[GTER] DDoS - Sugestão p/ IX.BR - 50% de desconto no preço da Porta

Fernando Frediani fhfrediani at gmail.com
Fri Jun 1 20:59:12 -03 2018 

Olá Douglas

Apesar de polêmica a proposta a princípio parece interessante. Como você 
pontuou requer uma discussão mais aprofundada principalmente para não 
prejudicar quem esteja em processo de fazer tudo de acordo com as boas 
práticas mas possa ter alguma dificuldade momentânea que fuja do seu 
controle.

Particularmente vou na mesma linha de pensamento que essa psicologia do 
"reforço positivo" as vezes acaba parecendo chover no molhado.

Caso a sugestão evolua vou deixar abaixo alguns pontos que me vieram a 
mente que podem ser considerados:

- Aumento progressivo de 50% até 100% do valor para dar algum tempo 
mínimo para adequação.
- 'Grace period' para novos entrantes
- Disponibilização de ferramentas self-service para verificação de 
conformidade (qualquer coisa nova no IX , mesmo que boa deve prever 
automatização desde o dia zero para evitar a oneração da equipe de 
suporte/engenharia)
- E claro material mínimo de orientação como feito com as communities.

Também vale se atentar para jamais isso chegar perto à como você bem 
citou o "mercado de extorsão para certificações ISO". Por isso uma lista 
de checkpoints bem definida e sem muita firula ajuda principalmente o 
próprio ASN a entender o porque não esta atendendo a determinado requisito.
Alguns dos pontos da lista citados cabem alguma discussão, outros como 
não permitir IP Spoofing para conexões residências acho que não tem 
muito o que discutir. Ou teria ?

Fernando

On 29/05/2018 14:27, Douglas Fischer wrote:
> Tá gravando?
> Chega mais perto... isso... mais perto...
> ^_^
>
> Se depois que viu o assunto você veio babando para ler essa thread,
> é muito provável que o órgão mais sensível do seu corpo seja...
> "O BOLSO"!
>
> Se você já sofreu com DDoS, você também deve saber quanto estrago um DDoS
> pode fazer...
> E quando eu falo de "estrago" não estou falando só dos clientes perdidos e
> noites sem dormir dos "provedores que só em dinheiro".
> Estou falando dos problemas causados aos clientes desses provedores que
> podem ser:
>   - Empresas que dependem desse link Internet para colocar pão na mesas das
> famílias de seus funcionários.
>   - Hospitais e serviços de segurança que dependam da Internet para garantir
> a saúde e segurança da população.
>
> Nas ultimas semanas eu me envolvi direta e indiretamente em 4 casos de
> DoS/DDoS...
> Houveram desde casos estúpidos de falhas grosseiras de configuração no lado
> atacado,
> até casos mais elaborados de ataques provenientes de Botnet com origens
> Spoofadas.
>
> Esse tipo de problema tem várias causas.
> As TOP-2 são a falta de índole e a ganância das pessoas... To falando de
> gente sem escrúpulos mesmo!
> Mas esses casos, fogem do escopo técnico que pode consegue tratar aqui.
> Então cabe a todos nós que fazemos a Internet Brasileira funcionar focarmos
> na parte que conseguimos resolver.
>
>
>
> E para isso quero fazer uma proposta à toda a comunidade da Internet
> Brasileira
>
> Sugiro ao IX.BR que DOBRE O CUSTO DA PORTA DE INTERCONEXÃO AO IX-SP(e
> demais localidades)
> Essa sugestão é extensível a todos os demais serviços de PTT no Brasil.
>
>
> Pronto, agora todo mundo deve estar querendo me trucidar...
> Calma! Eu explico:
>
> A ideia é que não mude nada para quem faz as coisas "direitinho".
> Basicamente, se o cabra está com a casa em ordem, ele vai receber um selo
> de "não estou fazendo caquinha".
> E com esse selo ele recebe um desconto de 50% do preço da porta de
> interconexão ao IX.BR.
>
> Ou seja: "Se você está fazendo tudo certo, não tem porque se preocupar!"
>
> Esse lance de psicologia na base do "reforço positivo" é muito bonitinha...
> Mas infelizmente é muito cara e lenta. E por ser lenta fica ainda mais cara.
> Então vamos fazer o cara que está "fazendo xixi fora do penico" pagar pelo
> custo extra de "limpeza do banheiro".
>
>
> OK, OK... Eu sei que isso é algo polêmico, e que envolve uma logística bastante
> complicada de análise para emissão desse selo.
> Mas essa não é uma sugestão para algo imediatista. É algo que envolve um
> brainstorm muito detalhado e um cronograma bem trabalhado.
> E é justamente por isso que estou trazendo essa sugestão aqui...
>
>
> Minha primeira ideia é algo relacionado aohttps://www.manrs.org/
>    1 - Não espalhar rotas erradas pela Internet
>    2 - Não deixar spoofing sair da sua rede
>    3 - Manter os canais de comunicação sempre ativos (e-mail/iNOC-DBA)
>    4 - Facilitar validação de prefixos - Manter informações atualizadas
> E também a RFC 7454.
>
> Mas certamente deverá envolver outras patologias com DNA tipicamente
> brasileiro como:
>     - Eliminação de Loop Estático
>     - Bloqueio de porta 25(IPv4 e IPv6)
>     - Bloqueio de protocolos usados para amplificação(Ex.: SSDP)
>     - Eliminação DNS Recursivos abertos par a Internet(salvo de uso
> proposital)
>     - Bogons (estáticos e dinâmicos) para /dev/null
>
> E tem algumas áreas cinzas como:
>     - Obrigatoriedade de políticas de communities
>     - Adesão a serviços de blackhole distribuídos
>
> Como falei, é algo que demandará BASTANTE discussão.
>
>
> Existe a parte burocrática que deve ser muito bem pensada.
> (principalmente para que não vire um mercado de extorsão como já aconteceu
> com algumas certificações ISOs)
> Sei que aqui na lista existem alguns colegas com larga experiência nessa
> área, e gostaria de contar com a colaboração deles.
>
>
> Essa ideia foi parida na beira de copos de cerveja(como a grande maioria
> das boas ideias).
> Quem me conhece sabe que ela está bem alinhada com minha linha de
> pensamento...
> Sugestões e criticas, desde que fundamentadas(sem mimimi por favor), serão
> muito  bem recebidas.
>
>
> E aí? Vamos construir uma Internet brasileira melhor e mais segura?
>
>
>
>
>
> P.S.: Cada um de nós é apenas uma das engrenagens desse mecanismo que faz a
> Internet funcionar.
>        Quem importa de verdade é o usuário final.
>
>

More information about the gter mailing list