O que é FlowSpec? Gustavo Rodrigues Ramos.

Documentos relacionados
Flowspec em ação. Experiência de uso na RNP. Raniery Pontes Junho de 2007

O BGP prefixa filtros com o 4-byte COMO números

Configurar o buraco negro provocado telecontrole do IPV6 com IPv6 BGP

Exercício 2 ibgp. 1. Primeiro, crie uma interface de loopback em cada roteador que será utilizada para estabelecer as sessões ibgp.

Exemplo de configuração do refletor da rota de BGP do IPv6

Configurar o desaparecimento do IPv6 com o null0 da relação

Formação IPv6 Maputo Moçambique 26 Agosto 29 Agosto 08 Configuração do Multiprotocol BGP

Flexible NetFlow que filtra com monitoramento de desempenho

Usando valores da comunidade do BGP para controlar a política de roteamento na rede de provedor de upstream

Configurando e verificando os recursos de anúncio condicional do BGP

BGP Border Gateway Protocol

Configurando o recurso BGP Local-AS

Configurando e verificando os recursos de anúncio condicional do BGP

Configurar a redistribuição de rotas do Internal BGP no IGP

Recursos de contabilidade da interface de saída da contabilidade da política do BGP e da contabilidade da política do BGP

Configurar a característica da preferência local do IPv6 BGP

Exercício 6 Engenharia de Tráfego

Compreendendo a agregação de rota no BGP

Reflexão de rota de BGP e conjunto múltiplo ID

Pesquisando defeitos loop de roteamento do Cisco Express Forwarding

Exemplo de configuração para ibgp e ebgp, com ou sem um endereço de loopback

Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço

Configurar PfRv3 para a descoberta da interface externa

Compreenda o lúpulo seguinte ajustado em propagandas do ibgp nos nexos NX-OS contra o Cisco IOS

Compartilhamento de carga com o BGP no ambientes únicos e multihomed: Configurações de exemplo

Compartilhamento de carga com o BGP no ambientes únicos e multihomed: Configurações de exemplo

Configurar o OSPF para filtrar o Tipo 5 LSA

Troubleshooting Quando as Rotas de BGP Não São Publicadas

Índice. Introdução. Descrição da reflexão de rota de BGP. Exemplos de configuração da reflexão de rota

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Camada dinâmica 3 VPN com exemplo de configuração multiponto dos túneis GRE

Configurações iniciais para o OSPF em um enlace ponto a ponto

Licença de uso do material

Laço/roteamento subótimo do roteamento OSPF entre o Cisco IOS e o NXOS para o exemplo de configuração das rotas externas

Vazamento de rota em redes MPLS/VPN

Como Utilizar o HSRP para Fornecer Redundância em uma Rede BGP Multihomed

Configurar o atributo de métrica AIGP para o BGP

OSPF com exemplo de configuração da adjacência da Multi-área

SDN-IPS - Uma solução para contenção de ataques cibernéticos usando SDN/OpenFlow

Capítulo 4 A camada de REDE

Rotas estáticas do implementar para o exemplo de configuração do IPv6

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Exemplo de configuração do enlace virtual OSPFv3

Caso Directnet (AS22818)

TRANSPORTE DE PREFIXOS VIA VPNV4

Configurar o mecanismo de controle de tráfego PfRv2 com rota estática e roteamento baseado política

Configuração e verificação da opção B do INTER-AS MPLS VPN da camada 3 usando IO e IOS-XR

Curso BCOP. Introdução ao BGP

Comportamento do ACL no PBR no nexo 7K que contém informação L3 e L4

Entendendo o Roteamento de Política

17 a Reunião do GTER São Paulo, 19 de abril de

Configurar o SAF EIGRP para empurrar políticas em PfRv3

Compreendendo o endereço local de link do IPv6

Como o roteador trabalha?

