[webinar] ¿cómo prevenir ataques ddos que afectan a tu negocio?
DESCRIPTION
Este webinar tiene como objetivo principal dar a conocer como un porcentaje significativo de organizaciones en México no están preparadas para prevenir y responder a fallas en la infraestructura web provocadas por ataques distribuidos de denegación de servicio (DDoS). Debido a esto, se debe buscar la mejor manera de proteger nuestros servicios críticos ante ataques que pueden causar daños muy costosos a las organizaciones. El temario que se engloba es el siguiente: ¿Cuáles y qué tipo de ataques de DoS/DDoS existen? ¿Qué impacto sufre el negocio debido a estos riesgos? ¿Cómo prevenirlos y mitigarlos? ¿Cómo minimizar la superficie de ataque? Contramedidas: Detección y bloqueo de los ataquesmediante firmas y análisis de comportamiento. Mejores prácticas para DoS y DDoS Webinar impartido por Jazmin Ortiz, el 22 de Noviembre a las 12.00horas.TRANSCRIPT
¿Cómo prevenir ataques de DoS que afectan a tu negocio?
Noviembre 2012
Información General
GR
UP
O SM
AR
TEKH
Jazmin Ortiz López Licenciatura en Ciencias de la Informática • 4 años de experiencia en soporte e
implementación de soluciones de seguridad a nivel end-point, gateway y de redes.
• Marcas: Trend Micro, Juniper, Palo Alto, Fatpipe • Implementación de metodologías de servicios
(MOF, COBIT, ITIL) de soporte técnico e implementación- Gobierno de TI.
• Responsable del área de Service Desk • Actualmente Consultor técnico en el área de
Seguridad en Networking
Agenda
1. ¿Qué es DoS?
2. Tipos de ataques
3. ¿Qué es DDoS?
4. Motivaciones/Razones
5. Casos
6. Impacto
7. ¿Cómo prevenir y mitigar este
tipo de ataques? Estrategias
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
¿Qué es DoS (Denial of Service)?
Vulnerabilidades y
configuraciones mal realizadas
Sobrecarga de recursos
Tipos de Ataques
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
Inundaciones TCP y UDP
Cliente
Servidor
Tabla de sesiones
SYN
¿Quién?¿Hacia dónde?¿Qué servicio?...
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
SYN,
ACK ACK
Conexión establecida
Ejemplo: SYN Flood
Cliente
Servidor
Tabla de sesiones
SYN SYN,
ACK
Overflow- Denegación de servicio
SYN SYN SYN SYN
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu n
eg
ocio
?
Fragmentación IP Ataque de DNS (Amplificación Reflexiva)
Frag 1
MTU=512 B
Posición Longitud
Frag 1 0 512
Frag 2 500 512
.. Frag N
10
100
Paquete= 1024 bytes
Frag 1
Frag 2
Frag 2
Buffer-overun Denegación de
servicio
IP src= 10.10.10.2
IP = 10.10.10.2
10 Kb
10 Kb
10 Kb
10 Kb
40 Kb 40 Kb
Tipo de ataque DoS: Capa Aplicación
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
? Tráfico Legítimo
3-way handshake
completado
• Pregunta
• ¿Cómo detectas tráfico generado por botnets?
• a) Antivirus
• b) IPS
• c) Correlación de eventos
• d) Filtrado de Contenido
• e) Firewall
DDoS: ¿Cómo participan las botnets en este tipo de ataques?
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
Motivaciones y Razones
Motivaciones DoS
Extorsión criminal
Conflicto ideológico/
Político
Ventaja competitiva
Vandalismo
Protesta electrónica
Experimen-tal/ Reto
32%
32%
10%
7%
6%
4%
4%
4% 4% 3% 3%
1%
1%
1%
1% 1%
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
Reportes Q2-21012
*Prolexic Quaterly Global DDoS Attack Report- Q2 2012
Capa 3 y 4 (Infraestructura) Capa 7 (Aplicación)
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
Casos
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
• 2011- Sony PlayStation
•1998-2000: Grupo Electronic Disturbance Teather – EDT (Apoyo a Zapatistas).
•2011- Actualidad: Anonymous (Ataques a SEDENA, SSP, IFE, SEGOB, etc), medios Televisa, MVS, etc…
•11 de octubre: Regions Financial, Capital One, SunTrust
• Octubre 2012- HSBC
• Diciembre 2010: Amazon, Paypal, MasterCard, Visa.
E-Commerce Servicios
Financieros
Juegos y apuestas en
línea Gobierno
Enero 2012- SOPA: Departamento de Justicia de USA,
FBI, La Casa Blanca, Universal Music, Broadcast Music
Classification
12/3/2012
1
5
¿Y esto pasa en México?
• Pregunta
• ¿Qué mecanismos tienes para responder
ante un incidente?
• a) Firewall+IPS
• b) Snifer
• c) Transfiriendo el riesgo al ISP
• d) Soluciones especializadas.
Impacto
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
• Perdida de ingresos.
• Violaciones en Contratos- SLA’s
• Costos por litigios.
• Costos origen de la contingencia
• Costos en recuperación de desastre.
• Gastos con ISP´s alternos en la contingencia.
• Fluctuaciones Bursátiles
• Baja productividad.
• Daño y/o prestigio a una marca.
• Costos Humanos.
• Morales.
• Perdida en la credibilidad.
• Daños a terceros.
¿Cómo prevenir y mitigar este tipo de ataques?
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
Identificación de redes bot
Inspección de
paquetes
Detección por
comportamiento
anómalo
• Autenticación
TCP/SYN
• TCP SYN Cookie
• Detección por
firmas
Tráfico
“legítimo”
Identificación de tráfico
desconocido
Detección de intentos de
explotación de
vulnerabilidades sobre
aplicaciones Clean-pipe ISP
Detección de ataques a
nivel aplicativo
Perfilar comportamiento normal/ Aplicación de reglas de protección
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
? Establecer periodo de
aprendizaje:
1. Considerar los periodos o temporadas de negocio, para ajustar valores
2. Considerar crecimiento del negocio, verificarlo cada trimestre como mínimo.
Estrategias
Equipo de respuesta
• Detectar y entender cuando se presenta un incidente
Plan de respuesta
• Preparación
• BCP
• COOP
Protección de servidores
DNS
• Internos y externos
Visibilidad y monitoreo de
eventos
• Vigilar lo que pasa en la red
Contramedidas
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
Conclusiones
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
? • Las amenazas han evolucionado:
Persistencia, nuevas técnicas de
evasión- MOTIVACIONES
• Cualquiera puede ser blanco de
ataque, o utilizado para ejecutar
ataque
Procesos
Personas
Tecnología Lo que no se mide no se puede gestionar, y
por lo tanto ni controlar ni mejorar
Preguntas
* Correo electrónico:
www.smartekh.com
¿C
óm
o p
reven
ir ata
qu
es d
e D
oS
qu
e a
fecta
n a
tu
neg
ocio
?
ww
w.s
marte
kh.c
om
Tu seguridad informática es nuestra pasión