Upload
amazon-web-services-latam
View
782
Download
2
Embed Size (px)
Citation preview
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
.
Mayo 2016
Defendiéndose de Ataques DDoS Ivan Salazar, Enterprise Solutions Architect AWS
Gerardo Littman, Systems Engineer, Palo Alto Networks
Objetivos de hoy
• Ataques comunes: Los ataques más comunes de negación de servicio distribuidos (DDoS)
• Mitigaciones: Se utilizan para proteger la infraestructura de AWS
• Arquitectura: Tomar ventaja de las capacidades de mitigación
Ataques comúnes
Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMPRESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
LOS MEGA ATAQUES AUMENTAN
Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
LOS MEGA ATAQUES AUMENTAN
ATAQUES DDOS REFLECTION ESTAN DE REGRESO
Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
LOS MEGA ATAQUES AUMENTAN
DDOS REFLECTION ATTACKS ARE BACK
LA NUEVA NORMA: ATAQUES DDOS DE 200 – 400 GBPS
1.04 39 Tamaño promedio
de un ataque DDoS
Fuente: Arbor Networks
Duración promedio de ataques > 10 Gbps
Ataques DDoS que apuntan a redes y
servicios de infraestructura
Ataques DDoS en Q2 2015
85% Gbps Minutes
Tipos de ataques DDoS
Tipos de ataques DDoS
Ataques DDoS Volumetricos
Congestionan las redes indundándolas con más tráfico del que pueden soportar
(ejemplo: ataque UDP reflection)
Tipos de ataques DDoS
Ataque DDoS State-exhaustion
Un tipo de abuso de protocolo que estresa sistemas como firewalls, IPS o
balanceadores de carga. (ejemplo: TCP SYN flood)
Tipos de ataques DDoS
Ataques DDoS a la capa de aplicación
Menor frecuencia, un atacante usará conexiones bien formadas para dar la vuelta a la mitigación y
consumir los recursos de la aplicación (ejemplo: HTTP GET, DNS query floods)
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
65% Volumetrico
20% State exhaustion
15% Capa aplicación
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los ataques SSDP reflection son muy comúnes
Los ataques tipo reflection tienen fimas
abiertas, pero pueden consumir ancho de banda disponible
65% Volumetrico
20% State exhaustion
15% Capa aplicación
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Otros ataques volumétricos comunes:
NTP reflection, DNS reflection, Chargen reflection, SNMP reflection
65% Volumetrico
20% State exhaustion
15% Capa aplicación
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los SYN floods pueden parecer como intentos de conexiones reales
Y en promedio, son más grandes en
volúmen. Pueden evitar que los usuarios reales establezcan conexiones.
65% Volumetrico
20% State exhaustion
15% Capa aplicación
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los DNS query floods son peticiones reales de DNS
Pueden durar horas y agotar los recursos
disponibles del servidor DNS.
65% Volumetrico
20% State exhaustion
15% Capa aplicación
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
DNS query floods are real DNS requests
They can also go on for hours and exhaust the available resources of the DNS server.
Otros ataques comunes en la capa de aplicación:
HTTP GET flood, Slowloris
65% Volumetrico
20% State exhaustion
15% Capa aplicación
Volumétrico: amplificación UDP
Atacante 192.0.2.1
Víctima 198.51.100.4
src=198.51.100.4 dst=203.0.113.32
NTP DNS SNMP SSDP
Reflectores 203.0.113.32
Factores de amplificación volumétrica
Vector Factor Common Cause SSDP 30.8 Servicio uPnP expuesto a Internet NTP 556.9 Servidores de tiempo con monlist habilitado DNS 28 - 54 Puetos abiertos Chargen 358.8 Servicio Chargen abilitado SNMP 6.3 Servicio SNMP abierto
Source: US-CERT
Ataques DDoS con vectores múltiples
Single vector Multi-vector
85% Single vector
15% Multi-vector
Los atacantes son persistentes
Los atacantes son persistentes
UDP/161 – SNMP
amplification
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
UDP/1900 – SSDP reflection
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
UDP/1900 – SSDP reflection
UDP/1900 – SSDP reflection
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
UDP/1900 – SSDP reflection
UDP/1900 – SSDP reflection
UDP/123 – NTP reflection
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
UDP/1900 – SSDP reflection
UDP/1900 – SSDP reflection
UDP/123 – NTP reflection
6 hours
Mitigaciones
Modelo de responsabilidad compartida
• Nosotros protegemos los centros de datos, tráfico IP e infraestructura.
