Sobre o
programa

Por uma Internet + Segura

A quantidade de incidentes de segurança que afetam a infraestrutura das redes conectadas à Internet tem crescido continuamente. Isso gera custos extras relacionados ao tempo de inatividade, depuração e reconfiguração de equipamentos e até mesmo o trânsito de dados de ataques de negação de serviço originados por dispositivos dentro da própria rede, seja por estarem mal configurados, seja por terem sido infectados por códigos maliciosos.

Os alvos dos ataques podem enfrentar problemas como indisponibilidade de acesso a serviços e recursos da rede, danos à imagem, perdas financeiras e de credibilidade e dificuldade na continuidade de seus negócios.

Uma das principais razões para o sucesso desses ataques é a falta de atenção às configurações de segurança dos equipamentos utilizados pelos Sistemas Autônomos e às inúmeras vulnerabilidades presentes nesses dispositivos.

A manutenção do funcionamento adequado do Sistema Autônomo é fundamental para os negócios de várias instituições, em particular, de operadoras de telecomunicações, provedores de acesso à Internet, corporações e prestadores de serviços de dados.

Diante desse cenário, o CGI.br e NIC.br lançaram, no final de 2017, no IX Fórum 11, o Programa por uma Internet mais segura, com o apoio da SindiTelebrasil, associação das operadoras de telecomunicações, da ABRANET e da ABRINT, associações de provedores de acesso à Internet e parceria da Internet Society, que promove o desenvolvimento de padrões utilizados na Internet e fomenta iniciativas educacionais e políticas públicas ligadas à Internet, em âmbito mundial.

O Programa tem como objetivo atuar em apoio à comunidade técnica da Internet para a redução de ataques de negação de serviço (DDoS) originados nas redes do Brasil, reduzir o sequestro de prefixos, o vazamento de rotas e a falsificação de endereços IP de origem, além de reduzir as vulnerabilidades e falhas de configuração presentes nos elementos da rede, aproximar as diferentes equipes responsáveis pela segurança e estabilidade da rede para criar uma cultura de segurança entre os operadores da rede.

Incentivo à adoção de boas práticas

As ações do Programa por uma Internet mais segura precisam ser realizadas conjuntamente por todos os operadores dos Sistemas Autônomos para que os problemas de segurança sejam solucionados.

Para o aumento da conscientização sobre essas questões de segurança o NIC.br oferece palestras, cursos e treinamentos para os operadores das redes e elabora e divulga Boas Práticas técnicas e operacionais.

Interage ainda com as associações de operadoras de telecomunicações e provedores de serviços de Internet e seus afiliados para a disseminação da cultura de segurança com proposições de melhoria de processos e de configurações para mitigação de problemas existentes e implantação de Boas Práticas em suas redes como o MANRS - “Mutually Agreed Norms for Routing Security” – e recomendações para especificação, configuração e operação de CPEs em suas respectivas redes.

O NIC.br também atua no estabelecimento de métricas e realiza medições para acompanhamento da efetividade das ações.

Dentro das iniciativas do Programa, o NIC.br está implementando as ações necessárias para aumentar a segurança dos route servers do IX.br, pois a ocorrência de problemas em relação à tabela de rotas compartilhadas pode afetar seriamente os ASNs que participam ou não dos Pontos de Troca de Tráfego do IX.br. As especificações para estas ações contaram com comentários enviados pela comunidade técnica da Internet.

O NIC.br ressalta que todas as recomendações feitas no Programa por uma Internet mais segura, como por exemplo a adoção das ações propostas na iniciativa MANRS, devem ser consideradas e aplicadas pelos gestores dos ASNs envolvidos em relações privadas ou compartilhadas dentro do IX.br.

Porque é importante

A Internet que conhecemos hoje tem origem nos anos 1960 e foi projetada para interligar redes de computadores de organizações que tinham propósitos semelhantes em um ambiente de confiança, entre pessoas conhecidas ou com vínculos comuns.

No projeto e implementação dos protocolos da rede, que ainda são utilizados, não foram considerados aspectos de segurança que se mostram essenciais nos dias de hoje.

Atualmente, um número muito grande de organizações participa da Internet, com propósitos distintos de utilização da rede e há uma diversidade muito grande de dispositivos conectados.

Os ataques que eventualmente existissem no passado tinham baixa probabilidade de ocorrer, pois tinham alto custo e baixo impacto aos usuários. Hoje, pela grande dependência que as organizações têm da rede, os impactos dos ataques são bastante altos e os custos para gerá-los estão cada vez mais baixos, a relação se inverteu. Esses ataques podem trazer grandes prejuízos para as empresas afetadas.

Os principais ataques à infraestrutura de rede que têm sido registrados são os de negação de serviço (DoS, ou DDoS, se tiverem origem distribuída em vários atacantes coordenados), ataques de sequestro de prefixos e vazamento de rotas, detalhados a seguir.

Para reduzir o impacto e a viabilização desses ataques, a comunidade de operadores de redes e serviços que formam a Internet deve mobilizar-se e em conjunto executar ações para diminuir tais atividades maliciosas.

 

 

 

Ataque de Negação de Serviço (DoS)

Um dos ataques que gera mais impactos negativos é o de Negação de Serviço, ou DoS (Denial of Service). Os ataques DoS, quando são realizados de forma coordenada e distribuída, com um grande número de equipamentos gerando o tráfego malicioso, são chamados de Ataque Distribuído de Negação de Serviço (DDoS).

Esse tipo de ataque tem o objetivo de sobrecarregar serviços, enlaces de conexão com a rede e equipamentos responsáveis por encaminhamento de pacotes e conexão aos serviços.

Há duas formas de DDoS mais utilizadas atualmente:

  • Por intermédio de botnets formadas por equipamentos infectados, mal configurados ou invadidos, como computadores pessoais, servidores Web, dispositivos móveis, câmeras, CPEs, roteadores Wi-Fi, modems banda larga, etc. O controlador da botnet envia comandos a esses equipamentos para que ataquem um alvo específico diretamente;
  • Por meio de ataques de amplificação, que ocorrem pela exploração de características em serviços de Internet, como DNS, SNMP, NTP, SSDP e CHARGEN, em que os pacotes de resposta são dezenas ou até centenas de vezes maiores do que uma pergunta.

Os ataques DDoS executados diretamente por botnets, sem amplificação, têm merecido cada vez mais atenção, uma vez que a Internet das Coisas aumenta o número de dispositivos conectados à Internet, fornecendo um número crescente de potenciais dispositivos a serem comprometidos.

Ações precisam ser tomadas no sentido de melhorar o projeto desses dispositivos, tornando-os mais seguros desde a sua concepção. Por exemplo, cuidados especiais devem ser tomados a respeito da escolha adequada das configurações padrão de fábrica, além de haver a possibilidade de atualizações automáticas de software para corrigir problemas, etc.

Os ataques DDoS com amplificação hoje são muito utilizados e têm sérias consequências. Para que um ataque com amplificação seja realizado com sucesso é necessário que o atacante forje o endereço IP da vítima em suas requisições. Dessa forma, um atacante envia uma solicitação para um servidor válido, mas falsifica o endereço IP de remetente do pacote de dados, de forma que a resposta seja enviada para outra máquina que não a dele mesmo. A máquina que receberá a resposta "amplificada" é a da vítima. Ao executar essas consultas de forma repetida e para vários dispositivos, o atacante faz com o que o volume de dados que chega até a vítima seja muitas vezes maior do que o suportado pelos seus enlaces de conexão à Internet, o que impede o seu uso.

Ataques deste tipo são viáveis porque a rede que recebe pacotes de dados não tem como verificar a origem correta dos mesmos, ou seja, não tem como verificar se o IP de origem foi ou não forjado, falsificado. Apenas a rede de origem dos pacotes tem mecanismos para certificar que o endereço IP do remetente realmente pertence a essa mesma rede.

Existem mecanismos para prevenir a falsificação de endereços IP, que devem ser utilizados nas redes que os origina e de forma geral são fáceis de se implementar.

Infelizmente, poucos implementam esses mecanismos, talvez por desconhecimento, talvez pensando que ao fazerem isso estarão protegendo apenas outras redes que não a sua própria. Isso é um engano, pois quando seus enlaces de conexão à Internet são utilizados como "saída" para ataques, geram desperdício com uso de recursos para um fim não planejado. Em alguns casos, torna-se necessário ampliar a banda dos enlaces de conexão com a Internet para atender às demandas legítimas. Em resumo: sua rede consumirá mais banda pela falta de uma configuração simples e o consumo desnecessário será utilizado para ataques de outras redes.

Além disso, ao fazer as proteções indicadas, sua rede contribui para uma infraestrutura mais segura em geral e poderá também motivar outros a implementarem e, com isso, diminuir o risco de que sua rede seja também vítima de tais ações maliciosas.

Em diversos eventos que reúnem operadores de redes, é constante a temática de ataques de negação de serviço e o alto impacto que têm provocado nas redes, destacando a necessidade de ações concretas e urgentes.

Dentre os mais diversos problemas que afetam a Internet, alguns podem ser endereçados por diferentes setores da indústria e, com certeza, trarão benefícios concretos em um curto espaço de tempo.

A solução para esse problema é a aplicação de filtros antispoofing o mais próximo possível do usuário da rede, conforme a recomendação da Ação 2 do MANRS, e atender às notificações enviadas pelo CERT.br para configurar corretamente os serviços que podem ser abusados em ataques de amplificação.

Ataque DoS

Figura 1: Exemplo de ataque DoS e solução utilizando filtro antispoofing, configuração de serviços que permitem amplificação e hardening.

Saiba mais em Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS) e Antispoofing.

Sequestro de Prefixos e Vazamento de Rotas

A Internet é uma rede de âmbito mundial que permite a troca de dados entre quaisquer hosts conectados, que possuem seus endereços IP exclusivos. A rede é formada por roteadores conectados e o tráfego de pacotes flui por essa rede passando de um roteador para outro encaminhando-o cada vez mais próximo do seu destino, até que seja entregue. Cada roteador possui sua tabela de roteamento atualizada e os endereços IP são agrupados em prefixos que pertencem a Sistemas Autônomos. As tabelas de rotas são construídas e atualizadas utilizando o Gateway Protocol (BGP).

Cada Sistema Autônomo (AS) agrupa um conjunto de redes, que possui uma política de roteamento externa e seu número identificador exclusivo. O BGP é o protocolo de roteamento padrão usado para troca de informações sobre roteamento IP entre os Sistemas Autônomos. Cada Sistema Autônomo anuncia os prefixos aos quais pode entregar tráfego.

O protocolo BGP foi projetado para confiar em todos os anúncios de rotas enviados pelos pares, de forma que fica ao encargo dos ISP realizar a validação de anúncios recebidos e gerados por suas redes. Como apoio para essas validações, estão disponíveis recursos de bancos de dados externos, que deveriam ser atualizados pelos participantes da rede com suas respectivas políticas de roteamento.

Erros nas configurações dos anúncios de rotas das redes podem ocorrer de forma deliberada ou por falta de conhecimento, treinamento ou mesmo erro de configuração. Esses problemas de configuração podem causar ameaças que têm se tornado comum na Internet como sequestro de prefixos e vazamento de rotas. Saiba mais em Sequestro de Prefixos (Hijacking) e Vazamento de Rotas (Leak).

O (Mutually Agreed Norms for Routing Security) recomenda ações simples, mas concretas, como a implantação de filtros de prefixos nas redes, reduzem significativamente essas ameaças. Saiba mais em Normas de Acordo Mútuo para Segurança de Roteamento (MANRS).

Sequestro de Prefixos (Hijacking)

Um ataque que tem sido muito utilizado é o sequestro de prefixos BGP, que pode ser o resultado de um erro de configuração ou de um ato malicioso. Em ambos os casos é um ataque ao sistema de roteamento da Internet que utilizamos.

Esse sequestro ocorre quando um invasor simula ser outra rede anunciando prefixos de redes pertencentes a outras redes como se fossem de sua rede. Se essas informações falsas forem aceitas pelas redes vizinhas e propagadas pelo BGP, causará distorções no roteamento da Internet por ter sido anunciado um prefixo mais específico ou pelo anúncio resultar em um caminho mais curto. Como resultado, o tráfego é enviado ao atacante em vez do destino legítimo, propiciando Negação de Serviço, interceptação de tráfego para atividades maliciosas ou forja da identificação de redes e serviços.

Esses ataques podem causar perda de receita às empresas vítimas, bloquear acesso à Internet de países inteiros ou desviar recursos financeiros de milhares de pessoas, como ocorreu no ataque MyEtherWallet, que desviou o tráfego da Amazon para o atacante (*).

A solução para esse problema é a aplicação de filtros de entrada por parte dos provedores de trânsito, para que não sejam permitidos anúncios indevidos, conforme recomendado na ação 1 do MANRS.

Ataque por sequestro de prefixos

Figura 2: Exemplo de ataque por sequestro de prefixos e solução utilizando filtro de anúncios de entrada, ação 1 do MANRS.

(*) https://www.internetsociety.org/blog/2018/05/what-is-bgp-hijacking-anyway/, acesso em 10/01/2019 às 14:39

Vazamento de Rotas (Leak)

Uma outra vulnerabilidade sistêmica, que tem recebido muita atenção recentemente é o vazamento de rotas, cujos incidentes resultam em perturbações importantes ou até interrupção no roteamento da Internet.

Um vazamento de rotas é a propagação de anúncios de roteamento além do escopo pretendido. O resultado de um vazamento de rotas pode ser o redirecionamento do tráfego para um caminho não intencional, que pode permitir análise de tráfego com fins de espionagem ou pode resultar em sobrecarga de conexões e equipamentos de rede ou ainda um black hole.

Os vazamentos de rotas podem ser acidentais ou maliciosos, mas na maioria das vezes surgem de configurações incorretas acidentais.

Uma forma comum de vazamento de rotas ocorre quando um usuário com mais de um provedor de trânsito (multihomed) aprende a atualização de prefixos de um provedor de trânsito e vaza essa atualização para outro provedor, violando a política de roteamento inicialmente pretendida. Além disso, o segundo provedor de trânsito não detecta o vazamento e propaga a atualização vazada para seus clientes, pares e ISPs de trânsito.

A solução para esse problema é a aplicação de filtros de saída por parte dos usuários multihomed, para que não sejam permitidos anúncios indevidos, conforme recomendado na ação 1 do MANRS.

Ataque por sequestro de prefixos
Figura 3: Exemplo de ataque por vazamento de rotas e solução utilizando filtro de anúncios de saída, ação 1 do MANRS.

Panorama atual

Os ataques à infraestrutura e aos serviços disponíveis na Internet estão cada vez mais comuns.

O NIC.br analisa a tendência dos ataques com dados obtidos por meio do tratamento de incidentes de segurança, medições em honeypots distribuídos na Internet e medições realizadas no IX.br.

Constata-se um ritmo crescente de incidentes reportados ao CERT.br. Os tipos de ataques mais comuns são notificações de varreduras, DoS e fraudes.

Dos incidentes reportados, a maior parte é originada no Brasil e em vários Sistemas Autônomos nacionais, o que justifica uma ação específica do Programa por uma Internet mais segura com os Sistemas Autônomos nacionais para mitigação do problemas existentes.

Devido à falta de previsão de mecanismos de segurança no protocolo BGP, não há um dia em que não ocorram incidentes de segurança na Internet, o que pode ser verificado na ferramenta BGP Stream, que recebe alertas sobre sequestro de prefixos, vazamentos de rotas e interrupções de prefixos anunciados na Internet.

Pela análise do tráfego malicioso contra honeypots distribuídos verificam-se quais são os serviços mais visados.

É muito utilizada também a busca por serviços que podem ser abusados que permitem ataques DDoS com amplificação de tráfego utilizando UDP para os serviços DNS, NTP, SNMP, Portmap, DVR-DHCPDiscover, qotd, Chargen, TFTP, Netbios, LDAP, SSDP, ARMS, WS-discovery, mDNS, CoAP, Ubiquiti discovery service e MemCached. Mensalmente o CERT.br notifica os responsáveis pelos AS que possuem serviços que podem ser abusados.

As estatísticas de notificações de dispositivos com serviços mal configurados que podem ser abusados para realização de ataques DDoS podem ser acessadas em Notificações de Dispositivos Permitindo Amplificação.

O Programa por uma Internet mais segura atua junto à comunidade de operadoras e provedores de serviços de Internet no Brasil, dentro de seu escopo de atuação definido pelo plano de ação do Programa, para mitigar a quantidade de serviços vulneráveis que podem ser utilizados para ataques DDoS por amplificação e adoção de melhores práticas de configuração da rede.

 

Plano de ação

Dentro do escopo do Programa por uma Internet mais segura, lançado no painel do IX Fórum 11, o NIC.br buscará promover uma Internet mais segura no Brasil.

As ações que o NIC.br propõe visam os seguintes objetivos:

  • Reduzir ataques de Negação de Serviço originados em redes no Brasil.
  • Buscar redução das vulnerabilidades e falhas de configuração presentes nos elementos de rede.
  • Criar uma cultura de segurança.

O plano de ação do Programa é composto basicamente por:

  • Promoção de palestras, cursos e treinamentos, e produção de materiais didáticos, como cartilhas, artigos em websites e vídeos, visando difundir boas práticas no que se refere à administração das redes e configurações, bem como no gerenciamento de incidentes de segurança.
  • Interação com Associações de Provedores e seus afiliados para disseminação da cultura de segurança, adoção de melhores práticas e mitigação de problemas existentes pela especificação, configuração e operação de CPEs em suas respectivas redes e implantação das ações básicas para melhorar a Segurança de Roteamento, preconizadas pelo MANRS.
  • Implementação de filtros de rotas no IX.br, que contribui para a melhora do cenário geral. Para saber mais, confira as Ações no IX.br.
  • O NIC.br estabeleceu métricas para avaliação da efetividade das ações com medições feitas na rede no Brasil e também no IX.br. As informações detalhadas coletadas são de uso interno, sem divulgação para a comunidade técnica. Serão divulgados dados com informações gerais para acompanhamento da evolução das ações. São utilizadas também ferramentas disponíveis na Internet como o projeto CAIDA Spoofer e BGP Stream. O NIC.br está desenvolvendo outras ferramentas, como a utilização do projeto SIMET, para realizações de medições de segurança. Para saber mais, confira em Estatísticas.

Ações no IX.br

O IX.br está presente em mais de 30 localidades no Brasil, por meio da instalação e operação de Pontos de Troca de Tráfego Internet (PTTs), que são parte integrante da infraestrutura de rede da Internet no Brasil, onde os Sistemas Autônomos participantes podem trocar tráfego em uma região metropolitana.

Dois tipos de serviços são oferecidos aos participantes da troca de tráfego: o Acordo de Troca de Tráfego Multilateral (ATM), chamado de ambiente compartilhado, e a Troca de Tráfego Bilateral, chamado de ambiente privado. Os participantes do ATM trocam tráfego entre si, já na Troca de Tráfego Bilateral apenas dois ASNs participam, utilizando-se ou não de um domínio de camada 2 exclusivo (uma VLAN bilateral). O ATM, na prática, funciona com uma VLAN compartilhada para a troca de tráfego IPv4 (ATMv4) e outra para troca de tráfego IPv6 (ATMv6).

Cada PTT possui dois ou mais route servers para centralizar o recebimento de anúncios de rotas de todos os participantes da troca de tráfego, permitindo que, com uma única sessão BGP, a tabela de rotas da localidade seja carregada e mantida.

Dentro do Programa por uma Internet mais segura, as ações no IX.br visam aumentar a segurança dos route servers, nos quais a ocorrência de problemas em relação à tabela de rotas compartilhada pode afetar seriamente os ASNs que participam ou não dos PTTs.

Tratam-se de ações sobre o ambiente compartilhado. Ocorrências no ambiente privado não estão no escopo de atuação do NIC.br e do IX.br, mas todas as recomendações feitas no Programa por uma Internet mais segura, como por exemplo a adoção das ações propostas na iniciativa MANRS (Mutually Agreed Norms for Routing Security - https://www.manrs.org/), devem ser consideradas e aplicadas pelos gestores dos ASNs envolvidos em relações privadas dentro do IX.br.

Acesse o documento Ações do IX - Programa por uma Internet mais Segura para os detalhes das Ações no IX.br.

Estatísticas

Ferramentas para acompanhamento das ações do Programa por uma Internet mais segura:

  • Quantidade de ASNs e endereços IP com Serviços abertos: estatísticas mensais de ASNs e endereços IP notificados pelo CERT.br por estarem com serviços mal configurados que permitem ataques de amplificação.
  • CAIDA Spoofer para ASNs do Brasil: dados do projeto CAIDA Spoofer acessível por https://www.caida.org/projects/spoofer/.
  • Incidentes de roteamento: dados do BGPStream acessível por https://bgpstream.com/

Ações necessárias

Contra ataques de Amplificação

Configurar corretamente serviços que podem ser abusados em ataques de amplificação.
arrow_forward

Configurações de Roteamento

Implementar as ações de segurança de roteamento preconizadas pelo MANRS.
arrow_forward

Melhores Práticas de Hardening

Mapear ameaças, mitigar riscos e adotar ações corretivas.
arrow_forward
Parceiro
Apoio inicial
Apoio
Realização
  • O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
  • Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
arrow_upward