[lacnog] Amenaza DDoS
Roberto Feijoo
rfeijoo en gigared.com.ar
Lun Dic 21 10:37:44 BRST 2015
Muy buena idea Nicolás, me parece bien realizar un práctico de implementación.
Saludos.
Descripción: Descripción: logo
Roberto G. Feijoó
Jefe de centro de operaciones de red
Gigared S.A.
Donado 840 – C1427CZB
Ciudad Autónoma de Buenos Aires
Tel.: (54011)6040.6071
<http://www.gigared.com.ar> www.gigared.com.ar
De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Nicolas Antoniello
Enviado el: domingo, 20 de diciembre de 2015 12:53 a.m.
Para: Latin America and Caribbean Region Network Operators Group
Asunto: Re: [lacnog] Amenaza DDoS
Hola Ivan,
Creo que más allá del tema puntual que originalmente nos ocupa, es importante (como mencionas) que los operadores locales que no te dan ese servicio reciban la petición "formal" de sus clientes para implementarlo.
En el caso de Telefonica, TASA desconozco si lo brinda pero TIWS (Telefonica Internacional) te aseguro que si... No creo que sea complicado que lo trasladen e implementen a nivel local y puede ser un diferenciador de los otros... Lo mismo aplica a Telecom AR.
Si alguno necesita ayuda en la implementación, sobra know how en esta comunidad... Todo sea por mejorar y aplicar las BCPs de BGP en la región. Incluso pienso que podemos agregar un practico de implementación de dos o tres de estos servicios en el tutorial del próximo LACNOG.
Saludos,
Nico
El El sáb, 19 de dic. de 2015 a las 17:19, Ivan Chapero <info en ivanchapero.com.ar> escribió:
Christian, para ponerte en contexto.
TASA (Telefónica AR) no me admitía ni la MED en un enlace a ellos con dos puntos de peering.
Ni Telecom, ni TASA tiene siquiera un looking-glass. Parece violento el comentario pero en muchos aspectos son más acotados con las herramientas BGP que nosotros, los siempre mal vistos ISPs broadband.
RTBH, por lo menos para nosotros, no existe técnicamente con los carriers nacionales habituales. Por eso consultaba al contacto que comentó que pudo implementarlo en todos, me pareció importantisimo contar con los contactos técnicos que admitieron eso.
Slds. Gracias por el link.
El 16 de diciembre de 2015, 9:56, Christian O'Flaherty <christian.oflaherty en gmail.com> escribió:
Ivan, en la mayoría de los casos, el servicio debería estar habilitado
sin que tengas que pedirlo (antes puse el ejemplo de NTT porque me
pareció raro tener que pedirlo). Si te configuran la sesión BGP con
funcionalidad para modificar el localpref seguramente también estarán
incluyendo el blackhole.
Si conseguís la comunidad que usa tu upstream, podés hacer la prueba
con un /32 IPv4 sin pedir permiso (posiblemente no puedas anunciar mas
que eso). En el caso de Level3 la publican en radb... aunque tal vez
en Arg todavía usan el as3549 (no recuerdo cual era el # en GLBX, pero
no era secreto y estaba configurado por default para todos)
Buscando cual era la comunidad que usaba el as3549 encontré esta
presentaciones hecha para el foro de operadores de Brasil:
ftp://ftp.registro.br/pub/gter/gter18/03-gblx.BlackHole.pdf
Christian
2015-12-16 0:10 GMT-03:00 Ivan Chapero <info en ivanchapero.com.ar>:
> Estimado,
>
> viendo los mails anteriores, hay un par de operadores que lograron
> implementar RTBH con TECO y TASA, seria muy útil si podrían facilitar el
> contacto interno de dichos carriers que pueda destrabar la solicitud de
> dicha función.
>
> Administro el BGP de varios ISPs (pequeños), por lo que tuve contacto
> forzado con ejecutivos e ingenieros de cuentas totalmente variados. En todos
> los casos cuando se les pide RTBH parece que le estarías pidiendo un arma de
> tecnología marciana o similar. Sin ir mas lejos, la ultima respuesta del
> responsable de cuenta que más alto escaló el pedido fue esta:
>
> " Ahí lo reclamé y elevé al gerente de ingeniería y al mio…."
