[lacnog] Amenaza DDoS

Roberto Feijoo rfeijoo en gigared.com.ar
Jue Dic 17 11:52:57 BRST 2015


En hora buena, adjunto un e-mail donde propuse tocar este tema de la misma manera que se abordaba el SPAM.

En el escenario actual con una Internet libre, la única forma hoy posible seria que alguien absorba el tráfico y lo envíe a un BH, de esa forma dependeríamos de los grandes jugadores y que tengan presencia mundial para que lleguen a un acuerdo entre ellos y filtren los ataques lo más cercano posible. Ya que los verdaderos ataques son muy grande como para que un mediano o pequeño ISP puede solucionarlo solo.

La otra solución posible, es una utopía, pero no estaría mal ejercitar las buenas costumbres, y sería que TODOS los ISP del mundo, se hagan cargo de su tráfico saliente, y controlen los ataques antes de que salgan al mundo exterior del ISP, de esta forma el volumen de ataque a controlar sería mucho menor, ya que es saliente del ISP y sabemos que los ataques provienen de muchísimas maquinas infectadas y de proveedores y países distintos.

Sé que el tema no es sencillo ya que hay distintos países y con regulaciones muy diferente.

 

Saludos.

 

 

 

Descripción: Descripción: logo
Roberto G. Feijoó
Jefe de centro de operaciones de red
Gigared S.A.
Donado 840 – C1427CZB
Ciudad Autónoma de Buenos Aires
Tel.: (54011)6040.6071
 <http://www.gigared.com.ar> www.gigared.com.ar 

 

De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Gabriel Cambronero
Enviado el: jueves, 17 de diciembre de 2015 09:58 a.m.
Para: Latin America and Caribbean Region Network Operators Group
Asunto: Re: [lacnog] Amenaza DDoS

 

Señores,

Primero que todo mucho gusto a todos, mi nombre es Gabriel Cambronero y tengo bajo mi responsabilidad un Data Center en Costa Rica.

Nuestro entorno actual de negocios nos ha llevado a experimentar ataques de denegación de servicio (DDoS) desde hace 3 años, que han venido incrementandose en tamaño y frecuencia en el útimo año, casualmente con el nacimiento de nuevas compañias de mitigacion de este tipo de eventos, curioso!, por lo que creo importante compartirles mi experiencia.

Hasta la fecha, no he tenido conocimiento que los ataques vengan de la mano de personas solicitando dinero (extorción), sin embargo, estos si son dirigidos a sectores muy específicos cuyo objetivo es robar clientes y en otros casos o minoría por demostrar la vulnerabilidad de las redes.

En la actualidad los ataques más frecuentes pueden ser a la Capa 3, Capa 4 y Capa 7 y van desde amplificados hasta volumétricos aprovechandose de la seguridad tan debil que muchos tenemos en redes y servidores alrededor del mundo, que, a simple vista parece ser una tarea dificil de contener y sobre la cual han emergido negocios (Servicios de Mitigacion).

En el caso nuestro en particular, nosotros tenemos servicios externos de mitigación de Capa 3 y 4 para nuestras redes, tales como: NexusGuard, Neustar, Akamai, BlackLotus, ZendEdge, Incapsula, Staminus, como todo en la vida, hay de todos los sabores y colores, acorde a nuestras necesidades y presupuestos, lo más importante es contar con un proveedor estable y que provea todas las herramientas necesarias para poder enfrentar un ataque de forma inmediata, desde un servicio "Always ON", con un Dashboard en el cual nos permita autogestionar de forma rápida un ataque mediante funciones de firewall, bloqueos geográficos e incluso servicio de "null route" en sus "Scrubbing Centers" mediante comunidades de BGP.

Al final de cuentas, estos proveedores lo que hacen es absover el tráfico mundial, procesarlo y enviarnos el tráfico limpio hasta el destino.

Coincido con muchas personas y para quienes estamos al frente de la seguridad de una red es importantísimo tener en cuenta los siguientes elementos para minimizar el impacto o exposición a este tipo de eventos, tales como: Volverse invisible, Gestionar filtrado agresivo, Identificar patrones de ataque, bloqueo de  estos patrones de tráfico y Implementar soluciones que limiten el tráfico, hablo específicamente de hardward como IPS, Firewall como lo son los famosos Arbor Networks.

Pero como si esto no fuera todo, los ataques de Capa 7 se están volviendo una moda también, al contrario de Capa 3 y Capa 4 van dirigidos a donde nos duele, directo a la aplicación, en muchos casos y producto a que mucho de lo que tenemos hoy en día es "Web Based" estos se han vuelto más frecuentes, personalmente CloudFlare lidera este nicho aunque muchos de los proveedores citados anteriormente ofrecen este servicio tambien.

Particularmente lo que me gusta de CloudFlare aparte de su increibre Panel de Control donde practicamente yo controlo mi seguridad en Capa 7 para mis sitios Webs, ellos cubren mi punto uno anterior (Volverse Invisible), es decir, un servicio de Proxy Reverso el cual oculta donde estoy físicamente reduciendo la probabilidad de exposición.

Creo que por hablar puedo serguir haciendolo sobre este tema, es uno de los muchos que me apasionan y sin duda alguna TODOS nosotros deberíamos estar muy interesados ya que la misma vulnerabilidad de nuestros servidores muchas veces son la causa de que existan estos ataques de denegación de servicio que por $150 son contratados.

Saludos,

 

 

 

2015-12-15 10:21 GMT-06:00 Arturo Servin <arturo.servin en gmail.com>:

Verisign tenia un servicio hace algun tiempo.

 

Akamai compro una compañia (Prolexic) que provee estos servicios, no se si Cloudflare los provee (Felipe podria confirmar.)

 

Slds

as

On Tue, 15 Dec 2015 at 04:52 Graciela Martinez <gmartinez en lacnic.net> wrote:

Hola. Sé que algunos ISP utilizan Arbor.

A mi me interesa mantenerme al tanto de lo que se pueda intercambiar con respecto a este tema, por lo que solicito que si se arma una discusión entre menos personas me integren a la misma.

Muchas gracias.

fdhbfbag.png

Graciela Martínez
Coordinadora de WARP
WARP Coordinator
# 4420

gbjcific.png

Casa de Internet de
Latinoamérica y el Caribe
Rambla Rep. de México 6125
11400 Montevideo-Uruguay
+598 2604 22 22  <http://www.lacnic.net> www.lacnic.net 

El 14/12/2015 a las 23:42, Tomas Lynch escribió:

2015-12-14 15:37 GMT-05:00 Christian O'Flaherty  <mailto:christian.oflaherty en gmail.com> <christian.oflaherty en gmail.com>:

Estimados,
 
Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las
últimas semanas?
 

¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes
llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red
hubiera recibido esta amenaza, hubiera colgado sin prestarle atención,
si hoy lo fuera estaría más atento. Estaría bueno que estemos todos
atentos.
 
Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar
estos ataques? Sería bueno también que la gente que está protegida nos
cuente.
 
Tomás
 

Pueden responderme offline si prefieren.
 
Christian
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

 

_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog


_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

 

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151217/ef84e78e/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image002.jpg
Type: image/jpeg
Size: 1954 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151217/ef84e78e/attachment.jpg>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image003.png
Type: image/png
Size: 3642 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151217/ef84e78e/attachment.png>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image004.png
Type: image/png
Size: 6213 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151217/ef84e78e/attachment-0001.png>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image005.jpg
Type: image/jpeg
Size: 1954 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151217/ef84e78e/attachment-0001.jpg>


Más información sobre la lista de distribución LACNOG