[GTER] Blackholes BGP - Security

[Douglas Fischer]

@Kurt, Até entendo o que quer dizer, e concordo com o argumento, em
partes...
Porém sou um otimista incorrigível!

O grande lance é que essa solução de BlackHole Distribuído é a única[1]
ferramenta que existe que viabiliza matar a cobra perto do ninho...
E, a depender da colaboração do todos, tem tudo para funcionar.

A UTRS é só um alguém que viabilizou a implementação desse conceito.
Até ontem eu não sabia que era isso que a UTRS fazia, mas já gostava do
conceito.


Eu acredito FORTEMENTE que órgãos de controle(que não tenham relação
comercial) devam ter um papel mais impositivo nesse aspecto.

No caso do Brasil estou falando especificamente do NIC.
 - Para o cabra conseguir o ASN+Bloco não tem que rebolar e ajustar IGP,
contratar link, planejar isso, executar aquilo?
 - Porque não tornar implementação de Anti-Spoofing vindo de dentro de sua
rede algo obrigatório(flames >/dev/null) para conectar-se ao IX.BR?



[1]Não tenho conhecimento sobre a existência de outras tecnologias que
possam mitigar o mais próximo da origem o possível Ataques de DoS...


Em 24 de maio de 2017 17:05, Kurt Kraut <listas at kurtkraut.net> escreveu:

> Senhores,
>
>
> O UTRS não é o Emplasto Brás Cubas. O resultado dele não difere muito de um
> blackhole em seu upstream: os demais sistemas autônomos que participam do
> projeto deixarão de enviar tráfego destinado aos /32 que você anunciar para
> o UTRS. E os AS que não participam do UTRS, ou seja, 99,99% da internet?
> Continuarão te mandando tráfego, seja DDoS, seja tráfego legítimo.
>
> Entre o blackhole em seu upstream que garante que você não receberá pelo
> trânsito tráfego destinado a um dado IP e o UTRS, o blackhole no upstream é
> muito mais poderoso e útil.
>
>
> Abraços,
>
> Kurt Kraut
>
> Em 24 de maio de 2017 12:54, Henrique de Moraes Holschuh <hmh at hmh.eng.br>
> escreveu:
>
> > On Wed, 24 May 2017, Douglas Fischer wrote:
> > > Quão complicado seria um projeto em que se coloca-se o UTRS como um
> peer
> > > dos Route-servers e se redistribui-se as rotas deles com uma community
> > > específica de Black-Hole para os participantes dos IX.BR?
> > >
> > > Sei que é um retrabalho, afinal é só o ASN participar do UTRS e o
> > resultado
> > > seria o mesmo.
> > > Mas a efetividade considerando a penetração imagino que seria maior.
> >
> > Alguém que participa da UTRS pode descrever em detalhes os processos e
> > procedimentos eles usam para validar os prefixos que um AS pode anunciar
> > para a UTRS?
> >
> > Eu acho que é nesse ponto que estarão todas as questões realmente
> > importantes.
> >
> > > Ou então, voltamos a falar daquela ideia de um trabalho quase de
> > reciclagem
> > > e tutoria pelo CGI para com os ASNs...
> > >  - Como estão seus filtros de Anti-Spoofing internos?
> > >    - Access-list ou RPF?
> > >  - Já tem Team-Cymru e UTRS habilitado?
> > >
> > >
> > > P.S.: Eu considero o Spoofing mais venenoso que as Bots, mas isso é
> > achismo
> > > meu.
> >
> > Um jeito típico de responder essa questão seria amostrar na sua rede o
> > quanto de spoofing existe, e quais protocolos e portas estão sendo
> > spoofados para tentar fazer uma ideia do objetivo do tráfego spoofed.
> >
> > Bots tem a tendência de, hoje em dia, serem plataformas de ataque bem
> > perigosas tanto para tudo o que estiver ao redor, quanto para o próprio
> > host.  DNS spoof para todos os usos, IP spoof para ataque volumétrico,
> > ataques de impersonalização (acusar alguém de acesso sites proibidos,
> > para blackmail -- ou em certos países, até para justificar uma ordem de
> > busca e apreensão), e principalmente envio de SPAM via hijack de SMTP
> > autenticado, e instalação de spyware.
> >
> > --
> >   Henrique Holschuh
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação