[GTER] GVT usando RPF?
Rinaldo Vaz
rinaldopvaz at gmail.com
Tue Apr 8 18:10:02 -03 2014
Ótima observação Juliano!
Imagino que o propósito da GVT vai além de evitar o velho problema de
desvio no PTT. A GLBX/Level3 utiliza o RPF e não é participante do ATM-SP.
Implementar o RPF é também uma maneira de se excluir na lista dos AS's de
onde partem ataques de Amplificação de DNS/NTP já que o RPF bloqueia IP
Spoofing.
Ano passado apresentei no LACNIC da Colômbia um trabalho no qual critiquei
a ausência de um mecanismo anti-poofing no AS da GVT e apesar dos efeitos
colaterais dessa medida, ainda assim a GVT está de parabéns pois passou de
cúmplice à repressor de ataques com spoofing.
Espero que cada vez mais Sistemas Autônomos sigam o exemplo de GVT, Level3
e outras que adotaram RPF.
Em 4 de abril de 2014 21:10, Juliano Primavesi | KingHost Hospedagem de
Sites <juliano at kinghost.com.br> escreveu:
>
> Durante esta semana, identificamos alguns problemas relacionados com
> operadoras com peering com GVT.
>
> Alguns casos que pegamos, solucionaram ao desligarmos o BGP com o PTT.
>
> Penso que a GVT possa ter implementado um filtro de RPF Check para evitar
> a entrega de "banda grátis" via PTT.
>
> Explico: como a maioria dos provedores utiliza rotas mais específicas no
> PTT e menos especificas em provedores de Transito, parte do trafego de
> entrada de uma operadora que esteja no PTT e não filtre os prefixos do AS
> cliente de transito, acaba passando pelo PTT ao invés de passar pelo link
> comercial.
>
> Uma das soluções é filtrar os prefixos no PTT; outra seria um filtro. Como
> os pacotes de retorno são aparentemente DROPADOS, e não redirecionados para
> outra rota, acredito fortemente em uma regra de RPF, já que o controle de
> sessões (outra forma de monitorar o que poderia estar passando pelo PTT)
> seria quase inviável (hardware).
>
> Entao acredito que se alguém ainda tem problemas com GVT, experimente
> anunciar uma rota mais especifica para ela no link comercial, com as
> communities "AS:1 AS:2 AS:3 AS:4 AS:5 AS:6" - já que a GVT não implementa a
> community no-export (para mim nunca funcionou).
>
> Juliano
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
__________________
Rinaldo Vaz
82 81718528 - VIVO
More information about the gter
mailing list