MCabrera.com 
Asesoramiento Tecnológico 
Information& TechnologyStrategyPLAN DE ACCION -ATAQUES DDOS 
Recomendación de Pro...
#WHOAMI 
www.linkedin.com/in/cabreramartin/es 
Slideshare.net/martinjcabrera 
ING. MARTIN J. CABRERA 
Profesional en Telec...
INDICE 
i.Introducción. 
ii.Procedimiento Operativo. 
iii.Metodologia.
INTRODUCION 
TIPOS DE ATAQUE 
Un ataque de denegación de servicios (DoS) es un tipo de ataque informático, que causa la in...
PROCEDIMIENTO OPERATIVO RECOMENDADO 
METODOLOGIA 
1. GESTION LADO `VICTIMA´–RECOPILACION DE INFORMACION 
Identificación de...
1. SERVER SIDE 
RECOPILACION DE INFORMACION 
El análisis en vivodel incidente facilita la recopilación de información, que...
2.ACUERDOS DE INTERCONEXION 
PROVEEDORES DE INTERNET 
Se debe contar con un acuerdo de interconexión que facilite el dialo...
3. GESTION DE TRAFICO VIA BGP 
GESTION DE TRAFICO DE INTERNET 
Se deberá contar con un esquema de publicación de redes din...
4. PROCEDIMIENTO OPERATIVO Y GESTION DE SERVICIO 
GESTION DE INCIDENTE 
Se deberá documentar cada nueva incidencia con el ...
ANEXO TECNICO 
BOTNET 
Una roBOTNETworkes un software de control y acceso remoto, instalado sin la autorización del usuari...
Gracias.- 
ING. MARTIN J. CABRERA 
Profesional en Telecomunicaciones 
email:mc@mcabrera.com móvil: (15) 5004-3618Buenos Ai...
Próxima SlideShare
Cargando en…5
×

Metodologia de Operacion frente a ataques

389 visualizaciones

Publicado el

Metodologia de operacion para lidiar con un ataque DDOS.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
389
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
7
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Metodologia de Operacion frente a ataques

