[GTER] Team-Cymru - BOGONS via BGP (Eduardo Schoedler)

Henrique de Moraes Holschuh henrique.holschuh at ima.sp.gov.br
Thu Jul 19 10:45:30 -03 2012


On 17-07-2012 17:46, Francisco Neto wrote:
> Minhas sessões com o Team Cymru tem sim md5 key.

Ótimo!  Na verdade, confundi o Cymru com um outro projeto que usa eBGP e
que não disponibilizava MD5 da última vez que falei com eles...  MD5
pode até facilitar DDoS (e se você fez seu serviço direito na hora de
proteger o roteador, só faz diferença em DDoS com pacote com a origem
forjada para ser igual aos pacotes válidos), mas torna quase impossível
o session hijack (que tem o potencial de ser *muito* pior que um DDoS).

> Também creio que, a manutenção de uma lista estática não seja legal,
> digo por não ser tão eficiente assim. O próprio team cymru avisa que
> fullbogons tem um fluxo de atualização...
>
> Outro detalhe, sim.. prefixos SÃO INCLUÍDOS SIM na fullbogons
> (Changes in version 7.0 (27 April 2012))

Obrigado pela correção.  Realmente, apesar de raro, existem inclusões.

De qualquer forma, isso se resolve com uma atualização manual de vez em
quando dos "filtros de paranoia" que garantem a sanidade do que for
recebido da Cymru, e é fail-safe.

Note que isso é atualização manual de filtro *para o feed eBGP*, ou
seja, remoções de ranges ainda acontecem imediatamente via withdraw do
prefixo na sessão eBGP.  Só inclusão de ranges novas é que seriam
ignoradas devido a um filtro desatualizado.

Se não usa sessão eBGP, e sim um injetor no iBGP ou configuração
estática dentro do roteador de borda, realmente precisa atualizar os
filtros ou a tabela do injetor constantemente e com uma frequência bem
razoável (no pior dos casos, uma vez por semana).

> - 100.64.0.0/10 reserved for Shared Address Space in RFC 6598, added
> to bogon lists.
>
> Ou seja, pode sim entrar... ou sair um prefixo da FullBogons.

A única que tem que ser aplicada rapidamente é a saída de ranges da
lista de bogons (remoção completa ou parcial de um prefixo que já estava
na lista de bogons).

Não há grandes problemas em demorar na inclusão de ranges novas no seu
cenário, ou você não poderia estar usando a feed eBGP da Cymru
diretamente no roteador de borda ou no route-reflector para começo de
história.  Com feed direta, se a sessão eBGP cai, TODOS os bogons que
dependem daquela sessão deixam de ser filtrados... quem não pode deixar
de filtrar bogon em momento algum, precisa usar alguma solução que não
esqueça todos os bogons quando a sessão eBGP cai (e pode até ser baseada
em feed eBGP para ter o withdraw rápido, mas a retenção dos prefixos
aprendidos tem que ser completamente diferente).

> É algo simples... e creio também ser melhor que venhamos a indicar
> para nossos clientes que também sejam AS e estejam em nosso as-path
> que venham a ter suas próprias sessões com o Team Cymru

Esse tipo de coisa tem que ser interno de cada AS mesmo.  Mas supondo
que o cliente é single-homed, e que você, o único upstream dele,
implementa direito toda a filtragem de borda (ingres e egress em toda a
borda, não só no trânsito), basta que você filtre os bogons.

Afinal de contas, você não deveria aceitar nenhum tráfego de cliente com
origem diferente dos prefixos daquele cliente, nem enviar nenhum tráfego
para cliente com destino diferente dos prefixos dele.  E filtrar todos
os prefixos recebidos do cliente.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.



More information about the gter mailing list