‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Solución de Seguridad Administrada del Proveedor de Servicios
Servicios de Protección DDoS
Presentación TDM
Octubre de 2005
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Resumen Técnico del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Tendencias Macro Alimentando los Ataques DDoS
• La Explosión de Banda Ancha ha resultado en números cada vez mayores de PCs caseras con conexiones a Internet siempre activas inseguras
• El crecimiento de Comercio Electrónico ha provocado que la dependencia de Internet sea más crítica que nunca antes
• La globalización debida a la explosión de dot coms, la subcontratación y las aplicaciones p2p ha aumentado el intercambio de tráfico internacional en forma significativa
• La mayoría de los ataques son lanzados desde ubicaciones multinacionales - muy difíciles de aislar y de tomar acción en contra de los extorsionadores
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
El Paradigma de Seguridad Está Cambiando
• Las amenazas de seguridad son más dañinas para los negocios que nunca antes
Impacto directo sobre la rentabilidad
Pérdida de ingresos debida a tiempos de caídas y daños colaterales
La pérdida de credibilidad produce daños perdurables sobre la reputación del negocio
• Daños del "Día Cero"Los ataques que se propagan velozmente (gusanos y virus) ocurren demasiado rápido para que los productos reactivos los puedan manejar – Se requiere una solución proactiva
• Las obligaciones legales requieren efectuar las acciones debidasLey de Portabilidad de los Seguros de Salud y de Responsabilidades (HIPAA)
Ley Sarbannes Oxley
Ley Gramm-Leach–Bliley (GLBA)
Ley de Protección de los Datos de la Unión Europea
• Las empresas no pueden enfrentar esto solas – ¡es casi imposible!Muchas de estas amenazas de seguridad pueden ser evitadas en la red del SP
Las empresas deben asociarse con el SP para construir un mecanismo de defensa en capas que haga que su infraestructura de red sea a prueba de balas
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Impactos Causados por la Negación del Servicio
Los incidentes en los sitios Web han aumentado dramáticamente
Las organizaciones no están reportando pérdidas derivadas de ataques DDoS para evitar "publicidad negativa"
Conclusiones Clave del Reporte
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Los Ataques DDoS Por DíaAún Continúan Siendo Muy Altos
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Tendencias Recientes de la Industria acerca de los Ataques DDoS
• Los Ataques DDoS están impactando a todos los negocios principalesFinanzas, Cuidados de la Salud, Gobierno Federal, Manufactura, Comercio Electrónico, Retail, Temporada de vacaciones, eventos deportivos importantes para los medios, juegos en línea
• Los ataques enfocados con demandas específicas de extorsión están aumentando
16% de ataques enfocados con demandas de extorsión, en comparación a 4% el año pasado
• Las Demandas de Extorsión cubren desde $10,000 a algunos millonesAtaques contra los negocios de todos los tamaños, de todos los segmentos del mercado
“La extorsión se está convirtiendo en algo más común,” dice Ed Amoroso, director de seguridad de la información de AT&T. "Está ocurriendo de forma suficiente que ya no nos sorprende." La extorsión mediante DDoS está creciendo, Network World, 16/05/05 (http://www.networkworld.com/news/2005/051605-ddos-extortion.html)
“En los ultimos ocho meses hemos detectado un aumento de los grupos de atacantes más organizados que están intentando extorsionar dinero de los usuarios,” dice Rob Rigby, director de servicios de seguridad administrados de MCI Inc. La extorsión mediante DDoS está creciendo, Network World, 16/05/05 (http://www.networkworld.com/news/2005/051605-ddos-extortion.html)
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
BOTNETS – Facilitando Ataques DDoS
CECE Instalación del cliente:
Servidor/FW/Switch/Ruteador
Zombies
Extorsionador
Conexión de la Última Milla
Ruteador del Borde del ISP
• ¡BOTNETs para Rentar!• Un BOTNET está compuesto de
computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central
• Los BOTNETs permiten todos los tipos de ataques DDOS: Ataques ICMP, Ataques TCP, Ataques UDP y sobrecarga de http
• Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades más recientes de los sistemas
• Un BOTNET relativamente pequeño con únicamente 1000 zombies puede causar una gran cantidad de daños.
• Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer más de 100MBit/s
• ¡El tamaño de los ataques está aumentando constantemente!
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Impacto de los Ataques DDoS En todas las capas de la red
• Aplicaciones
Los ataques aprovechan el uso de TCP/HTTP para abrumar los recursos computacionales
• Host/servidores
Los ataques intentan sobrecargar los recursos utilizando ataques de protocolos—Los servidores críticos no responderán a una solicitud normal
• Ancho de Banda
Los ataques saturan el ancho de banda de las conexiones de datos IP que limitan o bloquean los flujos legítimos de tráfico
• Infraestructura
Los ataques están dirigidos hacia los activos críticos de la red incluyendo ruteadores, servidores DNS/DHCP y otros dispositivos que permiten conexiones a la red
• Daños colaterales
Los ataques impactan a los dispositivos que no son blancos originales de los ataques y sobrecargan los dispositivos de cómputo que transportan al ataque DDoS
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Amenazas DDoS - Expectativas de las Empresas
• Los clientes requieren de un SP con visibilidad a Internet/redes para lograr que el problema DDoS "se disipe"
– Los clientes empresariales conocedores pueden detener al ataque en sus sitios, pero el daño habrá ocurrido
• Los clientes necesitan que la protección sea automática
– La mitigación en la red y la protección de la última milla son sumamente críticos para la disponibilidad de la red del cliente y para la continuidad del negocio
• La protección entrante y saliente es necesaria
– DoS saliente y el tráfico de gusanos son amenazas igualmente importantes para la disponibilidad y son fuentes potenciales de responsabilidad legal como lo es el tráfico entrante
Las empresas pueden adquirir los servicios de Protección DDoS administrados para mitigar estos ataques antes de que saturen
el ancho de banda de la última milla – ¡hoy!
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Sistema de Defensa en Capas en Contra de AmenazasSistema de Defensa en Capas en Contra de Amenazas Protección DDoS – Disponible Hoy Protección DDoS – Disponible Hoy
SISTEMA DEDEFENSACONTRA
AMENAZAS
Protege servidores/computadoras de escritorio
• Evita el desbordamiento de buffers• Controla la conexión a los puertos • Valida la política de acceso para
asegurar cumplimiento de parches/AV
• Bloquea al sistema
Protege servidores/computadoras de escritorio
• Evita el desbordamiento de buffers• Controla la conexión a los puertos • Valida la política de acceso para
asegurar cumplimiento de parches/AV
• Bloquea al sistema
Seguridad de Puntos Extremos
Limita la propagación de gusanos• Controla los intentos de conexión• Límite a el tráfico entrante hacia
el servidor (ingress)• Bloque era el tráfico saliente para
limitar la infección (egress)• Valida la adherencia a protocolos
Limita la propagación de gusanos• Controla los intentos de conexión• Límite a el tráfico entrante hacia
el servidor (ingress)• Bloque era el tráfico saliente para
limitar la infección (egress)• Valida la adherencia a protocolos
Firewall/Control de Acceso
Detección de anomalías y mitigación
• Minimiza los impactos de los ataques DDOS
• Escala a los ataques más grandes• Activación en tiempo real para reducir
la ventana de vulnerabilidad• Visibilidad del tráfico de la red
Servicio de Protección DDoS
Servicios VPN capa 2/3• Segmenta la red (VLANs privados)• VPN SSL• "Snooping" DHCP• Inspección ARP dinámica• Guardia BPDU por Puerto• Bloqueo de inundación de los
puertos
Servicios VPN capa 2/3• Segmenta la red (VLANs privados)• VPN SSL• "Snooping" DHCP• Inspección ARP dinámica• Guardia BPDU por Puerto• Bloqueo de inundación de los
puertos
Conectividad Segura
Administración del sistema TDSS• Monitoreo de seguridad
unificado• Configuración de dispositivos
coordinada
Administración del sistema TDSS• Monitoreo de seguridad
unificado• Configuración de dispositivos
coordinada
Administración
Seguridad Web• Cuarentena• Filtraje del Puerto 80• Filtraje URL• Limpieza del contenido
almacenado/enviado
