Informe de Avería /01 17/02/14

Transcripción

1 Informe de Avería /01 17/02/14 Departamento de soporte técnico

2 Índice Objetivo... 3 Resumen... 3 Causante del problema... 3 Actuaciones... 4 Conclusiones... 5 Mail: soporte@infortelecom.es 2

3 Objetivo En este informe se analiza la incidencia técnica /01, ocurrida el día 17/02/2014 a las horas sobre una avería en el servicio de conectividad del centro de datos. El objetivo es determinar el motivo que provocó la avería, analizar las acciones realizadas durante la misma y definir un plan de mejora con todas las áreas que participan en la resolución de las averías que permita mejorar la calidad del servicio prestado al cliente. Resumen La avería se detectó a las h del Lunes 17/02/2014, momento en que se advierte una degradación en los servicios de conectividad del datacenter. Al momento, varios técnicos empezaron a realizar chequeos de los elementos de red. Durante la mañana el servicio se ofrece de manera intermitente. A las 15.20h se aíslan los causantes de la incidencia y se realizan una serie de configuraciones para mitigar el problema y asegurar el correcto funcionamiento de la red. A las 17.00h se da por cerrada la incidencia. Causante del problema Se ha sufrido un ataque de tipo DDoS (Denegación de servicio distribuido) que ha afectado a los servicios de conectividad. Este ha resultado en una saturación de los equipos de red, derivando en caídas del servicio BGP que realiza la publicación de los rangos de redes IP alojadas en el CPD, dejando sin conexión a los servicios de los diferentes sistemas alojados en nuestro datacenter. Mail: soporte@infortelecom.es 3

4 Actuaciones 17/02/ Se detecta una caída del servicio de conectividad. Se accede a los equipos de conectividad para averiguar la causa de la incidencia. 17/02/ Se observa una caída de la sesión BGP con el proveedor ONO. Se abre incidencia con el operador. 17/02/ Se confirma la caída de la sesión BGP por parte del operador, pero no se confirma caída o sobrecarga en su equipamiento de red. Se comprueba el enlace por fibra óptica. Empiezan a analizar registros. 17/02/ Se desvía el servicio al proveedor de backup, empiezan a publicarse los rangos IPs por el segundo carrier. 17/02/ Se recargan todas las rutas BGP por el nuevo operador. Se restablecen los servicios. Se analizan los registros del router. 17/02/ Se registra otra nueva caída BGP con el proveedor de backup. Se abre una incidencia y un ingeniero de red del operador revisa la incidencia. 17/02/ Se vuelve a recargar la sesión BGP y se restablece el servicio de conectividad. Se vuelven a revisar los registros del equipo de red. 17/02/ Se detectan en gráficos de monitorización aumentos inusuales de paquetes de tipo UDP desde distintas redes de origen, alcanzando en el origen del ataque un tráfico de más de 5 Gbps. Mail: soporte@infortelecom.es 4

5 17/02/ Se observa que estos ataques provienen de servidores NTP remotos. Se confirma que muchos de estos servidores son vulnerables a un ataque de amplificación NTP. Este consiste en que se forje una consulta de hora a un servidor vulnerable, y falseando la IP origen, la respuesta se destine a un objetivo determinado. Se empiezan a analizar soluciones con el operador, ya que al ser ataques que afectan al servicio de conectividad, los mecanismos de seguridad perimetral no intervienen. Por otra parte se empiezan a recopilar las IPs involucradas en el ataque. 17/02/ A los proveedores involucrados en el origen del ataque se les manda un reporte de abuso así como la solución a aplicar. 17/02/ Se detecta un último corte, afectando 2 minutos. 17/02/ Los operadores establecen reglas de limitación de tráfico UDP de este tipo para mitigar futuros ataques de este tipo. Se cierra la incidencia. Conclusiones En los últimos tiempos, se están realizando grandes esfuerzos por parte de la industria del malware para llevar a cabo infecciones de sistemas y que pasen inadvertidas, y explotación de vulnerabilidades de servicios, habitualmente para que formen parte de botnets y puedan lanzar ataques a terceros. En este caso, se ha sido objeto de un ataque de amplificación NTP, un tipo de ataque DDoS, que ha sobrecargado elementos de red, derivando en cortes de los servicios de conectividad. Mail: soporte@infortelecom.es 5

6 Puede obtenerse más información al respecto en los siguientes enlaces: gin=true Se han establecido cuotas de tráfico en los elementos de red de los operadores para mitigar este tipo de ataque en un futuro, y sus responsables han sido notificados para que tomen las medidas oportunas. Dado que se ha tratado de una sobrecarga, y no se ha caído el enlace, no se ha activado el sistema automático que se encarga de derivar los servicios al segundo carrier. Se está tratando con el ingeniero de red los ajustes necesarios a este respecto. Mail: soporte@infortelecom.es 6