[lacnog] DDoS contra Dyn hoy
Octavio Alvarez
octallac en alvarezp.org
Jue Oct 27 00:17:15 BRST 2016
On 10/26/2016 03:13 AM, Alexis Giammarino wrote:
> Buen día, alguien tiene algún documento o link confiable sobre cómo
> implementar BCP 38?
Más que BCP 38 (y BCP 84) como tal necesitas poner filtrados
antispoofing. Pueden ser de entrada (como en los BCP) o de salida.
Básicamente se reduce a dos opciones:
- Habilitar uRPF o equivalente, donde sólo se avanzan los paquetes si la
dirección fuente del paquete existe en la tabla de enrutamiento (modo
loose); hay otro modo (strict) donde además se revisa que el paquete
haya llegado desde la misma interfaz por la que se entregaría el paquete
si fuera en dirección contraria.
- Meter listas de acceso manualmente, de preferencia en modo whitelist.
Pueden ser ingress o egress.
La ventaja del uRPF es que es muy fácil de configurar y es más efectivo
si tienes muchos espacios de direccionamiento permitidos. La desventaja
es que es "todo o nada". La ventaja de los ACL --por ejemplo en un
Cisco-- es que puedes tener logs, un control muy fino y contadores pero
la desventaja es que mantenerlos es laborioso y es propenso a errores
humanos. Ambos conllevan un consumo de recursos.
Saludos.
Más información sobre la lista de distribución LACNOG