Diferenças

Aqui você vê as diferenças entre duas revisões dessa página.

--- start [2022/08/31 11:52] – bernardino
+++ start [2025/03/16 11:41] (atual) – bernardino
@@ Linha 1: / Linha 1: @@
-====== Redes TI - SOC - Security Operations Center ======
+====== Security Operations Center ======
@@ Linha 5: / Linha 5: @@
 ====== Resposta de Incidentes ======
+====== mDNS - Multicast DNS (5353/udp) ======
-====== O que é DHCPDISCOVER (37810/udp) ======
+O mDNS é um protocolo DNS Multicast. Um “multicast” repassa a mesma mensagem para vários pontos em uma rede.
+O mDNS é um método para descoberta de vizinhos de uma rede, indicado para redes pequenas sem servidores DNS próprios.
+===== Notificação =====
+Caro responsável,
+Os IPs presentes no log abaixo são de servidores sob sua responsabilidade com o serviço mDNS - Multicast DNS (5353/udp) habilitado.
+Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da sua rede e impactando terceiros.
+Lembramos que os endereços IP listados também podem ser dispositivos de rede com o serviço mDNS habilitado, como roteadores, CPEs (modem ou roteador de uso doméstico instalado nos clientes), impressoras, dispositivos para streaming de mídia, entre outros.
+Gostaríamos de solicitar que:
+ * O serviço mDNS seja acessível apenas à sua rede local, ou que desabilite o serviço no equipamento, caso nao esteja em uso.
+Uma descrição do problema e possíveis soluções podem ser encontradas no final deste documento.
+Se você não for a pessoa correta para corrigir o problema destes equipamentos com o serviço mDNS habilitado, por favor repasse essa mensagem para alguém de sua organização que possa fazê-lo.
+O indicador no campo 'Resultados do Teste' indica o tipo de problema testado e significa:
+ * mdns: status/pacotes/bytes, onde status é "open", e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes;
+|Endereco IP      | Status | Data do Teste        | Resultados do Teste|
+|000.000.000.000  | OPEN   | 2030-01-01T23:59:00Z | mdns: open/1/78|
+Mais detalhes sobre o porque do envio desta mensagem, quem é o CERT.br e como resolver este problema estao listados abaixo.
+Cordialmente,
+===== O que é o serviço mDNS (5353/udp)? =====
+O mDNS (Multicast DNS) é um protocolo de rede utilizado para a resolução de nomes em redes locais que não possuem um servidor DNS próprio. Por se tratar de um serviço utilizado apenas dentro de redes locais, não é necessário que o serviço mDNS esteja exposto à Internet.
+Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com mDNS retorna uma resposta muito maior que a requisição.
+==== Por que devo me preocupar com isso? ====
+O serviço mDNS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações, além de implicar em um consumo de banda maior.
+Informações adicionais sobre como evitar que sua rede seja abusada para este e outros ataques DDoS podem ser econtradas aqui:
+https://cert.br/docs/whitepapers/ddos/
+==== Como faço para corrigir o problema? ====
+Se o serviço mDNS não for utilizado na sua rede desabilite o serviço no seu dispositivo. Se o recurso for necessário em sua rede, configure-o de modo que esteja disponível apenas para a rede local.
+==== Onde posso obter informações adicionais sobre o abuso do protocolomDNS para ataques DDoS? ====
+- UDP-Based Amplification Attacks: https://www.us-cert.gov/ncas/alerts/TA14-017A
+==== Como o CERT.br sabe que este é um dispositivo vulnerável? ====
+O CERT.br está recebendo notificações com listas de dispositivos que usam mDNS que possivelmente estão sendo abusados e utilizados em ataques distribuídos de negação de servidos (DDoS). O CERT.br está notificando os responsáveis pelos dispositivos brasileiros presentes nestas listas.
+==== Como posso ter certeza que resolvi o problema? ====
+Você pode verificar seu dispositivo através do seguinte comando:
+(preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao dispositivo).
+$ dig @ENDERECO_IP -p 5353 ptr _services._dns-sd._udp.local
+Onde ENDERECO_IP é o IP do dispositivo usando mDNS a ser testado.
+Antes de executar o comando acima certifique-se que você tem a ferramenta dig instalada em seu computador.
+==== Onde aprender mais sobre configuração segura de sistemas? ====
+- Práticas de Segurança para Administradores de Redes Internet: https://cert.br/docs/seg-adm-redes/
+====== DHCPDISCOVER (37810/udp) ======
 DHCPDISCOVER: serve para encontrar quais servidores DHCP estão disponíveis. DHCPOFFER: uma resposta do servidor para os pacotes DHCPDISCOVER que têm os primeiros parâmetros da conexão. DHCPREQUEST: pedidos dos clientes para prolongar o tempo de aluguel do endereço IP.
@@ Linha 32: / Linha 108: @@
  * dvr-dhcpdiscover: status/pacotes/bytes, onde status é "open", e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes
-Endereco IP      | Status | Data do Teste        | Resultados                   | Detalhes
+|Endereco IP      | Status | Data do Teste        | Resultados                   | Detalhes|
-.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/719 | Intelbras MHDX 1116
+|0.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/719 | Intelbras MHDX 1116|
-.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/709 | Intelbras MHDX 1116
+|0.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/709 | Intelbras MHDX 1116|
-.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/790 | Intelbras HDCVI 1016 - Geração 2
+|0.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/790 | Intelbras HDCVI 1016 - Geração 2|
 Mais detalhes sobre o porque do envio desta mensagem, quem é o CERT.br e como resolver este problema estão listados abaixo.