Conhecimento num único lugar.
Tatiane Figueiredo – Instrutora de Treinamentos
Muito tem se falado nos últimos tempos a respeito de segurança nos equipamentos de rede, como switches, roteadores e OLTs GPON. Cada dia que passa, as ameaças, os ataques ou tentativas de ataques estão mais presentes ou mais próximos das estruturas dos ISPs.
Esta situação é um problema recorrente em provedores, que sofrem com a afetação do seu tráfego ou com acessos indevidos, bloqueando ou apagando todas as configurações dos equipamentos. Uma vez por semana, recebemos pelo menos um pedido de ajuda no nosso suporte técnico.
A negação de serviço ou DoS (Denial of Service) é uma técnica pela qual um atacante utiliza um equipamento conectado à rede para tirar de operação um serviço, um computador ou uma rede conectada à Internet. Quando usada de forma coordenada e distribuída, ou seja, quando um conjunto de equipamentos é utilizado no ataque, recebe o nome de Ataque Distribuído de Negação de Serviço (DDoS - Distributed Denial of Service).
Os ataques mais comuns são baseados em três pontos:
A ideia deste artigo não é trazer soluções milagrosas ou que farão com que você nunca mais receba uma tentativa de ataque, mas sim, de trazer boas práticas que podem auxilia-lo no dia-a-dia. Recomenda-se buscar informações a respeito de mitigação de ataques e há empresas especializadas neste segmento.
“Mas, eu, como um Provedor de Internet, o que posso fazer para começar a me proteger? Como posso minimizar os riscos?”
Confira os itens que abordaremos neste artigo:
Vamos a eles?
Assista também à playlist detalhando estes 11 pontos:
1. Importância de manter os equipamentos atualizados
Os fabricantes de equipamentos sempre buscam implementar em suas versões de firmware proteções sejam voltadas para possíveis ataques DoS ou DDoS, falhas de segurança ou até mesmo correções de problemas. Verifique periodicamente o que o seu fabricante tem adicionado nos novos firmwares.
A Datacom sempre ao lançar um novo firmware, traz as informações em um documento chamado release notes e detalhada tudo que foi implementado ou corrigido. Vale apena conferir. Ah! Periodicamente também implementamos as sugestões originadas de nossos clientes.
Por tanto, como boa prática recomendamos sempre manter o seu equipamento na última versão.
O release notes e os firmwares dos produtos Datacom podem ser encontrados no nosso portal de auto atendimento, o DmSupport.
2. Desabilitar o Telnet
Desabilite o Telnet, este tipo de comunicação ocorre em modo texto claro, prefira utilizar o acesso via SSH – Security Socket Shell, onde há criptografia. Algum mal-intencionado pode estar analisando o tráfego da sua rede e verificando todas as configurações, usuário e senhas que você envia para o seu equipamento.
Utilize então, apenas acessos aos equipamentos via SSH.
Exemplo de análise de um acesso telnet
3. Data e Hora
Nada de deixar o equipamento com aquele padrão de 1970!! Data e hora atualizados são importantíssimos para a análise dos LOGs e possíveis alarmes do equipamento. Não deixe esta configuração para mais tarde, atue antes que algo aconteça.
A configuração é bem tranquila e você poderá direcionar para um servidor de SNTP – Simple Network Time Protocol. Se este servidor oferecer autenticação, com o uso de senha, melhor ainda.
A comunicação do SNTP ocorre baseado no protocolo UDP, na porta 123. E fazendo uma busca rápida no Google, você perceberá que este tipo de serviço pode receber ataques através da inundação pacotes UDP. Fique atento!
4. Habilitar SNMPv3 e Retirar a Comunidade “Public”
O SNMP – Simple Network Management Protocol é um padrão de gerenciamento de rede amplamente utilizado em redes TCP/IP. É um protocolo da camada de aplicação que possibilita gerenciar a rede quanto ao seu desempenho e eventuais problemas em tempo real, sua especificação pode ser obtida na RFC 1157. A finalidade do SNMP é transportar as informações de gerenciamento dos ativos de rede através das portas UDP 161 e 162.
Tenha preferência por utilizar o SNMPv3, que é a versão mais recente do SNMP, suportando segurança e autenticação SHA e MD5 completas. A versão 2 do protocolo é a mais utilizada e melhorou o tratamento do protocolo em relação a versão 1, porém ambas são vulneráveis quando comparadas com a versão 3, pois utilizam strings de comunidade em texto simples.
É muito importante que você altere a comunidade “public” ou que retire a sua configuração do equipamento. Utilize comunidades específicas para leitura e leitura e escrita. A configuração é simples e manterá seu equipamento mais protegido.
5. Usuários Distintos e com privilégios mínimos conforme a função ou hierarquia
Não caia na tentação de deixar o usuário padrão do equipamento. Os invasores sempre tentarão o acesso pelos usuários default mais comuns, como: admin, administrator, root, guest, monitor, user e outros.
Neste ponto, gostaríamos de destacar a nossa linha de equipamentos com sistema operacional DmOS, que seguem os mais elevados padrões de desenvolvimento de software e que permitem a você que administra uma rede flexibilizar as mais diversas configurações.
Pensando nisso, entregamos a você um sistema totalmente escalável para que seja possível qualquer tipo de configuração, independentemente do tamanho, cenário ou necessidade da sua rede. Por padrão, a plataforma DmOS vem totalmente “limpa”, onde você colocará em prática as boas recomendações de segurança.
Você poderá consultar ou verificar as tentativas de acesso indevidas através dos LOGs do equipamento, algo similar ao demonstrado a seguir.
Log DmOS
Na imagem acima, foram verificadas 2.298 tentativas de acesso apenas no dia 25/05/2020. Claro, este equipamento está com um IP válido e não há firewall no ambiente em que está instalado. Aqui, vale a reflexão, será que realmente é necessário um IP público para a gerência do equipamento? Qual seria o estrago que o invasor poderia ter feito se o login e a senha estivessem com o famoso “admin”?
Ah! E cada usuário com os seus privilégios de acessos corretos! Não é necessário que todos os usuários dos equipamentos possam configurá-los por completo, atendentes de primeiro nível geralmente possuem acesso restrito aos comandos de visualização, os “shows”. Apenas os administradores da rede que precisam realizar configurações, devem possuir tal acesso.
Configure senhas fortes, nada de datas de aniversário ou sequência de números, são mais fáceis de serem identificadas e há listas que podem ser encontradas na Internet com as senhas mais usuais.
6. RADIUS ou TACACS+
Os protocolos RADIUS e TACACS+ são normalmente utilizados para fornecer Autenticação, Autorização e serviços de Contabilidade (AAA) em dispositivos de rede.
O RADIUS foi concebido para autenticar usuários remotos dial-up a uma rede e o TACACS+ para acesso administrador a dispositivos de rede.
A principal diferença entre o RADIUS e o TACACS+, é que o TACACS+ separa a funcionalidade de autorização, onde RADIUS combina a autenticação e autorização.
Explorando os três “As”, temos:
O uso destes protocolos facilita a administração dos usuários que terão ou poderão ter acesso aos equipamentos, além de agregar segurança ao controle de acesso dos equipamentos.
Com a utilização de servidores de acesso centralizados, em apenas um lugar você configurará todas as pessoas que acessarão os equipamentos, evitando a configuração individual e manual. Sem falar, que você provedor, sabe que há uma certa rotatividade de técnicos, e na saída de um deles, será necessário acessar equipamento por equipamento para retirada do acesso, não seria mais fácil e rápido realizar isso em apenas um lugar?
Este servidor por ser configurado em uma plataforma Linux e na Internet você encontra vários tutoriais que abordam a implementação e utilização. Vale a pena dar uma pesquisada.
7. Defina quais endereços IPs poderão ter acesso ao equipamento
Não deixe que qualquer IP ou rede tenha acesso seu equipamento, verifique quais endereços realmente precisam ter o acesso e crie filtros ou listas de controle de acesso. Evite que seu equipamento fique exposto e vulnerável.
Além dos controles que podem ser realizados nas permissões para endereços IP, podemos orientá-lo quanto a criação de regras que filtram o tráfego por endereço IP ou porta de origem/destino para as aplicações que realmente estão rodando ou sendo utilizadas na sua estrutura, como OSPF, BGP, MPLS/LDP e outros. Aqui na Datacom temos exemplos de configurações para nos nossos equipamentos que poderão auxiliá-lo nesta tarefa.
Você poderá optar por configurar:
Não há jeito certo ou errado e sim, o que melhor se adapta ao seu cenário ou conceito de operação.
Vamos aos exemplos? Nos baseamos no sistema operacional DmOS.
Para uma whitelist, inserimos todos os protocolos que serão liberados, além do acesso SSH pela rede 10.0.0.0/24. Qualquer outro tipo de acesso ou protocolo que não esteja liberado, será bloqueado (regra de deny).
Caso seja uma blacklist, temos no exemplo a seguir o acesso permitido para SSH e ICMP para a rede 10.0.0.0/24, consequentemente bloqueando o acesso as demais. Todos os protocolos estão permitidos (regra de permit no final da ACL).
Implemente mecanismos que impeçam a saída de pacotes com endereços de origem de uma rede privada e que não façam parte de um dos blocos de endereços da sua rede interna.
Fique atento e proteja-se! Conte conosco, estamos aqui para realizar esta atividade em conjunto.
8. LOGs
Tenha certeza que os equipamentos estão gerando LOGs, seja para consulta diretamente pela linha de comando (CLI) ou o envio para servidores de syslog, fazendo a consulta e análise com filtros diretamente pelo aplicativo de sua escolha.
Analise o tráfego de entrada e saída da sua rede, verifique se há tentativas de acesso não autorizado ou vazamento de dados importantes. Crie uma rotina para auditorias regulares.
9. Políticas de controle de banda
Realize o controle de banda em VLANs ou endereços IPs destinados para a gerência dos equipamentos, assim, possíveis ataques através de ICMP, do famoso Ping da morte ou de tempestade de pacotes podem ser reduzidos.
Interfaces voltadas para os clientes ou que realizam o transporte devem conter limitação ou restrição de banda, conforme o serviço contratado.
10. Tempestades de pacotes: Storm-control
A funcionalidade de storm-control quando habilitada, previne uma interface de receber uma tempestade de pacotes unicast desconhecidos (DLF), broadcast e multicast, monitorando os pacotes entrantes e comparando com os parâmetros configurados.
Caso a quantidade de pacotes recebidos seja maior que a capacidade configurada, estes serão descartados. Esta técnica impõe um limite aos pacotes que ingressam na interface.
11. Backup das Configurações
Último, mas não menos importante: crie uma rotina de backup das configurações de TODOS os seus equipamentos! Seja armazenando a configuração em memórias disponíveis dentro dos dispositivos ou transferidos para um servidor via TFTP ou SCP.
A realização deste procedimento, em caso de invasão, desastres ou perda das configurações reduzirá seu tempo de inatividade. Ah! É possível também configurar para que esta tarefa seja executada automaticamente. Em caso de dúvida, consulte o guia de configuração rápida do seu equipamento ou abra um ticket de suporte conosco.
Lembrando sempre que a Datacom conta com uma estrutura completa em sua matriz onde são ofertados treinamentos presenciais (consulte disponibilidade com o time comercial devido ao cenário de pandemia), bem como uma plataforma de treinamentos on-line (DATACOM EAD). Nos treinamentos será possível realizar configurações de diversas topologias e cenários de aplicação, além de poder contar com a ajuda dos nossos profissionais em uma série de boas práticas que ajudarão muito na operação de sua rede.
Inscreva-se também no nosso canal do Youtube, marque o recebimento de notificações e compartilhe o link nas suas redes sociais.
Para dúvidas e solicitação de proposta, entre em contato com a equipe comercial da Datacom. Estamos à disposição para lhe auxiliar na escolha do produto mais adequado à sua necessidade.