Seguridad Web• Cuarentena• Filtraje del Puerto 80• Filtraje URL• Limpieza del contenido
almacenado/enviado
Seguridad del ContenidoDetecta los gusanos y su propagación
• Identificación de ataques• Mitigación de ataques• Análisis forense
Detecta los gusanos y su propagación
• Identificación de ataques• Mitigación de ataques• Análisis forense
IDS/IPS
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Resumen Técnico del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Conexión de Última Milla
Servicio Administrado de Protección DDoS para Redes Para Clientes Empresariales y SMB
Núcleo del Núcleo del SPSP
BordeBorde
CECEDetector Detector
CiscoCisco
Conexión Conexión WAN fuera WAN fuera de bandade banda
Ruteador de Ruteador de NotificaciónNotificación
Tráfico Legitimo + de Ataque a Enfocar
Proceso de Multiverificación
(MVP)
Limpieza de Limpieza de TráficoTráfico
InyecciónInyección
Centro de Centro de Limpieza - DCLimpieza - DC
Internet Internet
NOCNOC
Cliente Cliente EmpresarialEmpresarial
Instalación del cliente:
Servidor/FW/Switch/Ruteador
Protección DDoS
Administrada de Redes
Elementos Funcionales Clave
Detección de Amenazas• NetFlow/Arbor
Peakflow SP• Detector Cisco
Mitigación• Cisco Guard
Centro de Centro de Limpieza- CALimpieza- CA
Ataque DDoS
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Protección DDoS – Servicios AdministradosBeneficios para los Clientes (Impulsando la Categoría de Socio Confiable)
Requiere ser manejado en la nube – Las empresas entienden el cuello de botella de la última milla y el beneficio de la protección upstream
Menor TCO, Máxima protección: La inversión en los servicios de protección es fácilmente justificable al ser comparada con la pérdida de ingresos creada por el tiempo de caída de la red, por la pérdida de credibilidad y por pagos de rescate a los extorsionadores
Mitigación Proactiva en Tiempo Real: La mitigación de los ataques ocurren en tiempo real rápidamente, antes de que la última milla y los recursos del centro de datos sean abrumados
Protege el ancho de banda de la última milla: Permite el aprovisionamiento económico del ancho de banda de la última milla, únicamente para las tasas de tráfico legítimas
Protección en contra de ataques muy amplios: La capacidad de limpieza está basada en “el tamaño máximo de ataque” en lugar del ancho de banda de la conexión de la última milla
Continuidad del Negocio: Mejora el tiempo de operación de la red, lo cual resulta en una mejor experiencia para los clientes y su retención, así como una mejor reputación de la empresa
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Servicios DDoS AdministradosBeneficios
Ventajas:
• Protege el ancho de banda de la última milla así como el centro de datos — el ancho de banda típico de la última milla no puede resistir ataques sin una actualización significativa
• Protección en contra de los ataques más amplios, no está limitada por el tamaño del ancho de banda de la última milla — Los ataques han alcanzado hasta 5 Gbps
• Permite el aprovisionamiento económico del ancho de banda de la última milla y de la capacidad de los dispositivos del borde únicamente para las tasas legítimas de tráfico (Ninguna sorpresa de cargos por ráfagas de los ataques DDoS)
• La protección upstream cubre económicamente múltiples centros de datos
• Aproveche el SOC del proveedor en lugar de intentar mantener altos conocimientos internos acerca de ataques DDoS
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Descripción Técnica del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Ciclo de Vida de la Protección DDoS
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Proceso de Detección
1. Los ataques son lanzados por extorsionadores a través de BOTNETS.
2a. Cisco Detector en las instalaciones del cliente puede detectar en forma precisa cuando el cliente está bajo ataque.
2b. Las estadísticas de Netflow desde los Ruteadores Cisco son exportadas a Arbor Peakflow del SP para correlación. Las anomalías son revisadas para detectar un comportamiento inesperados del tráfico.
2c. El Detector o Arbor Peakflow del SP le indica al Guard que un ataque ha comenzado.
