[lacnog] Amenaza DDoS

Gabriel Cambronero gcambronero en gmail.com
Jue Dic 17 10:57:39 BRST 2015 

Señores,

Primero que todo mucho gusto a todos, mi nombre es Gabriel Cambronero y
tengo bajo mi responsabilidad un Data Center en Costa Rica.

Nuestro entorno actual de negocios nos ha llevado a experimentar ataques de
denegación de servicio (DDoS) desde hace 3 años, que han venido
incrementandose en tamaño y frecuencia en el útimo año, casualmente con el
nacimiento de nuevas compañias de mitigacion de este tipo de eventos,
curioso!, por lo que creo importante compartirles mi experiencia.

Hasta la fecha, no he tenido conocimiento que los ataques vengan de la mano
de personas solicitando dinero (extorción), sin embargo, estos si son
dirigidos a sectores muy específicos cuyo objetivo es robar clientes y en
otros casos o minoría por demostrar la vulnerabilidad de las redes.

En la actualidad los ataques más frecuentes pueden ser a la Capa 3, Capa 4
y Capa 7 y van desde amplificados hasta volumétricos aprovechandose de la
seguridad tan debil que muchos tenemos en redes y servidores alrededor del
mundo, que, a simple vista parece ser una tarea dificil de contener y sobre
la cual han emergido negocios (Servicios de Mitigacion).

En el caso nuestro en particular, nosotros tenemos servicios externos de
mitigación de Capa 3 y 4 para nuestras redes, tales como: NexusGuard,
Neustar, Akamai, BlackLotus, ZendEdge, Incapsula, Staminus, como todo en la
vida, hay de todos los sabores y colores, acorde a nuestras necesidades y
presupuestos, lo más importante es contar con un proveedor estable y que
provea todas las herramientas necesarias para poder enfrentar un ataque de
forma inmediata, desde un servicio "Always ON", con un Dashboard en el cual
nos permita autogestionar de forma rápida un ataque mediante funciones de
firewall, bloqueos geográficos e incluso servicio de "null route" en sus
"Scrubbing Centers" mediante comunidades de BGP.

Al final de cuentas, estos proveedores lo que hacen es absover el tráfico
mundial, procesarlo y enviarnos el tráfico limpio hasta el destino.

Coincido con muchas personas y para quienes estamos al frente de la
seguridad de una red es importantísimo tener en cuenta los siguientes
elementos para minimizar el impacto o exposición a este tipo de eventos,
tales como: Volverse invisible, Gestionar filtrado agresivo,
Identificar patrones
de ataque, bloqueo de  estos patrones de tráfico y Implementar soluciones que
limiten el tráfico, hablo específicamente de hardward como IPS, Firewall
como lo son los famosos Arbor Networks.

Pero como si esto no fuera todo, los ataques de Capa 7 se están volviendo
una moda también, al contrario de Capa 3 y Capa 4 van dirigidos a donde nos
duele, directo a la aplicación, en muchos casos y producto a que mucho de
lo que tenemos hoy en día es "Web Based" estos se han vuelto más
frecuentes, personalmente CloudFlare lidera este nicho aunque muchos de los
proveedores citados anteriormente ofrecen este servicio tambien.

Particularmente lo que me gusta de CloudFlare aparte de su increibre Panel
de Control donde practicamente yo controlo mi seguridad en Capa 7 para mis
sitios Webs, ellos cubren mi punto uno anterior (Volverse Invisible), es
decir, un servicio de Proxy Reverso el cual oculta donde estoy físicamente
reduciendo la probabilidad de exposición.

Creo que por hablar puedo serguir haciendolo sobre este tema, es uno de los
muchos que me apasionan y sin duda alguna TODOS nosotros deberíamos estar
muy interesados ya que la misma vulnerabilidad de nuestros servidores
muchas veces son la causa de que existan estos ataques de denegación de
servicio que por $150 son contratados.

Saludos,




2015-12-15 10:21 GMT-06:00 Arturo Servin <arturo.servin en gmail.com>:

> Verisign tenia un servicio hace algun tiempo.
>
> Akamai compro una compañia (Prolexic) que provee estos servicios, no se si
> Cloudflare los provee (Felipe podria confirmar.)
>
> Slds
> as
>
> On Tue, 15 Dec 2015 at 04:52 Graciela Martinez <gmartinez en lacnic.net>
> wrote:
>
>> Hola. Sé que algunos ISP utilizan Arbor.
>>
>> A mi me interesa mantenerme al tanto de lo que se pueda intercambiar con
>> respecto a este tema, por lo que solicito que si se arma una discusión
>> entre menos personas me integren a la misma.
>>
>> Muchas gracias.
>> [image: fdhbfbag.png]
>> *Graciela Martínez*
>> Coordinadora de WARP
>> WARP Coordinator
>> *# 4420*
>> [image: gbjcific.png]
>>
>> *Casa de Internet de Latinoamérica y el Caribe*
>> Rambla Rep. de México 6125
>> 11400 Montevideo-Uruguay
>> +598 2604 22 22 www.lacnic.net
>> El 14/12/2015 a las 23:42, Tomas Lynch escribió:
>>
>> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty <christian.oflaherty en gmail.com> <christian.oflaherty en gmail.com>:
>>
>> Estimados,
>>
>> Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las
>> últimas semanas?
>>
>>
>> ¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes
>> llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red
>> hubiera recibido esta amenaza, hubiera colgado sin prestarle atención,
>> si hoy lo fuera estaría más atento. Estaría bueno que estemos todos
>> atentos.
>>
>> Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar
>> estos ataques? Sería bueno también que la gente que está protegida nos
>> cuente.
>>
>> Tomás
>>
>>
>> Pueden responderme offline si prefieren.
>>
>> Christian
>> _______________________________________________
>> LACNOG mailing listLACNOG en lacnic.nethttps://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>> _______________________________________________
>> LACNOG mailing listLACNOG en lacnic.nethttps://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151217/6588edf4/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: gbjcific.png
Type: image/png
Size: 6213 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151217/6588edf4/attachment.png>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: fdhbfbag.png
Type: image/png
Size: 3642 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151217/6588edf4/attachment-0001.png>

Más información sobre la lista de distribución LACNOG