Rastreando los Reflectores UDP para una Internet más Segura

Rastreando los Reflectores UDP para una Internet más Segura

En años recientes, los eventos Distribuidos de Denegación de Servicio (DDoS) se han convertido en una amenaza siempre presente, con el tráfico de ataque llegando a niveles medidos en terabits por segundo (Tbps). Una de las herramientas clave en manos de los ciberdelincuentes que buscan aumentar el ancho de banda de sus ataques es el reflejo basado en UDP. Por ejemplo, el ataque de DDoS a GitHub en 2018, utilizó un servicio de capa de aplicación llamado Memcached para dirigir durante el pico 1,35 Tbps de tráfico UDP reflejado en los servidores de GitHub. En 2020, la industria tomó conocimiento de un ataque de DDoS que utilizó un paquete de servicios de UDP como reflectores (CLDAP, DNS y SMTP) para alcanzar tasas de cable de hasta 2,5 Tbps.

En Black Lotus Labs, aprovechamos la visibilidad de nuestra red para identificar servicios que están siendo potencialmente manipulados para lanzar ataques, tales como instancias Memcached, CLDAP y DNS, y luego trabajamos para confirmar si están abiertos para ser utilizados como reflectores. Según nuestros datos del primer trimestre de 2021, vemos que cada uno de estos servicios se utiliza activamente para lanzar ataques de DDoS significativos actualmente.

Memcached, el gran reflector de BAF

El interés de Black Lotus Labs por Memcached radica en su Factor de amplificación de ancho de banda (BAF) extraordinariamente alto. Un BAF es la relación entre los bytes de respuesta reflejados en el objetivo y los bytes de solicitud enviados al reflector por el atacante; un BAF de 5 significa que por cada byte enviado al reflector, dirige 5 bytes al objetivo. De día, Memcached es un servicio de almacenamiento en caché distribuido que trabaja arduamente, diseñado para ayudar a que su página web se cargue más rápidamente. Generalmente se implementa para dar soporte a clústeres de servidores web para eliminar llamadas innecesarias a la base de datos en caché, no hay ninguna razón por la que Memcached deba estar expuesto a la internet pública. Ahora bien, si usted no expondría su base de datos de backend a la Internet pública, ¿por qué lo haría con su servicio de caché de backend? Si bien no todas las instancias de Memcached que interactúan con internet están abiertas para su uso en ataques de reflexión, determinamos que una cantidad de estos podría ser utilizada para reflexión en un ataques de DDoS.

Determinar si una instancia equis de Memcached constituye o no un reflector abierto es una cuestión sencilla: ¿responden a comandos de protocolo sobre UDP?  Memcached da soporte a su servicio de almacenamiento de caché con un protocolo al que se puede acceder a través de TCP o UDP, y solo UDP puede usarse para este tipo de ataque. Tal como se podría esperar de un servicio de almacenamiento de caché, este protocolo presenta comandos tales como Set and Get. Set le permite almacenar bloqueos de datos arbitrarios bajo una llave determinada. Contrariamente, Get le permite ir a buscar los datos nuevamente por llave. La llave puede ser totalmente pequeña mientras que los datos almacenados en ella pueden ser de hasta 1 MB con configuración out-of-the-box (lista para su uso). Esto significa que un paquete de solicitud muy pequeño, medido en decenas de bites puede generar una respuesta significativamente mayor. En el caso de Memcached, el BAF es 10.000 a 51.000x. Esta es una amplificación de ancho de banda elevada al extremo: una conexión a Internet de 100 Mbps podría producir un volumen de ataque que oscile desde 125 Gbps a más de 630 Gbps. Hace algunos años, luego de una serie de ataques notables a Memcached, la comunidad de internet realizó un esfuerzo concertado por mitigar los más de 35.000 servidores Memcached disponibles públicamente. Aun así, y tal como lo muestra el siguiente mapa de calor, actualmente todavía hay más de 1.500 servicios abiertos de Memcached expuestos en Internet, con China y Estados Unidos albergando la mayor parte geográficamente.

Distribución global de los servicios de Memcached expuestos en Internet

Cómo funciona la reflexión de UDP

Si bien otros servicios de reflector UDP no tienen el mismo BAF que Memcached, la reflexión funciona igual para todos los servicios UDP. Veamos la estructura de un ataque de reflexión de UDP. En la siguiente figura, tenemos tres componentes: el iniciador del ataque, el servicio reflector y el sistema objetivo.

Reflexión de UDP con suplantación (Spoofing) de IP

Como muestra la figura anterior, la reflexión se basa en engañar al servicio de reflector para que envíe la carga útil de respuesta al sistema objetivo en lugar de volver al sistema que inició el ataque. Este acto de reflexión depende de la suplantación de IP; la gran debilidad de UDP es que permite que ocurra la suplantación de identidad. Para falsificar o suplantar una dirección IP en la comunicación UDP, solo tiene que colocar la dirección IP del sistema de destino como dirección de origen en el encabezado del paquete IP. Con UDP, no hay nada inherente al protocolo que lo impida.

