[GTER] Blackholes BGP - Security

Lucas Willian Bocchi lucas.bocchi at gmail.com
Wed May 24 09:32:07 -03 2017


O maior problema são redes que deixam sair tráfego spoofado dos seus
roteadores...

Em 24 de maio de 2017 00:35, Sávio Marques <
savio.marques at sustentatelecom.com.br> escreveu:

> O Importante é que todos trabalhem juntos para o bem comum, como falei
> para um amigo, se todos começassem a cuidar do seu trafego, muita coisa
> seria, evitada.
>
> sei que tem muita gente trabalhando para melhorar sua rede e assim vamos
> conseguir um bem maior.
>
>
>
> Em 23/05/2017 21:05, Andre Almeida escreveu:
>
>> Sim, isso é claro.
>>
>> Os ataques param quando você anuncia seus prefixos para a UTRS, desde que
>> os AS que serviam de trânsito ou o AS de origem também possua peering com
>> a
>> UTRS
>>
>>
>> André Almeida
>>
>>
>> * Email enviado através de dispositivo móvel.
>>
>> Em 23 de mai de 2017 8:52 PM, "Bruno Cabral" <bruno at openline.com.br>
>> escreveu:
>>
>> Nao é dificil criar uma politica de comunidades (*)
>>
>>
>> Mas o simples fato de receber rotas da UTRS nao te livra de ataques, pois
>> os pacotes precisam chegar no seu roteador para ser descartados
>>
>>
>> !3runo
>>
>>
>> --
>> Cursos e Consultoria BGP e OSPF
>> http://www.openline.com.br/cursos/
>>
>> (*) Algo trivial como (exemplo mikrotik)
>>
>> /routing filter
>>
>> add chain=cliente-in prefix-length=32 prefix=a.b.c.d/e
>> bgp-communities=seuas:666 action=accept
>> add chain=cliente-in prefix-length=e-24 prefix=a.b.c.d/e
>> set-bgp-communities=seuas:1 action=accept
>> add chain=cliente-in action=discard
>>
>> add chain=operadora-out prefix-length=32 bgp-communities=seuas:666
>> set-bgp-communities=operadoraas:666 action=accept
>> add chain=operadora-out bgp-communities=seuas:1 action=accept
>> add chain=operadora-out action=discard
>>
>> onde seuas:666 e operadoraas:666 sao respectivamente a comunidade que o
>> cliente deve marcar e o que a operadora usa para blackhole, a.b.c.d/e é o
>> bloco CIDR do cliente e seuas:1 a comunidade que identificará as redes
>> validas de seus clientes de transito (pra nao ter que listar todas no
>> filtro operadora-out)
>>
>>
>> ________________________________
>> De: gter <gter-bounces at eng.registro.br> em nome de Andre Almeida <
>> andre at bnet.com.br>
>> Enviado: terça-feira, 23 de maio de 2017 15:13:25
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: Re: [GTER] Blackholes BGP - Security
>>
>> A maioria das operadoras até tem politica de community...
>>
>> Mas, muitas vezes existem parcerias entre ASs, onde compram uma banda
>> maior
>> com uma tier 1 e revendem para menores.
>> E nesses casos muitas vezes não possuem uma community determinada.
>>
>> Sim, é dever desse "revendedor" ter uma politica de blackhole.... mas
>> muitas vezes não tem.
>> E ai? vai ficar enchendo o saco do NOC para criar uma ou vai usar um UTRS
>> da vida pra tentar se proteger de alguma maneira ?
>>
>> Att,
>>
>> Andre Almeida
>>
>> Em 23 de maio de 2017 13:06, Lista <lista.gter at gmail.com> escreveu:
>>
>> E por que não usar community de blackhole da própria operadora?
>>>
>>> Qual a vantagem do uso desta lista ao invés da community?
>>>
>>> Em 23 de maio de 2017 12:54, Iure da Luz <iurekamai at gmail.com> escreveu:
>>>
>>> É possível ver os participantes do UTRS?
>>>>
>>>>
>>>>
>>>>
>>>> <http://www.eletronluz.com.br/>
>>>>
>>>>
>>>> *Eletron Luz - Soluções em Tecnologia*
>>>>
>>>> Rua José Magalhães, 151A - Centro
>>>> Boa Vista - RR - Brasil
>>>>
>>>> Tel:  95 3224-7751
>>>>
>>>> Fax: 95 3623-7751
>>>> www.eletronluz.com.br<http://www.eletronluz.com.br>
>>>>
>>>>
>>>>
>>>> *Iure da Luz*
>>>>
>>>> Diretor Comercial
>>>>
>>>>
>>>> Skype: iuredaluz
>>>> Fixo:     95 3198-8700
>>>>
>>>> Móvel:  95 99902-3303
>>>>
>>>> Em 23 de maio de 2017 10:42, Andre Almeida <andre at bnet.com.br>
>>>> escreveu:
>>>>
>>>> Mas é uma distribuição de blackholes.
>>>>> Você anuncia seus /32 por ali, todos os participantes recebem e marcam
>>>>>
>>>> seus
>>>>
>>>>> /32 como blackholes.
>>>>>
>>>>> Na teoria não depende de community junto à operadora, e quanto mais
>>>>> participantes, maior a possibilidade de barrar o ataque em sua(s)
>>>>> origem(s).
>>>>>
>>>>>
>>>>> Att,
>>>>>
>>>>> Andre Almeida
>>>>>
>>>>> Em 23 de maio de 2017 09:38, Douglas Fischer <fischerdouglas at gmail.com
>>>>> escreveu:
>>>>>
>>>>> Eu confesso que nunca entendi direito ​essa solução do UTRS.
>>>>>> Eu não consigo ver efetividade de mitigação de DDoS...
>>>>>>
>>>>>> Só faria sentido para mim se ele fosse um acordo de Distributed
>>>>>>
>>>>> BlackHole.
>>>>>
>>>>>> Mas não é o que eu entendi que é a função do UTRS.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Em 22 de maio de 2017 17:42, Raul Bartolamei por (gter) <
>>>>>> gter at eng.registro.br> escreveu:
>>>>>>
>>>>>> Consegue me dizer se vale a pena?
>>>>>>>
>>>>>>> att;
>>>>>>>
>>>>>>>
>>>>>>> ===================
>>>>>>> Raul Bartolamei
>>>>>>> www.desbrava.com.br<http://www.desbrava.com.br>
>>>>>>> raul at desbrava.com.br
>>>>>>> 049-3323-9394
>>>>>>> ===================
>>>>>>>
>>>>>>>
>>>>>>> Em 22 de mai de 2017, à(s) 17:15, Andre Almeida <
>>>>>>>>
>>>>>>> andre at bnet.com.br
>>>
>>>> escreveu:
>>>>>>>
>>>>>>>> Nós usamos aqui.
>>>>>>>>
>>>>>>>> Att,
>>>>>>>>
>>>>>>>> Andre Almeida
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Em 22 de maio de 2017 16:41, Raul Bartolamei por (gter) <
>>>>>>>> gter at eng.registro.br> escreveu:
>>>>>>>>
>>>>>>>> alguém usa esse serviço do UTRS?
>>>>>>>>>
>>>>>>>>> http://www.team-cymru.org/UTRS/index.html
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> ===================
>>>>>>>>> Raul Bartolamei
>>>>>>>>> www.desbrava.com.br<http://www.desbrava.com.br>
>>>>>>>>> raul at desbrava.com.br
>>>>>>>>> 049-3323-9394
>>>>>>>>> ===================
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em 22 de mai de 2017, à(s) 12:00, Bruno Cabral <
>>>>>>>>>>
>>>>>>>>> bruno at openline.com.br>
>>>>>>
>>>>>>> escreveu:
>>>>>>>>>
>>>>>>>>>> Adicione ao que ja tem com cymru as redes da lista DROP do
>>>>>>>>>>
>>>>>>>>> spamhaus e
>>>>>
>>>>>> tem de graça...
>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> https://www.spamhaus.org/bgpf/
>>>>>>>>>>
>>>>>>>>>> !3runo
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> --
>>>>>>>>>> Cursos e Consultoria BGP e OSPF
>>>>>>>>>> ________________________________
>>>>>>>>>> De: gter <gter-bounces at eng.registro.br> em nome de Andre
>>>>>>>>>>
>>>>>>>>> Almeida <
>>>>
>>>>> andre at bnet.com.br>
>>>>>>>>>
>>>>>>>>>> Enviado: segunda-feira, 22 de maio de 2017 10:56:15
>>>>>>>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>>>>>>>>>> Assunto: [GTER] Blackholes BGP - Security
>>>>>>>>>>
>>>>>>>>>> Amigos, temos um peering com o TeamCymrus para bogons IPv4 e
>>>>>>>>>>
>>>>>>>>> também
>>>>
>>>>> atualmente temos um peering com a empresa RR64, produto
>>>>>>>>>>
>>>>>>>>> chamado
>>
>>> SafeBGP.
>>>>>>>
>>>>>>>> Essa empresa está nos cobrando anualmente R$ 1.300,00 para
>>>>>>>>>>
>>>>>>>>> manter o
>>>>
>>>>> peering, onde nos envia rotas e as marcamos como Blackhole.
>>>>>>>>>>
>>>>>>>>>> Verifiquei que muitas das rotas da RR64 são as mesmas do
>>>>>>>>>>
>>>>>>>>> TeamCymrus e
>>>>>
>>>>>> conclui que não é algo difícil de se implementar.
>>>>>>>>>> Inclusive pelo que eu entendi existe um peering principal com
>>>>>>>>>>
>>>>>>>>> empresas
>>>>>>
>>>>>>> talvez como a SPAMHAUS e após fechado o peering, acabam
>>>>>>>>>>
>>>>>>>>> reanunciando
>>>>>
>>>>>> os
>>>>>>
>>>>>>> blocos para essas sessões pagas.
>>>>>>>>>>
>>>>>>>>>> Concluindo: Easy Money
>>>>>>>>>>
>>>>>>>>>> Pergunto: Alguém tem algum serviço do tipo para oferecer por
>>>>>>>>>>
>>>>>>>>> um
>>
>>> preço
>>>>>
>>>>>> menor
>>>>>>>>>
>>>>>>>>>> ?
>>>>>>>>>>
>>>>>>>>>> Obrigado
>>>>>>>>>>
>>>>>>>>>> Att
>>>>>>>>>> Andre Almeida
>>>>>>>>>> --
>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>> --
>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>
>>>>>>>>>> --
>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>
>>>>>>>>> --
>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>>>
>>>>>>
>>>>>> --
>>>>>> Douglas Fernando Fischer
>>>>>> Engº de Controle e Automação
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list