A segurança de redes geralmente é definida como um conjunto de técnicas que geram múltiplas camadas de defesa a fim de proteger a usabilidade, e integridade das conexões e dados. A segurança de redes tradicionalmente inclui tecnologias de hardware e software e uma série de aplicações, buscando impedir que uma variedade de ameaças se instale em sua rede e comprometa suas informações, de modo mais resumido é possível dizer que a segurança de uma rede é uma espécie de quebra-cabeças, onde cada peça representa uma ação preventiva e as vezes até corretiva, é uma área bem abrangente, mas a ideia aqui é demonstrar o porquê devemos nos preocupar com essa questão.
As últimas notícias relacionadas à segurança de redes não são nada animadoras, vários sequestros de operações inteiras, onde criminosos solicitam pagamento em bitcoins como “resgate”, o que deixou novamente os ataques DDoS em evidência, esses ataques têm alguns objetivos, o mais comum como o próprio nome já diz, é deixar o alvo inoperante durante um período de tempo, essa indisponibilidade gera prejuízos financeiros e para a imagem das empresas, pois ninguém quer contratar alguém esteja indisponível frequentemente ou que se mostre frágil.
A recuperação de um golpe desses, pode levar tempo, ser caro, requerer configurações complexas e na maioria das vezes não dá resultados positivos, por esse e outros motivos a prevenção é de suma importância para manter o provedor o mais próspero possível e capaz de driblar as ações maliciosas, mas o que fazer de fato para estar mais seguro na internet? Vamos a algumas dicas que podem auxiliar nesse cenário:
- Analisar as vulnerabilidades presentes na rede: Esta atividade está relacionada a pensar como o atacante, deste modo deve-se analisar as vulnerabilidades daquele determinado dispositivo que compõe a rede, para isso podemos utilizar diversas ferramentas open-source de modo a enumerar os possíveis riscos que a nossa rede corre e traçar estratégias para sanar tais problemas;
- Atualização dos equipamentos: Uma outra questão importante é acompanhar as atualizações recomendadas pelo fabricante, essas atualizações são disponibilizadas aos usuários geralmente para realizar correções no software embarcado ao equipamento, sem essas correções o equipamento fica suscetível a ataques de diversas formas.
- Boas práticas operacionais: As boas práticas são um conjunto de ações que estão diretamente ligadas a performance do ISP, bem como com a segurança, neste quesito é importante ter uma arquitetura de redes bem dimensionada, evitar tráfego desnecessário nos equipamentos que compõe a rede, evitar uso de regras de firewall em equipamentos de borda que possuam limitação de hardware, quanto as ações diretamente relacionadas à segurança podemos destacar as ações da BCP84 que tratam da implementação de unicast reverse path forwarding, este tem como objetivo evitar a falsificação de endereço de origem (spoofing) através da rede, tal ação é considerada por muitos, como a ação que pode extinguir o DDoS caso seja implementada pelas entidades que compõe a internet, os ajustes de geolocalização, preenchimento de bases como o peeringDB, registro de ROA válido para seu bloco IP, IRR e estar de acordo com a RFC 1781 são itens importantes para a visibilidade e segurança dos seus recursos de internet, e tendem a auxiliar em casos de ataques de sequestro de blocos IP;
- Processos de autenticação: Quanto a autenticação é importante se atentar para alguns pontos como criar um usuário para cada funcionário, desativar contas antigas e inutilizadas, não criar um padrão para geração de contas dos funcionários pois esse padrão pode ser descoberto e replicado por algum agente malicioso, não permita senhas fracas de acesso “admin” já é extremamente visado pelos atacantes, se “admin” for o login eles já tem 50% do acesso ao equipamento, para os outros 50% basta um brute force ou um mesclado com engenharia social, não armazene suas senhas em texto puro, proteja inclusive a máquina onde as senhas estarão armazenadas;
- Processos de autorização: No que diz respeito a autorização dos usuários devemos considerar que cada usuário deve ter permissão para acessar o roteador de acordo com o seu trabalho, ou seja, não é necessário fornecer acesso de administrador a todos os usuários, tais processos estão inclusive ligados as questões internas a entidade para evitar desconfortos ou problemas após a demissão de um funcionário ligado diretamente a gestão da rede do ISP, o acesso de administrador deve ser entregue de fato a quem necessita;
- Processos de acesso: Opte sempre que possível pela utilização de protocolos seguros para acesso aos equipamentos, desative os protocolos inseguros se eles estiverem operando (FTP, HTTP, TELNET, MAC-TELNET), restrinja o alcance dos acessos para que sejam realizados somente através de uma rede de gerência (uma rede separada das demais e altamente protegida);
- Processos de auditoria da rede: Auditoria é um processo que deve ser realizado periodicamente, tendo em vista que os agentes maliciosos podem estar dentro da própria entidade, porém para que a auditoria seja efetiva é importante que alguns cuidados sejam tomados, como o ajuste dos logs, estes devem ter diferentes níveis de criticidade, isso auxilia identificar mais facilmente determinados eventos, evite gerenciar logs dentro dos roteadores, pois quanto mais funções o roteador tiver que fazer, menos processamento será utilizado para rotear pacotes, opte sempre por exportar esses logs de forma segura (SCP, SFTP), os logs podem auxiliar em qualquer demanda judicial caso necessário, é necessário que o NTP esteja devidamente configurado mantendo assim a hora dos logs de acordo com a realidade.
- Equipe capacitada: A equipe capacitada é de suma importância para o sucesso de um ISP, neste ponto conseguimos limitar as ações maliciosas contra uma das partes mais vulneráveis de uma organização, as pessoas, estas são facilmente manipuladas caso não tenham um treinamento e conhecimento sobre atividades suspeitas, em casos críticos o atacante pode utilizar a própria hierarquia da empresa para se infiltrar na rede interna;
- Processo de resposta a incidentes: Embora tenhamos implementado todas os tópicos anteriores, hora ou outra ainda teremos que lidar com algum incidente de segurança, para isso é necessário além de uma equipe capacitada, ter recursos que auxiliarão antes mesmo do ataque chegar a sua infraestrutura como política de blackhole ativa e ferramentas capazes de realizar a mitigação do ataque em uma estrutura específica, deste modo os assinantes sentem o mínimo impacto durante um ataque DDoS.
Não se esqueça segurança é algo para se acompanhar de perto, as alterações são constantes, portanto fique ligado para não ser surpreendido por novas vulnerabilidades, ataques, malwares e demais ameaças com as quais convivemos, é importante ressaltar que segurança de redes é um conjunto de ações, um quebra cabeças, não existe solução mágica, nem mesmo receita de bolo para essa questão, lembre-se disso!
Luis Silva – Professor especializado em Segurança de Redes para ISPs, consultor para provedores de acesso e redes corporativas.