Los proveedores de servicios de Internet (ISP) y de hospedaje y los operadores de centros de datos de las grandes empresas necesitan hacer frente a un problema común: los ataques de denegación de servicio distribuido (DDoS) y el grave riesgo que representan para la disponibilidad de las aplicaciones y la red. La potencia y sofi sticación de estos ataques ha aumentado signifi cativamente durante los últimos años debido a que la comunidad pirata ha descubierto nuevos modelos de negocio para rentabilizar los grandes ejércitos de botnets que tienen a su disposición. Esta tendencia no muestra signos de ir disminuyendo. Los operadores de centros de datos y los proveedores de red necesitan una defensa efi caz, rentable y fácil de gestionar. Arbor Peakfl ow SP Threat Management System (TMS) es el líder reconocido en prevención de ataques DDoS. Cada vez son más los ISP que prefi eren TMS frente a otras soluciones para proteger su infraestructura crítica y ofrecer servicios de seguridad gestionados.

Arbor Peakfl ow SP proporciona un sistema de gestión de amenazas de primera clase para operadores de red

La solución Arbor Peakfl ow SP (“Peakfl ow SP”) es una plataforma de seguridad que permite a los ISP, proveedores de hospedaje y grandes empresas hacer frente al desafío de los ataques DDoS. Se trata del primer sistema que integra inteligencia y gestión de amenazas de primera clase en toda la red. Peakfl ow SP identifi ca y detiene los ataques contra la red y la capa de aplicaciones sin interrumpir el fl ujo del tráfi co legítimo. Además, brinda a los ISP y proveedores de hospedaje de Internet un método escalable y rentable para ofrecer a los clientes servicios gestionados e integrales de protección contra ataques DDoS.

Peakfl ow SP TMS representa un componente esencial de la solución Peakfl ow SP. Se trata de un robusto sistema con inteligencia de aplicaciones para redes convergentes de multiservicios que acelera la adopción de medidas mediante la combinación de la identifi cación de amenazas de alto nivel junto con el análisis de paquetes. TMS proporciona visibilidad de las aplicaciones críticas (VoIP/SIP, DNS, HTTP, P2P, etc.) que se ejecutan en la red, supervisa los principales valores de rendimiento y ofrece capacidad de detección de ataques en la capa de aplicaciones, mitigación quirúrgica y generación de informes. Complementa a otras técnicas de mitigación de Peakfl ow SP, como el uso de fi ngerprint sharing, el protocolo Border Gateway Protocol (BGP) con reglas de fi ltrado (blackhole), el uso de fl ow-spec BGP y compatibilidad con mitigadores de otros proveedores.

Arbor Peakfl ow SP Threat Management System (TMS)ANÁLISIS DE AMENAZAS, MITIGACIÓN QUIRÚRGICA Y PROTECCIÓN DE SERVICIOS

( HOJA D E DATOS)

Principales funciones y ventajas

Mitigación quirúrgicaElimine automáticamente sólo el tráfi co atacante sin interrumpir el fl ujo del tráfi co empresarial legítimo.

Mando y control unifi cados de 2 TB de mitigación globalAmplíe sus defensas contra ataques DDoS hasta un nivel sin precedentes. Implemente hasta 2 terabits de capacidad total de mitigación gestionada de forma centralizada.

Habilitador de servicios gestionadosAproveche la misma plataforma Arbor Peakfl ow SP empleada para la visibilidad y seguridad de la red con el fi n de ofrecer servicios de seguridad gestionados, diferenciados y rentables (p. ej., servicios de protección contra ataques DDoS).

Protección de servicios e inteligencia sobre aplicaciones Mantenga los niveles de servicio de sus aplicaciones más importantes. Supervise el rendimiento y proteja las aplicaciones contra ataques dirigidos.

Flexibilidad de implementaciónImplemente estratégicamente inteligencia, detección de amenazas y mitigación quirúrgica a nivel de la capa de aplicaciones en distintas partes de la red para proteger la infraestructura y ofrecer servicios gestionados rentables. Implemente TMS como parte de Peakfl ow SP o de manera independiente.

