<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
pre
{mso-style-priority:99;
mso-style-link:"HTML con formato previo Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Texto de globo Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";}
span.HTMLconformatoprevioCar
{mso-style-name:"HTML con formato previo Car";
mso-style-priority:99;
mso-style-link:"HTML con formato previo";
font-family:Consolas;
mso-fareast-language:ES-AR;}
span.EstiloCorreo20
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
span.TextodegloboCar
{mso-style-name:"Texto de globo Car";
mso-style-priority:99;
mso-style-link:"Texto de globo";
font-family:"Tahoma","sans-serif";
mso-fareast-language:ES-AR;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ES-AR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>En hora buena, adjunto un e-mail donde propuse tocar este tema de la misma manera que se abordaba el SPAM.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>En el escenario actual con una Internet libre, la única forma hoy posible seria que alguien absorba el tráfico y lo envíe a un BH, de esa forma dependeríamos de los grandes jugadores y que tengan presencia mundial para que lleguen a un acuerdo entre ellos y filtren los ataques lo más cercano posible. Ya que los verdaderos ataques son muy grande como para que un mediano o pequeño ISP puede solucionarlo solo.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>La otra solución posible, es una utopía, pero no estaría mal ejercitar las buenas costumbres, y sería que TODOS los ISP del mundo, se hagan cargo de su tráfico saliente, y controlen los ataques antes de que salgan al mundo exterior del ISP, de esta forma el volumen de ataque a controlar sería mucho menor, ya que es saliente del ISP y sabemos que los ataques provienen de muchísimas maquinas infectadas y de proveedores y países distintos.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Sé que el tema no es sencillo ya que hay distintos países y con regulaciones muy diferente.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Saludos.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#333333'><img width=192 height=42 id="Imagen_x0020_1" src="cid:image005.jpg@01D138B9.16881FA0" alt="Descripción: Descripción: logo"><br></span><span style='font-size:10.0pt;font-family:"Calibri","sans-serif";color:#333333'>Roberto G. <b>Feijoó</b><br>Jefe de centro de operaciones de red<br>Gigared S.A.<br>Donado 840 – C1427CZB<br>Ciudad Autónoma de Buenos Aires<br>Tel.: (54011)6040.6071<br></span><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'><a href="http://www.gigared.com.ar"><span style='font-family:"Calibri","sans-serif";color:#333333;text-decoration:none'>www.gigared.com.ar</span></a> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=ES style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>De:</span></b><span lang=ES style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> LACNOG [mailto:lacnog-bounces@lacnic.net] <b>En nombre de </b>Gabriel Cambronero<br><b>Enviado el:</b> jueves, 17 de diciembre de 2015 09:58 a.m.<br><b>Para:</b> Latin America and Caribbean Region Network Operators Group<br><b>Asunto:</b> Re: [lacnog] Amenaza DDoS<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Señores,<o:p></o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>Primero que todo mucho gusto a todos, mi nombre es Gabriel Cambronero y tengo bajo mi responsabilidad un Data Center en Costa Rica.<o:p></o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>Nuestro entorno actual de negocios nos ha llevado a experimentar ataques de denegación de servicio (DDoS) desde hace 3 años, que han venido incrementandose en tamaño y frecuencia en el útimo año, casualmente con el nacimiento de nuevas compañias de mitigacion de este tipo de eventos, curioso!, por lo que creo importante compartirles mi experiencia.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Hasta la fecha, no he tenido conocimiento que los ataques vengan de la mano de personas solicitando dinero (extorción), sin embargo, estos si son dirigidos a sectores muy específicos cuyo objetivo es robar clientes y en otros casos o minoría por demostrar la vulnerabilidad de las redes.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>En la actualidad los ataques más frecuentes pueden ser a la Capa 3, Capa 4 y Capa 7 y van desde amplificados hasta volumétricos aprovechandose de la seguridad tan debil que muchos tenemos en redes y servidores alrededor del mundo, que, a simple vista parece ser una tarea dificil de contener y sobre la cual han emergido negocios (Servicios de Mitigacion).<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>En el caso nuestro en particular, nosotros tenemos servicios externos de mitigación de Capa 3 y 4 para nuestras redes, tales como: NexusGuard, Neustar, Akamai, BlackLotus, ZendEdge, Incapsula, Staminus, como todo en la vida, hay de todos los sabores y colores, acorde a nuestras necesidades y presupuestos, lo más importante es contar con un proveedor estable y que provea todas las herramientas necesarias para poder enfrentar un ataque de forma inmediata, desde un servicio "Always ON", con un Dashboard en el cual nos permita autogestionar de forma rápida un ataque mediante funciones de firewall, bloqueos geográficos e incluso servicio de "null route" en sus "Scrubbing Centers" mediante comunidades de BGP.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Al final de cuentas, estos proveedores lo que hacen es absover el tráfico mundial, procesarlo y enviarnos el tráfico limpio hasta el destino.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Coincido con muchas personas y para quienes estamos al frente de la seguridad de una red es importantísimo tener en cuenta los siguientes elementos para minimizar el impacto o exposición a este tipo de eventos, tales como: <span lang=ES>Volverse invisible, Gestionar filtrado agresivo, Identificar patrones de ataque, bloqueo de estos patrones de tráfico y Implementar soluciones que limiten el tráfico, hablo específicamente de hardward como IPS, Firewall como lo son los famosos Arbor Networks.</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES>Pero como si esto no fuera todo, los ataques de Capa 7 se están volviendo una moda también, al contrario de Capa 3 y Capa 4 van dirigidos a donde nos duele, directo a la aplicación, en muchos casos y producto a que mucho de lo que tenemos hoy en día es "Web Based" estos se han vuelto más frecuentes, personalmente CloudFlare lidera este nicho aunque muchos de los proveedores citados anteriormente ofrecen este servicio tambien.