‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Solución de Seguridad Administrada del Proveedor de Servicios Servicios de Protección DDoS Presentación TDM Octubre de 2005

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Agenda Caso Sólido para Protección DDoS Vista General de Protección DDoS Resumen Técnico del Servicio Descripciones Detalladas del Servicio Conclusiones

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Tendencias Macro Alimentando los Ataques DDoS La Explosión de Banda Ancha ha resultado en números cada vez mayores de PCs caseras con conexiones a Internet siempre activas inseguras El crecimiento de Comercio Electrónico ha provocado que la dependencia de Internet sea más crítica que nunca antes La globalización debida a la explosión de dot coms, la subcontratación y las aplicaciones p2p ha aumentado el intercambio de tráfico internacional en forma significativa La mayoría de los ataques son lanzados desde ubicaciones multinacionales - muy difíciles de aislar y de tomar acción en contra de los extorsionadores

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID El Paradigma de Seguridad Está Cambiando Las amenazas de seguridad son más dañinas para los negocios que nunca antes Impacto directo sobre la rentabilidad Pérdida de ingresos debida a tiempos de caídas y daños colaterales La pérdida de credibilidad produce daños perdurables sobre la reputación del negocio Daños del "Día Cero" Los ataques que se propagan velozmente (gusanos y virus) ocurren demasiado rápido para que los productos reactivos los puedan manejar – Se requiere una solución proactiva Las obligaciones legales requieren efectuar las acciones debidas Ley de Portabilidad de los Seguros de Salud y de Responsabilidades (HIPAA) Ley Sarbannes Oxley Ley Gramm-Leach–Bliley (GLBA) Ley de Protección de los Datos de la Unión Europea Las empresas no pueden enfrentar esto solas – ¡es casi imposible! Muchas de estas amenazas de seguridad pueden ser evitadas en la red del SP Las empresas deben asociarse con el SP para construir un mecanismo de defensa en capas que haga que su infraestructura de red sea a prueba de balas

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Impactos Causados por la Negación del Servicio l Los incidentes en los sitios Web han aumentado dramáticamente l Las organizaciones no están reportando pérdidas derivadas de ataques DDoS para evitar "publicidad negativa" Conclusiones Clave del Reporte

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Los Ataques DDoS Por Día Aún Continúan Siendo Muy Altos

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Tendencias Recientes de la Industria acerca de los Ataques DDoS Los Ataques DDoS están impactando a todos los negocios principales Finanzas, Cuidados de la Salud, Gobierno Federal, Manufactura, Comercio Electrónico, Retail, Temporada de vacaciones, eventos deportivos importantes para los medios, juegos en línea Los ataques enfocados con demandas específicas de extorsión están aumentando 16% de ataques enfocados con demandas de extorsión, en comparación a 4% el año pasado Las Demandas de Extorsión cubren desde $10,000 a algunos millones Ataques contra los negocios de todos los tamaños, de todos los segmentos del mercado “La extorsión se está convirtiendo en algo más común,” dice Ed Amoroso, director de seguridad de la información de AT&T. "Está ocurriendo de forma suficiente que ya no nos sorprende." La extorsión mediante DDoS está creciendo, Network World, 16/05/05 ( “En los ultimos ocho meses hemos detectado un aumento de los grupos de atacantes más organizados que están intentando extorsionar dinero de los usuarios,” dice Rob Rigby, director de servicios de seguridad administrados de MCI Inc. La extorsión mediante DDoS está creciendo, Network World, 16/05/05 (

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID BOTNETS – Facilitando Ataques DDoSCE Instalación del cliente: Servidor/FW/Switch/Ruteador Zombies Extorsionador Conexión de la Última Milla Ruteador del Borde del ISP ¡BOTNETs para Rentar! Un BOTNET está compuesto de computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central Los BOTNETs permiten todos los tipos de ataques DDOS: Ataques ICMP, Ataques TCP, Ataques UDP y sobrecarga de http Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades más recientes de los sistemas Un BOTNET relativamente pequeño con únicamente 1000 zombies puede causar una gran cantidad de daños. Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer más de 100MBit/s ¡El tamaño de los ataques está aumentando constantemente!

