Wiki BPF - Contribuições do(a) usuário(a) [pt-br]

Aplicando anti-spoof via ACL na borda Huawei

2025-10-30T15:55:37Z

Erickandrade:

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do '''anti-spoof''' '''BCP38''' NÃO/NUNCA/JAMAIS irá bloquear ataques '''DDoS'''/'''DoS'''. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque '''DDoS'''/'''DoS''' envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

Sobre a mitigação de ataques DDoS/DoS você pode estar lendo os artigos publicados aqui mesmo no '''Brasil Peering Fórum''', especialmente os de [[Recomendações sobre Mitigação DDoS|Marcelo Gondim]] e de [[Boas praticas para cenarios de DDoS|Daniel Damito]].

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você '''NÃO''' pode receber tráfego tendo como origem os seus '''próprios Endereços IPs e IPs bogons''', e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==

==== Informações úteis: ====
# Você '''''não precisa/deve seguir a risca tudo como demonstrei''''', realize as adaptações para o seu cenário, teste em laboratório e só depois de validado passe para a implantação no ambiente de produção. A minha rede é diferente da sua e isso exige uma atenção diferente na hora de implementar novas configurações.
# Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o '''commit trial'''. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.
# Os IPs utilizados no tutorial são de faixas exclusivas para fins de documentação, '''''lembre-se de alterar para as que você utiliza em sua rede'''''.
# A configuração aplicada nas interfaces (passo 9) deve abranger '''''apenas sua conexão com Operadoras e IX''''', se você tem '''''ponto a ponto interno/externo''''', '''''utiliza IPs Privados/Públicos''''' revise em laboratório como deve ser feito/adaptado ao seu cenário para evitar bloqueios indevidos.
# As ACLs trabalham com Máscara Curinga ('''Wildcard Mask'''), esteja atento a isso para configurar corretamente a sua sub rede.
# Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em '''IP''' > '''Settings''' e define o '''RP-Filter''' como '''Strict'''.

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 203.0.113.0 0.0.0.255

acl ipv6 number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 2001:DB8::/32

acl number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Bloquear_Spoof_Geral precedence 1
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page

'''Autor''': Erick Andrade
[[Categoria:BCOPs]]
__INDEXAR__

Aplicando anti-spoof via ACL na borda Huawei

2025-10-30T15:55:10Z

Erickandrade:

'''Autor''': Erick Andrade

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do '''anti-spoof''' '''BCP38''' NÃO/NUNCA/JAMAIS irá bloquear ataques '''DDoS'''/'''DoS'''. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque '''DDoS'''/'''DoS''' envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

Sobre a mitigação de ataques DDoS/DoS você pode estar lendo os artigos publicados aqui mesmo no '''Brasil Peering Fórum''', especialmente os de [[Recomendações sobre Mitigação DDoS|Marcelo Gondim]] e de [[Boas praticas para cenarios de DDoS|Daniel Damito]].

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você '''NÃO''' pode receber tráfego tendo como origem os seus '''próprios Endereços IPs e IPs bogons''', e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==

==== Informações úteis: ====
# Você '''''não precisa/deve seguir a risca tudo como demonstrei''''', realize as adaptações para o seu cenário, teste em laboratório e só depois de validado passe para a implantação no ambiente de produção. A minha rede é diferente da sua e isso exige uma atenção diferente na hora de implementar novas configurações.
# Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o '''commit trial'''. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.
# Os IPs utilizados no tutorial são de faixas exclusivas para fins de documentação, '''''lembre-se de alterar para as que você utiliza em sua rede'''''.
# A configuração aplicada nas interfaces (passo 9) deve abranger '''''apenas sua conexão com Operadoras e IX''''', se você tem '''''ponto a ponto interno/externo''''', '''''utiliza IPs Privados/Públicos''''' revise em laboratório como deve ser feito/adaptado ao seu cenário para evitar bloqueios indevidos.
# As ACLs trabalham com Máscara Curinga ('''Wildcard Mask'''), esteja atento a isso para configurar corretamente a sua sub rede.
# Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em '''IP''' > '''Settings''' e define o '''RP-Filter''' como '''Strict'''.

