ESTE WEBINAR SE ENCUENTRA DISPONIBLE BAJO DEMANDA
Las redes son cada vez más vulnerables a ataques por parte de organizaciones criminales cuyo nivel de sofisticación crece debido al rédito que obtienen de atacar a las redes de los operadores de telecomunicaciones. Un nuevo estudio de Nominum, dice tener evidencias de que los ataques conocidos como amplification denial-of-service attack (DDoS) basados en los DNSs han crecido de forma significativa en los últimos meses a través de los routers residenciales instalados en los hogares de todo el mundo, incluyendo los instalados en Latinoamérica. Según este estudio, un simple ataque puede crear 10 segundos de GigaBytes (GB) de tráfico que pueden colapsar la red del operador.
Los ataques amplificados a los DNS que provocan DDoS no requieren tener un alto conocimiento de como funcionan las redes, de ahí que estén creciendo en popularidad. De hecho las cifras recientes denotan el incremento de este tipo de ataques a nivel mundial y que cuestan a los operadores interesantes sumas de dinero. Según los datos de Nominum, 24 millones de routers residenciales tienen praxis DNS abiertos que exponen al ISP a ataques DDoS a través de los DNS. Sólo en febrero de este año 5,3 millones de estos 24 millones de routers residenciales fueron utilizados para iniciar ataques, y la cifra se espera que siga creciendo si los operadores no toman medidas.
Estos ataques dejan claro que los operadores necesitan una protección más efectiva en sus servidores DNS de forma que la protección no imparte al tráfico legitimo DNS. Este seminario expondrá las medidas de seguridad que propone Nominum para evitar que los routers que instalan los operadores de la región latinoamericana estén expuestos a este tipo de ataques.
Robson Hideki
Me gustaría saber si se puede obtener el certificado de este webinar, una vez que lo he visto bajo demanda.
Aldana
Buenos días, Robson, espero estés muy bien.
Sólo los webinars que forman parte de una Serie otorgan certificados, los mismos indican que son parte de una Serie e incluyen las instrucciones para obtener el certificado. Lamentablemente, éste no es uno de ellos, por lo que no te otorgará un certificado luego de visualizarlo bajo demanda.
Si estás interesado, te incluyo a continuación los links de las Series que tenemos hasta el momento, tres de las cuales ya se encuentran bajo demanda para visualizar cuando te sea conveniente, y la próxima a realizarse a finales de este mes:
– Serie de webinars sobre activación, verificación y QoE en redes LTE
– Serie de Webinars sobre Wi-Fi Carrier Grade
– Serie de Webinars sobre LTE: Cooperación entre RAN y OSS para mejorar la experiencia de los usuarios
– Serie de Webinars sobre virtualización de funciones de red: El estado de NFV de la A a la Z
Espero esta información te sea útil.
Saludos cordiales
Robson Hideki
Muchas gracias
Robson Hideki
Hola Aldana,
Es posible emitir los certificados con la cantidad de horas de los webinars?
Un saludo
Robson
Rubén Mahelí
El tema es de alto impacto. A mi me gustaría saber si existe un costo aproximado promedio de las perdidas y a cuanto asciende en porcentaje de esas perdidas el valor de la inversión por concepto de defensa. Otro aspecto importante es el esfuerzo en terminos de recursos, calidad y disponibilidad de la red que deben consumirse para la defensa, en otras palabras la medicina fué tan cara que casi su cura nos produjo tambien un notable daño. Muchas gracias por compartir este seminario.
Beltran Cambronero
Hola Rubén,
Estoy totalmente de acuerdo contigo, el tema es de alto impacto, por eso se está viendo más y más en lo que es considerado “mainstream news” y no sólo en publicaciones o blogs técnicos.
El tema de costos de pérdidas durante ataques de amplificación podría ocupar un seminario entero, pero en resumen:
– Dimensionamiento de la plataforma DNS Cache
Hay ciertas medidas que se pueden tomar en el core network para disminuir el problema como por ejemplo implementar BCP38/84 en equipos del borde de la red; en relación a los “open DNS proxies” también hemos visto algunas de las medidas que se pueden tomar pero al final del día debemos tener una plataforma DNS Cache inteligente para que absorba y responda a estos ataques bloqueando paquetes destinados a dominios “maliciosos” y haciendo rate limiting inteligente para evitar el bloqueo de peticiones legítimas.
– Utilización del ancho de banda
El aumento de las peticiones DNS durante un ataque de amplificación no es realmente un factor tan preocupante en lo que se refiere a ancho de banda, el problema son las respuestas (para una petición de 32 bytes podemos tener una respuesta de 4K bytes) que pueden saturar tu red y privar de acceso a todos los clientes.
Con DNS Cache inteligentes puedes evitar la avalancha de respuestas que es lo que compromete la red.
