[GTER] Blackholes BGP - Security

Douglas Fischer fischerdouglas at gmail.com
Wed May 24 09:45:53 -03 2017


Ai eu pergunto ao NIC:

Quão complicado seria um projeto em que se coloca-se o UTRS como um peer
dos Route-servers e se redistribui-se as rotas deles com uma community
específica de Black-Hole para os participantes dos IX.BR?

Sei que é um retrabalho, afinal é só o ASN participar do UTRS e o resultado
seria o mesmo.
Mas a efetividade considerando a penetração imagino que seria maior.


Ou então, voltamos a falar daquela ideia de um trabalho quase de reciclagem
e tutoria pelo CGI para com os ASNs...
 - Como estão seus filtros de Anti-Spoofing internos?
   - Access-list ou RPF?
 - Já tem Team-Cymru e UTRS habilitado?


P.S.: Eu considero o Spoofing mais venenoso que as Bots, mas isso é achismo
meu.


Em 23 de maio de 2017 21:52, Henrique de Moraes Holschuh <hmh at hmh.eng.br>
escreveu:

> On Tue, 23 May 2017, Bruno Cabral wrote:
> > Nao é dificil criar uma politica de comunidades (*)
> >
> > Mas o simples fato de receber rotas da UTRS nao te livra de ataques,
> pois os pacotes precisam chegar no seu roteador para ser descartados
>
> Hmm, a ideia de participar da UTRS é você colocar blackhole na _sua_
> saída para os prefixos que você receber da UTRS, e assim evitar que a
> _sua_ rede ataque *os outros*.
>
> Ou seja, a UTRS contém prefixos que marcam tráfego que deve ser
> descartado.  Um uso típico de feeds como a UTRS é trocar o nexthop do
> que receber da feed para um IP privado de sacrifício que você configurou
> como rota de descarte nos seus roteadores internos, e propagar isso no
> iBGP/IGP.
>
> Cliente seu que estiver na botnet vai ter o tráfego de ataque descartado
> no primeiro roteador de acesso, livrando (parte do?) seu backbone, suas
> saídas de borda com trânsito/peer, e ajudando a vítima do ataque (já que
> diminui o tráfego que tenta chega no alvo do ataque).  Melhor para todo
> mundo.
>
> Evidentemente a recíproca é veradeira, e quando você resolver anunciar
> um /32 seu que esteja sob ataque para a UTRS, vai diminuir o tráfego de
> ataque cruzando a rede de todo mundo que participa da UTRS (e vai
> diminuir o volume do ataque que chega até os seus upstreams e/ou IX).
>
> O único detalhe nesse troço é a parte de "confiar desconfiando" no que
> vai receber da feed de blackhole (seja UTRS, ou qualquer outra).  Vai
> precisar filtrar.
>
> --
>   Henrique Holschuh
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list