Wiki BPF - Contribuições do(a) usuário(a) [pt-br]

Boas Praticas para Melhorar a Seguranca de seu Provedor

2019-03-22T16:45:53Z

Gzorello: Palavra em inglês.

__TOC__
=== Introdução ===
Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar, não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes, mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes, se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos.

Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos, sendo altamente recomendado segui-las e implementá-las, principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais.

Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes investimentos em equipamentos, mas apenas instruir a equipe responsável para que observem e sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável.

Nesse sentido o [https://nic.br/ Núcleo de Informação e Coordenação do Ponto BR (NIC.br)] há anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o [https://bcp.nic.br/ Programa por uma Internet mais Segura] e o [https://bcp.nic.br/manrs MARNS] para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros.

=== Boas Práticas Gerais ===
Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é recomendado consultá-la de tempos em tempos para se certificar de que esteja operando sempre com as melhores práticas de segurança.
# '''Implementar as quatro ações do MARNS''' - https://bcp.nic.br/manrs
## Filtros de rotas de entrada e saída: evita o sequestro de prefixos (hijacking) e vazamento de rotas (leak). Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de prefixos, vazamento de rotas ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias.
## Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego com endereço de origem alterado (spoofado) e iniciem ataques DoS tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (<nowiki>https://www.caida.org/projects/spoofer/</nowiki>) em segmentos de sua rede para verificar se ela permite tráfego spoofado.
## Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e também no RADb, como desejável.
## Publicar suas políticas de roteamento/ no RADb (desejável).
# '''Atender às notificações do [https://www.cert.br/ CERT.br]''' para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Service Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois.
# '''Implementar ações de hardening''' mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações na apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf. Tópicos adicionais de hardening são apresentados nos cursos BCOP do NIC.br - https://cursoseventos.nic.br/curso/curso-bcop/
# '''Implementar gerência de porta 25''' - http://www.antispam.br/admin/porta25/

=== Boas Práticas Especificas ===
Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares, utilizados na operação do provedor, para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet.

Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado.

'''Cisco'''

https://tools.cisco.com/security/center/softwarechecker.x

https://tools.cisco.com/security/center/publicationListing.x

'''Juniper'''

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

'''Huawei'''

https://www.huawei.com/en/psirt/all-bulletins

'''Mikrotik'''

https://blog.mikrotik.com/security/

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

https://checkmyrouter.mkesolutions.net/
[[Categoria:BCOPs]]

Boas Praticas para Melhorar a Seguranca de seu Provedor

2019-03-22T11:41:15Z

Gzorello: Ajuste de link para URL externa

__TOC__
=== Introdução ===
Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar, não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes, mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes, se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos.

Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos, sendo altamente recomendado segui-las e implementá-las, principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais.

Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes investimentos em equipamentos, mas apenas instruir a equipe responsável para que observem e sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável.

Nesse sentido o [https://nic.br/ Núcleo de Informação e Coordenação do Ponto BR (NIC.br)] há anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o [https://bcp.nic.br/ Programa por uma Internet mais Segura] e o [https://bcp.nic.br/manrs MARNS] para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros.

=== Boas Práticas Gerais ===
Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é recomendado consultá-la de tempos em tempos para se certificar de que esteja operando sempre com as melhores práticas de segurança.
# '''Implementar as quatro ações do MARNS''' - https://bcp.nic.br/manrs
## Filtros de rotas de entrada e saída: evita o sequestro de prefixos (hijacking) e vazamento de rotas (leak). Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de prefixos, vazamento de rotas ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias.
## Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego com endereço de origem alterado (spoofado) e iniciem ataques DoS tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (<nowiki>https://www.caida.org/projects/spoofer/</nowiki>) em segmentos de sua rede para verificar se ela permite tráfego spoofado.
## Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e também no RADb, como desejável.
## Publicar suas políticas de roteamento/ no RADb (desejável).
# '''Atender às notificações do [https://www.cert.br/ CERT.br]''' para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Devide Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois.
# '''Implementar ações de hardening''' mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações na apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf. Tópicos adicionais de hardening são apresentados nos cursos BCOP do NIC.br - https://cursoseventos.nic.br/curso/curso-bcop/
# '''Implementar gerência de porta 25''' - <nowiki>http://www.antispam.br/admin/porta25/</nowiki>

=== Boas Práticas Especificas ===
Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares, utilizados na operação do provedor, para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet.

Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado.

'''Cisco'''

https://tools.cisco.com/security/center/softwarechecker.x

https://tools.cisco.com/security/center/publicationListing.x

'''Juniper'''

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

'''Huawei'''

https://www.huawei.com/en/psirt/all-bulletins

'''Mikrotik'''

https://blog.mikrotik.com/security/

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

https://checkmyrouter.mkesolutions.net/

Boas Praticas para Melhorar a Seguranca de seu Provedor

2019-03-22T11:39:44Z

Gzorello: /* Introdução */ alterações gramaticais.

__TOC__
=== Introdução ===
Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar, não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes, mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes, se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos.

Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos, sendo altamente recomendado segui-las e implementá-las, principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais.

Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes investimentos em equipamentos, mas apenas instruir a equipe responsável para que observem e sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável.

Nesse sentido o [https://nic.br/ Núcleo de Informação e Coordenação do Ponto BR (NIC.br)] há anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o [https://bcp.nic.br.br/ Programa por uma Internet mais Segura] e o [https://bcp.nic.br/manrs MARNS] para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros.

=== Boas Práticas Gerais ===
Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é recomendado consultá-la de tempos em tempos para se certificar de que esteja operando sempre com as melhores práticas de segurança.
# '''Implementar as quatro ações do MARNS''' - https://bcp.nic.br/manrs
## Filtros de rotas de entrada e saída: evita o sequestro de prefixos (hijacking) e vazamento de rotas (leak). Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de prefixos, vazamento de rotas ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias.
## Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego com endereço de origem alterado (spoofado) e iniciem ataques DoS tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (<nowiki>https://www.caida.org/projects/spoofer/</nowiki>) em segmentos de sua rede para verificar se ela permite tráfego spoofado.
## Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e também no RADb, como desejável.
## Publicar suas políticas de roteamento/ no RADb (desejável).
# '''Atender às notificações do [https://www.cert.br/ CERT.br]''' para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Devide Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois.
# '''Implementar ações de hardening''' mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações na apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf. Tópicos adicionais de hardening são apresentados nos cursos BCOP do NIC.br - https://cursoseventos.nic.br/curso/curso-bcop/
# '''Implementar gerência de porta 25''' - <nowiki>http://www.antispam.br/admin/porta25/</nowiki>

=== Boas Práticas Especificas ===
Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares, utilizados na operação do provedor, para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet.

Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado.

'''Cisco'''

https://tools.cisco.com/security/center/softwarechecker.x

https://tools.cisco.com/security/center/publicationListing.x

'''Juniper'''

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

'''Huawei'''

https://www.huawei.com/en/psirt/all-bulletins

'''Mikrotik'''

https://blog.mikrotik.com/security/

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

https://checkmyrouter.mkesolutions.net/