[lacnog] DDoS contra Dyn hoy

[Jorge Frater B.]

Claro,

 

En MikroTik que es el CPE que uso en mis clientes la regla es:

 

/ipv6 firewall address-list

add address=2800:640:cf::/48 list=valid

add address=2800:640:cfd::/48 list=valid

/ipv6 firewall filter

add action=drop chain=forward in-interface=ether1 src-address-list=!valid

 

Básicamente el cliente usa IPs de la red 2800:640:cf::/48 para navegar con equipos que pegue directo. La red es para entregar subredes via DHCP6.

 

En fin solo de esas IPs debo ver paquetes que *pasan* por el router, por eso la regla aplica solo a la cadena “forward” en la interface ether1 que es el lado del cliente. Todo lo demás se bota.

 

Otros paquetes como los de FE80:: no se ven afectados

 

 

Saludos,

 

 

Jorge Frater

Sistemas Fratec S.A.

 

De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Rolin Azmitia @ Google
Enviado el: miércoles, 26 de octubre de 2016 6:43 a. m.
Para: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
Asunto: Re: [lacnog] DDoS contra Dyn hoy

 

Buen día Jorge.

Consulta: las reglas en IPv6, ¿podrías compartirlas por favor?

Gracias y salu2

:-)

 

On Tue, Oct 25, 2016, 08:07 Jorge Frater B. <jfrater en fratec.com <mailto:jfrater en fratec.com> > wrote:

Implementar BCP 38 es parte del trabajo, simplemente viene con ser un
administrador de red. Si se ignora, se ignora parte de la responsabilidad
laboral.

En todo caso esta herramienta es útil para diagnosticar si se tienen
problemas de spoofing:

https://www.caida.org/projects/spoofer/


He notado que muchas veces se descuidan las reglas en IPv6 y si no queremos
que la gente eche para atrás con el despliegue de IPv6 será mejor que se
cierre ese portillo.


Saludos,


Jorge Frater
Sistemas Fratec S.A.


-----Mensaje original-----
De: LACNOG [mailto:lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net> ] En nombre de Octavio Alvarez
Enviado el: sábado, 22 de octubre de 2016 12:12 p. m.
Para: Latin America and Caribbean Region Network Operators Group
<lacnog en lacnic.net <mailto:lacnog en lacnic.net> >
Asunto: Re: [lacnog] DDoS contra Dyn hoy

On 10/21/2016 09:48 AM, Carlos M. Martinez wrote:
> Nunca es tarde para empezar a configurar BCP38.

Yo soy fan de implementar BCP38 (y lo tengo implementado) pero la realidad
es que lejos de haber incentivos para utilizarlo, los incentivos son para no
utilizarlo.

Por lo anterior entiéndase que es más barato ignorarlo; total, cuando se
rompan los platos, el precio lo habrá de pagar alguien más.

¿Qué ideas existen para resolver el problema de la falta de incentivo?

Saludos.
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> 
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> 
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20161027/9ad1e550/attachment.html>