[GTER] Firewall com Identificação de DoS Volumétrico e triggering de BlackHole

[Douglas Fischer]

Essa é a questão...
Eu não quero um Anti-DDoS!

Esse ambiente não é de DataCenter e também não é de ISP.
Eu não quero mais um ponto de falha no circuito.
                    (Seja inline, Seja by-side.)
Eu não quero mais uma caixa para me incomodar.


A única coisa que eu quero é que a única caixa Statefull no meio do caminho
possa avisar alguém que algo de "ruim" está acontecendo.
Necessito que os gatilho desse aviso sejam simples(não preciso de
heurística, tão pouco computação quântica), e que esse "aviso" seja feito
através de BGP.




Já consegui Scriptar com EEM em Cisco a divulgação de um prefixo BGP /32
com 666 quando o número de conexões Half-Open para um determinado IP
interno.

Mas sinceramente? Tenho muitas reticências quanto a essa abordagem.
- Toda vez que criei uma Aranha com Script,
  acabei criando um entrave para upgrades.
  "Será que vai funciona nessa nova versão?"
  E o fabricante não vai dar suporte ao seu script.
- Acho essas soluções baseada em script tão PORCAS
  quanto um bash que criei lá por 99 para acessar o
  site do Observatório nacional, ver a hora estampada
  via html, e ajustar o horário do meu
  super-server-faz-tudo-linux.
"Se existe a MELECA do protocolo,
       USE A MELECA do protocolo!"

Quero algo que seja nativo da plataforma do fabricante.
Para eu poder xingar alguém quando der "M...".




Em 26 de julho de 2016 16:45, Evandro CFS <evandro.cfs7 at gmail.com> escreveu:

> On 25/07/2016 08:50, Douglas Fischer wrote:
>
>> Agradeço ao Diego, Geek, e Ricardo...
>> e também aos demais que me procuraram PVT.
>>
>> Mas justamente oque estamos tentando evitar é mais uma peça no conjunto.
>> Não queremos mais uma caixa, seja in-line ou seja by-side, no cenário.
>>
>> Queremos que o próprio firewall(e não queremos open source) possa
>> identificar um possível alvo interno de DoS Volumétrico e automaticamente
>> anuncie para o Borda a rota /32 ou /128 com community 666.
>>
>> Não vejo que isso seja complicado de se implementar a partir das
>> informações que o firewall já possui:
>>  - Banda passante com destino à um determinado IP Intermo
>>  - Numero de conexões abertas, half-open, etc...
>>
>>
>> Vamos procurar e ver o que vamos encontrar.
>>
>>
> Olá Diego,
>
>         A questão não é tão simples. Dependendo do tamanho do DDOS que
> você tomar, seu firewall não vai conseguir tratar a quantidade de pacotes
> e não vai fazer o que você deseja, ou então você irá precisar de um
> firewall gigante, o que inviabiliza o projeto. Por isso é
> recomendado uma solução a parte.
>         Existem algumas soluções de mercado para isso: Arbor, Cisco, Check
> Point, Fortinet, etc. Existem operadoras vendendo a solução de
> anti-DDOS também e vejo muita gente partindo para esse tipo de solulção
> por questões de Custo/Benefícios.
>         Att,
>
> []'s
> Evandro CFS
>
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação