[GTER] RES: Blackholes BGP - Security

Andre Almeida andre at bnet.com.br
Wed May 24 15:48:53 -03 2017


Qualquer regra de firewall em um Mikrotik faz o fastpath não funcionar.

Por isso não vale a pena manter como address-list em uma caixa sem regras.

Att
Andre Almeida

Em 24 de maio de 2017 13:52, Sávio Marques <
savio.marques at sustentatelecom.com.br> escreveu:

> Cria uma regra que utiliza a address-list para dropar.
>
>
>
> Em 24/05/2017 09:28, Andre Almeida escreveu:
>
>> A lista do Joshaven até cria, mas é address-list
>> Teria que usar firewall.
>>
>> Eu editei o script e fiz por aqui, mas demora bastante para ir removendo e
>> adicionado as rotas de blackhole staticamente, coisa que com BGP subiria
>> em
>> pouquissimo tempo.
>>
>> #!/bin/sh
>> saveTo=/mypath/
>> now=$(date);
>> ################# LISTA DSHIELD
>> echo "# LISTA GERADA EM $now" > $saveTo/dshield.rsc
>> echo "/ip route remove [find where comment="DShield_DROP"]" >>
>> $saveTo/dshield.rsc
>> echo ":delay 10s" >> $saveTo/dshield.rsc
>> echo "/ip route" >> $saveTo/dshield.rsc
>> wget -q -O - http://feeds.dshield.org/block.txt | awk --posix
>> '/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.0\t/ { print "add type=blackhole
>> dst-address=" $1 "/24 comment=DShield_DROP";}' >> $saveTo/dshield.rsc
>> echo ':log info "Removidas entradas de DShield e importada a nova lista";'
>>
>>> $saveTo/dshield.rsc
>>>>
>>> #
>> ################ LISTA DROP SPAMHAUS
>> echo "# LISTA GERADA EM $now" > $saveTo/drop_spamhaus.rsc
>> echo "/ip route remove [find where comment="SpamHaus_DROP"]" >>
>> $saveTo/drop_spamhaus.rsc
>> echo ":delay 10s" >> $saveTo/drop_spamhaus.rsc
>> echo "/ip route" >> $saveTo/drop_spamhaus.rsc
>> wget -q -O - http://www.spamhaus.org/drop/drop.lasso | awk --posix
>> '/[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\// { print "add
>> type=blackhole dst-address=" $1 " comment=SpamHaus_DROP";}' >>
>> $saveTo/drop_spamhaus.rsc
>> echo ':log info "Removidas entradas de SpamHaus DROP e importada a nova
>> lista";' >> $saveTo/drop_spamhaus.rsc
>> #
>> ############### LISTA EDROP SPAMHAUS
>> echo "# LISTA GERADA EM $now" > $saveTo/edrop_spamhaus.rsc
>> echo "/ip route remove [find where comment="SpamHaus_eDROP"]" >>
>> $saveTo/edrop_spamhaus.rsc
>> echo ":delay 10s" >> $saveTo/edrop_spamhaus.rsc
>> echo "/ip route" >> $saveTo/edrop_spamhaus.rsc
>> wget -q -O - http://www.spamhaus.org/drop/edrop.lasso | awk --posix
>> '/[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\// { print "add
>> type=blackhole dst-address=" $1 " comment=SpamHaus_eDROP";}' >>
>> $saveTo/edrop_spamhaus.rsc
>> echo ':log info "Removidas entradas de SpamHaus eDROP e importada a nova
>> lista";' >> $saveTo/edrop_spamhaus.rsc
>> #
>>
>>
>> Att,
>>
>> Andre Almeida
>>
>> Em 23 de maio de 2017 19:11, João de Sousa <joaodesousa at gmail.com>
>> escreveu:
>>
>> Boa noite.
>>>
>>> Só para deixar registrado para os entusiastas do Mikrotik... já existe
>>> implementações automáticas das listas da Spamhaus no Mikrotik:
>>> http://joshaven.com/resources/tricks/mikrotik-automatically-
>>> updated-address-list/
>>>
>>>
>>> Att.,
>>>
>>> João de Sousa.´.
>>>
>>> -----Mensagem original-----
>>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Andre Almeida
>>> Enviada em: terça-feira, 23 de maio de 2017 15:14
>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
>>> gter at eng.registro.br>
>>> Assunto: Re: [GTER] Blackholes BGP - Security
>>>
>>> Vc sabe o culsto Délsio ? dei uma olhada no site da SPAMHAUS mas não
>>> informa nada de custos.
>>>
>>> Andre Almeida
>>>
>>>
>>> Em 23 de maio de 2017 14:02, Délsio Cabá <delsio at gmail.com> escreveu:
>>>
>>> Spamhaus com BGP nao e de graca.
>>>>
>>>> Alguma outra alternativa?
>>>>
>>>> No dia 22 de maio de 2017 às 17:00, Bruno Cabral
>>>> <bruno at openline.com.br> escreveu:
>>>>
>>>>> Adicione ao que ja tem com cymru as redes da lista DROP do spamhaus
>>>>> e
>>>>>
>>>> tem de graça...
>>>>
>>>>>
>>>>> https://www.spamhaus.org/bgpf/
>>>>>
>>>>> !3runo
>>>>>
>>>>>
>>>>> --
>>>>> Cursos e Consultoria BGP e OSPF
>>>>> ________________________________
>>>>> De: gter <gter-bounces at eng.registro.br> em nome de Andre Almeida <
>>>>>
>>>> andre at bnet.com.br>
>>>>
>>>>> Enviado: segunda-feira, 22 de maio de 2017 10:56:15
>>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>>>>> Assunto: [GTER] Blackholes BGP - Security
>>>>>
>>>>> Amigos, temos um peering com o TeamCymrus para bogons IPv4 e também
>>>>> atualmente temos um peering com a empresa RR64, produto chamado
>>>>>
>>>> SafeBGP.
>>>
>>>> Essa empresa está nos cobrando anualmente R$ 1.300,00 para manter o
>>>>> peering, onde nos envia rotas e as marcamos como Blackhole.
>>>>>
>>>>> Verifiquei que muitas das rotas da RR64 são as mesmas do TeamCymrus
>>>>> e conclui que não é algo difícil de se implementar.
>>>>> Inclusive pelo que eu entendi existe um peering principal com
>>>>> empresas talvez como a SPAMHAUS e após fechado o peering, acabam
>>>>> reanunciando os blocos para essas sessões pagas.
>>>>>
>>>>> Concluindo: Easy Money
>>>>>
>>>>> Pergunto: Alguém tem algum serviço do tipo para oferecer por um
>>>>> preço
>>>>>
>>>> menor
>>>>
>>>>> ?
>>>>>
>>>>> Obrigado
>>>>>
>>>>> Att
>>>>> Andre Almeida
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list