RegPEX Kötüye Kullanım Önleme Politikası (Anti-Abuse)
1. Amaç
Bu politika, RegPEX altyapısının kötüye kullanımını önlemeye, tespit etmeye ve müdahale etmeye yönelik kuralları ve prosedürleri tanımlar. Tüm RegPEX üyeleri bu politikaya uymakla yükümlüdür.
2. Kötüye Kullanım Tanımları
2.1 Ağ Tabanlı Kötüye Kullanım
| Tür | Açıklama | Ciddiyet |
|---|---|---|
| DDoS Saldırısı | RegPEX altyapısı veya üyeler üzerinden DDoS başlatma/yönlendirme | Kritik |
| BGP Hijacking | Sahip olunmayan prefix'lerin kasıtlı duyurulması | Kritik |
| BGP Route Leak | Transit rotaların RegPEX üzerinden sızdırılması | Yüksek |
| IP Spoofing | Kaynak IP adresi sahteciliği | Yüksek |
| ARP/NDP Spoofing | Layer 2 adres zehirlemesi | Yüksek |
| MAC Flooding | İzinsiz çoklu MAC adresi kullanımı | Orta |
| Broadcast Storm | Aşırı broadcast/multicast trafik | Orta |
| Port Tarama | Peering VLAN üzerinde yetkisiz tarama | Orta |
| Spam Relay | Spam trafiğinin IX üzerinden iletilmesi | Orta |
2.2 Operasyonel Kötüye Kullanım
| Tür | Açıklama | Ciddiyet |
|---|---|---|
| Yanlış Bilgi | Üyelik başvurusunda yanıltıcı bilgi | Yüksek |
| Yetkisiz Erişim | Diğer üyelerin sistemlerine erişim denemesi | Kritik |
| Politika İhlali | RegPEX politikalarının kasıtlı ihlali | Orta-Yüksek |
| Ödeme Kaçınma | Ücret yükümlülüklerinden sürekli kaçınma | Orta |
3. Tespit Mekanizmaları
3.1 Otomatik Tespit
RegPEX aşağıdaki otomatik tespit mekanizmalarını işletir:
- sFlow/NetFlow Analizi: Anormal trafik kalıplarının tespiti
- BGP Monitör: Route server üzerinden duyurulan rotaların RPKI ve IRRDB ile sürekli doğrulanması
- ARP İzleme: MAC adresi değişikliklerinin ve ARP anomalilerinin tespiti
- Trafik Anomali Tespiti: Ani trafik artışları, alışılmadık protokol dağılımları
- Max-Prefix Alarm: Prefix sayısı eşik aşımı bildirimi
3.2 Manuel Tespit
- Üye bildirimleri (abuse@regpex.net)
- NOC ekibinin periyodik gözden geçirmeleri
- Dış kaynaklardan gelen bildirimler (CERT, ISP'ler, diğer IX'ler)
4. Müdahale Prosedürleri
4.1 Müdahale Seviyeleri
Seviye 1 (Bilgilendirme)
├─ Üye NOC'a bildirim
├─ Düzeltme için 24 saat süre
└─ Uygulama: Uyarı kaydı
Seviye 2 (Kısıtlama)
├─ Trafik hız sınırlaması (rate limiting)
├─ Belirli prefix'lerin filtrelenmesi
└─ Düzeltme için 4 saat süre
Seviye 3 (Askıya Alma)
├─ Port'un geçici olarak devre dışı bırakılması
├─ Üyenin route server oturumlarının kapatılması
└─ Sorun çözülene kadar askıda kalır
Seviye 4 (Üyelik Feshi)
├─ Kalıcı port kapatma
├─ Üyelik sözleşmesinin feshi
└─ PeeringDB kaydının güncellenmesi
4.2 Acil Müdahale
Aşağıdaki durumlarda RegPEX önceden bildirimde bulunmaksızın müdahale hakkını saklı tutar:
- Aktif DDoS saldırısı
- BGP hijacking (başkalarının prefix'lerini duyurma)
- RegPEX altyapısının bütünlüğünü tehdit eden herhangi bir saldırı
- Diğer üyelerin hizmetlerini ciddi şekilde etkileyen durumlar
Acil müdahale sonrasında en kısa sürede üyeye bilgilendirme yapılır.
4.3 Müdahale Zaman Çizelgesi
| Ciddiyet | İlk Yanıt | Müdahale | Çözüm |
|---|---|---|---|
| Kritik | 5 dakika | 15 dakika | Derhal |
| Yüksek | 15 dakika | 1 saat | 4 saat |
| Orta | 1 saat | 4 saat | 24 saat |
5. Üye Yükümlülükleri
5.1 Önleyici Tedbirler
Tüm üyeler aşağıdaki önleyici tedbirleri uygulamakla yükümlüdür:
- BCP38/BCP84: Kaynak adres doğrulama (uRPF veya ACL)
- RPKI: ROA kayıtlarının oluşturulması ve bakımı
- IRRDB: Route nesnelerinin güncel tutulması
- Max-prefix: BGP oturumlarında prefix limit tanımlama
- Bogon filtreleme: Geçersiz prefix'lerin filtrelenmesi
5.2 Olay Bildirimi
- Üyeler, kendi ağlarından kaynaklanan abuse durumlarını derhal RegPEX NOC'a bildirmelidir.
- Üçüncü taraflardan gelen abuse şikayetlerine makul sürede yanıt verilmelidir.
- İşbirliği yapılmaması, müdahale seviyesinin yükseltilmesine neden olabilir.
6. MANRS Uyumluluk
RegPEX, MANRS (Mutually Agreed Norms for Routing Security) IXP Programı'na uyumludur ve üyelerinden aşağıdaki MANRS eylemlerini benimsemesini bekler:
- Filtering: Yanlış rotalama bilgisinin yayılmasını önleme
- Anti-spoofing: Kaynak adres doğrulama
- Coordination: Güvenlik olaylarında koordinasyon
- Global Validation: RPKI ve IRRDB doğrulaması
7. Raporlama
7.1 Abuse Bildirimi
- E-posta: abuse@regpex.net
- Acil durum: noc@regpex.net / +90 XXX XXX XX XX
7.2 Bildirim İçeriği
Etkili bir abuse bildirimi aşağıdaki bilgileri içermelidir:
- Olay tarihi ve saati (UTC zaman dilimi)
- Kaynak ve hedef IP adresleri
- Saldırı/abuse türü
- Log veya paket yakalama örnekleri
- Etki analizi
8. Kayıt ve Raporlama
- Tüm abuse olayları kayıt altına alınır.
- Üye bazlı abuse geçmişi tutulur.
- Çeyreklik abuse istatistik raporu yayınlanır (anonim).
- Ciddi olaylarda post-mortem raporu hazırlanır.