ataques ddos y trafico no deseado: puntos clave … infosec colombia... · cualquier dispositivo...
Post on 04-Oct-2018
219 Views
Preview:
TRANSCRIPT
FIRST LINE OF DEFENSE
Ataques DDoS y Trafico no deseado: Puntos Clave para una Primera Línea de Defensa
Presentación InfoSecurity
© 2013 Corero www.corero.com
Agenda
Quien y como atacan a las Empresas y Organizaciones hoy en día
Por qué las protecciones actuales no son eficientes Qué funcionalidades clave que debería tener una
Primera Línea de Defensa Demostración de los efectos de un Ataque de
Denegación de Servicio en tiempo real
Quien y como atacan
Metodologías y herramientas de ataque
© 2013 Corero www.corero.com
¿Están los ataques DDoS en incremento?
Según Akamai, los Ataques DDoS han aumentado un 2000% en los últimos 3 años
Histórico de los Ataques DDoS
Herramientas DDoS Hoy
www.supaginaweb.com
Hacker/Crackers
Notoriedad
Ciber Criminales
Beneficios ($)
Ciber-Ejércitos
Politicos
Ciber-Terrorismo
Miedo
Cyber Hacktivismo
Actualidad
© 2013 Corero www.corero.com
Nuevos vectores de Ataque (1/3)
Método de ataque utilizado para ampliar la potencia de los ataques DDoS, adicionalmente a LOIC (Low Orbit Ion Cannon)
• Este nuevo método utiliza un simple Javascript para lanzar el ataque
• Se solicita habitualmente la visita a una pagina Web particular
• La pagina incluye un formulario para ajustar los parámetros pero lanza directamente el ataque una vez que el navegador abre la pagina.
IMPORTANTE: El script arranca en cuanto el usuario visita la pagina Web. No es necesario hacer clic en “FIRE”
© 2013 Corero www.corero.com
Nuevos vectores de Ataque (2/3)
• Esta nueva herramienta utiliza un script Perl para lanzar el ataque
• Genera peticiones únicas, evitando que los motores de caché puedan servir el contenido y atacando directamente a la IP del servidor
• Algunas tácticas que emplea:
• Usar “User-Agent” validos y de forma aleatoria
• Pidiendo paginas “no-cache”
• Transformación única de la URL
Herramienta DDoS : HULK (Http Unbearable Load King)
© 2013 Corero www.corero.com
Nuevos vectores de Ataque (3/3)
• Establecer una conexión SSL requiere 15x más capacidad de procesamiento en el servidor que en el cliente
• Esta herramienta utiliza el Handshake del SSL para funcionar
• En una sola conexión TCP, se pueden pedir miles de renegociaciones de claves
Herramienta DoS: THC SSL: Renegociación de Certificados SSL
© 2013 Corero www.corero.com
THC SSL : Consumo CPU Cliente Vs Servidor:
© 2013 Corero www.corero.com
¿Ataques desde dispositivos moviles?
¿Se puede lanzar un ataque de Denegación de Servicio desde un celular?
https://play.google.com/store/apps/details?id=genius.mohammad.loic&feature=search_result#?t=W251bGwsMSwxLDEsImdlbml
1cy5tb2hhbW1hZC5sb2ljIl0
¡SI!
Cualquier dispositivo con una dirección IP puede ser utilizado para
lanzar un ataque.
Low Orbit Ion Cannon para Android
¿Dónde se puede descargar LOIC para Android?
© 2013 Corero www.corero.com
¿Ataques desde dispositivos moviles?
https://play.google.com/store/apps/details?id=genius.mohammad.loic&feature=search_result#?t=W251bGwsMSwxLDEsImdlbml
1cy5tb2hhbW1hZC5sb2ljIl0
¡SI!
Cualquier dispositivo con una dirección IP puede ser utilizado para
lanzar un ataque.
Low Orbit Ion Cannon para Android
¿Dónde se puede descargar LOIC para Android?
