O que é Border Gateway Protocol (BGP) Firewall? Guia para iniciantes

O que é Border Gateway Protocol (BGP)?

Antes de começarmos, queremos deixar claro que BGP e BGP Firewall são duas “coisas” diferentes. Todos os roteadores “falam” a linguagem Border Gateway Protocol (BGP), que é um protocolo, ou um conjunto de regras, de roteamento que capacita os sistemas autônomos (resumidamente, redes que têm seus próprios espaços de endereço IP) para a troca de informações de acessibilidade entre eles de uma maneira padronizada. Isso cria uma linguagem comum e permite que a Internet funcione com eficiência.

O que é Border Gateway Protocol Firewall?

Basicamente, é uma medida de proteção para tornar o roteamento o mais seguro possível e evitar conexões a espaços malignos. O BGP Firewall contém feeds, ou comunidades, que listam endereços IP maliciosos, permitindo que você bloqueie conexões na borda da rede em tempo real.

Quando mencionamos IPs maliciosos, estamos nos referindo a servidores de comando e controle (CCs) de botnet dedicados, botnet CCs hospedados em dispositivos comprometidos ou um espaço de IP que foi sequestrado ou arrendado por cibercriminosos. Esses IPs são usados para enviar spam, hospedar sites infectados por malware, distribuir e-mails de phishing e lançar ataques DDoS contra outras redes.

Ao bloquear essas conexões, você impede que dispositivos já infectados na sua rede se comuniquem com o botnet CC associado e evita que mais dispositivos sejam infectados. Isso também bloqueia campanhas de spam, perda de dados e criptografia por ransomware.

O BGPF é uma solução excepcionalmente econômica e eficaz que protege sua rede do que há de pior utilizando sua infraestrutura já existente. Você pode emparelhá-lo com a tabela DENY do seu roteador ou com seu firewall tradicional, como o CISCO.

Como funciona o BGP Firewall?

Para entendermos como o BGP Firewall funciona, precisamos recapitular alguns fundamentos de como funcionam as operações de rede e roteamento da Internet. Observe que, sendo este um guia para iniciantes, daremos uma explicação bastante simplificada. Ainda assim, pode ser uma leitura interessante para aqueles que são mais técnicos e que estão familiarizados com o assunto.

Para um dispositivo se conectar com a Internet, seja para acessar um site ou, nesse caso, se conectar a um servidor de botnet CC, o dispositivo deve ter o IP de destino. Com esse IP…

Quando o BGPF não é utilizado, o pacote que contém o IP malicioso continua a ser roteado ao servidor web do destino, estabelecendo-se, assim, uma conexão ao dispositivo. Desse modo, o dispositivo agora corre o risco de ter seus dados exfiltrados pelo malware e de receber tarefas dos agentes de ameaças, como as mencionadas acima.

Observe que, nessa explicação, nós nos concentramos no tráfego que sai da rede em direção aos servidores de botnet CC. É importante mencionar aqui que, obviamente, a conexão é bloqueada nas duas direções. Mas, normalmente, é o dispositivo infectado que inicia a conexão (“fazendo a chamada”) a partir do perímetro do usuário.

Como o usuário é notificado de que a conexão foi interrompida?

Em geral, o usuário não é notificado no nível do BGP, o que não é algo necessariamente negativo. Pode ser que uma página de erro seja exibida; porém, essas páginas não costumam estar configuradas, especialmente quando o roteador é gerenciado por um ISP.

Isso não é um problema, ainda mais quando se trata de tentativas de conexão a um controlador de botnet, porque o usuário não tem nenhum conhecimento de que houve uma tentativa de conexão.

O malware tenta se conectar automaticamente ao botnet CC sem o conhecimento do usuário. Assim, quando o tempo de conexão se esgota e nenhuma página de erro é retornada, esse é o padrão de comportamento que o usuário esperaria receber: nenhum aviso. Portanto, sem problemas.

Já para o proprietário da rede, a história é outra. Essa informação tem seu valor para que uma investigação mais aprofundada possa ser realizada, assim como o monitoramento do valor da solução. Por isso, o registro em log do BGP deve ser configurado para saber qual tráfego foi bloqueado. Outra possibilidade é configurar os BGP Feeds através do seu firewall tradicional, como Cisco ou Fortinet, que também registrará o que foi bloqueado.

Os benefícios de proteger a borda da sua rede

Considerando que os usuários não desempenham nenhum papel ativo nessa jornada, o risco de desapontá-los é imensamente reduzido. O mesmo se dá com o risco de falsos positivos: com o BGP Firewall da Spamhaus, os dados são fornecidos com a confiança absoluta de que os IPs listados são, de fato, maliciosos. Mais detalhes estão disponíveis aqui.