>
> El pedido si fue a blackhole, porque nunca más tuve novedades.
>
> Es ingenuo pensar que en los niveles de ingeniería y/o implementaciones de
> servicios de carriers de esta dimensión no conozcan los fundamentos y la
> simpleza de configurar algo así. Yo me quedo con la sospecha de que hay una
> bajada de linea comercial para que se contrate si o si los servicios estilo
> "clean pipe".
>
> Con TASA incluso recibí el folleto de la propuesta comercial... sobre-costos
> imposibles de aprobar, engorroso porque en todos los niveles de contrato es
> semi-automático y muy acotado el tiempo de mitigacion. Si encuentro el slide
> lo mando a la lista.
>
> Con TECO la contradicción fue muy cómica, me confirma el ejecutivo de cta.
> de unos de los enlaces que la solución de Mitigacion de DDoS no les estuvo
> funcionando bien a ISPs de poco BW por lo que no tiene autorizado seguir
> ofreciendola. Pero a su vez, tampoco dan lugar en ingeniería a un simple
> RTBH contra el peer.
>
> PD: con respecto a la sugerencia del contacto de CloudFlare, discrepo que
> con llevar el DC a la nube se reduzcan los ataques. En el 90% de los casos
> de los ISP BroadBand, donde tengo netflow para análisis, detectamos que se
> ataca a IPs de pools para CPEs que ni siquiera están asignadas por el
> agregador o activas realmente. Como decimos acá, al voleo totalmente.
> Llevar el tráfico de una red de los clientes de acceso al cloud es inviable,
> por volumen, latencia, mapeo de las CDNs, etc.
>
> Slds.
>
> El 15 de diciembre de 2015, 18:54, Nicolas Antoniello
> <nantoniello en gmail.com> escribió:
>>
>> Hola Federico,
>>
>> Bien, entonces no cobran por RTBH...
>> Ahora bien:
>> - TASA lo que te está dando parece ser justamente algo del estilo "clean
>> pipe" donde limpian del tráfico el ataque y te mandan lo que no es ataque...
>> eso tiene costos obviamente pues es un servicio particular que también tiene
>> costos para ellos...
>> Por otro lado, TIWS da RTBH... te diría que consultes a TASA por el
>> servicio de RTBH que SI da TIWS.
>> - LEVEL3: hasta donde se, si da RTBH... hablalo con algún técnico de
>> ellos.
>> - TECO: ahora no recuerdo bien, pero deberían dar ese servicio... es algo
>> MUY básico y no tiene mayores cargas administrativas pues se utilizan
>> comunidades y el proceso es totalmente y de forma muy simple de automatizar.
>> - CLARO: Ni idea... pero si te dijeron que no saben lo que es RTBH y
>> tampoco lo que es un "remote triggered black hole" se me hace que como
>> decimos en UY: están en el horno! De nuevo, tal vez no hablaste con alguien
>> técnico... en ocasiones los ejecutivos de cuenta no están tan familiarizados
>> con estos aspectos.
>>
>> Saludos,
>> Nicolas
>>
>>
>>
>>
>> 2015-12-15 14:11 GMT-03:00 Federico Kearney (WNinternet)
>> <federico en wninternet.com>:
>>>
>>> Estimados, los proveedores no me cobran por RTBH pero tampoco me lo dan.
>>>
>>> TASA: Te vende un servicio de mitigación DDoS con FILTRADO (no RTBH)
>>> hecho con equipos ARBOR.
>>> LEVEL3: Lo mismo que TASA, no se con que lo hacen
>>> TECO: idem level3
>>> CLARO: No saben bien que es RTBH si alguno lo tiene implementado, me pasa
>>> la comunidad?
>>>
>>> Saludos!
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
>
>
> --
> Ivan Chapero
> Área Técnica y Soporte
> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
> ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito -
> Santa Fe - Argentina
>
>
>
>
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
--
Ivan Chapero
Área Técnica y Soporte
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151221/76af6431/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 1954 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151221/76af6431/attachment.jpg>
Más información sobre la lista de distribución LACNOG