[GTER] Blackholes BGP - Security

[Henrique de Moraes Holschuh]

On Wed, 24 May 2017, Douglas Fischer wrote:
> HMH sempre me ajudando a clarear as ideias!

Ao seu dispor :-)

> Me surge uma ideia!
> Pacotes que venham de sua rede para esses Black-Holes podem ser legítimos,
> mas muito provavelmente serão pacotes provenientes de Ataques.

Sim, mas não importa muito se são legítimos: quem anunciou o prefixo
para a lista de blackhole (UTRS no caso) explicitamente declarou que
*vai descartar* todos estes pacotes...  Ou seja, quanto antes forem os
pacotes descartados, melhor para todo mundo.

Como você colocou bem, alguns dos pacotes podem até ser legítimos, então
não dá para colocar cliente que estiver enviando tais pacotes direto no
"cercadinho" assumindo que ele está zumbizado... a menos que seja um
volume bem grande deles :-)

Cabe ficar de olho, quando possível: se você está descartando muito
pacote devido à uma lista de blackhole, é bom olhar com cuidado tudo o
que estiver produzindo estes pacotes na sua rede...

> Com uma Exportação de Flows antes do >/dev/null e isso pode ser usado como
> métrica para identificação de BotNets...

Sim.  Outro uso típico é, no lugar de rotear o "IP de descarte" para
/dev/null, ter um túnel GRE para uma caixa de inspeção de tráfego, e
rotear esse IP para dentro do túnel.

> (Alerta para invenção da roda)
> Será que existe algum trabalho nessa linha?

Tem sim, aliás a forma padrão de lidar com isso é: ter um IP que
descarta tudo (em todos os roteadores), e direcionar blackholes para
esse IP, e uma *subrede* de IPs + túneis GRE ou MPLS em alguns
roteadores chave (ou todos, se aguentarem) cuja outra ponta fica numa
caixa de inspeção de tráfego (um end-host que tem todos os IPs na
subrede de inspeção, e que grava via tcpdump ou coisa que o valha todo o
tráfego que recebe, em um arquivo separado para cada IP destino).

Aí, você manipula no iBGP/IGP para direcionar blackhole "não quero nem
ver" para o IP de descarte (que existe em todos/quase todos os seus
roteadores), e blackhole "quero inspecionar" para um dos IPs da subrede
tunelada -- que vai via túnel até a "caixa de inspeção".

Usa-se vários IPs na subrede tunelada "de inspeção" para poder mais
facilmente acompanhar vários eventos simultaneamente -- fica mais fácil
separar o que é o que na caixa de inspeção de tráfego.

Em IPv6, tem até um RFC separando uma faixa específica para esse tipo de
uso.  Não existe equivalente em IPv4, mas as faixas de documentação são
boas para isso :-p -- só lembre de descartar bidirecionalmente nas CPEs
dos clientes essas faixas, se usá-las para qualquer coisa, *inclusive*
inspeção de tráfego blackholed.

-- 
  Henrique Holschuh