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Impacto de los Ataques DDoS En todas las capas de la red Aplicaciones Los ataques aprovechan el uso de TCP/HTTP para abrumar los recursos computacionales Host/servidores Los ataques intentan sobrecargar los recursos utilizando ataques de protocolos—Los servidores críticos no responderán a una solicitud normal Ancho de Banda Los ataques saturan el ancho de banda de las conexiones de datos IP que limitan o bloquean los flujos legítimos de tráfico Infraestructura Los ataques están dirigidos hacia los activos críticos de la red incluyendo ruteadores, servidores DNS/DHCP y otros dispositivos que permiten conexiones a la red Daños colaterales Los ataques impactan a los dispositivos que no son blancos originales de los ataques y sobrecargan los dispositivos de cómputo que transportan al ataque DDoS

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Amenazas DDoS - Expectativas de las Empresas Los clientes requieren de un SP con visibilidad a Internet/redes para lograr que el problema DDoS "se disipe" – Los clientes empresariales conocedores pueden detener al ataque en sus sitios, pero el daño habrá ocurrido Los clientes necesitan que la protección sea automática – La mitigación en la red y la protección de la última milla son sumamente críticos para la disponibilidad de la red del cliente y para la continuidad del negocio La protección entrante y saliente es necesaria – DoS saliente y el tráfico de gusanos son amenazas igualmente importantes para la disponibilidad y son fuentes potenciales de responsabilidad legal como lo es el tráfico entrante Las empresas pueden adquirir los servicios de Protección DDoS administrados para mitigar estos ataques antes de que saturen el ancho de banda de la última milla – ¡hoy!

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Sistema de Defensa en Capas en Contra de Amenazas Protección DDoS – Disponible Hoy SISTEMA DE DEFENSA CONTRA AMENAZAS Protege servidores/computadoras de escritorio Evita el desbordamiento de buffers Controla la conexión a los puertos Valida la política de acceso para asegurar cumplimiento de parches/AV Bloquea al sistema Protege servidores/computadoras de escritorio Evita el desbordamiento de buffers Controla la conexión a los puertos Valida la política de acceso para asegurar cumplimiento de parches/AV Bloquea al sistema Seguridad de Puntos Extremos Limita la propagación de gusanos Controla los intentos de conexión Límite a el tráfico entrante hacia el servidor (ingress) Bloque era el tráfico saliente para limitar la infección (egress) Valida la adherencia a protocolos Limita la propagación de gusanos Controla los intentos de conexión Límite a el tráfico entrante hacia el servidor (ingress) Bloque era el tráfico saliente para limitar la infección (egress) Valida la adherencia a protocolos Firewall/Control de Acceso Detección de anomalías y mitigación Minimiza los impactos de los ataques DDOS Escala a los ataques más grandes Activación en tiempo real para reducir la ventana de vulnerabilidad Visibilidad del tráfico de la red Servicio de Protección DDoS Servicios VPN capa 2/3 Segmenta la red (VLANs privados) VPN SSL "Snooping" DHCP Inspección ARP dinámica Guardia BPDU por Puerto Bloqueo de inundación de los puertos Servicios VPN capa 2/3 Segmenta la red (VLANs privados) VPN SSL "Snooping" DHCP Inspección ARP dinámica Guardia BPDU por Puerto Bloqueo de inundación de los puertos Conectividad Segura Administración del sistema TDSS Monitoreo de seguridad unificado Configuración de dispositivos coordinada Administración del sistema TDSS Monitoreo de seguridad unificado Configuración de dispositivos coordinada Administración Seguridad Web Cuarentena Filtraje del Puerto 80 Filtraje URL Limpieza del contenido almacenado/enviado Seguridad Web Cuarentena Filtraje del Puerto 80 Filtraje URL Limpieza del contenido almacenado/enviado Seguridad del Contenido Detecta los gusanos y su propagación Identificación de ataques Mitigación de ataques Análisis forense Detecta los gusanos y su propagación Identificación de ataques Mitigación de ataques Análisis forense IDS/IPS