• Usted mantiene control sobre la seguridad de su aplicación.
Antes de la mitigación de DDoS
Centro de datos convencional Ataque DDoS
Usuarios
Servicios convencionales de mitigación DDoS
Centro de datos convencional
Ataque DDoS
Usuarios Servicio de mitigación DDoS
Resiliente por diseño
IP ICMP
TCP
UDP
No DNS
Resiliente por diseño
IP ICMP
TCP
Elastic Load Balancing
UDP
No DNS
Amazon CloudFront
Resiliente por diseño
IP ICMP
TCP
Elastic Load Balancing
UDP
No DNS
Amazon CloudFront
Resiliente por diseño
IP ICMP
TCP
Elastic Load Balancing
UDP
No DNS
Amazon Route 53
Amazon CloudFront
Resiliente por diseño
IP ICMP
TCP
Elastic Load Balancing
UDP
No DNS
Amazon Route 53
Amazon CloudFront
Mitigación DDoS para la infraestructura de AWS
virtual private cloud
Infraestructura global de AWS
DDoS attack
Users
Mitigación DDoS de AWS
Mitigación DDoS de AWS
CloudFront Route 53
Características • Siempre en línea • Commodity hardware • Mitigaciones Targeted and
heuristic mitigations Beneficios • Bajo MTTR (Mean Time To
Respond) • Latencias de
microsegundos
Priorización de paquetes
IP Origen
Reputación
Niveles de tráfico
Fuente ASN
Fuentes válidas
Priorización de paquetes
Prioridad
IP Origen
Reputación
Niveles de tráfico
Fuente ASN
Fuentes válidas
Moldeado de tráfico basado en prioridad
• Los ataques DDoS pueden parecer tráfico real. • Al tráfico se le asigna una prioridad, y usamos esa
información para proteger la disponibilidad. • Evitamos falsos positivos y mitigamos ataques conocidos
y desconocidos.
Mitigación: Detección e ingeniería de tráfico
Identificar el objetivo en espacio compartido
• Cada grupo de IP tiene una combinación única
Ubicación Edge
Usuarios
Distribución Distribución Distribución
Identificar el objetivo en espacio compartido
Ataque DDoS
• Cada grupo de IP tiene una combinación única
Ubicación Edge
Usuarios
Distribución Distribución Distribución
Identificar el objetivo en espacio compartido
• Cada grupo de IP tiene una combinación única
• Permite la identificación del objetivo
Ubicación Edge
Distribución Distribución
Ataque DDoS
Usuarios
Identificar el objetivo en espacio compartido
Ubicación Edge
Ubicación Edge Ataque DDoS
Usuarios
Usuarios
Distribución
Distribución
Distribución
• Cada grupo de IP tiene una combinación única
• Permite la identificación del objetivo
• Habilita nuevas opciónes de mitigación
Ingeniería del tráfico
Ingeniería del tráfico
Ataque DDoS
Ingeniería del tráfico
Mitigar
Ataque DDoS
Ingeniería del tráfico
Aislar
Ataque DDoS
Ingeniería del tráfico
Aislar
Desocupar
Ataque DDoS
Ingeniería del tráfico
Dispersar Ataque DDoS
Arquitectura
Arquitectura en AWS para resistencia DDoS
• Volumétrica • State exhaustion • Capa de aplicación
Arquitectura: Volumétrico
¿Por qué es importante?
