[GTER] Blackholes BGP - Security

Bruno Cabral bruno at openline.com.br
Tue May 23 19:01:18 -03 2017


Nao é dificil criar uma politica de comunidades (*)


Mas o simples fato de receber rotas da UTRS nao te livra de ataques, pois os pacotes precisam chegar no seu roteador para ser descartados


!3runo


--
Cursos e Consultoria BGP e OSPF
http://www.openline.com.br/cursos/

(*) Algo trivial como (exemplo mikrotik)

/routing filter

add chain=cliente-in prefix-length=32 prefix=a.b.c.d/e bgp-communities=seuas:666 action=accept
add chain=cliente-in prefix-length=e-24 prefix=a.b.c.d/e set-bgp-communities=seuas:1 action=accept
add chain=cliente-in action=discard

add chain=operadora-out prefix-length=32 bgp-communities=seuas:666 set-bgp-communities=operadoraas:666 action=accept
add chain=operadora-out bgp-communities=seuas:1 action=accept
add chain=operadora-out action=discard

onde seuas:666 e operadoraas:666 sao respectivamente a comunidade que o cliente deve marcar e o que a operadora usa para blackhole, a.b.c.d/e é o bloco CIDR do cliente e seuas:1 a comunidade que identificará as redes validas de seus clientes de transito (pra nao ter que listar todas no filtro operadora-out)


________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Andre Almeida <andre at bnet.com.br>
Enviado: terça-feira, 23 de maio de 2017 15:13:25
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Blackholes BGP - Security

A maioria das operadoras até tem politica de community...

Mas, muitas vezes existem parcerias entre ASs, onde compram uma banda maior
com uma tier 1 e revendem para menores.
E nesses casos muitas vezes não possuem uma community determinada.

Sim, é dever desse "revendedor" ter uma politica de blackhole.... mas
muitas vezes não tem.
E ai? vai ficar enchendo o saco do NOC para criar uma ou vai usar um UTRS
da vida pra tentar se proteger de alguma maneira ?

Att,

Andre Almeida

Em 23 de maio de 2017 13:06, Lista <lista.gter at gmail.com> escreveu:

> E por que não usar community de blackhole da própria operadora?
>
> Qual a vantagem do uso desta lista ao invés da community?
>
> Em 23 de maio de 2017 12:54, Iure da Luz <iurekamai at gmail.com> escreveu:
>
> > É possível ver os participantes do UTRS?
> >
> >
> >
> >
> > <http://www.eletronluz.com.br/>
> >
> >
> > *Eletron Luz - Soluções em Tecnologia*
> >
> > Rua José Magalhães, 151A - Centro
> > Boa Vista - RR - Brasil
> >
> > Tel:  95 3224-7751
> >
> > Fax: 95 3623-7751
> > www.eletronluz.com.br<http://www.eletronluz.com.br>
> >
> >
> >
> > *Iure da Luz*
> >
> > Diretor Comercial
> >
> >
> > Skype: iuredaluz
> > Fixo:     95 3198-8700
> >
> > Móvel:  95 99902-3303
> >
> > Em 23 de maio de 2017 10:42, Andre Almeida <andre at bnet.com.br> escreveu:
> >
> > > Mas é uma distribuição de blackholes.
> > > Você anuncia seus /32 por ali, todos os participantes recebem e marcam
> > seus
> > > /32 como blackholes.
> > >
> > > Na teoria não depende de community junto à operadora, e quanto mais
> > > participantes, maior a possibilidade de barrar o ataque em sua(s)
> > > origem(s).
> > >
> > >
> > > Att,
> > >
> > > Andre Almeida
> > >
> > > Em 23 de maio de 2017 09:38, Douglas Fischer <fischerdouglas at gmail.com
> >
> > > escreveu:
> > >
> > > > Eu confesso que nunca entendi direito ​essa solução do UTRS.
> > > > Eu não consigo ver efetividade de mitigação de DDoS...
> > > >
> > > > Só faria sentido para mim se ele fosse um acordo de Distributed
> > > BlackHole.
> > > > Mas não é o que eu entendi que é a função do UTRS.
> > > >
> > > >
> > > >
> > > >
> > > > Em 22 de maio de 2017 17:42, Raul Bartolamei por (gter) <
> > > > gter at eng.registro.br> escreveu:
> > > >
> > > > > Consegue me dizer se vale a pena?
> > > > >
> > > > > att;
> > > > >
> > > > >
> > > > > ===================
> > > > > Raul Bartolamei
> > > > > www.desbrava.com.br<http://www.desbrava.com.br>
> > > > > raul at desbrava.com.br
> > > > > 049-3323-9394
> > > > > ===================
> > > > >
> > > > >
> > > > > > Em 22 de mai de 2017, à(s) 17:15, Andre Almeida <
> andre at bnet.com.br
> > >
> > > > > escreveu:
> > > > > >
> > > > > > Nós usamos aqui.
> > > > > >
> > > > > > Att,
> > > > > >
> > > > > > Andre Almeida
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > Em 22 de maio de 2017 16:41, Raul Bartolamei por (gter) <
> > > > > > gter at eng.registro.br> escreveu:
> > > > > >
> > > > > >> alguém usa esse serviço do UTRS?
> > > > > >>
> > > > > >> http://www.team-cymru.org/UTRS/index.html
> > > > > >>
> > > > > >>
> > > > > >> ===================
> > > > > >> Raul Bartolamei
> > > > > >> www.desbrava.com.br<http://www.desbrava.com.br>
> > > > > >> raul at desbrava.com.br
> > > > > >> 049-3323-9394
> > > > > >> ===================
> > > > > >>
> > > > > >>
> > > > > >>> Em 22 de mai de 2017, à(s) 12:00, Bruno Cabral <
> > > > bruno at openline.com.br>
> > > > > >> escreveu:
> > > > > >>>
> > > > > >>> Adicione ao que ja tem com cymru as redes da lista DROP do
> > > spamhaus e
> > > > > >> tem de graça...
> > > > > >>>
> > > > > >>>
> > > > > >>> https://www.spamhaus.org/bgpf/
> > > > > >>>
> > > > > >>> !3runo
> > > > > >>>
> > > > > >>>
> > > > > >>> --
> > > > > >>> Cursos e Consultoria BGP e OSPF
> > > > > >>> ________________________________
> > > > > >>> De: gter <gter-bounces at eng.registro.br> em nome de Andre
> > Almeida <
> > > > > >> andre at bnet.com.br>
> > > > > >>> Enviado: segunda-feira, 22 de maio de 2017 10:56:15
> > > > > >>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > > > >>> Assunto: [GTER] Blackholes BGP - Security
> > > > > >>>
> > > > > >>> Amigos, temos um peering com o TeamCymrus para bogons IPv4 e
> > também
> > > > > >>> atualmente temos um peering com a empresa RR64, produto chamado
> > > > > SafeBGP.
> > > > > >>>
> > > > > >>> Essa empresa está nos cobrando anualmente R$ 1.300,00 para
> > manter o
> > > > > >>> peering, onde nos envia rotas e as marcamos como Blackhole.
> > > > > >>>
> > > > > >>> Verifiquei que muitas das rotas da RR64 são as mesmas do
> > > TeamCymrus e
> > > > > >>> conclui que não é algo difícil de se implementar.
> > > > > >>> Inclusive pelo que eu entendi existe um peering principal com
> > > > empresas
> > > > > >>> talvez como a SPAMHAUS e após fechado o peering, acabam
> > > reanunciando
> > > > os
> > > > > >>> blocos para essas sessões pagas.
> > > > > >>>
> > > > > >>> Concluindo: Easy Money
> > > > > >>>
> > > > > >>> Pergunto: Alguém tem algum serviço do tipo para oferecer por um
> > > preço
> > > > > >> menor
> > > > > >>> ?
> > > > > >>>
> > > > > >>> Obrigado
> > > > > >>>
> > > > > >>> Att
> > > > > >>> Andre Almeida
> > > > > >>> --
> > > > > >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >>> --
> > > > > >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >>>
> > > > > >>
> > > > > >> --
> > > > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >>
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > >
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Douglas Fernando Fischer
> > > > Engº de Controle e Automação
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list