MANRS. Mutually Agreed Norms for Routing Security
|
|
|
- Eduardo Candal
- 6 Há anos
- Visualizações:
Transcrição
1
2
3 MANRS Mutually Agreed Norms for Routing Security
4 Como a Internet funciona? A Internet é uma rede de redes São quase redes diferentes, sob gestões técnicas e administrativas diferentes. A estrutura de roteamento BGP funciona com base em cooperação e confiança.
5 O BGP não possui validação para os dados
6 Segurança e estabilidade na Internet Nenhum dia sem incidente!!!
7 DDoS ao Longo do Tempo
8 Características dos Ataques DDoS
9 Como se proteger? Não basta se preocupar somente quando o problema acontece. Isso é caro! Pode requerer equipamentos e configurações complexas! Não tem resolvido. É preciso se prevenir! Hardening de equipamentos MANRS Evitamos que o ataque sai da nossa rede É barato!
10 Entendendo o ataque: O que é spoofing? Pacotes IP com endereços de origem incorretos Erro de configuração Problema de Software Teste e Simulação Teste de Performance Atitude maliciosa Esconder a identidade do atacante Fingir ser outro computador na rede O spoofing pode ser usado em ataques de negação de serviço e é um problema sério na Internet
11 Como funciona o ataque spoofing
12 Como funciona o ataque reflexão-amplificação
13 Fatores de amplificação Protocolo Fator de Amplificação Comando Vulnerável DNS 28 a 54 Ver: TA13-088A NTP Ver: TA14-013A 6.3 GetBulk request SNMPv2 LDAP / CLDAP 46 a 70 Malformed request SSDP 30.8 SEARCH request Chargen Character generation request
14 Total de ASNs e IPs Notificados pelo CERT.br
15 O que é MANRS? Mutually Agreed Norms for Routing Security É uma iniciativa global Apoio da ISOC Consiste em 4 coisas básicas Filtros Anti-Spoofing Coordenação Validação Global
16 Porque utilizar filtros? Roubo de prefixos
17 Porque utilizar filtros? Roubo de prefixos
18 Porque utilizar filtros? Roubo de prefixos
19 Porque utilizar filtros? Vazamento de rotas
20 Porque utilizar filtros? Vazamento de rotas
21 Porque utilizar filtros? Vazamento de rotas
22 Filtros Garanta que os seus anúncios BGP estejam corretos. Publique suas informações de roteamento. Garanta que os anúncios BGP dos seus clientes estejam corretos. Exija que eles publiquem suas informações de roteamento. Aplique filtros de acordo com as informações publicadas por eles. Utilize WHOIS, IRR, RPKI e site da instituição para publicar e encontrar dados de roteamento.
23 Filtros Filtro de prefixos Entrada: Só receba os prefixos que foram acordados previamente com o seu cliente. Entrada: Em casos de peering (como ATM do PTT) aplique filtro de bogons. Saída: Só envie os seus prefixos e de seus downstream. Filtro de AS-Path Só receba as rotas que o seu cliente possui e dos downstreams dele. Evita problemas de prefix hijacking e route leaks.
24 Ataque usando spoofing
25 Soluções propostas Ingress Access Lists Access Control List - ACLs Unicast Reverse Path Forward (urpf) Strict Mode Loose Mode Feasible Path VRF Mode Source Address Validation Improvement (SAVI)
26 Filtro antispoofing
27 urpf
28 Coordenação Ataques podem ser mitigados se tiver uma ação global e cooperativa Mantenha atualizada suas informações de contato Administrativo Técnico (NOC) Abuso Publique sua informações RIRs - Whois IRRs PeeringDB Website
29 Validação Global Publique suas informações de Roteamento Seu sistema autônomo Suas políticas de roteamento As rotas dos seus clientes Peça que seus clientes e seus upstreams também publique suas informações de roteamento Utilize ferramentas RPKI IRR
30 Projeto MANRS Site do Projeto (Em Português) Você pode assinar o projeto. Solicite que seus clientes e upstreams também assinem o projeto Faça o tutorial
