Identificando origem de tráfego elevado em roteadores CISCO

Configurando o TOP Talkers no CISCO

Habilitando IP Flow na interface (ingress ou egress)

Verificando Tráfego

Boas Praticas para Melhorar a Seguranca de seu Provedor

Introdução

Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar, não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes, mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes, se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos.

Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos, sendo altamente recomendado segui-las e implementá-las, principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais.

Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes investimentos em equipamentos, mas apenas instruir a equipe responsável para que observem e sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável.

Nesse sentido o Núcleo de Informação e Coordenação do Ponto BR (NIC.br) há anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o Programa por uma Internet mais Segura e o MARNS para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros.

Boas Práticas Gerais

Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é recomendado consultá-la de tempos em tempos para se certificar de que esteja operando sempre com as melhores práticas de segurança.

  1. Implementar as quatro ações do MARNS – https://bcp.nic.br/manrs
    1. Filtros de rotas de entrada e saída: evita o sequestro de prefixos (hijacking) e vazamento de rotas (leak). Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de prefixos, vazamento de rotas ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias.
    2. Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego com endereço de origem alterado (spoofado) e iniciem ataques DoS tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (https://www.caida.org/projects/spoofer/) em segmentos de sua rede para verificar se ela permite tráfego spoofado.
    3. Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e também no RADb, como desejável.
    4. Publicar suas políticas de roteamento/ no RADb (desejável).
  2. Atender às notificações do CERT.br para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Service Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois.
  3. Implementar ações de hardening mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações na apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf. Tópicos adicionais de hardening são apresentados nos cursos BCOP do NIC.br – https://cursoseventos.nic.br/curso/curso-bcop/
  4. Implementar gerência de porta 25 – http://www.antispam.br/admin/porta25/

Boas Práticas Especificas

Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares, utilizados na operação do provedor, para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet.

Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado.

Cisco

https://tools.cisco.com/security/center/softwarechecker.x
https://tools.cisco.com/security/center/publicationListing.x

Juniper

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

Huawei

https://www.huawei.com/en/psirt/all-bulletins

Mikrotik

https://blog.mikrotik.com/security/
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

FONTE: https://wiki.brasilpeeringforum.org/w/Boas_Praticas_para_Melhorar_a_Seguranca_de_seu_Provedor

Comparar, sortear e apagar linhas duplicadas no Notepad++

Para remover linhas duplicadas  basta apertar Ctrl+ F, selecionar a aba “Substituir” e no campo “Localizar”  colocar  : ^(.*?)$\s+?^(?=.*^\1$).  Em modo de busca marcar  “Expressão  regular” e clicar em substituir todos.

Comparar Arquivos:
Primeiramente arraste um das abas que deseja ser comparada  para o lado solte   e escolha mover para outra tela.

Apos isso vá na aba Plugins –> Plugin Manager –> Procure pelo Compare e selecione ele para baixar.

Apos isso, na aba Plugins haverá um novo item chamado Compare, basta clicar em Compare ou Alt + D para o plugin funcionar.

huawei tshoot

display configuration candidate [ antes de executar a config]
display this[depois de executar a config]
display this include-default

display this include-default

=> Rollback:

display configuration commit changes last 1
display configuration commit changes ###
display configuration commit list verbose

rollback configuration to commit-id 10000125
display configuration commit changes last 1

=> Derrubar seção do cliente

display users [mostra usuario e numero da vty que está logado]
kill user-interface vty 0[derruba o usuário da vty 0]

OSPF

display ip routing-table
display ip routing-table protocol ospf
display ospf routing
display ospf error
display ospf interface
display ospf peer brief
display current-configuration configuration ospf

ISIS

display ip routing-table
display isis peer brief
display isis route
display isis lsdb
display ip routing-table protocol isis
display isis interface

BGP

display bgp routing-table
display bgp peer
display bgp network
display bgp error
display ip routing-table protocol bgp
display bgp peer 2.1.1.1 verbose

MPLS (Dominio)

display mpls interface
display mpls ldp interface
display mpls ldp session
display mpls ldp peer all
display mpls lsp (FEC)
display mpls ldp lsp (LIB)
display mpls ldp all
tracert lsp IP 4.4.4.4 32
ping lsp ip 4.4.4.4 32

MPLS – LDP
display mpls ldp peer X
display mpls session
display mpls ldp adjancency
display mpls interface
debugging mpls ldp session events
debbuging mpls ldp peer XYZ

MPLS -L2VPN

display mpls l2vc
display mpls l2vc brief
display mpls ldp remote-peer
display mpls ldp peer all
display ldp error
display mpls ldp lsp all[mostra todas etiquetas]

MPLS – VPLS

display vsi name CLARO verbose
display vsi
display mpls ldp remote-peer
display vsi pw out-interface
display vsi services all
display mac-address vsi CLARO
display vpls connection ldp
debugging mpls l2vpn

MPLS – L3VPN

display bgp vpnv4 all peer
display bgp peer
display IP vpn-instance verbose CLARO
display IP vpn-instance

BFD

[LSRB]bfd //global
[LSRB-ospf-1]bfd all-interfaces enable
[LSRB-ospf-1]bfd all-interfaces min-tx-interval 400 min-rx-interval 400
[LSRB]display bfd session all verbose
[LSRB]display bfd configuration all
[LSRA]display ospf bfd session all
[LSRA-bfd]display bfd interface

STP

stp enable
stp mode rstp
[LSW4-GigabitEthernet0/0/6]stp enable
[LSW4]display stp brief
[LSW4]display stp topology-change
[LSW4]display stp vlan 10
[LSW4]display stp
[LSW1]stp priority 32768
display mac-address dynamic GigabitEthernet 0/0/1
[LSW1]display mac-address dynamic vlan 10

MSTP

stp enable
stp mode rstp

//Configuración de MstP

stp region-configuration
region-name CLARO
instance 1 vlan 10
instance 2 vlan 20
instance 3 vlan 30
instance 4 vlan 40
active region-configuration

[LSW4]display stp brief
[LSW4]display stp
[LSW1]display stp instance 1
[LSW1]display stp instance 1 brief

MPLS-TE

[LSRB]display mpls interface
[LSRB]display mpls rsvp-te
[LSRB]display mpls rsvp-te interface
[LSRB]display ospf lsdb brief
[LSRE]display ospf brief
[LSRB]display ospf mpls-te
<LSRE>display current-configuration interface
[LSRA]display explicit-path
[LSRA]display explicit-path PRINCIPAL
[LSRA]display current-configuration interface Tunnel
[LSRA]display interface Tunnel 0/0/1
display mpls te tunnel verbose
<LSRA>display mpls lsp
<LSRA>display mpls te tunnel
display mpls te tunnel name Tunnel0/0/1 verbose

Gustavo Franco Pabx – Linux – Cisco – Juniper – Asterisk – VoIP – Redes – Telefonia