[GTER] Segestao de RFC

Douglas Fischer fischerdouglas at gmail.com
Mon Dec 11 11:21:44 -02 2017 

Aquele e-mailzinho maroto para o contato de roteamento do ASN dizendo:

"Hey dona operadora... Tudo Bão cocêis?
Estou tentando entregar determinada aplicação para meu cliente passando por
cima da infra de vocês.
Mas quando os pacotes de minha aplicação passas pelo salto com IP
123.123.123.123 o problema "TAL" acontece."



Em 11 de dezembro de 2017 10:14, Andre Almeida <andre at bnet.com.br> escreveu:

> Essa técnica deve ser só pra poder usar DNS reverso..... não?
>
> Qual é o sentido de ter um IP roteável em local não roteável?
>
> Andre
>
> Em 11 de dezembro de 2017 09:53, Douglas Fischer <fischerdouglas at gmail.com
> >
> escreveu:
>
> > Acabei de me lembrar que tem operadoras que usam Blocos IP válidos na
> > Internet, porém não colocam ele na DFZ(não divulgam esse bloco). Um
> exemplo
> > é a Level3.
> >
> > É uma técnica meio controversa, mas que faz algum sentido...
> >
> > Ele usam esses IPs válidos nas redes de Enlace, mas estão "escondidos"
> > embaixo de uma camada de MPLS.
> > E pelo que sei eles além de esses IPs não estarem divulgados para a
> > Internet(DFZ), eles estão numa VRF específica de gerenciamento e essa VRF
> > está toda atrás de firewall.
> >
> >
> >
> > Ou seja:
> > Tens que ter MUITA consideração com os aspectos de segurança.
> >
> >
> >
> > Em 11 de dezembro de 2017 09:44, Douglas Fischer <
> fischerdouglas at gmail.com
> > >
> > escreveu:
> >
> > > Você também citou como suposta vantagem o fato de a rede de enlace com
> a
> > > operadora que lhe provê trânsito não ser alcançável da Internet.
> > >
> > > Bom, num possível ataque isso é realmente uma vantagem.
> > >
> > > Mas vale lembrar que exitem muitos pontos que tornam essa técnica
> > > negativa...
> > > Um exemplo é quanto existem alguma falha de roteamento caótica em nosso
> > > ASN e temos que lançar mão da vergonhosa e porquissima técnica de NAT
> em
> > > cima do IP da WAN da Operadora.
> > >
> > >
> > >
> > >
> > > Em 11 de dezembro de 2017 07:52, Junior Corazza <corazza at incert.com.br
> >
> > > escreveu:
> > >
> > >> Conforme disse em minha apresentação na GTER44, em alguns provedores
> que
> > >> faco consultoria devido a falta de endereços IPs para o acesso resolvi
> > >> substituir todos os IPs publicos do backbone para IPs privados da
> > rfc1918.
> > >> Com isso ganho alguns endereços para que sejam aplicados no acesso de
> > >> clientes.
> > >>
> > >> Essa pratica nao eh nova e ja eh utilizada por muitos, mas encontrei
> > >> alguns
> > >> problemas utilizando esses IPs e nao achei nenhum outro documento que
> > >> defina
> > >> um bloco pra isso.
> > >>
> > >> Por isso gostaria de montar um grupo para submetermos ao IETF uma
> DRAFT
> > de
> > >> RFC para que possamos delegar um bloco especifico para essa aplicacao,
> > >> tendo
> > >> em vista que ja temos varias outras RFCs que delegam blocos para usos
> > >> específicos nao creio que seja uma tarefa dificil
> > >>
> > >>
> > >>
> > >> Aceito ideias, criticas e pessoas que se disponham a ajudar no
> projeto.
> > >>
> > >>
> > >>
> > >> __
> > >>
> > >> Junior Corazza
> > >>
> > >>
> > >>
> > >> --
> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>
> > >
> > >
> > >
> > > --
> > > Douglas Fernando Fischer
> > > Engº de Controle e Automação
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list