[GTER] Firewall com Identificação de DoS Volumétrico e triggering de BlackHole

willian pires willian_pires at hotmail.com
Tue Jul 26 14:45:54 -03 2016


Pareceu meio vago.

Com Wanguard voce consegue da seguinte forma:

Cria thresholds para clientes especificos e triguers para atividades especificas por exemplo:


N1 classe destino atingiu 1000 pps udp ---> ip de origem adicionado ao firewall --- ele pode ser um Cisco AS5500 adicionando via BGP Annouce.

N2 classe destino atingiu 10000 pps udp -> ip de destino adicionado os null router do seu roteador de borda.

N3 classe destino atingiu 10000 pps udp -> classe de destino é adicionada a provedor especifico que tenha banda barata, ou mesmo anuncio é rejeitado
globalmente.

Att 

----------------------------------------
> From: willian_pires at hotmail.com
> To: gter at eng.registro.br
> Subject: RE: [GTER] Firewall com Identificação de DoS Volumétrico e triggering de BlackHole
> Date: Tue, 26 Jul 2016 12:19:17 -0400
>
> Wanguard.
>
> Att
>
> ----------------------------------------
>> From: sup.rafaelgaldino at gmail.com
>> Date: Mon, 25 Jul 2016 20:25:06 -0300
>> To: gter at eng.registro.br
>> Subject: Re: [GTER] Firewall com Identificação de DoS Volumétrico e triggering de BlackHole
>>
>> riorey
>>
>> Em 25 de julho de 2016 08:50, Douglas Fischer <fischerdouglas at gmail.com>
>> escreveu:
>>
>>> Agradeço ao Diego, Geek, e Ricardo...
>>> e também aos demais que me procuraram PVT.
>>>
>>> Mas justamente oque estamos tentando evitar é mais uma peça no conjunto.
>>> Não queremos mais uma caixa, seja in-line ou seja by-side, no cenário.
>>>
>>> Queremos que o próprio firewall(e não queremos open source) possa
>>> identificar um possível alvo interno de DoS Volumétrico e automaticamente
>>> anuncie para o Borda a rota /32 ou /128 com community 666.
>>>
>>> Não vejo que isso seja complicado de se implementar a partir das
>>> informações que o firewall já possui:
>>> - Banda passante com destino à um determinado IP Intermo
>>> - Numero de conexões abertas, half-open, etc...
>>>
>>>
>>> Vamos procurar e ver o que vamos encontrar.
>>>
>>>
>>>
>>> Em 23 de julho de 2016 06:34, Diego Canton de Brito <
>>> diegocanton at ensite.com.br> escreveu:
>>>
>>>>
>>>> Estamos utilizando o FastNetMon, e a experiência tem sido muito boa.
>>>> Você pode utilizar ele com GoBGP, ExaBGP ou Scripts para ações. Vale o
>>>> teste.
>>>> --
>>>> Enviado do aplicativo myMail para Android sexta-feira, 22 julho 2016,
>>>> 11:53AM -03:00 de Ricardo Oliveira ricardo.btu at gmail.com :
>>>>
>>>>>Douglas,
>>>>>
>>>>>Nao sei se é o que procura, mas talvez exportar flows para o Fastnetmon
>>> ou
>>>>>SFLOW do switch da rede acesso e o Fastnetmon fazer o Blackhole.
>>>>>https://github.com/pavel-odintsov/fastnetmon
>>>>>
>>>>>Grato.
>>>>>Ricardo Freitas
>>>>>
>>>>>Em 22 de julho de 2016 09:05, Douglas Fischer <
>>> fischerdouglas at gmail.com
>>>>>
>>>>>escreveu:
>>>>>
>>>>>> Estamos em analise de ferramentas de firewall licenciadas no mercado.
>>>>>>
>>>>>> Uma das funcionalidades que estamos procurando é um mecanismo de
>>>> detecção
>>>>>> de possível DoS Volumétrico e subsequente disparo de mecanismo de
>>>> anúncio
>>>>>> de BlackHole para os Routers de Borda, e esses subsequentemente
>>>> repassarem
>>>>>> esses anúncios para os Upstreams.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Até agora não encontramos nada exatamente assim.
>>>>>> Surgiram algumas sugestões que passam por Scripts e Schedules, mas
>>> nada
>>>>>> específico.
>>>>>> E o que mais surgiu foi vendedor tentando empurrar mais uma caixa de
>>>>>> Anti-Dos.
>>>>>>
>>>>>> Dos colegas que usam Palo-Alto, Juniper SRX, Cisco ASA SourceFire,
>>>>>> Fortinet, e outros...
>>>>>> Alguém já implementou algo assim?
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Douglas Fernando Fischer
>>>>>> Engº de Controle e Automação
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>--
>>>>>gter list https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>>
>>>
>>> --
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>>
>> --
>>
>> *Rafael Galdino*
>>
>>
>> * Analista de redes*
>>
>> Inoc: 265147*100
>>
>> Phone:
>>
>> *+55 (83) 99600-0242*
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
 		 	   		  


More information about the gter mailing list