la ruta de datos para que llegue a su destino El tráfico es monitoreado continuamente por Netflow y por Cisco Detector
Agenda • Caso Sólido para Protección DDoS • Vista General de Protección DDoS • Descripción Técnica del Servicio • Descripciones Detalladas del Servicio • Conclusiones
Protección DDoS Administrada para las RedesDefinición del Servicio • Las empresas muy grandes con sus propios centros de datos probablemente necesitarán servicios "dedicados / premium" • Empresas de tamaño medio y pequeñas: Las opciones de servicios compartidos probablemente sean más adecuadas para este segmento • Los servicios "compartidos" para las empresas grandes con sus propios centros de datos frecuentemente siguen a las ofertas dedicadas • Definición para los modelos "dedicados" y "compartidos" • Dedicados: • Capacidad comprometida hasta multi-gigabits; aprendizaje de políticas y personalización; soporte para señalización y aprendizaje de equipo CPE • Compartidos • Capacidad compartida hasta un límite; restricciones acerca de la utilización; perfiles seleccionados de default; ninguna integración de equipo CPE
Protección DDoS Administrada para Redes Características Típicas del Servicio • Activación del servicio • Los proveedores soportan activación aprobada manualmente o automática • La mayoría ofrecen monitoreo del backbone utilizando Netflow (ejemplo, Arbor) aunque algunos dependen únicamente en alertas basadas en CPE • La mayoría también soportan, pero no administran, Detector CPE para monitorear y generar alertas • Aceptan activación manual o automática – prefieren BGP del cliente • Algunos planean portal de servicio para el cliente (ejemplo, Arbor SP 3.4 2H05) • Personalización y Aprendizaje: • Típicamente, esto es para un nivel de servicio premium / dedicado • La característica importante Rel 5 (2QCY05) permite que el Detector CPE aprenda y exporte líneas de referencia/políticas al proveedor • Auditorías del servidor NOC ajustan los umbrales globales y los distribuyen • Reportes: • Sistema manual o personalizado utilizando Guard XML reporta la salida • También portales SP en el futuro (ejemplo, Arbor) con monitoreo de Guard
Protección DDoS Administrada para Redes Discusión del SLA • Un SLA típicamente cubre la “tubería” mas no el servicio/aplicaciones • Los ataques que no sean DDoS aún podrán impactar la disponibilidad de los servidores y aplicaciones • Capacidad comprometida de mitigación para el servicio “dedicado” • Capacidad máxima de mitigación y uso total para el servicio “compartido” • Lista especificada de ataques contra los cuales puede proteger • Tiempo de respuesta (desde el momento de la llamada inicial a la activación de mitigación) • Personalización soportada • Equipo CPE / portales soportados • Reportes para el cliente
Agenda • Caso Sólido para Protección DDoS • Vista General de Protección DDoS • Resumen Técnico del Servicio • Descripciones Detalladas del Servicio • Conclusiones
Conclusiones • La economía malhechora llegó para quedarse y está creciendo a un paso alarmante • Los ataques DDoS son reales y le pueden pegar a cualquier empresa en cualquier momento • Los Servicios de Protección DDoS Administrados disponibles en la actualidad, responden a los puntos de dolor del cliente relacionados a la disponibilidad de la red y a la continuidad del negocio • Las opciones flexibles de servicio permiten que los Corporativos mantengan el control