[GTER] Blackholes BGP - Security

Sávio Marques savio.marques at sustentatelecom.com.br
Wed May 24 00:35:04 -03 2017


O Importante é que todos trabalhem juntos para o bem comum, como falei 
para um amigo, se todos começassem a cuidar do seu trafego, muita coisa 
seria, evitada.

sei que tem muita gente trabalhando para melhorar sua rede e assim vamos 
conseguir um bem maior.


Em 23/05/2017 21:05, Andre Almeida escreveu:
> Sim, isso é claro.
>
> Os ataques param quando você anuncia seus prefixos para a UTRS, desde que
> os AS que serviam de trânsito ou o AS de origem também possua peering com a
> UTRS
>
>
> André Almeida
>
>
> * Email enviado através de dispositivo móvel.
>
> Em 23 de mai de 2017 8:52 PM, "Bruno Cabral" <bruno at openline.com.br>
> escreveu:
>
> Nao é dificil criar uma politica de comunidades (*)
>
>
> Mas o simples fato de receber rotas da UTRS nao te livra de ataques, pois
> os pacotes precisam chegar no seu roteador para ser descartados
>
>
> !3runo
>
>
> --
> Cursos e Consultoria BGP e OSPF
> http://www.openline.com.br/cursos/
>
> (*) Algo trivial como (exemplo mikrotik)
>
> /routing filter
>
> add chain=cliente-in prefix-length=32 prefix=a.b.c.d/e
> bgp-communities=seuas:666 action=accept
> add chain=cliente-in prefix-length=e-24 prefix=a.b.c.d/e
> set-bgp-communities=seuas:1 action=accept
> add chain=cliente-in action=discard
>
> add chain=operadora-out prefix-length=32 bgp-communities=seuas:666
> set-bgp-communities=operadoraas:666 action=accept
> add chain=operadora-out bgp-communities=seuas:1 action=accept
> add chain=operadora-out action=discard
>
> onde seuas:666 e operadoraas:666 sao respectivamente a comunidade que o
> cliente deve marcar e o que a operadora usa para blackhole, a.b.c.d/e é o
> bloco CIDR do cliente e seuas:1 a comunidade que identificará as redes
> validas de seus clientes de transito (pra nao ter que listar todas no
> filtro operadora-out)
>
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Andre Almeida <
> andre at bnet.com.br>
> Enviado: terça-feira, 23 de maio de 2017 15:13:25
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Blackholes BGP - Security
>
> A maioria das operadoras até tem politica de community...
>
> Mas, muitas vezes existem parcerias entre ASs, onde compram uma banda maior
> com uma tier 1 e revendem para menores.
> E nesses casos muitas vezes não possuem uma community determinada.
>
> Sim, é dever desse "revendedor" ter uma politica de blackhole.... mas
> muitas vezes não tem.
> E ai? vai ficar enchendo o saco do NOC para criar uma ou vai usar um UTRS
> da vida pra tentar se proteger de alguma maneira ?
>
> Att,
>
> Andre Almeida
>
> Em 23 de maio de 2017 13:06, Lista <lista.gter at gmail.com> escreveu:
>
>> E por que não usar community de blackhole da própria operadora?
>>
>> Qual a vantagem do uso desta lista ao invés da community?
>>
>> Em 23 de maio de 2017 12:54, Iure da Luz <iurekamai at gmail.com> escreveu:
>>
>>> É possível ver os participantes do UTRS?
>>>
>>>
>>>
>>>
>>> <http://www.eletronluz.com.br/>
>>>
>>>
>>> *Eletron Luz - Soluções em Tecnologia*
>>>
>>> Rua José Magalhães, 151A - Centro
>>> Boa Vista - RR - Brasil
>>>
>>> Tel:  95 3224-7751
>>>
>>> Fax: 95 3623-7751
>>> www.eletronluz.com.br<http://www.eletronluz.com.br>
>>>
>>>
>>>
>>> *Iure da Luz*
>>>
>>> Diretor Comercial
>>>
>>>
>>> Skype: iuredaluz
>>> Fixo:     95 3198-8700
>>>
>>> Móvel:  95 99902-3303
>>>
>>> Em 23 de maio de 2017 10:42, Andre Almeida <andre at bnet.com.br> escreveu:
>>>
>>>> Mas é uma distribuição de blackholes.
>>>> Você anuncia seus /32 por ali, todos os participantes recebem e marcam
>>> seus
>>>> /32 como blackholes.
>>>>
