WIXLIB

La defensa del patrimonio tecnológicofrente a los ciberataques10 y 11 de diciembre de 2014Servicio de Defensa frente aataques de DDoS: Modelocolaborativo de detección 2014 Centro Criptológico NacionalC/Argentona 20, 28023 MADRIDwww.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERTAlex LopezArbor Networksalopez@arbor.net2www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERTÍndice1 ¿Que es el DDoS?2 Tipos de ataque DDoS3 Modelos de defensa frente a DDoS4 Comparación de modelos de Servicios5 Solución de Red Iris6 War Game7 Preguntas/Debate3www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERT1¿Que es el DDoS?4www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERT En seguridad informática, un ataque de denegación de servicios, también llamado ataque DoS (de las siglasen inglés Denial of Service) o DDoS (de Distributed Denial ofService), es un ataque a un sistemade computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Una ampliación del ataque DoS es el llamado ataque distribuido de denegación de servicio, también llamadoataque DDoS (de las siglas en inglés Distributed Denial ofService) el cual se lleva a cabo generando un granflujo de información desde varios puntos de conexión. La forma más común de realizar un DDoS es a travésde una botnet, siendo esta técnica el ciberataque más usual y eficaz por su sencillez tecnológica.

VIII JORNADAS STIC CCN-CERTDurante un ataque de denegación de servicio distribuido (DDoS), hosts o botscomprometidos de fuentes dispersas abruman al objetivo con tráfico ilegítimo por loque los servidores no pueden responder a los clientes legítimos.6

VIII JORNADAS STIC CCN-CERT7

VIII JORNADAS STIC CCN-CERT8

VIII JORNADAS STIC CCN-CERT2Tipos de ataques DDoS9www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERTAtaque Volumétrico: diseñado para saturar los recursosde la red, circuitos. .por fuerza brutaISP 1DATA CENTERSATURACIONISPISP 2FirewallAttack TrafficISP nGood TrafficIPSLoadBalancerTargetApplications &ServicesAtaques Típicos: TCP Flood, UDP Flood, Packet Flood, DNS Reflection, DNSSecAmplification 10

VIII JORNADAS STIC CCN-CERT11

VIII JORNADAS STIC or# DP / 19 17.75xTens ofthousands( 90K)DNSDomainNameSystemUDP / 53 160xMillions( 30M)NTPNetworkTimeProtocolUDP / 123 1000xOver OneHundredThousand( 128K)SNMPSimpleNetworkManagementProtocolUDP / 161 880xMillions( 5M)

VIII JORNADAS STIC CCN-CERTAtaque DDoS contra tablas de estado: atacan a losdispositivos de seguridad. Saturan las tablas de estado de losequipos Statefull.ISP 1Agotamientode TablasDATA CENTERISPISP 2FirewallIPSLoadBalancerAttack TrafficISP nGood TrafficAtaques Típicos: SYN Flood, RST Flood, FIN Flood, SockStress TargetApplications &Services

VIII JORNADAS STIC CCN-CERTLos equipos de seguridad de perímetro se enfocan en laintegridad y confidencialidad, pero no en la disponibilidadInformationSecurity TriangleIPSTodos los Firewalls,IPS, WAFS sonstateful y puedensufrir ataques deDDoS contra sustablas de estadoLos Firewalls incluyendo los WAFs refuerzan la confidencialidad o quela informacion y funcionalidades puedan ser accesibles solo por quienesta autorizadoLos Intrusion Prevention Systems (IPS) ayudan a proteger la integridad,o que la información pueda ser añadida, alterada o eliminada solo por laspersonas autorizadas

VIII JORNADAS STIC CCN-CERTTCP Stack Attack – Syn Attack15

VIII JORNADAS STIC CCN-CERTAtaques DDoS de Aplicación: ataques contra aplicacionesespecificas: (HTTP, SSL, DNS, SMTP, SIP, etc.).ISP 1DATA CENTERExhaustion ofServiceISPISP 2FirewallIPSLoadBalancerAttack TrafficISP nGood TrafficAtaques Típicos: URL Floods, R U Dead Yet (RUDY), Slowloris,Pyloris, LOIC, HOIC, DNS dictionary attacks TargetApplications &Services

VIII JORNADAS STIC CCN-CERTHEAD / HTTP/1.1Host: 208.109.47.175Range:bytes cept-Encoding: gzipConnection: close

VIII JORNADAS STIC CCN-CERTEl DDoS es un problema que solo la red puede resolver

VIII JORNADAS STIC CCN-CERT3Modelos de defensa frente a DDoS19www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERTServicios deOperadorClienteISPInboundDefensa basadaen CPEISP / HosterAPS / TMSLinkClienteISPInboundISP / Hoster / MSSPClient Site / ResourcesLinkAPSClient Site /ResourcesCloud SignalServiciosHíbridosInboundISP / Hoster / APS / TMSCloud ProviderClienteISPScrubInternetISP / Hoster /MSSPLinkAPSClient Site /Resources

VIII JORNADAS STIC CCN-CERTTipo de Servicio: OperadorDescripción del Servicio: Son servicios de protección de DDoS prestados desde la reddel operador. Estos servicios acostumbrar a proporcionarse junto a la conectividad aInternet, hosting, colocación, y servicios tipo cloud.Ventajas del Servicio: El servicios se enfoca generalmente a los ataques volumétricos yofrecen al cliente final un punto único confiable y responsable del acceso a Internet. Elsoporte se proporciona de un punto central único (el operador). Además, las solucionesde clean pipes ayudan a los clientes en la consolidación y simplificación de los servicios.Desventajas del Servicio: Los servicios de operador enfatizan mucho la protección frentea ataques volumétricos en capa -3/4 pero no pueden afrontar la problemática de losataques de nivel 7. Para muchas organizaciones esta protección puede ser suficiente,pero en la actualidad los ataques de aplicación están subiendo en popularidad yrepresentan ya el 30%-40% del total de ataques de DDoS (fuente: grupo ASERT de Arbor).Los servicios de operador tienen mucha dificultad en dar respuesta a los escenarios declientes con varios proveedores de internet.

VIII JORNADAS STIC CCN-CERTServicio de OperadorISP 1CENTRO MITIGACIONDATA CENTERISP 2ISPFirewallISP n22IPSLoadBalancerTargetApplications &Services

VIII JORNADAS STIC CCN-CERTDDoS - MitigaciónCPTMS

VIII JORNADAS STIC CCN-CERTDDoS - MitigaciónCPTMS

VIII JORNADAS STIC CCN-CERTDDoS - MitigaciónCP1. Detección(En la Red: Mediante Flows)TMS

VIII JORNADAS STIC CCN-CERTDDoS - MitigaciónCP1. DetecciónTMS(En la Red: Mediante Flows)2. Activación del TMS(manual o automática)

VIII JORNADAS STIC CCN-CERTDDoS - MitigaciónCP1. DetecciónTMS(En la Red: Mediante Flows)2. Activación del TMS (manual o automática)3. Diversión del Trafico (en la Red : anuncio BGP OFF-Ramp

VIII JORNADAS STIC CCN-CERTDDoS - MitigaciónCP1. DetecciónTMS(En la Red: Mediante Flows)2. Activación del TMS (manual o automática)3. Diversión del Trafico (en la Red : anuncio BGP OFF-Ramp4. Limpieza de trafico y reenvío del legitimo (en lared: usando técnicas ON-Ramp [MPLS, GRE, VLAN, ])

VIII JORNADAS STIC CCN-CERTDDoS - MitigaciónCP1. DetecciónTMS(En la Red: Mediante Flows)2. Activación del TMS (manual o automática)3. Diversión del Trafico (en la Red : anuncio BGP OFF-Ramp4. Limpieza de trafico y reenvío del legitimo (en lared: usando técnicas ON-Ramp [MPLS, GRE, VLAN, ])5. Protection

VIII JORNADAS STIC CCN-CERTTipo de Servicio: Basado en CPEDescripción del Servicio: Las soluciones basadas en CPE como el Arbor Pravail APS sonappliances que se instalan en el datacenter del cliente en linea en el borde de la red,justo en el punto de demarcación del cliente. Estos dispositivos están pensados paramonitorizar en tiempo real el trafico y mitigar los ataques de DDoS tanto volumétricoscomo de aplicación.Beneficios del servicio: Proporciona detección y mitigación activa, en línea y en tiemporeal. El cliente tiene gran flexibilidad en la definición de políticas y la configuración delequipo. Permite activar las defensas hibridas que combinan soluciones tipo CPE consoluciones de Operador.Desventajas del Servicio: La efectividad del servicio se limita a las capacidades demitigación del equipo y al ancho de banda existente. Estas soluciones requieren depersonal técnico capacitado para la operación del equipo y responsabilizarse de lasmitigaciones. Estas soluciones suponen una inversión CAPEX por parte del cliente.