31 Dúvidas?
32 Obrigado!!!
Campanha Anti-Spoofing. Anexo B.2 Tutorial de configuração para Clientes Roteadores Cisco
Campanha Anti-Spoofing Anexo B.2 Tutorial de configuração para Clientes Roteadores Cisco Anexo A.2 Tutorial de configuração para Clientes O CAIS/RNP visando apoiar a disseminação de boas práticas em Segurança
RPKI Segurança nos recursos de numeração da Internet (parte 1)
RPKI Segurança nos recursos de numeração da Internet (parte 1) Netcafe vida inteligente depois do almoço Italo Valcy Salvador BA, 13/Jan/2017 Agenda Introdução / Motivação Visão geral
Ataques a Infraestrutura BGP e medidas de contenção
Ataques a Infraestrutura BGP e medidas de contenção Leandro M Bertholdo ([email protected]) Bruno Lorensi ([email protected]) PoP-RS/RNP/Ufrgs O BGP é "inseguro" porque qualquer AS pode anunciar
Segurança no roteamento BGP: boas práticas, RPKI e BGPSEC. Italo Valcy GTS 29, 26/Mai/2017
Segurança no roteamento BGP: boas práticas, RPKI e BGPSEC Italo Valcy GTS 29, 26/Mai/2017 O que é BGP Protocolo de roteamento para troca de informações de rotas na Internet (rfc4271,...)
Solicitação de Comentários à Comunidade Técnica da Internet Programa por uma Internet Segura Ações no IX.br
Solicitação de Comentários à Comunidade Técnica da Internet Programa por uma Internet Segura Ações no IX.br versão 2018-05-07-14-11 Introdução O IX.br está presente em 30 localidades no Brasil, por meio
Cenários para Multihoming
Cenários para Multihoming Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
Hardening de equipamentos
Hardening de equipamentos Atividades nos Honeypots Distribuídos Força bruta de senhas (usado por malwares de IoT e para invasão de servidores e roteadores): Telnet (23/TCP) SSH (22/TCP) Outras TCP (2323,
Exercício 6 Engenharia de Tráfego
Exercício 6 Engenharia de Tráfego Objetivo: Configurar as sessões ebgp entre o roteador mikrotik_borda e os roteadores do PTT-01 e entre o roteador cisco e o roteador da Operadora-03. Essa segunda sessão
Curso BCOP. Boas Práticas BGP
Curso BCOP Boas Práticas BGP Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)
Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Informações de Apoio Configurar Diagrama
Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)
Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Informações de Apoio Configurar Diagrama
PTT.br: Operação (ativação e suporte)
PTT.br: Operação (ativação e suporte) Encontro PTT-BA 25 Setembro 2013 Julimar Lunguinho Mendes Equipe PTT.br PTTMetro Interconexão de AS Julimar Lunguinho Mendes
PTT.br Processo de Ativação
PTT.br Processo de Ativação Versão 1.1 6 o PTT Fórum 04 Dez 2012 Ângelo Fukase Julimar Lunguinho Mendes Equipe de ativação PTT PTTMetro Interconexão de
Boas práticas para peering no PTTMetro
Boas práticas para peering no PTTMetro Luís Balbinot [email protected] Commcorp Telecom GTER 30 - São Leopoldo, RS 26/11/2010 Objetivo Mostrar boas práticas de peering no PTTMetro de forma que
BGP Border Gateway Protocol
BGP Border Gateway Protocol Introdução O BGP (Border Gateway Protocol) é um EGP (Exterior Gateway Protocol) usado para a troca de informações de roteamento entre sistemas autônomos, como os ISPs, as empresas
DDoS e Correios 2020:
DDoS e Correios 2020: Atuais e Futuros Desafios Marcos Cícero GRIS Correios Marcos Cícero Analista de Sistemas (Fundador GRIS Correios) Professor / Coordenador de Pós-Graduação (Centro Universitário IESB)
A evolução dos ataques de negação de serviço (DoS). Por: Rildo Antonio de Souza - CAIS/RNP
A evolução dos ataques de negação de serviço (DoS). Por: Rildo Antonio de Souza - CAIS/RNP Rede Nacional de Ensino e Pesquisa (RNP), criada pelo MCTI em 1989, para construir uma infraestrutura de internet
DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte
DoS, DDoS & Botnets Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte Contextualização Década de 90: primeiros ataques 1996: SYN Flood; Janeiro de 1998:
Configurar o escape da rota VRF no Switches do nexo de Cisco
Configurar o escape da rota VRF no Switches do nexo de Cisco Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Configurar Opte pelo VRF O VRF VRF ao VRF VRF para optar pelo VRF Verificar
Configurar IPv4 e IPv6 em um ponto de acesso Wireless
Configurar IPv4 e IPv6 em um ponto de acesso Wireless Objetivo A versão 4 do protocolo de internet (IPv4) é o formulário de uso geral do endereçamento de IP usado para identificar anfitriões em uma rede
Ataque Distribuído de Negação de Serviço por Reflexão Amplificada usando Simple Network Management Protocol