© 2013 Corero www.corero.com
Y también… DDoS As a Service
© 2013 Corero www.corero.com
La evolución… para hacer frente a las metodologías de defensa
13
Configuración remota
Personalización Parametrizable
¿Preocupado?
Y mi organización.. ¿Debería estar preocupada?
© 2013 Corero www.corero.com
Fuentes de Ataques y Motivaciones
Desde Cualquier
Sitio
Por Cualquier
Motivo
Laptops & PCs
© 2013 Corero www.corero.com
Resultados encuesta Corero/Ponemon
взрывчатые вещества
64% de los bancos fueron atacados por al menos 1 ataque DDoS en los últimos 12 meses
49% de los bancos se vieron afectados por múltiples ataques DDoS en los últimos 12 meses
43% de los encuestados esperan que los ataques aumenten significativamente y el 35% creen que se quedaran en el mismo nivel
Los ataques DDoS y ataques de día cero se consideran como las amenazas más graves para el sector financiero
La insuficiencia de tecnología adecuada y la ausencia de personal cualificado fueron citados como los principales obstáculos para la prevención de ataques
© 2013 Corero www.corero.com
Financial Industry Quote:
• "Las instituciones financieras deben tener un enfoque de seguridad en capas para protegerse de los ataques DDoS de hoy”
• “Si sólo se basan en la nube (para su defensa DDoS) y el ataque DDoS está afectando a toda la zona (y a cientos de clientes finales), las peticiones de su organización puede ser puestas en espera mientras se gestionan los problemas con otros clientes afectados”
• “Tener una defensa especifica en las instalaciones es fundamental para mitigar un ataque DDoS mientras que su proveedor de servicios pueda reaccionar.”
www.pptbackgrounds.net
Bank of America - Merrill Lynch, Chicago office, Senior Vice President, Senior Manager of
Information Security
Ataques a su presencia Web
Categorías de ataques – De mayor a menor volumen
© 2013 Corero www.corero.com
Tipos de ataques y medidas de protección
“Clean Pipe” anti-DDoS Service
“ Cloud” anti-DDoS Service
La cobertura de las soluciones de tipo “Clean Pipe” o “In the Cloud” no esta adecuada para el 80% de los ataques, incluyendo
los reconocimientos y Tácticas de Evasión
NOTA: ¡¡ Los atacantes lo saben también !!
Corero On-Premise DDoS Defense
Network Level DDoS
Attacks
Reflective DDoS
Attacks
Outbound DDoS
Attacks
Application Layer DDoS
Attacks
Specially Crafted Packet Attacks
Pre-Attack Recon
(Scans)
Advanced Evasion
Techniques (AET)
Gartner:
25% de los ataques
DDoS están basados en aplicación
© 2013 Corero www.corero.com
Anatomía de un ataque DDoS exitoso Hoy, los atacantes DDoS preparados operan de la siguiente forma:
1. Footprint (profiling) de su presencia en internet
2. Escaneo de la infraestructura y recursos Web
3. Iniciar ataque volumétrico a nivel de red
4. Chequear el impacto en la Presencia Web
5. Mantener la Inundación – spoofear las Ip’s origen
6. Iniciar ataques “low and slow” en capa de aplicación
7. Iniciar ataques con paquetes manipulados
8. Iniciar ataques reflectivos / amplificados a los sistemas DNS
9. Intentar comprometer (exploit) servidores de back-end
10. Lanzar de forma simultanea tantos tipos de ataques como sea posible
11. No ceder o desaparecer - se mantienen firmes en su ofensiva
Un ataque combinado incrementa las posibilidades de éxito!
© 2013 Corero www.corero.com
Los humanos generan solo el 49% del tráfico en Internet
Motores de búsqueda descubriendo y actualizando información – Genera un 20%
Búsqueda de información competitiva - Genera un 19%
Herramientas de descubrimiento de vulnerabilidades – Genera un 5%
Raspado de pantalla (Screen Scraping) realizando Copia de contenido web, posts automatizados - Genera un 5%
Spammers - Genera un 2%
http://www.incapsula.com/the-incapsula-blog/item/225-what-google-doesnt-show-you-31-of-website-traffic-can-harm-your-business
Limitaciones de las protecciones actuales
Que hacen, y que no hacen…
© 2013 Corero www.corero.com
Firewalls: ¿Su primera línea de defensa frente a ataques DDoS?
“Firewalls don't cut it anymore as the first line of
defense” IT Best Practices Alert
By Linda Musthaler, Network World October 19, 2012
Para un Firewall, todo el trafico HTTP parece legitimo
Los firewalls statefull están limitados en el tamaño de sus tablas de estado
“Visibles” a nivel 3, pueden ser objetivos de ataque
No analizan el comportamiento de los usuarios que se conectan desde Internet, No protegen ante ataques DDoS
¿Porqué los lideres de soluciones de Seguridad proponen ahora soluciones Anti-DDoS que decían proteger con su tecnología hasta hace menos de un año?
Porqué los Firewalls no pueden seguir siendo la primera Línea de Defensa
© 2013 Corero www.corero.com
Defensa DDoS – Más que un Checkbox
Problema:
Muchas soluciones de Seguridad perimetral dicen disponer de protección DDoS
La mayoría tiene una sola configuración = DDoS On/DDoS Off
Recomendación:
Despliega Tecnologías:
– Que tienen granularidad en cuanto a políticas DDoS
– Capaces de defender ante todos los vectores de ataque DDoS
– Capaces de soportar carga cuando están bajo ataque y no verse afectados por el ataque DDoS
– Que inspeccionan todos y cada uno de los paquetes (sin sampling)
– Que ofrecen inspección bidireccional del trafico
– Que brindan servicios 24x7, y expertise de Defensa ante ataques DDoS
¿Cual es la recomendación?
Como defenderse sin morir en el intento
© 2013 Corero www.corero.com
Diez consejos para implementar una
primera línea de defensa en 2013
1. Direcciones IP maliciosas conocidas – Actualizar constantemente las listas de reputación
2. Países no deseados en los que no haces negocios – Actualizar constantemente información de geo localización
3. Botnets con máquinas infectadas y atacantes DDoS – Monitorear el comportamiento de todos los usuarios
4. Abusos de aplicaciones y comportamientos no deseadas – Hacer cumplir las normas de uso
5. Puertos y protocolos innecesarios – Inspección Profunda (DPI) de todos los servicios permitidos
6. Anomalías y violaciones de protocolo – Hacer cumplir las normas RFC y los estándares de la industria
7. Técnicas de evasión avanzadas - Gestionar políticas de fragmentación / ofuscación,…
8. Exploits diseñados para extraer datos – Bloquear ataques dirigidos en el perímetro
9. Intentos de Fuerza bruta a contraseñas – Registrar y alertar de cualquier actividad sospechosa
10. Información sobre el estado de su perímetro – Incrementar su visibilidad
Su Primera línea de defensa tiene que identificar y bloquear:
FIRST LINE OF DEFENSE
Las organizaciones necesitan una “nueva” Primera Línea de Defensa
© 2013 Corero www.corero.com
Corero Network Security - Compañia
“Corero es la Primera Línea de Defensa que bloquea Ataques DDoS y trafico no deseado antes de que llegue a sus infraestructuras”
HQ en Massachusetts, EEUU; Oficinas en EMEA y Asia
2000+ clientes, +50 países
Tecnología de protección DDoS patentada
Rendimiento de hasta 10Gbps de protección con dispositivos Inline
Servicios de Seguridad gestionada
Visionario en el Magic Quadrant de Gartner
© 2013 Corero www.corero.com
Tráfico legítimo Tráfico legítimo
Topología típica de red bajo ataque
Ataques DDoS
AETs y Abusos de Protocolo
Usuarios y Servicios no deseados
IPS
SLB
WAF
Exploits a servidores
Tráfico legítimo
Impactos: degradación de servicios, tiempo de inactividad, exposición a amenazas, sobrecarga de la infraestructura, daños a la marca, pérdida de negocios,…
“Usuarios legítimos”
“Atacantes”
Internet
Tierra de nadie
© 2013 Corero www.corero.com
Solución: Corero Primera Línea de Defensa
“Good Users”
“Attackers”
IPS
SLB
WAF
IPS
SLB
WAF “Usuarios legítimos”
Internet’s
