Protección y manejo de ataques

Anuncio
Protección, Prevención y Manejo de
Ataques del Tipo Anonymous
David Pereira
C|EI C|EH E|CSA L|PT E|NSA E|CSS C|HFI CQGS
Glosario de Términos
Protocolo TCP / IPv.4: Protocolo de Comunicaci’on Ampliamente Utilizado en Internet y
Redes Locales.
TCP: Transfer Control Protocol; Portocolo orientado a la conexión; ej; http, ftp.
UDP: User Datagram Protocol. Utilizado para envio de info. Sin necesidad de confirmación.
Paquete: Contenedor de datos a ser transmitido
Bandera o Flag: Indicador del tipo de paquete transmitido;
ACK = Acknowledge - Acuse de Recibo
PSH = Push - Paquete para Impulsar el contenido del Buffer
RST = Reset – Corta Abruptamente la conexión
FIN = Fin – Paquete para finalizar normalmente la conexión
URG = Urgent – Utilizado para dar prioridad a un paquete determinado
SYN = Synchronization – Utilizado para iniciar la transmisión
Flood: Envío masivo de paquetes hacia un puerto o servicio
Spoof: Falsificación de la dirección de origen de un paquete.
Fragmentación: Dividir en pequeños tramos los paquetes transmitidos
Botnet: Red de Zombies controlada por un atacante.
WebHive: Mecanismo por medio del cual Anonymous agrupa y controla atacantes distr.
IRC: Prptocolo de Chat de Internet
Que tipo de ataques realiza Anonymous?
Ataques Principales:
DDoS (Denegación de Servicio Distribuida)
Ataques Secundarios:
Phishing
Pharming
Doxeo
Explotación
Otros
Por que casi siempre logran el Objetivo?
Porque el Protocolo TCP/IP V.4 es débil al establecer una
conexión.
Que es un ataque DDoS?
Se Envía una cantidad excesiva de peticiones al Servidor,
obligándolo a que conteste cada una, impidiendo que
responda a
las peticiones
Reales.
Tipos de Ataques DDoS
- TCP SYN Flood
- TCP SYN-ACK Reflection Flood (DRDoS)
- TCP Spoofed SYN Flood
- TCP ACK Flood
- TCP IP Fragmented Attack
- HTTP and HTTPS Flood Attacks
- INTELLIGENT HTTP and HTTPS Attacks
- ICMP Echo Request Flood
- UDP Flood Attack
- DNS Amplification Attacks
Que dispositivos de Defensa Tenemos?
Nuestras redes perimetrales normalmente son protegidas
por:
• Firewalls
• Intrusion Detection Systems (IDS)
• Intrusion Prevention Systems (IPS)
• Honey Pots
Pero los nuevos tipos de Ataques no son detenidos por
estos dispositivos debido a que los ataques se basan en
exceso de trafico “Normal”, no considerado tráfico malicioso.
Como defenderse de un ataque DDos?
Primero: Las Alternativas Acostumbradas:
a) Absorber el Ataque
Usar capacidad adicional para absorber el ataque; requiere
planeación y recursos adicionales.
b) Degradar los Servicios
Cambiar los contenidos activos del sitio normal por
contenidos Estáticos….permitiéndole saber al atacante que
tuvo éxito.
c) Apagar los Servicios (Peor Aún)
Existe la Forma de defenderse de un ataque DDos?
La Respuesta es SI!
Existen Varias Técnicas, Procedimientos y Servicios que nos
permiten mitigar un ataque del tipo DDoS.
Algunas involucran:
Modificación de la Topología (Wan – DMZ)
Adquisición de Equipos
Contratación de Servicios
Técnicas de Mitigación de DDoS
1. Syn Proxy
Cuando un servidor recibe peticiones de conexión SYN, responde
mediante el envío de TCP SYN / ACK adicióna las entradas de conexión
en su tabla de conexión propia.
Puesto que estas direcciones IP en realidad no existen, no responden a
los SYN / ACK y por lo tanto la tabla de conexiones se mantiene llena de
conexiones falsas a la espera de un paquete ACK.
Esto efectivamente niega el acceso a las conexiones nuevas y legítimas.
SYN Proxy es un mecanismo, (Appliance) que se coloca antes del
servidor real y espera las respuestas. Hasta que la IP falsa o IPs nofalsa responde con un ACK, las solicitudes de conexión no son
reenviadas.