VIII JORNADAS STIC CCN-CERTCPEISP 1DATACENTERISP 2ISPFirewallISP n31IPSLoadBalancerTargetApplications &Services

VIII JORNADAS STIC CCN-CERTTipo de Servicio: HibridoDescripción del Servicio: Combina la tecnología CPE con el servicio de operador.Beneficios del Servicio: Protección superior. Detección y mitigación en tiempo de real detodo tipo de ataquesDel Servicio: Normalmente mas costoso.

VIII JORNADAS STIC CCN-CERTModelo de protección hibridoISP 1CENTRO MITIGACIONDATA CENTERISP 2ISPFirewallISP nCloudSignaling33IPSLoadBalancerTargetApplications &Services

VIII JORNADAS STIC CCN-CERTTipo de Servicio: Protección para clientes MultilinkDescripción del Servicio: Combina la tecnología CPE con el servicio de operador paraclientes con varios links de diferentes operadores. Hay que tener en cuenta si el clientetiene o no su propio ASBeneficios del Servicio: Mejor control de la inversión, ya que no hay que contratar elservicio de operador con todos ellos. Minimiza también los costes de operador, ya que elcliente puede mitigar los ataques hasta el ancho de banda disponibleDesventajas del Servicio: Supone un gasto tipo Capex inicial para el CPE. Requieregestión local del CPE y operación para la desconexión delos links no protegidos cuandohay un ataque volumétrico que sature las líneas, así como la reconexión una vez seacabe el ataque

VIII JORNADAS STIC CCN-CERTEscenario MultiLinkOperador ProtegidoISP 1DATA CENTERXISP 2XFirewallIPSLoadBalancerISP nTargetApplications &ServicesMejor solución para escenarios Multi-Link35

VIII JORNADAS STIC CCN-CERT4Comparación demodelos de Servicio36www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERTOperadorDeteccion Proactiva L3Deteccion Proactiva L7Mitigacion L3Mitigacion L7Mitigacion VolumetricaDiversion TraficoRe-Inyeccion TraficoTiempo Respuesta DeteccionTiempo Respuesta MitigacionIndependiente ISPBGPVRF/GREServicio HibridoBGPVRF/GRECPE

VIII JORNADAS STIC CCN-CERTEjemplos de WorkFlowDetección ProactivaDetección ReactivaInicio AtaqueInicio ataqueAlarma Media detectada en PeakFlowEl cliente contacta centro soporteAtaque confirmado por el operadorAtaque confirmado por operadorIntento de contacto al clienteIntento de contacto al clienteCliente contactadoCliente contactadoPetición autorización mitigaciónPetición autorización mitigaciónRecepción autorización mitigaciónRecepción autorización mitigaciónInicio mitigaciónInicio mitigaciónMitigación exitosaMitigación exitosaFin ataqueFin ataqueFin mitigaciónFin mitigación

VIII JORNADAS STIC CCN-CERT5Servicio de Red Iris39www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC ón a FSConexión a CPConexión a TMS

VIII JORNADAS STIC CCN-CERT43

VIII JORNADAS STIC CCN-CERTConexionado del Servicio – DetallesRouter de Interconexión conectado al CP-6000-2: CIEMAT (Madrid)Routes de Distribución conectados al FS-6000-15: TELMAD (Madrid) UVA (Noroeste) UNIZAR (Noreste) UIB (Baleares) UV (Valencia) CICA (Andalucia) IAC (Canarias) ULPGC (Canarias)TMS Conectado a CICA en Andalucía off-ramp/on-ramp.

.cni.esSíguenos en Linked in

Ataque DDoS contra tablas de estado: atacan a los dispositivos de seguridad. Saturan las tablas de estado de los equipos Statefull. Agotamiento de Tablas ISP 2 ISP 1 ISP n ISP Firewall IPS Load Balancer Target Applications & Services DATA CENTER Attack Traffic Good Traffic Ataques Típicos: SYN Flood, RST Flood, FIN Flood, SockStress