+ Responder ao Tópico



  1. #1

    Padrão Segurança em rede com ASN

    Bom Dia Pessoal blza?

    Aqui uso ASN (Ip valido pra cada cliente).

    Gostaria de sugestoes para bloqeuio de portas, ex:

    Bloqueio porta 22 e 23 em forward no firewall..

    O que mais vcs bloqueiam? a ponto dos hackers nao ficarem escaneando.

    Ontem m deparei com uma situacao. Chegava a vir 40mb de trafego para o IP de um cliente. E o mesmo nao tava usando a net. Vi pelo Torch da eth de entrada..

    Sugestoes??

  2. #2

    Padrão Re: Sgurança na Rede com ASN

    Boa tarde @ManoDW!

    Recomendo que pesquise mais detalhamente os tópicos de "BGP BCP", "BGP Best Current Practices" e "Autonous System Best Current Practices" no Google. Pois o assuntos é extenso e cada recomendação pode ou não ser aplicável a determinado ISP/VAS de acordo com sua operação e policas internas.

    Porém os filtros e recomendações que são os mais básicos e indicados de ser implementados em qualquer provedor se proteger ou evitar que sua rede seja usada principalmente em ataques de DDoS e demais exploração de vulnerabilidades mais comuns são:

    Filtragem de pacotes/firewall/ASN:

    a) BCP38 - RFC2827 - Filtro Antispoofing;
    b) BCP84 - RFC3704 - RPF Reverse Path Fowarding
    c) Filtros Anti SPAM (Gerencia porta 25)

    BGP BCP:

    a)TTL Security Check

    b)Filtros de Ingress e Egress nas sessões eBGP ipv4 e Ipv6. Segue um compilado de diversas fontes:

    b.1) Bloquear ASN privados (RFC6996)
    b.2) Verifique a lista do bogons IPV4/Ipv6 (prefixos que não deveriam aparecer no BGP)

    Você pode bloquear tudo por padrão em ipv6 e permitir apenas o 2000::/3, ou os prefixos
    mais específicos /12 e /23 sob responsabilidade de cada RIR. Alguns bogons podem
    estar dentro do espaço dos RIRs, então também devem ser bloqueados
    explicitamente.

    b.3) Aplicação geral Filtros BGP como Route-maps e Prefix-list:

    ● Clientes(Downstreams) – Deve-se aceitar apenas os prefixos que foram designados (por você mesmo) ao cliente, oualocados a ele pelo NIC.br ou por um RIR.

    ● Fornecedores de trânsito (upstreams)– Você paga seu fornecedor de trânsito para que ele forneça acesso à toda a Internet. Épossível trabalhar com rotas default nesse caso.– Você só deve receber prefixos de seu upstream, caso necessite deles para fazerengenharia de tráfego (Fullrouting ou Partial).

    ● Peers (com quem realizamos troca de tráfego)– Deve-se combinar antes que prefixos serão anunciados ou aceitos.– No caso sessões BGP em um acordo de troca de tráfego multilateral no PTT, deve-sereceber todos os prefixos anunciados, com as seguintes exceções:

    ● Se você têm clientes de trânsito no PTT, deve-se filtrar os prefixos deles. Assim evita-se que o tráfegona direção do cliente passe pelo PTT, no lugar de passar no link de trânsito
    ● Se você têm upstreams no PTT, pode ser desejável filtrá-los, forçando o tráfego a fluir pelo link detrânsito em ambas as direções, e evitando assimetrias.


    As recomendações acima são as mais básicas. Tem muita coisa a mais, porém já é um ponto de partida para provedores.


    Cordialmente

    Rafael Themístocles
    [Consultor em Redes e Telecomunicações/NGN Network Project Engineer]
    http://www.telmetrics.com.br
    E-mail: [email protected]
    [email protected]
    Skype: rafaelthemistocles

    Whatsapp: (11)9-5962-2128