[lacnog] DDoS, ataques de amplificacion y BCP38

Eduardo Trápani etrapani en gmail.com
Jue Abr 4 09:56:58 BRT 2013


>> Creo que una acción coordinada de NRO/RIRs para administración de
>> servidoras DNS con el objetivo de insistir en detalle en "best
>> practices" es tan importante cuanto la iniciativa de CGI.br de proponer
>> a las operadoras/proveedores de banda ancha el manejo de la puerta 25
>> (que en Brasil ha tenido un éxito muy relevante).

Solo espero que el alabar esa medida no incluya proponer por ejemplo
bloquear el 53 entrante en los hogareños ...  Con el mismo tipo de
argumentación del 25 (hasta se vería más sólida en el caso del 53 porque
sí puede afectar la estabilidad de la red) se podría hacer sin problemas.

Ojalá que la pelea por el end-to-end no termine en end-to-end lleno de
agujeritos.  Y ciudado, porque proponer seguir bloqueando hace que las
alternativas a end-to-end sean más fáciles (en una CGN no hay que
preocuparse de bloquear los entrantes y los salientes los podés
centralizar en la fase final de conversión, escalable o no, en la
solución de corto alcance, es mucho más fácil).

Por eso no insistiría en cosas como el manejo de la puerta X a nivel de
operadores.  Para mí es un mal camino, no tiene cota: 25, 53, y ¿161 y
162?  También SNMP estaba mencionado en el artículo del NY Times.  ¿Y si
hacemos al revés dejamos sólo el udp 53 saliente, el tcp 80 y 443?
Bueno, y el 22 para los geeks ;).  Sí, estoy exagerando :), pero me
parece que hay que tener cuidado con lo que uno propone como soluciones
genéricas.

Eduardo.

PD: nunca recibí el original del mensaje de arriba, que citó Arturo.



Más información sobre la lista de distribución LACNOG