[GTER] Blackholes BGP - Security

Kurt Kraut listas at kurtkraut.net
Wed May 24 17:05:31 -03 2017


Senhores,


O UTRS não é o Emplasto Brás Cubas. O resultado dele não difere muito de um
blackhole em seu upstream: os demais sistemas autônomos que participam do
projeto deixarão de enviar tráfego destinado aos /32 que você anunciar para
o UTRS. E os AS que não participam do UTRS, ou seja, 99,99% da internet?
Continuarão te mandando tráfego, seja DDoS, seja tráfego legítimo.

Entre o blackhole em seu upstream que garante que você não receberá pelo
trânsito tráfego destinado a um dado IP e o UTRS, o blackhole no upstream é
muito mais poderoso e útil.


Abraços,

Kurt Kraut

Em 24 de maio de 2017 12:54, Henrique de Moraes Holschuh <hmh at hmh.eng.br>
escreveu:

> On Wed, 24 May 2017, Douglas Fischer wrote:
> > Quão complicado seria um projeto em que se coloca-se o UTRS como um peer
> > dos Route-servers e se redistribui-se as rotas deles com uma community
> > específica de Black-Hole para os participantes dos IX.BR?
> >
> > Sei que é um retrabalho, afinal é só o ASN participar do UTRS e o
> resultado
> > seria o mesmo.
> > Mas a efetividade considerando a penetração imagino que seria maior.
>
> Alguém que participa da UTRS pode descrever em detalhes os processos e
> procedimentos eles usam para validar os prefixos que um AS pode anunciar
> para a UTRS?
>
> Eu acho que é nesse ponto que estarão todas as questões realmente
> importantes.
>
> > Ou então, voltamos a falar daquela ideia de um trabalho quase de
> reciclagem
> > e tutoria pelo CGI para com os ASNs...
> >  - Como estão seus filtros de Anti-Spoofing internos?
> >    - Access-list ou RPF?
> >  - Já tem Team-Cymru e UTRS habilitado?
> >
> >
> > P.S.: Eu considero o Spoofing mais venenoso que as Bots, mas isso é
> achismo
> > meu.
>
> Um jeito típico de responder essa questão seria amostrar na sua rede o
> quanto de spoofing existe, e quais protocolos e portas estão sendo
> spoofados para tentar fazer uma ideia do objetivo do tráfego spoofed.
>
> Bots tem a tendência de, hoje em dia, serem plataformas de ataque bem
> perigosas tanto para tudo o que estiver ao redor, quanto para o próprio
> host.  DNS spoof para todos os usos, IP spoof para ataque volumétrico,
> ataques de impersonalização (acusar alguém de acesso sites proibidos,
> para blackmail -- ou em certos países, até para justificar uma ordem de
> busca e apreensão), e principalmente envio de SPAM via hijack de SMTP
> autenticado, e instalação de spyware.
>
> --
>   Henrique Holschuh
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list