¿Por qué UDP permite la suplantación de identidad mientras que TCP no la permite? Considere lo siguiente: Si el servicio Memcached solo está abierto a la comunicación TCP, aún podría emitir el mismo comando Get para buscar la bomba de datos grande, pero no podría falsificar o suplantar la dirección de retorno. Esto se debe a que habría tenido que completar con éxito el protocolo de enlace de tres vías de TCP para establecer una conexión antes de enviar paquetes con comandos Memcached reales. TCP requiere que se intercambien varios paquetes administrativos para establecer la conexión antes de cualquier comunicación real; esta es la conexión (handshake) de tres vías. Completado el apretón de manos (handshake), ambos lados de la comunicación saben con precisión quién está en el otro extremo de la conexión. Cuando un paquete TCP que contiene el comando Get aparece en la instancia de Memcached, si su dirección de origen no se alinea con el estado de la conexión, no recibirá servicio.

Por otro lado, UDP ni siquiera se molesta en rastrear conexiones. Es como contestar el teléfono antes de la era del identificador de llamadas; a menos que quisiera arriesgarse a perder la llamada de un amigo, estaba obligado a responder cada vez que sonaba, dejándolo vulnerable a todo tipo de llamadas de broma y llamadas de ventas agresivas. De la misma manera, cada paquete UDP que llegue debe tomarse al pie de la letra. UDP simplemente no tiene la capacidad de examinar la dirección de origen y decir: «Pero, no estaba hablando con esta persona. ¿Y esto de dónde salió?”

Como esta deficiencia pertenece al propio UDP, cualquier servicio implementado sobre este se puede utilizar como un reflector abierto. Para confirmar que un servicio UDP se puede usar como reflector, todo lo que se requiere es probar que el servicio responde a las consultas, tal como vimos con Memcached.

Principales servicios UDP que lanzan ataques

Si bien observamos más de 1.500 servidores Memcached abiertos para su uso en ataques reflectantes, Memcached no es el único protocolo reflectante principal para el abuso. Los protocolos como LDAP sin conexión (CLDAP), NTP, SSDP, DNS y muchos otros se pueden aprovechar para la reflexión. Al analizar los últimos meses de nuestros datos, algunos de ellos tienen una clasificación mucho más alta que Memcached por el tamaño del ataque más grande observado. Esto se espera debido a la tendencia general de disminución de los reflectores Memcached que están disponibles para abuso.

Distribución de los mayores ataques de UDP observados en el primer trimestre de 2021

LDAP sin conexión

LDAP sin conexión, en particular, representa una amenaza significativa dada la combinación de un factor de amplificación de ancho de banda de 50-70 veces y una disponibilidad generalizada debido a su uso asociado en Directorio activo. Analizamos las direcciones IP observadas que reciben una solicitud de reflexión potencial de 67 bytes en el puerto UDP 389 y que respondieron con datos en UDP 389 en algún momento durante el trimestre. Utilizando esta metodología, Black Lotus Labs descubrió más de 281.000 direcciones IP únicas que parecen responder a las solicitudes de reflexión de CLDAP.

Adicionalmente, CLDAP fue aprovechado en varios ataques recientes a gran escala, como por ejemplo el ataque de 2.3 Tbps contra Amazon en 2020 o más recientemente como descubrimos el ataque del 4 de mayo de 2021 contra unos de los proveedores de servicios de internet del gobierno belga: Belnet.

Durante el período del ataque a Belnet, Black Lotus Labs observó que más del 78% del tráfico destinado a Belnet hizo la transición de la norma esperada de HTTP/HTTPS casi íntegramente a CLDAP. Si bien observamos cierto aumento en otros protocolos reflectantes, ninguno parece haber generado tanto tráfico de ataque por ancho de banda como CLDAP.

Porcentaje de tráfico Belnet por protocolo

DNS en sí como vector de reflexión

Además del abuso con CLDAP, DNS es otro protocolo que resulta a menudo aprovechado sobre UDP y sobre el cual los ataques de reflexión pueden  potencialmente ser utilizados para un uso abusivo. Si bien algunos resolvedores de DNS abiertos limitarán los tipos de consultas de las que a menudo se abusa para la reflexión, esta metodología no es una solución perfecta para detener todos los tipos de ataques de DNS reflectantes.

