[GTER] Firewall com Identificação de DoS Volumétrico e triggering de BlackHole

João Rafael Card. maxrafa at gmail.com
Mon Jul 25 18:12:23 -03 2016


Então você precisa de um ASR-9K  com IOS-XR, bem configurado.






*Att,*

. ı | ı . ı | ı .

*João** Rafael *

*Security Network Engineer*

*Skype: maxrafa <maxrafa at gmail.com>*

55 21 *97203-8776*

                                                        *Together* *we are
the* *h**u**m**a**n* *n**e**t**w**o**r**k*

Em 25 de julho de 2016 08:50, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Agradeço ao Diego, Geek, e Ricardo...
> e também aos demais que me procuraram PVT.
>
> Mas justamente oque estamos tentando evitar é mais uma peça no conjunto.
> Não queremos mais uma caixa, seja in-line ou seja by-side, no cenário.
>
> Queremos que o próprio firewall(e não queremos open source) possa
> identificar um possível alvo interno de DoS Volumétrico e automaticamente
> anuncie para o Borda a rota /32 ou /128 com community 666.
>
> Não vejo que isso seja complicado de se implementar a partir das
> informações que o firewall já possui:
>  - Banda passante com destino à um determinado IP Intermo
>  - Numero de conexões abertas, half-open, etc...
>
>
> Vamos procurar e ver o que vamos encontrar.
>
>
>
> Em 23 de julho de 2016 06:34, Diego Canton de Brito <
> diegocanton at ensite.com.br> escreveu:
>
> >
> > Estamos utilizando o FastNetMon, e a experiência tem sido muito boa.
> > Você pode utilizar ele com GoBGP, ExaBGP ou Scripts para ações. Vale o
> > teste.
> > --
> > Enviado do aplicativo myMail para Android sexta-feira, 22 julho 2016,
> > 11:53AM -03:00 de Ricardo Oliveira  ricardo.btu at gmail.com :
> >
> > >Douglas,
> > >
> > >Nao sei se é o que procura, mas talvez exportar flows para o Fastnetmon
> ou
> > >SFLOW do switch da rede acesso e o Fastnetmon fazer o Blackhole.
> > >https://github.com/pavel-odintsov/fastnetmon
> > >
> > >Grato.
> > >Ricardo Freitas
> > >
> > >Em 22 de julho de 2016 09:05, Douglas Fischer <
> fischerdouglas at gmail.com
> > >
> > >escreveu:
> > >
> > >> Estamos em analise de ferramentas de firewall licenciadas no mercado.
> > >>
> > >> Uma das funcionalidades que estamos procurando é um mecanismo de
> > detecção
> > >> de possível DoS Volumétrico e subsequente disparo de mecanismo de
> > anúncio
> > >> de BlackHole para os Routers de Borda, e esses subsequentemente
> > repassarem
> > >> esses anúncios para os Upstreams.
> > >>
> > >>
> > >>
> > >>
> > >> Até agora não encontramos nada exatamente assim.
> > >> Surgiram algumas sugestões que passam por Scripts e Schedules, mas
> nada
> > >> específico.
> > >> E o que mais surgiu foi vendedor tentando empurrar mais uma caixa de
> > >> Anti-Dos.
> > >>
> > >> Dos colegas que usam Palo-Alto, Juniper SRX, Cisco ASA SourceFire,
> > >> Fortinet, e outros...
> > >> Alguém já implementou algo assim?
> > >>
> > >>
> > >> --
> > >> Douglas Fernando Fischer
> > >> Engº de Controle e Automação
> > >> --
> > >> gter list  https://eng.registro.br/mailman/listinfo/gter
> > >--
> > >gter list  https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list