¿Cómo prevenir ataques de DoS que afectan a tu negocio?

Noviembre 2012

Información General

GR

UP

O SM

AR

TEKH

Jazmin Ortiz López Licenciatura en Ciencias de la Informática • 4 años de experiencia en soporte e

implementación de soluciones de seguridad a nivel end-point, gateway y de redes.

• Marcas: Trend Micro, Juniper, Palo Alto, Fatpipe • Implementación de metodologías de servicios

(MOF, COBIT, ITIL) de soporte técnico e implementación- Gobierno de TI.

• Responsable del área de Service Desk • Actualmente Consultor técnico en el área de

Seguridad en Networking

Agenda

1. ¿Qué es DoS?

2. Tipos de ataques

3. ¿Qué es DDoS?

4. Motivaciones/Razones

5. Casos

6. Impacto

7. ¿Cómo prevenir y mitigar este

tipo de ataques? Estrategias

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

¿Qué es DoS (Denial of Service)?

Vulnerabilidades y

configuraciones mal realizadas

Sobrecarga de recursos

Tipos de Ataques

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

Inundaciones TCP y UDP

Cliente

Servidor

Tabla de sesiones

SYN

¿Quién?¿Hacia dónde?¿Qué servicio?...

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

SYN,

ACK ACK

Conexión establecida

Ejemplo: SYN Flood

Cliente

Servidor

Tabla de sesiones

SYN SYN,

ACK

Overflow- Denegación de servicio

SYN SYN SYN SYN

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu n

eg

ocio

?

Fragmentación IP Ataque de DNS (Amplificación Reflexiva)

Frag 1

MTU=512 B

Posición Longitud

Frag 1 0 512

Frag 2 500 512

.. Frag N

10

100

Paquete= 1024 bytes

Frag 1

Frag 2

Frag 2

Buffer-overun Denegación de

servicio

IP src= 10.10.10.2

IP = 10.10.10.2

10 Kb

10 Kb

10 Kb

10 Kb

40 Kb 40 Kb

Tipo de ataque DoS: Capa Aplicación

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

? Tráfico Legítimo

3-way handshake

completado

• Pregunta

• ¿Cómo detectas tráfico generado por botnets?

• a) Antivirus

• b) IPS

• c) Correlación de eventos

• d) Filtrado de Contenido

• e) Firewall

DDoS: ¿Cómo participan las botnets en este tipo de ataques?

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

Motivaciones y Razones

Motivaciones DoS

Extorsión criminal

Conflicto ideológico/

Político

Ventaja competitiva

Vandalismo

Protesta electrónica

Experimen-tal/ Reto

32%

32%

10%

7%

6%

4%

4%

4% 4% 3% 3%

1%

1%

1%

1% 1%

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

Reportes Q2-21012

*Prolexic Quaterly Global DDoS Attack Report- Q2 2012

Capa 3 y 4 (Infraestructura) Capa 7 (Aplicación)

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

Casos

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

• 2011- Sony PlayStation

•1998-2000: Grupo Electronic Disturbance Teather – EDT (Apoyo a Zapatistas).

•2011- Actualidad: Anonymous (Ataques a SEDENA, SSP, IFE, SEGOB, etc), medios Televisa, MVS, etc…

•11 de octubre: Regions Financial, Capital One, SunTrust

• Octubre 2012- HSBC

• Diciembre 2010: Amazon, Paypal, MasterCard, Visa.

E-Commerce Servicios

Financieros

Juegos y apuestas en

línea Gobierno

Enero 2012- SOPA: Departamento de Justicia de USA,

FBI, La Casa Blanca, Universal Music, Broadcast Music

Classification

12/3/2012

1

5

¿Y esto pasa en México?

• Pregunta

• ¿Qué mecanismos tienes para responder

ante un incidente?

• a) Firewall+IPS

• b) Snifer

• c) Transfiriendo el riesgo al ISP

• d) Soluciones especializadas.

Impacto

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

• Perdida de ingresos.

• Violaciones en Contratos- SLA’s

• Costos por litigios.

• Costos origen de la contingencia

• Costos en recuperación de desastre.

• Gastos con ISP´s alternos en la contingencia.

• Fluctuaciones Bursátiles

• Baja productividad.

• Daño y/o prestigio a una marca.

• Costos Humanos.

• Morales.

• Perdida en la credibilidad.

• Daños a terceros.

¿Cómo prevenir y mitigar este tipo de ataques?

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

Identificación de redes bot

Inspección de

paquetes

Detección por

comportamiento

anómalo

• Autenticación

TCP/SYN

• TCP SYN Cookie

• Detección por

firmas

Tráfico

“legítimo”

Identificación de tráfico

desconocido

Detección de intentos de

explotación de

vulnerabilidades sobre

aplicaciones Clean-pipe ISP

Detección de ataques a

nivel aplicativo

Perfilar comportamiento normal/ Aplicación de reglas de protección

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

? Establecer periodo de

aprendizaje:

1. Considerar los periodos o temporadas de negocio, para ajustar valores

2. Considerar crecimiento del negocio, verificarlo cada trimestre como mínimo.

Estrategias

Equipo de respuesta

• Detectar y entender cuando se presenta un incidente

Plan de respuesta

• Preparación

• BCP

• COOP

Protección de servidores

DNS

• Internos y externos

Visibilidad y monitoreo de

eventos

• Vigilar lo que pasa en la red

Contramedidas

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

Conclusiones

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

? • Las amenazas han evolucionado:

Persistencia, nuevas técnicas de

evasión- MOTIVACIONES

• Cualquiera puede ser blanco de

ataque, o utilizado para ejecutar

ataque

Procesos

Personas

Tecnología Lo que no se mide no se puede gestionar, y

por lo tanto ni controlar ni mejorar

Preguntas

* Correo electrónico:

jortiz@smartekh.com

www.smartekh.com

¿C

óm

o p

reven

ir ata

qu

es d

e D

oS

qu

e a

fecta

n a

tu

neg

ocio

?

ww

w.s

marte

kh.c

om

Tu seguridad informática es nuestra pasión