Cuando los atacantes buscan lanzar un ataque reflexivo con DNS, necesitan un dominio y un tipo de registro que les devuelva una respuesta de magnitud. Algunos de los tipos de registro más comunes que devuelven grandes valores son ANY, SRV y TXT. Luego de eliminar A/AAAA, que es el volumen más grande de consultas de DNS que vemos habitualmente, las consultas ANY constituyen una parte significativa de las consultas restantes que observamos en internet.

Porcentaje de las consultas de DNS del tipo ANY

¿Qué más podemos hacer?

Depurar las fuentes de DDoS reflectivas en toda la internet es una cuestión complicada que requiere de un esfuerzo comunitario continuo.  Las organizaciones que exponen servicios en Internet deben tener en cuenta cómo se pueden usar para participar en ataques de DDoS reflectantes y, o bien no exponerlos o implementar medidas para mitigarlos. Los proveedores de servicios de Internet, los proveedores de seguridad gerenciada y los investigadores de seguridad también pueden ayudar informando a sus clientes cuando ven servicios reflectantes expuestos y manipulados. Tales esfuerzos han sido efectivos para reducir significativamente el número de instancias Memcached expuestas en los últimos años.

Por nuestra parte en Lumen, cuando encontramos reflectores abiertos alojados en las redes de nuestros clientes objeto del abuso, para causar daños sustanciales en Internet, nos comunicamos con ellos de manera proactiva para comprender mejor la intención del servicio y compartir orientación sobre cómo remediar el peligro.

Si desea colaborar con investigación similares, por favor contáctenos en Twitter @BlackLotusLabs.

Para más información sobre las tendencias de ataques y amenazas de DDoS, consulte el Informe trimestral de DDoS de Lumen del primer trimestre de 2021. Conozca Más

La presente información se provee “como está” sin garantía o condición de ninguna naturaleza, ya sea expresa o implícita. El uso de esta información es responsabilidad del usuario final. 

Lea el post original en inglés > https://blog.lumen.com/tracking-udp-reflectors-for-a-safer-internet/

Jon Paul "JP" McLeary

Autor:

Black Lotus Labs
La misión de Black Lotus Labs consiste en aprovechar la visibilidad de nuestra red para ayudar a proteger a los clientes y mantener una internet limpia.

Las Organizaciones están Seguras en el Borde

Las Organizaciones están Seguras en el Borde

as organizaciones comprenden la necesidad de asegurar los datos. Tal como lo han demostrado los ejemplos previos de violaciones a los datos, la seguridad cibernética es un riesgo que las organizaciones deben tomar seriamente. Afortunadamente, Lumen provee seguridad de avanzada junto con sus soluciones tanto para la nube, y más importante aún, como para el borde.

Para gerenciar los riesgos a la seguridad de los datos, sistemas, aplicaciones y activos, las organizaciones deben contar con soluciones de seguridad conectadas. Edge computing, por ejemplo, empodera a los dispositivos de IoT para que adquieran, analicen y actúen sobre los datos justo en el lugar donde se están generando, limitando la exposición a los riesgos cibernéticos.

Específicamente, utilizar edge computing con seguridad conectada puede ayudar a limitar o contener el impacto de eventos en un mundo donde se han convertido en una ocurrencia diaria. Edge computing habilita la clase de servicios proactivos, continuos y reactivos que dan soporte a requisitos y metas de seguridad específicos. Estar en el borde, también puede actuar como una alerta, dándoles a las organizaciones la visibilidad y el control necesarios para monitorear, bloquear y denunciar los intentos de ataques antes de que los agresores lleguen a la red central.

Por ejemplo, los datos son cada vez más personales (ej.: salud personal, datos de reconocimiento facial o de voz, interacciones en lugares privados) o confidenciales (ej.: datos internos críticos en una planta). Edge computing puede abordar los crecientes requisitos regulatorios y de privacidad procesando, almacenando y/o descartando datos, todo en un mismo lugar. Adicionalmente, edge computing puede reducir el riesgo de violaciones de datos de identificación de carácter personal (PII) y ayudar a garantizar el cumplimiento de los requisitos de soberanía de datos.

Sin embargo, existen otros pasos para ayudar a proteger los datos de las organizaciones. La encriptación, por ejemplo, es clave para proteger los datos en tránsito. Un número cada vez mayor de industrias verticales requiere máxima seguridad de la red al trasmitir información privada. El método más seguro para proteger información y garantizar la integridad de los datos es con encriptación de capa física o Wavelength.

Los servicios de seguridad gerenciados flexibles también pueden detectar y mitigar amenazas para ayudar a que el negocio siga funcionando como siempre para colaboradores, socios y clientes. La detección de amenazas puede llegar a todas las líneas de productos de red a través de una única política que impulsa tanto la inteligencia de amenazas adaptativas como la seguridad de la red adaptativa.

