Blackhole BGP – Mikrotik
Como configurar um blackhole BGP em Mikrotik
Blackhole BGP – Huawei (Huawei NE20, Huawei NE40, Huawei NE8000/NE8k)
Como configurar um Blackhole BGP em Huawei (Huawei NE20, Huawei NE40, Huawei NE8000/NE8k)
Estou sofrendo Ataques DDoS e agora?!
Calma, muita calma! Você não é o primeiro e nem o último a sofrer com ataques DDoS. No primeiro momento é desesperador, mas existem técnicas que podem te ajudar a enfrentar esse grande problema em sua rede. Vamos lá, separei em algumas partes do que fazer Identifique se é realmente um ataque e quem está atacando É comum ocorrer falsos positivos, onde você acha que é um ataque, mas na verdade é um tráfego anormal, podemos citar como exemplo uma atualização do Windows ou do iOS da Apple ou de dispositivos executando Android onde vários dispositivos se atualizam ao mesmo momento fazendo parecer ser um ataque, mas é um tráfego real, porém anormal. Se seu caso não for um falso-positivo e confirmar realmente que é um Ataque DDoS o próximo passo é identificar por quais interfaces e para onde o ataque é direcionado, a qual cliente ou qual equipamento. Mas como fazer isso? Existem várias formas de descobrir esse tráfego, podemos citar Se for um Roteador Mikrotik você pode usar a Ferramenta de Torch (Tools -> Torch) e analisar qual IP tem um consumo anormal Se você tiver usando um Servidor/Roteador com Linux ou FreeBSD você pode usar o tcpdump e analisar quais IPs têm comunicação anormal Em Roteadores Cisco, Juniper, Huawei ou Nokia você irá precisar de um Analisador de Netflow como o Made4Flow e assim avaliar quais IPs têm uma comunicação anormal Caso não seja possível usar netflow (Netstream, jFlow, Netflow v5/v9/IPFIX ou Traffic Flow do RouterOS), você pode fazer um port-mirror e espelhar o tráfego da porta de seu roteador para um servidor ou host que possa analisar o tráfego Mas no meio de tanto tráfego como saber algo anormal? Geralmente ataques DDoS ocorrem em portas que usam amplificação, como mencionado no nosso artigo sobre o que é DDoS, podemos citar de exemplo o NTP ou SSDP. Ao avaliar que existe um tráfego maior (geralmente com muitos pacotes e muita banda de várias origens diferentes) para um IP específico você pode passar para a próxima etapa. Use a Blackhole – RTBH A Blackhole ou RTBH – Remote Triggered Blackhole é a técnica onde literalmente enviamos um IP para o “buraco negro” e esse IP para de funcionar tanto em sua rede como na Internet assim conseguindo interromper o Ataque. Através de um anúncio BGP é possível fazer com que o IP pare de funcionar e seja enviado para suas operadoras informando que aquele IP não deve receber tráfego. A Blackhole resolve o problema em ataques direcionados a 1 ou poucos IPs, mas caso o ataque seja direcionado a muitos IP’s a Blackhole não se torna efetiva por conta do número máximo de prefixos anunciados na sessão BGP. Se você quiser saber mais sobre Blackhole confira nosso artigo! Prós: Facilmente configurado Amplo suporte (todos os roteadores suportam) Ataque é interrompido rapidamente Contras: – O IP irá parar de funcionar totalmente – Se caso o ataque seja direcionado a vários IP’s pode ser um problema maior A Blackhole é funcional mas até certo ponto somente, em ataques maiores ou se os ataques forem insistentes e as técnicas mudarem atacando vários, ela não suprirá a sua demanda Use um Link de Mitigação ou Scrubbing Center Quando os ataques mudam e começam a atacar vários IP’s a técnica de Blackhole não irá suprir a demanda e para continuar operando é necessário que alguém faça a limpeza do tráfego de ataque do tráfego verdadeiro, para isso existem empresas que vendem links de mitigação que são conhecidos como Scrubbing Center ou Anti-DDoS. Nesse tipo de link você direciona o seu tráfego de Download para eles através do BGP e eles irão utilizar de seus servidores, roteadores, appliances e técnicas para limpar o tráfego de Ataque do tráfego real. Se você quiser saber mais sobre Link de Mitigação confira nosso artigo, lá mostramos com mais detalhes o funcionamento. Prós: O(s) IP(s) atacados continuam funcionando Todo o problema de receber o ataque é transferido para essas