Mudanças entre as edições de "Boas Praticas para Melhorar a Seguranca de seu Provedor"
(→Introdução: alterações gramaticais.) |
|||
Linha 1: | Linha 1: | ||
__TOC__ | __TOC__ | ||
=== Introdução === | === Introdução === | ||
− | Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos. | + | Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar, não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes, mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes, se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos. |
− | Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos sendo altamente recomendado segui-las e implementá-las principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais. | + | Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos, sendo altamente recomendado segui-las e implementá-las, principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais. |
− | Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes | + | Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes investimentos em equipamentos, mas apenas instruir a equipe responsável para que observem e sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável. |
− | Nesse sentido o [https://nic.br/ Núcleo de Informação e Coordenação do Ponto BR (NIC.br)] | + | Nesse sentido o [https://nic.br/ Núcleo de Informação e Coordenação do Ponto BR (NIC.br)] há anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o [https://bcp.nic.br.br/ Programa por uma Internet mais Segura] e o [https://bcp.nic.br/manrs MARNS] para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros. |
=== Boas Práticas Gerais === | === Boas Práticas Gerais === | ||
− | Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é consultá-la de tempos em tempos para se certificar que | + | Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é recomendado consultá-la de tempos em tempos para se certificar de que esteja operando sempre com as melhores práticas de segurança. |
# '''Implementar as quatro ações do MARNS''' - https://bcp.nic.br/manrs | # '''Implementar as quatro ações do MARNS''' - https://bcp.nic.br/manrs | ||
− | ## Filtros de rotas de entrada e saída: evita sequestro de prefixos e leak | + | ## Filtros de rotas de entrada e saída: evita o sequestro de prefixos (hijacking) e vazamento de rotas (leak). Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de prefixos, vazamento de rotas ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias. |
− | ## Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego iniciem ataques DoS | + | ## Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego com endereço de origem alterado (spoofado) e iniciem ataques DoS tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (<nowiki>https://www.caida.org/projects/spoofer/</nowiki>) em segmentos de sua rede para verificar se ela permite tráfego spoofado. |
− | ## Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e como desejável | + | ## Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e também no RADb, como desejável. |
## Publicar suas políticas de roteamento/ no RADb (desejável). | ## Publicar suas políticas de roteamento/ no RADb (desejável). | ||
# '''Atender às notificações do [https://www.cert.br/ CERT.br]''' para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Devide Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois. | # '''Atender às notificações do [https://www.cert.br/ CERT.br]''' para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Devide Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois. | ||
− | # '''Implementar ações de hardening''' mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações | + | # '''Implementar ações de hardening''' mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações na apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf. Tópicos adicionais de hardening são apresentados nos cursos BCOP do NIC.br - https://cursoseventos.nic.br/curso/curso-bcop/ |
# '''Implementar gerência de porta 25''' - <nowiki>http://www.antispam.br/admin/porta25/</nowiki> | # '''Implementar gerência de porta 25''' - <nowiki>http://www.antispam.br/admin/porta25/</nowiki> | ||
=== Boas Práticas Especificas === | === Boas Práticas Especificas === | ||
− | Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares utilizados na operação do provedor para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet. | + | Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares, utilizados na operação do provedor, para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet. |
Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado. | Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado. |
Edição das 08h39min de 22 de março de 2019
Introdução
Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar, não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes, mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes, se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos.
Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos, sendo altamente recomendado segui-las e implementá-las, principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais.
Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes investimentos em equipamentos, mas apenas instruir a equipe responsável para que observem e sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável.
Nesse sentido o Núcleo de Informação e Coordenação do Ponto BR (NIC.br) há anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o Programa por uma Internet mais Segura e o MARNS para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros.
Boas Práticas Gerais
Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é recomendado consultá-la de tempos em tempos para se certificar de que esteja operando sempre com as melhores práticas de segurança.
- Implementar as quatro ações do MARNS - https://bcp.nic.br/manrs
- Filtros de rotas de entrada e saída: evita o sequestro de prefixos (hijacking) e vazamento de rotas (leak). Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de prefixos, vazamento de rotas ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias.
- Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego com endereço de origem alterado (spoofado) e iniciem ataques DoS tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (https://www.caida.org/projects/spoofer/) em segmentos de sua rede para verificar se ela permite tráfego spoofado.
- Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e também no RADb, como desejável.
- Publicar suas políticas de roteamento/ no RADb (desejável).
- Atender às notificações do CERT.br para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Devide Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois.
- Implementar ações de hardening mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações na apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf. Tópicos adicionais de hardening são apresentados nos cursos BCOP do NIC.br - https://cursoseventos.nic.br/curso/curso-bcop/
- Implementar gerência de porta 25 - http://www.antispam.br/admin/porta25/
Boas Práticas Especificas
Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares, utilizados na operação do provedor, para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet.
Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado.
Cisco
https://tools.cisco.com/security/center/softwarechecker.x
https://tools.cisco.com/security/center/publicationListing.x
Juniper
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
Huawei
https://www.huawei.com/en/psirt/all-bulletins
Mikrotik
https://blog.mikrotik.com/security/