Protección, Prevención y Manejo de Ataques del Tipo Anonymous David Pereira C|EI C|EH E|CSA L|PT E|NSA E|CSS C|HFI CQGS Glosario de Términos Protocolo TCP / IPv.4: Protocolo de Comunicaci’on Ampliamente Utilizado en Internet y Redes Locales. TCP: Transfer Control Protocol; Portocolo orientado a la conexión; ej; http, ftp. UDP: User Datagram Protocol. Utilizado para envio de info. Sin necesidad de confirmación. Paquete: Contenedor de datos a ser transmitido Bandera o Flag: Indicador del tipo de paquete transmitido; ACK = Acknowledge - Acuse de Recibo PSH = Push - Paquete para Impulsar el contenido del Buffer RST = Reset – Corta Abruptamente la conexión FIN = Fin – Paquete para finalizar normalmente la conexión URG = Urgent – Utilizado para dar prioridad a un paquete determinado SYN = Synchronization – Utilizado para iniciar la transmisión Flood: Envío masivo de paquetes hacia un puerto o servicio Spoof: Falsificación de la dirección de origen de un paquete. Fragmentación: Dividir en pequeños tramos los paquetes transmitidos Botnet: Red de Zombies controlada por un atacante. WebHive: Mecanismo por medio del cual Anonymous agrupa y controla atacantes distr. IRC: Prptocolo de Chat de Internet Que tipo de ataques realiza Anonymous? Ataques Principales: DDoS (Denegación de Servicio Distribuida) Ataques Secundarios: Phishing Pharming Doxeo Explotación Otros Por que casi siempre logran el Objetivo? Porque el Protocolo TCP/IP V.4 es débil al establecer una conexión. Que es un ataque DDoS? Se Envía una cantidad excesiva de peticiones al Servidor, obligándolo a que conteste cada una, impidiendo que responda a las peticiones Reales. Tipos de Ataques DDoS - TCP SYN Flood - TCP SYN-ACK Reflection Flood (DRDoS) - TCP Spoofed SYN Flood - TCP ACK Flood - TCP IP Fragmented Attack - HTTP and HTTPS Flood Attacks - INTELLIGENT HTTP and HTTPS Attacks - ICMP Echo Request Flood - UDP Flood Attack - DNS Amplification Attacks Que dispositivos de Defensa Tenemos? Nuestras redes perimetrales normalmente son protegidas por: • Firewalls • Intrusion Detection Systems (IDS) • Intrusion Prevention Systems (IPS) • Honey Pots Pero los nuevos tipos de Ataques no son detenidos por estos dispositivos debido a que los ataques se basan en exceso de trafico “Normal”, no considerado tráfico malicioso. Como defenderse de un ataque DDos? Primero: Las Alternativas Acostumbradas: a) Absorber el Ataque Usar capacidad adicional para absorber el ataque; requiere planeación y recursos adicionales. b) Degradar los Servicios Cambiar los contenidos activos del sitio normal por contenidos Estáticos….permitiéndole saber al atacante que tuvo éxito. c) Apagar los Servicios (Peor Aún) Existe la Forma de defenderse de un ataque DDos? La Respuesta es SI! Existen Varias Técnicas, Procedimientos y Servicios que nos permiten mitigar un ataque del tipo DDoS. Algunas involucran: Modificación de la Topología (Wan – DMZ) Adquisición de Equipos Contratación de Servicios Técnicas de Mitigación de DDoS 1. Syn Proxy Cuando un servidor recibe peticiones de conexión SYN, responde mediante el envío de TCP SYN / ACK adicióna las entradas de conexión en su tabla de conexión propia. Puesto que estas direcciones IP en realidad no existen, no responden a los SYN / ACK y por lo tanto la tabla de conexiones se mantiene llena de conexiones falsas a la espera de un paquete ACK. Esto efectivamente niega el acceso a las conexiones nuevas y legítimas. SYN Proxy es un mecanismo, (Appliance) que se coloca antes del servidor real y espera las respuestas. Hasta que la IP falsa o IPs nofalsa responde con un ACK, las solicitudes de conexión no son reenviadas. Técnicas de Mitigación de DDoS 2. Aggressive Aging Algunos ataques de botnets implican la apertura de una conexión legítima y no hacer nada en absoluto. El envejecimiento agresivo ayuda a manejar la tabla de conexiones y la capacidad de consumo de memoria del servidor para aumentar la estabilidad. Esta función introduce una serie de tiempos de espera cortos; Cuando una conexión está inactiva durante más de su tiempo de espera agresivo, se marca como elegible para su eliminación. El Aggressive Aging, (dinámico) implica la eliminación de las conexiones de las tablas y también puede implicar el envío de un paquete TCP RST al origen de la conexión. Técnicas de Mitigación de DDoS 3. Source Rate Limiting Cuando hay un número limitado de ips origen para una Botnet, ella puede utilizar sus IP para enviar paquetes con alta carga (agresivos). Estos paquetes consumen recursos del servidor; este tipo de ataques reciben el nombre de Multi-threaded Mediante la identificación de valores atípicos en direcciones IP que rompen las normas, se puede denegar el acceso a ancho de banda excesivo. Como las direcciones IP en este tipo de ataques no son predecibles, es importante no perder de vista a millones de direcciones IP y su comportamiento para aislar a los valores extremos. Este aislamiento sólo se puede hacer en el hardware. Técnicas de Mitigación de DDoS 4. Connection Limiting Demasiadas conexiones pueden causar sobrecarga en un Servidor. Limitando el numero de solicitudes de conexiones nuevas, se le puede dar alivio al Servidor. Esto se logra dándole preferencia a las conexiones existentes y limitando las solicitudes de nuevas conexiones, permitiendo un mejor uso de la memoria del Servidor. Técnicas de Mitigación de DDoS 5. Dynamic Filtering El filtrado Estático es una técnica común en firewalls, routers, etc. y se lleva a cabo por medio de ACL. El Filtrado Dinámico es requerido cuando el tipo de ataque y los atacantes cambian constantemente. El Filtrado Dinámico se logra identificando los comportamientos fuera de lo normal y castigando este comportamiento por un periodo corto de teimpo, creando reglas de Filtrado de corta duración durante el ataque y eliminándolas posteriormente. . Técnicas de Mitigación de DDoS 6. Anomaly Recognition Muchos ataques del tipo DDoS, se realizan por medio de Scripts que continumente varían algunos parámetros en los paquetes enviados. Realizando detección de anomalías en los encabezados, estados y tasas un Appliance puede filtrar muchos paquetes que de otra forma lograrían llegar hasta la red libremente. 7. Protocol Analysis Similar al Anomaly Recognition, pero aplicado a los protocolos que llegan hasta los dispositivos. Técnicas de Mitigación de DDoS 8. Active Verification through Legitimate IP Address Matching A pesar de que el SYN Proxy es uno de los mejores mecanismos para mitigar los ataques DDoS basados en spoofing, siempre se genera un SYN Flood de corta duración. Si el Appliance continúa enviando paquetes SYN/ACK en contestación, se va a generar una gran cantidad de trafico, y por ende consumo de ancho de banda. Para eliminar esto se hace necesario que el cache identifique el tráfico que proviene de IP legítimas, y los alimente en una tabla temporal, permitiéndole el paso sin las verificaciones del Proxy. Técnicas de Mitigación de DDoS 9. Granular Rate Limiting Los ataques DDoS son impredecibles y en muchas oportunidades se dirigen por medio de BOTs y Scripting; los paquetes que llegan al Servidor son diferentes en cada ocasión,; no obstante hay similitudes entre los paquetes en un ataque individual. La Técnica GRL identifica las tasas de transferencia de ataques anteriores; Los umbrales se basan en comportamiento pasado, durante sesiones de entrenamiento y se ajustan adaptativamente en el tiempo. La Granularidad se aplica a parámetros disponibles en las Capas 3, 4 y los encabezados en la Capa 7; parametros como: Origen Puertos URL Cookies Destino Metodo HTTP Agentes Host Referrer Técnicas de Mitigación de DDoS 10. White-list, Black-list, Non-tracked Sources En cualquier