Ataque Distribuído de Negação de Serviço por Reflexão Amplificada usando Simple Network Management Protocol Tiago Fonseca João Gondim Departamento de Ciência da Computação Universidade de Brasília Agenda
RIP Routing Information Protocol Versão 1 e 2
Tecnologia em Redes de Computadores - Profª Ana Lúcia Rodrigues Wiggers RIP Routing Information Protocol Versão 1 e 2 RIP v1 RIP v1 é considerado um IGP(Interior Gateway Protocol) classful; É um protocolo
Curso BCOP. Planejando o endereçamento de sua rede
Curso BCOP Planejando o endereçamento de sua rede Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
Eduardo Barasal Morales Tiago Jun Nakamura Natal, RN 23/08/17
Eduardo Barasal Morales Tiago Jun Nakamura Natal, RN 23/08/17 A Importância dos Internet Exchanges Como o usuário vê a Internet? Camadas física e lógica A Internet funciona usando as tecnologias de telecomunicações
Exemplo de configuração do refletor da rota de BGP do IPv6
Exemplo de configuração do refletor da rota de BGP do IPv6 Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Configurar Diagrama de Rede Configurações de exemplo Verificar Informações
Gerenciamento de Redes Linux. Linux configuração de rede
Gerenciamento de Redes Linux Linux configuração de rede As interfaces de rede no GNU/Linux estão localizadas no diretório /dev e a maioria é criada dinamicamente pelos softwares quando são requisitadas.
Vazamento de rota em redes MPLS/VPN
Vazamento de rota em redes MPLS/VPN Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Configurar Vazamento de rota de uma tabela de roteamento global em um VRF e vazamento de
Como Evitar Loops de Roteamento ao Usar NAT Dinâmico
Como Evitar Loops de Roteamento ao Usar NAT Dinâmico Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Diagrama de Rede Convenções Cenário de exemplo Informações Relacionadas Introdução
LABORATÓRIO IPV6.1. INTRODUÇÃO AO IPV6 Documento versão 0.1. Aluno: Paulo Henrique Moreira Gurgel #
LABORATÓRIO IPV6.1 INTRODUÇÃO AO IPV6 Documento versão 0.1 Aluno: Paulo Henrique Moreira Gurgel #5634135 Orientado pela Professora Kalinka Regina Lucas Jaquie Castelo Branco Maio / 2011 Laboratório 6.1
DDoS. Fugindo do seguro desemprego!
DDoS Fugindo do seguro desemprego! Igor M. de Assis Mini currículo: Bacharel em Análise de Sistemas (CESMAC/AL) Especialista de Redes na TIVIT Ambiente de redes compartilhado (CSC) 10+ anos de experiência
ROUTER. Alberto Felipe Friderichs Barros
ROUTER Alberto Felipe Friderichs Barros Router Um roteador é um dispositivo que provê a comunicação entre duas ou mais LAN s, gerencia o tráfego de uma rede local e controla o acesso aos seus dados, de
II Encontro Regional de Provedores de Internet da Bahia Salvador, BA 07/10/16
II Encontro Regional de Provedores de Internet da Bahia Salvador, BA 07/10/16 PORQUE E COMO TORNAR-SE UM SISTEMA AUTÔNOMO Tiago Jun Nakamura Devo me tornar um Sistema Autônomo? Quando a rede não é um AS
Planejando o endereçamento de sua rede
Planejando o endereçamento de sua rede Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
Redes de Computadores e Aplicações. Aula 37 Roteamento IP Unicast Dinâmico RIP
Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do N Campus Currais Novos Redes de Computadores e Aplicações Aula 37 Roteamento IP Unicast Dinâmico RIP Prof. Diego Pereira
Manipulando Tráfego no BGP
Manipulando Tráfego no BGP Técnicas utilizando filtros de roteamento para manipulação de download e upload MUM Brasil Maceió Novembro 2017 Wissam Quemel 1 Introdução Wissam Quemel Certificações Mikrotik:
Caso Directnet (AS22818)
Migrando para um AS Caso Directnet (AS22818) Eduardo Ascenço Reis GTER20 Migrando para um AS Caso Directnet Eduardo Ascenço Reis 2005-12-02 1/25 Agenda 1. Directnet - Apresentação
Curso BCOP. Introdução ao roteamento
Curso BCOP Introdução ao roteamento Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
SOLUÇÃO COMPLETA PARA SEGURANÇA DE PERÍMETRO
SOLUÇÃO COMPLETA PARA SEGURANÇA DE PERÍMETRO Proteção multinível para negócios conectados. NEXT GENERATION FIREWALL HIGHLIGHTS Firewall Proxy web Categorização de conteúdo IDS/IPS Controle de aplicação
Redes de Computadores Nível de Rede
Comunicação de Dados por Fernando Luís Dotti [email protected] Redes de Computadores Nível de Rede Fontes Fontes principais: principais: Redes Redes de de Computadores Computadores -- das das LANs,
Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço
Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Configurar Diagrama de Rede Configuração
Curso BCOP. Como a Internet Funciona e se organiza?