Curso BCOP. Boas Práticas BGP

Configurar o MPLS unificado no Cisco IOS XR

Entendendo o Roteamento Baseado em Política

FlexVPN falou no projeto redundante do hub com um exemplo de configuração duplo da aproximação da nuvem

Configuração de exemplo para OSPFv3

Configurar o escape da rota VRF no Switches do nexo de Cisco

ENCSIRT 13º ENCONTRO. Data 05/12/2018

Configurar o Balanceamento de carga em PFRv3

Configurar o mecanismo de controle de tráfego PfRv2 com BGP ou EIGRP

Compreenda e pesquise defeitos o CEF no Roteadores do Cisco IOS XE

Aplicação IO da característica do ibgp PE-CE

Troubleshooting de Falha de LSP em MPLS VPN

Os efeitos do endereço de encaminhamento na seleção de caminho de LSA tipo 5

ASINVS ASINVM FRICAT ou Configuração de um acordo bilateral num PTT para backup mútuo. Danton Nunes

Exercício 5 - Conectando-se a um PTT

Obstrua umas ou várias redes de um bgp peer

Como funciona a internet que eu uso?

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Understanding Redistribution of OSPF Routes into BGP

Configurar métodos do monitoramento de desempenho PfRv2

Use uma rota estática para a interface Null0 para prevenção de loop

Função de balanceamento de carga IO NAT com roteamento de extremidade aperfeiçoado para duas conexões com o Internet

Boas práticas para peering no PTTMetro

IPv6 - O Novo Protocolo da Internet (2013) ::: Samuel Henrique Bucke Brito 1

Como usar o HSRP para fornecer redundância em uma rede BGP multihomed

Configurar Inter-COMO O MPLS VPN do C da opção com Cisco IOS e Cisco IOS XR

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Ataques a Infraestrutura BGP e medidas de contenção

BGP no Bloqueio de DoS Flood

Configuração dinâmica de FlexVPN com listas de atributos locais AAA

Configuração de exemplo utsando o comando ip nat outside source static

Segurança no roteamento BGP. Italo Valcy Salvador BA, 07/Out/2016

A informação neste documento é baseada na versão do Cisco IOS 15.0(1)S e na versão do Cisco IOS XR.

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Xconnect sobre o L2TPv3 ciente VRF em ASR1K

Ligue LSA (tipo 8 LSA) e Intra-Área-prefixo (tipo 9 LSA)

Acesso à Internet a partir de uma VPN MPLS usando uma tabela de roteamento global

Pesquise defeitos o valor DSCP em mudanças QOS em ASR9000

Configurar transportes e a engenharia de tráfego múltiplos com política de controle centralizado e política da rota do App

Redes de Computadores RES 12502

Capítulo 4 A camada de REDE

Transcrição:

O que é FlowSpec? Gustavo Rodrigues Ramos gustavo.ramos@dhc.com.br gustavo@nexthop.com.br

Agenda Introdução e Mo>vação O que é FlowSpec? Implementação Verificação Conclusão

Introdução e Mo>vação Questões: Como fazer o controle de tráfego em larga escala? Como se proteger de ataques de negação de serviço? Grupo de operações de redes ou grupo de segurança? Recente proposed standard do padrão FlowSpec como RFC5575 Dissemina>on of Flow Specifica>on Rules. hvp://tools.iex.org/html/rfc5575

Ataques de Negação de Serviço: Histórico Detecção Gráficos (MRTG) Captura de Pacotes (sniffer) Intrusion Detec>on System (IDS) NeXlow/sFlow [1] [3] Intrusion Preven>on System (IPS) Contramedida Access- list Firewall Rota para Interface null0 [1] Blackhole, sinkhole e BGP communi>es [2] FlowSpec [4] [5] [1] mp://mp.registro.br/pub/gts/gts07/08- ataques- datacenter.pdf [2] mp://mp.registro.br/pub/gter/gter18/03- bgp- bloqueio- dos- flood.ear.pdf [3] mp://mp.registro.br/pub/gts/gts0103/gts- 2003- nexlow- cert- rs.pdf [4] mp://mp.registro.br/pub/gter/gter23/03- Flowspec.pdf [5] hvp://www.nanog.org/mee>ngs/nanog38/presenta>ons/labovitz- bgp- flowspec.pdf

O que é FlowSpec? Uma forma de disseminar regras de filtros de pacotes de forma dinâmica entre roteadores que já trocam informações através do protocolo BGP. Define padrões de fluxos (flows) e ações que serão aplicadas nestes fluxos. Inter- AS ou Intra- AS. Mecanismo de Validação.

O que é FlowSpec? Fluxos Des>na>on Prefix Source Prefix IP Protocol (1,6,17, ) Port (source OR des>na>on) Source Port Des>na>on Port ICMP Type and Code TCP Flags Packet Length DSCP Fragment Ações Traffic- rate Traffic- ac>on Terminal ac>on Sample Redirect Traffic Marking (DSCP) Suporte a IPv4.

