[GTER] blackhole por community / IPS / IDS

[Rubens Kuhl]

>
> Procurei pela lista e encontrei solucoes como blackhole por community,
> VPN,  e soluções baseadas na tecnologia da Arbor.
>
> Recentemente tivemos uma pre-oferta por um dos upstreans nos
> oferecendo uma solucao baseada em tunel GRE.
>
> Neste nosso cenario, qual a solucao adequada ? Eu vejo que vpn, gre,
> ou qualquer tunnel pelo mesmo meio nao seja a solução ideal.
>

VPN/GRE/Túnel é o formato de entrega de serviço, apenas. Ele tem um
problema que precisa ser endereçado que é MTU; ou você garante que o seu
link tem Jumbo frame e a conexão ao serviços de mitigação também, ou já
diminui o MTU de todos os servidores para não ter problema se/quando entrar
em modo de tunelamento.

Fora esse problema não tem porque ter restrição quanto a túnel, é uma boa
forma de manter inclusive o serviço atacado no ar, enquanto blackhole
apenas protege os demais serviços da rede matando o serviço sob ataque.

Fatores para comparar as diferentes ofertas de mitigação:
- Consegue mitigar ataques de starvation e demais que requerem bloqueio por
análise aplicação ? Exemplos disso são os ataques do pessoal do Anonymous
usando LOIC, ataques do Grande Canhão da China etc.
- Consegue mitigar ataques volumétricos ? De até quantos Gbps ?
- Qual o aumento de latência introduzido quando em mitigação ? Muitos dos
serviços ficam inclusive fora do país, o que aumenta latência e introduz
problemas de roteamento.
- Como é feito o pedido para entrar em mitigação ? Community, painel web,
tem que ligar pra alguém ?
- Como é cobrado o tráfego durante ataques ?
- Quem é o fornecedor do equipamento utilizado no serviço ?
- A entrada em mitigação é feita por tunelamento ou por roteamento
transparente ?
- Já tem pré-listados IPs do Brasil e/ou sistemas autônomos para usar como
opção de resposta isolamento do mundo ?


Rubens