ataques ddos y trafico no deseado: puntos clave … infosec colombia... · cualquier dispositivo...

FIRST LINE OF DEFENSE

Ataques DDoS y Trafico no deseado: Puntos Clave para una Primera Línea de Defensa

Presentación InfoSecurity

© 2013 Corero www.corero.com

Agenda

Quien y como atacan a las Empresas y Organizaciones hoy en día

Por qué las protecciones actuales no son eficientes Qué funcionalidades clave que debería tener una

Primera Línea de Defensa Demostración de los efectos de un Ataque de

Denegación de Servicio en tiempo real

Quien y como atacan

Metodologías y herramientas de ataque


¿Están los ataques DDoS en incremento?

Según Akamai, los Ataques DDoS han aumentado un 2000% en los últimos 3 años

Histórico de los Ataques DDoS

Herramientas DDoS Hoy

www.supaginaweb.com

Hacker/Crackers

Notoriedad

Ciber Criminales

Beneficios ($)

Ciber-Ejércitos

Politicos

Ciber-Terrorismo

Miedo

Cyber Hacktivismo

Actualidad


Nuevos vectores de Ataque (1/3)

Método de ataque utilizado para ampliar la potencia de los ataques DDoS, adicionalmente a LOIC (Low Orbit Ion Cannon)

• Este nuevo método utiliza un simple Javascript para lanzar el ataque

• Se solicita habitualmente la visita a una pagina Web particular

• La pagina incluye un formulario para ajustar los parámetros pero lanza directamente el ataque una vez que el navegador abre la pagina.

IMPORTANTE: El script arranca en cuanto el usuario visita la pagina Web. No es necesario hacer clic en “FIRE”



• Esta nueva herramienta utiliza un script Perl para lanzar el ataque

• Genera peticiones únicas, evitando que los motores de caché puedan servir el contenido y atacando directamente a la IP del servidor

• Algunas tácticas que emplea:

• Usar “User-Agent” validos y de forma aleatoria

• Pidiendo paginas “no-cache”

• Transformación única de la URL

Herramienta DDoS : HULK (Http Unbearable Load King)



• Establecer una conexión SSL requiere 15x más capacidad de procesamiento en el servidor que en el cliente

• Esta herramienta utiliza el Handshake del SSL para funcionar

• En una sola conexión TCP, se pueden pedir miles de renegociaciones de claves

Herramienta DoS: THC SSL: Renegociación de Certificados SSL


THC SSL : Consumo CPU Cliente Vs Servidor:


¿Ataques desde dispositivos moviles?

¿Se puede lanzar un ataque de Denegación de Servicio desde un celular?

https://play.google.com/store/apps/details?id=genius.mohammad.loic&feature=search_result#?t=W251bGwsMSwxLDEsImdlbml

1cy5tb2hhbW1hZC5sb2ljIl0

¡SI!

Cualquier dispositivo con una dirección IP puede ser utilizado para

lanzar un ataque.

Low Orbit Ion Cannon para Android

¿Dónde se puede descargar LOIC para Android?

https://play.google.com/store/apps/details?id=genius.mohammad.loic&feature=search_result





¿Ataques desde dispositivos moviles?

https://play.google.com/store/apps/details?id=genius.mohammad.loic&feature=search_result#?t=W251bGwsMSwxLDEsImdlbml

1cy5tb2hhbW1hZC5sb2ljIl0

¡SI!

Cualquier dispositivo con una dirección IP puede ser utilizado para

lanzar un ataque.

Low Orbit Ion Cannon para Android

¿Dónde se puede descargar LOIC para Android?






Y también… DDoS As a Service


Y también… DDoS As a Service

Gwapo_s Professional DDOS Service.mp4


La evolución… para hacer frente a las metodologías de defensa

13

Configuración remota

Personalización Parametrizable

¿Preocupado?

Y mi organización.. ¿Debería estar preocupada?


Fuentes de Ataques y Motivaciones

Desde Cualquier

Sitio

Por Cualquier

Motivo

Laptops & PCs


Resultados encuesta Corero/Ponemon

взрывчатые вещества

64% de los bancos fueron atacados por al menos 1 ataque DDoS en los últimos 12 meses

49% de los bancos se vieron afectados por múltiples ataques DDoS en los últimos 12 meses

43% de los encuestados esperan que los ataques aumenten significativamente y el 35% creen que se quedaran en el mismo nivel

Los ataques DDoS y ataques de día cero se consideran como las amenazas más graves para el sector financiero

La insuficiencia de tecnología adecuada y la ausencia de personal cualificado fueron citados como los principales obstáculos para la prevención de ataques


Financial Industry Quote:

• "Las instituciones financieras deben tener un enfoque de seguridad en capas para protegerse de los ataques DDoS de hoy”

• “Si sólo se basan en la nube (para su defensa DDoS) y el ataque DDoS está afectando a toda la zona (y a cientos de clientes finales), las peticiones de su organización puede ser puestas en espera mientras se gestionan los problemas con otros clientes afectados”

