Saber o perfil de uso dos prefixos de IP é importante para melhorar as defesas da rede contra ciberataques, sendo extremamente importante para aumentar a eficiência no combate aos ataques DDoS (negação de serviço).

Com a contribuição de Kurt Urban, diretor de redes e operações da UPX, destacamos a importância desse entendimento e separamos algumas vantagens disso. Continue lendo para descobrir quais são!

Conceito de perfis de IP

“Quando um cliente contrata a UPX, pedimos a ele para que especifique o tipo (o perfil) de cada IP seu, de cada trecho de rede, para pré-configurarmos nossos filtros conforme cada tipo de uso”, destaca Kurt. “Mas o que seria esse perfil?”

“Darei um exemplo: se você tem uma máquina e um IP, sendo que ele é um servidor de página, você terá o ‘mundo inteiro’ o acessando para ver páginas”, explica o diretor. “Se essa máquina for só um servidor de página, ela não acessará um servidor de jogo”.

“Enquanto que um usuário de perfil residencial, por sua vez, poderá acessar filmes, jogos e conteúdos diversos enquanto navega. Mas ele não proverá páginas”, completa Kurt.

Nesse caso, temos dois perfis distintos, classificados por critérios diferentes. Há também perfis de IP de uso corporativo em contraposição ao de uso residencial, bem como perfis de IP individual, de servidor DNS, entre outros.

A importância de conhecer a rede e de saber como IPs estão alocados

Saber quais os IPs em uso e para qual perfil de uso eles estão alocados é fundamental não só para ter mais conhecimento sobre a rede, mas também para lidar com ações maliciosas, principalmente contra ataques DDoS.

No caso do DDoS Defense da UPX, que faz a mitigação de ataques DDoS, é feita a duplicação do tráfego do cliente e a análise dos pacotes um a um. “Se durante a análise ocorre a detecção de que o perfil do tráfego não está dentro do esperado, os filtros de mitigação começam a atuar para separar o tráfego sujo do limpo”, explica Kurt. “Porém, eles não ficam o tempo todo mitigando porque isso gera efeitos na rede, como uma latência maior”.

Sendo assim, a solução só aplica os filtros na hora que o tráfego realmente sai do padrão. Sem a identificação do perfil da rede e da alocação correta dos IPs, a mitigação pode perder eficiência.

“Se não soubermos qual é o perfil do IP, ou seja, se é um servidor de página, um servidor DNS, um concentrador NAT etc. as regras de detecção serão mais genéricas para ele”, pontua o diretor. “Quanto mais bem especificado é o perfil de uso do IP, mais rápida é a detecção e melhor é a filtragem”.

Um servidor de página, por exemplo, apenas terá tráfego relacionado ao seu tipo. Caso haja tráfego de jogo ou de streaming de vídeo, isso pode ser cortado. “Para que perderei tempo analisando pacote por pacote de um vídeo?”, questiona Kurt.

Ele explica que, teoricamente, uma câmera de vigilância, por exemplo, é muito usada para ataques. Os cibercriminosos atacam câmeras de vigilância DVRs e mandam o seu tráfego para os servidores. Sabendo que o servidor é de página, não é necessário analisar pacote por pacote de dados para ver se se trata de tráfego lícito ou ilícito.

“Se soubermos que o destino do nosso cliente é um servidor de página, não analisaremos o conteúdo de pacotes de outros protocolos”, enfatiza Kurt. “Descartamos ele de forma mais eficiente e mais rápida e com menos efeito colateral para o cliente”.

Em suma, além de proporcionar maior controle sobre a rede, quando todos os IPs estão mapeados corretamente, a mitigação dos ataques DDoS também é mais efetiva. Isso porque a identificação do IP e a forma que ele é utilizado, na hora em que está sendo atacado, auxilia no bloqueio mais rápido da ação.

Categorias de prefixos de IP

Adiante, separamos algumas categorias de perfil de IP. Confira!

Servidor DNS

“Geralmente, nosso cliente tem, pelo menos, um servidor DNS para atender os seus clientes e o seu domínio”, comenta Kurt. “Mas não é preciso ter, para todo range de IP, servidor DNS rodando — o que costuma ser uma fonte de ataque de amplificação de DNS muito grande”.

“Se sabemos que o nosso cliente só tem servidor DNS para o perfil de IP a, b e c, o resto bloqueamos”, explica o diretor.

Dessa forma, não precisamos manter qualquer requisição de DNS a fim de se checar se é um ataque ou não e se pode passar pela rede.