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 203.0.113.0 0.0.0.255

acl ipv6 number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 2001:DB8::/32

acl number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Bloquear_Spoof_Geral precedence 1
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page
[[Categoria:BCOPs]]
__INDEXAR__

Looking Glass

2025-10-30T15:47:12Z

Erickandrade: Acrescentei o Looking Glass da minha empresa

A ferramenta Looking Glass, ou em uma tradução livre em português "espelho", é muito utilizada por operadores de rede Internet no mundo todo para visualizar suas rotas BGP e prefixos na tabela de roteamento de outros participantes.

O uso do Looking Glass pode ser muito útil para entender como suas rotas estão sendo tratadas, anunciadas, alteradas, bloqueadas, etc. Os melhores Looking Glass são aqueles que são roteadores reais (com acesso público somente leitura). Alguns inclusive permitem o usuário dar comandos como PING e TRACEROUTE (entenda aqui como o [[traceroute]] funciona).

Esta ferramenta pode ser muito útil ao solucionar problemas de roteamento da Internet; seja para o seu site,seu ASN ou para prefixos de parceiros e clientes. Abaixo segue uma lista não extensiva dos principais Looking Glass do Brasil e alguns mundiais:

== Lista de Looking Glass ==
'''Atualizada em 02/10/2025'''
{| class="wikitable sortable"
|+ Nacionais (Brasil)
! Rede
! ASN
! Looking Glass
! IPv4
! IPv6
|-
| Adylnet
| 28283
| http://lg.adyl.net.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Algar Telecom
| 16735
| telnet://201.48.0.2
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Aloo
| 61568
| http://lg.alootelecom.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Altarede
| 28260
| http://lg.altarede.com.br/...
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
|-
| Aranet
| 262462
| https://lg.aranet.net.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Araujo SAT
| 263024
| http://lg.araujosat.com.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Asap Telecom
| 264144
| http://lg.asaptelecom.com.br:8002/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Avanza Telecom
| 262769
| http://lg.avanzatelecom.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| AW Fibra
| 61775
| https://lg.awinternet.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| BitCom
| 28169
| http://lg.bitcom.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Br.digital (Antiga Commcorp)
| 14840
| https://lg.br.digital/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
|Brasil TecPar
|262907
|https://lg.brasiltecpar.com.br/
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
|Brasilnet Telecom
|262808
|https://lg.brasilnet.net.br/
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
| Claro
| 4230
| https://lg.nocclaro.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Conect Internet
| 265066
| https://lg.conectrj.net.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Conid
| 53163
| http://lg.conid.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| DigitalNet MS
| 61588
| http://lg.idl.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| Eletronet
| 267613
| https://lg.eletronet.net.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
|Vianet Telecomunicaçoes LTDA
|271201
|https://lg.vianetitz.com.br/
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
| Fasternet
| 28580
| https://lg.fasternet.com.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Ferenz Networks
| 266400
| https://lg.as266400.net/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Flextel Network
| 263959
| https://lg.flextel.net.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| Forte Telecom
| 263009
| https://lg.fortetelecom.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Mega Telecom
| 28329
| https://lg.megatelecom.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| GGNET
| 53062
| http://lg.as53062.net.br/lg
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| GOX Internet
| 263623
| https://lg.goxinternet.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Hokinet
| 61587
| http://lg.hokinet.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Hostzone
| 269070
| https://lg.as269070.net/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
|Itanet Conecta
|52699
|https://lg.itanet.psi.br/
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
| Infortel
| 53180
| https://lg.infortel.net.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Intercol
| 53047
| http://lg.intercol.com.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Internexa
| 262589
| ssh bgp_view@177.84.161.226 senha bgp_view
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| Internet Way
| 263470
| https://lg.internetway.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| IVR NET
| 262611
| http://lg.ivrnet.com.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| IX.br ALICE
| Vários
| https://lg.ix.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| IX.br São Paulo
| Vários
| telnet://lg.sp.ptt.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| Junto Telecom
| 262596
| http://lg.juntotelecom.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| K2 Telecom
| 53181
| https://lg.k2telecom.net.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Kinghost
| 28299
| https://lg.kinghost.net/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| MCD Telecom
| 265144
| https://lg.mcdtelecom.com.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| Latitude
| 262287
| https://lg.latitude.sh/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| N4 Telecom
| 262505
| http://looking-glass.n4telecom.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| NBS Telecom
| 61745
| http://lg.nbstelecom.psi.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Net&Com
| 263324
| http://lg.netecom.net.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| OpenX
| 263444
| http://lg.openx.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Sebratel Tecnologia
| 53167
| https://lg.sebratel.net.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Semear Telecom
| 269416
| http://lg.semeartelecom.net.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
|Sinal Br Telecom
|262761
|https://lg.sinalbr.com.br
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
| Sitelbra
| 265171
| http://lg.sitelbra.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| Softdados Telecom
| 52873
| https://lg.softdados.net
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Sumicity
| 28210
| https://lg.sumicity.net.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| TJ NET
| 266130
| https://lg.redetjnet.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
|Turbozone Internet
|264479
|https://lg.turbozoneinternet.com.br
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
|Ufinet
|52468
|http://lg.ufinet.net.br/ ou telnet://route-server.ufinet.net.br
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
| Unifique
| 28343
| https://lg.unifique.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
|Universidade de São Paulo
|28571
|https://lg.ti.usp.br
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
| UPX Technologies
| 52863
| http://lg.upx.com/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Vero Internet
| 53184
| http://lg.verointernet.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Wirelink
| 28368
| http://lg.wirelink.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
| Wixnet
| 53013
| http://lg.wixnet.com.br
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| W8 Telecom
| 267469
| http://lg.w8telecom.com.br/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
|4WNET TELECOMUNICAÇÕES
|268707
|http://lg.4wnet.net.br:8001/
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
|VIA MS
|61622
|https://lg.viams.com.br
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
|Visão Datacenter
|273508
|https://lg.visaodatacenter.com.br
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|}

*
{| class="wikitable sortable"
|+
Internacionais
! Rede
! ASN
! Looking Glass
! IPv4
! IPv6
|-
| Angola Cables
| 37468
| https://lg.angolacables.co.ao/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| AT&T
| 7018
| [telnet://12.0.1.28 telnet://route-server.ip.att.net]
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Cogent
| 174
| http://www.cogentco.com/en/network/looking-glass
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Colt
| 8220
| https://portal.colt.net/lg
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| EdgeUno
| 7195
| https://lg.edgeuno.com/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| G-Core Labs
| 199524
| https://lg.gcorelabs.com/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Globenet
| 52320
| https://lg.globenet.net/lg/lg.cgi
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| GTT (via Ginernet)
| 3257
| http://gtt.lg.ginernet.com/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
|GTT / Public Route Server
|AS3257
|telnet://route-server.as3257.net
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Não.png|semmoldura]]
|-
| HE
| 6939
| http://lg.he.net/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Leaseweb
| 30633
| https://lg.leasewebstatus.com/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Cirion
| 3356
| https://lookingglass.centurylink.com/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| MEO
| 8657
| http://glass.cprm.net/bgp.html
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| NLNOG
| Vários
| http://lg.ring.nlnog.net
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| NTT
| 2914
| https://www.gin.ntt.net/looking-glass-landing/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Orange (Opentransit)
| 5511
| https://looking-glass.opentransit.net/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| OVH
| 16276
| https://lg.ovh.net
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| PJSC ROSTELECOM
| 12389
| http://lg.ip.rt.ru/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Seabone / Sparkle
| 6762
| https://www.tisparkle.com/looking-glass
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Seaborn
| 13786
| https://lg.as13786.net/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Tata
| 6453
| http://lg.as6453.net
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Telia/Arelion
| 1299
| https://lg.twelve99.net/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Telxius
| 12956
| https://lookinglass.telxius.com/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
|TGlobal Networks
|53427
|https://lg.tglobalnetworks.com/
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Sim.png|semmoldura]]
|-
| Worldstream
| 49981
| https://lg.worldstream.nl
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|-
| Zayo
| 6461
| http://lg.zayo.com
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Sim.png|semmoldura]]
|}