Peakflow SPThreat Managment System (TMS)

ClientePeakflow SP Collector Platform (CP)

Tráfico atacante

Tráfico legítimo

Detección integral de amenazas y mitigación quirúrgica

Detección integral de amenazas

Los centros de datos y las redes públicas contienen numerosos elementos que son un blanco fácil para los ataques DDoS. Incluyen dispositivos de infraestructura (p. ej., routers, conmutadores o equilibradores de carga), sistemas de nombres de dominio (DNS), capacidad de ancho de banda y aplicaciones esenciales tales como Web, comercio electrónico, voz y vídeo. Incluso los fi rewalls u otros dispositivos de seguridad pueden ser objeto de ataques. Peakfl ow SP TMS ofrece el conjunto de funciones de detección de amenazas más completo y adaptable de la industria, diseñado para proteger recursos diversos contra ataques complejos y mixtos. Sus funciones incluyen detección de anomalías estadísticas, detección de anomalías de protocolos, coincidencia de fi ngerprints y detección de anomalías de perfi les. TMS memoriza continuamente y se adapta en tiempo real. Alerta a los operadores sobre los ataques y sobre los cambios anómalos en la demanda y los niveles de servicio.

Mitigación quirúrgica

La capacidad de detectar y fi ltrar el tráfi co atacante sin interrumpir el fl ujo de tráfi co legítimo es esencial para una mitigación efi caz. Los ataques DDoS a gran escala no sólo afectan a la víctima elegida, sino también a otros clientes que, desafortunadamente, podrían estar usando el mismo servicio de red compartido. Para reducir este daño colateral, los proveedores de servicios suelen cerrar todo el tráfi co destinado al sitio de la víctima, concluyendo así el ataque DDoS. Ya se trate de un ataque masivo de inundación por avalancha diseñado para agotar la capacidad del ancho de banda o de un ataque dirigido para desactivar un sitio Web, Peakfl ow SP TMS aísla y elimina el tráfi co atacante sin que ello afecte a los usuarios legítimos. Los métodos empleados incluyen la identifi cación de hosts malignos y su incorporación a listas negras, la mitigación basada en localización GeoIP, el fi ltrado basado en anomalías de protocolos, la eliminación de paquetes con malformaciones y la limitación de velocidad (para gestionar correctamente las puntas de demanda no malignas). La mitigación puede ser automática o iniciada por un operador. Además, puede ser combinada para hacer frente a ataques mixtos.

Disponibilidad de servicios

Para garantizar la disponibilidad de los servicios críticos, como los de voz, vídeo, comercio electrónico, correo electrónico, IM o Web, los proveedores necesitan visibilidad del rendimiento, la demanda y el fl ujo de tráfi co de estas aplicaciones. Peakfl ow SP TMS identifi ca automáticamente más de 90 aplicaciones e informa sobre ellas. También permite a los operadores defi nir aplicaciones personalizadas adicionales para la generación de informes. TMS mide e informa sobre la fl uctuación, la latencia, el tiempo de ida y vuelta, el retardo y la pérdida de paquetes. Este nivel de visibilidad de las aplicaciones permite a los operadores identifi car y resolver problemas de rendimiento antes de que los usuarios empiecen a quejarse. También aporta la perspectiva necesaria para que los directores de operaciones puedan tomar mejores decisiones de gestión de capacidad y gestión del cambio y para que los responsables de la empresa comprendan las preferencias y tendencias de uso de los clientes.

Summary

5 Minutes Summary

Per TMSTotal Per Countermeasure (top 3) Per Countermeasure (all)

3.0 Mbps

2.0 Mbps

1.0 Mbps

0 Mbps

Name:foofoobarDevice Group:my-all

Dropped:

Passed:

Total:

Percent Dropped:

Blocked Hosts:

1 Minute

8.8 Kbps

253.9 Kbps

262.6 Kbps

3.34%

0 bps

5 Minute

41.7 Kbps

1.2 Kbps

1.2 Kbps

3.34%

0 bps

Summary

85.9 Kbps

2.5 Kbps

2.6 Kbps

3.34%

0 bps

Template:NoneStop Time:Ongoing

Alert:NoneManaged Object:2-net

Prefix:42.12.32.0/24Start Time:15:49, Jan 30

StartEdit Stop

Add Comment Show All

17:01 17:05 17:09 17:13 17:17 17:21 17:25 17:29

Pass bps Drop bps

30 Minutes

TMS Mitigation Status DOWNLOAD EMAIL PRINT

Countermeasures

Sample Packets1 minuteTimeframe:

Invalid Packets

Black/White List

Zombie Detection

TCP SYN Authentication

Enable TCP SYN Authentication

TCP SYN Authentication Idle

Enable HTTP Authentication

HTTP AuthenticationPorts

Status Countermeasure Dropped Passed

14.4 Mbps 1.4 Kpps

3.6 Mbps 1.4 Kpps

1.6 Mbps 1.4 Kpps

901.2 Kbps 1.4 Kpps

1.4 Mbps 14.4 Kpps

ON

ON

ON

ON

+

+

+

–

Example: ‘90’ (Leave blank to use default ‘60’)

60 seconds

Example: ‘80’ (Leave blank to use default ‘80, 8080’)

Save

+

+

+

+

+

–

ON

ON

ON

OFF

OFF

ON

DNS Authentication

TCP Connection Reset

Payload Regular Expression

Source/24 Baselines

Protocol Baselines

DNS Malformed

576.8 Kbps 1.4 Kpps

400.5 Kbps 1.4 Kpps

294.3 Mbps 1.4 Kpps

144.2 Kbps 1.4 Kpps

200 Kbps

100 Kbps

0 bps17:32 17:32 17:32

Varios métodos de detección y mitigación de amenazas

La combinación de Peakfl ow SP y Peakfl ow SP TMS permite a los operadores de redes y centros de datos proteger los servicios IP críticos aprovechando varios métodos de detección y mitigación de ataques.

Bloqueo de hosts malignos conocidos mediante el uso de listas blancas y negras. La lista blanca contiene los hosts autorizados, mientras que la lista negra contiene los hosts zombis o que suponen un riesgo cuyo tráfi co será bloqueado.

Bloqueo de exploits de la capa de aplicaciones mediante el uso de fi ltros complejos. TMS ofrece visibilidad y fi ltrado del contenido para evitar que los ataques encubiertos desactiven los servicios críticos.

Constituye una defensa contra amenazas basadas en la Web mediante la detección y mitigación de ataques específi cos de HTTP. Estos mecanismos también ayudan a gestionar situaciones de fl ashcrowd.

Blindaje de servicios DNS contra botnets que enmascaran, amplifi can y transmiten exploits a la infraestructura y a los servicios DNS mediante el uso de funciones de detección y mitigación de ataques específi cos de DNS.

Protección de servicios VoIP críticos frente a secuencias de comandos automatizadas o botnets que emplean avalanchas de solicitudes de paquetes por segundo y malformaciones mediante el uso de funciones de detección y mitigación de ataques específi cos de VoIP/SIP.

Control del ejército de zombis mediante el uso de mecanismos especializados de detección de zombis y de aprendizaje continuo que garantizan que los hosts comprometidos no ataquen a la infraestructura de misión crítica.

Cumplimiento de la protección básica mediante la creación de modelos de aprendizaje continuo del comportamiento de la red. Esta información se puede utilizar para distinguir y bloquear el tráfi co anormal de la red en el momento del ataque.

Generación de informes y mitigación basadas en GeoIP para identifi car la procedencia del tráfi co (por país, por ciudad), informar y bloquear el tráfi co de las fuentes no legítimas.

Tablero de alertas y mitigación en tiempo real

Quinto informe anual mundial de seguridad de infraestructura

El quinto informe anual mundial de seguridad de infraestructura de Arbor analiza el resultado de una encuesta de 132 operadores de redes IP en Norteamérica, Sudamérica, Europa y Asia. El informe contiene datos de utilidad para los operadores de red, que podrán tomar decisiones bien fundadas sobre el uso de la tecnología de seguridad de red.

Aspectos más destacados del último informe:

• Los ataques se trasladan a la red: Crece el número de ataques de menor frecuencia y mayor sofi sticación que provocan más interrupciones de servicio y son cada vez más difíciles de mitigar.