Técnicas de Mitigación de DDoS
2. Aggressive Aging
Algunos ataques de botnets implican la apertura de una conexión legítima
y no hacer nada en absoluto.
El envejecimiento agresivo ayuda a manejar la tabla de conexiones y la
capacidad de consumo de memoria del servidor para aumentar la
estabilidad.
Esta función introduce una serie de tiempos de espera cortos; Cuando una
conexión está inactiva durante más de su tiempo de espera agresivo, se
marca como elegible para su eliminación.
El Aggressive Aging, (dinámico) implica la eliminación de las conexiones
de las tablas y también puede implicar el envío de un paquete TCP RST al
origen de la conexión.
Técnicas de Mitigación de DDoS
3. Source Rate Limiting
Cuando hay un número limitado de ips origen para una Botnet, ella puede
utilizar sus IP para enviar paquetes con alta carga (agresivos).
Estos paquetes consumen recursos del servidor; este tipo de ataques
reciben el nombre de Multi-threaded
Mediante la identificación de valores atípicos en direcciones IP que
rompen las normas, se puede denegar el acceso a ancho de banda
excesivo.
Como las direcciones IP en este tipo de ataques no son predecibles, es
importante no perder de vista a millones de direcciones IP y su
comportamiento para aislar a los valores extremos.
Este aislamiento sólo se puede hacer en el hardware.
Técnicas de Mitigación de DDoS
4. Connection Limiting
Demasiadas conexiones pueden causar sobrecarga en un
Servidor.
Limitando el numero de solicitudes de conexiones nuevas, se
le puede dar alivio al Servidor.
Esto se logra dándole preferencia a las conexiones
existentes y limitando las solicitudes de nuevas conexiones,
permitiendo un mejor uso de la memoria del Servidor.
Técnicas de Mitigación de DDoS
5. Dynamic Filtering
El filtrado Estático es una técnica común en firewalls, routers,
etc. y se lleva a cabo por medio de ACL.
El Filtrado Dinámico es requerido cuando el tipo de ataque y
los atacantes cambian constantemente.
El Filtrado Dinámico se logra identificando los
comportamientos fuera de lo normal y castigando este
comportamiento por un periodo corto de teimpo, creando
reglas de Filtrado de corta duración durante el ataque y
eliminándolas posteriormente.
.
Técnicas de Mitigación de DDoS
6. Anomaly Recognition
Muchos ataques del tipo DDoS, se realizan por medio de
Scripts que continumente varían algunos parámetros en los
paquetes enviados.
Realizando detección de anomalías en los encabezados,
estados y tasas un Appliance puede filtrar muchos paquetes
que de otra forma lograrían llegar hasta la red libremente.
7. Protocol Analysis
Similar al Anomaly Recognition, pero aplicado a los protocolos
que llegan hasta los dispositivos.
Técnicas de Mitigación de DDoS
8. Active Verification through Legitimate IP Address
Matching
A pesar de que el SYN Proxy es uno de los mejores
mecanismos para mitigar los ataques DDoS basados en
spoofing, siempre se genera un SYN Flood de corta duración.
Si el Appliance continúa enviando paquetes SYN/ACK en
contestación, se va a generar una gran cantidad de trafico, y
por ende consumo de ancho de banda.
Para eliminar esto se hace necesario que el cache identifique
el tráfico que proviene de IP legítimas, y los alimente en una
tabla temporal, permitiéndole el paso sin las verificaciones del
Proxy.
Técnicas de Mitigación de DDoS
9. Granular Rate Limiting
Los ataques DDoS son impredecibles y en muchas oportunidades se
dirigen por medio de BOTs y Scripting; los paquetes que llegan al Servidor
son diferentes en cada ocasión,; no obstante hay similitudes entre los
paquetes en un ataque individual.
La Técnica GRL identifica las tasas de transferencia de ataques anteriores;
Los umbrales se basan en comportamiento pasado, durante sesiones de
entrenamiento y se ajustan adaptativamente en el tiempo.
La Granularidad se aplica a parámetros disponibles en las Capas 3, 4 y los
encabezados en la Capa 7; parametros como:
Origen
Puertos
URL
Cookies
Destino
Metodo HTTP
Agentes
Host Referrer
Técnicas de Mitigación de DDoS
10. White-list, Black-list, Non-tracked Sources
En cualquier red siempre hay un grupo de direcciones IP que deben ser
aprobadas o negadas.
