[MASOCH-L] RES: Cisco-Guard

Julio Arruda jarruda-gter at jarruda.com
Wed Dec 30 14:19:17 BRST 2009 

Cisco Guard, de acordo com a cisco, utilizava algo chamado "Peacetime learning" para poder filtrar melhor, o que e' consistente com o que o David falou (comportamento 'diferente' com e sem a mitigacao ativada)

Disclaimer, trabalho na Arbor..


On Dec 30, 2009, at 10:43 AM, Rafael M. Koike wrote:

> O Download é via HTTP?
> Manda um exemplo do site que você está fazendo download.
> O Guard tem configurações e tunnings sim, só precisa saber o que está
> acontecendo para acertar na ferramenta.
> Outra coisa importante, Guard não é IDS, ele não fica IN-LINE onde seu
> tráfego está passando, mas ele fica passivo na rede, e quando é detectado um
> ataque ele é ativado e via BGP o trafego é enviado para ele.
> A ativação do Guard pode ser feita de forma automática através de
> ferramentas de monitoramento via NetFlow como Narus, PeakFlow, Lancope, etc.
> ou manualmente, onde o operador no NOC ativa no Guard a mitigação de uma
> determinada zona de proteção (Pode ser uma subnet ou um IP especifico que
> está sendo protegido).
> Mas forneça mais detalhes, está muito esquisito esse comportamento, porque
> não parece ser característico do Guard acontecer isso.
> 
> 
> Abs,
> Rafael M. Koike
> 
> -----Mensagem original-----
> De: masoch-l-bounces at eng.registro.br
> [mailto:masoch-l-bounces at eng.registro.br] Em nome de david at infonet.com.br
> Enviada em: quarta-feira, 30 de dezembro de 2009 10:02
> Para: masoch-l at eng.registro.br
> Assunto: [MASOCH-L] Cisco-Guard
> 
> 
> 
>   Olá pessoal,
> 
>      Temos contratado com a Embratel um backbone internet e devido a  
> ataques (internacional) recentes de negação de serviço a mesma colocou  
> todas as nossas redes em uma ferramta de IDS, chamada Cisco-guard.
> 
>      O problema é que desde então não conseguimos  mais realizar  
> simples downloads, qualquer tentativa de download internacional que  
> seja originada pelas redes que estão no Cisco-Guard são congelados em  
> +- 1,2 Mb de dados.
> 
>      Me parece ser alguma configuração relacionada ao "nível de  
> sensibilidade" do Cisco-Guard. Mas segundo a embratel esse problema  
> não tem solução, ou utilizamos a ferramenta assim, ou não a utilizamos.
> 
>      Alguem da lista já passou por situação semelhante?  
> 
>   --
> David Magno Santos de Almeida
> Suporte Técnico
> InfoNet - Soluções Internet
> (0xx79) 2106-8000
> david at infonet.com.br
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
> 
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list