• Internet no está preparada para IPv6: La ausencia de funciones de seguridad IPv6 en la infraestructura de red y la falta de pruebas y experiencia en IPv6 son graves motivos de preocupación.

• Agotamiento de direcciones IPv4, migración a IPv6, DNSSEC y ASN de 4 bytes: Los cambios generalizados de la infraestructura generan incertidumbre sobre la capacidad de mantener y proteger las redes.

• Ausencia de especialistas: Estos y otros problemas operativos de carácter no técnico son obstáculos importantes para mantener una postura clara y efi caz en materia de seguridad.

Para descargar el último informe, vaya a: www.arbornetworks.com/report

Flexibilidad de implementación y rapidez de activación

Peakfl ow SP TMS ofrece varios modos de implementación: en línea con bypass de hardware de autoprotección, puerto SPAN y off-ramp de BGP. El modo off-ramp es el más indicado para las implementaciones basadas en portadora, porque permite desviar a TMS una combinación de tráfi co atacante y legítimo para su mitigación. El modo en línea es más adecuado para una protección permanentemente activa implementada en el extremo del centro de datos. TMS se puede implementar como parte de una solución Peakfl ow SP o de manera independiente.

Las plantillas de confi guración y la mitigación preconfi gurada permiten a los operadores implementar una defensa efi caz contra ataques DDoS desde el primer día. TMS memoriza los patrones de tráfi co y se ajusta automáticamente a medida que transcurre el tiempo, eliminando así la necesidad de confi gurar y actualizar manualmente los avisos de umbral. Los operadores también pueden defi nir umbrales e iniciar manualmente la mitigación. TMS les permite elegir el grado de automatización y de control manual.

Gestión y generación integral de informes

Peakfl ow SP TMS simplifi ca y racionaliza las operaciones permitiendo ver y gestionar hasta 2 terabits de capacidad de mitigación desde un punto de control único. El resultado es la capacidad de frustrar ataques múltiples a gran escala y de generar informes integrales que resumen el proceso de mitigación tanto para los clientes como para la dirección.

Una plataforma para servicios gestionados DDoS

La solución Arbor Peakfl ow SP permite a los proveedores de servicios y de hospedaje ofrecer servicios de protección contra ataques DDoS. Hay varios modelos de Peakfl ow SP TMS para optimizar la implementación de estos servicios. La siguiente tabla resume las funciones y situaciones de implementación recomendadas para los distintos modelos de TMS.

Implementación de Peakfl ow SP TMS

PEQUEÑO PROVEEDOR CLIENTE ESPECIALIZADOPOP PEQUEÑOS

40

30

20

10

9

8

7

6

5

4

3

2

1

0

GRAN PROVEEDORCENTRO REGIONAL DE SCRUBBING

POP GRANDES

Ren

dim

ient

o (G

bps)

Implementación

12001,5 Gbps, 1U, 4 puertos 1 GigE

25002,5 Gbps, 2U, 6 puertos 1 GigE, certifi cación NEBS

30505 Gbps (actualización de software a 10 Gbps), 3U,

2 puertos 10 GigE + 10 puertos 1 GigE

3100 y 31103100 10 Gbps, 3U, 2 puertos 10 GigE

3110 10 Gbps, 3U, 2 puertos 10 GigE + 10 puertos 1 GigE

40004 x APM (40 Gbps)3 x APM (30 Gbps)2 x APM (20 Gbps)

8 puertos 10 GigE, 6U, 1 x APM (10 Gbps)

“ Todos los proveedores de servicios son vulnerables a una serie de amenazas de seguridad potencialmente perjudiciales. Algunas son especialmente difíciles de detectar y tratar. La solución Peakfl ow SP TMS de Arbor Networks se ha ganado una reputación envidiable en la industria como parte esencial de una estrategia efi caz de defensa de redes. Por eso la elegimos”.