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Agenda Caso Sólido para Protección DDoS Vista General de Protección DDoS Resumen Técnico del Servicio Descripciones Detalladas del Servicio Conclusiones

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Conexión de Última Milla Servicio Administrado de Protección DDoS para Redes Para Clientes Empresariales y SMB Núcleo del SP Borde CE Detector Cisco Conexión WAN fuera de banda Ruteador de Notificación Tráfico Legitimo + de Ataque a Enfocar Proceso de Multiverificación (MVP) Limpieza de Tráfico Inyección Centro de Limpieza - DC Internet NOC Cliente Empresarial Instalación del cliente: Servidor/FW/Switch/Ruteador Protección DDoS Administrada de Redes Elementos Funcionales Clave Detección de Amenazas NetFlow/Arbor Peakflow SP Detector Cisco Mitigación Cisco Guard Centro de Limpieza- CA Ataque DDoS

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Protección DDoS – Servicios Administrados Beneficios para los Clientes (Impulsando la Categoría de Socio Confiable) Requiere ser manejado en la nube – Las empresas entienden el cuello de botella de la última milla y el beneficio de la protección upstream Menor TCO, Máxima protección: La inversión en los servicios de protección es fácilmente justificable al ser comparada con la pérdida de ingresos creada por el tiempo de caída de la red, por la pérdida de credibilidad y por pagos de rescate a los extorsionadores Mitigación Proactiva en Tiempo Real: La mitigación de los ataques ocurren en tiempo real rápidamente, antes de que la última milla y los recursos del centro de datos sean abrumados Protege el ancho de banda de la última milla: Permite el aprovisionamiento económico del ancho de banda de la última milla, únicamente para las tasas de tráfico legítimas Protección en contra de ataques muy amplios: La capacidad de limpieza está basada en “el tamaño máximo de ataque” en lugar del ancho de banda de la conexión de la última milla Continuidad del Negocio: Mejora el tiempo de operación de la red, lo cual resulta en una mejor experiencia para los clientes y su retención, así como una mejor reputación de la empresa

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Servicios DDoS Administrados Beneficios Ventajas: Protege el ancho de banda de la última milla así como el centro de datos — el ancho de banda típico de la última milla no puede resistir ataques sin una actualización significativa Protección en contra de los ataques más amplios, no está limitada por el tamaño del ancho de banda de la última milla — Los ataques han alcanzado hasta 5 Gbps Permite el aprovisionamiento económico del ancho de banda de la última milla y de la capacidad de los dispositivos del borde únicamente para las tasas legítimas de tráfico (Ninguna sorpresa de cargos por ráfagas de los ataques DDoS) La protección upstream cubre económicamente múltiples centros de datos Aproveche el SOC del proveedor en lugar de intentar mantener altos conocimientos internos acerca de ataques DDoS

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Agenda Caso Sólido para Protección DDoS Vista General de Protección DDoS Descripción Técnica del Servicio Descripciones Detalladas del Servicio Conclusiones

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Ciclo de Vida de la Protección DDoS

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Proceso de Detección 1. Los ataques son lanzados por extorsionadores a través de BOTNETS. 2a. Cisco Detector en las instalaciones del cliente puede detectar en forma precisa cuando el cliente está bajo ataque. 2b. Las estadísticas de Netflow desde los Ruteadores Cisco son exportadas a Arbor Peakflow del SP para correlación. Las anomalías son revisadas para detectar un comportamiento inesperados del tráfico. 2c. El Detector o Arbor Peakflow del SP le indica al Guard que un ataque ha comenzado. PASOS

