Solución de Seguridad Administrada del
Proveedor de Servicios
Servicios de Protección DDoS
Presentación TDM
Octubre de 2005
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Resumen Técnico del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Tendencias Macro Alimentando los Ataques
DDoS
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
•
La Explosión de Banda
Ancha ha resultado en
números cada vez mayores
de PCs caseras con
conexiones a Internet
siempre activas inseguras
•
El crecimiento de Comercio
Electrónico ha provocado
que la dependencia de
Internet sea más crítica que
nunca antes
•
La globalización debida a la
explosión de dot coms, la
subcontratación y las
aplicaciones p2p ha
aumentado el intercambio de
tráfico internacional en
forma significativa
•
La mayoría de los ataques
son lanzados desde
ubicaciones multinacionales
- muy difíciles de aislar y de
tomar acción en contra de
los extorsionadores
Confidencial de Cisco
‹Nº›
El Paradigma de Seguridad Está
Cambiando
• Las amenazas de seguridad son más dañinas para los negocios que nunca
antes
Impacto directo sobre la rentabilidad
Pérdida de ingresos debida a tiempos de caídas y daños colaterales
La pérdida de credibilidad produce daños perdurables sobre la reputación del
negocio
• Daños del "Día Cero"
Los ataques que se propagan velozmente (gusanos y virus) ocurren demasiado
rápido para que los productos reactivos los puedan manejar – Se requiere una
solución proactiva
• Las obligaciones legales requieren efectuar las acciones debidas
Ley de Portabilidad de los Seguros de Salud y de Responsabilidades (HIPAA)
Ley Sarbannes Oxley
Ley Gramm-Leach–Bliley (GLBA)
Ley de Protección de los Datos de la Unión Europea
• Las empresas no pueden enfrentar esto solas – ¡es casi imposible!
Muchas de estas amenazas de seguridad pueden ser evitadas en la red del SP
Las empresas deben asociarse con el SP para construir un mecanismo de
defensa en capas que haga que su infraestructura de red sea a prueba de balas
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Impactos Causados por la Negación del Servicio
Conclusiones Clave del
Reporte
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.

Los incidentes en los sitios
Web han aumentado
dramáticamente

Las organizaciones no están
reportando pérdidas
derivadas de ataques DDoS
para evitar "publicidad
negativa"
Confidencial de Cisco
‹Nº›
Los Ataques DDoS Por Día
Aún Continúan Siendo Muy Altos
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Tendencias Recientes de la Industria
acerca de los Ataques DDoS
“La extorsión se está convirtiendo en algo más común,” dice Ed Amoroso, director
de seguridad de la información de AT&T. "Está ocurriendo de forma suficiente que
ya no nos sorprende."
La extorsión mediante DDoS está creciendo, Network World, 16/05/05
(http://www.networkworld.com/news/2005/051605-ddos-extortion.html)
“En los ultimos ocho meses hemos detectado un aumento de los grupos de
atacantes más organizados que están intentando extorsionar dinero de los
usuarios,” dice Rob Rigby, director de servicios de seguridad administrados de MCI
Inc.
La extorsión mediante DDoS está creciendo, Network World, 16/05/05
(http://www.networkworld.com/news/2005/051605-ddos-extortion.html)
• Los Ataques DDoS están impactando a todos los negocios principales
Finanzas, Cuidados de la Salud, Gobierno Federal, Manufactura, Comercio Electrónico, Retail,
Temporada de vacaciones, eventos deportivos importantes para los medios, juegos en línea
• Los ataques enfocados con demandas específicas de extorsión están
aumentando
16% de ataques enfocados con demandas de extorsión, en comparación a 4% el año pasado
• Las Demandas de Extorsión cubren desde $10,000 a algunos millones
Ataques contra los negocios de todos los tamaños, de todos los segmentos del mercado
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
BOTNETS – Facilitando Ataques DDoS
Extorsionador
• ¡BOTNETs para Rentar!
