[MASOCH-L] DROP list
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Mon Nov 7 09:36:17 BRST 2011
On 05-11-2011 16:03, Eduardo Schoedler wrote:
> Eu esperaria a versão em bgp, nos moldes da Cymru. Manter isso na mão
> grande é pedir para que de problemas.
A spamhaus já poderia ter disponibilizado a DROP em formato BGP faz
anos, se não fez ainda, é porque provavelmente não vai fazer.
E depois, feed BGP para isso só resolve metade do problema mesmo...
assim como a bogons da Cymru, a única forma realmente responsável de
utilizar uma lista negra dessas é validar cada prefixo na lista, colocar
no ar com filtragem para não aceitar nenhum outro prefixo, e com isso
usar a feed BGP apenas como ferramenta para remover prefixos muito
rapidamente quando eles saírem da blocklist.
Ou você vai confiar cegamente num terceiro com o qual nem contrato tem,
para causar blackholes na sua borda sem supervisão?
Mesmo se eles nunca traírem a sua confiança, todo mundo erra de vez em
quando, e ainda por cima essas blacklists são alvos preferenciais para
alguém que queira causar bagunça: subverta a listagem da DROP ou da
bogons da CYMRU, e cause um DoS no seu alvo a custo zero de banda.
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the masoch-l
mailing list