{| class="wikitable sortable"
|+ CDNs
! Rede
! ASN
! Looking Glass
! IPv4
! IPv6
|-
| CDS Global
| 63199
| https://gic.capitalonline.net/en/nettools/page_part/
| [[Arquivo:Sim.png|semmoldura]]
| [[Arquivo:Não.png|semmoldura]]
|-
|Zenlayer
|21859
|https://www.zenlayer.com/global-network/performance/
|[[Arquivo:Sim.png|semmoldura]]
|[[Arquivo:Não.png|semmoldura]]
|-
|}

==== <big>Destaques</big> ====
* Looking Glass da Fasternet que exibe validação RPKI e mostra um mapa interativo da rota (<nowiki>https://lg.fasternet.com.br</nowiki>)
* Looking Glass da Gcore que mostra um mapa visual da rota (<nowiki>https://lg.gcorelabs.com/</nowiki>)
* Looking Glass ALICE do IX.br, que agrega várias tabelas de IXs em diferentes cidades (<nowiki>https://lg.ix.br</nowiki>)

* Looking Glass da NLNOG que mostra uma visão de múltiplos route-servers (<nowiki>http://lg.ring.nlnog.net</nowiki>)

==== <big>Looking Glass mais aguardado</big> ====
* ISPTools em http://www.isptools.com.br/lg
[[Arquivo:Kisspng-emoji-sadness-emoticon-smiley-clip-art-sad-emoji-png-clipart-5a73fc019d1bb8.4272949715175505936435.png|esquerda|semmoldura|66x66px]]
*
*
.
==== <big>Ausências importantes:</big> ====
Redes importantes que '''não disponibilizam''' um Looking Glass BGP:

.

* Telefônica Vivo
* TIM
* Oi
* Copel
* Amazon
* Google
* Microsoft
* Akamai
[[Categoria:Interconexão]]
__INDEXAR__
[[Categoria:Roteamento]]

Aplicando anti-spoof via ACL na borda Huawei

2025-09-17T15:12:50Z

Erickandrade:

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do '''anti-spoof''' '''BCP38''' NÃO/NUNCA/JAMAIS irá bloquear ataques '''DDoS'''/'''DoS'''. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque '''DDoS'''/'''DoS''' envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

Sobre a mitigação de ataques DDoS/DoS você pode estar lendo os artigos publicados aqui mesmo no '''Brasil Peering Fórum''', especialmente os de [[Recomendações sobre Mitigação DDoS|Marcelo Gondim]] e de [[Boas praticas para cenarios de DDoS|Daniel Damito]].

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você '''NÃO''' pode receber tráfego tendo como origem os seus '''próprios Endereços IPs e IPs bogons''', e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==

==== Informações úteis: ====
# Você '''''não precisa/deve seguir a risca tudo como demonstrei''''', realize as adaptações para o seu cenário, teste em laboratório e só depois de validado passe para a implantação no ambiente de produção. A minha rede é diferente da sua e isso exige uma atenção diferente na hora de implementar novas configurações.
# Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o '''commit trial'''. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.
# Os IPs utilizados no tutorial são de faixas exclusivas para fins de documentação, '''''lembre-se de alterar para as que você utiliza em sua rede'''''.
# A configuração aplicada nas interfaces (passo 9) deve abranger '''''apenas sua conexão com Operadoras e IX''''', se você tem '''''ponto a ponto interno/externo''''', '''''utiliza IPs Privados/Públicos''''' revise em laboratório como deve ser feito/adaptado ao seu cenário para evitar bloqueios indevidos.
# As ACLs trabalham com Máscara Curinga ('''Wildcard Mask'''), esteja atento a isso para configurar corretamente a sua sub rede.
# Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em '''IP''' > '''Settings''' e define o '''RP-Filter''' como '''Strict'''.