Zombies
• Un BOTNET está compuesto de
computadoras que han sido violadas y
contaminadas con programas (zombies) que
pueden ser instruidos para lanzar ataques
desde una computadora de control central
• Los BOTNETs permiten todos los tipos de
ataques DDOS: Ataques ICMP, Ataques TCP,
Ataques UDP y sobrecarga de http
• Las opciones para desplegar BOTNETs son
extensas y se crean nuevas herramientas
para aprovechar las vulnerabilidades más
recientes de los sistemas
Ruteador del
Borde del ISP
Conexión de la
Última Milla
CE
Instalación del cliente:
Servidor/FW/Switch/Ruteador
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
• Un BOTNET relativamente pequeño con
únicamente 1000 zombies puede causar una
gran cantidad de daños.
• Por ejemplo: 1000 PCs caseras con un ancho
de banda upstream promedio de 128KBit/s
pueden ofrecer más de 100MBit/s
• ¡El tamaño de los ataques está aumentando
constantemente!
Confidencial de Cisco
‹Nº›
Impacto de los Ataques DDoS
En todas las capas de la red
• Aplicaciones
Los ataques aprovechan el uso de TCP/HTTP para abrumar los recursos
computacionales
• Host/servidores
Los ataques intentan sobrecargar los recursos utilizando ataques de
protocolos—Los servidores críticos no responderán a una solicitud
normal
• Ancho de Banda
Los ataques saturan el ancho de banda de las conexiones de datos IP que
limitan o bloquean los flujos legítimos de tráfico
• Infraestructura
Los ataques están dirigidos hacia los activos críticos de la red incluyendo
ruteadores, servidores DNS/DHCP y otros dispositivos que permiten
conexiones a la red
• Daños colaterales
Los ataques impactan a los dispositivos que no son blancos originales de
los ataques y sobrecargan los dispositivos de cómputo que transportan al
ataque DDoS
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Amenazas DDoS - Expectativas de las Empresas
•
Los clientes requieren de un SP con visibilidad a Internet/redes para
lograr que el problema DDoS "se disipe"
– Los clientes empresariales conocedores pueden detener al ataque en sus sitios,
pero el daño habrá ocurrido
•
Los clientes necesitan que la protección sea automática
– La mitigación en la red y la protección de la última milla son sumamente críticos
para la disponibilidad de la red del cliente y para la continuidad del negocio
•
La protección entrante y saliente es necesaria
– DoS saliente y el tráfico de gusanos son amenazas igualmente importantes para la
disponibilidad y son fuentes potenciales de responsabilidad legal como lo es el
tráfico entrante
Las empresas pueden adquirir los servicios de Protección DDoS
administrados para mitigar estos ataques antes de que saturen
el ancho de banda de la última milla – ¡hoy!
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Sistema de Defensa en Capas en Contra de Amenazas
Protección DDoS – Disponible Hoy
Seguridad de Puntos Extremos
Servicio de Protección DDoS
Protege servidores/computadoras de
escritorio
• Evita el desbordamiento de buffers
• Controla la conexión a los puertos
• Valida la política de acceso para
asegurar cumplimiento de
parches/AV
• Bloquea al sistema
Detección de anomalías y
mitigación
Firewall/Control de Acceso
Conectividad Segura
Limita la propagación de gusanos
• Controla los intentos de
conexión
• Límite a el tráfico entrante hacia
el servidor (ingress)
• Bloque era el tráfico saliente para
limitar la infección (egress)
•IDS/IPS
Valida la adherencia a protocolos
Detecta los gusanos y su
propagación
• Identificación de ataques
• Mitigación de ataques
• Análisis forense
Número de Sesión
Presentation_ID
• Minimiza los impactos de los ataques
DDOS
• Escala a los ataques más grandes
• Activación en tiempo real para reducir
la ventana de vulnerabilidad
• Visibilidad del tráfico de la red
SISTEMA DE
DEFENSA
CONTRA
AMENAZAS
Seguridad del Contenido
Seguridad Web
• Cuarentena
• Filtraje del Puerto 80
• Filtraje URL
• Limpieza del contenido
© 2005 Cisco Systems, Inc. Todos los derechos
reservados.