• Los ataques DDoS Volumétricos pueden congestionar la capacidad de tráfico de la infraestructura tradicional – Más de un tercio de los operadores de centros de datos
experimentaron congestión de tráfico relacionada a DDoS en 2014 (fuente: Arbor Networks).
Escalamiento con ELB
ELB Usuarios
Security group
DMZ public subnet
Security group
Front-end server private subnet
Instances
Route 53 health checks en instancias ELB
ELB Usuarios
Security group ELB
instances
Route 53
Route 53 health checks en instancias ELB
ELB
Security group ELB
instances
Route 53
Usuarios
Route 53 health checks en instancias ELB
ELB
Security group ELB
instances
Route 53
Usuarios
Route 53 health checks en instancias ELB
ELB
Security group ELB
instances
Route 53
Usuarios
Route 53 health checks en instancias ELB
ELB
Security group ELB
instances
Route 53
Usuarios
Route 53 health checks en instancias ELB
ELB Users
Security group ELB
instances
Route 53
DDoS
Usuarios
Route 53 health checks en instancias ELB
ELB Users
Security group ELB
instances
Route 53
DDoS
Usuarios
Minimizar la superficie de ataque
Amazon Virtual Private Cloud (VPC) • Le permite definir una red virtual en su propia
sección aislada de AWS • Le permite ocultar instancias de Internet usando
grupos de seguridad network access control lists (NACLs)
Seguridad en su VPC
Grupos de Seguridad • Operan a nivel de instancia (primera capa de defensa) • Sólo soportan reglas “allow” • Stateful: el tráfico de regreso es permitido automáticamente • Todas las reglas son evaluadas entes de permitir el tráfico
Network ACLs • Operan a nivel de subred (segunda capa de defensa) • Soporta reglas de “allow” y “deny” • Stateless: EL regreso de tráfico debe ser permitido explícitamente • Las reglas se procesan en orden
Web app server
DMZ public subnet
SSH bastion
NAT
ELB
Amazon EC2 security group
security group
security group
security group
Front-end private subnet
Amazon EC2
Back-end private subnet
security group
MySQL
MySQL db
Amazon VPC
Web app server
DMZ public subnet
SSH bastion
NAT
ELB Usuario
Amazon EC2 security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306 MySQL
MySQL db
Amazon VPC
Web app server
DMZ public subnet
SSH bastion
NAT
ELB
Admin Amazon EC2 security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306 MySQL
MySQL db
TCP: 22
Amazon VPC
Usuario
Web app server
DMZ public subnet
SSH bastion
NAT
ELB Users
Admin
Internet
Amazon EC2 security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306 MySQL
MySQL db
TCP: Outbound
TCP: 22
Amazon VPC
Usuario
Grupos de seguridad de referencia
ELB
Grupos de seguridad de referencia
Web application server
Network ACL de referencia
Prepárese a escalar y absorber
Route 53 • Servicio de DNS altamente disponible, escalable • Utiliza el ruteo anycast para baja latencia
Prepárese a escalar y absorber
Route 53 • Servicio de DNS altamente disponible, escalable • Utiliza el ruteo anycast para baja latencia
CloudFront • Mejora el rendimiento optimizando las conexiones y
guardando el contenido en caché • Dispersa el tráfico entre diferentes ubicaciones edge
globalmente • Los ataques DDoS se absorven cerca de la fuente
Prepárese a escalar y absorber
Elastic Load Balancing • Tolerancia a fallas para aplicaciones • Escalamiento automático • Múltiples Zonas de Disponibilidad
Presencia global de AWS y redundancia
Presencia global de AWS y redundancia
Conexión a Internet C
Conexión a Internet A
Conexión a Internet B
Presencia global de AWS y redundancia
CloudFront
Solicitud de objeto válida
Protocolo inválido
Solicitud de Objeto inválida
Presencia global de AWS y redundancia
ELB
TCP
UDP
Presencia global de AWS y redundancia
Route A
Route B
Route C
users
Presencia global de AWS y redundancia
ELB instances
Availability Zone
ELB instances
Availability Zone
ELB
Ruteo anycast de Route 53
Cómo llego a example.com?