Curso BCOP Como a Internet Funciona e se organiza? Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
RTBH Remote Triggered Black Role
RTBH Remote Triggered Black Role Hugo de Sousa Ricardo, Samuel Tabanes Menon Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, novembro de 2010 Resumo Apresentamos aqui
Responsabilidade de provedores na conexão à Internet. Notas para discussão. Danton Nunes, Internexo Ltda. ([email protected].
Responsabilidade de provedores na conexão à Internet Notas para discussão Danton Nunes, Internexo Ltda. ([email protected]) Responsabilidade de provedores na conexão à Internet Notas para discussão
ROTEAMENTO REDES E SR1 ETER-FAETEC. Rio de Janeiro - RJ ETER-FAETEC
ROTEAMENTO REDES E SR1 Rio de Janeiro - RJ INTRODUÇÃO A comunicação entre nós de uma rede local é realizada a partir da comutação (seja por circuito, seja por pacotes). Quem realiza essa função é o switch
PRÁTICA. Endereçamento Privado SNAT e DNAT
PRÁTICA Endereçamento Privado SNAT e DNAT Cenário PASSO1: Configuração das Interfaces e DHCP # Roteador do John enable configure terminal ip dhcp pool house network 192.168.0.0 255.255.255.0 dns-server
Rotas estáticas do implementar para o exemplo de configuração do IPv6
Rotas estáticas do implementar para o exemplo de configuração do IPv6 Índice Introdução Pré-requisitos Componentes Utilizados Convenções Configurar Diagrama de Rede Configurações Verificar Informações
Ferramentas para Coexistência e Transição IPv4 e IPv6. Módulo 7
Ferramentas para Coexistência e Transição IP e IPv6 Módulo 7 ftp://ftp.registro.br/pub/stats/delegated-ipv6-nicbr-latest 250 200 150 100 50 0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 Coexistência
Configuração de exemplo utsando o comando ip nat outside source static
Configuração de exemplo utsando o comando ip nat outside source static Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Configurar Diagrama de Rede Configurações Verificar Troubleshooting
Tratamento de Incidentes
Tratamento de Incidentes Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
Tutoriais NIC.br VII Semana de Infraestrutura da Internet no Brasil 08 de dezembro de 2017 São Paulo, SP
Tutoriais NIC.br VII Semana de Infraestrutura da Internet no Brasil 08 de dezembro de 2017 São Paulo, SP Tutorial de Boas Práticas de Segurança para Sistemas Autônomos Cristine Hoepers, D.Sc. Gerente Geral
Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços
Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços - [email protected] Gestores da Rede Acadêmica de Computação Departamento de Ciência da Computação Universidade Federal da Bahia,
Ataques DDoS Panorama, Mitigação e Evolução
Ataques DDoS Panorama, Mitigação e Evolução Wilson Rogério Lopes LACNIC 26 / LACNOG 2016 09/2016 Wilson Rogério Lopes Especialista em arquitetura e segurança de redes, com 12 anos de atuação em grandes
Laborato rio: Roteamento Esta tico
INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE IFRN CURSO TÉCNICO INTEGRADO EM INFORMÁTICA Nesta atividade prática, compreenderemos a importância do serviço de roteamento ao
Endereço de Rede. Comumente conhecido como endereço IP Composto de 32 bits comumente divididos em 4 bytes e exibidos em formato decimal
IP e DNS O protocolo IP Definir um endereço de rede e um formato de pacote Transferir dados entre a camada de rede e a camada de enlace Identificar a rota entre hosts remotos Não garante entrega confiável
GTER de Maio de Dupla abordagem ao IX Unicast Storm Decorrente de expiração de tabela MAC
GTER 45 22 de Maio de 2018 Dupla abordagem ao IX Unicast Storm Decorrente de expiração de tabela MAC Autor: Douglas Fernando Fischer [email protected] Douglas Fernando Fischer Engenheiro de Controle
