[GTER] Firewall com Identificação de DoS Volumétrico e triggering de BlackHole

Douglas Fischer fischerdouglas at gmail.com
Mon Jul 25 08:50:33 -03 2016 

Agradeço ao Diego, Geek, e Ricardo...
e também aos demais que me procuraram PVT.

Mas justamente oque estamos tentando evitar é mais uma peça no conjunto.
Não queremos mais uma caixa, seja in-line ou seja by-side, no cenário.

Queremos que o próprio firewall(e não queremos open source) possa
identificar um possível alvo interno de DoS Volumétrico e automaticamente
anuncie para o Borda a rota /32 ou /128 com community 666.

Não vejo que isso seja complicado de se implementar a partir das
informações que o firewall já possui:
 - Banda passante com destino à um determinado IP Intermo
 - Numero de conexões abertas, half-open, etc...


Vamos procurar e ver o que vamos encontrar.



Em 23 de julho de 2016 06:34, Diego Canton de Brito <
diegocanton at ensite.com.br> escreveu:

>
> Estamos utilizando o FastNetMon, e a experiência tem sido muito boa.
> Você pode utilizar ele com GoBGP, ExaBGP ou Scripts para ações. Vale o
> teste.
> --
> Enviado do aplicativo myMail para Android sexta-feira, 22 julho 2016,
> 11:53AM -03:00 de Ricardo Oliveira  ricardo.btu at gmail.com :
>
> >Douglas,
> >
> >Nao sei se é o que procura, mas talvez exportar flows para o Fastnetmon ou
> >SFLOW do switch da rede acesso e o Fastnetmon fazer o Blackhole.
> >https://github.com/pavel-odintsov/fastnetmon
> >
> >Grato.
> >Ricardo Freitas
> >
> >Em 22 de julho de 2016 09:05, Douglas Fischer < fischerdouglas at gmail.com
> >
> >escreveu:
> >
> >> Estamos em analise de ferramentas de firewall licenciadas no mercado.
> >>
> >> Uma das funcionalidades que estamos procurando é um mecanismo de
> detecção
> >> de possível DoS Volumétrico e subsequente disparo de mecanismo de
> anúncio
> >> de BlackHole para os Routers de Borda, e esses subsequentemente
> repassarem
> >> esses anúncios para os Upstreams.
> >>
> >>
> >>
> >>
> >> Até agora não encontramos nada exatamente assim.
> >> Surgiram algumas sugestões que passam por Scripts e Schedules, mas nada
> >> específico.
> >> E o que mais surgiu foi vendedor tentando empurrar mais uma caixa de
> >> Anti-Dos.
> >>
> >> Dos colegas que usam Palo-Alto, Juniper SRX, Cisco ASA SourceFire,
> >> Fortinet, e outros...
> >> Alguém já implementou algo assim?
> >>
> >>
> >> --
> >> Douglas Fernando Fischer
> >> Engº de Controle e Automação
> >> --
> >> gter list  https://eng.registro.br/mailman/listinfo/gter
> >--
> >gter list  https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list