[lacnog] Amenaza DDoS

Nicolas Antoniello nantoniello en gmail.com
Dom Dic 20 01:52:52 BRST 2015


Hola Ivan,

Creo que más allá del tema puntual que originalmente nos ocupa, es
importante (como mencionas) que los operadores locales que no te dan ese
servicio reciban la petición "formal" de sus clientes para implementarlo.
En el caso de Telefonica, TASA desconozco si lo brinda pero TIWS
(Telefonica Internacional) te aseguro que si... No creo que sea complicado
que lo trasladen e implementen a nivel local y puede ser un diferenciador
de los otros... Lo mismo aplica a Telecom AR.

Si alguno necesita ayuda en la implementación, sobra know how en esta
comunidad... Todo sea por mejorar y aplicar las BCPs de BGP en la región.
Incluso pienso que podemos agregar un practico de implementación de dos o
tres de estos servicios en el tutorial del próximo LACNOG.

Saludos,
Nico

El El sáb, 19 de dic. de 2015 a las 17:19, Ivan Chapero <
info en ivanchapero.com.ar> escribió:

> Christian, para ponerte en contexto.
> TASA (Telefónica AR) no me admitía ni la MED en un enlace a ellos con dos
> puntos de peering.
>
> Ni Telecom, ni TASA tiene siquiera un looking-glass. Parece violento el
> comentario pero en muchos aspectos son más acotados con las herramientas
> BGP que nosotros, los siempre mal vistos ISPs broadband.
>
> RTBH, por lo menos para nosotros, no existe técnicamente con los carriers
> nacionales habituales. Por eso consultaba al contacto que comentó que pudo
> implementarlo en todos, me pareció importantisimo contar con los contactos
> técnicos que admitieron eso.
>
>
> Slds. Gracias por el link.
>
>
> El 16 de diciembre de 2015, 9:56, Christian O'Flaherty <
> christian.oflaherty en gmail.com> escribió:
>
>> Ivan, en la mayoría de los casos, el servicio debería estar habilitado
>> sin que tengas que pedirlo (antes puse el ejemplo de NTT porque me
>> pareció raro tener que pedirlo). Si te configuran la sesión BGP con
>> funcionalidad para modificar el localpref seguramente también estarán
>> incluyendo el blackhole.
>>
>> Si conseguís la comunidad que usa tu upstream, podés hacer la prueba
>> con un /32 IPv4 sin pedir permiso (posiblemente no puedas anunciar mas
>> que eso). En el caso de Level3 la publican en radb... aunque tal vez
>> en Arg todavía usan el as3549 (no recuerdo cual era el # en GLBX, pero
>> no era secreto y estaba configurado por default para todos)
>>
>> Buscando cual era la comunidad que usaba el as3549 encontré esta
>> presentaciones hecha para el foro de operadores de Brasil:
>> ftp://ftp.registro.br/pub/gter/gter18/03-gblx.BlackHole.pdf
>>
>> Christian
>>
>> 2015-12-16 0:10 GMT-03:00 Ivan Chapero <info en ivanchapero.com.ar>:
>> > Estimado,
>> >
>> > viendo los mails anteriores, hay un par de operadores que lograron
>> > implementar RTBH con TECO y TASA, seria muy útil si podrían facilitar el
>> > contacto interno de dichos carriers que pueda destrabar la solicitud de
>> > dicha función.
>> >
>> > Administro el BGP de varios ISPs (pequeños), por lo que tuve contacto
>> > forzado con ejecutivos e ingenieros de cuentas totalmente variados. En
>> todos
>> > los casos cuando se les pide RTBH parece que le estarías pidiendo un
>> arma de
>> > tecnología marciana o similar. Sin ir mas lejos, la ultima respuesta del
>> > responsable de cuenta que más alto escaló el pedido fue esta:
>> >
>> > " Ahí lo reclamé y elevé al gerente de ingeniería y al mio…."
>> >
>> > El pedido si fue a blackhole, porque nunca más tuve novedades.
>> >
>> > Es ingenuo pensar que en los niveles de ingeniería y/o implementaciones
>> de
>> > servicios de carriers de esta dimensión no conozcan los fundamentos y la
>> > simpleza de configurar algo así. Yo me quedo con la sospecha de que hay
>> una
>> > bajada de linea comercial para que se contrate si o si los servicios
>> estilo
>> > "clean pipe".
>> >
>> > Con TASA incluso recibí el folleto de la propuesta comercial...
>> sobre-costos
>> > imposibles de aprobar, engorroso porque en todos los niveles de
>> contrato es
>> > semi-automático y muy acotado el tiempo de mitigacion. Si encuentro el
>> slide
>> > lo mando a la lista.
>> >
>> > Con TECO la contradicción fue muy cómica, me confirma el ejecutivo de
>> cta.
>> > de unos de los enlaces que la solución de Mitigacion de DDoS no les
>> estuvo
>> > funcionando bien a ISPs de poco BW por lo que no tiene autorizado seguir
>> > ofreciendola. Pero a su vez, tampoco dan lugar en ingeniería a un simple
>> > RTBH contra el peer.
>> >
>> > PD: con respecto a la sugerencia del contacto de CloudFlare, discrepo
>> que
>> > con llevar el DC a la nube se reduzcan los ataques. En el 90% de los
>> casos
>> > de los ISP BroadBand, donde tengo netflow para análisis, detectamos que
>> se
>> > ataca a IPs de pools para CPEs que ni siquiera están asignadas por el
>> > agregador o activas realmente. Como decimos acá, al voleo totalmente.
>> > Llevar el tráfico de una red de los clientes de acceso al cloud es
>> inviable,
>> > por volumen, latencia, mapeo de las CDNs, etc.
>> >
>> > Slds.
>> >
>> > El 15 de diciembre de 2015, 18:54, Nicolas Antoniello
>> > <nantoniello en gmail.com> escribió:
>> >>
>> >> Hola Federico,
>> >>
>> >> Bien, entonces no cobran por RTBH...
>> >> Ahora bien:
>> >> - TASA lo que te está dando parece ser justamente algo del estilo
>> "clean
>> >> pipe" donde limpian del tráfico el ataque y te mandan lo que no es
>> ataque...
>> >> eso tiene costos obviamente pues es un servicio particular que también
>> tiene
>> >> costos para ellos...
>> >> Por otro lado, TIWS da RTBH... te diría que consultes a TASA por el
>> >> servicio de RTBH que SI da TIWS.
>> >> - LEVEL3: hasta donde se, si da RTBH... hablalo con algún técnico de
>> >> ellos.
>> >> - TECO: ahora no recuerdo bien, pero deberían dar ese servicio... es
>> algo
>> >> MUY básico y no tiene mayores cargas administrativas pues se utilizan
>> >> comunidades y el proceso es totalmente y de forma muy simple de
>> automatizar.
>> >> - CLARO: Ni idea... pero si te dijeron que no saben lo que es RTBH y
>> >> tampoco lo que es un "remote triggered black hole" se me hace que como
>> >> decimos en UY: están en el horno! De nuevo, tal vez no hablaste con
>> alguien
>> >> técnico... en ocasiones los ejecutivos de cuenta no están tan
>> familiarizados
>> >> con estos aspectos.
>> >>
>> >> Saludos,
>> >> Nicolas
>> >>
>> >>
>> >>
>> >>
>> >> 2015-12-15 14:11 GMT-03:00 Federico Kearney (WNinternet)
>> >> <federico en wninternet.com>:
>> >>>
>> >>> Estimados, los proveedores no me cobran por RTBH pero tampoco me lo
>> dan.
>> >>>
>> >>> TASA: Te vende un servicio de mitigación DDoS con FILTRADO (no RTBH)
>> >>> hecho con equipos ARBOR.
>> >>> LEVEL3: Lo mismo que TASA, no se con que lo hacen
>> >>> TECO: idem level3
>> >>> CLARO: No saben bien que es RTBH si alguno lo tiene implementado, me
>> pasa
>> >>> la comunidad?
>> >>>
>> >>> Saludos!
>> >>> _______________________________________________
>> >>> LACNOG mailing list
>> >>> LACNOG en lacnic.net
>> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>> >>
>> >>
>> >>
>> >> _______________________________________________
>> >> LACNOG mailing list
>> >> LACNOG en lacnic.net
>> >> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>> >>
>> >
>> >
>> >
>> > --
>> > Ivan Chapero
>> > Área Técnica y Soporte
>> > Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
>> > ivanchapero
>> > --
>> > GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>> Arequito -
>> > Santa Fe - Argentina
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> > _______________________________________________
>> > LACNOG mailing list
>> > LACNOG en lacnic.net
>> > https://mail.lacnic.net/mailman/listinfo/lacnog
>> > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>> >
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
>
>
> --
>
> *Ivan ChaperoÁrea Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
> ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
> - Santa Fe - Argentina
>
>
>
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151220/32f70b93/attachment.html>


Más información sobre la lista de distribución LACNOG