Segurança em rede com ASN
Bom Dia Pessoal blza?
Aqui uso ASN (Ip valido pra cada cliente).
Gostaria de sugestoes para bloqeuio de portas, ex:
Bloqueio porta 22 e 23 em forward no firewall..
O que mais vcs bloqueiam? a ponto dos hackers nao ficarem escaneando.
Ontem m deparei com uma situacao. Chegava a vir 40mb de trafego para o IP de um cliente. E o mesmo nao tava usando a net. Vi pelo Torch da eth de entrada..
Sugestoes??
Re: Sgurança na Rede com ASN
Boa tarde @ManoDW!
Recomendo que pesquise mais detalhamente os tópicos de "BGP BCP", "BGP Best Current Practices" e "Autonous System Best Current Practices" no Google. Pois o assuntos é extenso e cada recomendação pode ou não ser aplicável a determinado ISP/VAS de acordo com sua operação e policas internas.
Porém os filtros e recomendações que são os mais básicos e indicados de ser implementados em qualquer provedor se proteger ou evitar que sua rede seja usada principalmente em ataques de DDoS e demais exploração de vulnerabilidades mais comuns são:
Filtragem de pacotes/firewall/ASN:
a) BCP38 - RFC2827 - Filtro Antispoofing;
b) BCP84 - RFC3704 - RPF Reverse Path Fowarding
c) Filtros Anti SPAM (Gerencia porta 25)
BGP BCP:
a)TTL Security Check
b)Filtros de Ingress e Egress nas sessões eBGP ipv4 e Ipv6. Segue um compilado de diversas fontes:
b.1) Bloquear ASN privados (RFC6996)
b.2) Verifique a lista do bogons IPV4/Ipv6 (prefixos que não deveriam aparecer no BGP)
Você pode bloquear tudo por padrão em ipv6 e permitir apenas o 2000::/3, ou os prefixos
mais específicos /12 e /23 sob responsabilidade de cada RIR. Alguns bogons podem
estar dentro do espaço dos RIRs, então também devem ser bloqueados
explicitamente.
b.3) Aplicação geral Filtros BGP como Route-maps e Prefix-list:
● Clientes(Downstreams) – Deve-se aceitar apenas os prefixos que foram designados (por você mesmo) ao cliente, oualocados a ele pelo NIC.br ou por um RIR.
● Fornecedores de trânsito (upstreams)– Você paga seu fornecedor de trânsito para que ele forneça acesso à toda a Internet. Épossível trabalhar com rotas default nesse caso.– Você só deve receber prefixos de seu upstream, caso necessite deles para fazerengenharia de tráfego (Fullrouting ou Partial).
● Peers (com quem realizamos troca de tráfego)– Deve-se combinar antes que prefixos serão anunciados ou aceitos.– No caso sessões BGP em um acordo de troca de tráfego multilateral no PTT, deve-sereceber todos os prefixos anunciados, com as seguintes exceções:
● Se você têm clientes de trânsito no PTT, deve-se filtrar os prefixos deles. Assim evita-se que o tráfegona direção do cliente passe pelo PTT, no lugar de passar no link de trânsito
● Se você têm upstreams no PTT, pode ser desejável filtrá-los, forçando o tráfego a fluir pelo link detrânsito em ambas as direções, e evitando assimetrias.
As recomendações acima são as mais básicas. Tem muita coisa a mais, porém já é um ponto de partida para provedores.
Cordialmente
Rafael Themístocles
[Consultor em Redes e Telecomunicações/NGN Network Project Engineer]
http://www.telmetrics.com.br
E-mail: [email protected]
[email protected]
Skype: rafaelthemistocles
Whatsapp: (11)9-5962-2128