Mecanismo de Validação A regra de fluxo/filtragem recebida por FlowSpec para um determinado des?no, somente será instalada (FIB) se foi anunciada pelo mesmo roteador/as que anuncia a melhor rota unicast para o prefixo de des>no.

Implementação Plano de implementação Reserva de banda nos enlaces entre os roteadores BGP speakers (e entre os monitores da rede). Especialmente ú>l quando o ataque atravessa um enlace com menor capacidade que a banda total do ataque. Validar ou não validar? ibgp ou ebgp? Escolha dos roteadores ou equipamentos responsáveis por injetar as informações de filtragem (route- reflectors? IPS?).

Implementação: ibgp

Implementação: ebgp

Implementação: Monitoração

Implementação: Filtros (1)

Implementação: Filtros (2)

Exemplo de Ataque

Exemplo de Ataque

Implementação A configuração em 3 passos. Ainda somente disponível para JunOS.

Implementação 1. Definir a Regra (flow) user@router> show configura?on rou?ng- op?ons flow route regra1 { match { des>na>on 200.x.x.x/32; protocol udp; } then { discard; sample; } } Além da ação discard pode- se configurar a ação sample.

Implementação 2. Configurar as Sessões BGP user@router> show configura?on protocols bgp group GRUPO_iBGP type internal; local- address 10.10.10.1; family inet { flow { prefix- limit { maximum 10; } no- validate INETFLOW- SENDERS; } unicast; } peer- as 65000; neighbor 10.10.10.2; } Opção no- validate u>lizada nas sessões ibgp e a opção de aplicar uma policy nas regras recebidas. Cuidado ao incluir a family inet flow pois há um reset da sessão BGP. Definir os limites para o control- plane (prefix- limit).

Implementação 3. Exemplo de Policy user@router> show configura>on policy- op>ons policy- statement INETFLOW- SENDERS term authorized- routers { from neighbor [ 10.10.10.2 10.10.10.3 ]; then accept; } term default { then reject; } Aplicar controles sobre as regras recebidas dos peers BGP.

Verificação Verificando as sessões BGP user@router> show bgp summary Groups: 2 Peers: 5 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 1585179 318051 0 0 0 0 inet.2 0 0 0 0 0 0 ine`low.0 3 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State #Ac>ve/Received/Accepted/Damped... 200.xxx.xx.x 65000 458051 60617 0 0 4d 0:10:21 Establ inet.0: 312129/318051/318051/0 ine`low.0: 1/1/1/0 user@router> show route table ine`low.0 inexlow.0: 1 des>na>ons, 3 routes (1 ac>ve, 0 holddown, 0 hidden) + = Ac>ve Route, - = Last Ac>ve, * = Both 200.x.x.x,*,proto=17/72 *[BGP/170] 3d 14:54:27, localpref 100, from 200.xxx.xx.x AS path: I Fic>>ous

Verificação Texto: show interface xe- 2/3/0 extensive Gráfica: MRTG, CACTI, etc. (bps ou pps). Ok. Não vejo mais o ataque, não há mais impacto. Mas o ataque con?nua? Pode- se configurar a dire>va sample na regra para con>nuar gerando informações (e/ou coletando) de NeXlow.

Verificação Para onde foi o ataque? user@router> show services accoun?ng flow- detail source- prefix 189.x.x.x/32 detail Service Accoun>ng interface: sp- 1/2/0, Local interface index: 129 Service name: (default sampling) Interface state: Accoun>ng Protocol Input Source Source Output Des>na>on Des>na>on Packet Byte Time since last Packet count for Byte count for interface address port interface address port count count ac>ve >meout last ac>ve >meout last ac>ve >meout udp(17) xe- 0/0/0.xxxx 189.x.x.x 54804 xe- 1/3/0.xxxx 200.x.x.x 80 3 168 NA NA NA

Conclusão Considerar a implementação u>lizando um único fabricante. Baixo custo. Resposta mais rápida a incidentes (principalmente em ambientes com muitos roteadores). Possibilidade de filtrar os ataques mais próximo a origem. Granularidade.

Perguntas???? Contato: Gustavo Rodrigues Ramos gustavo.ramos@dhc.com.br gustavo@nexthop.com.br

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback