E aí pessoal!
A ideia aqui é mostrar alguns sistemas Open Source essenciais para ter em seu provedor.
Podemos dizer que com esses exemplos teremos uma segurança melhor e um Troubleshooting mais eficiente da rede.
Vamos falar um pouco de cada um deles e deixar links de como instalar.
- - ElastiFlow (Coletor de fluxo)
- - FastNetMon (Proteção contra-ataques volumétricos)
- - RPKI com projeto Krill
- - Honeypot
- - IRR - Projeto TC IRR
01 - ElastiFlow
É uma ferramenta de análise de redes para plataformas de dados abertos.
A medida que as taxas de dados continuam a subir, as organizações estão procurando soluções de que possam ser dimensionadas para garantir a detecção de ameaças ocultas e emergentes.
Com essa ferramenta permite que as equipes de segurança ou seu provedor aproveitem metadados de fluxo de alta fidelidade para garantir visibilidade completa e imediata para missões criticas de segurança de rede.
Exemplo:
Fonte: https://www.elastiflow.com
Instalação: https://docs.elastiflow.com/docs/install_linux/
02 - FastNetMon
Esse sistema detecta um possível ataque, e podemos fazer diversas ações com esse possível ataque.
O que mais utilizamos nele é o contra-ataque volumétrico. Aquele ataque DDoS que aumenta o consumo da sua rede.
Ele consegue detectar qual ip esta recebendo todo esse ataque volumétrico e tomar a ação de forma automática. Colocando o seu ip e/ou prefixos em uma BlackList.
O cuidado que deve se ter, é que pode ser bloqueado um bloco, ip e/ou prefixo do seu cgnat. Dessa forma, seu cgnat para de responder para os clientes.
Em boa prática, sempre deixamos um bloco liberado, que se tiver bloqueio em um prefixo inteiro, temos outro bloco livre.
E caso todo seu bloco seja atacado, podemos utilizar o bloco da operadora em comum acordo.
Existe a opção de contratar a mitigação do próprio FastNetMon. Dessa forma, você fecha uma sessão com eles e se vier o ataque, é direcionado para eles e entregue o trafego limpo.
Exemplos:
Podemos integrar ele com o Grafana, para acompanhar o que se passa com ele.
Exemplo:
Fonte: https://fastnetmon.com/
Instalação: https://fastnetmon.com/docs-fnm-advanced/advanced-install-guide/
03 - RPKI com projeto Krill
RPKI é a sigla para Resource Public Key Infrastructure. Diz respeito a um método onde criptografa anúncios de rotas BGP entre ASN (Autonomous System Number).
E como funciona?
O RPKI usa certificados PKI, refletindo a forma em que os recursos de números são distribuídos. A partir de uma ROA (Autorização de Origem de Rotas), há a validação do Sistema Autônomo de origem e o anúncio do prefixo, consultando criptograficamente a autorização no RPKI.
Dessa maneira evitamos sequestros de blocos de ips ou uso indevido.
A tecnologia ainda não é amplamente difundida no Brasil.
Conhecendo o RPKI, partiu para o projeto de instalação.
Nesse link tem o projeto krill.
O que pe Krill?
É um daemon de Resource RPKI, no qual vai ter uma certificação (CA) e um servidor de publicação.
O Projeto para instalação do Krill esta nesse link: https://krill.docs.nlnetlabs.nl/en/stable/install-and-run.html
Exemplo:
Podemos conferir se o seu AS esta com essa opção ativa no site da Hurricane.
Precisa ter o Ícone igual à imagem abaixo.
4 - Honeypots:
O Honeypot ou Pote de mel é uma maneira de aprender sobre os invasores.
São ferramentas de análise e sistemas emulados para receber o ataque.
É um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido.
É de fato uma grande falha simulada em redes, para poder, sim, receber os ataques. E com isso, conseguimos observar como esta sendo o ataque, ou como planejam atacar.
Exemplo figurado de como funciona e instalamos na rede:
Vamos falar aqui o de baixa interatividade.
Este possui serviços falsos; ou seja; simula vários computadores, serviços, falhas, portas para ser facilmente atacado.
Implementação:
Honeyd
É um software livre, a principal função é identificar ações mal intencionadas na rede. Funciona sobre um sistema Unix. Sendo possível através dele, emular centenas de sistemas e milhares de computadores simultaneamente. Como mostrado na imagem acima.
HoneydSum
Tem a finalidade de gerar um resumo dos registros de logs gerados pelo Honeyd, permite fazer vários filtros como, por exemplo: portas, numero de ligações por hora, protocolos, endereços de ips e afins.
Fonte: http://www.honeyd.org/
05 - IRR - (Internet Routing Register)
O que é IRR?
Pode dizer que o IRR é um conjunto de bases de dados que permitem ao BGP, documentar suas rotas e políticas de roteamento, visando dar consistência as configurações de um roteador.
Por que o IRR é Importante?
- Imagine uma internet mais segura e onde erros humanos são praticamente impossíveis de ocorrer;
- Permite definir sua polícia de roteamento em um formato padrão intendido no mundo todo;
- Prefix-lists geradas automaticamente, sem necessidade de interação humana;
- Vários operadores nacionais já suportam liberação de prefixos através de IRR;
- Alguns operadores fazem liberação de prefixos APENAS por IRR, alguns IX usam apenas bases IRR para liberar prefixos em seus route-servers;
- Liberação de prefixos mais rápidas.
- Alguns provedores de conteúdo vão parar de aceitar prefixos que não estiverem em uma base IRR.
Um projeto bacana é o IRR TC.
Você mesmo pode facilmente fazer o cadastro através desse link: PROJETO IRR TC
Para saber se seu provedor tem o IRR cadastrado, basta acessar o Hurricane:
Este artigo foi útil?
Que bom!
Obrigado pelo seu feedback
Desculpe! Não conseguimos ajudar você
Obrigado pelo seu feedback
Feedback enviado
Agradecemos seu esforço e tentaremos corrigir o artigo