Reducir los riesgos de seguridad y de compliance requiere de una protección de datos intuitiva e inteligente integrada en la red, con monitoreo continuo y defensas inmediatas, y la capacidad de controlar la ubicación de los datos en el borde. Lumen, por ejemplo, ayuda a las organizaciones a alcanzar este objetivo con soluciones de seguridad integradas en la red, data centers dentro de la proximidad regional de las fuentes de datos y expertos en seguridad para diseñar su red e infraestructura de acuerdo con sus requerimientos exclusivos.

Edge computing puede mejorar la seguridad de los datos en un mundo interconectado. La proximidad del usuario a los datos y a la computación a través de edge computing reduce la latencia y mejora los tiempos de respuesta para las aplicaciones de seguridad. Las soluciones de edge computing proveen servicios proactivos, continuos y reactivos que hacen que las organizaciones estén más protegidas frente a las amenazas a la seguridad y que mejoren las experiencias digitales de los clientes finales.

Lea el post original en inglés > https://blog.lumen.com/organizations-are-secure-at-the-edge/ 

 

 

 

Jon Paul "JP" McLeary

Autor:
Randy Tucker
Randy Tucker es Gerente de Marketing Sénior en Marketing de Soluciones de Lumen. Apoya la estrategia de la empresa en la entrega de soluciones integradas de nube híbrida y de TI para el negocio digital. El Sr. Tucker posee más de 20 años de experiencia en gestión de marketing y experiencia comunicacional en el sector de las telecomunicaciones. Obtuvo una maestría en Telecomunicaciones de la Universidad de Colorado, en Boulder y un MBA en Finanzas internacionales de la Universidad Pace, de Nueva York.

Ataque de watering hole descubierto recientemente, dirigido a organizaciones ucranianas y canadienses.

Ataque de watering hole descubierto recientemente, dirigido a organizaciones ucranianas y canadienses.

Los análisis de Black Lotus Labs’® han descubierto un clúster de sitios web comprometidos utilizado previamente en una serie de ataques de watering hole. Cualquier visitante que navegara a uno de los sitios sin saberlo estaría infectado y sería vulnerable a que el actor de la amenaza se apropiara de una copia de sus credenciales de autenticación de Windows, que podría usarse para hacerse pasar por ellos. Inicialmente identificamos esta actividad en una cantidad de sitios web ucranianos, mientras que análisis posteriores revelaron que los actores también habían comprometido un sitio web canadiense.

Detalles técnicos
Los ataques de watering hole impactan en los usuarios finales que visitan un sitio web en particular, inyectándoles una función maliciosa en el código del sitio web, que luego es ejecutado por las máquinas de las víctimas. En el caso de estos sitios web, un JavaScript malicioso preparaba a los dispositivos de las víctimas para que enviaran sus hashes de New Technology LAN Manager (NTLM) a un servidor controlado por el actor usando Server Message Block (SMB), un protocolo de comunicaciones que permite el acceso compartido a recursos tales como impresoras y archivos. En la mayoría de los entornos de Windows, el protocolo NTLM se usa como un mecanismo de autenticación para los diversos usuarios de un sistema. Una vez que el actor de la amenaza obtiene estos hashes, en algunos casos pueden descifrarlos fuera de línea, revelando de esa manera los nombres de usuarios y sus contraseñas algo que puede ser aprovechado para operaciones subsiguientes tales como acceder a las cuentas de correo electrónico o a otros recursos corporativos.

Estos tipos de ataques de watering hole se han utilizado durante años, pero nuestro interés en este vector se renovó luego de detectar un compromiso de esta naturaleza en el sitio web del Aeropuerto internacional de San Francisco (SFO) en abril de 2020. Cuando las víctimas navegaban por el sitio web, sus máquinas trataban de recuperar un archivo “icon.png” alojado en un servidor remoto. Las máquinas de las víctimas utilizaban la ruta de la convención universal de nombres (UNC) para iniciar una conexión saliente usando SMB para el link: file:// [IP address] /icon.png. Los atacantes podían luego configurar un gestor de evento para recibir los hashes NTLM de las víctimas, que luego podían descifrar offline.

Cuando observamos este vector de ataque inicialmente en el sitio web del aeropuerto de San Francisco, advertimos funciones de JavaScript maliciosas, similares en varios sitios web de Ucrania y Canadá que aparentemente exhibían la misma táctica operativa. Por consiguiente estamos agrupando esta actividad en el mismo actor. A continuación podrá encontrar una copia del código JavaScript.