empresas Contras: Custo desse link Aumento de latência Configuração mais complexa, pois exige uma engenharia de tráfego no BGP quando o ataque estiver ocorrendo Automatize tudo Ataques DDoS irão ocorrer quando você menos espera, então criar a estrutura de proteção com automatização é extremamente necessário. Para isso o Made4Flow possui o módulo de Anti-DDoS onde ele pode tomar a ação de enviar um IP para blackhole ou direcionar para a Mitigação quando detectar um ataque DDoS. Com ele você pode receber os alertas via e-mail e ter a tranquilidade que a ferramenta está funcionando por você e tomando ações automatizadas para a proteção da sua rede. Se você gostou compartilhe essa publicação! Nos próximos artigos vamos te contar como prevenir ataques, como configurar uma blackhole em roteadores Mikrotik, Cisco, Juniper ou Huawei e muitos mais informações sobre DDoS. Até a próxima
RTBH Blackhole, o que é?
A Blackhole ou na tradução literal de “buraco negro” é uma técnica que descarta os pacotes destinados a um IP ou range de IP’s nos roteadores de borda (BGP) de um Provedor de Internet. Uma vez detectado um ataque DDoS, a Blackhole pode ser usada para dropar/descartar todo o tráfego destinado ao IP atacado ou range de IP atacados assim protegendo a Rede de uma sobrecarga ou que ela pare por conta do volume de tráfego do DDoS A RTBH ou Remote Triggered Blackhole é a técnica que através do BGP o tráfego destinado ao IP atacado pode ser facilmente descartado no Backbone ou na camada de BGP assim evitando que a rede toda pare ou sofra degradação por conta do Ataque DDoS. Para ficar mais fácil a explicação vamos dar um exemplo: O provedor XPTO tem o prefixo 200.200.200.0/24 associado a seu ASN123456, e dentro deste provedor existe uma empresa Bolinha que sofreu um Ataque DDoS, para que a rede do provedor XPTO não pare por completo, eles adicionam a configuração de blackhole para essa empresa Bolinha, assim protegendo sua infraestrutura e deixando somente a empresa Bolinha sem os serviços Quais são os prós e contras? Prós: Eficiente contra ataques DDoS Sua implantação é muito simples e rápida Suporte a todos os vendors (marcas de equipamentos) Amplamente implantandos em Operadoras de todos os tamanhos Contras: O IP de blackhole para de funcionar completamente Em ataques direcionados a vários IP’s ele pode gerar mais problema do que solução Como funciona na prática a Blackhole? Assim que é detectado o ataque, através de uma análise de Netflow, o Made4Flow é exemplo de software de análise de Netflow ou via um mirror de porta e é determinado qual o IP de destino do Ataque DDoS é possível configurar o Roteador para que envie a Rota para Blackhole ou mais especificamente para Null0 (Em roteadores Cisco/Huawei) ou Discard (Juniper) ou Blackhole (Mikrotik), literalmente jogando essa rota para o “buraco negro” assim descartando o tráfego destinado àquele IP. No mundo de BGP é possível enviar essa rota de Blackhole para sua operadora para que ela possa fazer o descarte dos pacotes dentro da rede dela e também enviar para todas as operadoras fazendo assim que todo o mundo conheça que esse IP não funcione mais. Vamos mostrar mais a frente como funciona a Blackhole no mundo BGP. Como configurar a Blackhole?Após determinar o IP atacado o operador do Roteador acessa o equipamento, configura uma rota estatica com o IP de destino do Ataque sendo seu next-hop (ou gateway) como Null0 ou Blackhole Um exemplo de configuração em Roteadores Huawei é a seguinte sintaxe: [~rt-huawei-ne40]ip route-static 200.200.200.200 32 NULL 0 Explicando o comando: Todo o pacote com destino ao IP 200.200.200.200 será enviado para a Null0 (Blackhole) e assim todo o seu tráfego descartado. Você ainda precisa anunciar via BGP essa rota de blackhole para que suas operadoras recebam e também descartem o tráfego a esse IP atacado. Para ficar mais claro, temos a imagem abaixo demonstrando todo o processo de anúncio da Blackhole Nos próximos artigos vamos mostrar como configurar Blackhole nos Roteadores Huawei, Cisco, Juniper e Mikrotik. Se você ficou com alguma dúvida nos contate via Rede Social ou WhatsApp!Até os próximos artigos!
