[GTER] O lado negro do eBGP multi-hop

Henrique de Moraes Holschuh henrique.holschuh at ima.sp.gov.br
Tue Jul 17 12:39:22 -03 2012


On 16-07-2012 18:26, Eduardo Schoedler wrote:
> Em 16 de julho de 2012 17:45, Henrique de Moraes Holschuh<
> henrique.holschuh at ima.sp.gov.br>  escreveu:
>
>> 0. Considere se o risco de uma sessão eBGP extra atravessando meia
>>  Internet (ainda por cima sem MD5), e a perda da filtragem de
>> bogons caso a sessão caia, é aceitável.
>
> Possuo MD5 nas minhas sessões, basta solicitar :-).

Muito bom :-)  DDoS no BGP é mais fácil de lidar que hijack de sessão, é
menos perigoso (não permite invadir roteador), e bem mais previsível.

> O que falar dos túneis IPv6 da HE então?

É por essa e por outras que o recomendado é usar algo equivalente a
IPSEC com AH (e ESP quando possível) completamente acelerado em hardware
para esse tipo de coisa...  Tem inclusive NIC de servidor que faz, mas
convencer o Linux/FreeBSD a usar essa aceleração é o "detalhe".

Felizmente não é uma classe de ataque que está na moda, então a menos
que você acabe por servir de laranja/bucha-de-canhão/azarado-no-lugar-
e-hora-errada para uma organização poderosa atacar outra...

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.



More information about the gter mailing list