Copia del código malicioso de JavaScript encontrado en los sitios web comprometidos

Este código fue descubierto en tres sitios web exclusivos, y todos ellos alojados en la misma dirección IP con base en Ucrania. 185.68.16[.]193. Esto podría indicar que los actores maliciosos obtuvieron acceso al servidor web y por ende acceso a todos los sitios web alojados en el mismo. Cada uno de estos sitios está asociado con entidades de fabricación ucranianas, una de las cuales anuncia que fabrica equipos para la fuerzas de cumplimiento del orden y la protección energética. Los sitios web y las fechas de la actividad maliciosa observada son:
• azo.od[.]ua, 15 de octubre de 2020
• vistec[.]ua, 23 de septiembre de 2020
• telecard.com[.]ua, 31 de marzo de 2020.

Si una máquina vulnerable visitara estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo ://213.133.122[.]42/icon.png.
El segundo grupo de sitios con ataques de watering hole incluyó a un club de fútbol y a un banco de inversión ucranianos Los sitios web y las fechas de la actividades maliciosas observadas fueron:
• fcdynamo.kiev[.]ua, 15 de mayo de 2020
• dragon-capital[.]com, 17 de diciembre de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo file://5.9.59[.]54/icon.png.
El tercer grupo de sitios atacados por watering hole estuvo asociado con organizaciones de medios de comunicación ucranianos. Los sitios web y las fechas de la actividades maliciosas observadas fueron:
• zoomua[.]tv, 18 de mayo de 2019
• unn.com[.]ua, 21 de mayo de 2020
• ntn[.]ua, 3 de marzo de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo file://139.59.179[.]55/icon.png.

Página de resultados de búsqueda de Google en caché que muestra la función JavaScript maliciosa

El cuarto grupo de sitios con ataques de watering hole estaba asociado con compañías petroleras, una con sede en Ucrania y la otra con sede en Canadá.
• oilandgas.dtek[.]com, 13 de mayo de 2019
• dtek[.]com, 13 de mayo de 2019
• investecogas[.]com, 14 de febrero de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo ://91.208.138[.]8/icon.png.

Listado de sitios web comprometidos y sus correspondientes oyentes SMB

Recomendaciones de mitigación
Black Lotus Labs continúa monitoreando a este actor y este tipo de actividades de abrevadero (o watering hole). Para protegerse de este tipo de ataques, las organizaciones deberían configurar sus firewalls para evitar que las comunicaciones salientes basadas en SMB salgan de la red. Si las organizaciones no estuvieran usando este protocolo internamente, tal vez deseen considerar como alternativa desactivar o limitar SMB en el entorno corporativo. Si ninguna de las opciones fuera viable para una organización, pueden limitar el uso de JavaScript en sitios web desconocidos o no confiables. Los usuarios que estén preocupados por los ataques de abrevadero también tienen la opción de desactivar JavaScript a través de un plugin como por ejemplo NoScript.

Notificamos a los propietarios de los sitios web comprometidos para que interrumpan este ataque en curso. Si desea colaborar en una investigación similar a esta, contáctenos en Twitter @BlackLotusLabs 

Se recomienda a las organizaciones que buscan evitar los ataques de abrevadero que actualicen el software y los navegadores con la mayor frecuencia posible, supervisen e inspeccionen periódicamente los sitios web visitados con frecuencia para asegurarse de que estén libres de malware y que bloqueen el acceso de los usuarios a sitios comprometidos conocidos.

Indicadores de compromiso
Sitios web comprometidos y sus direcciones IP
azo[.]od[.]ua
     185.68.16[.]193.
vistec[.]ua
     185.68.16[.]193.
vistec[.]ua
     185.68.16[.]193.
fcdynamo[.]kiev[.]ua
     104.26.14[.]194.
dragon-capital[.]com
     91.90.196[.]26.
zoomua[.]tv
     62.149.26[.]233.
unn[.]com[.]ua
     104.27.139[.]240.
ntn[.]ua
     62.149.26[.]232.
dtek[.]com
     45.60.75[.]78.
investecogas[.]com
     77.72.135[.]227.

Nodos SMB
213.133.122[.]42/icon.png
51.159.28[.]101/icon.png
139.59.179[.]55/icon.png
91.208.138[.]8/icon.png

La presente información se provee “como está” sin garantía o condición de ninguna naturaleza, ya sea expresa o implícita. El uso de esta información es responsabilidad del usuario final.

Lumen mejora la seguridad de enrutamiento con infraestructura de clave pública de recursos (RPKI)

Lumen mejora la seguridad de enrutamiento con infraestructura de clave pública de recursos (RPKI)

         Mejorando la seguridad de enrutamiento con RPKI – Lo que necesita saber

Los clientes deberían verificar sus índices IP para prevenir la caída del tráfico.

En el momento que hizo clic en el enlace para leer este blog, desencadenó una serie de acciones que dirigieron sus datos a través de Internet a esta página, utilizando la ruta más eficiente posible. A lo largo del camino, a medida que los datos viajaban desde allí hasta aquí, se encontraron con docenas de salidas posibles, cada una de ellas anunciando su disponibilidad de conducirlos (y a usted) hasta aquí, a este blog.