– Satisfacción del Cliente
Si tu infraestructura DNS Cache se ve afectada cada vez que sufres un ataque, automáticamente tus clientes se ven afectados (no DNS, no Internet) esto se traduce en gran volumen de llamadas a atención al cliente y alto nivel de “churn” (clientes no satisfechos que abandonan el Operador)
– Reputación de la red
Este factor es bastante evidente en redes desde las cuales sale una gran cantidad de spam, estas redes entran en listas negras de reputación de correo electrónico y acaba afectando a todos los clientes (principalmente empresariales) que tenga el Operador en su red ya que rangos enteros de direcciones se ven bloqueados a enviar correos electrónicos, pagando justos por pecadores.
Esto obviamente afecta al Operador ya que potencialmente sus clientes empresariales también buscaran otros Operadores
La solución de Nominum para estos problemas es la combinación de:
– nuestra plataforma DNS Cache (Vantio CacheServe) de alto rendimiento que absorbe el ataque (peticiones recibidas) sin sufrir degradación del servicio
– nuestro framework de rate limiting inteligente que mitiga ataques utilizando dominios legítimos
– nuestra solución de seguridad (Vantio ThreatAvert) que mitiga ataques utilizando dominios maliciosos
voschero
¿Habrán alguna exposición continuando con este tipo de información?
Rafael A. Junquera
¿Hay alguna parte en concreto que te gustaría ver ampliada?
Eduardo
Buenas ¿Que tan factible sería colocar los DNS en DMZ para tenerlos aislados de manera tal que se prevenga un ataque de amplificación, y si ocurre que este lo suficientemente aislado para que mitigar los problemas?
Beltran Cambronero
Hola Eduardo,
Estén donde estén los DNS Cache del Operador, estos aceptarán peticiones DNS provenientes del rango de direcciones IP pertenecientes al este Operador, o sea, sus clientes. El ataque de amplificación que hemos visto provienen justamente de los ruteadores y cable-modems de los clientes que actúan como “open DNS proxies”.
Como hemos visto, normalmente estos ataques no van dirigidos a la red del Operador pero esta se ve afectada como daño colateral; la red se satura, los clientes pierden el acceso a los servidores de DNS Cache y sin DNS (resolución de nombres) no hay Internet!
Eduardo
Comprendo, como mitigar esta situación en el punto donde se origina, en la parte del cliente, por que algunas ocasiones los clientes son los que proveen el terminal(ruteadores y cable-modems) y en otras ocasiones es el operador quien lo proveen. Además, se presenta el mismo problema cuando son terminales ONUs para servicios Passive Optical Network(E-PON, B-PON, G-PON), este escenario se comporta diferente a las inflexiones que se tiene en los ruteadores y cable-modems o el principio es el mismo. Gracias
Beltran Cambronero
En el punto de origen se puede minimizar el problema haciendo upgrades de firmware, corrigiendo configuraciones y a veces incluso haciendo el cambio físico del terminal afectado pero como bien dices tú en bastantes casos este terminal pertenece al propio cliente y no hay nada que el Operador pueda hacer… a no ser proteger su infraestructura de DNS Cache para absorber y/o mitigar estos ataques.
ONUs o ONTs no son inmunes a este tipo de problema, basta con que acepten paquetes provenientes del exterior y destinados al puerto 53 (DNS) y que redireccionen estos paquetes al servidor DNS configurado en la caja; exactamente el mismo mecanismo, el transporte en sí no influye.
Eduardo
Muchas gracias por las respuestas, el tema esta muy interesante…
Carlos
Sera este el espacio para preguntas?
En el caso de los open resolvers, como haces para que otros paises te consulten a tu DNS si mantiene registros de las zonas del pais, por ejemplo sitios ubicados localmente y que otros clientes, no necesariamente del operador te hacen consultas para llegar a un sitio
Rafael A. Junquera
Hola Carlos, efectivamente, este es el medio para realizar las preguntas. En cuanto Beltrán tenga tiempo te estará contestando por esta vía. Saludos.
Beltran Cambronero
Hola Carlos, primero es importante diferenciar servidores Autoritativos de servidores Cache:
– Autoritativos son aquellos que contienen información de zonas pero NO hacen tareas de recursión
– Cache son los servidores que hacen el trabajo de recursión y almacenan la información en memoria cache
Obviamente vemos que algunas implementaciones presentan las dos funciones en el mismo servidor pero como mejores prácticas de despliegue siempre se recomienda separar estas funciones.
Dicho esto, servidores Autoritativos que contengan zonas públicas deben estar abiertos a Internet para que la información de estas zonas esté disponible al mundo. Ahora, los servidores de Cache deben estar configurados para aceptar únicamente peticiones provenientes de los rangos IP que pertenecen al Operador; así evitamos que nuestros servidores DNS Cache sean open resolvers.
El problema está en que los ruteadores y cable-modems de los clientes del Operador son los que actúan como “open DNS proxies” para consultas provenientes de cualquier dirección IP del mundo (esto es lo que los atacantes explotan). Esto se soluciona con cambios de firmware y/o configuración de esos millones de ruteadores y cable-modems que están en las casas de los clientes del Operador.