[MASOCH-L] RES: Cisco-Guard
david at infonet.com.br
david at infonet.com.br
Wed Dec 30 14:56:24 BRST 2009
Olá Srs.
Sim, o download é via http. Ele (o problema) ocorre quando a origem
é qualquer um internacional, por exemplo o link que segue abaixo, um
pdf de um manual da 3com.
http://support.3com.com/infodeli/tools/switches/baseline/3Com_Baseline-Switch-2916-2924_User-Guide.pdf[1]
Quando a rede é removida do Cisco Guard os downloads voltam a
operar normalmente, mas em contra-partida passamos a sofrer ataques em
nossa rede, ao ponto de negar os serviços.
Infelizmente a operação do Cisco-Guard está sob a responsabilidade
do NOC da Embratel, e que pela última informação que obtive deles é
que o Cisco-guard é como quase uma "caixa preta", as configurações já
vêm estabelecidas de fábrica e não se pode customizar muito.
Particulamente não acredito muito nisso.
Citando Julio Arruda <jarruda-gter at jarruda.com>:
> Cisco Guard, de acordo com a cisco, utilizava algo chamado
> "Peacetime learning" para poder filtrar melhor, o que e'
> consistente com o que o David falou (comportamento 'diferente' com
> e sem a mitigacao ativada)
>
> Disclaimer, trabalho na Arbor..
>
>
> On Dec 30, 2009, at 10:43 AM, Rafael M. Koike wrote:
>
>> O Download é via HTTP?
>> Manda um exemplo do site que você está fazendo download.
>> O Guard tem configurações e tunnings sim, só precisa saber o que está
>> acontecendo para acertar na ferramenta.
>> Outra coisa importante, Guard não é IDS, ele não fica IN-LINE onde seu
>> tráfego está passando, mas ele fica passivo na rede, e quando é detectado um
>> ataque ele é ativado e via BGP o trafego é enviado para ele.
>> A ativação do Guard pode ser feita de forma automática através de
>> ferramentas de monitoramento via NetFlow como Narus, PeakFlow, Lancope, etc.
>> ou manualmente, onde o operador no NOC ativa no Guard a mitigação de uma
>> determinada zona de proteção (Pode ser uma subnet ou um IP especifico que
>> está sendo protegido).
>> Mas forneça mais detalhes, está muito esquisito esse comportamento, porque
>> não parece ser característico do Guard acontecer isso.
>>
>>
>> Abs,
>> Rafael M. Koike
>>
>> -----Mensagem original-----
>> De: masoch-l-bounces at eng.registro.br
>> [mailto:masoch-l-bounces at eng.registro.br] Em nome de david at infonet.com.br
>> Enviada em: quarta-feira, 30 de dezembro de 2009 10:02
>> Para: masoch-l at eng.registro.br
>> Assunto: [MASOCH-L] Cisco-Guard
>>
>>
>>
>> Olá pessoal,
>>
>> Temos contratado com a Embratel um backbone internet e devido a
>> ataques (internacional) recentes de negação de serviço a mesma colocou
>> todas as nossas redes em uma ferramta de IDS, chamada Cisco-guard.
>>
>> O problema é que desde então não conseguimos mais realizar
>> simples downloads, qualquer tentativa de download internacional que
>> seja originada pelas redes que estão no Cisco-Guard são congelados em
>> +- 1,2 Mb de dados.
>>
>> Me parece ser alguma configuração relacionada ao "nível de
>> sensibilidade" do Cisco-Guard. Mas segundo a embratel esse problema
>> não tem solução, ou utilizamos a ferramenta assim, ou não a utilizamos.
>>
>> Alguem da lista já passou por situação semelhante?
>>
>> --
>> David Magno Santos de Almeida
>> Suporte Técnico
>> InfoNet - Soluções Internet
>> (0xx79) 2106-8000
>> david at infonet.com.br
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l[2]
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l[3]
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l[4]
>
--
David Magno Santos de Almeida
Suporte Técnico
InfoNet - Soluções Internet
(0xx79) 2106-8000
david at infonet.com.br
Links:
------
[1]
http://support.3com.com/infodeli/tools/switches/baseline/3Com_Baseline-Switch-2916-2924_User-Guide.pdf
[2] https://eng.registro.br/mailman/listinfo/masoch-l
[3] https://eng.registro.br/mailman/listinfo/masoch-l
[4] https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list