PASOS
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
PASOS
Proceso de Mitigación
3a. Un anuncio BGP es el mecanismo utilizado para desviar el tráfico a Cisco Guard
3b. Todo el tráfico (malicioso y legítimo) dirigido al destino atacado se redirecciona al Guard
4. Cisco Guard descarta las anomalías DDoS y permite únicamente que el tráfico legítimo continúe
5. El tráfico limpiado se inyecta de regreso a la ruta de datos para que llegue a su destinoEl tráfico es monitoreado continuamente por Netflow y por Cisco Detector
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Descripción Técnica del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Solución de Protección DDoS Descripción del Servicio
Nombre del Servicio Descripción del Servicio
Protección DDoS Administrada para Redes
Protección para el ancho de banda de la última milla y los recursos del centro de datos de la empresa
(servidores web, servidores DHCP, DNS, etc.)
• Servicio de Generación de Ingresos de Alto Perfil• Enfoque sobre la disponibilidad de la red y continuidad del negocio• Oferta de servicio en capas basada en la "capacidad de limpieza" de modelos dedicados o compartidos• El cliente mantiene el control, servicio no invasivo
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Protección DDoS Administrada para las RedesDefinición del Servicio
• Las empresas muy grandes con sus propios centros de datos probablemente necesitarán servicios "dedicados / premium"
• Empresas de tamaño medio y pequeñas: Las opciones de servicios compartidos probablemente sean más adecuadas para este segmento
• Los servicios "compartidos" para las empresas grandes con sus propios centros de datos frecuentemente siguen a las ofertas dedicadas
• Definición para los modelos "dedicados" y "compartidos"• Dedicados:
Capacidad comprometida hasta multi-gigabits; aprendizaje de políticas y personalización; soporte para señalización y aprendizaje de equipo CPE
• Compartidos
Capacidad compartida hasta un límite; restricciones acerca de la utilización; perfiles seleccionados de default; ninguna integración de equipo CPE
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Protección DDoS Administrada para Redes Características Típicas del Servicio
• Activación del servicioLos proveedores soportan activación aprobada manualmente o automática
La mayoría ofrecen monitoreo del backbone utilizando Netflow (ejemplo, Arbor) aunque algunos dependen únicamente en alertas basadas en CPE
La mayoría también soportan, pero no administran, Detector CPE para monitorear y generar alertas
Aceptan activación manual o automática – prefieren BGP del cliente
Algunos planean portal de servicio para el cliente (ejemplo, Arbor SP 3.4 2H05)
• Personalización y Aprendizaje:Típicamente, esto es para un nivel de servicio premium / dedicado
La característica importante Rel 5 (2QCY05) permite que el Detector CPE aprenda y exporte líneas de referencia/políticas al proveedor
Auditorías del servidor NOC ajustan los umbrales globales y los distribuyen
• Reportes:Sistema manual o personalizado utilizando Guard XML reporta la salida
También portales SP en el futuro (ejemplo, Arbor) con monitoreo de Guard
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Protección DDoS Administrada para Redes Discusión del SLA
• Un SLA típicamente cubre la “tubería” mas no el servicio/aplicaciones
Los ataques que no sean DDoS aún podrán impactar la disponibilidad de los servidores y aplicaciones
• Capacidad comprometida de mitigación para el servicio “dedicado”
• Capacidad máxima de mitigación y uso total para el servicio “compartido”
• Lista especificada de ataques contra los cuales puede proteger
• Tiempo de respuesta (desde el momento de la llamada inicial a la activación de mitigación)
• Personalización soportada
• Equipo CPE / portales soportados
• Reportes para el cliente
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Agenda
• Caso Sólido para Protección DDoS
• Vista General de Protección DDoS
• Resumen Técnico del Servicio
• Descripciones Detalladas del Servicio
• Conclusiones
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Conclusiones
• La economía malhechora llegó para quedarse y está creciendo a un paso alarmante
• Los ataques DDoS son reales y le pueden pegar a cualquier empresa en cualquier momento
• Los Servicios de Protección DDoS Administrados disponibles en la actualidad, responden a los puntos de dolor del cliente relacionados a la disponibilidad de la red y a la continuidad del negocio
• Las opciones flexibles de servicio permiten que los Corporativos mantengan el control