almacenado/enviado
Servicios VPN capa 2/3
• Segmenta la red (VLANs privados)
• VPN SSL
• "Snooping" DHCP
• Inspección ARP dinámica
• Guardia BPDU por Puerto
• Bloqueo de inundación de los
puertos
Administración
Administración del sistema TDSS
• Monitoreo de seguridad
unificado
• Configuración de dispositivos
coordinada
Confidencial de Cisco
‹Nº›
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Resumen Técnico del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Servicio Administrado de Protección DDoS para Redes
Para Clientes Empresariales y SMB
Protección DDoS
Administrada de Redes
Internet
Tráfico Legitimo + de Ataque a Enfocar
Centro de
Limpieza
- DC
Proceso de
Ataque DDoS
Multiverificación
(MVP)
Centro de
Limpieza- CA
Núcleo del
SP
NOC
Conexión
WAN fuera
de banda
Limpieza de
Tráfico
Inyección
Ruteador de
Notificación
Cliente
Empresarial
Número de Sesión
Presentation_ID
Borde
Elementos Funcionales
Clave
Detección de Amenazas
• NetFlow/Arbor
Peakflow SP
• Detector Cisco
Conexión de
Última Milla
Detector
Cisco
CE
Mitigación
• Cisco Guard
Instalación del cliente:
Servidor/FW/Switch/Ruteador
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Protección DDoS – Servicios Administrados
Beneficios para los Clientes (Impulsando la Categoría de
Socio Confiable)
 Requiere ser manejado en la nube – Las empresas entienden el
cuello de botella de la última milla y el beneficio de la protección
upstream
 Menor TCO, Máxima protección: La inversión en los servicios de
protección es fácilmente justificable al ser comparada con la
pérdida de ingresos creada por el tiempo de caída de la red, por la
pérdida de credibilidad y por pagos de rescate a los extorsionadores
 Mitigación Proactiva en Tiempo Real: La mitigación de los ataques
ocurren en tiempo real rápidamente, antes de que la última milla y
los recursos del centro de datos sean abrumados
 Protege el ancho de banda de la última milla: Permite el
aprovisionamiento económico del ancho de banda de la última milla,
únicamente para las tasas de tráfico legítimas
 Protección en contra de ataques muy amplios: La capacidad de
limpieza está basada en “el tamaño máximo de ataque” en lugar del
ancho de banda de la conexión de la última milla
 Continuidad del Negocio: Mejora el tiempo de operación de la red, lo
cual resulta en una mejor experiencia para los clientes y su
retención, así como una mejor reputación de la empresa
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Servicios DDoS Administrados
Beneficios
Ventajas:
• Protege el ancho de banda de la última milla así como el centro
de datos — el ancho de banda típico de la última milla no puede
resistir ataques sin una actualización significativa
• Protección en contra de los ataques más amplios, no está
limitada por el tamaño del ancho de banda de la última milla —
Los ataques han alcanzado hasta 5 Gbps
• Permite el aprovisionamiento económico del ancho de banda de
la última milla y de la capacidad de los dispositivos del borde
únicamente para las tasas legítimas de tráfico (Ninguna
sorpresa de cargos por ráfagas de los ataques DDoS)
• La protección upstream cubre económicamente múltiples
centros de datos
• Aproveche el SOC del proveedor en lugar de intentar mantener
altos conocimientos internos acerca de ataques DDoS
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Descripción Técnica del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Ciclo de Vida de la Protección DDoS
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Proceso de Detección
PASOS
1. Los ataques son lanzados
por extorsionadores a
través de BOTNETS.
2a. Cisco Detector en las
instalaciones del cliente
puede detectar en forma
precisa cuando el cliente
está bajo ataque.
2b. Las estadísticas de Netflow
desde los Ruteadores
Cisco son exportadas a
Arbor Peakflow del SP
para correlación. Las
anomalías son revisadas
para detectar un
comportamiento
inesperados del tráfico.
2c. El Detector o Arbor
Peakflow del SP le indica al
Guard que un ataque ha
comenzado.
