[GTER] Ataques entrando pelo PTT-SPO com origem ASN 6939 ( HE )
Mileto Tales
miletotalesgter at gmail.com
Fri Jul 8 19:52:08 -03 2016
Boa noite,
não seria possível a implementação de RTBH com o route-server validando o source dos prefixos? Assim não haveria um hijack de IP e teríamos um blackhole eficiente. Entra a questão de update do filtros de in do route-server o que no meu entendimento pode ser feito de forma dinâmica.
Essa community não geraria o bloqueio do tráfego na infra do PTT, neste ponto o PTT continua como está, para mim bastaria colocar como "melhores práticas" e a adoção dos provedores é o que faria a coisa andar.
Qual a diferença deste projeto para o Cymru? Nenhuma, se todos adotassem o projeto ele se tornaria efetivo.
Filtros nas bordas (limitar o source somente ao seu ASN) ao meu ver minimiza mas não resolve problmas de bootnet por exemplo.
O que precisa ocorrer é a adoção de blackhole em larga escala, na contratação do serviço isso não deve ser um "plus" deve ser regra. Se todo mundo cobrar isso e implementar, não precisa de comunnity de BH no PTT. Basta todos garantirem que o BH com o seu trânsito está funcionando e isto está sendo repassado de forma correta entre operadoras.
São somente idéias, são de discussões técnicas como essa que nascem grandes soluções.
--mt
> On 8 Jul 2016, at 17:43, Rafael Ganascim <rganascim at gmail.com> wrote:
>
> O problema é eleger um único sistema onde todos vão se inscrever. Só
> forçando um mesmo.
>
>
> Pense comigo em um cenário hipotético. Não sou dono da melhor idéia (longe
> disto), estou apenas discutindo possíveis soluções para o problema em
> comum.
>
>
> Como poderia ser feito o bloqueio do meu(s) ip(s) atacado(s) pelo nic.br em
> todo o PTT de forma transparente (sem qualquer configuração de outros
> players)?
>
> 1) envio a rota para o BH do nic.br
>
> Previamente me inscrevi no BH do nic.br (e autorizei e foram validados que
> os prefixos são meus).
>
>
> 2) O nic.br aceita meu prefixo de BH, muda o next-hop para um IP da mesma
> rede do PTT (ex 187.16.216.xxx) e envia para os participantes a rota de
> blackhole (no RS normal)
>
> O IP 187.16.216.xxx pertence ao nic.br, e tem o mac-address
> 66-66-66-66-66-66 e responde a requisições ARP.
>
> Basta então nos switches L2/roteadores do NIC.br que ligam os participantes
> um filtro L2 na entrada:
> deny from any to mac 66-66-66-66-66-66
> permit from any to any
>
> *claro que existe o filtro de origem do PTT
>
> O drop então seria no primeiro ponto de entrada do PTT.
>
>
> Quem não quer participar do blackhole do PTT, não participa (não popula as
> tabelas). Porém, quem quer se proteger, protege-se.
>
> Claro que existem ainda outros aspectos, como por exemplo, o aceite das
> rotas /32, a administração de tal serviço, o uso por grande parte dos
> participantes, etc.
>
>
> Mas duvido que quem sofreu um ataque recentemente não pensa em se proteger
> neste ponto.
>
>
>
>
>
> Em 8 de julho de 2016 15:48, Francisco V Brasileiro <
> francisco at brasileiro.adm.br> escreveu:
>
>> Em 8 de jul de 2016 10:18, "Rafael Ganascim" <rganascim at gmail.com>
>> escreveu:
>>
>>
>>> QUEM SABE um serviço gerido pelo nic.br de blackhole, onde os
>> interessados
>>> sobem uma sessão com um 'blackhole server' e então podem marcar a
>>> comunidade de BH em seus /32 e os participantes deste grupo se
>> comprometem
>>> em dropar os pacotes destinados a este prefixo BH.
>>
>> Isso não seria criar um novo serviço igual UTRS que você citou?
>>
>> O problema que vejo nesse tipo de serviço é a adesão dos players a ele. Se
>> houvesse boa adesão, não precisaria criar um novo serviço.
>>
>> A solução seria a adesão compulsória ao serviço a ser criado pelo próprio
>> nic.br. Mas a pergunta é: precisa realmente de um novo serviço, sendo q já
>> existem vários no mercado, bastaria aderir?
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list