[GTER] Campanha Técnica IP-Spoofing
Leandro Bertholdo
berthold at penta.ufrgs.br
Wed Jan 31 17:58:08 -02 2018
Esse é um ponto bem importante que o Danton já lembrou de cara, mas no
documento da RNP está bem marcado:
anexo_a_-_tutorial_implantacao_cisco_v3-_clientes.pdf
<snip>
"Os comandos a seguir são exemplos genéricos de configuração, informamos
que ambientes
Multihomed necessitam de maior atenção na implantação do RPF, e caso não
se aplique,
recomendamos a configuração dos demais filtros após uma avaliação prévia
de impacto em seu
cenário."
</snip>
tá lá no doc, agora se habilitou e não leu.... [segue o ditado popular]
:-)
Pela minha experiencia:
* se o se o cara só tem duas interfaces (uplink/rota default e rede
local) habilita RPF-strict e pronto, nem precisa de ACL
* se é multihomed faz as ACLs e esquece RFP (pode usar rpf-check mas
descartar baseado em RPF é procurar encrenca)
* se faz NAT na caixa, aí, benza Deus...só ACL e com cuidado.
* se tem múltiplas VRFs, ou multiplos protocolos na mesma interface
(mcast, v4, v6, mpls,...) vai ter que estudar ;-)
E outros pontos:
* só precisa se preocupar com filtros nas bordas do AS (interfaces com
provedores e clientes), fazer qualquer coisa em roteadores internos ao
AS é só para dar trabalho e gerar LOG. Traz pouco/nenhum beneficio!
* Implementar é mais simples que parece. É só não complicar!
* Se estiver na duvida, esquece RPF e colocar as ACLs simplezinhas nas
tuas interfaces com teus provedores/PTT, permitindo sair somente teus
blocos IPv4/v6 que já esta ajudando bastante!
[]s
Leandro Bertholdo
------ Original Message ------
From: "Andrio Prestes Jasper" <mascaraapj at gmail.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: 31/01/2018 17:04:57
Subject: Re: [GTER] Campanha Técnica IP-Spoofing
>Eu não digo colocar o rp-filter no bgp ou equipamento de borda, mas sim
>nos
>PE e CE.
>PE como loose.
>CE como strict.
>
>Isso já ajudaria um bocado.
>
>Em 31 de janeiro de 2018 14:40, Danton Nunes
><danton.nunes at inexo.com.br>
>escreveu:
>
>>On Wed, 31 Jan 2018, Andrio Prestes Jasper wrote:
>>
>>haa se todos configurassem o RP-Filter, uma parte do problema já
>>estaria
>>>resolvido.
>>>
>>
>>Humm, não. RP filter quebra roteamento assimétrico, um pacote sai por
>>uma
>>interface, se a resposta voltar por outra interface, o que é muito
>>comum
>>quando você tem mais de um 'upstream', ele acaba bloqueado. a BCP-84
>>tem
>>uma boa discussão sobre o problema.
>>
>>Se houver só um upstream, como é co caso, por exemplo, de uma CPE, é
>>um
>>bom recurso.
>>
>>
>>-- Danton
>>--
>>gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
>--
>*Andrio prestes Jasper*
>(65) 9 9320-3170 / 8444-0040
>
>
>[image: LinkedIn] <https://htmlsig.com/t/000001CV280A> [image: Skype]
><https://htmlsig.com/t/000001CZSRMM>
>--
>gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list