• “Tener una defensa especifica en las instalaciones es fundamental para mitigar un ataque DDoS mientras que su proveedor de servicios pueda reaccionar.”

www.pptbackgrounds.net

Bank of America - Merrill Lynch, Chicago office, Senior Vice President, Senior Manager of

Information Security

Ataques a su presencia Web

Categorías de ataques – De mayor a menor volumen


Tipos de ataques y medidas de protección

“Clean Pipe” anti-DDoS Service

“ Cloud” anti-DDoS Service

La cobertura de las soluciones de tipo “Clean Pipe” o “In the Cloud” no esta adecuada para el 80% de los ataques, incluyendo

los reconocimientos y Tácticas de Evasión

NOTA: ¡¡ Los atacantes lo saben también !!

Corero On-Premise DDoS Defense

Network Level DDoS

Attacks

Reflective DDoS

Attacks

Outbound DDoS

Attacks

Application Layer DDoS

Attacks

Specially Crafted Packet Attacks

Pre-Attack Recon

(Scans)

Advanced Evasion

Techniques (AET)

Gartner:

25% de los ataques

DDoS están basados en aplicación


Anatomía de un ataque DDoS exitoso Hoy, los atacantes DDoS preparados operan de la siguiente forma:

1. Footprint (profiling) de su presencia en internet

2. Escaneo de la infraestructura y recursos Web

3. Iniciar ataque volumétrico a nivel de red

4. Chequear el impacto en la Presencia Web

5. Mantener la Inundación – spoofear las Ip’s origen

6. Iniciar ataques “low and slow” en capa de aplicación

7. Iniciar ataques con paquetes manipulados

8. Iniciar ataques reflectivos / amplificados a los sistemas DNS

9. Intentar comprometer (exploit) servidores de back-end

10. Lanzar de forma simultanea tantos tipos de ataques como sea posible

11. No ceder o desaparecer - se mantienen firmes en su ofensiva

Un ataque combinado incrementa las posibilidades de éxito!


Los humanos generan solo el 49% del tráfico en Internet

Motores de búsqueda descubriendo y actualizando información – Genera un 20%

Búsqueda de información competitiva - Genera un 19%

Herramientas de descubrimiento de vulnerabilidades – Genera un 5%

Raspado de pantalla (Screen Scraping) realizando Copia de contenido web, posts automatizados - Genera un 5%

Spammers - Genera un 2%

http://www.incapsula.com/the-incapsula-blog/item/225-what-google-doesnt-show-you-31-of-website-traffic-can-harm-your-business

Limitaciones de las protecciones actuales

Que hacen, y que no hacen…


Firewalls: ¿Su primera línea de defensa frente a ataques DDoS?

“Firewalls don't cut it anymore as the first line of

defense” IT Best Practices Alert

By Linda Musthaler, Network World October 19, 2012

Para un Firewall, todo el trafico HTTP parece legitimo

Los firewalls statefull están limitados en el tamaño de sus tablas de estado

“Visibles” a nivel 3, pueden ser objetivos de ataque

No analizan el comportamiento de los usuarios que se conectan desde Internet, No protegen ante ataques DDoS

¿Porqué los lideres de soluciones de Seguridad proponen ahora soluciones Anti-DDoS que decían proteger con su tecnología hasta hace menos de un año?

Porqué los Firewalls no pueden seguir siendo la primera Línea de Defensa

http://www.networkworld.com/newsletters/techexec/2012/101912bestpractices.html








Defensa DDoS – Más que un Checkbox

Problema:

Muchas soluciones de Seguridad perimetral dicen disponer de protección DDoS

La mayoría tiene una sola configuración = DDoS On/DDoS Off

Recomendación:

Despliega Tecnologías:

– Que tienen granularidad en cuanto a políticas DDoS

– Capaces de defender ante todos los vectores de ataque DDoS

– Capaces de soportar carga cuando están bajo ataque y no verse afectados por el ataque DDoS

– Que inspeccionan todos y cada uno de los paquetes (sin sampling)

– Que ofrecen inspección bidireccional del trafico

– Que brindan servicios 24x7, y expertise de Defensa ante ataques DDoS

¿Cual es la recomendación?

Como defenderse sin morir en el intento


Diez consejos para implementar una

primera línea de defensa en 2013

1. Direcciones IP maliciosas conocidas – Actualizar constantemente las listas de reputación

2. Países no deseados en los que no haces negocios – Actualizar constantemente información de geo localización

3. Botnets con máquinas infectadas y atacantes DDoS – Monitorear el comportamiento de todos los usuarios

4. Abusos de aplicaciones y comportamientos no deseadas – Hacer cumplir las normas de uso

5. Puertos y protocolos innecesarios – Inspección Profunda (DPI) de todos los servicios permitidos

6. Anomalías y violaciones de protocolo – Hacer cumplir las normas RFC y los estándares de la industria

7. Técnicas de evasión avanzadas - Gestionar políticas de fragmentación / ofuscación,…

8. Exploits diseñados para extraer datos – Bloquear ataques dirigidos en el perímetro

9. Intentos de Fuerza bruta a contraseñas – Registrar y alertar de cualquier actividad sospechosa

10. Información sobre el estado de su perímetro – Incrementar su visibilidad

Su Primera línea de defensa tiene que identificar y bloquear:


Las organizaciones necesitan una “nueva” Primera Línea de Defensa


Corero Network Security - Compañia

“Corero es la Primera Línea de Defensa que bloquea Ataques DDoS y trafico no deseado antes de que llegue a sus infraestructuras”

HQ en Massachusetts, EEUU; Oficinas en EMEA y Asia

2000+ clientes, +50 países

Tecnología de protección DDoS patentada

Rendimiento de hasta 10Gbps de protección con dispositivos Inline

Servicios de Seguridad gestionada

Visionario en el Magic Quadrant de Gartner


Tráfico legítimo Tráfico legítimo

Topología típica de red bajo ataque

Ataques DDoS

AETs y Abusos de Protocolo

Usuarios y Servicios no deseados

IPS

SLB

WAF

Exploits a servidores

Tráfico legítimo

Impactos: degradación de servicios, tiempo de inactividad, exposición a amenazas, sobrecarga de la infraestructura, daños a la marca, pérdida de negocios,…

“Usuarios legítimos”

“Atacantes”

Internet

Tierra de nadie


Solución: Corero Primera Línea de Defensa

“Good Users”

“Attackers”

IPS

SLB

WAF

IPS

SLB

WAF “Usuarios legítimos”

Internet’s

Tierra de nadie

“Atacantes”

Atacantes frustrados

Tráfico legítimo Tráfico legítimo Tráfico legítimo

Ataques DDoS

AETs y Abusos de Protocolo

Usuarios y Servicios no deseados

Exploits a servidores

Corero protege su infraestructura IT bloqueando el trafico no deseado


Puntos clave de protección

Restringir el acceso

Limitar la tasa (rate limit)

Ethernet IP TCP HTTP

Validar los protocolos

Incrementar la Visibilidad

1

2

3

4

5

Prevenir intrusiones

“Usuarios legitimos”

Internet’s

No-Man’s Land

“Atacantes”

Advanced Evasions Server Side Exploits

Demostración de Ataques DDoS

Ejemplos basados en LOIC / Android, Slowloris, Inundación SYN


Entorno de demostración

Atacante (BT5) Apache Web Server

10.197.1.69

10.197.1.10

Cliente (Windows 7)

10.197.1.201


Algunas referencias (públicas)

“Corero’s device was the only one that combined the

high levels of performance with the deep packet inspection that made us comfortable

with putting it inline in our network that simply cannot afford a minute being offline.”

Charles Neely Harper, Director, Air Liquide Large Industries US


Próximos Pasos

Evaluación de la Solución

– Permítanos demostrar la efectividad, sencillez y granularidad de nuestras soluciones de protección DDoS/DoS a través de una evaluación en su red

Para solicitar información, una copia de la presentación, escribanos a [email protected]

Siguenos en Twitter - @Corero

Conozca más sobre la Primera Linea de Defensa de Corero

Más información y TEST de Preparación DDoS: www.corero.com/es

Nuestros Partners : http://www.corero.com/en/partners/partner_locator

http://info.corero.com/Dummies_LP_blankTest.html

http://www.corero.com/


Q & A


Muchas Gracias! Contactos:

Alain Karioty [email protected]

Álvaro Villalba [email protected]


Disclaimer

1. BackTrack is a GNU/Linux software distribution that includes a number of security-related software tools. Qualified Corero technical personnel occasionally use BackTrack as part of demonstrations on isolated networks to show the effectiveness of our IPS solution in blocking remote exploit attempts. Corero neither provides, recommends, nor endorses BackTrack, and advises customers to use caution when investigating or using BackTrack or any security-related software tools. Corero would be glad to speak with you regarding our IPS/DDS 5500 solution, and would be pleased to provide a web-based demonstration of its capabilities.

2. Metasploit Framework is an open-source computer security software tool that can be used for developing and executing exploit code on remote computers. Qualified Corero technical personnel occasionally use Metasploit Framework as part of demonstrations on isolated networks to show the effectiveness of our IPS solution in blocking remote exploit attempts. Corero neither provides, recommends, nor endorses Metasploit Framework, and advises customers to use caution when investigating or using Metasploit Framework or any security-related software tools.

3. Low Orbit Ion Cannon (LOIC) is an open-source software testing tool that can be used for initiating network transactions targeting (aka attacking) remote computers. Qualified Corero technical personnel occasionally use LOIC as part of demonstrations on isolated networks to show the effectiveness of our IPS and DDS solutions in blocking DDoS Attacks. Corero neither provides, recommends, nor endorses LOIC, and advises customers to use caution when investigating or using LOIC or any security-related software tools.

ataques ddos y trafico no deseado: puntos clave … infosec colombia... · cualquier dispositivo...

Documents