>>>> Na teoria não depende de community junto à operadora, e quanto mais
>>>> participantes, maior a possibilidade de barrar o ataque em sua(s)
>>>> origem(s).
>>>>
>>>>
>>>> Att,
>>>>
>>>> Andre Almeida
>>>>
>>>> Em 23 de maio de 2017 09:38, Douglas Fischer <fischerdouglas at gmail.com
>>>> escreveu:
>>>>
>>>>> Eu confesso que nunca entendi direito ​essa solução do UTRS.
>>>>> Eu não consigo ver efetividade de mitigação de DDoS...
>>>>>
>>>>> Só faria sentido para mim se ele fosse um acordo de Distributed
>>>> BlackHole.
>>>>> Mas não é o que eu entendi que é a função do UTRS.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Em 22 de maio de 2017 17:42, Raul Bartolamei por (gter) <
>>>>> gter at eng.registro.br> escreveu:
>>>>>
>>>>>> Consegue me dizer se vale a pena?
>>>>>>
>>>>>> att;
>>>>>>
>>>>>>
>>>>>> ===================
>>>>>> Raul Bartolamei
>>>>>> www.desbrava.com.br<http://www.desbrava.com.br>
>>>>>> raul at desbrava.com.br
>>>>>> 049-3323-9394
>>>>>> ===================
>>>>>>
>>>>>>
>>>>>>> Em 22 de mai de 2017, à(s) 17:15, Andre Almeida <
>> andre at bnet.com.br
>>>>>> escreveu:
>>>>>>> Nós usamos aqui.
>>>>>>>
>>>>>>> Att,
>>>>>>>
>>>>>>> Andre Almeida
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Em 22 de maio de 2017 16:41, Raul Bartolamei por (gter) <
>>>>>>> gter at eng.registro.br> escreveu:
>>>>>>>
>>>>>>>> alguém usa esse serviço do UTRS?
>>>>>>>>
>>>>>>>> http://www.team-cymru.org/UTRS/index.html
>>>>>>>>
>>>>>>>>
>>>>>>>> ===================
>>>>>>>> Raul Bartolamei
>>>>>>>> www.desbrava.com.br<http://www.desbrava.com.br>
>>>>>>>> raul at desbrava.com.br
>>>>>>>> 049-3323-9394
>>>>>>>> ===================
>>>>>>>>
>>>>>>>>
>>>>>>>>> Em 22 de mai de 2017, à(s) 12:00, Bruno Cabral <
>>>>> bruno at openline.com.br>
>>>>>>>> escreveu:
>>>>>>>>> Adicione ao que ja tem com cymru as redes da lista DROP do
>>>> spamhaus e
>>>>>>>> tem de graça...
>>>>>>>>>
>>>>>>>>> https://www.spamhaus.org/bgpf/
>>>>>>>>>
>>>>>>>>> !3runo
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Cursos e Consultoria BGP e OSPF
>>>>>>>>> ________________________________
>>>>>>>>> De: gter <gter-bounces at eng.registro.br> em nome de Andre
>>> Almeida <
>>>>>>>> andre at bnet.com.br>
>>>>>>>>> Enviado: segunda-feira, 22 de maio de 2017 10:56:15
>>>>>>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>>>>>>>>> Assunto: [GTER] Blackholes BGP - Security
>>>>>>>>>
>>>>>>>>> Amigos, temos um peering com o TeamCymrus para bogons IPv4 e
>>> também
>>>>>>>>> atualmente temos um peering com a empresa RR64, produto
> chamado
>>>>>> SafeBGP.
>>>>>>>>> Essa empresa está nos cobrando anualmente R$ 1.300,00 para
>>> manter o
>>>>>>>>> peering, onde nos envia rotas e as marcamos como Blackhole.
>>>>>>>>>
>>>>>>>>> Verifiquei que muitas das rotas da RR64 são as mesmas do
>>>> TeamCymrus e
>>>>>>>>> conclui que não é algo difícil de se implementar.
>>>>>>>>> Inclusive pelo que eu entendi existe um peering principal com
>>>>> empresas
>>>>>>>>> talvez como a SPAMHAUS e após fechado o peering, acabam
>>>> reanunciando
>>>>> os
>>>>>>>>> blocos para essas sessões pagas.
>>>>>>>>>
>>>>>>>>> Concluindo: Easy Money
>>>>>>>>>
>>>>>>>>> Pergunto: Alguém tem algum serviço do tipo para oferecer por
> um
>>>> preço
>>>>>>>> menor
>>>>>>>>> ?
>>>>>>>>>
>>>>>>>>> Obrigado
>>>>>>>>>
>>>>>>>>> Att
>>>>>>>>> Andre Almeida
>>>>>>>>> --
>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>> --
>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>
>>>>>>>> --
>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Douglas Fernando Fischer
>>>>> Engº de Controle e Automação
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list