Boas Praticas para Melhorar a Seguranca de seu Provedor

De Wiki BPF
Revisão de 19h29min de 21 de março de 2019 por Fernando.frediani (discussão | contribs) (Texto inicial do artigo.)
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para: navegação, pesquisa

Introdução

Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar não apenas a boa operação da redes pelos quais é responsável e o serviço prestados à seus clientes mas também como forma de evitar que sua rede seja utilizada como fonte de problemas para outras redes. Sendo a Internet uma interconexão de milhares de redes se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente na perda da qualidade de navegação do usuário final e aumento de custos para todos.

Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos sendo altamente segui-las e implementá-las principalmente em ambientes que proveem acesso para milhares de usuários finais.

Para implementação de diversas dessas práticas nem sempre é necessário realizar investimentos grandes em equipamentos, mas apenas instruir a equipe responsável para que sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável.

Nesse sentido o Núcleo de Informação e Coordenação do Ponto BR (NIC.br) à anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o MARNS para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros.

Boas Práticas Gerais

Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é consultá-la de tempos em tempos para se certificar que está sempre com as melhores práticas de segurança.

  1. Implementar as quatro ações do MARNS - https://bcp.nic.br/manrs
    1. Filtros de rotas de entrada e saída: evita sequestro de prefixos e leak Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de rotas, leak ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias.
    2. Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego iniciem ataques DoS com tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (https://www.caida.org/projects/spoofer/) em segmentos de sua rede para verificar se ela permite tráfego spoofado.
    3. Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e como desejável no RADb.
    4. Publicar suas políticas de roteamento/ no RADb (desejável).
  2. Atender às notificações do CERT.br para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Devide Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois.
  3. Implementar ações de hardening mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações no apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf Tópicos adicionais hardening são apresentados nos cursos do NIC.br - https://cursoseventos.nic.br/curso/curso-bcop/
  4. Implementar gerência de porta 25 - http://www.antispam.br/admin/porta25/

Boas Práticas Especificas

Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares utilizados na operação do provedor para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet.

Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios

Disponível em "https://wiki.brasilpeeringforum.org/index.php?title=Boas_Praticas_para_Melhorar_a_Seguranca_de_seu_Provedor&oldid=687"