Tierra de nadie
“Atacantes”
Atacantes frustrados
Tráfico legítimo Tráfico legítimo Tráfico legítimo
Ataques DDoS
AETs y Abusos de Protocolo
Usuarios y Servicios no deseados
Exploits a servidores
Corero protege su infraestructura IT bloqueando el trafico no deseado
© 2013 Corero www.corero.com
Puntos clave de protección
Restringir el acceso
Limitar la tasa (rate limit)
Ethernet IP TCP HTTP
Validar los protocolos
Incrementar la Visibilidad
1
2
3
4
5
Prevenir intrusiones
“Usuarios legitimos”
Internet’s
No-Man’s Land
“Atacantes”
Advanced Evasions Server Side Exploits
Demostración de Ataques DDoS
Ejemplos basados en LOIC / Android, Slowloris, Inundación SYN
© 2013 Corero www.corero.com
Entorno de demostración
Atacante (BT5) Apache Web Server
10.197.1.69
10.197.1.10
Cliente (Windows 7)
10.197.1.201
© 2013 Corero www.corero.com
Algunas referencias (públicas)
“Corero’s device was the only one that combined the
high levels of performance with the deep packet inspection that made us comfortable
with putting it inline in our network that simply cannot afford a minute being offline.”
Charles Neely Harper, Director, Air Liquide Large Industries US
© 2013 Corero www.corero.com
Próximos Pasos
Evaluación de la Solución
– Permítanos demostrar la efectividad, sencillez y granularidad de nuestras soluciones de protección DDoS/DoS a través de una evaluación en su red
Para solicitar información, una copia de la presentación, escribanos a info_es@corero.com
Siguenos en Twitter - @Corero
Conozca más sobre la Primera Linea de Defensa de Corero
Más información y TEST de Preparación DDoS: www.corero.com/es
Nuestros Partners : http://www.corero.com/en/partners/partner_locator
FIRST LINE OF DEFENSE
Q & A
FIRST LINE OF DEFENSE
Muchas Gracias! Contactos:
Alain Karioty Alain.karioty@corero.com
Álvaro Villalba Alvaro.villalba@corero.com
© 2013 Corero www.corero.com
Disclaimer
1. BackTrack is a GNU/Linux software distribution that includes a number of security-related software tools. Qualified Corero technical personnel occasionally use BackTrack as part of demonstrations on isolated networks to show the effectiveness of our IPS solution in blocking remote exploit attempts. Corero neither provides, recommends, nor endorses BackTrack, and advises customers to use caution when investigating or using BackTrack or any security-related software tools. Corero would be glad to speak with you regarding our IPS/DDS 5500 solution, and would be pleased to provide a web-based demonstration of its capabilities.
2. Metasploit Framework is an open-source computer security software tool that can be used for developing and executing exploit code on remote computers. Qualified Corero technical personnel occasionally use Metasploit Framework as part of demonstrations on isolated networks to show the effectiveness of our IPS solution in blocking remote exploit attempts. Corero neither provides, recommends, nor endorses Metasploit Framework, and advises customers to use caution when investigating or using Metasploit Framework or any security-related software tools.
3. Low Orbit Ion Cannon (LOIC) is an open-source software testing tool that can be used for initiating network transactions targeting (aka attacking) remote computers. Qualified Corero technical personnel occasionally use LOIC as part of demonstrations on isolated networks to show the effectiveness of our IPS and DDS solutions in blocking DDoS Attacks. Corero neither provides, recommends, nor endorses LOIC, and advises customers to use caution when investigating or using LOIC or any security-related software tools.
top related