Dirk Bhagat, Director de tecnología, Hostopia

Requisitos eléctricosDos fuentes de alimentación redundantes

3050/3100/3110/4000CA: 100/240 V, 50-60 Hz, 460 W nominalesCC: -48 a -68 V; 460 W nominales

2500 CA: 100/240 V, 8,5 A (50-60 Hz)CC: -48 a -60 V, 20,5 A máx.

1200 CA: 100/240 V, 8,5 A (50-60 Hz)CC: -48 a -60 V, 12 A máx.

Dimensiones físicas Montaje en rack estándar de 19” y 23”

4000Chasis: 6U de altura para montaje en rackPeso: 38,7 kgAlto: 26,7 cmAncho: 44,8 cmProfundidad: 41,4 cm

3050/3100/3110Chasis: 3U de altura para montaje en rackPeso: 15,2 kgAlto: 13,34 cmAncho: 48 cmProfundidad: 41,33 cm

2500Chasis: 2U de altura para montaje en rackPeso: 17,7 kgAlto: 8,76 cmAncho: 43,46 cmProfundidad: 51 cm

1200Chasis: 1U de altura para montaje en rackPeso: 11,52 kgAlto: 4,32 cmAncho: 43 cmProfundidad: 51 cm

Discos duros Doble disco duro RAID 1

NIC

40008 x 10 GigE (SFP+)

31002 x 10 GigE (SFP+)

3050/31102 x 10 GigE (SFP+)10 x 1 GigE (SFP)

25006 x 10/100/1000 (fi bra GigE SX y LX opcional)

12004 x 10/100/1000 (fi bra GigE SX y LX opcional)

Condiciones ambientales

3050/3100/3110/4000Temperatura de funcionamiento: 0 a 55 ºCHumedad relativa (en funcionamiento): entre el 5 y el 80% (sin condensación)

2500Temperatura de funcionamiento: 0 a 40 ºCHumedad relativa (en funcionamiento): entre el 10 y el 90% (sin condensación)

1200Temperatura de funcionamiento: 10 a 35 ºCHumedad relativa (en funcionamiento): entre el 12 y el 90% (sin condensación)

Sistema operativo

1200/2500/3050/3100/3110/4000ArbOS®/ArbUX, nuestro sistema operativo propio integrado, se basa en tecnología de sistemas operativos de código abierto como Linux y Open BSD.

Normativa

1200/2500FCC Parte 15 Clase A, IEC60950 3ª ed., CD, VCC, BSMI, CISPR, ICES, CTick, MIC, CCC, (modelo 2500 NEBS)

3050/3100/3110/4000UL 60950, IEC/EN 60950, FCC Parte 15, Subparte B, Clase A, Marcado CE, NEBS GR-63-CORE y GR-1089-CORE Nivel 3, RoHS 6/6

Especifi caciones de los dispositivos Arbor Peakfl ow SP TMS

Acerca de Arbor NetworksArbor Networks® es un proveedor líder de soluciones de control de servicios seguros para redes comerciales globales. Sus clientes incluyen a la mayoría de los ISP del mundo y muchas grandes empresas. Las soluciones de Arbor ofrecen la mejor seguridad y visibilidad de red de su clase, además de la posibilidad de mejorar el benefi cio mediante la implementación de servicios diferenciados capaces de generar ingresos. Gracias a las tecnologías basadas en fl ujo y de inspección profunda de paquetes (DPI), las soluciones de Arbor miden y protegen toda la red, desde el núcleo hasta el extremo de banda ancha. Arbor también gestiona la primera red mundial de análisis de amenazas —ATLAS— que utiliza tecnología integrada en las redes de los ISP más importantes del mundo para detectar y notifi car amenazas a través de una red mundial de inteligencia.

Sedes corporativas6 Omni Way

Chelmsford, Massachusetts 01824

Tel. gratuito EE.UU. +1 866 212 7267Tel.: +1 978 703 6600Fax: +1 978 250 1905

Hispanoamérica, América del Sur y Caribe

Persona de contacto Daniel Villanueva

+54 911 3653 5330

EuropaTel.: +44 208 622 3108

Asia - Pacífi coTel.: +65 6299 0695

www.arbornetworks.com

Copyright ©1999-2010 Arbor Networks, Inc. Todos los derechos reservados. Arbor Networks, el logotipo

de Arbor Networks, Peakfl ow, ATLAS y ArbOS son marcas registradas de Arbor Networks, Inc. El resto

de marcas pueden ser marcas comerciales de sus respectivos propietarios.

DS/SPTMS5.5/ES/1010