Configurando o TOP Talkers no CISCO

Habilitando IP Flow na interface (ingress ou egress)

Verificando Tráfego

Introdução

Aplicar boas práticas de segurança em Provedores de Internet faz parte do trabalho diário de operadores de redes e sistemas autônomos em geral como forma de assegurar, não apenas a boa operação da redes pelos quais é responsável e dos serviços prestados à seus clientes, mas também de modo a evitar que sua rede seja utilizada como fonte de problemas para redes de terceiros. Sendo a Internet uma interconexão de milhares de redes, se faz necessário a colaboração de todos os operadores de redes e sistemas autônomos em um esforço conjunto para se evitar que ocorram ataques, indisponibilidades, spam e consequentemente a perda da qualidade de navegação do usuário final e aumento de custos para todos.

Desde o surgimento da Internet a colaboração mútua de profissionais de diversas áreas tem sido essencial para se criar boas práticas para operação de redes e sistemas autônomos, sendo altamente recomendado segui-las e implementá-las, principalmente em ambientes que prestam serviço de acesso para milhares de usuários finais.

Para implementação de muitas dessas práticas nem sempre é necessário realizar grandes investimentos em equipamentos, mas apenas instruir a equipe responsável para que observem e sigam os guias de boas práticas existentes como também respondam à eventuais incidentes de segurança envolvendo a rede ou sistema autônomo pelo qual é responsável.

Nesse sentido o Núcleo de Informação e Coordenação do Ponto BR (NIC.br) há anos tem realizado um trabalho importante com iniciativas como a gerência da porta 25 e mais recentemente o Programa por uma Internet mais Segura e o MARNS para ajudar a melhorar a segurança dos sistemas autônomos Brasileiros.

Boas Práticas Gerais

Abaixo encontra-se uma lista não exaustiva de boas práticas a serem observadas por todos aqueles interessados em certifica-se de diversos aspectos de segurança na operação de um sistema autônomo. Como a lista pode receber novas recomendações é recomendado consultá-la de tempos em tempos para se certificar de que esteja operando sempre com as melhores práticas de segurança.

1. Implementar as quatro ações do MARNS – https://bcp.nic.br/manrs
   1. Filtros de rotas de entrada e saída: evita o sequestro de prefixos (hijacking) e vazamento de rotas (leak). Verifique na ferramenta BGPStream (https://bgpstream.com/) se seu AS tem participado de sequestro de prefixos, vazamento de rotas ou ainda se houve outage envolvendo seu AS. A ferramenta dá uma visão dos últimos 180 dias.
   2. Implementar filtros de entrada antispoofing: evita que seus clientes gerem tráfego com endereço de origem alterado (spoofado) e iniciem ataques DoS tráfego spoofado e amplificado por destinos vulneráveis. Utilize a ferramenta CAIDA para verificar se em seu AS há medições de possibilidade de envio de tráfego spoofado e instale o software cliente do CAIDA (https://www.caida.org/projects/spoofer/) em segmentos de sua rede para verificar se ela permite tráfego spoofado.
   3. Atualizar os pontos de contato como mínimo no WHOIS e PeeringDB e também no RADb, como desejável.
   4. Publicar suas políticas de roteamento/ no RADb (desejável).
2. Atender às notificações do CERT.br para serviços mal configurados que deixam portas abertas que podem ser abusadas. O CERT.br analisa 12 protocolos mensalmente (SNMP, DNS, NTP, SSDP, PORTMAP, NETBIOS, MDNS, MEMCACHED, CHARGEN, QOTD, LDAP e Service Discovery da Ubiquiti) e encaminha notificações com os IP ofensores, por AS, para o email que consta como Abuse no Whois.
3. Implementar ações de hardening mapeando ameaças, mitigando riscos e tomando ações corretivas. Há várias dicas sobre autenticação, autorização, acesso, sistema e configurações na apresentação https://www.cert.br/docs/palestras/certbr-formacao-professores2019-turma01.pdf. Tópicos adicionais de hardening são apresentados nos cursos BCOP do NIC.br – https://cursoseventos.nic.br/curso/curso-bcop/
4. Implementar gerência de porta 25 – http://www.antispam.br/admin/porta25/

Boas Práticas Especificas

Além das boas práticas gerais apresentadas acima é também altamente recomendado acompanhar a divulgação de patches de segurança, lançamento de novas versões de firmware/software e publicação de release notes de fabricantes de equipamentos de rede e softwares, utilizados na operação do provedor, para ficar sabendo quando alguma vulnerabilidade foi encontrada e corrigida e reduzir o tempo de exposição da sua rede para a Internet.

Cada fabricante mantém diferentes sistemas e métodos para dar publicidade à esses anúncios. As URLs abaixo são uma referência para algumas dessas ferramentas utilizadas pelos diferentes fabricantes e conteúdo relacionado.

Cisco

https://tools.cisco.com/security/center/softwarechecker.x

https://tools.cisco.com/security/center/publicationListing.x

Juniper

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

Huawei

https://www.huawei.com/en/psirt/all-bulletins

Mikrotik

https://blog.mikrotik.com/security/

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

FONTE: https://wiki.brasilpeeringforum.org/w/Boas_Praticas_para_Melhorar_a_Seguranca_de_seu_Provedor

Para remover linhas duplicadas  basta apertar Ctrl+ F, selecionar a aba “Substituir” e no campo “Localizar”  colocar  : ^(.*?)$\s+?^(?=.*^\1$).  Em modo de busca marcar  “Expressão  regular” e clicar em substituir todos.

Comparar Arquivos:
Primeiramente arraste um das abas que deseja ser comparada  para o lado solte   e escolha mover para outra tela.

Apos isso vá na aba Plugins –> Plugin Manager –> Procure pelo Compare e selecione ele para baixar.

Apos isso, na aba Plugins haverá um novo item chamado Compare, basta clicar em Compare ou Alt + D para o plugin funcionar.

350023_-mapping-of-basic-cisco-ios-and-system-management-commands-to-junos-internet-software-commands