[GTER] DDoS - Sugestão p/ IX.BR - 50% de desconto no preço da Porta

Douglas Fischer fischerdouglas at gmail.com
Tue May 29 14:27:46 -03 2018 

Tá gravando?
Chega mais perto... isso... mais perto...
^_^

Se depois que viu o assunto você veio babando para ler essa thread,
é muito provável que o órgão mais sensível do seu corpo seja...
"O BOLSO"!

Se você já sofreu com DDoS, você também deve saber quanto estrago um DDoS
pode fazer...
E quando eu falo de "estrago" não estou falando só dos clientes perdidos e
noites sem dormir dos "provedores que só em dinheiro".
Estou falando dos problemas causados aos clientes desses provedores que
podem ser:
 - Empresas que dependem desse link Internet para colocar pão na mesas das
famílias de seus funcionários.
 - Hospitais e serviços de segurança que dependam da Internet para garantir
a saúde e segurança da população.

Nas ultimas semanas eu me envolvi direta e indiretamente em 4 casos de
DoS/DDoS...
Houveram desde casos estúpidos de falhas grosseiras de configuração no lado
atacado,
até casos mais elaborados de ataques provenientes de Botnet com origens
Spoofadas.

Esse tipo de problema tem várias causas.
As TOP-2 são a falta de índole e a ganância das pessoas... To falando de
gente sem escrúpulos mesmo!
Mas esses casos, fogem do escopo técnico que pode consegue tratar aqui.
Então cabe a todos nós que fazemos a Internet Brasileira funcionar focarmos
na parte que conseguimos resolver.



E para isso quero fazer uma proposta à toda a comunidade da Internet
Brasileira

Sugiro ao IX.BR que DOBRE O CUSTO DA PORTA DE INTERCONEXÃO AO IX-SP(e
demais localidades)
Essa sugestão é extensível a todos os demais serviços de PTT no Brasil.


Pronto, agora todo mundo deve estar querendo me trucidar...
Calma! Eu explico:

A ideia é que não mude nada para quem faz as coisas "direitinho".
Basicamente, se o cabra está com a casa em ordem, ele vai receber um selo
de "não estou fazendo caquinha".
E com esse selo ele recebe um desconto de 50% do preço da porta de
interconexão ao IX.BR.

Ou seja: "Se você está fazendo tudo certo, não tem porque se preocupar!"

Esse lance de psicologia na base do "reforço positivo" é muito bonitinha...
Mas infelizmente é muito cara e lenta. E por ser lenta fica ainda mais cara.
Então vamos fazer o cara que está "fazendo xixi fora do penico" pagar pelo
custo extra de "limpeza do banheiro".


OK, OK... Eu sei que isso é algo polêmico, e que envolve uma logística bastante
complicada de análise para emissão desse selo.
Mas essa não é uma sugestão para algo imediatista. É algo que envolve um
brainstorm muito detalhado e um cronograma bem trabalhado.
E é justamente por isso que estou trazendo essa sugestão aqui...


Minha primeira ideia é algo relacionado ao https://www.manrs.org/
  1 - Não espalhar rotas erradas pela Internet
  2 - Não deixar spoofing sair da sua rede
  3 - Manter os canais de comunicação sempre ativos (e-mail/iNOC-DBA)
  4 - Facilitar validação de prefixos - Manter informações atualizadas
E também a RFC 7454.

Mas certamente deverá envolver outras patologias com DNA tipicamente
brasileiro como:
   - Eliminação de Loop Estático
   - Bloqueio de porta 25(IPv4 e IPv6)
   - Bloqueio de protocolos usados para amplificação(Ex.: SSDP)
   - Eliminação DNS Recursivos abertos par a Internet(salvo de uso
proposital)
   - Bogons (estáticos e dinâmicos) para /dev/null

E tem algumas áreas cinzas como:
   - Obrigatoriedade de políticas de communities
   - Adesão a serviços de blackhole distribuídos

Como falei, é algo que demandará BASTANTE discussão.


Existe a parte burocrática que deve ser muito bem pensada.
(principalmente para que não vire um mercado de extorsão como já aconteceu
com algumas certificações ISOs)
Sei que aqui na lista existem alguns colegas com larga experiência nessa
área, e gostaria de contar com a colaboração deles.


Essa ideia foi parida na beira de copos de cerveja(como a grande maioria
das boas ideias).
Quem me conhece sabe que ela está bem alinhada com minha linha de
pensamento...
Sugestões e criticas, desde que fundamentadas(sem mimimi por favor), serão
muito  bem recebidas.


E aí? Vamos construir uma Internet brasileira melhor e mais segura?





P.S.: Cada um de nós é apenas uma das engrenagens desse mecanismo que faz a
Internet funcionar.
      Quem importa de verdade é o usuário final.


-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list