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 203.0.113.0 0.0.0.255

acl ipv6 number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 2001:DB8::/32

acl number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Bloquear_Spoof_Geral precedence 1
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page

=== Autor: ===
'''Erick Andrade'''
[[Categoria:BCOPs]]
__INDEXAR__

Aplicando anti-spoof via ACL na borda Huawei

2025-09-17T14:49:24Z

Erickandrade:

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do '''anti-spoof''' '''BCP38''' NÃO/NUNCA/JAMAIS irá bloquear ataques '''DDoS'''/'''DoS'''. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque '''DDoS'''/'''DoS''' envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

Sobre a mitigação de ataques DDoS/DoS você pode estar lendo os artigos publicados aqui mesmo no '''Brasil Peering Fórum''', especialmente os de [[Recomendações sobre Mitigação DDoS|Marcelo Gondim]] e de [[Boas praticas para cenarios de DDoS|Daniel Damito]].

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você '''NÃO''' pode receber tráfego tendo como origem os seus '''próprios Endereços IPs e IPs bogons''', e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==

==== Informações úteis: ====
# Você '''''não precisa/deve seguir a risca tudo como demonstrei''''', realize as adaptações para o seu cenário, teste em laboratório e só depois de validado passe para a implantação no ambiente de produção. A minha rede é diferente da sua e isso exige uma atenção diferente na hora de implementar novas configurações.
# Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o '''commit trial'''. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.
# Os IPs utilizados no tutorial são de faixas exclusivas para fins de documentação, '''''lembre-se de alterar para as que você utiliza em sua rede'''''.
# A configuração aplicada nas interfaces (passo 9) deve abranger '''''apenas sua conexão com Operadoras e IX''''', se você tem '''''ponto a ponto interno/externo''''', '''''utiliza IPs Privados/Públicos''''' revise em laboratório como deve ser feito/adaptado ao seu cenário para evitar bloqueios indevidos.
# As ACLs trabalham com Máscara Curinga ('''Wildcard Mask'''), esteja atento a isso para configurar corretamente a sua sub rede.
# Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em '''IP''' > '''Settings''' e define o '''RP-Filter''' como '''Strict'''.

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 203.0.113.0 0.0.0.255

acl ipv6 number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 2001:DB8::/32

acl number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Bloquear_Spoof_Geral precedence precedence 1
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page

=== Autor: ===
'''Erick Andrade'''
[[Categoria:BCOPs]]
__INDEXAR__

Aplicando anti-spoof via ACL na borda Huawei

2025-09-17T14:45:43Z

Erickandrade:

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do '''anti-spoof''' '''BCP38''' NÃO/NUNCA/JAMAIS irá bloquear ataques '''DDoS'''/'''DoS'''. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque '''DDoS'''/'''DoS''' envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

Sobre a mitigação de ataques DDoS/DoS você pode estar lendo os artigos publicados aqui mesmo no '''Brasil Peering Fórum''', especialmente os de [[Recomendações sobre Mitigação DDoS|Marcelo Gondim]] e de [[Boas praticas para cenarios de DDoS|Daniel Damito]].

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você '''NÃO''' pode receber tráfego tendo como origem os seus '''próprios Endereços IPs e IPs bogons''', e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==

==== Informações úteis: ====
# Você '''''não precisa/deve seguir a risca tudo como demonstrei''''', realize as adaptações para o seu cenário, teste em laboratório e só depois de validado passe para a implantação no ambiente de produção. A minha rede é diferente da sua e isso exige uma atenção diferente na hora de implementar novas configurações.
# Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o '''commit trial'''. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.
# Os IPs utilizados no tutorial são de faixas exclusivas para fins de documentação, '''''lembre-se de alterar para as que você utiliza em sua rede'''''.
# A configuração aplicada nas interfaces (passo 9) deve abranger '''''apenas sua conexão com Operadoras e IX''''', se você tem '''''ponto a ponto interno/externo''''', '''''utiliza IPs Privados/Públicos''''' revise em laboratório como deve ser feito/adaptado ao seu cenário para evitar bloqueios indevidos.
# As ACLs trabalham com Máscara Curinga ('''Wildcard Mask'''), esteja atento a isso para configurar corretamente a sua sub rede.
# Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em '''IP''' > '''Settings''' e define o '''RP-Filter''' como '''Strict'''.

