11

Click here to load reader

Metodologia de Operacion frente a ataques

Embed Size (px)

DESCRIPTION

Metodologia de operacion para lidiar con un ataque DDOS.

Citation preview

Page 1: Metodologia de Operacion frente a ataques

MCabrera.comAsesoramiento TecnológicoInformation & Technology Strategy

PLAN DE ACCION - ATAQUES DDOS Recomendación de Procesos & Análisis de Riesgos

Octubre 2014

Page 2: Metodologia de Operacion frente a ataques

#WHOAMI

www.linkedin.com/in/cabreramartin/es

Slideshare.net/martinjcabrera

ING. MARTIN J. CABRERAProfesional en Telecomunicaciones y Tecnología de la InformaciónPerito informático Forense - Poder Judicial de la Nación

Master Business Administration (MBA) – Universidad CEMA.Ingeniero en Sistemas de Información – Universidad Abierta Interamericana.

AREAS DE TRABAJO Y RESEARCHNetworking y Sistemas de Información.Gestión de Servicios tecnológicos.Sistema de Gestión de Seguridad (SGSI).Desarrollo de planes de inversión para proyectos tecnológicos.Informática Forense.

Actualmente colaboro en la publicación de artículos en portales de divulgación tecnológica del sector. Poseo experiencia en presentaciones de proyectos tecnológicas para compañías privadas y presentaciones de tendencias tecnológicas en eventos locales de la industria.

http://www.linkedin.com/in/cabreramartin/es
http://www.slideshare.net/martinjcabrera
Page 3: Metodologia de Operacion frente a ataques

INDICE

i. Introducción.

ii. Procedimiento Operativo.iii. Metodologia.

Page 4: Metodologia de Operacion frente a ataques

INTRODUCION

TIPOS DE ATAQUEUn ataque de denegación de servicios (DoS) es un tipo de ataque informático, que causa la indisponibilidad de un servicio publicado a Internet, en base a la ocupación excesiva de un determinado recurso en una infraestructura tecnológica.

El limite de dichos recursos estará determinado por el tamaño y tipo de infraestructura tecnológica, siendo los mas comunes el consumo de ancho de banda (bandwidth) y la capacidad de procesamiento del sistema o aplicación que brinde el servicio.

Una ampliación del ataque DoS es el llamado `ataque distribuido de denegación de servicio (DDOS)`el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión. La forma más común de realizar un DDoS es a través de un maquinas infectadas (botnet), siendo esta técnica el ciberataque más usual y eficaz por su sencillez tecnológica.

http://www.digitalattackmap.com/

La gestión de este tipo de ataques, dado su volumen, naturaleza distribuida y facilidad de realización, genera grandes inconvenientes en toda infraestructura de Internet, siendo casi imposible su rápido filtrado.La utilización de una metodología de trabajo acelera el tiempo de encaminar las acciones y minimizar el impacto al servicio y reduce los tiempo de indisponibilidad.

http://www.digitalattackmap.com/
Page 5: Metodologia de Operacion frente a ataques

PROCEDIMIENTO OPERATIVO RECOMENDADO

METODOLOGIA

1. GESTION LADO `VICTIMA´ – RECOPILACION DE INFORMACIONIdentificación del tipo de ataqueRecopilación de direccionamiento IPsMedición de impacto en el servicio/server

2. GESTION PROVEEDORES DE INTERNETPedido de mitigación (Filtrado de Red/es origen)Pedido de mitigación (Peack Flow)Incremento de ancho de bandaEjecutar plan de contingencia (sitio alternativo)

3. GESTION DE TRAFICO VIA BGPContar con un esquema redundante y multiproveedor, facilita la contingencia en los momentos de ataque.La publicación de servicios en diferentes rangos IP y por diferentes upstring providers facilita la restitución del servicio para los clientes restantes.

4. PROCEDIMIENTO OPERATIVO Y GESTION DE SERVICIOEl centro de operaciones deberá contar con un procedimiento operativo que agilice las tareas a realizar en el momento del ataqueLa detección temprana del ataque permite agilizar

Page 6: Metodologia de Operacion frente a ataques

1. SERVER SIDE

RECOPILACION DE INFORMACIONEl análisis en vivo del incidente facilita la recopilación de información, que nos permite identificar y definir un plan de acción acorde a las características del ataque.

Detectando el ataque• Usando el comando netstat.• Mirando el server-status del Apache.• Mirando los logs del mod_evasive.• Mirando los logs del syslog (del kernel).• Mirando las gráficas del MRTG, NAGIOS, CACTI, ETC.

FINE TUNING DE SERVERDesde la infraestructura victima se debe iniciar un primer intento de mitigación, este procedimiento no elimina el ataque, si no que mitiga el impacto en el servicio brindado.

• Limitar la cantidad de conexiones permitidas por cada IP individual.-• Limitar el número de conexiones por segundo.• Limitar el tiempo en que cada cliente permanece conectado.• Configuración del firewall del sistema (IpTables).• Modulos del servidor httpd-• Si la aplicación atacada tiene una audiencia identificable, por ejemplo, clientes de Argentina, las

peticiones provenientes desde otros sitios ser blockeadas mediante uso de blacklists de rangos.

Seguir las recomendaciones de la documentación oficial: http://httpd.apache.org/docs/trunk/misc/security_tips.html

http://httpd.apache.org/docs/trunk/misc/security_tips.html
Page 7: Metodologia de Operacion frente a ataques

2. ACUERDOS DE INTERCONEXION

PROVEEDORES DE INTERNETSe debe contar con un acuerdo de interconexión que facilite el dialogo y la atención de reclamos con el/los proveedor/es del servicio de internet.

Lograr acuerdos de monitoria y detección temprana de eventos.-Ejecutar procedimientos y planes de acción previamente acordados.-Implementación de servicio de mitigación.-Control de trafico excedente (acuerdos burst).-

Implementación de Infraestructuras tecnológicas robustas, incluyendo:FirewallBalanceo de cargaProxy reversoContingencia

SERVICIOS DE MITIGACION Y SCRUBBINGAcorde al modelo de negocio, se deberá analizar el ruteo del trafico a sistemas de mitigación externos denominados “DDOS RESISTANCE”

Page 8: Metodologia de Operacion frente a ataques

3. GESTION DE TRAFICO VIA BGP

GESTION DE TRAFICO DE INTERNETSe deberá contar con un esquema de publicación de redes dinámico, utilizando BGPv4.

Se deberá contar con un plan de asignación de direccionamiento IP que considere la publicación de los sitios susceptibles a ataques en rangos y vínculos dedicados y diferentes al resto de la infraestructura de red.

Se recomienda la utilización de un Número de Sistema Autónomo (ASN) que permita la publicación de cada rango ip en forma independiente y otorgue la gestión del trafico de internet a administrador del sistema.

Se recomienda contar con un vinculo de Internet “secundario” de poca capacidad, utilizado para publicar el direccionamiento IP mientras se prolongo el ataque

Page 9: Metodologia de Operacion frente a ataques

4. PROCEDIMIENTO OPERATIVO Y GESTION DE SERVICIO

GESTION DE INCIDENTESe deberá documentar cada nueva incidencia con el objetivo de establecer un proceso de mejora en cada nuevo evento. A su vez, esta revisión periódica permite la identificación de puntos comunes y establece nuevas ítems a considerar.

SISTEMA DE MONITORIA - DETECCION TEMPRANALa detección temprana del ataque permite agilizar el proceso de mitigación, por lo cual se recomienda:

Definición de umbrales de trabajo (máximo, mínimos y valores de alerta)Conocimiento del perfil de trafico

Page 10: Metodologia de Operacion frente a ataques

ANEXO TECNICO

BOTNETUna roBOT NETwork es un software de control y acceso remoto, instalado sin la autorización del usuario, en un sistema de computación.

PARA QUE SON USADAS• Distributed Denial of Service Attacks (DDoS).-• Spamming.-• Sniffing Traffic & Key logging.-• Robo de Identidad.-• Attacking IRC Chat Networks.-• Hosting de software illegal.-• Google AdSense Abuse & Advertisement Addons.-• Manipulación de encuestas online.-

Page 11: Metodologia de Operacion frente a ataques

Gracias.-

ING. MARTIN J. CABRERAProfesional en Telecomunicacionesemail: [email protected]óvil: (15) 5004-3618Buenos Aires, Argentina

mailto:[email protected]

Manual Operacion

Manual Operacion

Documents
Ataques Capa 3

Ataques Capa 3

Documents
Operacion primicia

Operacion primicia

Documents
Operacion decantadores

Operacion decantadores

Documents
Ataques y vulnerabilidades

Ataques y vulnerabilidades

Documents
Operacion Cesarea

Operacion Cesarea

Documents
Operacion Kuka

Operacion Kuka

Documents
Articulo Ataques Phising

Articulo Ataques Phising

Documents
Operacion Calderas

Operacion Calderas

Documents
PC1500XE Operacion

PC1500XE Operacion

Documents
Ataques y contramedidas

Ataques y contramedidas

Documents
Ataques Cardiacos

Ataques Cardiacos

Education
Servicios Amenazas Ataques

Servicios Amenazas Ataques

Documents
Ajedrez Partidas ataques

Ajedrez Partidas ataques

Entertainment & Humor
Preguntas- Ataques Biónicos

Preguntas- Ataques Biónicos

Documents
artroscopia de rodilla, operacion de rodilla, operacion de menisco

artroscopia de rodilla, operacion de rodilla, operacion de menisco

Health & Medicine
Ataques Al Rey

Ataques Al Rey

Documents
Ataques más comunes

Ataques más comunes

Documents
Ataques psiquicos

Ataques psiquicos

Documents
1 - Ataques

1 - Ataques

Documents
Ataques a sistemas

Ataques a sistemas

Documents
Ataques Periodistas 2014

Ataques Periodistas 2014

Documents
operacion d9t.pdf

operacion d9t.pdf

Documents
Ataques Web

Ataques Web

Documents
OPERACION RESCATE

OPERACION RESCATE

Documents
Ataques Mim

Ataques Mim

Documents
Ataques en Voip

Ataques en Voip

Documents
Operacion retroexcavadora

Operacion retroexcavadora

Documents
TESINA METODOLOGIA DE OPERACION DE EQUIPOS CNC

TESINA METODOLOGIA DE OPERACION DE EQUIPOS CNC

Documents
TH-75E.pdf · 3. OPERACION CONTROLES DE OPERACION OPERACION DE RECEPCION.... OPERACION DE TRANSMISION . MEMORIA EXPLORACION. ... Este jack sirve para conectar un altavoz externo o

TH-75E.pdf · 3. OPERACION CONTROLES DE OPERACION OPERACION DE RECEPCION.... OPERACION DE TRANSMISION . MEMORIA EXPLORACION. ... Este jack sirve para conectar un altavoz externo o

Documents