[GTER] DDoS - Sugestão p/ IX.BR - 50% de desconto no preço da Porta

Rogerio Mariano rsouza.rjo at gmail.com
Wed May 30 00:58:01 -03 2018 

Olá Douglas,

Bom dia !

Eu vou fugir um pouco do seu texto principal e vou focar no início do
título que para mim é o ponto fulcral: DDoS.

Um coisa que chama atenção é que no ecossistema de ISPs do Brasil o termo
"segurança" e "proteção da infraestrutura" por incrível que pareça é uma
coisa distante  e pergunto para você: No horizonte de mais de 7000 ISPs no
país, quantos ou qual o percentual desse total tem como arcabouço a *RFC
3013 *(uma RFC com 18 anos, mas que se seguida a risca ainda é muito
poderosa), ou seguem as recomendações da *RFC 6192* ou da *RFC 7454* ?

 Eu inclusive já ouvi gestor de ISP médio, quando indagado sobre essa
questão, me responder que RFC é coisa de orientador de mestrado. Enfim,
existem muitas variáveis nesse contexto, mas no geral *o ISP no Brasil é
desprotegido por natureza, por ignorância e/ou por negligência*. Feliz é
aquele ISP que tem condições de poder pagar ao seu upstream um serviço de
"clean-pipe" ou adquirir um próprio (o hacker com codinome "Guerreiro", que
mais parece que saiu do programa do Ratinho e vem assombrando muitos ISPs
regionais esta aí para provar isso, soubemos no ultimo LACNIC que teve
cliente literalmente jogando o CPE de volta dentro do ISP por conta disso).

Pensando somente em DDoS, uma outra coisa que pouco ouço dizer no cenário
dos ISPs nacionais é *BGP-FS* (RFC 5575), uma solução extremamente poderosa
contra DDoS, com muita coisa vigente em soluções fechadas (Cisco, Juniper,
Huawei, Nokia, Brocade, Extreme) e soluções abertas (ExaBGP, GoBGP, FRR);
eu sou novato no GTER, mas não vi na lista um debate expressivo sobre isso,
posso estar cometendo uma injustiça, talvez no GTS seja mais vigente, mas
creio que seja uma funcionalidade de extrema validade quando o assunto é
DDoS e que poderia esta sendo debatida de forma mais ampla, inclusive aqui.

Por cultura existe sempre um hiato entre os grupos de operações de redes e
os CSIRTs, mas pensado de forma fria sobre ambiente de ISP no Brasil, aqui
vale muito a crença que Telnet, SSH e ACL protegem mais que São Jorge
(protegi o router ou switch contra um SYN Flood, já posso ir jantar né ?!),
quando na verdade pontos mais básicos como proteção de acesso inband, AAA,
proteção de plano de controle, filtro contra endereço de spoof e uRPF
deveriam estar no sangue de cada ISP Brasileiro e por muitas vezes são
ignorados. Outro ponto que pode esta atenuando essa fragilidade pode estar
relacionado a problemas ligados a treinamento para respostas a incidentes,
orçamento e pessoal.

Enfim, o DDoS sempre vai existir e por muitas vezes é muito difícil de se
conter (segundo notícias publicas da Arbor, houveram 7,5 milhões de ataques
de DDoS em 2017), mas da maneira que percebo hoje no cenário do ISP
brasileiro, estão estendendo o tapete vermelho para a chegada dele.


Att,

RM.





Em 29 de maio de 2018 14:27, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Tá gravando?
> Chega mais perto... isso... mais perto...
> ^_^
>
> Se depois que viu o assunto você veio babando para ler essa thread,
> é muito provável que o órgão mais sensível do seu corpo seja...
> "O BOLSO"!
>
> Se você já sofreu com DDoS, você também deve saber quanto estrago um DDoS
> pode fazer...
> E quando eu falo de "estrago" não estou falando só dos clientes perdidos e
> noites sem dormir dos "provedores que só em dinheiro".
> Estou falando dos problemas causados aos clientes desses provedores que
> podem ser:
>  - Empresas que dependem desse link Internet para colocar pão na mesas das
> famílias de seus funcionários.
>  - Hospitais e serviços de segurança que dependam da Internet para garantir
> a saúde e segurança da população.
>
> Nas ultimas semanas eu me envolvi direta e indiretamente em 4 casos de
> DoS/DDoS...
> Houveram desde casos estúpidos de falhas grosseiras de configuração no lado
> atacado,
> até casos mais elaborados de ataques provenientes de Botnet com origens
> Spoofadas.
>
> Esse tipo de problema tem várias causas.
> As TOP-2 são a falta de índole e a ganância das pessoas... To falando de
> gente sem escrúpulos mesmo!
> Mas esses casos, fogem do escopo técnico que pode consegue tratar aqui.
> Então cabe a todos nós que fazemos a Internet Brasileira funcionar focarmos
> na parte que conseguimos resolver.
>
>
>
> E para isso quero fazer uma proposta à toda a comunidade da Internet
> Brasileira
>
> Sugiro ao IX.BR que DOBRE O CUSTO DA PORTA DE INTERCONEXÃO AO IX-SP(e
> demais localidades)
> Essa sugestão é extensível a todos os demais serviços de PTT no Brasil.
>
>
> Pronto, agora todo mundo deve estar querendo me trucidar...
> Calma! Eu explico:
>
> A ideia é que não mude nada para quem faz as coisas "direitinho".
> Basicamente, se o cabra está com a casa em ordem, ele vai receber um selo
> de "não estou fazendo caquinha".
> E com esse selo ele recebe um desconto de 50% do preço da porta de
> interconexão ao IX.BR.
>
> Ou seja: "Se você está fazendo tudo certo, não tem porque se preocupar!"
>
> Esse lance de psicologia na base do "reforço positivo" é muito bonitinha...
> Mas infelizmente é muito cara e lenta. E por ser lenta fica ainda mais
> cara.
> Então vamos fazer o cara que está "fazendo xixi fora do penico" pagar pelo
> custo extra de "limpeza do banheiro".
>
>
> OK, OK... Eu sei que isso é algo polêmico, e que envolve uma logística
> bastante
> complicada de análise para emissão desse selo.
> Mas essa não é uma sugestão para algo imediatista. É algo que envolve um
> brainstorm muito detalhado e um cronograma bem trabalhado.
> E é justamente por isso que estou trazendo essa sugestão aqui...
>
>
> Minha primeira ideia é algo relacionado ao https://www.manrs.org/
>   1 - Não espalhar rotas erradas pela Internet
>   2 - Não deixar spoofing sair da sua rede
>   3 - Manter os canais de comunicação sempre ativos (e-mail/iNOC-DBA)
>   4 - Facilitar validação de prefixos - Manter informações atualizadas
> E também a RFC 7454.
>
> Mas certamente deverá envolver outras patologias com DNA tipicamente
> brasileiro como:
>    - Eliminação de Loop Estático
>    - Bloqueio de porta 25(IPv4 e IPv6)
>    - Bloqueio de protocolos usados para amplificação(Ex.: SSDP)
>    - Eliminação DNS Recursivos abertos par a Internet(salvo de uso
> proposital)
>    - Bogons (estáticos e dinâmicos) para /dev/null
>
> E tem algumas áreas cinzas como:
>    - Obrigatoriedade de políticas de communities
>    - Adesão a serviços de blackhole distribuídos
>
> Como falei, é algo que demandará BASTANTE discussão.
>
>
> Existe a parte burocrática que deve ser muito bem pensada.
> (principalmente para que não vire um mercado de extorsão como já aconteceu
> com algumas certificações ISOs)
> Sei que aqui na lista existem alguns colegas com larga experiência nessa
> área, e gostaria de contar com a colaboração deles.
>
>
> Essa ideia foi parida na beira de copos de cerveja(como a grande maioria
> das boas ideias).
> Quem me conhece sabe que ela está bem alinhada com minha linha de
> pensamento...
> Sugestões e criticas, desde que fundamentadas(sem mimimi por favor), serão
> muito  bem recebidas.
>
>
> E aí? Vamos construir uma Internet brasileira melhor e mais segura?
>
>
>
>
>
> P.S.: Cada um de nós é apenas uma das engrenagens desse mecanismo que faz a
> Internet funcionar.
>       Quem importa de verdade é o usuário final.
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list