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 2001:DB8::/32
rule 100 deny

acl number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Bloquear_Spoof_Geral precedence precedence 1
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page

=== Autor: ===
'''Erick Andrade'''
[[Categoria:BCOPs]]
__INDEXAR__

Aplicando anti-spoof via ACL na borda Huawei

2025-09-17T14:44:15Z

Erickandrade:

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do '''anti-spoof''' '''BCP38''' NÃO/NUNCA/JAMAIS irá bloquear ataques '''DDoS'''/'''DoS'''. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque '''DDoS'''/'''DoS''' envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

Sobre a mitigação de ataques DDoS/DoS você pode estar lendo os artigos publicados aqui mesmo no '''Brasil Peering Fórum''', especialmente os de [[Recomendações sobre Mitigação DDoS|Marcelo Gondim]] e de [[Boas praticas para cenarios de DDoS|Daniel Damito]].

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você '''NÃO''' pode receber tráfego tendo como origem os seus '''próprios Endereços IPs e IPs bogons''', e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==

==== Informações úteis: ====
# Você '''''não precisa/deve seguir a risca tudo como demonstrei''''', realize as adaptações para o seu cenário, teste em laboratório e só depois de validado passe para a implantação no ambiente de produção. A minha rede é diferente da sua e isso exige uma atenção diferente na hora de implementas novas configurações.
# Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o '''commit trial'''. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.
# Os IPs utilizados no tutorial são de faixas exclusivas para fins de documentação, '''''lembre-se de alterar para as que você utiliza em sua rede'''''.
# A configuração aplicada nas interfaces (passo 9) deve abranger '''''apenas sua conexão com Operadoras e IX''''', se você tem '''''ponto a ponto interno/externo''''', '''''utiliza IPs Privados/Públicos''''' revise em laboratório como deve ser feito/adaptado ao seu cenário para evitar bloqueios indevidos.
# As ACLs trabalham com Máscara Curinga ('''Wildcard Mask'''), esteja atento a isso para configurar corretamente a sua sub rede.
# Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em '''IP''' > '''Settings''' e define o '''RP-Filter''' como '''Strict'''.

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2001
description ACL para bloqueio de spoof na entrada
rule 10 permit source 2001:DB8::/32
rule 100 deny

acl number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof na saida
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Bloquear_Spoof_Geral precedence precedence 1
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page

=== Autor: ===
'''Erick Andrade'''
[[Categoria:BCOPs]]
__INDEXAR__

Aplicando anti-spoof via ACL na borda Huawei

2025-09-17T01:04:26Z

Erickandrade:

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do '''anti-spoof''' '''BCP38''' NÃO/NUNCA/JAMAIS irá bloquear ataques '''DDoS'''/'''DoS'''. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque '''DDoS'''/'''DoS''' envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

Sobre a mitigação de ataques DDoS/DoS você pode estar lendo os artigos publicados aqui mesmo no '''Brasil Peering Fórum''', especialmente os de [[Recomendações sobre Mitigação DDoS|Marcelo Gondim]] e de [[Boas praticas para cenarios de DDoS|Daniel Damito]].

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você '''NÃO''' pode receber tráfego tendo como origem os seus '''próprios Endereços IPs e IPs bogons''', e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==

==== Dicas: ====
Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o '''commit trial'''. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.

Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em '''IP''' > '''Settings''' e define o '''RP-Filter''' como '''Strict'''.

Os IPs utilizados no tutorial são de '''faixas exclusivas para fins de documentação''', lembre-se de alterar para as que você utiliza em sua rede.

As ACLs trabalham com '''Máscara Curinga''' ('''Wildcard Mask'''), esteja atento a isso para configurar corretamente a sua sub rede.

