Stopping DDoS Attacks: What your service provider

Transcripción

Ataques DDoS y Trafico no deseado:
Puntos Clave para una Primera Línea de Defensa
InfoSecurity San Jose
18 de Junio de 2013
FIRST LINE OF DEFENSE
Corero Network Security - Compañia
“Corero es la Primera Línea de Defensa que
bloquea Ataques DDoS y trafico no deseado
antes de que llegue a sus infraestructuras”
HQ en Massachusetts, EEUU; Oficinas en
EMEA y Asia
2000+ clientes, +20 países
Más de 15 años de experiencia en
mitigación de amenazas avanzadas como
Ataques DDoS (Red y aplicación),
Exploits Cero Day y ataques dirigidos a
servidores
Algunos mecanismos de protección DDoS
patentados desde 2001
Visionario en el Magic Quadrant de
Gartner
© 2013 Corero
www.corero.com
Y con clientes en Costa Rica…
Centro de Datos, +11 años de experiencia
en adoptar estándares para proveer de un
servicio de calidad a los clientes de
Centro América
Posicionado como primer proveedor de
América Central para alojamiento de
e-commerce y empresas buscando una
disponibilidad del 99,995%
Corero es la Primera Línea de Defensa
de TIER 4 Services. Se emplea para
proteger a todos los clientes alojados en
el datacenter de ataques DDoS y de
trafico no deseado proveniente desde
internet
© 2013 Corero
www.corero.com
Agenda
Por qué las protecciones actuales no son
eficientes
Tipos de ataques y medidas de protección
Qué funcionalidades clave que debería
tener una Primera Línea de Defensa
© 2013 Corero
www.corero.com
Limitaciones de
las protecciones
actuales
Que hacen, y que no
hacen…
Firewalls: ¿Su primera línea de defensa
frente a ataques DDoS?
“Firewalls don't cut it
anymore as the first line of
defense”
IT Best Practices Alert
By Linda Musthaler, Network World
October 19, 2012
Porqué los Firewalls no pueden seguir siendo la
primera Línea de Defensa
Para un Firewall, todo el trafico HTTP parece legitimo
Los firewalls statefull están limitados en el tamaño de sus tablas de estado
“Visibles” a nivel 3, pueden ser objetivos de ataque
No analizan el comportamiento de los usuarios que se conectan desde
Internet, No protegen ante ataques DDoS
© 2013 Corero
www.corero.com
Defensa DDoS – Más que un Checkbox
Problema:
Muchas soluciones de Seguridad perimetral dicen disponer de protección DDoS
La mayoría tiene una sola configuración = DDoS On/DDoS Off
Los sistemas Anti-DDoS actuales tampoco ofrecen flexibilidad en cuanto a
configuraciones de protección
Recomendación:
Despliega Tecnologías:
– Que tienen granularidad en cuanto a políticas DDoS
– Capaces de defender ante todos los vectores de ataque DDoS, en todo
momento, sin cambio de configuración en caso de ataque
– Capaces de soportar carga cuando están bajo ataque y no verse afectados
por un ataque DDoS
– Que inspeccionan todos y cada uno de los paquetes (sin sampling)
– Que ofrecen inspección bidireccional del trafico
© 2013 Corero
www.corero.com
Ataques a su
presencia Web
Categorías de ataques –
De mayor a menor
volumen
Tipos de ataques y medidas de protección
Network
Level
DDoS
Attacks
Reflective
DDoS
Attacks
Outbound
DDoS
Attacks
Application
Layer
DDoS
Attacks
Specially
Crafted
Packet
Attacks
Pre-Attack
Recon
(Scans)
Advanced
Evasion
Techniques
(AET)
Defense Technique
Defense Technique
Defense Technique
Defense Technique
Defense Technique
Defense Technique
Defense Technique
IP Threat-Level
Assessment
Stateful Flow
Awareness
Bi-Directional
Flood Detection
