[GTER] Duvidas à respeito de ataque de negação de serviço (DoS)

[Julio Arruda]

IPS/IDS pelo que sei nao e' usado sozinho para isto, por alguns pontos:

1- So pode detectar ataque 'naquele ponto' (onde ele ve o trafego), um 
DDoS pode vir por todo o peering edge, e gerar collateral damage ANTES 
do ponto onde esta o IDS/IPS. Exemplo, ataque de 2.5 Gbps que passa por 
um link de 1Gbps levando ao ponto de presenca onde voce se conecta ao 
upstream, o IDS/IPS neste ponto nao pode fazer muito..

2- IPS/IDS, pelo que sei, nao fazem deteccao baseada em network 
behaviour analysis, exemplo, se voce tem um aumento de trafego de 10 
vezes (http get flood), o IPS/IDS nao veria, a menos que corresponda a 
uma assinatura especifica.

"defesa por camadas' geralmente e' a abordagem para servicos de Clean 
Pipes em operadoras, usando netflow no peering edge para poder disparar 
mitigacao no peering edge como 'primeira linha de defesa', o segundo 
ponto monitorado com telemetria baseada em netflow geralmente e' o 
acesso, mas ai a escala comeca a crescer muito.

#include <disclaimer.h> -> Trabalho na Arbor..

Marcus Andree wrote:
> Me referia a um IPS/IDS sendo disponibilizado pela operadora, nao
> do lado do cliente.
> 
> Todos os contratos que dispomos com as operadoras
> prevem este tipo de salvaguarda.
> 
> On 5/27/08, Antonio Carlos Pina <antoniocarlospina at gmail.com> wrote:
>> O IPS/IDS nada ajudam quando o ataque é maior que a capacidade total do
>> link.
>> Blackhole é a solução realmente.
>>
>>
>>
>> 2008/5/27 Marcus Andree <marcusandree at gmail.com>:
>>
>>> Me parece que os problemas de seguranca sejam melhor tratados
>>> com um software de seguranca (IPS/IDS), nao com roteamento...
>>>
>>> <snip>
>>>
>>>> O que vocês, com ampla experiencia pensam a respeito dessa solução? É
>>>> viável? Existem outras saídas?