<div dir="ltr"><div><div><div>Señores,<br><br></div>Primero que todo mucho gusto a todos, mi nombre es Gabriel Cambronero y tengo bajo mi responsabilidad un Data Center en Costa Rica.<br><br></div>Nuestro entorno actual de negocios nos ha llevado a experimentar ataques de denegación de servicio (DDoS) desde hace 3 años, que han venido incrementandose en tamaño y frecuencia en el útimo año, casualmente con el nacimiento de nuevas compañias de mitigacion de este tipo de eventos, curioso!, por lo que creo importante compartirles mi experiencia.<br><br></div><div>Hasta la fecha, no he tenido conocimiento que los ataques vengan de la mano de personas solicitando dinero (extorción), sin embargo, estos si son dirigidos a sectores muy específicos cuyo objetivo es robar clientes y en otros casos o minoría por demostrar la vulnerabilidad de las redes.<br><br></div><div>En la actualidad los ataques más frecuentes pueden ser a la Capa 3, Capa 4 y Capa 7 y van desde amplificados hasta volumétricos aprovechandose de la seguridad tan debil que muchos tenemos en redes y servidores alrededor del mundo, que, a simple vista parece ser una tarea dificil de contener y sobre la cual han emergido negocios (Servicios de Mitigacion).<br><br></div><div>En el caso nuestro en particular, nosotros tenemos servicios externos de mitigación de Capa 3 y 4 para nuestras redes, tales como: NexusGuard, Neustar, Akamai, BlackLotus, ZendEdge, Incapsula, Staminus, como todo en la vida, hay de todos los sabores y colores, acorde a nuestras necesidades y presupuestos, lo más importante es contar con un proveedor estable y que provea todas las herramientas necesarias para poder enfrentar un ataque de forma inmediata, desde un servicio "Always ON", con un Dashboard en el cual nos permita autogestionar de forma rápida un ataque mediante funciones de firewall, bloqueos geográficos e incluso servicio de "null route" en sus "Scrubbing Centers" mediante comunidades de BGP.<br><br></div><div>Al final de cuentas, estos proveedores lo que hacen es absover el tráfico mundial, procesarlo y enviarnos el tráfico limpio hasta el destino.<br><br></div><div>Coincido con muchas personas y para quienes estamos al frente de la seguridad de una red es importantísimo tener en cuenta los siguientes elementos para minimizar el impacto o exposición a este tipo de eventos, tales como: <span id="result_box" class="" lang="es"><span class="">Volverse invisible</span><span class="">, Gestionar filtrado</span> <span class="">agresivo</span><span class="">, Identificar</span> <span class="">patrones de ataque</span><span class="">, bloqueo de estos patrones de tráfico</span> y <span class=""></span><span class="">Implementar</span> <span class="">soluciones</span> <span class="">que limiten el tráfico, hablo específicamente de hardward como IPS, Firewall como lo son los famosos Arbor Networks.<br><br></span></span></div><div><span id="result_box" class="" lang="es"><span class="">Pero como si esto no fuera todo, los ataques de Capa 7 se están volviendo una moda también, al contrario de Capa 3 y Capa 4 van dirigidos a donde nos duele, directo a la aplicación, en muchos casos y producto a que mucho de lo que tenemos hoy en día es "Web Based" estos se han vuelto más frecuentes, personalmente CloudFlare lidera este nicho aunque muchos de los proveedores citados anteriormente ofrecen este servicio tambien.<br><br></span></span></div><div><span id="result_box" class="" lang="es"><span class="">Particularmente lo que me gusta de CloudFlare aparte de su increibre Panel de Control donde practicamente yo controlo mi seguridad en Capa 7 para mis sitios Webs, ellos cubren mi punto uno anterior (Volverse Invisible), es decir, un servicio de Proxy Reverso el cual oculta donde estoy físicamente reduciendo la probabilidad de exposición.<br><br></span></span></div><div><span id="result_box" class="" lang="es"><span class="">Creo que por hablar puedo serguir haciendolo sobre este tema, es uno de los muchos que me apasionan y sin duda alguna TODOS nosotros deberíamos estar muy interesados ya que la misma vulnerabilidad de nuestros servidores muchas veces son la causa de que existan estos ataques de denegación de servicio que por $150 son contratados.