[GTER] O lado negro do eBGP multi-hop
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Tue Jul 17 12:39:22 -03 2012
On 16-07-2012 18:26, Eduardo Schoedler wrote:
> Em 16 de julho de 2012 17:45, Henrique de Moraes Holschuh<
> henrique.holschuh at ima.sp.gov.br> escreveu:
>
>> 0. Considere se o risco de uma sessão eBGP extra atravessando meia
>> Internet (ainda por cima sem MD5), e a perda da filtragem de
>> bogons caso a sessão caia, é aceitável.
>
> Possuo MD5 nas minhas sessões, basta solicitar :-).
Muito bom :-) DDoS no BGP é mais fácil de lidar que hijack de sessão, é
menos perigoso (não permite invadir roteador), e bem mais previsível.
> O que falar dos túneis IPv6 da HE então?
É por essa e por outras que o recomendado é usar algo equivalente a
IPSEC com AH (e ESP quando possível) completamente acelerado em hardware
para esse tipo de coisa... Tem inclusive NIC de servidor que faz, mas
convencer o Linux/FreeBSD a usar essa aceleração é o "detalhe".
Felizmente não é uma classe de ataque que está na moda, então a menos
que você acabe por servir de laranja/bucha-de-canhão/azarado-no-lugar-
e-hora-errada para uma organização poderosa atacar outra...
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the gter
mailing list