SlideShare uma empresa Scribd logo

O que é FlowSpec e como implementá-lo para proteger sua rede

Gustavo Rodrigues Ramos
Gustavo Rodrigues Ramos

O documento discute o protocolo FlowSpec, que permite a disseminação dinâmica de regras de filtragem de pacotes entre roteadores usando o protocolo BGP. FlowSpec define padrões de fluxos de tráfego e ações a serem aplicadas, como descartar ou marcar pacotes. O texto explica como configurar e implementar o FlowSpec para aplicar controles de tráfego em larga escala e se proteger de ataques de negação de serviço.

1 de 24
Baixar para ler offline
O  que  é  FlowSpec?   Gustavo  Rodrigues  Ramos   gustavo.ramos@dhc.com.br   gustavo@nexthop.com.br  
Agenda   •  Introdução  e  Mo>vação   •  O  que  é  FlowSpec?   •  Implementação   •  Verificação   •  Conclusão  
Introdução  e  Mo>vação   •  Questões:   –  Como  fazer  o  controle  de  tráfego  em  larga  escala?   –  Como  se  proteger  de  ataques  de  negação  de  serviço?   –  Grupo  de  operações  de  redes  ou  grupo  de  segurança?   •  Recente  “proposed  standard”  do  padrão   FlowSpec  como  RFC5575  “Dissemina>on  of  Flow   Specifica>on  Rules”.   hVp://tools.ieX.org/html/rfc5575  
Ataques  de  Negação  de  Serviço:   Histórico   Detecção   Contramedida   • Gráficos  (MRTG)   • Captura  de  Pacotes  (sniffer)   • Intrusion  Detec>on  System  (IDS)   • NeXlow/sFlow  [1]  [3]   • Intrusion  Preven>on  System   (IPS)   • Access-­‐list   • Firewall   • Rota  para  Interface  null0  [1]   • Blackhole,  sinkhole  e  BGP   communi>es  [2]   • FlowSpec  [4]  [5]   [1]  mp://mp.registro.br/pub/gts/gts07/08-­‐ataques-­‐datacenter.pdf   [2]  mp://mp.registro.br/pub/gter/gter18/03-­‐bgp-­‐bloqueio-­‐dos-­‐flood.ear.pdf   [3]  mp://mp.registro.br/pub/gts/gts0103/gts-­‐2003-­‐neXlow-­‐cert-­‐rs.pdf   [4]  mp://mp.registro.br/pub/gter/gter23/03-­‐Flowspec.pdf   [5]  hVp://www.nanog.org/mee>ngs/nanog38/presenta>ons/labovitz-­‐bgp-­‐flowspec.pdf  
O  que  é  FlowSpec?   •  Uma  forma  de  disseminar  regras  de  filtros  de   pacotes  de  forma  dinâmica  entre  roteadores   que  já  trocam  informações  através  do   protocolo  BGP.   –  Define  padrões  de  fluxos  (flows)  e  ações  que   serão  aplicadas  nestes  fluxos.   –  Inter-­‐AS  ou  Intra-­‐AS.   –  Mecanismo  de  Validação.  
O  que  é  FlowSpec?   Fluxos   Ações   • Des>na>on  Prefix   • Source  Prefix   • IP  Protocol  (1,6,17,…)   • Port  (source  OR  des>na>on)   • Source  Port   • Des>na>on  Port   • ICMP  Type  and  Code   • TCP  Flags   • Packet  Length   • DSCP   • Fragment   • Traffic-­‐rate   • Traffic-­‐ac>on   • Terminal  ac>on   • Sample   • Redirect   • Traffic  Marking  (DSCP)   •   Suporte  a  IPv4.  
Mecanismo  de  Validação   •  A  regra  de  fluxo/filtragem  recebida  por   FlowSpec  para  um  determinado  des?no,   somente  será  instalada  (FIB)  se  foi  anunciada   pelo  mesmo  roteador/AS  que  anuncia  a   melhor  rota  unicast  para  o  prefixo  de  des>no.  
Implementação   •  Plano  de  implementação   –  Reserva  de  banda  nos  enlaces  entre  os   roteadores  BGP  speakers  (e  entre  os  monitores   da  rede).  Especialmente  ú>l  quando  o  ataque   atravessa  um  enlace  com  menor  capacidade  que  a   banda  total  do  ataque.   –  Validar  ou  não  validar?  iBGP  ou  eBGP?   –  Escolha  dos  roteadores  ou  equipamentos   responsáveis  por  injetar  as  informações  de   filtragem  (route-­‐reflectors?  IPS?).  
Implementação:  iBGP  
Implementação:  eBGP    
Implementação:  Monitoração  
Implementação:  Filtros  (1)  
Implementação:  Filtros  (2)  
Exemplo  de  Ataque  
Exemplo  de  Ataque  
Implementação   •  A  configuração  em  3  passos.   •  Ainda  somente  disponível  para  JunOS.  
Implementação   1.  Definir  a  Regra  (flow)   user@router>  show  configura?on  rou?ng-­‐op?ons  flow     route  regra1  {          match  {                  des>na>on  200.x.x.x/32;                  protocol  udp;          }          then  {                  discard;                  sample;          }   }   Além  da  ação  “discard”  pode-­‐se  configurar  a  ação  “sample”.  
Implementação   2.  Configurar  as  Sessões  BGP   user@router>  show  configura?on  protocols  bgp  group  GRUPO_iBGP   type  internal;   local-­‐address  10.10.10.1;   family  inet  {          flow  {                            prefix-­‐limit  {                                          maximum  10;                  }                  no-­‐validate  INETFLOW-­‐SENDERS;          }          unicast;   }   peer-­‐as  65000;   neighbor  10.10.10.2;  …   }   • Opção  no-­‐validate  u>lizada  nas  sessões  iBGP  e  a  opção  de  aplicar  uma  policy  nas   regras  recebidas.   • Cuidado  ao  incluir  a  “family  inet  flow”  pois  há  um  reset  da  sessão  BGP.   • Definir  os  limites  para  o  control-­‐plane  (prefix-­‐limit).  
Implementação   3.  Exemplo  de  Policy   user@router>  show  configura>on  policy-­‐op>ons  policy-­‐statement  INETFLOW-­‐SENDERS                               term  authorized-­‐routers  {          from  neighbor  [  10.10.10.2  10.10.10.3  ];          then  accept;   }   term  default  {          then  reject;   }   Aplicar  controles  sobre  as  regras  recebidas  dos  peers  BGP.  
Verificação   Verificando  as  sessões  BGP   user@router>  show  bgp  summary     Groups:  2  Peers:  5  Down  peers:  0   Table                    Tot  Paths    Act  Paths  Suppressed        History  Damp  State        Pending   inet.0                      1585179          318051                    0                    0                    0                    0   inet.2                                  0                    0                    0                    0                    0                    0   ine`low.0                          3                    1                    0                    0                    0                    0   Peer                                          AS            InPkt          OutPkt        OutQ      Flaps  Last  Up/Dwn  State|#Ac>ve/Received/Accepted/Damped...   200.xxx.xx.x                    65000          458051            60617              0              0    4d  0:10:21  Establ      inet.0:  312129/318051/318051/0      ine`low.0:  1/1/1/0   …   user@router>  show  route  table  ine`low.0     ineXlow.0:  1  des>na>ons,  3  routes  (1  ac>ve,  0  holddown,  0  hidden)   +  =  Ac>ve  Route,  -­‐  =  Last  Ac>ve,  *  =  Both   200.x.x.x,*,proto=17/72                                                                      *[BGP/170]  3d  14:54:27,  localpref  100,  from  200.xxx.xx.x                                              AS  path:  I                                              Fic>>ous  
Verificação   •  Texto:  show  interface  xe-­‐2/3/0  extensive   •  Gráfica:  MRTG,  CACTI,  etc.  (bps  ou  pps).   •  Ok.  Não  vejo  mais  o  ataque,  não  há  mais   impacto.  Mas  o  ataque  con?nua?   –  Pode-­‐se  configurar  a  dire>va  “sample”  na  regra   para  con>nuar  gerando  informações  (e/ou   coletando)  de  NeXlow.  
Verificação   Para  onde  foi  o  ataque?   user@router>  show  services  accoun?ng  flow-­‐detail  source-­‐prefix  189.x.x.x/32  detail   Service  Accoun>ng  interface:  sp-­‐1/2/0,  Local  interface  index:  129   Service  name:  (default  sampling)   Interface  state:  Accoun>ng   Protocol      Input                    Source                                      Source      Output                    Des>na>on                     Des>na>on            Packet                Byte    Time  since  last          Packet  count  for              Byte  count  for                        interface            address                                        port      interface              address                                          port               count              count      ac>ve  >meout    last  ac>ve  >meout    last  ac>ve  >meout   udp(17)        xe-­‐0/0/0.xxxx    189.x.x.x                                  54804      xe-­‐1/3/0.xxxx      200.x.x.x                                           80                      3                  168                              NA                                      NA                                      NA  
Conclusão   •  Considerar  a  implementação  u>lizando  um   único  fabricante.   •  Baixo  custo.   •  Resposta  mais  rápida  a  incidentes   (principalmente  em  ambientes  com  muitos   roteadores).   •  Possibilidade  de  filtrar  os  ataques  mais   próximo  a  origem.   •  Granularidade.  
Perguntas?   ???   Contato:   Gustavo  Rodrigues  Ramos   gustavo.ramos@dhc.com.br   gustavo@nexthop.com.br  

Recomendados

Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Danilo Filitto
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - IIIMarcelo Barros de Almeida
 
Ferramentas hack wifi aircrack
Ferramentas hack wifi aircrackFerramentas hack wifi aircrack
Ferramentas hack wifi aircrackPedro Verissimo
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAndrei Carniel
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptablesMarcelo Barros de Almeida
 

Recomendados

Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Danilo Filitto
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - IIIMarcelo Barros de Almeida
 
Ferramentas hack wifi aircrack
Ferramentas hack wifi aircrackFerramentas hack wifi aircrack
Ferramentas hack wifi aircrackPedro Verissimo
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAndrei Carniel
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptablesMarcelo Barros de Almeida
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Olivermarcosserva
 
MRTG - SNMP na Prática
MRTG - SNMP na PráticaMRTG - SNMP na Prática
MRTG - SNMP na PráticaFrederico Madeira
 
Ferramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFerramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFrederico Madeira
 
Comando Traceroute
Comando TracerouteComando Traceroute
Comando TracerouteMayara Mônica
 
Roteamento avançado utilizando Debian
Roteamento avançado utilizando DebianRoteamento avançado utilizando Debian
Roteamento avançado utilizando DebianHelio Loureiro
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na práticaaptans
 
Iptables Básico
Iptables BásicoIptables Básico
Iptables BásicoLeonardo Damasceno
 
Tutorial RX Gate / iGate / Digipeater APRS no MS Windows
Tutorial RX Gate / iGate / Digipeater APRS no MS WindowsTutorial RX Gate / iGate / Digipeater APRS no MS Windows
Tutorial RX Gate / iGate / Digipeater APRS no MS WindowsAURELIO PY5BK
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalAlmir Mendes
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos ciscoAllan Alencar
 
Instalacao roip
Instalacao roipInstalacao roip
Instalacao roipAURELIO PY5BK
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consultarafael informática
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Project HA
Project HAProject HA
Project HAKarpv
 
Linux - Network
Linux - NetworkLinux - Network
Linux - NetworkFrederico Madeira
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Andre Peres
 
Sopho si ptrunk & extension
Sopho si ptrunk & extensionSopho si ptrunk & extension
Sopho si ptrunk & extensionzeu1507
 
Tutorial BGP Redes de Internet
Tutorial BGP Redes de InternetTutorial BGP Redes de Internet
Tutorial BGP Redes de InternetAntonio Luiz
 
Compreendendo a redundância de camada 3
Compreendendo a redundância de camada 3Compreendendo a redundância de camada 3
Compreendendo a redundância de camada 3Vitor Albuquerque
 
Roteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERRoteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERHelio Loureiro
 
R&C 0502 07 2
R&C 0502 07 2R&C 0502 07 2
R&C 0502 07 2guest6a825195
 
R&C 0502 07 2
R&C 0502 07 2R&C 0502 07 2
R&C 0502 07 2guest6a825195
 

Mais conteúdo relacionado

Mais procurados

Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Olivermarcosserva
 
Ferramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFerramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFrederico Madeira
 
Roteamento avançado utilizando Debian
Roteamento avançado utilizando DebianRoteamento avançado utilizando Debian
Roteamento avançado utilizando DebianHelio Loureiro
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na práticaaptans
 
Tutorial RX Gate / iGate / Digipeater APRS no MS Windows
Tutorial RX Gate / iGate / Digipeater APRS no MS WindowsTutorial RX Gate / iGate / Digipeater APRS no MS Windows
Tutorial RX Gate / iGate / Digipeater APRS no MS WindowsAURELIO PY5BK
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalAlmir Mendes
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos ciscoAllan Alencar
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Project HA
Project HAProject HA
Project HAKarpv
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Andre Peres
 