<br><br></span></span></div><div><span id="result_box" class="" lang="es"><span class="">Saludos,<br><br></span></span></div><div><span id="result_box" class="" lang="es"><span class=""></span></span></div><div><br></div><br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-12-15 10:21 GMT-06:00 Arturo Servin <span dir="ltr"><<a href="mailto:arturo.servin@gmail.com" target="_blank">arturo.servin@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Verisign tenia un servicio hace algun tiempo.<div><br></div><div>Akamai compro una compañia (Prolexic) que provee estos servicios, no se si Cloudflare los provee (Felipe podria confirmar.)</div><div><br></div><div>Slds</div><div>as<br><br><div class="gmail_quote"><span class=""><div dir="ltr">On Tue, 15 Dec 2015 at 04:52 Graciela Martinez <<a href="mailto:gmartinez@lacnic.net" target="_blank">gmartinez@lacnic.net</a>> wrote:<br></div></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000"><span class="">
Hola. Sé que algunos ISP utilizan Arbor.<br>
<br>
A mi me interesa mantenerme al tanto de lo que se pueda intercambiar
con respecto a este tema, por lo que solicito que si se arma una
discusión entre menos personas me integren a la misma.<br>
<br>
Muchas gracias.<br>
</span><div>
<div style="min-height:100px;margin:10px 0 0 0;background-color:#fff;color:#808080;border-top:1px solid #d7d7d7;font-family:sans-serif;border-radius:0">
<div style="float:left;margin:14px 20px 0 14px"> <img src="cid:151a67082fe8948de551" alt="fdhbfbag.png" style="max-width:100%"> </div><span class="">
<div style="margin:14px 0 0 0;float:left"> <font style="font-size:16px;color:#808080"><strong>Graciela
Martínez</strong></font><br>
<font style="font-size:12px">Coordinadora de WARP</font><br>
<font style="font-size:12px">WARP Coordinator</font><br>
<font style="font-size:12px"><b># 4420</b></font><br>
</div>
</span><div style="margin:14px 14px 0 64px;float:left"> <img src="cid:151a67082fffcb34a062" alt="gbjcific.png" style="max-width:100%"> </div><div><div class="h5">
<div style="margin:14px 14px 0 0;float:left"> <font style="color:#fdb913;font-size:12px"><b>Casa de Internet
de<br>
Latinoamérica y el Caribe</b></font><br>
<font style="color:#888;font-size:11px">Rambla Rep. de
México 6125<br>
11400 Montevideo-Uruguay<br>
+598 2604 22 22 <a style="color:#fdb913" href="http://www.lacnic.net" target="_blank">www.lacnic.net</a></font> </div>
</div></div></div>
</div></div><div><div class="h5"><div bgcolor="#FFFFFF" text="#000000">
<div>El 14/12/2015 a las 23:42, Tomas Lynch
escribió:<br>
</div>
<blockquote type="cite">
<pre>2015-12-14 15:37 GMT-05:00 Christian O'Flaherty <a href="mailto:christian.oflaherty@gmail.com" target="_blank"><christian.oflaherty@gmail.com></a>:
</pre>
<blockquote type="cite">
<pre>Estimados,
Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las
últimas semanas?
</pre>
</blockquote>
<pre>¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes
llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red
hubiera recibido esta amenaza, hubiera colgado sin prestarle atención,
si hoy lo fuera estaría más atento. Estaría bueno que estemos todos
atentos.
Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar
estos ataques? Sería bueno también que la gente que está protegida nos
cuente.
Tomás
</pre>
<blockquote type="cite">
<pre>Pueden responderme offline si prefieren.
Christian
_______________________________________________
LACNOG mailing list
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a>
</pre>
</blockquote>
<pre>_______________________________________________
LACNOG mailing list
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a>
</pre>
</blockquote>
<br>
</div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</div></div></blockquote></div></div></div>
<br>_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
<br></blockquote></div><br></div>