[GTER] Team-Cymru - BOGONS via BGP (Eduardo Schoedler)

Thu Jul 19 14:43:46 -03 2012

Além de só aceitar ASPATH previamente combinado com o cliente. E que, de
preferência seja conferido a propriedade em uma consulta WHOIS.

Gustavo Santos
Analista de Redes
CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER

Em 19 de julho de 2012 10:45, Henrique de Moraes Holschuh <
henrique.holschuh at ima.sp.gov.br> escreveu:

> On 17-07-2012 17:46, Francisco Neto wrote:
>
>> Minhas sessões com o Team Cymru tem sim md5 key.
>>
>
> Ótimo!  Na verdade, confundi o Cymru com um outro projeto que usa eBGP e
> que não disponibilizava MD5 da última vez que falei com eles...  MD5
> pode até facilitar DDoS (e se você fez seu serviço direito na hora de
> proteger o roteador, só faz diferença em DDoS com pacote com a origem
> forjada para ser igual aos pacotes válidos), mas torna quase impossível
> o session hijack (que tem o potencial de ser *muito* pior que um DDoS).
>
>
>  Também creio que, a manutenção de uma lista estática não seja legal,
>> digo por não ser tão eficiente assim. O próprio team cymru avisa que
>> fullbogons tem um fluxo de atualização...
>>
>> Outro detalhe, sim.. prefixos SÃO INCLUÍDOS SIM na fullbogons
>> (Changes in version 7.0 (27 April 2012))
>>
>
> Obrigado pela correção.  Realmente, apesar de raro, existem inclusões.
>
> De qualquer forma, isso se resolve com uma atualização manual de vez em
> quando dos "filtros de paranoia" que garantem a sanidade do que for
> recebido da Cymru, e é fail-safe.
>
> Note que isso é atualização manual de filtro *para o feed eBGP*, ou
> seja, remoções de ranges ainda acontecem imediatamente via withdraw do
> prefixo na sessão eBGP.  Só inclusão de ranges novas é que seriam
> ignoradas devido a um filtro desatualizado.
>
> Se não usa sessão eBGP, e sim um injetor no iBGP ou configuração
> estática dentro do roteador de borda, realmente precisa atualizar os
> filtros ou a tabela do injetor constantemente e com uma frequência bem
> razoável (no pior dos casos, uma vez por semana).
>
>
>  - 100.64.0.0/10 reserved for Shared Address Space in RFC 6598, added
>> to bogon lists.
>>
>> Ou seja, pode sim entrar... ou sair um prefixo da FullBogons.
>>
>
> A única que tem que ser aplicada rapidamente é a saída de ranges da
> lista de bogons (remoção completa ou parcial de um prefixo que já estava
> na lista de bogons).
>
> Não há grandes problemas em demorar na inclusão de ranges novas no seu
> cenário, ou você não poderia estar usando a feed eBGP da Cymru
> diretamente no roteador de borda ou no route-reflector para começo de
> história.  Com feed direta, se a sessão eBGP cai, TODOS os bogons que
> dependem daquela sessão deixam de ser filtrados... quem não pode deixar
> de filtrar bogon em momento algum, precisa usar alguma solução que não
> esqueça todos os bogons quando a sessão eBGP cai (e pode até ser baseada
> em feed eBGP para ter o withdraw rápido, mas a retenção dos prefixos
> aprendidos tem que ser completamente diferente).
>
>
>  É algo simples... e creio também ser melhor que venhamos a indicar
>> para nossos clientes que também sejam AS e estejam em nosso as-path
>> que venham a ter suas próprias sessões com o Team Cymru
>>
>
> Esse tipo de coisa tem que ser interno de cada AS mesmo.  Mas supondo
> que o cliente é single-homed, e que você, o único upstream dele,
> implementa direito toda a filtragem de borda (ingres e egress em toda a
> borda, não só no trânsito), basta que você filtre os bogons.
>
> Afinal de contas, você não deveria aceitar nenhum tráfego de cliente com
> origem diferente dos prefixos daquele cliente, nem enviar nenhum tráfego
> para cliente com destino diferente dos prefixos dele.  E filtrar todos
> os prefixos recebidos do cliente.
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
>
> --
> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>