  1. 1. MCabrera.com Asesoramiento Tecnológico Information& TechnologyStrategyPLAN DE ACCION -ATAQUES DDOS Recomendación de Procesos & Análisis de Riesgos Octubre 2014
  2. 2. #WHOAMI www.linkedin.com/in/cabreramartin/es Slideshare.net/martinjcabrera ING. MARTIN J. CABRERA Profesional en Telecomunicaciones y Tecnología de la Información Perito informático Forense -Poder Judicial de la Nación MasterBusiness Administration(MBA) –Universidad CEMA. Ingeniero en Sistemas de Información –Universidad Abierta Interamericana. AREAS DE TRABAJO Y RESEARCH Networkingy Sistemas de Información. Gestión de Servicios tecnológicos. Sistema de Gestión de Seguridad (SGSI). Desarrollo de planes de inversión para proyectos tecnológicos. Informática Forense. Actualmente colaboro en la publicación de artículos en portales de divulgación tecnológica del sector. Poseo experiencia en presentaciones de proyectos tecnológicas para compañías privadas y presentaciones de tendencias tecnológicas en eventos locales de la industria.
  3. 3. INDICE i.Introducción. ii.Procedimiento Operativo. iii.Metodologia.
  4. 4. INTRODUCION TIPOS DE ATAQUE Un ataque de denegación de servicios (DoS) es un tipo de ataque informático, que causa la indisponibilidad de un servicio publicado a Internet, en base a la ocupación excesiva de un determinado recurso en una infraestructura tecnológica. El limite de dichos recursos estará determinado por el tamaño y tipo de infraestructura tecnológica, siendo los mas comunes el consumo de ancho de banda (bandwidth) y la capacidad de procesamiento del sistema o aplicación que brinde el servicio. Una ampliación del ataque DoSes el llamado`ataque distribuido de denegación de servicio (DDOS)` el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión. La forma más común de realizar un DDoSes a través de un maquinas infectadas (botnet), siendo esta técnica elciberataquemás usual y eficaz por su sencillez tecnológica. http://www.digitalattackmap.com/ La gestión de este tipo de ataques, dado su volumen, naturaleza distribuida y facilidad de realización, genera grandes inconvenientes en toda infraestructura de Internet, siendo casi imposible su rápido filtrado. La utilización de una metodología de trabajo acelera el tiempo de encaminar las acciones y minimizar el impacto al servicio y reduce los tiempo de indisponibilidad.
  5. 5. PROCEDIMIENTO OPERATIVO RECOMENDADO METODOLOGIA 1. GESTION LADO `VICTIMA´–RECOPILACION DE INFORMACION Identificación del tipo de ataque Recopilación de direccionamiento IPs Medición de impacto en el servicio/server 2. GESTION PROVEEDORES DE INTERNET Pedido de mitigación (Filtrado de Red/es origen) Pedido de mitigación (PeackFlow) Incremento de ancho de banda Ejecutar plan de contingencia (sitio alternativo) 3. GESTION DE TRAFICO VIA BGP Contar con un esquema redundante y multiproveedor, facilita la contingencia en los momentos de ataque. La publicación de servicios en diferentes rangos IP y por diferentes upstringprovidersfacilita la restitución del servicio para los clientes restantes. 4. PROCEDIMIENTO OPERATIVO Y GESTION DE SERVICIO El centro de operaciones deberá contar con un procedimiento operativo que agilice las tareas a realizar en el momento del ataque La detección temprana del ataque permite agilizar
  6. 6. 1. SERVER SIDE RECOPILACION DE INFORMACION El análisis en vivodel incidente facilita la recopilación de información, que nos permite identificar y definir un plan de acción acorde a las características del ataque. Detectando el ataque •Usando el comando netstat. •Mirando el server-status del Apache. •Mirando los logsdel mod_evasive. •Mirando los logsdel syslog(del kernel). •Mirando las gráficas del MRTG, NAGIOS, CACTI, ETC. FINE TUNING DE SERVER Desde la infraestructura victima se debe iniciar un primer intento de mitigación, este procedimiento no elimina el ataque, si no que mitiga el impacto en el servicio brindado. •Limitar la cantidad de conexiones permitidas por cada IP individual.- •Limitar el número de conexiones por segundo. •Limitar el tiempo en que cada cliente permanece conectado. •Configuración del firewall del sistema (IpTables). •Modulosdel servidor httpd- •Si la aplicación atacada tiene una audiencia identificable, por ejemplo, clientes de Argentina, las peticiones provenientes desde otros sitios ser blockeadasmediante uso de blacklistsde rangos. Seguir las recomendaciones de la documentación oficial: http://httpd.apache.org/docs/trunk/misc/security_tips.html
  7. 7. 2.ACUERDOS DE INTERCONEXION PROVEEDORES DE INTERNET Se debe contar con un acuerdo de interconexión que facilite el dialogo y la atención de reclamos con el/los proveedor/es del servicio de internet. Lograr acuerdos de monitoria y detección temprana de eventos.- Ejecutar procedimientos y planes de acción previamente acordados.- Implementación de servicio de mitigación.- Control de trafico excedente (acuerdos burst).- Implementación de Infraestructuras tecnológicas robustas, incluyendo: Firewall Balanceo de carga Proxy reverso Contingencia SERVICIOS DE MITIGACION Y SCRUBBING Acorde al modelo de negocio, se deberá analizar el ruteo del trafico a sistemas de mitigación externos denominados “DDOS RESISTANCE”
  8. 8. 3. GESTION DE TRAFICO VIA BGP GESTION DE TRAFICO DE INTERNET Se deberá contar con un esquema de publicación de redes dinámico, utilizando BGPv4. Se deberá contar con un plan de asignación de direccionamiento IP que considere la publicación de los sitios susceptibles a ataques en rangos y vínculos dedicados y diferentes al resto de la infraestructura de red. Se recomienda la utilización de un Número de Sistema Autónomo (ASN) que permita la publicación de cada rango ipen forma independiente y otorgue la gestión del trafico de internet a administrador del sistema. Se recomienda contar con un vinculo de Internet “secundario” de poca capacidad, utilizado para publicar el direccionamiento IP mientras se prolongo el ataque
  9. 9. 4. PROCEDIMIENTO OPERATIVO Y GESTION DE SERVICIO GESTION DE INCIDENTE Se deberá documentar cada nueva incidencia con el objetivo de establecer un proceso de mejora en cada nuevo evento. A su vez, esta revisión periódica permite la identificación de puntos comunes y establece nuevas ítems a considerar. SISTEMA DE MONITORIA -DETECCION TEMPRANA La detección temprana del ataque permite agilizar el proceso de mitigación, por lo cual se recomienda: Definición de umbrales de trabajo (máximo, mínimos y valores de alerta) Conocimiento del perfil de trafico
  10. 10. ANEXO TECNICO BOTNET Una roBOTNETworkes un software de control y acceso remoto, instalado sin la autorización del usuario, en un sistema de computación. PARA QUE SON USADAS •Distributed Denial of Service Attacks (DDoS).- •Spamming.- •Sniffing Traffic & Key logging.- •Robo de Identidad.- •Attacking IRC Chat Networks.- •Hosting de software illegal.- •Google AdSense Abuse & Advertisement Addons.- •Manipulación de encuestas online.-
  11. 11. Gracias.- ING. MARTIN J. CABRERA Profesional en Telecomunicaciones email:mc@mcabrera.com móvil: (15) 5004-3618Buenos Aires, Argentina

×