Ruteo anycast de Route 53
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
.net
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a example.com?
Ruteo anycast de Route 53
How do I get to example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
.net
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a example.com?
Ruteo anycast de Route 53
How do I get to example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
.net
Cómo llego a example.com?
Ruteo anycast de Route 53
How do I get to example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a example.com?
.net
Arquitectura: State exhaustion
¿Por qué es importante?
• Los ataques State-exhaustion pueden impactar la disponibilidad de firewalls, IPS, y balanceadores de carga. – Más de una tercio de las empresas experimentaron
una falla de firewall o IPS relacionada con DDoS en 2014 (fuente: Arbor Networks).
SYN proxy y SYN cookies
DDoS mitigation
system
CloudFront host
Client
SYN proxy y SYN cookies
SYN
ACK
SYN/ACK DDoS
mitigation system
CloudFront host
Client
SYN proxy y SYN cookies
SYN
ACK
SYN/ACK DDoS
mitigation system
CloudFront host
Client !
SYN
ACK
SYN/ACK !!
TCP connection table
SYN proxy y SYN cookies
SYN
ACK
SYN/ACK DDoS
mitigation system
CloudFront host
Client !
Spoofed IP
SYN
ACK
SYN/ACK !!
SYN
SYN/ACK
TCP connection table
Usando proxies propios
NGINX
Security group
DMZ public subnet
Security group
Front-end server private subnet
Instances DDoS
Users
Arquitectura: Capa aplicación
Las apariencias pueden engañar
• Los ataques DDoS a la capa de aplicación parecen tráfico real y pueden consumir recursos del servidor
• Los ejemplos incluyen: HTTP GET floods apuntando a aplicaciones web, o DNS query floods apuntando a servidores DNS
Asegure recursos expuestos
• Protega la entrada a su aplicación • Geo-restricción de CloudFront • Connection reaping de CloudFront • Web Application Firewalls (WAFs) del Marketplace • Use AWS WAF para construir sus propias mitgaciones en
CloudFront
Arquitectura resiliente
Web app server
Arquitectura resiliente
Users Web app
server
Arquitectura resiliente
DDoS
Users Web app
server
Arquitectura resiliente
DDoS
Users
Auto Scaling
Web app server
Arquitectura resiliente
Security group
DDoS
Users
Auto Scaling
Front-end servers private subnet
Web app server
Arquitectura resiliente
ELB
Security group
DMZ public subnet
Security group
WAF/proxy private subnet
DDoS
Users
WAF
Auto Scaling
ELB
Securitygroup
Auto Scaling
Security group
Front-end servers private subnet
Web app server
Arquitectura resiliente
ELB
Security group
DMZ public subnet
CloudFront edge location
Security group
WAF/proxy private subnet
DDoS
Users
WAF
Auto Scaling
ELB
Securitygroup
Auto Scaling
Security group
Front-end servers private subnet
Web app server
Arquitectura resiliente
ELB
Security group
DMZ public subnet
CloudFront edge location
Security group
WAF/proxy private subnet DDoS
Users
WAF
Auto Scaling
ELB
Securitygroup
Auto Scaling
Security group
Front-end servers private subnet
Web app server
Reglas de AWS WAF
AWS WAF
¿Por qué AWS WAF?
Vulnebilidad en la aplicación
Los buenos
Los malos
Web server Base de datos
Código Exploit
¿Por qué AWS WAF?
Abuso
Los buenos
Los malos
Web server Database
¿Por qué AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS WAF
¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS WAF
Reglas AWS WAF: 1: BLOCK peticiones de los malos 2: ALLOW peticiones de los buenos
¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS WAF
¡Gracias!