Upload
level3latam
View
184
Download
0
Embed Size (px)
Citation preview
Andrés Pérez M.Regional Sales Manager Fortinet.
Mitigacion de ataques de DDOS
Que es un ataque de DDoS?
• El Objetivo es indisponibilidad de la red, aplicaciones ó servicios• Servicios de red indisponibles para atender el trafico legitimo.• Inundación de paquetes por botnets• Pueden esconder ataques sofisticados.• Las motivaciones pueden ser políticas, financieras
O de represaría.
INTERNET
Servers
Switch
>BOTNET
>BOTNET
>BOTNET
>BOTNET
Tipos de ataques de DDoS
Aplicativos
Ataques sofisticados, estos son dirigidos a las aplicaciones de capa 7 como HTTP, SMTP and HTTPS.
Problemas: Sobrepasan las defensas
tradicionales Difícil de detectar Muy fácil de implementar.
Infraestructura en la nube
Ataques modernos pueden afectar todo, incluyendo cortafuegos, electrónico y servidores web.
Problemas: Protección compleja Impacto a múltiples
clientes Ataques combinados de
DDOS Se necesita protección
en múltiples sitios
Volumétricos
Diseñado para abrumar y consumir ancho de banda e indisponer servicios(ej.. SYN, UDP, ICMP floods).
Problemas: Servicios indisponibles Puede enmascarar
ataques. Ataque puede ser de gran
escala Fácil de implementar.
L7
Evolución de la amenaza
Ataques Tradicionales Capa 3 y 4 Volumétricos Spoofing de la IP Grandes ataques Grandes redes de
botnets
Hoy y Futuro Target en capa 7 Pequeños y
dirigidos. Mezclados capa
3/4/7. Target servicios en
la nube. Bloquean las
defensas del ISP Ataques grandes
son para el show.
Se requiere protección moderna Análisis de
comportamiento. Monitoreo de
servicios Detectar cualquier
tamaño de ataque. Altamente veloz. Mitigación
automática.
Un SOW del Mercado del DDOS
• Los ataques de DDOS son la primera amenaza para Datacenters
• Tamaño de los ataques volumétricos aumentan
• 80% de los ataques son inferiores a 50mps
• Los ataques mas exitosos fueron de enlaces menores a 1 Gbps
• Ataques son sofisticados.• Los ataques de capa 7 son los
mas peligrosos.• Hackers están usando DDOS
como mascara de ataques.
Objetivos principales
• Gobierno y Finanzas el target principal. (no olvidar la venganza)
• Detener operación y comercio.• Datos financieros de clientes en
riesgo.• Protecciones estándar no miran
ataques pequeño.• Ataques de capa 7 crean gran
daño en datacenters
Opciones de defensa de DDOS
Firewall/IPS
Firewalls con capacidades de UTM/NGFW. Deteccion y mitigacion.
Pros: Dispositivo unico Administracion conocida
Cons: Bajo nivel de deteccion en
capa 7 Puede requerir licencias Puede impactar el
performance.
Appliance Dedicado
Appliance en linea para datacenters que protege capas 3,4 y 7 Detección y mitigación.
Pros: Protección de todos los
niveles. protección avanzada en Capa
7.
Cons*:• Un dispositivo mas.
• Puede requerir update de firmas
• Gran costo para alto perfromance.
DDoS Service Provider
Gestionado modelo de suscripción de servicio por lo general con la detección y mitigación separada.
Pros: Fácil inicio. Fácil despliegue
Cons: Excedentes de alto costo Limited flexibility Pobre nivel de conocimiento
del negocio en capa7
Proteccion DDOS: Firewalls vs. DDOS Appliance
DDOS AP.Features compartidos DDOS
ACLs
IP Reputación
Geo-localización
Source tracking
Slow attack mitigation
Address matching
100% basado hardware
Basado en Comportamiento
Granularidad por umbral
Bi-direccional
Firewalls
IPS
Firewall
UTM/NG
NAT
VPN
Data Center
Recomendación de Protección DDoSDetecciónVolumétricoCapa 3 y 4.EscalableAnomalías de Ancho de
BandaAnomalías de
Protocolo.
MitigaciónProteger infraestructuraLimite de traficoFiltro por origenBGP redirección
FirewallProtección de DoS basada en ASIC , Alto Performance, Next-Generation Firewall /UTM con control de aplicaciones.
WAFcon protección bidireccional contra la capa de aplicación ataques DoS y amenazas sofisticadas, como la inyección SQL y Cross site-scripting
Firewall DBMonitoreo de cumplimiento de reglas de negocio, revisión de cambios fuera de compliance y proteccion de ataques
Gestión total centralizada
Adiministración
Reporte
Logs
Appliance de DDOSCapa 3/4/7, Protección basada en ASIC, granularidad, detección de anomalías, capacidad adaptativa y baja latencia.
Service Provider
WAN