<div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace">Como dije en un principio, la idea era tener un set de recomendaciones básicas a seguir para poder demostrar al cliente que el carrier/isp no se queda de brazos cruzados con respecto a los ataques hacia los clientes.</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">Además, durante el BoF mostraron una herramienta de Team Cymru. Adjunto el link</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style=""><font face="monospace, monospace"><a href="http://www.team-cymru.org/UTRS/index.html">http://www.team-cymru.org/UTRS/index.html</a></font><br></div><div class="gmail_default" style=""><font face="monospace, monospace"><br></font></div><div class="gmail_default" style=""><font face="monospace, monospace">No la investigué demasiado, pero lo que entendí (perdón si entendí mal) es que hay un set de peers BGP similar al de los bogons, pero esta vez los ISP son los que anuncian redes que quieren que los demás pongan en null0.</font></div><div class="gmail_default" style=""><font face="monospace, monospace"><br></font></div><div class="gmail_default" style=""><font face="monospace, monospace">Si bien este parece ser un proyecto pago, podríamos llegar a hacer uno colaborativo entre los operadores de LAC.</font></div><div class="gmail_default" style=""><font face="monospace, monospace"><br></font></div><div class="gmail_default" style=""><font face="monospace, monospace">S2!</font></div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-10-07 19:17 GMT-03:00 Alejandro D'Egidio <span dir="ltr"><<a href="mailto:adegidio@telecentro.net.ar" target="_blank">adegidio@telecentro.net.ar</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-family:Times New Roman;font-size:12pt;color:#000000"><div>Hola Nicolás:<br></div><div><br></div><div> Claro, seguramente no expliqué el punto de vista de mi comentario. Como usuario final, creo que prácticamente no hay nada que uno pueda hacer para evitar un ataque por DDoS por esto es que creo que hay que trasladar esta responsabilidad a los Operadores/ISPs/Carriers, que fue desde donde encaré mis comentarios iniciales. Desde un ISP están todas las tecnologías disponibles para detectar y mitigar un ataque, solo resta que se invierta en este tipo de soluciones.</div><div><br></div><div> Ahora viendo tus comentarios, quizá yo interpreté mal el sentido de esta BCOP donde se intentaba ver desde otro punto de vista esto y no desde el punto de vista en que yo expresé mis comentarios. Si es así, les pido disculpas.</div><span class=""><div><br></div><div><br></div><div>Saludos,</div><div><span name="x"></span><p><b><span face="arial, helvetica, sans-serif" style="font-family:arial,helvetica,sans-serif">Alejandro D'Egidio<br></span></b><span face="arial, helvetica, sans-serif" size="2" style="font-family:arial,helvetica,sans-serif;font-size:small">Jefe de Ingeniería de Backbone</span><br><span face="arial, helvetica, sans-serif" style="font-family:arial,helvetica,sans-serif"><span style="font-size:small;color:rgb(31,73,125)"><a href="mailto:adegidio@telecentro.net.ar" target="_blank">adegidio@telecentro.net.ar</a></span></span></p><p><span face="arial, helvetica, sans-serif" style="font-family:arial,helvetica,sans-serif"><span size="2" style="font-size:small">Apolinario
Figueroa 254 | Tel: <a href="tel:54%2011%203977%201025" value="+541139771025" target="_blank">54 11 3977 1025</a></span><br><span size="2" style="font-size:small">C1414EDF | CABA
| Argentina</span><br><b><span size="2" style="font-size:small">TELECENTRO S.A.</span><br></b><span size="1" style="font-size:xx-small"><u></u><br><u></u>ESTE MENSAJE ES
CONFIDENCIAL. Puede contener información amparada por el secreto profesional.
Si usted ha recibido este e-mail por error, por favor comuníquenoslo
inmediatamente vía e-mail y tenga la amabilidad de eliminarlo de su sistema; no
deberá copiar el mensaje ni divulgar su contenido a ninguna persona. Muchas
gracias.<br> <br>THIS MESSAGE IS
CONFIDENTIAL. It may also contain information that is privileged or otherwise
legally exempt from disclosure. If you have received it by mistake please let
us know by e-mail immediately and delete it from your system; should also not
copy the message nor disclose its contents to anyone. Many thanks.</span></span></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"><u></u><u></u></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"><u></u><u></u></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"><u></u><u></u></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"><u></u><u></u></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"><u></u><u></u></p><span name="x"></span><br></div><hr></span><div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt"><b>De: </b>"Nicolas Macia" <<a href="mailto:nmacia@cert.unlp.edu.ar" target="_blank">nmacia@cert.unlp.edu.ar</a>><br><b>Para: </b><a href="mailto:bcop@lacnog.org" target="_blank">bcop@lacnog.org</a><br><b>Enviados: </b>Miércoles, 7 de Octubre 2015 17:28:48<br><b>Asunto: </b>Re: [BCOP] BCOP Proposal: "Posibles acciones a tomar ante un DDoS. "<div><div class="h5"><br><div><br></div>
Hola Alejandro, la idea que yo me lleve de la reunión, era ver si se
podia hacer algo o no ante un ataque de DDOS con una botnet.<br>
<br>
En principio, uno no puede hacer mucho para evitar la DDOS, pero
creo que estaría bueno que los operadores conozcan que acciones
pueden realizar como para intentar bajar el C&C server (command
and control) utilizado para instruir las acciones de los bots.<br>
<br>
Esto obviamente requiere coordinación y cooperación, pero no es
imposible. Lo que no se es que tanto ruido/daño tiene que hacer como
para que se actue con mas o menos celeridad.<br>
<br>
<br>
saludos<br>
nicolas<br>
<br>
<br>
<div>El 07/10/15 a las 16:51, Alejandro
D'Egidio escribió:<br>
</div>
<blockquote>
<div style="font-family:Times New Roman;font-size:12pt;color:#000000">
<div>Hola Ariel:<br>
</div>
<div><br>
</div>
<div> No sé si es que no hay mucho para hacer. Creo que en
realidad depende en gran medida de un tema de inversión y
compromiso por parte de los Carriers/ISPs. Hay diferentes
arquitecturas y funcionalidades en cada tipo de tecnología
para la detección, obviamente la mitigación ya pasa por un
tema mas de "fuerza bruta" para aguantar ese tráfico.</div>
<div><br>
</div>
<div> Para la detección existen varias plataformas/soluciones
que permiten hacer esto. Muchos de ellos se basan en un
esquema de unbrales según cada tipo de tráfico (TCP, UDP,
Puertos, Cantidad de flujos, etc), por ej:</div>
<div>
<ul>
<li>DPI: Muchos proveedores cuentan con esta tecnología y la
mayoría de estos cuenta con una funcionalidad de detección
de DDoS en base a umbrales. Una vez detectado el ataque se
puede enviar traps de SNMP a una monitoria, bloquear
manual o automáticamente e incluso se puede realizar un
HTTP Redirect al cliente hacia un portal con información
del ataque que se filtro. Tengamos en cuenta en que el
cliente puede ser parte generadora del ataque (ej Virus) y
se le tenga que bloquear el servicio por lo que en la
redicción HTTP ya tendría información de lo que pasa y con
quién se puede comunicar para solucionar su problema, etc.
Obviamente esta platoforma requiere que todo el tráfico
pase a través de la misma para detectar y mitigar.</li>
<li>PeakFlow de ARBOR y similares: Este tipo de plataformas
están dedicadas a este tipo de problemas. Lo interesante
es que no es necesario que todo el tráfico esté pasando a
través de ellos. Básicamente se establece una sesión BGP
con un Router de Borde por ejemplo y se exporta Netflow a
este equipo. El equipo va analizando todo el tráfico en
base a la información que recibe de netflow y cuando
detecta un ataque inyecta un prefijo BGP específico
(apuntando a este equipo) para el destino atacado
provocando que el tráfico que va a ese destino sea
redireccionado a él y de esta manera mitigar el ataque
puntual.</li>
<li>Servicios de Carriers: Ya hay varios Carriers y
soluciones "en la nube" para mitigación de ataques de DDoS
donde cada uno tiene su modalidad de cobro. Para los
servicios en la nube por lo general se instala un equipo
en el ISP el cual funciona como compresor/descompresor de
tráfico y cache para tráfico que es redireccionado desde
puntos importantes como el NAP de las Américas.</li>
<li>Black Hole: Esta opción clásica se trata de que cuando
un ISP detecta un ataque a una IP en su red, se anuncia el
prefijo atacado por BGP con una comunidad determinada.
Esto genera que en el Upstream Provider se descarte todo
tráfico a esta IP (null0). El problema claro de esto es
que el cliente atacado queda efectivamente sin servicio
por lo que el ISP termina "ayudando" al atacante. Esta
solución por lo general es mas que nada para no terminar
afectando todos los servicios del ISP y evitar congestión
en vínculos.</li>
</ul>
<div><br>
</div>
<div> Se podría avanzar en detalle sobre cada modelo.</div>
<div><br>
</div>
<div>Saludos,</div>
</div>
<div><span></span>
<p><b><span style="font-family:arial,helvetica,sans-serif">Alejandro D'Egidio<br>
</span></b><span style="font-family:arial,helvetica,sans-serif;font-size:small">Jefe de
Ingeniería de Backbone</span><br>
<span style="font-family:arial,helvetica,sans-serif"><span style="font-size:small;color:rgb(31,73,125)"><a href="mailto:adegidio@telecentro.net.ar" target="_blank">adegidio@telecentro.net.ar</a></span></span></p>
<p><span style="font-family:arial,helvetica,sans-serif"><span style="font-size:small">Apolinario
Figueroa 254 | Tel: <a href="tel:54%2011%203977%201025" value="+541139771025" target="_blank">54 11 3977 1025</a></span><br>
<span style="font-size:small">C1414EDF | CABA
| Argentina</span><br>
<b><span style="font-size:small">TELECENTRO S.A.</span><br>
</b><span style="font-size:xx-small"><br>
ESTE MENSAJE ES
CONFIDENCIAL. Puede contener información amparada por el
secreto profesional.
Si usted ha recibido este e-mail por error, por favor
comuníquenoslo
inmediatamente vía e-mail y tenga la amabilidad de
eliminarlo de su sistema; no
deberá copiar el mensaje ni divulgar su contenido a
ninguna persona. Muchas
gracias.<br>
<br>
THIS MESSAGE IS
CONFIDENTIAL. It may also contain information that is
privileged or otherwise
legally exempt from disclosure. If you have received it
by mistake please let
us know by e-mail immediately and delete it from your
system; should also not
copy the message nor disclose its contents to anyone.
Many thanks.</span></span></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"></p>
<p class="MsoNormal" style="font-size:12pt;font-family:'Times New Roman'"></p>
<span></span><br>
</div>
<hr>
<div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt"><b>De:
</b>"Ariel Weher" <a href="mailto:ariel@weher.net" target="_blank"><ariel@weher.net></a><br>
<b>Para: </b>"This list is to discuss BCOPs in LACNOG"
<a href="mailto:bcop@lacnog.org" target="_blank"><bcop@lacnog.org></a><br>
<b>Enviados: </b>Miércoles, 7 de Octubre 2015 16:13:57<br>
<b>Asunto: </b>[BCOP] BCOP Proposal: "Posibles acciones a
tomar ante un DDoS. "<br>
<div><br>
</div>
<div dir="ltr">
<div class="gmail_default" style="font-family:monospace,monospace">Estimados:<br>
</div>
<div class="gmail_default" style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default" style="font-family:monospace,monospace">Si bien estamos de
acuerdo que muchas veces no hay mucho que hacer, los
participantes del BoF pidieron que elaboremos un listado
de acciones a tomar para poder demostrar al cliente de que
el carrier está haciendo lo posible por mitigar los
ataques.</div>
<div class="gmail_default">
<div class="gmail_default"><br>
</div>
<div class="gmail_default"><span style="font-family:monospace,monospace"><br>
</span></div>
<div class="gmail_default"><span style="font-family:monospace,monospace">El
motivo de este e-mail es iniciar el thread. Adjunten
sus comentarios en este correo.</span></div>
<div class="gmail_default"><span style="font-family:monospace,monospace"><br>
</span></div>
<div class="gmail_default"><span style="font-family:monospace,monospace">También
debemos definir quién será el encargado del tema.</span></div>
<div class="gmail_default"><span style="font-family:monospace,monospace"><br>
</span></div>
<div class="gmail_default"><span style="font-family:monospace,monospace">Saludos!</span></div>
</div>
</div>
<br>
_______________________________________________<br>
BCOP mailing list<br>
<a href="mailto:BCOP@lacnog.org" target="_blank">BCOP@lacnog.org</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/bcop" target="_blank">https://mail.lacnic.net/mailman/listinfo/bcop</a><br>
</div>
<div><br>
</div>
</div>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
BCOP mailing list
<a href="mailto:BCOP@lacnog.org" target="_blank">BCOP@lacnog.org</a>
<a href="https://mail.lacnic.net/mailman/listinfo/bcop" target="_blank">https://mail.lacnic.net/mailman/listinfo/bcop</a>
</pre>
</blockquote>
<br>
<br>_______________________________________________<br>BCOP mailing list<br><a href="mailto:BCOP@lacnog.org" target="_blank">BCOP@lacnog.org</a><br><a href="https://mail.lacnic.net/mailman/listinfo/bcop" target="_blank">https://mail.lacnic.net/mailman/listinfo/bcop</a><br></div></div></div><div><br></div></div></div><br>_______________________________________________<br>
BCOP mailing list<br>
<a href="mailto:BCOP@lacnog.org">BCOP@lacnog.org</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/bcop" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/bcop</a><br>
<br></blockquote></div><br></div>