Você não precisa seguir exatamente tudo como demonstrei, realize as adaptações para o seu cenário, teste em laboratório só depois de validado passa para a implantação no ambiente de produção.

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2001
description ACL para bloqueio de spoof
rule 10 permit source 2001:DB8::/32
rule 100 deny

acl number 2002
description ACL para bloqueio de spoof
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page

=== Autor: ===
'''Erick Andrade'''
[[Categoria:BCOPs]]
__INDEXAR__

Aplicando anti-spoof via ACL na borda Huawei

2025-09-15T23:38:18Z

Erickandrade:

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do anti-spoof BCP38 NÃO/NUNCA/JAMAIS irá bloquear ataques DDoS/DoS. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque DDoS/DoS envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você NÃO pode receber tráfego tendo como origem os seus próprios Endereços IPs e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==
Dicas: ''Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o commit trial. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.''

''Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em IP > Settings o RP-Filter como Strict.''

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2001
description ACL para bloqueio de spoof
rule 10 permit source 2001:DB8::/32
rule 100 deny

acl number 2002
description ACL para bloqueio de spoof
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page

=== Autor: ===
'''Erick Andrade'''
[[Categoria:BCOPs]]
__INDEXAR__

Aplicando anti-spoof via ACL na borda Huawei

2025-09-15T21:04:41Z

Erickandrade: Créditos finais.

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do anti-spoof BCP38 NÃO/NUNCA/JAMAIS irá bloquear ataques DDoS/DoS. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque DDoS/DoS envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você NÃO pode receber tráfego tendo como origem os seus próprios Endereços IPs e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==
Dicas: ''Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o commit trial. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.''

''Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em IP > Settings o RP-Filter como Strict.''

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2001
description ACL para bloqueio de spoof
rule 10 permit source 2001:DB8::/32
rule 100 deny

acl number 2002
description ACL para bloqueio de spoof
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page

=== Autor: ===
'''Erick Andrade'''

Aplicando anti-spoof via ACL na borda Huawei

2025-09-15T21:01:31Z

Erickandrade: Criou página com '== Introdução == Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos end...'

== Introdução ==
Um dos maiores problemas entre ASs (Sistemas Autônomos) é o '''spoof''' dos endereços IPv4 e IPv6. O spoof nada mais é que uma '''falsificação dos endereços IP''' e isso faz com que um tráfego não legítimo entre ou saia da sua rede, amplificando problemas como ataques '''DDoS'''/'''DoS'''.

Basicamente existem duas maneiras de implementar o bloqueio de spoof, a primeira é via configuração do '''uRPF''' direto na interface física ou vlan e a segunda seria por meio de '''ACLs''' e '''classificadores de tráfego'''.

O '''uRPF''' ('''Reverse Path Forwarding''') pode ser separado em duas 'classes' que são '''loose''' e '''strict'''. No modo loose que é extremamente flexível você tem uma proteção muito simples que nem sempre terá efetividade. Já no modo strict garante uma filtragem agressiva melhorando significativamente a segurança do ambiente.

A grande questão é que se você possuir mais de um link ('''multihomed'''), o uRPF strict será prejudicial porque ele exige que o caminho de chegada seja o mesmo de saída do tráfego. Já se a sua conexão for '''singlehomed''' (apenas uma operadora/link) o strict atenderá perfeitamente.

E para referência, recomendo que leia também o artigo feito pelo André Dias sobre o uRPF: [[Unicast Reverse Path Forwarding#Modo Strict .28Rigoroso.29 - Cuidado com ele.21]]

Aqui estarei focando nos ambientes multihomed, que fará a combinação do uRPF loose com ACLs em classificadores de tráfego. Apesar do exemplo ser para um roteador Huawei da série NE, a lógica é a mesma para outros equipamentos como Cisco.

É importante lembrar que a adoção do anti-spoof BCP38 NÃO/NUNCA/JAMAIS irá bloquear ataques DDoS/DoS. Mas ajuda você e toda a comunidade da internet a mitigar e diminuir os impactos desse problema.

A mitigação do ataque DDoS/DoS envolve várias outras técnicas que visam diminuir os impactos sentidos, mas é impossível bloquear exceto se você desligar o equipamento ou fizer blackhole.

== Entendendo a lógica do BCP38 ==
O BCP38 descreve que os ataques de spoof podem se utilizar de endereços privados que não estão na tabela de roteamento global e dos endereços públicos que estão na tabela de roteamento global, nesse caso faz referência direta ao protocolo BGP.

Dito isto a lógica é simples, você NÃO pode receber tráfego tendo como origem os seus próprios Endereços IPs e a saída deve conter apenas os seus próprios Endereços IPs. Qualquer outro Endereço IP que fuja dessa regra deve ser bloqueado.

== MANRS ==
Um dos pré-requisitos que você pode adotar ao querer ser aprovado no MANRS seria o anti-spoof, utilizei a documentação do MANRS como inspiração para a construção dessa configuração.

== Configuração ==
Dicas: ''Se você for fazer a configuração remotamente ou até mesmo presencialmente, aplique com o commit trial. Se algo não sair como esperado (como perder totalmente o acesso), após o tempo definido no trial as configurações serão revertidas.''

''Outras configurações anti-spoof devem ser feitas o mais próximo do equipamento do seu cliente, por exemplo, se ele usa um Mikrotik você faz a configuração em IP > Settings o RP-Filter como Strict.''

1 – Crie as ACLs que serão usadas nas regras de Entrada e Saída dos classificadores.
acl number 2001
description ACL para bloqueio de spoof
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2001
description ACL para bloqueio de spoof
rule 10 permit source 2001:DB8::/32
rule 100 deny

acl number 2002
description ACL para bloqueio de spoof
rule 10 permit source 203.0.113.0 0.0.0.255
rule 100 deny

acl ipv6 number 2002
description ACL para bloqueio de spoof
rule 10 permit source 2001:DB8::/32
rule 100 deny
2 – Crie o classificador de tráfego que será usado no bloqueio da política de tráfego.
traffic classifier Trafego_Restante_Spoof operator or
if-match any
3 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Saida_Spoof_Filtrado operator or
if-match acl 2002
if-match ipv6 acl 2002
4 – Crie o classificador que vai dar match com as ACLs.
traffic classifier Origem-Spoof_Filtrado operator or
if-match acl 2001
if-match ipv6 acl 2001
5 – Crie o classificador com comportamento padrão de permitir.
traffic behavior Permitir_Trafego_Filtrado
6 – Crie o classificador com o comportamento padrão de bloquear.
traffic behavior Bloquear_Spoof_Geral
deny
7 – Crie a política de tráfego para a saída, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Saida_Spoofada
share-mode
classifier Saida_Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
8 – Crie a política de tráfego para a entrada, permitindo o que foi definido na ACL e bloqueando todo o resto.
traffic policy Prevenir_Origem_Spoofada
share-mode
classifier Origem-Spoof_Filtrado behavior Permitir_Trafego_Filtrado precedence 1
classifier Trafego_Restante_Spoof behavior Bloquear_Spoof_Geral precedence 10
9 – Configure a interface física ou VLAN do seu Upstream ou IX com uRPF loose e as políticas de tráfego.
interface GigabitEthernet0/3/2.100
vlan-type dot1q 100
description VLAN_PEER_Operadora
ipv6 enable
ip address 203.0.113.2 255.255.255.252
ipv6 address 2001:DB8::100/126
statistic enable
traffic-policy Prevenir_Origem_Spoofada inbound
traffic-policy Prevenir_Saida_Spoofada outbound
ip urpf loose

=== Referências: ===
MANRS Huawei: https://manrs.org/participant/85

BCP Nic.br: https://bcp.nic.br/antispoofing

<nowiki>RFC 2827</nowiki>: https://datatracker.ietf.org/doc/rfc2827

BCP 38: http://www.bcp38.info/index.php/Main_Page