Las Listas Blancas y Listas Negras son útiles durante los ataques DDoS
para reforzar los controles adicionales.
Debido a que las anomalías son generada por comportamiento, estos
comportamientos deben ser aprendidos basados en experiencias previas,
para poder diferenciar el comportamiento anómalo permitido del no
permitido;
Casos como el de las Copias de Seguridad que generan gran cantidad de
IOs en horas puntuales o CDN específico, Refrescos, etc.
Asi se pueden crear excepciones para trafico que no debe ser rastreado o
debe ser incluido en las excepciones.
Técnicas de Mitigación de DDoS
11. Country Based Access Control Lists (ACL)
Gran parte del tráfico Botnet se origina desde un número
limitado de Países.
Estos Países probablemente no sean orígen de tráfico normal
dentro de la Organización;
Por medio de Filtros basados en Países se puede reducir
significativamente el tráfico que recibe el Servidor y por ende
la Carga, incluido tráfico spoof.
Es recomendable la implementación de estos controles a nivel
de Hardware y no de Software por temas de desempeño.
Técnicas de Mitigación de DDoS
12. State Anomaly Recognition
El protocolo TCP es el mas comunmente utilizado para
infraestructura WEB.
Al ser orientado a conexión debe seguir ciertas reglas.
Tomando en cuenta que muchas Botnets utilizan scripting,
muchas veces se rompen esas reglas;
Un motor de reconocimiento de anomalías de estado, detecta
anomalías de transmisión TCP, paquetes en conexiones no
establecidas propiamente, y violaciones en el windowing de la
transmisión.
Técnicas de Mitigación de DDoS
13. Stealth Attack Filtering
Antes de un ataque, existen precursores, es decir señales de
que un ataque se avecina y normalmente se presentan en
forma de rastreos al Servidor.
El Sentido de un rastreo para un atacante es buscar que
puertos abiertos tiene un objetivo; identificando este tipo de
ataques y monitoreandolos se pueden asociar con conductas
hostiles y crear filtros o bloqueos para laas ip o rangos de ip
que los realicen.
Técnicas de Mitigación de DDoS
14. Dark Address Scan Prevention
Las direcciones obscuras son direcciones ip que no han sido
asignadas por la IANA.
Estas direcciones tambien reciben el nombre de direcciones
bogon.
Cualquier paquete recibido de uja de estas direcciones
normalmente esta asociado a un ataque que involucra
spoofing.
Estas direcciones deben ser bloqueadas en el firewall o
router, y asi se disminuye ampliamente el porcentage de
direcciones que pueden atacar la infraestructura.
Ejemplos de Direcciones Bogon :
•
•
•
•
108.8.180.1 (whois-info: IANA Reserved)
0.66.154.180 (whois-info: IANA Special Use, Please see RFC 3330 )
248.4.49.192 (whois-info: IANA Special Use, Please see RFC 3330 )
94.39.203.54 (whois-info: IANA Reserved)
Ejemplos de Direcciones Bogon en tablas de enrutamiento globales:
• 192.168.100.0/24 (whois-info: IANA Special Use, Please see RFC
1918)
• 198.18.0.0/15 (whois-info: IANA Special Use, Please see RFC 2544)
Técnicas de Mitigación de DDoS
15. GeoDNS
Permite redireccionar las visitas de cualquier cliente de
acuerdo al lugar geográfico en donde esta posicionado;
Tráfico Hostil Tráfico Legítimo
Pila de Mitigación
de Ataques DDoS
Particionamiento
Virtual
ACL basados en
Geolocacion
Filtro de Bogon
Detec. Anomalias de
Protocolo
Mitigacion de Flood
Inspección Stateful
Filtro s Granulares en
Capas 3 y 4
Filtrado en Capa de
Aplicación
Filtrado Algoritmico
Filtrado Heurístico
Proveedores de Servicios de Mitigación de DDoS
•
NexusGuard
•
Dragonara
•
DosFilter
•
VistNet
•
Intruguard
Appliances con capacidad de Mitigación de DDoS
• Cisco Guard XT 5650A
• Black Lotus Mitigation Pro Serie SPMP
• Intruguard
• Daedalous
Preguntas??
MUCHAS GRACIAS!!
Mail: David.pereira@4secureit.com
WEB: www.4secureit.com
Twitter: d4v1dp3r31r4
Descargar