Behavior
Analysis
Protocol
Analysis
Scan
Obfuscation
Advanced
Evasion Detect
Corero’s On-Premise – First Line of Defense
Always ON
“ Cloud” anti-DDoS Service
On Demand
Las soluciones Anti DDoS no son exclusivas
Las organizaciones pueden beneficiarse de ambas tecnologías
para tener una cobertura completa
© 2013 Corero
www.corero.com
Y el tráfico no deseado…
Las organizaciones están experimentando cada vez
mayor cantidad de tráfico no deseado (ataques DDoS,
escaneos, exploits, paquetes malformados, etc).
Este tráfico no deseado tiene dos consecuencias
principales:
– Las peticiones de los clientes legítimos están ralentizadas
por una cantidad cada vez mayor de tráfico no deseado
– Las organizaciones tienen que sobredimensionar sus
infraestructuras TI como Firewalls, balanceadores, sistemas,
etc…
¿De qué cantidad de trafico hablamos..?
© 2013 Corero
www.corero.com
Los humanos generan solo el 49% del tráfico en
Internet
Motores de búsqueda descubriendo y
actualizando información – Genera un 20%
Búsqueda de información competitiva
- Genera un 19%
Herramientas de descubrimiento de
vulnerabilidades – Genera un 5%
Raspado de pantalla (Screen Scraping)
realizando Copia de contenido web,
posts automatizados - Genera un 5%
Spammers - Genera un 2%
© 2013 Corero
www.corero.com
http://www.incapsula.com/the-incapsula-blog/item/225-what-google-doesnt-show-you-31-of-website-traffic-can-harm-your-business
¿Cual es la
recomendación?
Como defenderse sin
morir en el intento
Diez consejos para implementar una primera
línea de defensa en 2013
Los atacantes buscan conseguir su objetivo con cualquier método
de ataque.
Estos 10 consejos están orientados a proporcionarle una
protección integral.
Application
Layer
Attacks
State
Exhaustion
Attacks
DNS
Amplified
Attacks
Advanced
Evasion
Techniques
Specially
Crafted
Packets
Volumetric
Network
Attacks
© 2013 Corero
Pre-Attack
Recon
(Scans)
Malware &
Targeted
Exploits
www.corero.com
Diez consejos para implementar una
primera línea de defensa en 2013
Su Primera línea de defensa tiene que identificar y bloquear:
1. Direcciones IP conocidas como maliciosas :
Disponer y actualizar en tiempo real listas de
reputación – Botnets, IP’s anónimas, IP’s
participando en ataques DDoS, etc…
© 2013 Corero
www.corero.com
2. Países no deseados en los que no haces
negocios:
Disponer y actualizar constantemente
información de geo localización aplicando
políticas granulares (no solo autorizar o
bloquear países)
© 2013 Corero
www.corero.com
3. Botnets con máquinas infectadas y atacantes
DDoS:
Monitorear el comportamiento de todos los
usuarios, tanto en la red interna como desde
Internet (protección bidireccional en todo
momento)
© 2013 Corero
www.corero.com
4. Abusos de aplicaciones y comportamientos
no deseados:
Garantizar el uso correcto de las
aplicaciones bloqueando en tiempo real
aquellas conexiones cuyo comportamiento
sea anómalo o malicioso
© 2013 Corero
www.corero.com
5. Puertos y protocolos innecesarios:
Inspección Profunda bidireccional de todo el
trafico entrante y saliente, bloqueando los
puertos/servicios no permitidos
© 2013 Corero
www.corero.com
6. Anomalías y violaciones de protocolo:
Hacer cumplir las normas y RFCs así como
los estándares de la industria, bloqueando el
trafico que las incumpla
© 2013 Corero
www.corero.com
7. Técnicas de evasión avanzadas:
Proteger ante ataques basados en tácticas
de evasión incluyendo fragmentación /
