OVH Community, your new community space.

routing ICMP


oles@ovh.net
28-04-10, 14:56
Bom dia,
Recentemente observámos um aumento dramático
nos ataques à nossa rede. O tamanho da rede e a quantidade
dos clientes que alojamos está na origem do problema.

Existem ataques "triviais" quando as crianças têm férias.

Decidimos então limitar o tráfego "Internet" para a "Ovh" ao nível
de ICMP. Nenhuma limitação de TCP ou UDP (felizmente !). O ICMP
é utilizado para monitorizar o "material" na Net e a este nível o ICMP
é algo "pesado" para rotear. Os nossos routers estão já protegidos
desde há 7-8 anos e respondem " ás vezes" aos pedidos ICMP.
Agora, toda a rede responde apenas ocasionalmente aos pedidos ICMP.

Consequências:
Se tem sondas que monitorizam as suas instalações na OVH
em ICMP a partir do exterior da nossa rede, corre o risco de receber
"falsos positivos". A solução é monitorizar os serviços tipo
WEB, smtp ou DNS, pelo que em TCP/UDP e não o servidor
global em ICMP.

Não existe uma ruptura total, mas existe sim uma limitação
a 512Kbps por ligação da "Internet" para a "OVH". Portanto
é sempre possível efectuar um traceroute. Apenas quando a
OVH é atacada e o ataque provém da mesma ligação que usa,
o traceroute não é tão "bonito" durante o ataque.

O tráfego ICMP não está limitado no interior da rede.
Temos apenas protecção nas ligações entre a "Internet"
para a "OVH". Unicamente no perímetro da rede exterior,
ou seja, para o tráfego que nos chega da Internet.

Para saber mais:
http://travaux.ovh.com/?do=details&id=4140

E é definitivo? Vigiaremos num período de 2-3 semanas
o número de ataques que a nossa rede sofreu e se não fizer
sentido limitar, iremos remover a protecção do ICMP.
A probabilidade de que cheguemos a esta conclusão é remota.

Em contrapartida, vamos tentar que a CISCO implemente no CRS-3
(o grande router que toda a gente já ouviu falar) as funcionalidades
UBRL que não são possíveis no Cisco 6500. É uma espécie de QoS
dinâmico que é baseado na netflow para combinar as acess-list
e as policy. É muito poderoso, funciona muito bem mas requer
routers que tenham grande capacidade em netflow. Cisco 6500
não é muito forte em netflow. CRS-3 é-o. Mas a função não está
lá dentro. Resumindo ... se um dia arranjarmos routers
inteligentes poderemos implementar esta limitação de
maneira inteligente. Actualmente fazemo-lo com os recursos
que temos

Amigavelmente,
Octave