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID PASOS Proceso de Mitigación 3a. Un anuncio BGP es el mecanismo utilizado para desviar el tráfico a Cisco Guard 3b. Todo el tráfico (malicioso y legítimo) dirigido al destino atacado se redirecciona al Guard 4. Cisco Guard descarta las anomalías DDoS y permite únicamente que el tráfico legítimo continúe 5. El tráfico limpiado se inyecta de regreso a la ruta de datos para que llegue a su destino El tráfico es monitoreado continuamente por Netflow y por Cisco Detector

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Agenda Caso Sólido para Protección DDoS Vista General de Protección DDoS Descripción Técnica del Servicio Descripciones Detalladas del Servicio Conclusiones

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Solución de Protección DDoS Descripción del Servicio Nombre del ServicioDescripción del Servicio Protección DDoS Administrada para Redes Protección para el ancho de banda de la última milla y los recursos del centro de datos de la empresa (servidores web, servidores DHCP, DNS, etc.) Servicio de Generación de Ingresos de Alto Perfil Enfoque sobre la disponibilidad de la red y continuidad del negocio Oferta de servicio en capas basada en la "capacidad de limpieza" de modelos dedicados o compartidos El cliente mantiene el control, servicio no invasivo

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Protección DDoS Administrada para las Redes Definición del Servicio Las empresas muy grandes con sus propios centros de datos probablemente necesitarán servicios "dedicados / premium" Empresas de tamaño medio y pequeñas: Las opciones de servicios compartidos probablemente sean más adecuadas para este segmento Los servicios "compartidos" para las empresas grandes con sus propios centros de datos frecuentemente siguen a las ofertas dedicadas Definición para los modelos "dedicados" y "compartidos" Dedicados: Capacidad comprometida hasta multi-gigabits; aprendizaje de políticas y personalización; soporte para señalización y aprendizaje de equipo CPE Compartidos Capacidad compartida hasta un límite; restricciones acerca de la utilización; perfiles seleccionados de default; ninguna integración de equipo CPE

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Protección DDoS Administrada para Redes Características Típicas del Servicio Activación del servicio Los proveedores soportan activación aprobada manualmente o automática La mayoría ofrecen monitoreo del backbone utilizando Netflow (ejemplo, Arbor) aunque algunos dependen únicamente en alertas basadas en CPE La mayoría también soportan, pero no administran, Detector CPE para monitorear y generar alertas Aceptan activación manual o automática – prefieren BGP del cliente Algunos planean portal de servicio para el cliente (ejemplo, Arbor SP 3.4 2H05) Personalización y Aprendizaje: Típicamente, esto es para un nivel de servicio premium / dedicado La característica importante Rel 5 (2QCY05) permite que el Detector CPE aprenda y exporte líneas de referencia/políticas al proveedor Auditorías del servidor NOC ajustan los umbrales globales y los distribuyen Reportes: Sistema manual o personalizado utilizando Guard XML reporta la salida También portales SP en el futuro (ejemplo, Arbor) con monitoreo de Guard

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Protección DDoS Administrada para Redes Discusión del SLA Un SLA típicamente cubre la “tubería” mas no el servicio/aplicaciones Los ataques que no sean DDoS aún podrán impactar la disponibilidad de los servidores y aplicaciones Capacidad comprometida de mitigación para el servicio “dedicado” Capacidad máxima de mitigación y uso total para el servicio “compartido” Lista especificada de ataques contra los cuales puede proteger Tiempo de respuesta (desde el momento de la llamada inicial a la activación de mitigación) Personalización soportada Equipo CPE / portales soportados Reportes para el cliente

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Agenda Caso Sólido para Protección DDoS Vista General de Protección DDoS Resumen Técnico del Servicio Descripciones Detalladas del Servicio Conclusiones

‹Nº› © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Conclusiones La economía malhechora llegó para quedarse y está creciendo a un paso alarmante Los ataques DDoS son reales y le pueden pegar a cualquier empresa en cualquier momento Los Servicios de Protección DDoS Administrados disponibles en la actualidad, responden a los puntos de dolor del cliente relacionados a la disponibilidad de la red y a la continuidad del negocio Las opciones flexibles de servicio permiten que los Corporativos mantengan el control