O que é a RNP?

Somos a Rede Brasileira para Educação e Pesquisa.

Operamos uma grande rede (backbone) que conecta instituições de Ensino Superior e Pesquisa.

Os pontos de presença são instâncias dessa rede nos estados.

Backbone RNP e PoPs

backbone

Backbone RNP e PoPs

backbone

E no Paraná?

  • Operamos conexões de clientes no interior e uma rede metropolitana em Curitiba
  • Aproximadamente 80 equipamentos
  • Enlaces de 1gb a 100gb

Quais os desafios de segurança?

  • Segurança dos ativos de rede e protocolos de roteamento (“control plane”)
  • Segurança do que trafega pela rede (“data plane”)
  • Observabilidade

Control plane

  • controle de acesso aos ativos
  • Segurança dos protocolos de roteamento:
    • BGP
    • OSPF
  • Observabilidade
    • logs
    • snmp
    • telemetria
    • netflow/sflow

Control plane - Controle de Acesso

O que acontece se alguem acessar indevidamente um roteador?

  • Ataques do tipo MITM
  • DOS

Como se proteger?

  • ACLs de acesso a caixa (“firewall”)
  • Radius/tacacs (AAA)
  • Rede de gerencia out of band
  • Proteção da “routing engine” (RE)

Control plane - OSPF

O OSPF é o protocolo de roteamento “interno”.

Proteções:

  • passive interface / habilitado apenas onde precisa
  • Autenticação (ipsec no caso do OSPFv3)
  • ACLs (protect RE)

Control plane - BGP

O que é o BGP?

  • O Border Gateway Protocol é “o” protocolo de roteamento que faz a internet funcionar!
  • A internet está organizada em “Sistemas Autonomos” (AS)
  • AS divulgam/aprendem prefixos

Que tipos de problemas podem ser causados pelo mal uso dele?

  • Sequestro de prefixos (Pakistan Telecom, 24/02/2008)
  • Vazamento de rotas
  • Injeção de rotas
  • Session Reset

Control plane - BGP

Proteções:

  • Filtros de prefixos
  • Limite de prefixos
  • ACL (protect RE)
  • Interface Loopback
  • Autenticação (BGP MD5)
  • RPKI -> mais recente. Tentativa de validar origem dos prefixos

Data plane

E sobre o trafego em si?

Mesmo com o plano de controle seguro, o proprio backbone pode ser uma arma ou uma vítima!

Principais tipo de ataque:

  • (D)DOS
    • Volumétrico
      • Amazon (2020) - 2.3tbps
    • Não Volumétrico
      • HTTP/2 Rapid Reset (2023) - Google (398M req/s) e Cloudflare (201M req/s)
    • Uso de botnets
    • Uso de técnicas de amplificação
  • DNS
    • Sequestro
    • Poisoning
    • DNSSEC
    • Bloqueio de dominios

Data plane - Proteções

Como se proteger:

  • Antispoof
  • mitigação de DDOS
    • blackhole
    • flowspec
    • scrubbing
  • Sensores de segurança
    • honeypot
    • darknet
    • monitoramento deepweb
    • scans ativos
  • Security Operation center

FIM

Dúvidas?

FIM MESMO

christian.lyra@rnp.BR

Obrigado