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Proceso de Mitigación
PASOS
3a. Un anuncio BGP es el
mecanismo utilizado para
desviar el tráfico a Cisco
Guard
3b. Todo el tráfico (malicioso y
legítimo) dirigido al
destino atacado se
redirecciona al Guard
4. Cisco Guard
descarta las anomalías
DDoS y permite
únicamente que el tráfico
legítimo continúe
5. El tráfico limpiado se
inyecta de regreso a la
ruta de datos para que
llegue a su destino
El tráfico es monitoreado
continuamente por
Netflow y por Cisco
Detector
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Descripción Técnica del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Solución de Protección DDoS
Descripción del Servicio
Nombre del Servicio
Descripción del Servicio
Protección DDoS Protección para el ancho de banda de la última milla
Administrada
y los recursos del centro de datos de la empresa
para Redes
(servidores web, servidores DHCP, DNS, etc.)
• Servicio de Generación de Ingresos de Alto Perfil
• Enfoque sobre la disponibilidad de la red y continuidad
del negocio
• Oferta de servicio en capas basada en la "capacidad de
limpieza" de modelos dedicados o compartidos
• El cliente mantiene el control, servicio no invasivo
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Protección DDoS Administrada para las Redes
Definición del Servicio
• Las empresas muy grandes con sus propios centros de datos
probablemente necesitarán servicios "dedicados / premium"
• Empresas de tamaño medio y pequeñas: Las opciones de
servicios compartidos probablemente sean más adecuadas
para este segmento
• Los servicios "compartidos" para las empresas grandes con
sus propios centros de datos frecuentemente siguen a las
ofertas dedicadas
• Definición para los modelos "dedicados" y "compartidos"
• Dedicados:
Capacidad comprometida hasta multi-gigabits; aprendizaje de
políticas y personalización; soporte para señalización y
aprendizaje de equipo CPE
• Compartidos
Capacidad compartida hasta un límite; restricciones acerca de
la utilización; perfiles seleccionados de default; ninguna
integración de equipo CPE
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Protección DDoS Administrada para Redes
Características Típicas del Servicio
• Activación del servicio
Los proveedores soportan activación aprobada manualmente o automática
La mayoría ofrecen monitoreo del backbone utilizando Netflow (ejemplo, Arbor)
aunque algunos dependen únicamente en alertas basadas en CPE
La mayoría también soportan, pero no administran, Detector CPE para
monitorear y generar alertas
Aceptan activación manual o automática – prefieren BGP del cliente
Algunos planean portal de servicio para el cliente (ejemplo, Arbor SP 3.4 2H05)
• Personalización y Aprendizaje:
Típicamente, esto es para un nivel de servicio premium / dedicado
La característica importante Rel 5 (2QCY05) permite que el Detector CPE aprenda
y exporte líneas de referencia/políticas al proveedor
Auditorías del servidor NOC ajustan los umbrales globales y los distribuyen
• Reportes:
Sistema manual o personalizado utilizando Guard XML reporta la salida
También portales SP en el futuro (ejemplo, Arbor) con monitoreo de Guard
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Protección DDoS Administrada para Redes
Discusión del SLA
• Un SLA típicamente cubre la “tubería” mas no el servicio/aplicaciones
Los ataques que no sean DDoS aún podrán impactar la disponibilidad de los
servidores y aplicaciones
• Capacidad comprometida de mitigación para el servicio “dedicado”
• Capacidad máxima de mitigación y uso total para el servicio “compartido”
• Lista especificada de ataques contra los cuales puede proteger
• Tiempo de respuesta (desde el momento de la llamada inicial a la activación
de mitigación)
• Personalización soportada
• Equipo CPE / portales soportados
• Reportes para el cliente
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Resumen Técnico del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Conclusiones
• La economía malhechora llegó para
quedarse y está creciendo a un paso
alarmante
• Los ataques DDoS son reales y le
pueden pegar a cualquier empresa
en cualquier momento
• Los Servicios de Protección DDoS
Administrados disponibles en la
actualidad, responden a los puntos
de dolor del cliente relacionados a la
disponibilidad de la red y a la
continuidad del negocio
• Las opciones flexibles de servicio
permiten que los Corporativos
mantengan el control
Número de Sesión
Presentation_ID
© 2005 Cisco Systems, Inc. Todos los derechos reservados.
Confidencial de Cisco
‹Nº›
Descargar

DDoS MidEnt TDM FINAL