Solución de Seguridad Administrada del Proveedor de Servicios Servicios de Protección DDoS

‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID

Solución de Seguridad Administrada del Proveedor de Servicios

Servicios de Protección DDoS

Presentación TDM

Octubre de 2005


Agenda

• Caso Sólido para Protección DDoS

• Vista General de Protección DDoS

• Resumen Técnico del Servicio

• Descripciones Detalladas del Servicio

• Conclusiones


Tendencias Macro Alimentando los Ataques DDoS

• La Explosión de Banda Ancha ha resultado en números cada vez mayores de PCs caseras con conexiones a Internet siempre activas inseguras

• El crecimiento de Comercio Electrónico ha provocado que la dependencia de Internet sea más crítica que nunca antes

• La globalización debida a la explosión de dot coms, la subcontratación y las aplicaciones p2p ha aumentado el intercambio de tráfico internacional en forma significativa

• La mayoría de los ataques son lanzados desde ubicaciones multinacionales - muy difíciles de aislar y de tomar acción en contra de los extorsionadores


El Paradigma de Seguridad Está Cambiando

• Las amenazas de seguridad son más dañinas para los negocios que nunca antes

Impacto directo sobre la rentabilidad

Pérdida de ingresos debida a tiempos de caídas y daños colaterales

La pérdida de credibilidad produce daños perdurables sobre la reputación del negocio

• Daños del "Día Cero"Los ataques que se propagan velozmente (gusanos y virus) ocurren demasiado rápido para que los productos reactivos los puedan manejar – Se requiere una solución proactiva

• Las obligaciones legales requieren efectuar las acciones debidasLey de Portabilidad de los Seguros de Salud y de Responsabilidades (HIPAA)

Ley Sarbannes Oxley

Ley Gramm-Leach–Bliley (GLBA)

Ley de Protección de los Datos de la Unión Europea

• Las empresas no pueden enfrentar esto solas – ¡es casi imposible!Muchas de estas amenazas de seguridad pueden ser evitadas en la red del SP

Las empresas deben asociarse con el SP para construir un mecanismo de defensa en capas que haga que su infraestructura de red sea a prueba de balas


Impactos Causados por la Negación del Servicio

Los incidentes en los sitios Web han aumentado dramáticamente

Las organizaciones no están reportando pérdidas derivadas de ataques DDoS para evitar "publicidad negativa"

Conclusiones Clave del Reporte


Los Ataques DDoS Por DíaAún Continúan Siendo Muy Altos


Tendencias Recientes de la Industria acerca de los Ataques DDoS

• Los Ataques DDoS están impactando a todos los negocios principalesFinanzas, Cuidados de la Salud, Gobierno Federal, Manufactura, Comercio Electrónico, Retail, Temporada de vacaciones, eventos deportivos importantes para los medios, juegos en línea

• Los ataques enfocados con demandas específicas de extorsión están aumentando

16% de ataques enfocados con demandas de extorsión, en comparación a 4% el año pasado

• Las Demandas de Extorsión cubren desde $10,000 a algunos millonesAtaques contra los negocios de todos los tamaños, de todos los segmentos del mercado

“La extorsión se está convirtiendo en algo más común,” dice Ed Amoroso, director de seguridad de la información de AT&T. "Está ocurriendo de forma suficiente que ya no nos sorprende." La extorsión mediante DDoS está creciendo, Network World, 16/05/05 (http://www.networkworld.com/news/2005/051605-ddos-extortion.html)

“En los ultimos ocho meses hemos detectado un aumento de los grupos de atacantes más organizados que están intentando extorsionar dinero de los usuarios,” dice Rob Rigby, director de servicios de seguridad administrados de MCI Inc. La extorsión mediante DDoS está creciendo, Network World, 16/05/05 (http://www.networkworld.com/news/2005/051605-ddos-extortion.html)


BOTNETS – Facilitando Ataques DDoS

CECE Instalación del cliente:

Servidor/FW/Switch/Ruteador

Zombies

Extorsionador

Conexión de la Última Milla

Ruteador del Borde del ISP

• ¡BOTNETs para Rentar!• Un BOTNET está compuesto de

computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central

• Los BOTNETs permiten todos los tipos de ataques DDOS: Ataques ICMP, Ataques TCP, Ataques UDP y sobrecarga de http

• Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades más recientes de los sistemas

• Un BOTNET relativamente pequeño con únicamente 1000 zombies puede causar una gran cantidad de daños.

• Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer más de 100MBit/s

• ¡El tamaño de los ataques está aumentando constantemente!


Impacto de los Ataques DDoS En todas las capas de la red

• Aplicaciones

Los ataques aprovechan el uso de TCP/HTTP para abrumar los recursos computacionales

• Host/servidores

Los ataques intentan sobrecargar los recursos utilizando ataques de protocolos—Los servidores críticos no responderán a una solicitud normal

• Ancho de Banda

Los ataques saturan el ancho de banda de las conexiones de datos IP que limitan o bloquean los flujos legítimos de tráfico

• Infraestructura

Los ataques están dirigidos hacia los activos críticos de la red incluyendo ruteadores, servidores DNS/DHCP y otros dispositivos que permiten conexiones a la red

• Daños colaterales

Los ataques impactan a los dispositivos que no son blancos originales de los ataques y sobrecargan los dispositivos de cómputo que transportan al ataque DDoS


Amenazas DDoS - Expectativas de las Empresas

• Los clientes requieren de un SP con visibilidad a Internet/redes para lograr que el problema DDoS "se disipe"

– Los clientes empresariales conocedores pueden detener al ataque en sus sitios, pero el daño habrá ocurrido

• Los clientes necesitan que la protección sea automática

– La mitigación en la red y la protección de la última milla son sumamente críticos para la disponibilidad de la red del cliente y para la continuidad del negocio

• La protección entrante y saliente es necesaria

– DoS saliente y el tráfico de gusanos son amenazas igualmente importantes para la disponibilidad y son fuentes potenciales de responsabilidad legal como lo es el tráfico entrante

Las empresas pueden adquirir los servicios de Protección DDoS administrados para mitigar estos ataques antes de que saturen

el ancho de banda de la última milla – ¡hoy!


Sistema de Defensa en Capas en Contra de AmenazasSistema de Defensa en Capas en Contra de Amenazas Protección DDoS – Disponible Hoy Protección DDoS – Disponible Hoy

SISTEMA DEDEFENSACONTRA

AMENAZAS

Protege servidores/computadoras de escritorio

• Evita el desbordamiento de buffers• Controla la conexión a los puertos • Valida la política de acceso para

asegurar cumplimiento de parches/AV

• Bloquea al sistema

Protege servidores/computadoras de escritorio

• Evita el desbordamiento de buffers• Controla la conexión a los puertos • Valida la política de acceso para

asegurar cumplimiento de parches/AV

• Bloquea al sistema

Seguridad de Puntos Extremos

Limita la propagación de gusanos• Controla los intentos de conexión• Límite a el tráfico entrante hacia

el servidor (ingress)• Bloque era el tráfico saliente para

limitar la infección (egress)• Valida la adherencia a protocolos

Limita la propagación de gusanos• Controla los intentos de conexión• Límite a el tráfico entrante hacia

el servidor (ingress)• Bloque era el tráfico saliente para

limitar la infección (egress)• Valida la adherencia a protocolos

Firewall/Control de Acceso

Detección de anomalías y mitigación

• Minimiza los impactos de los ataques DDOS

• Escala a los ataques más grandes• Activación en tiempo real para reducir

la ventana de vulnerabilidad• Visibilidad del tráfico de la red

Servicio de Protección DDoS

Servicios VPN capa 2/3• Segmenta la red (VLANs privados)• VPN SSL• "Snooping" DHCP• Inspección ARP dinámica• Guardia BPDU por Puerto• Bloqueo de inundación de los

puertos

Servicios VPN capa 2/3• Segmenta la red (VLANs privados)• VPN SSL• "Snooping" DHCP• Inspección ARP dinámica• Guardia BPDU por Puerto• Bloqueo de inundación de los

puertos

Conectividad Segura

Administración del sistema TDSS• Monitoreo de seguridad

unificado• Configuración de dispositivos

coordinada

Administración del sistema TDSS• Monitoreo de seguridad

unificado• Configuración de dispositivos

coordinada

Administración

Seguridad Web• Cuarentena• Filtraje del Puerto 80• Filtraje URL• Limpieza del contenido

almacenado/enviado

Seguridad Web• Cuarentena• Filtraje del Puerto 80• Filtraje URL• Limpieza del contenido

almacenado/enviado

Seguridad del ContenidoDetecta los gusanos y su propagación

• Identificación de ataques• Mitigación de ataques• Análisis forense

Detecta los gusanos y su propagación

• Identificación de ataques• Mitigación de ataques• Análisis forense

IDS/IPS


Agenda





• Conclusiones


Conexión de Última Milla

Servicio Administrado de Protección DDoS para Redes Para Clientes Empresariales y SMB