Metodologias ágeis – Quais são e como elas podem ajudar sua equipe
Porque você deve monitorar sua Infraestrutura? (Lucas Kazama)
Sendo um recurso tão presente e tão importante em nosso dia a dia é necessário que os provedores tenham a certeza de que em suas redes os equipamentos e serviços estejam funcionando com 100% da eficiência e segurança para os quais foram desenvolvidos.
O que é NOC?
Primeiramente é preciso entender o que é um NOC. NOC (do inglês Network Operation Center) é o Centro de Operações de Rede, que pode ser uma ou mais localizações onde se realiza o monitoramento ou gerenciamento de redes. Utilizando ferramentas para coletar dados sobre equipamentos e serviços, o NOC consegue identificar falhas e rapidamente encontrar meios de reparar essas falhas. O monitoramento da infraestrutura é essencial pois torna mais dinâmico o processo de manutenção e gerenciamento, já que tem como prioridade garantir que a rede esteja rodando com o máximo de eficiência possível. Evitando problemas como gastos desnecessários, interrupção de serviços e lentidão na entrega dos mesmos. Para entender melhor como o NOC facilita a gerência da rede, vamos imaginar um cenário em que um provedor está enfrentando problemas com aumento da demanda por banda, mesmo tendo links que aguentam tal demanda. Neste caso vamos supor que o problema está no fato de que a rede está desbalanceada, ou seja, todo o tráfego está tentando passar pelo mesmo link o que faz esse link ficar com um gargalo. Com um monitoramento efetivo esse tipo de problema seria facilmente detectado e corrigido, evitando transtornos com clientes furiosos ligando para reclamar da qualidade do serviço e até evitando a perda de alguns desses clientes. Além de auxiliar na identificação do problema o NOC também facilita a compreensão do problema, tornando mais rápida a ação da equipe de suporte. Geralmente as equipes de suporte sabem que existe um problema, porém em grande parte das vezes não sabem onde está o problema, o que resulta em um tempo maior para a resolução do problema. Se um NOC estiver analisando a rede, a falha pode ser identificada até mesmo antes de afetar a entrega dos serviços. Por exemplo um link que está chegando perto de sua capacidade máxima, um equipamento que está apresentando falhas no sistema de resfriamento, servidores que estão chegando perto da capacidade máxima de memória. Tudo isso é identificado pelo monitoramento, tornando mais visível a necessidade de manutenções preventivas e evitando transtornos futuros. O NOC não é um simples monitoramento, um time de NOC eficiente significa cuidado com a rede e consideração pelos clientes que contratam seus serviços. Ter um monitoramento vai muito além de saber o que está acontecendo na rede, pois possibilita expandir os horizontes e focar em novas áreas.
Ataques cibernéticos, o que são?
Como gerir uma equipe 24×7?
Para manter uma equipe 24/7 rodando bem se fazem necessários alguns procedimentos e dinâmicas. É extremamente importante que todos os membros da equipe entendam o quão essencial é a passagem de informações de um turno para outro, pra cada incidente ocorrido deve-se ter um resumo pronto para que o próximo atendente não fique “perdido” e sem saber o contexto dos diálogos com o cliente. Devido ao fato de que sem informações nós não conseguiríamos ser uma equipe 24/7 efetiva, sempre realizamos dinâmicas para melhorar nossa comunicação interna. Temos um grupo onde qualquer membro da equipe pode mandar mensagens a qualquer hora do dia e alguém sempre estará disposto a ajudar. Outra preocupação é lidar com a madrugada. Por se tratar de um horário sensível, os membros da equipe que cobrem o turno da madrugada têm um treinamento levemente diferente focado em análise para que possam entender os incidentes e tomar decisões de entrar ou não em contato com o cliente. Periodicamente o supervisor passa uma madrugada junto com eles para analisar o desempenho da equipe em todos os horários, detectar dificuldades ou possíveis pontos de melhoria, assim tornando mais fácil e dinâmico para os funcionários e consequentemente tornando o serviço mais eficiente para o cliente. Realizar reuniões mensais para ouvir a equipe falar, expor suas dificuldades e sugestões, mas também expor os erros que cometeram, nunca esquecendo de ressaltar os acertos da equipe. Assim conseguimos manter um bom relacionamento entre todos na equipe e em certo ponto o time se torna autogerenciável. Os próprios atendentes detectam e corrigem os erros, apenas reportando para o supervisor. Isso tudo é claro em uma pequena escala, mas esse método se mostra muito eficiente e pode escalar conforme a equipe cresce.
O que são ataques DDoS?
DDoS ou Distributed Denial of Services, também conhecidos como ataque de negação de serviço, é um tipo de ataque cibernético (se quiser saber mais confira nosso artigo sobre Ataques cibernéticos) onde o hacker (ou attacker/atacante) tenta sobrecarregar um servidor, um equipamento de rede como roteador, switch, BRAS/BNG, firewall, um computador ou uma rede para que os serviços ou sua utilização fiquem indisponíveis. Os ataques de negação de serviço distribuído, DDoS, não tem o objetivo de roubar informações das vítimas, mas sim derrubar ou deixar inoperante uma rede ou um serviço (Entenda um serviço como servidor web, um banco de dados, um aplicativo de banco). O DDoS também pode servir de “cortina de fumaça” para esconder outros ataques que podem ocorrer ao mesmo tempo e esses sim para roubo de informações. Diferentes de DoS, onde somente um computador ou host é usado no ataque, DDoS usam milhares e até milhões de computadores e dispositivos para atacar suas vítimas E mais porque alguém faria isso?! Dentre os vários motivos que temos para um ataque DDoS, ao longo do tempo que os mais comuns são: Mas será que agora em 2021 eu preciso me preocupar com DDoS? A resposta disso é: VOCÊ PRECISA MUITO se preocupar com isso, aqui abaixo estão algumas notícias do mundo afora: E não é só gente grande que toma ataques DDoS, como uma operadora ou grande empresas de serviços, ao longo do temos vistos muitas empresas pequenas tomando ataque DDoS com grande volumetria e muitas formas de ataque diferentes. Um segundo fator para você se preocupar é por conta dos preços para gerar um ataque DDoS, alguns sites tem “DDoS a partir de 5 euros”, então se alguém tiver um pouco de dinheiro não precisa ser um hacker para gerar um DDoS contra alguém. Então se você tem uma rede é importante preocupe com DDoS. Mas como funciona um ataque DDoS? Aqui neste artigo vou explicar como funciona de forma bem básica, caso você queira saber de forma um pouco mais aprofundadas confira esse nosso artigo mais detalhado de Como Funciona um Ataque DDoS. Os ataques DDoS geralmente acontecem através de botnet ou rede zumbis controladas por Hacker. Essas redes podem ter milhões de dispositivos controlados pelo Hacker, que pode simplesmente enviar um comando para que todos esses dispositivos comecem a enviar pacotes para a vítima, assim gerando o Ataque DDoS. Vários dispositivos estão propensos a serem zumbis de uma botnet como: Computadores com vírus, Câmera de segurança com vulnerabilidade, Roteadores (ou CPE) residenciais com vulnerabilidade, equipamentos de IoT e até mesmo sua geladeira smart pode ser um zumbi em uma botnet. A imagem abaixo demonstra um pouco melhor como funciona um DDoS:
