[GTER] Campanha Técnica IP-Spoofing

Wed Jan 31 17:58:08 -02 2018

Esse é um ponto bem importante que o Danton já lembrou de cara, mas no 
documento da RNP está bem marcado:

anexo_a_-_tutorial_implantacao_cisco_v3-_clientes.pdf
<snip>
"Os comandos a seguir são exemplos genéricos de configuração, informamos 
que ambientes
Multihomed necessitam de maior atenção na implantação do RPF, e caso não 
se aplique,
recomendamos a configuração dos demais filtros após uma avaliação prévia 
de impacto em seu
cenário."
</snip>

tá lá no doc, agora se habilitou e não leu.... [segue o ditado popular] 
:-)

Pela minha experiencia:
  * se o se o cara só tem duas interfaces (uplink/rota default e rede 
local) habilita RPF-strict e pronto, nem precisa de ACL
  * se é multihomed faz as ACLs e esquece RFP (pode usar rpf-check mas 
descartar baseado em RPF é procurar encrenca)
  * se faz NAT na caixa, aí, benza Deus...só ACL e com cuidado.
  * se tem múltiplas VRFs, ou multiplos protocolos na mesma interface 
(mcast, v4, v6, mpls,...) vai ter que estudar ;-)

E outros pontos:
* só precisa se preocupar com filtros nas bordas do AS (interfaces com 
provedores e clientes), fazer qualquer coisa em roteadores internos ao 
AS é só para dar trabalho e gerar LOG. Traz pouco/nenhum beneficio!
* Implementar é mais simples que parece. É só não complicar!
* Se estiver na duvida, esquece RPF e colocar as ACLs simplezinhas nas 
tuas interfaces com teus provedores/PTT, permitindo sair somente teus 
blocos IPv4/v6 que já esta ajudando bastante!

[]s
Leandro Bertholdo

------ Original Message ------
From: "Andrio Prestes Jasper" <mascaraapj at gmail.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
<gter at eng.registro.br>
Sent: 31/01/2018 17:04:57
Subject: Re: [GTER] Campanha Técnica IP-Spoofing

>Eu não digo colocar o rp-filter no bgp ou equipamento de borda, mas sim 
>nos
>PE e CE.
>PE como loose.
>CE como strict.
>
>Isso já ajudaria um bocado.
>
>Em 31 de janeiro de 2018 14:40, Danton Nunes 
><danton.nunes at inexo.com.br>
>escreveu:
>
>>On Wed, 31 Jan 2018, Andrio Prestes Jasper wrote:
>>
>>haa se todos configurassem o RP-Filter, uma parte do problema já 
>>estaria
>>>resolvido.
>>>
>>
>>Humm, não. RP filter quebra roteamento assimétrico, um pacote sai por 
>>uma
>>interface, se a resposta voltar por outra interface, o que é muito 
>>comum
>>quando você tem mais de um 'upstream', ele acaba bloqueado. a BCP-84 
>>tem
>>uma boa discussão sobre o problema.
>>
>>Se houver só um upstream, como é co caso, por exemplo, de uma CPE, é 
>>um
>>bom recurso.
>>
>>
>>-- Danton
>>--
>>gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
>--
>*Andrio prestes Jasper*
>(65) 9 9320-3170 / 8444-0040
>
>
>[image: LinkedIn]  <https://htmlsig.com/t/000001CV280A> [image: Skype]
><https://htmlsig.com/t/000001CZSRMM>
>--
>gter list    https://eng.registro.br/mailman/listinfo/gter