Kaique Mitsuo Silva Yamamoto
Redes isp

Segurança de Redes para Provedores de Internet

Segurança de redes ISP: firewall de borda, mitigação de DDoS com BGP Blackhole e RTBH, BCP38 anti-spoofing, CGNAT, RPKI e proteção de infraestrutura crítica para provedores.

Provedores de internet são alvos frequentes de ataques cibernéticos — tanto pela infraestrutura que operam quanto pelos próprios clientes que hospedam. Segundo dados do NETSCOUT Threat Intelligence Report 2024, o Brasil figura entre os 5 países mais atacados da América Latina, com ataques DDoS atingindo picos de 3.5 Tbps em campanhas direcionadas.

Principais ameaças para ISPs brasileiros

AmeaçaImpactoFrequência
DDoS volumétricoSatura uplink, derruba todos os clientesAlta
DDoS de amplificação (UDP)Exploita servidores abertos (DNS, NTP, SSDP)Alta
BGP hijackingDesvia tráfego para terceirosMédia
Brute force em gestãoAcesso indevido aos roteadoresAlta
Route leakAnuncia rotas que não pertencem ao ASMédia

Firewall de borda — Princípios para ISP

Separação de planos

Um firewall de ISP deve tratar três planos de forma independente:

PlanoO que protegeExemplos de tráfego
Management PlaneA infraestrutura do provedorSSH, SNMP, Winbox, BGP
Control PlaneProtocolos de roteamentoBGP updates, OSPF hellos
Data PlaneTráfego dos clientesHTTP, streaming, VoIP

CoPP — Control Plane Policing

Em roteadores de borda, limite a taxa de pacotes que chega ao plano de controle para evitar que um ataque saturé a CPU:

# MikroTik — Rate limit para protocolo BGP
/ip firewall filter
add chain=input protocol=tcp dst-port=179 \
    action=accept comment="BGP de peers conhecidos" \
    src-address-list=bgp-peers

add chain=input protocol=tcp dst-port=179 \
    action=drop comment="Bloquear BGP de IPs desconhecidos"

# Limite de ICMP para evitar ping flood na gestão
add chain=input protocol=icmp \
    limit=100,50:packet action=accept
add chain=input protocol=icmp \
    action=drop comment="ICMP rate limit"

DDoS — Detecção e Mitigação

Tipos de DDoS mais comuns em ISPs brasileiros

1. UDP Flood (amplificação) Explora servidores abertos de DNS, NTP e SSDP. O tráfego de resposta (amplificado) atinge o alvo com volume muito maior que o tráfego de ataque original:

  • Fator de amplificação DNS: até 70x
  • Fator de amplificação NTP: até 556x
  • Fator de amplificação SSDP: até 30x
# Bloquear amplificação DNS saindo da rede de clientes
/ip firewall filter
add chain=forward protocol=udp dst-port=53 \
    in-interface-list=CLIENTES \
    out-interface-list=WAN \
    connection-bytes=512-0 \
    action=drop \
    comment="Block large DNS responses (amplification)"

# Bloquear NTP monlist (amplificação)
add chain=forward protocol=udp dst-port=123 \
    packet-size=468-1500 \
    action=drop \
    comment="Block NTP amplification"

BGP Blackhole (RTBH — Remotely Triggered Black Hole)

O RTBH é a técnica mais eficaz para mitigação rápida de DDoS. Quando um IP está sob ataque, o provedor anuncia via BGP uma rota mais específica com community especial que instrui os uplinks a descartar o tráfego antes mesmo de chegar na rede do ISP:

# No MikroTik — anunciar rota de blackhole durante ataque
/ip route
add dst-address=177.X.X.Y/32 gateway=blackhole \
    comment="RTBH: IP sob ataque DDoS"

# Configurar community de blackhole no peer BGP
/routing filter rule
add chain=filter-out-blackhole disabled=no \
    rule="if (dst == 177.X.X.Y/32) {
        set bgp-communities 65535:666;
        accept
    }"

O upstream que suportar BGP Blackhole Community (RFC 7999) aceita essa rota e descarta o tráfego na própria borda deles — antes de saturar o link do ISP.

Scrubbing Center (mitigação avançada)

Para ISPs com volumes de ataque acima de 10 Gbps, a solução mais robusta é redirecionar o tráfego via BGP para um scrubbing center (serviço de limpeza de tráfego):

Tráfego normal: Internet → Uplink ISP → Rede ISP → Cliente
Durante DDoS: Internet → Uplink ISP → Scrubbing (filtra) → Rede ISP → Cliente

Provedores de scrubbing no Brasil: Cloudflare Magic Transit, Akamai Prolexic, Level3/Lumen.

BCP38 — Anti-Spoofing

O BCP38 (Best Current Practice 38) define que provedores devem bloquear pacotes com endereços de origem falsos saindo das redes de seus clientes. Isso evita que clientes participem de ataques DDoS por spoofing.

# MikroTik — Filtro BCP38 (uRPF simplificado)
/ip firewall filter

# Bloquear clientes enviando pacotes com IP de origem que não é deles
add chain=forward action=drop \
    in-interface-list=CLIENTES \
    src-address-list=!pool-clientes \
    comment="BCP38: Anti-spoofing em clientes"

# Bloquear bogons saindo da rede de clientes
add chain=forward action=drop \
    in-interface-list=CLIENTES \
    out-interface-list=WAN \
    src-address-list=bogons \
    comment="BCP38: Bloquear bogon sources"

RPKI — Validação de Rotas BGP

O RPKI (Resource Public Key Infrastructure) permite validar se quem está anunciando um prefixo BGP tem autorização do dono do prefixo. Previne BGP hijacking.

Como funciona

  1. O dono do bloco de IPs cria um ROA (Route Origin Authorization) no LACNIC/RIPE
  2. O ROA associa o prefixo a um ASN específico
  3. Roteadores BGP com RPKI habilitado verificam se o ASN do anúncio corresponde ao ROA
  4. Anúncios inválidos são descartados (INVALID) ou sinalizados
# Habilitar RPKI no MikroTik RouterOS v7
/routing/rpki
add address=rpki.lacnic.net port=3323 name=rpki-lacnic

# Aplicar no filtro BGP
/routing filter rule
add chain=filter-in-uplink disabled=no \
    rule="if (rpki-state == invalid) { reject }"

Criar ROA no LACNIC

Acesse myapnic.net ou o portal da RIR correspondente → RPKICreate ROA → informe o prefixo e ASN.

Hardening de acesso à gestão

# MikroTik — Restringir acesso de gestão
/tool mac-server
set allowed-interface-list=MGMT

/tool mac-server mac-winbox
set allowed-interface-list=MGMT

/ip neighbor discovery-settings
set discover-interface-list=MGMT

# Desabilitar protocolos desnecessários
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes

# SSH apenas de IPs de gestão
set ssh address=10.0.0.0/8,192.168.0.0/16 disabled=no

# Tentativas de login — banir após 5 falhas
/ip firewall filter
add chain=input action=drop \
    src-address-list=blocklist-ssh \
    comment="Bloquear IPs com muitas tentativas SSH"

add chain=input protocol=tcp dst-port=22 \
    action=add-src-to-address-list \
    address-list=ssh-tentativas \
    address-list-timeout=2m \
    connection-state=new \
    src-address-list=ssh-tentativas \
    comment="Detectar brute force SSH"

Checklist de segurança para ISPs

  • SSH com chave pública (desabilitar autenticação por senha)
  • SNMP v3 com autenticação e criptografia (sem v1/v2c em produção)
  • Senhas únicas por equipamento (gerenciador de senhas: Bitwarden, 1Password)
  • BCP38 ativado em todas as interfaces de clientes
  • RPKI habilitado e filtrando anúncios INVALID
  • BGP Blackhole configurado com todos os uplinks
  • Firewall de borda com CoPP ativo
  • Acesso de gestão apenas via VLAN dedicada
  • Logs centralizados em servidor Syslog/Zabbix
  • Backup automático de configurações (script diário)

Recursos

Precisa fortalecer a segurança do seu provedor? → Consultoria gratuita

Failover e Load Balance para ISPs

Configuração de failover automático e load balance com múltiplos uplinks em provedores de internet: MikroTik PCC, ECMP, BGP multihoming e monitoramento de links.

Mitigação de DDoS para Provedores

Estratégias práticas de mitigação de DDoS para ISPs: BGP Blackhole, RTBH, flowspec, rate limiting, scrubbing center e proteção contra amplificação UDP.

On this page

Principais ameaças para ISPs brasileirosFirewall de borda — Princípios para ISPSeparação de planosCoPP — Control Plane PolicingDDoS — Detecção e MitigaçãoTipos de DDoS mais comuns em ISPs brasileirosBGP Blackhole (RTBH — Remotely Triggered Black Hole)Scrubbing Center (mitigação avançada)BCP38 — Anti-SpoofingRPKI — Validação de Rotas BGPComo funcionaCriar ROA no LACNICHardening de acesso à gestãoChecklist de segurança para ISPsRecursos