</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES>Particularmente lo que me gusta de CloudFlare aparte de su increibre Panel de Control donde practicamente yo controlo mi seguridad en Capa 7 para mis sitios Webs, ellos cubren mi punto uno anterior (Volverse Invisible), es decir, un servicio de Proxy Reverso el cual oculta donde estoy físicamente reduciendo la probabilidad de exposición.</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES>Creo que por hablar puedo serguir haciendolo sobre este tema, es uno de los muchos que me apasionan y sin duda alguna TODOS nosotros deberíamos estar muy interesados ya que la misma vulnerabilidad de nuestros servidores muchas veces son la causa de que existan estos ataques de denegación de servicio que por $150 son contratados.</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES>Saludos,</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>2015-12-15 10:21 GMT-06:00 Arturo Servin <<a href="mailto:arturo.servin@gmail.com" target="_blank">arturo.servin@gmail.com</a>>:<o:p></o:p></p><div><p class=MsoNormal>Verisign tenia un servicio hace algun tiempo.<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Akamai compro una compañia (Prolexic) que provee estos servicios, no se si Cloudflare los provee (Felipe podria confirmar.)<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Slds<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>as<o:p></o:p></p><div><div><p class=MsoNormal>On Tue, 15 Dec 2015 at 04:52 Graciela Martinez <<a href="mailto:gmartinez@lacnic.net" target="_blank">gmartinez@lacnic.net</a>> wrote:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><p class=MsoNormal>Hola. Sé que algunos ISP utilizan Arbor.<br><br>A mi me interesa mantenerme al tanto de lo que se pueda intercambiar con respecto a este tema, por lo que solicito que si se arma una discusión entre menos personas me integren a la misma.<br><br>Muchas gracias.<o:p></o:p></p><div><div style='border:none;border-top:solid #D7D7D7 1.0pt;padding:0cm 0cm 0cm 0cm;margin-top:7.5pt;min-height:100px;border-radius:0'><div style='margin-left:10.5pt;margin-top:10.5pt;margin-right:15.0pt;float:left'><p class=MsoNormal style='background:white'><span style='font-family:"Arial","sans-serif";color:gray'><img border=0 width=136 height=72 id="_x0000_i1025" src="cid:image003.png@01D138B6.6FCACCA0" alt=fdhbfbag.png><o:p></o:p></span></p></div><div style='margin-top:10.5pt;float:left'><p class=MsoNormal style='background:white'><strong><span style='font-family:"Arial","sans-serif";color:gray'>Graciela Martínez</span></strong><span style='font-family:"Arial","sans-serif";color:gray'><br></span><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:gray'>Coordinadora de WARP</span><span style='font-family:"Arial","sans-serif";color:gray'><br></span><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:gray'>WARP Coordinator</span><span style='font-family:"Arial","sans-serif";color:gray'><br></span><b><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:gray'># 4420</span></b><span style='font-family:"Arial","sans-serif";color:gray'><o:p></o:p></span></p></div><div style='margin-left:48.0pt;margin-top:10.5pt;margin-right:10.5pt;float:left'><p class=MsoNormal style='background:white'><span style='font-family:"Arial","sans-serif";color:gray'><img border=0 width=132 height=72 id="_x0000_i1026" src="cid:image004.png@01D138B6.6FCACCA0" alt=gbjcific.png><o:p></o:p></span></p></div><div><div><div style='margin-top:10.5pt;margin-right:10.5pt;float:left'><p class=MsoNormal style='background:white'><b><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:#FDB913'>Casa de Internet de<br>Latinoamérica y el Caribe</span></b><span style='font-family:"Arial","sans-serif";color:gray'><br></span><span style='font-size:8.5pt;font-family:"Arial","sans-serif";color:#888888'>Rambla Rep. de México 6125<br>11400 Montevideo-Uruguay<br>+598 2604 22 22 <a href="http://www.lacnic.net" target="_blank"><span style='color:#FDB913'>www.lacnic.net</span></a></span><span style='font-family:"Arial","sans-serif";color:gray'> <o:p></o:p></span></p></div></div></div></div></div></div><div><div><div><div><p class=MsoNormal>El 14/12/2015 a las 23:42, Tomas Lynch escribió:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>2015-12-14 15:37 GMT-05:00 Christian O'Flaherty <a href="mailto:christian.oflaherty@gmail.com" target="_blank"><christian.oflaherty@gmail.com></a>:<o:p></o:p></pre><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Estimados,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las<o:p></o:p></pre><pre>últimas semanas?<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote><pre>¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes<o:p></o:p></pre><pre>llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red<o:p></o:p></pre><pre>hubiera recibido esta amenaza, hubiera colgado sin prestarle atención,<o:p></o:p></pre><pre>si hoy lo fuera estaría más atento. Estaría bueno que estemos todos<o:p></o:p></pre><pre>atentos.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar<o:p></o:p></pre><pre>estos ataques? Sería bueno también que la gente que está protegida nos<o:p></o:p></pre><pre>cuente.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Tomás<o:p></o:p></pre><pre><o:p> </o:p></pre><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Pueden responderme offline si prefieren.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Christian<o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>LACNOG mailing list<o:p></o:p></pre><pre><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><o:p></o:p></pre><pre><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><o:p></o:p></pre><pre>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></pre></blockquote><pre>_______________________________________________<o:p></o:p></pre><pre>LACNOG mailing list<o:p></o:p></pre><pre><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><o:p></o:p></pre><pre><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><o:p></o:p></pre><pre>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></pre></blockquote><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></div></div></blockquote></div></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><br>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></div><p class=MsoNormal><o:p> </o:p></p></div></div></body></html>