UDP

Segundo o diretor de redes e operações da UPX, uma fonte de ataque significativa da Internet é UDP, a qual pode ser bloqueada. Mas há alguns contratempos.

“Se bloquear UDP, a pessoa navega na internet normalmente, mas alguns protocolos de vídeos param de funcionar como alguns jogos”, observa Kurt. “Nesse caso podem parar de funcionar também protocolos de resolução de nome (DNS)”, acrescenta.

Um usuário normal que navega na internet normalmente não usa UDP, pelo menos nem sempre diretamente. Uma exceção, em que é quase certo o uso de UDP, é quando ele faz uma videoconferência, então não se pode bloquear o IP nesse caso.

“Mas se você tem só um servidor de página que não vai fechar videoconferência com ninguém, que não terá UDP para nada ou, ao menos, para fora da rede, então podemos bloquear porque isso é um indicativo de tráfego anormal”, diz o diretor.

Seguindo essa mesma lógica, em um servidor web (que não utilize o protocolo quic) pode ter bloqueio UDP. Com isso, não é preciso mais mitigar qualquer ataque do protocolo UDP, uma vez que não terá UDP passando.

Concentrador NAT

Com a escassez de endereços IPv4, é muito comum o compartilhamento de IPs pelos Sistemas Autônomos (AS). Isso é o que o concentrador NAT faz”, explica Kurt. “Importante lembrar que, como em agosto acabaram os endereços IPv4 na América Latina, o compartilhamento de IPv4 está/será cada vez maior.”

Vários dos nossos clientes que trabalham com IP restrito na rede que vai para a Internet, na qual é preciso ter IP público, compartilham um único endereço de IP para vários clientes. O número pode variar em até 40 clientes usando o mesmo IP compartilhado.

“Então você pensa: esse tráfego aqui é em torno de 40 pessoas usando, ao mesmo tempo, um IP. Diferente de um IP individual que tem outro perfil”, analisa Kurt. “Então, os volumes de tráfego são diferentes para cada um desses perfis”.

Cada um representa um tipo de perfil de IP, que terá um tipo diferente de tráfego anormal. Por isso, é importante que a empresa avise sobre esses perfis, apontando quando for um concentrador NAT, um servidor de página, um cliente corporativo ou um residencial etc. Sabendo disso, a equipe da UPX já deixa pré-ajustada a mitigação para os filtros serem bem mais eficientes e mais rápidos na detecção de ataques de acordo com cada tipo e volume de tráfego.

IP em desuso

É importante sempre atualizar os perfis de IPs, de modo que quando alguma alteração é feita, seja feita a atualização e especificação da mudança de determinado IP para tal perfil de uso. “A rede é uma coisa viva, está sempre em mudança”, observa Kurt.

Sendo assim, indique quando um IP cair em desuso e quando um IP saiu do bloqueio. “Aliás, colocar IP em desuso é importante porque, se um ataque DDoS estiver chegando, por exemplo, a solução da UPX não perderá tempo em filtrar e processar o tráfego desse IP, passando a focar somente no que está em uso”, explica o diretor. “O sistema não perderá tempo em analisá-lo e poderá tratar os pacotes direcionados aos outros IPs com mais velocidade durante os ataques DDoS”.

Outros perfis de IP

Existem outras categorias para identificar perfis de IP além das mencionadas, como:

• DNS resolvers;
• DNS autoritativo;
• servidores web;
• servidores diversos;
• clientes corporativos;
• clientes residenciais;
• roteadores de borda;
• roteadores internos;
• cache CDN.

A tecnologia a serviço do mapeamento de IPs

O DDoS Defense é uma solução anti DDoS eficiente, que previne interrupções de conexão, perda de desempenho e operações indisponíveis por períodos longos.

Além dos recursos convencionais, será lançada uma funcionalidade para os seus usuários no painel do DDoS Defense, a qual é apoiada no conhecimento e controle sobre a topologia da rede de cada cliente. Isso significa a possibilidade de identificar quais IPs estão em uso, desuso e onde eles estão alocados.

Além de proporcionar maior controle sobre a rede, quando todos os IPs estão mapeados corretamente, a mitigação dos ataques DDoS também é mais efetiva. Isso porque a identificação do IP e a forma com que é usado na hora que está sendo atacado auxilia no bloqueio mais rápido do ataque.

Ficou com alguma dúvida ou deseja conhecer mais sobre as nossas soluções de defesa contra ataques DDoS? Entre em contato com a nossa equipe para que possamos ajudar você!