Configurações de Roteamento

Implementar as ações de segurança de roteamento preconizadas pelo MANRS.

MANRS - Mutually Agreed Norms for Routing Security

Saiba mais em:

Para resolver os problemas de segurança e estabilidade da Internet, todos tentam proteger suas próprias redes olhando apenas o que entra nas redes. Essa ação é cara, pois necessita de equipamentos sofisticados e configurações complexas. Além disso, essa solução não tem sido eficiente, principalmente para as organizações de menor porte.

Poucos analisam o que sai de suas redes. Ao cuidar do tráfego que sai da rede, aplicando filtros e configurações corretas, o tráfego que sai de uma rede será muito mais “limpo”. Essa ação é simples, fácil e barata de ser implementada!

O Programa MANRS, apoiado pela Internet Society, preconiza a Segurança e Estabilidade na Internet.

O MANRS defende que a segurança da Internet depende de uma ação conjunta de todos os participantes da rede. Quanto mais operadores de rede trabalharem juntos, menos problemas todos terão!

O MANRS propõe ações técnicas e colaborativas que devem ser implementadas por todos os operadores da Internet, para combater as principais ameaças de segurança de roteamento (Sequestro de Prefixos, Vazamento de Rotas e Falsificação de IP de Remetente).

Para aumentar a robustez do sistema de roteamento da rede, é necessário que:

  • Os operadores de rede e os IX adotem as ações do MANRS.
  • As empresas contratantes demandem que essas ações sejam aplicadas pelos seus provedores de serviços.

Os Provedores se beneficiam com a implantação do MANRS porque ele:

  • Adiciona valor competitivo aos provedores de serviços em um mercado onde todos oferecem serviços semelhantes e direcionado ao preço;
  • Mostra aos seus clientes competência e comprometimento na área de segurança;
  • Ajuda a resolver problemas de rede.

Para mais informações, acesse o artigo MANRS para Prestadores de Serviços.

Uma pesquisa da 451 Research aponta que as empresas indicam que pagariam mais por serviços efetivamente seguros. Para mais informações acesse o artigo MANRS para Empresas.

Logo ISPO MANRS mantém em seu site o rol de empresas que aderiram à Iniciativa. Inscreva-se no programa MANRS, e diferencie-se num mercado competitivo!

São quatro ações simples que todos devem implementar. Veja a seguir.

Filtragem de Rotas

Ação 1. Impedir a propagação de informações de roteamento incorretas.

Esta ação garante que os anúncios BGP realizados pelas redes sejam de seus próprios blocos IP e de seus clientes, pela definição de políticas de anúncios e criação de filtros nos roteadores nas rotas de entrada e de saída, para garantir que suas políticas e de seus clientes estão sendo seguidas. Dificulta o sequestro de blocos IP e redirecionamento de tráfego.

  • O operador de rede deve definir uma política clara de roteamento e implementar um sistema que garanta a correção de seus próprios anúncios e os de seus clientes para redes adjacentes com granularidade de prefixo e de AS_PATH.
  • O operador de rede deve ser capaz de comunicar quais anúncios estão corretos às suas redes adjacentes.
  • O operador de rede deve avaliar a exatidão dos anúncios de seus clientes, especificamente que o cliente detém legitimamente o ASN e o espaço de enderço anunciados.

Acessar a Recomendação MANRS em https://bcp.nic.br/manrs.


Antispoofing

Ação 2. Impedir tráfego com endereços IP de origem falsificados.

Esta ação garante que os endereços IP de origem que saem da rede não sejam falsificados aplicando técnicas de antispoofing e impede que os computadores infectados de seus usuários iniciem ataques de amplificação.

  • O operador de rede deve implementar um sistema que permita a validação do endereço de origem para, pelo menos, redes de clientes single-homed e stub, seus próprios usuários finais e sua própria infraestrutura.
  • O operador de rede deve implementar a filtragem contra falsificação de endereço IP de remetente para impedir que pacotes com endereço IP de remetente incorretos entrem e saiam da rede.

Para resolver o problema, utilizar Ingress Access List, Unicast Reverse Path Forward (uRPF) ou Source Address Validation Improvement (SAVI).

Utilizar a ferramenta CAIDA Spoofer, que testa periodicamente a capacidade de uma rede enviar e receber pacotes com endereços IP de origem falsificados. A ferramenta produz relatórios que informam os operadores, equipes de resposta e analistas de políticas sobre diferentes tipos de endereços de remetente forjados, incluindo endereços privados e vizinhos. Os resultados dos testes permitem analisar se as redes implementam validação do endereço de remetente. Acessar em https://www.caida.org/projects/spoofer.


Coordenação

Ação 3. Facilitar a comunicação operacional global e a coordenação entre os operadores de rede.

Esta ação que seus contatos estejam atualizados e sejam acessíveis por terceiros com a atualização do registro whois do Registro.br e outras bases de dados como IRR e PeeringDB. Permite que equipes de segurança de outras redes entrem em contato no caso de detecção de problemas na rede do operador.

  • O operador de rede deve manter informações de contato atualizadas globalmente e acessíveis por terceiros de maneira global mantendo atualizados: Whois do Registro.br, PeeringDB e Site da Empresa.

Acessar a Recomendação MANRS no https://bcp.nic.br/manrs.


Validação Global

Ação 4. Facilitar a validação de informações de roteamento em escala global.

Esta ação garante que as políticas de roteamento da rede estejam acessíveis em escala global para facilitar a validação de informações de roteamento por outras redes.

  • O operador de rede deve documentar publicamente sua política de roteamento, os ASNs e os prefixos que devem ser anunciados a terceiros.
  • Publicar suas políticas de roteamento em bases de dados externas como IRR (RADb, TC, NTTCOM) e RPKI.

Acessar a Recomendação MANRS em https://bcp.nic.br/manrs.


Parceiro
Apoio inicial
Realização
  • O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
  • Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
arrow_upward