Boas Praticas para Melhorar a Seguranca de seu Provedor
Introdução
Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar, não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes, mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes, se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos.
Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos, sendo altamente recomendado segui-las e implementá-las, principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais.
Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes investimentos em equipamentos, mas apenas instruir a equipe responsável para que observem e sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável.
Nesse sentido o Núcleo de Informação e Coordenação do Ponto BR (NIC.br) há anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o Programa por uma Internet mais Segura e o MARNS para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros.
Boas Práticas Gerais
Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é recomendado consultá-la de tempos em tempos para se certificar de que esteja operando sempre com as melhores práticas de segurança.
- Implementar as quatro ações do MARNS - https://bcp.nic.br/manrs
- Filtros de rotas de entrada e saída: evita o sequestro de prefixos (hijacking) e vazamento de rotas (leak). Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de prefixos, vazamento de rotas ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias.
- Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego com endereço de origem alterado (spoofado) e iniciem ataques DoS tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (https://www.caida.org/projects/spoofer/) em segmentos de sua rede para verificar se ela permite tráfego spoofado.
- Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e também no RADb, como desejável.
- Publicar suas políticas de roteamento/ no RADb (desejável).
- Atender às notificações do CERT.br para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Service Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois.
- Implementar ações de hardening mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações na apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf. Tópicos adicionais de hardening são apresentados nos cursos BCOP do NIC.br - https://cursoseventos.nic.br/curso/curso-bcop/
- Implementar gerência de porta 25 - http://www.antispam.br/admin/porta25/
Boas Práticas Especificas
Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares, utilizados na operação do provedor, para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet.
Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado.
Cisco
https://tools.cisco.com/security/center/softwarechecker.x
https://tools.cisco.com/security/center/publicationListing.x
Juniper
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
Huawei
https://www.huawei.com/en/psirt/all-bulletins
Mikrotik
https://blog.mikrotik.com/security/