Debido a que hay alrededor de un millón de rutas de red posibles en todo el mundo, Internet global cuenta con un protocolo estándar para determinar la mejor ruta posible para cada viaje a lo largo de una red. Se llama Border Gateway Protocol (BGP) -protocolo de puerta de enlace de frontera- y es como el Google Maps de las redes. Sin él, el tráfico no tendría una ruta a seguir, y mucho menos un camino que lo mantuviera libre de accidentes y trampas de velocidad. Sería un poco como conducir de noche de Nueva York a Los Ángeles. Sin un mapa. Y con los ojos vendados.

Cuando se creó BGP en 1989, se basó en la confianza mutua entre las redes que anunciaban rutas seguras, precisas y no alteradas maliciosamente. Este modelo fue suficiente en los primeros días del desarrollo de Internet; sin embargo, se ha vuelto cada vez más vulnerable a errores de configuración o abuso por parte de actores maliciosos que buscan redirigir las rutas para lograr objetivos delictivos.

Para ayudar a cerrar esta brecha en la seguridad, un número cada vez mayor de proveedores de red se ha comprometido a habilitar la infraestructura de clave pública de recursos (RPKI). El 25 de marzo de 2021, Lumen “activará el interruptor” y comenzará a validar rutas utilizando RPKI en nuestro núcleo de Internet AS3356 global.

¿Qué es la RPKI?
RPKI es un marco voluntario destinado a proteger la infraestructura de enrutamiento de Internet y evitar el secuestro de rutas y otras inconsistencias. Y lo hace verificando que un sistema específico esté autorizado a utilizar sus prefijos de IP establecidos. Estas autorizaciones, conocidas como Autorizaciones de origen de ruta (ROA), tienen lugar en el nivel del Registro Regional de Internet (RIR), de modo que las direcciones IP están vinculadas de manera certificable a una autoridad confiable.

Los proveedores de servicios IP pueden usar RPKI para validar los anuncios de rutas IP, lo que ayuda a garantizar que se permitan los anuncios válidos y se eliminen los anuncios inválidos.

Cómo funciona RPKI
Los propietarios de las direcciones IP publican sus ROA con certificación RIR, que establecen: 1) qué sistema autónomo está autorizado para originar determinados prefijos de IP; y 2) la longitud de esos prefijos. RPKI valida las ROA mediante la validación de origen de ruta (ROV) de BGP, un proceso que verifica el sistema de origen y la longitud del prefijo publicado en la ROA.

Una vez implementado, Lumen utilizará la validación de ruta RPKI en todas las sesiones de BGP tanto para clientes como para pares. Los servidores de validación RPKI de Lumen descargan las ROA, las examinan y luego envían las tablas a los enrutadores que pueden determinar la validez de un prefijo de IP. Posteriormente los prefijos de IP se etiquetan y manejan de la siguiente manera:

Etiqueta

Significado

Opción

Válida

El prefijo de IP tiene una coincidencia positiva con la ROA

Se permite el prefijo de IP

Inválida

El prefijo IP no coincide con la ROA, ya sea por longitud de prefijo inválida o ASN de origen inválida

Prefijo de IP eliminado

Desconocido

El prefijo de IP no está en la ROA

Se permite el prefijo de IP


Habilitando la RPKI en el núcleo de Internet AS3356 de Lumen

Una vez que la RPKI está habilitada y activa en la red de Lumen para sesiones BGP tanto de pares como de clientes, no habrá ningún requisito o proceso para «solicitar» la RPKI porque ésta ya estará «activa».

  • Los clientes que tengan ROA existentes y establecidas recibirán inmediatamente la validación del origen de la ruta BGP a través de RPKI de Lumen.
  • Los clientes que establezcan nuevas ROA recibirán la validación del origen de la ruta BGP una vez que se complete la ROA.
  • Los clientes que no tengan ROA no se verán afectados y los anuncios de ruta BGP operarán con normalidad (a menos que esa ruta sea realmente propiedad de otra entidad con una ROA que solo permita su ASN de origen).

Los clientes no tendrán la opción de desconectar o desactivar la RPKI. Todas las sesiones de clientes y pares externos serán validadas y no haremos excepciones ni permitiremos sesiones especiales no verificadas.