Núcleo del Núcleo del SPSP

BordeBorde

CECEDetector Detector

CiscoCisco

Conexión Conexión WAN fuera WAN fuera de bandade banda

Ruteador de Ruteador de NotificaciónNotificación

Tráfico Legitimo + de Ataque a Enfocar

Proceso de Multiverificación

(MVP)

Limpieza de Limpieza de TráficoTráfico

InyecciónInyección

Centro de Centro de Limpieza - DCLimpieza - DC

Internet Internet

NOCNOC

Cliente Cliente EmpresarialEmpresarial

Instalación del cliente:

Servidor/FW/Switch/Ruteador

Protección DDoS

Administrada de Redes

Elementos Funcionales Clave

Detección de Amenazas• NetFlow/Arbor

Peakflow SP• Detector Cisco

Mitigación• Cisco Guard

Centro de Centro de Limpieza- CALimpieza- CA

Ataque DDoS


Protección DDoS – Servicios AdministradosBeneficios para los Clientes (Impulsando la Categoría de Socio Confiable)

Requiere ser manejado en la nube – Las empresas entienden el cuello de botella de la última milla y el beneficio de la protección upstream

Menor TCO, Máxima protección: La inversión en los servicios de protección es fácilmente justificable al ser comparada con la pérdida de ingresos creada por el tiempo de caída de la red, por la pérdida de credibilidad y por pagos de rescate a los extorsionadores

Mitigación Proactiva en Tiempo Real: La mitigación de los ataques ocurren en tiempo real rápidamente, antes de que la última milla y los recursos del centro de datos sean abrumados

Protege el ancho de banda de la última milla: Permite el aprovisionamiento económico del ancho de banda de la última milla, únicamente para las tasas de tráfico legítimas

Protección en contra de ataques muy amplios: La capacidad de limpieza está basada en “el tamaño máximo de ataque” en lugar del ancho de banda de la conexión de la última milla

Continuidad del Negocio: Mejora el tiempo de operación de la red, lo cual resulta en una mejor experiencia para los clientes y su retención, así como una mejor reputación de la empresa


Servicios DDoS AdministradosBeneficios

Ventajas:

• Protege el ancho de banda de la última milla así como el centro de datos — el ancho de banda típico de la última milla no puede resistir ataques sin una actualización significativa

• Protección en contra de los ataques más amplios, no está limitada por el tamaño del ancho de banda de la última milla — Los ataques han alcanzado hasta 5 Gbps

• Permite el aprovisionamiento económico del ancho de banda de la última milla y de la capacidad de los dispositivos del borde únicamente para las tasas legítimas de tráfico (Ninguna sorpresa de cargos por ráfagas de los ataques DDoS)

• La protección upstream cubre económicamente múltiples centros de datos

• Aproveche el SOC del proveedor en lugar de intentar mantener altos conocimientos internos acerca de ataques DDoS


Agenda



• Descripción Técnica del Servicio


• Conclusiones


Ciclo de Vida de la Protección DDoS


Proceso de Detección

1. Los ataques son lanzados por extorsionadores a través de BOTNETS.

2a. Cisco Detector en las instalaciones del cliente puede detectar en forma precisa cuando el cliente está bajo ataque.

2b. Las estadísticas de Netflow desde los Ruteadores Cisco son exportadas a Arbor Peakflow del SP para correlación. Las anomalías son revisadas para detectar un comportamiento inesperados del tráfico.

2c. El Detector o Arbor Peakflow del SP le indica al Guard que un ataque ha comenzado.

