[GTER] Fwd: Campanha Técnica IP-Spoofing

[André R. Landim]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


Bom dia senhor*s.

Ficamos gratos pelas considerações, elogios e alertas gerados aqui na lista. O material foi pensado com base em situações que enfrentamos durante o tratamento de incidentes e entendemos que é um problema geral.

Este material não é apenas mérito do CAIS/RNP, foram utilizadas diversas fontes para elaboração dos guias, inclusive o portal de boas práticas do NIC.Br, conforme citado aqui.
Nossa intenção é continuar/aproximar o trabalho junto ao NIC.Br e CERT.Br para elaborar mais guias considerando outros modelos de equipamentos para exemplo.

Em suma... Gostariamos de deixar nossos sinceros agradecimentos a equipe do NIC.Br/CERT.Br, RNP (engenharia e operações, principalmente) e aos analistas de nossos PoPs, Bertholdo por exemplo, que foram bem críticos ao material e a todos os demais aqui da lista.

Obrigado e até mais...

- --
Andre R. Landim
CAIS/RNP

-----BEGIN PGP SIGNATURE-----

iQIzBAEBCgAdFiEEPuBEc3GB7uYqEfdpzZiaTHZJt5wFAlpzFswACgkQzZiaTHZJ
t5yzUg/+IoFSoBDSsXGs+XWhWPjbzPW8bfj5Yx7zPfzas90610kogbLYj4kER0Ig
njbRVIC+mpSBe8VgnPq1aik/RvdGW8kP90cNFwSDa48wNSakL2pBjGMlZhGWIcq/
Fsm349ufE4Ea/C58Rh8+Ot4CERaseAwbJc79DXXPrMXQ6kkIPg2Cju/02LIrPfk+
w0FMv2AFSVjAEbyouFhHg0mIs+mV5pIwEPJkZG+vv4bGnUJPCMbUiOe88dzQqO/B
PTc4ePZyyEOGmYzrTMG9SHafoP8GQ2ClVaFxZSXu9cXBd2LcZdFYPNEKrJKnh8bR
dKRoKOVx0aRoufB4ngdKsZlbO0ILZCLKYtshbw0e6w6A6qsf/yG18yDLEahXdO2e
+S0fpXMv+2D8PPqNqUYI9na6BWgElNtrODjG+9vrVHmLLryYWeXDbhpb1YkDidoB
WionfqQva4ER7LeqEgLyZKEImgk6zb2OiU78s2YFFYB9AUzl+Mt1fyoQR5o5vNyd
EaEvB3WswzbX2v4rAxAPZAjyuR9Nl2lJ5ad+hNJQ+NK2mcbWAqkNSaLlGoz3YuSR
IV3B8mssH5A21/XVKzY7l7YpCwUfd2AIAsaeiltjJctmGaD/GSjimUbIQCRwqfv+
/5cqHiGkAXcInMeiNzVTEfASpWW4Dg3eja9wrvjKNpQz18DZiCg=
=4xkN
-----END PGP SIGNATURE-----


----- Mensagem original -----
De: "Douglas Fischer" <fischerdouglas at gmail.com>
Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <gter at eng.registro.br>
Enviadas: Quinta-feira, 1 de fevereiro de 2018 9:05:04
Assunto: Re: [GTER] Campanha Técnica IP-Spoofing

Uma coisa, não muito bonita, que faço por exemplo nos trânsitos que tem
RP-Filter para assegurar que o pacote consiga voltar por aquele caminho é
anunciar mais específico(geralmente /24) para o trânsito com no-export.

Assim, por mais que a conexão saia por um trânsito e volte por outro, não
será bloqueado por RP-Filter.


Em 1 de fevereiro de 2018 08:57, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Opa, acho que está havendo uma confusão de conceitos...
>
> RP-Filter não é statefull firewall.
> Não necessariamente a conexão precisa ter saído por aquela interface.
> É só um lookup na tabela para ver se existe rota para aquela interface
> apontando para alguma coisa que bata com a origem do pacote.
>
> A rota default pode ou não cobrir o RP-Filter lookup, depende da
> implementação.
>
>
>
> Em 31 de janeiro de 2018 21:42, Danton Nunes <danton.nunes at inexo.com.br>
> escreveu:
>
>> On Wed, 31 Jan 2018, Leandro Bertholdo wrote:
>>
>> * Se estiver na duvida, esquece RPF e colocar as ACLs simplezinhas nas
>>> tuas interfaces com teus provedores/PTT, permitindo sair somente teus
>>> blocos IPv4/v6 que já esta ajudando bastante!
>>>
>>
>> Bingo! na maior parte dos casos vão ser poucos prefixos na rede interna e
>> dos clientes, então filtrozinhos simples resolvem muito bem. Se houver
>> muitos prefixos, sessões BGP com vários parceiros, upstreams, e clientes,
>> aí a coisa muda de figura, pois você não sabe a priori quais são os blocos
>> a permitir.
>>
>>
>> -- Danton
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação
--
gter list    https://eng.registro.br/mailman/listinfo/gter