Por uma Internet mais segura

Configurações de Roteamento

Implementar as ações de segurança de roteamento preconizadas pelo MANRS.

MANRS - Mutually Agreed Norms for Routing Security

Saiba mais em:

http://bcp.nic.br/manrs

Para resolver os problemas de segurança e estabilidade da Internet, todos tentam proteger suas próprias redes olhando apenas o que entra nas redes. Essa ação é cara, pois necessita de equipamentos sofisticados e configurações complexas. Além disso, essa solução não tem sido eficiente, principalmente para as organizações de menor porte.

Poucos analisam o que sai de suas redes. Ao cuidar do tráfego que sai da rede, aplicando filtros e configurações corretas, o tráfego que sai de uma rede será muito mais “limpo”. Essa ação é simples, fácil e barata de ser implementada!

O Programa MANRS, apoiado pela Internet Society, preconiza a Segurança e Estabilidade na Internet.

O MANRS defende que a segurança da Internet depende de uma ação conjunta de todos os participantes da rede. Quanto mais operadores de rede trabalharem juntos, menos problemas todos terão!

O MANRS propõe ações técnicas e colaborativas que devem ser implementadas por todos os operadores da Internet, para combater as principais ameaças de segurança de roteamento (Sequestro de Prefixos, Vazamento de Rotas e Falsificação de IP de Remetente).

Para aumentar a robustez do sistema de roteamento da rede, é necessário que:

Os operadores de rede e os IX adotem as ações do MANRS.
As empresas contratantes demandem que essas ações sejam aplicadas pelos seus provedores de serviços.

Os Provedores se beneficiam com a implantação do MANRS porque ele:

Adiciona valor competitivo aos provedores de serviços em um mercado onde todos oferecem serviços semelhantes e direcionado ao preço;
Mostra aos seus clientes competência e comprometimento na área de segurança;
Ajuda a resolver problemas de rede.

Para mais informações, acesse o artigo MANRS para Prestadores de Serviços.

Uma pesquisa da 451 Research aponta que as empresas indicam que pagariam mais por serviços efetivamente seguros. Para mais informações acesse o artigo MANRS para Empresas.

O MANRS mantém em seu site o rol de empresas que aderiram à Iniciativa. Inscreva-se no programa MANRS, e diferencie-se num mercado competitivo!

São quatro ações simples que todos devem implementar. Veja a seguir.

Veja a seguir:

Filtragem de Rotas

Ação 1. Impedir a propagação de informações de roteamento incorretas.

Esta ação garante que os anúncios BGP realizados pelas redes sejam de seus próprios blocos IP e de seus clientes, pela definição de políticas de anúncios e criação de filtros nos roteadores nas rotas de entrada e de saída, para garantir que suas políticas e de seus clientes estão sendo seguidas. Dificulta o sequestro de blocos IP e redirecionamento de tráfego.

O operador de rede deve definir uma política clara de roteamento e implementar um sistema que garanta a correção de seus próprios anúncios e os de seus clientes para redes adjacentes com granularidade de prefixo e de AS_PATH.
O operador de rede deve ser capaz de comunicar quais anúncios estão corretos às suas redes adjacentes.
O operador de rede deve avaliar a exatidão dos anúncios de seus clientes, especificamente que o cliente detém legitimamente o ASN e o espaço de enderço anunciados.

Acessar a Recomendação MANRS em https://bcp.nic.br/manrs.

Antispoofing

Ação 2. Impedir tráfego com endereços IP de origem falsificados.

Esta ação garante que os endereços IP de origem que saem da rede não sejam falsificados aplicando técnicas de antispoofing e impede que os computadores infectados de seus usuários iniciem ataques de amplificação.

O operador de rede deve implementar um sistema que permita a validação do endereço de origem para, pelo menos, redes de clientes single-homed e stub, seus próprios usuários finais e sua própria infraestrutura.
O operador de rede deve implementar a filtragem contra falsificação de endereço IP de remetente para impedir que pacotes com endereço IP de remetente incorretos entrem e saiam da rede.

Para resolver o problema, utilizar Ingress Access List, Unicast Reverse Path Forward (uRPF) ou Source Address Validation Improvement (SAVI).

Utilizar a ferramenta CAIDA Spoofer, que testa periodicamente a capacidade de uma rede enviar e receber pacotes com endereços IP de origem falsificados. A ferramenta produz relatórios que informam os operadores, equipes de resposta e analistas de políticas sobre diferentes tipos de endereços de remetente forjados, incluindo endereços privados e vizinhos. Os resultados dos testes permitem analisar se as redes implementam validação do endereço de remetente. Acessar em https://www.caida.org/projects/spoofer.

Acessar a Recomendação MANRS em https://bcp.nic.br/manrs.

Coordenação

Ação 3. Facilitar a comunicação operacional global e a coordenação entre os operadores de rede.

Esta ação que seus contatos estejam atualizados e sejam acessíveis por terceiros com a atualização do registro whois do Registro.br e outras bases de dados como IRR e PeeringDB. Permite que equipes de segurança de outras redes entrem em contato no caso de detecção de problemas na rede do operador.

O operador de rede deve manter informações de contato atualizadas globalmente e acessíveis por terceiros de maneira global mantendo atualizados: Whois do Registro.br, PeeringDB e Site da Empresa.

Acessar a Recomendação MANRS no https://bcp.nic.br/manrs.

Validação Global

Ação 4. Facilitar a validação de informações de roteamento em escala global.

Esta ação garante que as políticas de roteamento da rede estejam acessíveis em escala global para facilitar a validação de informações de roteamento por outras redes.

O operador de rede deve documentar publicamente sua política de roteamento, os ASNs e os prefixos que devem ser anunciados a terceiros.
Publicar suas políticas de roteamento em bases de dados externas como IRR (RADb, TC, NTTCOM) e RPKI.

Acessar a Recomendação MANRS em https://bcp.nic.br/manrs.