red siempre hay un grupo de direcciones IP que deben ser aprobadas o negadas. Las Listas Blancas y Listas Negras son útiles durante los ataques DDoS para reforzar los controles adicionales. Debido a que las anomalías son generada por comportamiento, estos comportamientos deben ser aprendidos basados en experiencias previas, para poder diferenciar el comportamiento anómalo permitido del no permitido; Casos como el de las Copias de Seguridad que generan gran cantidad de IOs en horas puntuales o CDN específico, Refrescos, etc. Asi se pueden crear excepciones para trafico que no debe ser rastreado o debe ser incluido en las excepciones. Técnicas de Mitigación de DDoS 11. Country Based Access Control Lists (ACL) Gran parte del tráfico Botnet se origina desde un número limitado de Países. Estos Países probablemente no sean orígen de tráfico normal dentro de la Organización; Por medio de Filtros basados en Países se puede reducir significativamente el tráfico que recibe el Servidor y por ende la Carga, incluido tráfico spoof. Es recomendable la implementación de estos controles a nivel de Hardware y no de Software por temas de desempeño. Técnicas de Mitigación de DDoS 12. State Anomaly Recognition El protocolo TCP es el mas comunmente utilizado para infraestructura WEB. Al ser orientado a conexión debe seguir ciertas reglas. Tomando en cuenta que muchas Botnets utilizan scripting, muchas veces se rompen esas reglas; Un motor de reconocimiento de anomalías de estado, detecta anomalías de transmisión TCP, paquetes en conexiones no establecidas propiamente, y violaciones en el windowing de la transmisión. Técnicas de Mitigación de DDoS 13. Stealth Attack Filtering Antes de un ataque, existen precursores, es decir señales de que un ataque se avecina y normalmente se presentan en forma de rastreos al Servidor. El Sentido de un rastreo para un atacante es buscar que puertos abiertos tiene un objetivo; identificando este tipo de ataques y monitoreandolos se pueden asociar con conductas hostiles y crear filtros o bloqueos para laas ip o rangos de ip que los realicen. Técnicas de Mitigación de DDoS 14. Dark Address Scan Prevention Las direcciones obscuras son direcciones ip que no han sido asignadas por la IANA. Estas direcciones tambien reciben el nombre de direcciones bogon. Cualquier paquete recibido de uja de estas direcciones normalmente esta asociado a un ataque que involucra spoofing. Estas direcciones deben ser bloqueadas en el firewall o router, y asi se disminuye ampliamente el porcentage de direcciones que pueden atacar la infraestructura. Ejemplos de Direcciones Bogon : • • • • 108.8.180.1 (whois-info: IANA Reserved) 0.66.154.180 (whois-info: IANA Special Use, Please see RFC 3330 ) 248.4.49.192 (whois-info: IANA Special Use, Please see RFC 3330 ) 94.39.203.54 (whois-info: IANA Reserved) Ejemplos de Direcciones Bogon en tablas de enrutamiento globales: • 192.168.100.0/24 (whois-info: IANA Special Use, Please see RFC 1918) • 198.18.0.0/15 (whois-info: IANA Special Use, Please see RFC 2544) Técnicas de Mitigación de DDoS 15. GeoDNS Permite redireccionar las visitas de cualquier cliente de acuerdo al lugar geográfico en donde esta posicionado; Tráfico Hostil Tráfico Legítimo Pila de Mitigación de Ataques DDoS Particionamiento Virtual ACL basados en Geolocacion Filtro de Bogon Detec. Anomalias de Protocolo Mitigacion de Flood Inspección Stateful Filtro s Granulares en Capas 3 y 4 Filtrado en Capa de Aplicación Filtrado Algoritmico Filtrado Heurístico Proveedores de Servicios de Mitigación de DDoS • NexusGuard • Dragonara • DosFilter • VistNet • Intruguard Appliances con capacidad de Mitigación de DDoS • Cisco Guard XT 5650A • Black Lotus Mitigation Pro Serie SPMP • Intruguard • Daedalous Preguntas?? MUCHAS GRACIAS!! Mail: David.pereira@4secureit.com WEB: www.4secureit.com Twitter: d4v1dp3r31r4