PASOS


PASOS

Proceso de Mitigación

3a. Un anuncio BGP es el mecanismo utilizado para desviar el tráfico a Cisco Guard

3b. Todo el tráfico (malicioso y legítimo) dirigido al destino atacado se redirecciona al Guard

4. Cisco Guard descarta las anomalías DDoS y permite únicamente que el tráfico legítimo continúe

5. El tráfico limpiado se inyecta de regreso a la ruta de datos para que llegue a su destinoEl tráfico es monitoreado continuamente por Netflow y por Cisco Detector


Agenda



• Descripción Técnica del Servicio


• Conclusiones


Solución de Protección DDoS Descripción del Servicio

Nombre del Servicio Descripción del Servicio

Protección DDoS Administrada para Redes

Protección para el ancho de banda de la última milla y los recursos del centro de datos de la empresa

(servidores web, servidores DHCP, DNS, etc.)

• Servicio de Generación de Ingresos de Alto Perfil• Enfoque sobre la disponibilidad de la red y continuidad del negocio• Oferta de servicio en capas basada en la "capacidad de limpieza" de modelos dedicados o compartidos• El cliente mantiene el control, servicio no invasivo


Protección DDoS Administrada para las RedesDefinición del Servicio

• Las empresas muy grandes con sus propios centros de datos probablemente necesitarán servicios "dedicados / premium"

• Empresas de tamaño medio y pequeñas: Las opciones de servicios compartidos probablemente sean más adecuadas para este segmento

• Los servicios "compartidos" para las empresas grandes con sus propios centros de datos frecuentemente siguen a las ofertas dedicadas

• Definición para los modelos "dedicados" y "compartidos"• Dedicados:

Capacidad comprometida hasta multi-gigabits; aprendizaje de políticas y personalización; soporte para señalización y aprendizaje de equipo CPE

• Compartidos

Capacidad compartida hasta un límite; restricciones acerca de la utilización; perfiles seleccionados de default; ninguna integración de equipo CPE


Protección DDoS Administrada para Redes Características Típicas del Servicio

• Activación del servicioLos proveedores soportan activación aprobada manualmente o automática

La mayoría ofrecen monitoreo del backbone utilizando Netflow (ejemplo, Arbor) aunque algunos dependen únicamente en alertas basadas en CPE

La mayoría también soportan, pero no administran, Detector CPE para monitorear y generar alertas

Aceptan activación manual o automática – prefieren BGP del cliente

Algunos planean portal de servicio para el cliente (ejemplo, Arbor SP 3.4 2H05)

• Personalización y Aprendizaje:Típicamente, esto es para un nivel de servicio premium / dedicado

La característica importante Rel 5 (2QCY05) permite que el Detector CPE aprenda y exporte líneas de referencia/políticas al proveedor

Auditorías del servidor NOC ajustan los umbrales globales y los distribuyen

• Reportes:Sistema manual o personalizado utilizando Guard XML reporta la salida

También portales SP en el futuro (ejemplo, Arbor) con monitoreo de Guard


Protección DDoS Administrada para Redes Discusión del SLA

• Un SLA típicamente cubre la “tubería” mas no el servicio/aplicaciones

Los ataques que no sean DDoS aún podrán impactar la disponibilidad de los servidores y aplicaciones

• Capacidad comprometida de mitigación para el servicio “dedicado”

• Capacidad máxima de mitigación y uso total para el servicio “compartido”

• Lista especificada de ataques contra los cuales puede proteger

• Tiempo de respuesta (desde el momento de la llamada inicial a la activación de mitigación)

• Personalización soportada

• Equipo CPE / portales soportados

• Reportes para el cliente


Agenda





• Conclusiones


Conclusiones

• La economía malhechora llegó para quedarse y está creciendo a un paso alarmante

• Los ataques DDoS son reales y le pueden pegar a cualquier empresa en cualquier momento

• Los Servicios de Protección DDoS Administrados disponibles en la actualidad, responden a los puntos de dolor del cliente relacionados a la disponibilidad de la red y a la continuidad del negocio

• Las opciones flexibles de servicio permiten que los Corporativos mantengan el control

Solución de Seguridad Administrada del Proveedor de Servicios Servicios de Protección DDoS

Documents

Transcript of Solución de Seguridad Administrada del Proveedor de Servicios Servicios de Protección DDoS