Recomendações e boas práticas
Uma vez que a organização conte com Número de Sistema Autônomo (ASN), e bloco de endereços IPs independentes de provedor deve estar atenta a uma série de recomendações para um bom uso desses recursos e maior estabilidade da rede, gerando assim melhor qualidade no serviços prestados.
Algumas recomendações disponíveis em https://bcp.nic.br
Com a alocação e uso dos recursos mencionados a organização passa a ser Autônoma e independente dos provedores de trânsito, dos quais até então dependia para transporte do tráfego de seus clientes, escolha dos melhores caminhos, tratamento de incidentes, etc.
Com essa autonomia, cabe agora à organização observar alguns pontos em especial quanto a políticas de roteamento, planos de endereçamento, tratamento de incidentes, entre outros.
Para os recursos alocados, ASN e blocos IPs, há informações de usuários do sistema do Registro.br que figuram como contatos técnicos, de segurança e de roteamento. E associados a esses usuários está informação de email e telefone que são públicas e podem ser consultadas via ferramenta "whois", por exemplo.
Esses contatos podem ser necessários em caso de problemas de roteamento ou segurança que envolvam a rede que faz uso dos recursos alocados, portanto, os endereços de emails desses usuários e telefones devem ser válidos e as mensagens recebidas devem ser tratadas de forma apropriada.
Ainda por questões de incidente mas também para participação apropriada na comunidade de Sistemas Autônomos, recomenda-se fortemente que os contatos técnicos do ASN e bloco de endereços IPs esteja inscrito em listas de operadores de redes.
Recomendamos os seguintes como mínimo:
- Grupo de Trabalho de Engenharia de Redes (GTER), https://gtergts.nic.br
- Grupo de Operadores de Redes da América Latina e do Caribe (LACNOG), http://www.lacnog.org
Considerando que seja uma alocação inicial haverá necessidade de "renumerar" a rede trocando os endereços até então em uso e alocados pelos provedores de transito Internet por aqueles agora alocados pelo Registro.br
Nesse processo de renumeração é importante um planejamento na distribuição dos blocos por regiões, Pontos de Presença (POPs), serviços e clientes.
Esse planejamento permitirá melhor escalonamento da rede e um roteamento interno mais eficiente.
De uma maneira bem geral deve-se identificar as regiões atendidas pela organização e dentro de cada região a quantidade de POPs e em cada POP a quantidade de clientes atendidos. E assim identificar o tamanho de bloco IP necessário para atender os serviços e clientes mas com uma margem de crescimento.
O planejamento a mais longo prazo é de extrema importância principalmente para blocos de endereços IPv6. E nesse caso há alguns documentos que podem auxiliar nesse processo:
- IPv6 - Alocação de endereços, https://ipv6.br/post/alocacao-de-enderecos/
Ainda em relação a IPv6, destacamos que o NIC.br oferece treinamentos técnicos para operadores de redes e que são gratuitos para todos os Sistemas Autônomos.
Há cursos introdutórios on-line e sob demanda mas também treinamentos presenciais que abordam temas de planejamento, roteamento e serviços.
Mais informações em:
- Curso e-learning, https://cursoseventos.nic.br/curso/curso-basico-ipv6-ead/
- Curso Básico - Presencial, https://ipv6.br/basico/
Uma vez definido o planejamento da rede e endereçamento é necessário planejar as políticas de roteamento para essa rede.
Basicamente, deve-se especificar no roteador de "borda" externa, ou seja aquele que faz a inter conexão com os provedores de transito Internet, regras para que somente as redes que fazem parte do bloco de endereços alocado seja exportadas. E caso a organização seja provedor de transito para algum cliente, nesse caso permitir que se exporte também as redes desse cliente.
Outras regras para se implementar na política de roteamento se referem a não permitir que se exporte, ou se anuncie, redes privadas, redes de teste e documentação e outras tal qual definido na RFC6890.
Deve-se implementar também regras em equipamentos de acesso (borda com os clientes), que não permitam o envio de tráfego pelos clientes com endereço de origem que não aqueles atribuídos a eles pela organização/provedor.
Essa técnica é chamada de "Anti spoofing" e visa principalmente que se inicie ataques onde o pacote de resposta para alguns serviços sejam direcionados a um endereço diferente de quem originou a solicitação e dificulte também o rastreamento.
Mais detalhes e exemplos de configuração em:
- Antispoofing, https://bcp.nic.br/antispoofing
Será também necessário o cadastro de servidores DNS para resolução Inversa dos endereços IPs alocados. Essa resolução de IPs para nomes é utilizada em ferramentas de diagnósticos de problemas de rede, sistemas de registros de acesso ("log"), e outros.
É também requisito para demonstração de bom uso dos recursos alocados.
O usuário contato técnico dos blocos de endereços IPs deve ingressar ao sistema do Registro.br para fazer a delegação dos servidores, que devem ser no mínimo dois e estarem já configurados para os blocos.
Maiores detalhes em: Resolução Inversa
Recomenda-se também algumas considerações quanto a segurança dos equipamentos da infra estrutura de roteamento e dos serviços.
Alguns equipamentos de roteamento são configurados de forma "padrão" e com alguns serviços desnecessários habilitados. Por isso é importante uma cuidadosa análise da configuração desses equipamentos além de consulta aos manuais e recomendações dos fabricantes.
De uma forma geral busque por serviços como acesso remoto (telnet), web, identificação de usuários (ident), gerenciamento remoto (snmp), etc
Para acesso remoto é recomendável uso de serviços encriptados como "ssh", e que se possível seja configurada uma lista de acesso especificando a partir de quais endereços IPs se permite essa conexão.
O mesmo para caso o acesso para administração seja via web, e nesse caso buscar opção de conexão encriptada (https), e também com controle de acesso.
E em caso seja necessário manter ativo protocolos de gerenciamento remoto, como por exemplo SNMP, que também sejam criadas listas de acesso indicando a partir de quais IPs as consultas podem ser feitas.
Alguns equipamentos podem também permitir uma configuração um pouco mais detalhada para separar permissões de leitura das permissões de escrita. E nesse caso, deixar ativa permissão de escrita somente se estritamente necessária.
Ainda em relação a segurança dos equipamentos, é recomendável a instalação de um servidor de registros ("logs"), onde sejam armazenadas informações sobre, por exemplo, alterações de configuração, acessos remotos, alertas, etc.
Os equipamentos de rede e servidores devem possuir configuração que garanta sincronismo de hora para que assim a correlação de eventos internos ou externos possa ser feita de maneira correta.
A recomendação nesse caso é para uso do protocolo NTP. Maiores informações sobre o protocolo e também sobre configuração em:
- Network Time Protocol, https://www.ntp.br/
Como mencionado, ao ser um Sistema Autônomo a organização passa a ter autonomia principalmente nas decisões sobre transito Internet e outras interconexões. E uma possibilidade que deve ser seriamente considerada é a interconexão com outros Sistemas Autônomos e assim criar "caminhos" alternativos entre as redes.
Dentre as vantagens podemos destacar o aumento da resiliência e disponibilidade da rede e possivelmente diminuição de custos com transito Internet. E do ponto de vista dos clientes isso se traduz também em menor tempo para acessar serviços nas redes interconectadas devido a um "caminho" mais curto.
Para a interconexão das redes basta que seus administradores uma vez em acordo sobre a interconexão estabeleçam um enlace físico entre pontos de suas redes e em seguida configurem seus roteadores para a troca de tráfego entre os sistemas autônomos.
Nessa configuração deve-se ter o cuidado de criar políticas para exportar somente rotas "internas" e nada que se receba dos provedores de transito, por exemplo. Evitando assim que seja utilizado como transporte ou transito para outras redes externas.
Muito provavelmente haverá interesse em interconexões como a mencionada com diversas outras redes e com isso o custo para se ter um enlace com cada uma dessas pode tornar inviável esse tipo de estratégia.
Para facilitar as interconexões existem Pontos de Troca de Tráfego (PTTs), ou "Internet eXchange Points" (IXPs), em inglês.
A ideia dos PTTs é atuar com um centro concentrador de interconexões onde cada administrador de Sistema Autônomo participante estabelece um enlace até a localidade do PTT e ali se interconecte com todos os demais sistemas presentes que desejem trocar tráfego.
O NIC.br mantém um projeto denominado IX.br e que possui diversos pontos para interconexão em diferentes cidades do Brasil. E novas localidades são adicionadas regularmente.
Maiores informações sobre localidades, regras para participação, participantes atuais e outras em:
- IX.br, https://www.ix.br/