Sopho si ptrunk & extension
Sopho si ptrunk & extensionSopho si ptrunk & extension
Sopho si ptrunk & extensionzeu1507
 
Tutorial BGP Redes de Internet
Tutorial BGP Redes de InternetTutorial BGP Redes de Internet
Tutorial BGP Redes de InternetAntonio Luiz
 
Compreendendo a redundância de camada 3
Compreendendo a redundância de camada 3Compreendendo a redundância de camada 3
Compreendendo a redundância de camada 3Vitor Albuquerque
 

Mais procurados (19)

Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Oliver
 
MRTG - SNMP na Prática
MRTG - SNMP na PráticaMRTG - SNMP na Prática
MRTG - SNMP na Prática
 
Ferramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFerramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em Redes
 
Comando Traceroute
Comando TracerouteComando Traceroute
Comando Traceroute
 
Roteamento avançado utilizando Debian
Roteamento avançado utilizando DebianRoteamento avançado utilizando Debian
Roteamento avançado utilizando Debian
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na prática
 
Iptables Básico
Iptables BásicoIptables Básico
Iptables Básico
 
Tutorial RX Gate / iGate / Digipeater APRS no MS Windows
Tutorial RX Gate / iGate / Digipeater APRS no MS WindowsTutorial RX Gate / iGate / Digipeater APRS no MS Windows
Tutorial RX Gate / iGate / Digipeater APRS no MS Windows
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoal
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos cisco
 
Instalacao roip
Instalacao roipInstalacao roip
Instalacao roip
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consulta
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriques
 
Project HA
Project HAProject HA
Project HA
 
Linux - Network
Linux - NetworkLinux - Network
Linux - Network
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
 
Sopho si ptrunk & extension
Sopho si ptrunk & extensionSopho si ptrunk & extension
Sopho si ptrunk & extension
 
Tutorial BGP Redes de Internet
Tutorial BGP Redes de InternetTutorial BGP Redes de Internet
Tutorial BGP Redes de Internet
 
Compreendendo a redundância de camada 3
Compreendendo a redundância de camada 3Compreendendo a redundância de camada 3
Compreendendo a redundância de camada 3
 

Semelhante a O que é FlowSpec e como implementá-lo para proteger sua rede

Roteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERRoteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERHelio Loureiro
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisconogueira
 
Sistemas operacionais 14
Sistemas operacionais 14Sistemas operacionais 14
Sistemas operacionais 14Nauber Gois
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univemevandrovv
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 
Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoWilson Rogerio Lopes
 
Aula 03 configuração da topologia ppp
Aula 03 configuração da topologia pppAula 03 configuração da topologia ppp
Aula 03 configuração da topologia pppCarlos Veiga
 
QoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando LinuxQoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando LinuxJuvenal Silva
 
Laboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn greLaboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn greNuno Teixeira
 
Alta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores LinuxAlta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores Linuxelliando dias
 

Semelhante a O que é FlowSpec e como implementá-lo para proteger sua rede (20)

Roteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERRoteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTER
 
R&C 0502 07 2
R&C 0502 07 2R&C 0502 07 2
R&C 0502 07 2
 
R&C 0502 07 2
R&C 0502 07 2R&C 0502 07 2
R&C 0502 07 2
 
Cap04b
Cap04bCap04b
Cap04b
 
(10) network
(10) network(10) network
(10) network
 
Ntop
NtopNtop
Ntop
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisco
 
Roteamento
RoteamentoRoteamento
Roteamento
 
Sistemas operacionais 14
Sistemas operacionais 14Sistemas operacionais 14
Sistemas operacionais 14
 
Atividade acl extendida
Atividade acl extendidaAtividade acl extendida
Atividade acl extendida
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBD
 
Collectd
CollectdCollectd
Collectd
 
Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
 
Aula 03 configuração da topologia ppp
Aula 03 configuração da topologia pppAula 03 configuração da topologia ppp
Aula 03 configuração da topologia ppp
 
Esclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNAEsclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNA
 
Prova final 1
Prova final 1Prova final 1
Prova final 1
 
QoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando LinuxQoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando Linux
 
Laboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn greLaboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn gre
 
Alta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores LinuxAlta Disponibilidade na Prática utilizando servidores Linux
Alta Disponibilidade na Prática utilizando servidores Linux
 

O que é FlowSpec e como implementá-lo para proteger sua rede

  • 1. O  que  é  FlowSpec?   Gustavo  Rodrigues  Ramos   gustavo.ramos@dhc.com.br   gustavo@nexthop.com.br  
  • 2. Agenda   •  Introdução  e  Mo>vação   •  O  que  é  FlowSpec?   •  Implementação   •  Verificação   •  Conclusão  
  • 3. Introdução  e  Mo>vação   •  Questões:   –  Como  fazer  o  controle  de  tráfego  em  larga  escala?   –  Como  se  proteger  de  ataques  de  negação  de  serviço?   –  Grupo  de  operações  de  redes  ou  grupo  de  segurança?   •  Recente  “proposed  standard”  do  padrão   FlowSpec  como  RFC5575  “Dissemina>on  of  Flow   Specifica>on  Rules”.   hVp://tools.ieX.org/html/rfc5575  
  • 4. Ataques  de  Negação  de  Serviço:   Histórico   Detecção   Contramedida   • Gráficos  (MRTG)   • Captura  de  Pacotes  (sniffer)   • Intrusion  Detec>on  System  (IDS)   • NeXlow/sFlow  [1]  [3]   • Intrusion  Preven>on  System   (IPS)   • Access-­‐list   • Firewall   • Rota  para  Interface  null0  [1]   • Blackhole,  sinkhole  e  BGP   communi>es  [2]   • FlowSpec  [4]  [5]   [1]  mp://mp.registro.br/pub/gts/gts07/08-­‐ataques-­‐datacenter.pdf   [2]  mp://mp.registro.br/pub/gter/gter18/03-­‐bgp-­‐bloqueio-­‐dos-­‐flood.ear.pdf   [3]  mp://mp.registro.br/pub/gts/gts0103/gts-­‐2003-­‐neXlow-­‐cert-­‐rs.pdf   [4]  mp://mp.registro.br/pub/gter/gter23/03-­‐Flowspec.pdf   [5]  hVp://www.nanog.org/mee>ngs/nanog38/presenta>ons/labovitz-­‐bgp-­‐flowspec.pdf  
  • 5. O  que  é  FlowSpec?   •  Uma  forma  de  disseminar  regras  de  filtros  de   pacotes  de  forma  dinâmica  entre  roteadores   que  já  trocam  informações  através  do   protocolo  BGP.   –  Define  padrões  de  fluxos  (flows)  e  ações  que   serão  aplicadas  nestes  fluxos.   –  Inter-­‐AS  ou  Intra-­‐AS.   –  Mecanismo  de  Validação.  
  • 6. O  que  é  FlowSpec?   Fluxos   Ações   • Des>na>on  Prefix   • Source  Prefix   • IP  Protocol  (1,6,17,…)   • Port  (source  OR  des>na>on)   • Source  Port   • Des>na>on  Port   • ICMP  Type  and  Code   • TCP  Flags   • Packet  Length   • DSCP   • Fragment   • Traffic-­‐rate   • Traffic-­‐ac>on   • Terminal  ac>on   • Sample   • Redirect   • Traffic  Marking  (DSCP)   •   Suporte  a  IPv4.  
  • 7. Mecanismo  de  Validação   •  A  regra  de  fluxo/filtragem  recebida  por   FlowSpec  para  um  determinado  des?no,   somente  será  instalada  (FIB)  se  foi  anunciada   pelo  mesmo  roteador/AS  que  anuncia  a   melhor  rota  unicast  para  o  prefixo  de  des>no.  
  • 8. Implementação   •  Plano  de  implementação   –  Reserva  de  banda  nos  enlaces  entre  os   roteadores  BGP  speakers  (e  entre  os  monitores   da  rede).  Especialmente  ú>l  quando  o  ataque   atravessa  um  enlace  com  menor  capacidade  que  a   banda  total  do  ataque.   –  Validar  ou  não  validar?  iBGP  ou  eBGP?   –  Escolha  dos  roteadores  ou  equipamentos   responsáveis  por  injetar  as  informações  de   filtragem  (route-­‐reflectors?  IPS?).  
  • 16. Implementação   •  A  configuração  em  3  passos.   •  Ainda  somente  disponível  para  JunOS.  
  • 17. Implementação   1.  Definir  a  Regra  (flow)   user@router>  show  configura?on  rou?ng-­‐op?ons  flow     route  regra1  {          match  {                  des>na>on  200.x.x.x/32;                  protocol  udp;          }          then  {                  discard;                  sample;          }   }   Além  da  ação  “discard”  pode-­‐se  configurar  a  ação  “sample”.  
  • 18. Implementação   2.  Configurar  as  Sessões  BGP   user@router>  show  configura?on  protocols  bgp  group  GRUPO_iBGP   type  internal;   local-­‐address  10.10.10.1;   family  inet  {          flow  {                            prefix-­‐limit  {                                          maximum  10;                  }                  no-­‐validate  INETFLOW-­‐SENDERS;          }          unicast;   }   peer-­‐as  65000;   neighbor  10.10.10.2;  …   }   • Opção  no-­‐validate  u>lizada  nas  sessões  iBGP  e  a  opção  de  aplicar  uma  policy  nas   regras  recebidas.   • Cuidado  ao  incluir  a  “family  inet  flow”  pois  há  um  reset  da  sessão  BGP.   • Definir  os  limites  para  o  control-­‐plane  (prefix-­‐limit).  
  • 19. Implementação   3.  Exemplo  de  Policy   user@router>  show  configura>on  policy-­‐op>ons  policy-­‐statement  INETFLOW-­‐SENDERS                               term  authorized-­‐routers  {          from  neighbor  [  10.10.10.2  10.10.10.3  ];          then  accept;   }   term  default  {          then  reject;   }   Aplicar  controles  sobre  as  regras  recebidas  dos  peers  BGP.  
  • 20. Verificação   Verificando  as  sessões  BGP   user@router>  show  bgp  summary     Groups:  2  Peers:  5  Down  peers:  0   Table                    Tot  Paths    Act  Paths  Suppressed        History  Damp  State        Pending   inet.0                      1585179          318051                    0                    0                    0                    0   inet.2                                  0                    0                    0                    0                    0                    0   ine`low.0                          3                    1                    0                    0                    0                    0   Peer                                          AS            InPkt          OutPkt        OutQ      Flaps  Last  Up/Dwn  State|#Ac>ve/Received/Accepted/Damped...   200.xxx.xx.x                    65000          458051            60617              0              0    4d  0:10:21  Establ      inet.0:  312129/318051/318051/0      ine`low.0:  1/1/1/0   …   user@router>  show  route  table  ine`low.0     ineXlow.0:  1  des>na>ons,  3  routes  (1  ac>ve,  0  holddown,  0  hidden)   +  =  Ac>ve  Route,  -­‐  =  Last  Ac>ve,  *  =  Both   200.x.x.x,*,proto=17/72                                                                      *[BGP/170]  3d  14:54:27,  localpref  100,  from  200.xxx.xx.x                                              AS  path:  I                                              Fic>>ous  
  • 21. Verificação   •  Texto:  show  interface  xe-­‐2/3/0  extensive   •  Gráfica:  MRTG,  CACTI,  etc.  (bps  ou  pps).   •  Ok.  Não  vejo  mais  o  ataque,  não  há  mais   impacto.  Mas  o  ataque  con?nua?   –  Pode-­‐se  configurar  a  dire>va  “sample”  na  regra   para  con>nuar  gerando  informações  (e/ou   coletando)  de  NeXlow.  
  • 22. Verificação   Para  onde  foi  o  ataque?   user@router>  show  services  accoun?ng  flow-­‐detail  source-­‐prefix  189.x.x.x/32  detail   Service  Accoun>ng  interface:  sp-­‐1/2/0,  Local  interface  index:  129   Service  name:  (default  sampling)   Interface  state:  Accoun>ng   Protocol      Input                    Source                                      Source      Output                    Des>na>on                     Des>na>on            Packet                Byte    Time  since  last          Packet  count  for              Byte  count  for                        interface            address                                        port      interface              address                                          port               count              count      ac>ve  >meout    last  ac>ve  >meout    last  ac>ve  >meout   udp(17)        xe-­‐0/0/0.xxxx    189.x.x.x                                  54804      xe-­‐1/3/0.xxxx      200.x.x.x                                           80                      3                  168                              NA                                      NA                                      NA  
  • 23. Conclusão   •  Considerar  a  implementação  u>lizando  um   único  fabricante.   •  Baixo  custo.   •  Resposta  mais  rápida  a  incidentes   (principalmente  em  ambientes  com  muitos   roteadores).   •  Possibilidade  de  filtrar  os  ataques  mais   próximo  a  origem.   •  Granularidade.  
  • 24. Perguntas?   ???   Contato:   Gustavo  Rodrigues  Ramos   gustavo.ramos@dhc.com.br   gustavo@nexthop.com.br