ofuscación,…
© 2013 Corero
www.corero.com
8. Exploits diseñados para dañar su visibilidad
en internet:
Bloquear ataques dirigidos a sistemas
críticos basados en explotación de
vulnerabilidades en los servidores
© 2013 Corero
www.corero.com
9. Intentos de Fuerza bruta a contraseñas:
Registrar y alertar de cualquier actividad
sospechosa en sistemas que requieren
autenticación
© 2013 Corero
www.corero.com
10.Información sobre el trafico en su perímetro:
Ser capaz de identificar que trafico está
atravesando su sistemas y disponer de
información completa sobre el trafico
bloqueado en tiempo real
© 2013 Corero
www.corero.com
Las
organizaciones
necesitan una
“nueva” Primera
Línea de Defensa
Topología típica de red bajo ataque
Internet
Tierra de nadie
Botnets
Usuarios y Servicios no deseados
IPS
“Atacantes”
Ataques DDoS
SLB
“Usuarios legítimos”
AETs y Abusos de Protocolo
WAF
Exploits a servidores
Tráfico legítimo
Tráfico legítimo
Tráfico legítimo
Impactos: degradación de servicios, tiempo de inactividad, exposición a amenazas,
sobrecarga de la infraestructura, daños a la marca, pérdida de negocios,…
© 2013 Corero
www.corero.com
Solución: Corero Primera Línea de Defensa
Internet’s
Tierra de nadie
Botnets
Usuarios y Servicios no deseados
“Atacantes”
Atacantes
frustrados
Ataques DDoS
SLB
“Attackers”
“Usuarios legítimos”
IPS
AETs y Abusos de Protocolo
WAF
Exploits a servidores
“Good Users”
Tráfico legítimo
Tráfico legítimo
Tráfico legítimo
Corero protege su infraestructura TI bloqueando el trafico no deseado
© 2013 Corero
www.corero.com
Corero’s DDoS Defense System (DDS)
Trafico no deseado
Puntos Clave de Protección
Usuarios y
Servicios no
deseados
Bloquea direcciones IP maliciosas y ciertas zonas geográficas
Autoriza solo puertos y servicios deseados
Autorizar solo el trafico ESPERADO
Ataques
DDoS en capa
de Aplicación
Evalúa la CANTIDAD de trafico
Violaciones
de Protocolo
y AETs
Asegura que el trafico sea CORRECTO
Ataques
dirigidos a
Servidores
Analiza INTEGRIDAD del trafico
Limita peticiones y conexiones excesivas
Detiene los abusos y violaciones de protocolo (RFC)
Previene AETs (Tácticas de Evasión Avanzadas)
Inspeccione tráfico y bloquea intrusiones, desbordamientos de
búfer, inyecciones de código y exploits
Proporciona VISIBILIDAD sobre el trafico no deseado
¿Quién está atacando, a qué velocidad, y con qué vectores de ataque?
© 2013 Corero
www.corero.com
Restringuir
el Acceso
Limitar
la Tasa
Validar
Protocolo
Prevenir
Intrusiones
Incrementar
visibilidad
Próximos Pasos
Podemos ayudarles a Proteger y Garantizar
la disponibilidad de sus Redes y Servicios
Evaluación de la Solución
– Permítanos demostrar la efectividad y sencillez de nuestras soluciones de
protección DDoS/DoS a través de una evaluación, desplegando un
dispositivo y un modulo de reporting en su infraestructura.
Para solicitar información, o un piloto, escribe a [email protected] o solicita
un equipo a Network1
Más información : www.corero.com y www.corero.com/es
Nuestros Partners: http://www.corero.com/en/partners/partner_locator
© 2013 Corero
www.corero.com
Contactos:
Alain Karioty
[email protected]
Álvaro Villalba Poncet
[email protected]
Muchas Gracias!
Enrique Santiago
[email protected]

Stopping DDoS Attacks: What your service provider

Transcripción

Documentos relacionados

Seguridad en los datacenters

SEGURIDAD EN LA COMUNICACION IPSec AH ESP Firewalls