Grupos de Trabalho - Documento GT-ER

Considerações de Segurança em Redes de Cabo Nível 2 para Tráfego IP
(Layer 2 Data Over Cable)


Comitê Gestor da Internet no Brasil
Grupo de Trabalho de Engenharia e Operação de Redes

Marcelo Luiz da Costa Ferreira
Canbras TVA Cabo
Canbras Acesso
Faculdade de Engenharia Industrial - FEI

Objetivo deste documento

Este documento é um informativo para a comunidade da Internet do Brasil que pretende oferecer noções gerais de segurança no ambiente CMTS/CableModem. A distribuição deste documento é ilimitada

Definições

Layer 2 Data Over Cable ( IP Traffic )

O meio físico normalmente é constituído por uma rede HFC ( Hybrid Fiber Coax ), CMTS e Cable Modem, onde ambos os equipamentos, CMTS e Cable Modem, operam como bridge e não ocorre roteamento ( Layer 3).

Diagrama

Todo o tráfego é encaminhado, de acordo com o DOCSIS, de uma interface para outra. O fluxo de dados passa pelo CMTS ao menos 1 vez, ou seja, não existe tráfego direto entre cable modems.

Sumário

1. Introdução ( Cable Modem Registration Process )
2. Implementando segurança
          2.1. Ambientes "IP Puro"
          2.2. Ambientes "tunelados"
3.Finalização

1. Introdução

Ao ser ligado, o cable modem executa o processo de iniciação (boot): executa o "post (power-on self test)", procura por uma freqüência (canal) de downstream, após identificá-la, busca por uma freqüência (canal) de  upstream, seguindo o processo de registro no CMTS e provisioning, é neste momento que o cable modem recebe, por DHCP, um endereço IP privado (RFC 1597) no mesmo segmento do CMTS, o nome do arquivo de configuração (config file) que deverá buscar no servidor TFTP informado, também pelo servidor DHCP.  O arquivo de configuração (config file) contém informações de controle de tráfego, QoS, CoS, LoS, filtros, CIR, freqüências, segurança, etc. Após verificado a validade deste arquivo, o cable modem entra em estado operacional e opcionalmente obtém data/hora de um servidor TOD informado pelo servidor DHCP.

2. Implementando segurança

A segurança é implementada adicionando-se regras aos filtros DOCSIS tanto nos cable modems quanto aos CMTSs. Os filtros são  inseridos no arquivo de configuração (config file) através de utilitários como o LcN ou CPS200 que geram o arquivo binário (md5 config file) que é transferido para o cable modem no processo de iniciação.

Os filtros podem ser configurados para agirem nas 2 interfaces, RF (cable) e ethernet, e em tráfego de entrada (inbound) e saída (outbound). A melhor opção é bloquear o tráfego indesejado antes de entrar na rede protegida, ou seja, na interface ethernet do cable modem.

2.1.    Ambientes "IP puro"

Em um ambiente IP puro onde não existe túnel entre o CPE (micro assinante) e o roteador/agregador, deve-se tentar bloquear o máximo possível os serviços inseguros ou indesejáveis como ARP, IPX, AppleTalk, Netbios over TCP/IP, que é uma tarefa relativamente simples, bastando "negar" pacotes com ethertype 0x0806 (ARP), 0x8137 (IPX), 0x809B (AppleTalk), portas origem/destino 137, 138 e 139 (NetBios over TCP/IP). Neste ambiente, o filtro torna-se complexo, com muitas regras, tornando o gerenciamento difícil, de constante manutenção, já que pode-se criar um servidor em qualquer uma das 65535 portas disponíveis.

Diagrama

Como pode-se observar no diagrama acima, o filtro torna-se inútil caso o assinante acesse um servidor em porta (serviço) não padrão.

2.2.    Ambientes "Tunelados"

Em um ambiente "tunelado", ou seja, onde existe um túnel entre o CPE e o roteador/ agregador, a implementação da segurança na rede de cabos é mais simples, bastando apenas bloquear todo o tráfego que não pertence ao túnel, que não possui o ethertype do protocolo do túnel.

Tomamos como exemplo o PPPoE (Point to Point Protocol Over Ethernet) como protocolo que irá "criar" o túnel entre o CPE e o roteador/agregador. Este protocolo possui 2 ethertypes, 0x8863 (Discovery Fase) e 0x8864 (PPP Session Stage), conforme a RFC 2516.

Com apenas 2 regras,  uma regra liberando cada ethertype e negando o resto como padrão, a segurança na rede de cabos está praticamente garantida e livre de trafégo de dados indesejado.

Diagrama

3. Finalização

Deve-se planejar muito bem os filtros, fazer amostragens periódicas com sniffer no segmento da rede de cabos e, caso seja necessário, refazer as regras dos filtros.

Sempre lembrando que existem 2 tipos de assinantes: os leigos que não tem conhecimento técnico para proteger-se e assinantes que possuem conhecimento técnico tanto para proteger-se quanto para causar danos ao sistema.