Quais comunidades a Spamhaus mantém para bloquear o tráfego malicioso?

Nós temos quatro comunidades que protegem nossos usuários em tempo real contra os agentes de ameaças mais maliciosos. Para oferecer uma proteção ainda maior, a Lista de controladores de botnet (BCL) da Spamhaus inclui contribuições do nosso parceiro de dados abuse.ch.

Uma plataforma do abuse.ch, o Feodo Tracker, rastreia e valida infraestruturas de botnet CC conectadas às principais ameaças de malware. Ele fornece dados confiáveis, validados comparativamente com a infraestrutura de botnet CC usada por malwares do tipo Emotet e Qakbot — um recurso valioso para garantir sua proteção.

As quatro comunidades BGP Firewall que operamos:

• Don’t Route Or Peer (DROP) — esta é uma lista para “interromper todo o tráfego”, que inclui os piores espaços de IP que foram sequestrados ou arrendados por cibercriminosos. Os netblocks listados aqui são alocados diretamente por registradores da Internet já estabelecidos, por exemplo, o Regional Internet Registry (RIR)
• Extended Don’t Route Or Peer (EDROP) — uma extensão do dataset DROP que inclui netblocks subalocados.
• Lista de controladores de botnet (BCL) — Hosts dedicados — endereços IP usados para hospedar um servidor de botnet CC que controla dispositivos infectados. Essa lista inclui apenas endereços IP individuais (/32) operados com más intenções, ou seja, operados por cibercriminosos com o propósito único de hospedar um botnet CC.
• Lista de controladores de botnet (BCL) — Hosts comprometidos — endereços IP de botnet CCs hospedados em dispositivos comprometidos; por exemplo, um agente de ameaça que usa indevidamente o dispositivo de um usuário legítimo para hospedar um botnet CC. Essa é a nossa mais nova comunidade, e você pode encontrar mais detalhes sobre ela aqui.

Os usuários que consomem esses dados via Spamhaus têm acesso a suporte técnico, um serviço robusto e resoluções rápidas de possíveis falsos positivos que sejam observados.

Obtenha proteção gratuita por 30 dias

Se tiver interesse em ver como esses dados se comportam no seu ambiente de rede, você pode fazer uma avaliação gratuita dos dados por 30 dias aqui. Não são necessários detalhes de pagamento. Assim que tudo estiver configurado, você receberá acesso imediato à proteção contra o que há de pior.

O melhor amigo do BGP Firewall é o DNS Firewall

Como diz a trilha sonora de Toy Story: “Amigo, estou aqui”.

Não seria justo falar do BGP sem mencionar o DNS Firewall, pois eles se complementam com perfeição para oferecer a mais abrangente proteção de rede.

Já o BGPF está apenas no nível do roteador e só pode processar IPs, essencial para bloquear agentes de ameaças que contam totalmente com a comunicação direta ao IP, como o Emotet, Qakbot e Dridex. Sem usar um nome de domínio para a comunicação com o botnet CC, a única maneira de interromper essas conexões e se proteger contra elas está no nível do roteador. Esse modus operandi os ajuda a escapar da detecção.

Por outro lado, outros agentes de ameaças usam nomes de domínio para comando e controle de botnet. Com isso, eles ficam mais propensos a serem detectados. Entretanto, se forem detectados e o provedor de hospedagem desativar o servidor com o endereço IP correspondente ao domínio, o agente de ameaça pode simplesmente mudar para um novo provedor de hospedagem. Eles criam um novo servidor, apontam seus nomes de domínio de botnet CC para o servidor e pronto, estão de volta ao jogo.

É nesse ponto que o DNS Firewall entra em ação. No nível de DNS, diferentemente do que acontece no nível do roteador, as conexões são realizadas após a consulta dos nomes de domínio. Isso também quer dizer que, se um nome de domínio for usado, as conexões maliciosas podem ser bloqueadas antes que se estabeleçam no nível de IP. Portanto, o DNS Firewall oferece proteção adicional contra botnet CCs que usam nomes de domínio e, ao mesmo tempo, bloqueia as conexões contra phishing, malware, adware e criptomineração.

O BGP em poucas palavras

Esse é o nosso guia rápido para iniciantes do BGP Firewall. Esperamos que o material tenha trazido um pouco de clareza ao assunto, mas se você tiver dúvidas, teremos prazer em ajudar! Entre em contato conosco usando nossos canais sociais (Twitter e LinkedIn) e responderemos às suas perguntas.

Fiquem bem e protejam-se!