¡Asegúrese de que sus prefijos de IP no se eliminen!
Los clientes deberían usar la Looking Glass de Lumen – https://lookingglass.centurylink.com  para validar cómo se marcan sus prefijos de IP en la red de Lumen. Los prefijos de IP inválidos se eliminarán para todos los pares y clientes a partir del 25 de marzo.

community “rpki-valid” members “3356:901
community “rpki-invalid” members “3356:902
community “rpki-unknown” members “3356:903

Recursos Adicionales
Si tuviera preguntas respecto de la adopción de RPKI de Lumen, contáctese por favor con un miembro de su equipo de cuentas, o envíe un email a RPKI Support. Asimismo puede visitar el sitio web de Lumen para encontrar información adicional sobre RPKI, que incluye:
• Cómo establecer las ROA
• Información sobre RPKI y Servicio de mitigación de DDoS de Lumen
• Preguntas frecuentes

Leia o post original em inglês > https://blog.lumen.com/lumen-enhances-routing-security-with-resource-public-key-infrastructure-rpki/ 

Jon Paul "JP" McLeary

Autor:
Ron Pfaff
Como vicepresidente sénior de Service Assurance en Lumen Technologies, Ron es responsable de la tecnología de red global, de infraestructura y de garantizar el servicio al cliente. Como empresa líder en tecnología, su equipo está comprometido a brindar soluciones a una variedad de obstáculos de servicio y de red. Lumen es la plataforma más rápida y segura para aplicaciones y datos de próxima generación y estamos entusiasmados de ofrecer experiencias excepcionales a los clientes.

Cómo obtener más de su WAF mediante un abordaje integrado

Cómo obtener más de su WAF mediante un abordaje integrado

A medida que las arquitecturas digitales se tornan más distribuidas y el borde continúa acercándose más que nunca a los usuarios finales, proteger las aplicaciones y las redes de las que dependen se ha convertido en un desafío igualmente creciente. Además de las amenazas tradicionales, los equipos de seguridad ahora deben considerar el hecho de que las estrategias flexibles para la implementación de aplicaciones y servicios también implican más puntos de entrada potenciales para los actores maliciosos en todos los rincones del mundo.

Para hacer frente a estas amenazas de igual a igual, es necesario contar con estrategias de seguridad de red e infraestructura que sean igualmente flexibles y customizables. Al mismo tiempo, dado que el desempeño de las aplicaciones es un diferenciador enorme en el mercado de consumidores, la protección de estas propiedades digitales no debe obstaculizar la experiencia del usuario final de modo alguno.

Las empresas de hoy en día están descubriendo que para navegar estas aguas turbulentas, necesitan un proveedor con un enfoque sólido y modular para la seguridad de la CDN, capaz de afrontar la distribución, el desempeño y la seguridad de las aplicaciones mediante un abordaje singular e integrado que abarque no sólo el web application firewall (WAF) y la gestión de riesgo de bots (BRM -por sus siglas en inglés-), sino también la mitigación de DDoS.

Cada empresa tiene diferentes preocupaciones de seguridad basadas en factores tales como la industria, la base de usuarios, los tipos de dispositivo y de aplicación, las necesidades de desempeño, etc. Una empresa de juegos global tendrá preocupaciones diferentes a las de un minorista de e-commerce regional, quien a la vez tendrá inquietudes distintas a las de un proveedor de salud local.

Por ejemplo, una plataforma de juegos popular que posibilita que usuarios de todo el mundo interactúen entre sí, tiene miles, sino millones, de puntos de entrada potenciales que deben monitorear y proteger con una variedad de medidas de seguridad, incluyendo WAF. Adicionalmente, cada lanzamiento de un juego nuevo que genera una cantidad enorme de descargas también atrae a actores maliciosos y bots que intentan interrumpir el flujo de datos y causar grandes pérdidas de ingresos al proveedor de juegos.

Por otra parte, si bien un minorista también debe proteger el flujo de ingresos durante eventos de alto tráfico, como eventos de ventas anuales, también están procesando muchas más transacciones que involucran datos confidenciales de los clientes, que deben ser protegidos de los hackers. Adicionalmente, los sitios de e-commerce con muchas páginas diferentes y API de terceros tienden a presentar más vulnerabilidades para que los atacantes y bots se apropien de la experiencia del cliente mediante el bloqueo de carritos, phishing o publicidades no autorizadas.

Y aunque un proveedor de servicios de salud probablemente no se enfrentará a la amenaza de ataques de DDoS con tanta frecuencia como las empresas de juegos o minoristas, también enfrentan amenazas a nivel de servidor e infraestructura donde se almacenan filas de datos confidenciales de los clientes (ej.: números de seguro social, historias clínicas, etc.), convirtiéndolo en un objetivo para los piratas informáticos que buscan sacar provecho de esa información personal.

Estos desafíos dispares requieren que los proveedores de servicios de TI (es decir, red, infraestructura en la nube, seguridad de aplicaciones, etc.) tengan la flexibilidad para satisfacer las diversas necesidades de sus clientes, ofreciendo un enfoque customizado para la seguridad de borde.

Además de la tradicional mitigación de DDoS en la red y en las capas de transporte a lo largo de su red CDN y la backbone de IP, Lumen también proporciona detección y mitigación en la capa de las aplicaciones, para ocuparse y responder frente a la creciente amenaza de los ataques de DDoS de capa 7. Por su parte, Lumen® CDN Edge Compute ofrece a sus clientes la oportunidad de implementar una amplia gama de medidas de seguridad en el borde, asociándose con proveedores de seguridad mejores en su categoría para servicios WAF y BRM. Y a las empresas que necesitan una implementación de seguridad única o utilizan una solución interna, Lumen les ofrece la oportunidad de construir directamente en la infraestructura de la red para implementar sus propios módulos de fuente abierta, software propio, o código customizado.

Este abordaje modular para la seguridad de CDN les permite a los clientes de Lumen no solo implementar una estrategia de seguridad integral que se adapte a sus necesidades específicas de negocio, sino que también ayuda a garantizar el desempeño y la confiabilidad de las aplicaciones en un momento en el que incluso los problemas menores de la experiencia del usuario final pueden generar grandes pérdidas en ingresos.

Lea el post original en inglés > https://blog.lumen.com/how-to-get-more-out-of-your-waf-with-an-integrated-approach/ 

Jon Paul "JP" McLeary

Autor:
Craig Lowell
Craig Lowell es gerente de marketing de producto líder del equipo de distribución de contenido de Lumen, especialista en contenido escrito y de video para el portfolio de CDN y sus soluciones complementarias. Antes de unirse a Lumen, trabajó en marketing de producto en la industria de monitoreo de la experiencia del usuario final. Neoyorquino de nacimiento, Craig trabaja en las oficinas de Lumen en Manhattan.

La base de datos: un activo que proteger

La base de datos: un activo que proteger

En la actualidad las empresas manejan grandes cantidades de datos, que incrementa a medida que pasan los años, el entorno global se digitaliza y tanto los consumidores como las compañías desarrollan sus relaciones en el ecosistema de Internet. Por este motivo, el valor corporativo hoy en día se determina en parte por la data: información de clientes, del mercado, performance pasada de la compañía, etc. Gracias a esto, las empresas ajustan sus expectativas, toman decisiones más precisas y aumentan su potencial innovador.

Por lo tanto, los datos son los cimientos del desarrollo de negocios, del crecimiento empresarial y contribuyen a la oferta de nuevos productos y servicios. Entonces, ¿cómo asegurarse de que este capital corporativo se encuentre seguro? Una de la preocupación central de las compañías es la ciberseguridad.

En los últimos años, los hackeos masivos han pasado a formar parte de la cotidianeidad en el ciber mundo, afectando a las más diversas industrias: desde el sector hotelero hasta los servicios financieros y compañías de retail, valiosas por la información detallada sobre los patrones de consumo. Es por esto que, entre las grandes corporaciones, se ha profundizado la tendencia de delegar la responsabilidad y protección de los datos en especialistas, expertos en este tipo de situaciones.

Las vulnerabilidades en materia de seguridad de algunos procesos abren las puertas para el robo sistemático de contraseñas, base de datos e información sensible alojada en computadoras o en los servicios de nubes públicas o privadas. Si bien en los últimos años, diversos softwares han sido desarrollados para minimizar los riesgos, el peligro continúa latente y las empresas deben tomar la iniciativa, de acuerdo a sus necesidades específicas.

Por esto es calve mantener la información alojada en Data Centers, especializados, con los más altos estándares de calidad que cuenten con la tecnología para atender las demandas que el mercado exige, lo que permite proveer soluciones escalables, efectivas, seguras y rentables. Empresas de todas las industrias están utilizando este tipo de infraestructura y accediendo a la Infraestructura como Servicio (IasS) para aumentar la eficiencia de sus costos. Así, las empresas pueden concentrar sus inversiones y esfuerzos en el core del negocio, mientras garantizan la seguridad, administración y disponibilidad de su información.

Además de los servicios de hosting y housing provistos en los data centers de Lumen, las empresas pueden acceder a las ofertas de Plataforma como servicios (PaaS), en donde se entrega a las organizaciones una solución completa de infraestructura tecnológica, totalmente administrada y asegurada, tales como; nubes privadas, comunitarias, públicas, granjas de servidores físicos y virtuales, administración de sistemas operativos y bases de datos, seguridad administrada, almacenamiento y backup.

Finalmente, Felipe Gómez Jaramillo, Director de Data Center, Seguridad y Cloud para el Clúster Andino de Lumen. Agrega que “nos encontramos en un momento en el que la tecnología, impulsada por volúmenes masivos de datos está cambiando por completo nuestra manera de vivir y trabajar. En esta 4ª Revolución Industrial los datos se convierten en el pilar para tomar decisiones trascendentales para los negocios, por lo que es importante que estos datos se almacenen, procesen, aseguren y analicen correctamente».