[GTER] Uso de BGP FlowSpec

[Raniery Pontes]

Olá,

Julio Arruda escreveu:
> Estive lendo o artigo do GTER sobre o uso de FlowSpec na RNP 
> (interessante saber, sei ao menos 2 x Tier-1 usando isto tambem em N.A.)

> 1- Outros clientes J estao usando no .br ?

Na verdade gostaria de saber quem é esse outro provider. Até então 
estava achava que era só a RNP ;);)

> 2- Alguem usando para off-ramping para um scrubber farm/sink router ? 
> (nao vi sendo usado nos exemplos que presenciei, porem..)

Confesso minha ignorância: não entendi nada da frase acima ;) Mas não 
devemos fazer isso na RNP ;)

> 3- Pelo que entendo nao existe um mecanismo de 'protecao' contra um 
> flowspec dando tiro no proprio pe, exemplo, 'injetar' um flow rule que 
> dropa todo o trafego para loopback :-), portanto, a duvida seria, alguem 
> aqui ja teve problemas com isto em casos reais ?
> (o tier 1 tinha esta ideia, mas por que estavam pensando em mitigacoes 
> 'disparadas' por usuarios, nao pessoal proprio, por isto estava tentando 
> definir um feature request para 'previnir' isto)

Depende do que você chama de usuários. Seriam outros AS´s clientes 
mandando flowspecs ou anuncios BGP com communities especiais ? Ou seriam 
usuários "comuns" tipo pessoa física cadastrados em algum sistema com 
permissão pra fazer esse tipo de config ?

O esquema de flowspec tem um mecanismo de validação incorporado, baseado 
em quem faz o anúncio da flowspec. Mas se um usuário ou mesmo um membro 
do staff do provider tem acesso (direto ou indireto) a um router e pode 
configurar uma flow route, sempre vai haver a chance do tiro no pé. É o 
mesmo com várias outras configs em roteadores (ACLs me vem à cabeça).

ps: uma outra referencia bacana sobre flowspec foi uma apresentação 
feita na Nanog, envolvendo a TimeWarner Telecom (TWTC). Veja em :
http://www.nanog.org/mtg-0610/lozano.html
É uma implementação bem mais completa que a da RNP. Quem sabe a gente 
chega lá.

Raniery