oles@ovh.net
28/04/2010, 14:56
Bonjour,
Desde hace poco notamos un aumento importante de ataques
que nuestra red padece. El tamaño de la red y la cantidad de
clientes que alojamos está en el "origen" este problema.
Existen ataques "tontos" alias "trivial" que no deseamos
sufrir cada vez que los niños están de vacaciones.
Hemos decidido por tanto limitar el tráfico "internet"
hacia "Ovh" a nivel de la capa ICMP. Ninguna limitación
en TCP ni UDP (afortunadamente). La capa ICMP sirve
para "vigilar" el material en el Net y a este nivel
ICMP es muy costoso a enroutar. Nuestros routers ya
estaban protegidos desde hace 7-8 años y respondían
" aveces" a las peticiones ICMP. Toda la red responde
aveces en ICMP.
Las consecuencias:
Si tenéis sondas que vigilan vuestras instalaciones en Ovh
en ICMP y a partir del exterior de nuestra red, os arriesgáis
a recibir muchos "falsos positivos". La solución consiste
en vigilar los servicios tipo WEB, smtp o DNS, por tanto
en TCP/UDP y no el servidor global en ICMP.
No se trata de un corte total, sino de una limitación
a 512Kbps por conexión entre "Internet" hacia "Ovh".
Por tanto todavía es posible hacer el traceroute.
Cuando Ovh tiene un ataque y este ataque viene del mismo
enlace que utilizáis, el traceroute no aparecerá bonito durante
el ataque.
El tráfico ICMP no está limitado en el interior de la red.
Hemos puesto protecciones en la conexiones entre
"Internet" y "Ovh". Únicamente en los límites de la red
para el traico que nos llega de Internet.
Saber más:
http://travaux.ovh.com/?do=details&id=4140
¿Es definitivo? Vamos a observar en 2-3 semanas
el número de ataques que nuestra red tenga y si no sirve
de nada limitar ICMP quitaremos esta protección.
La probabilidad que lleguemos a esta conclusión es poca.
Por otro lado, presionamos Cisco para que implemente en el
CRS-3 ( el gran router que todo el mundo ha oído hablar)
las funcionalidades UBRL que solo son posibles en el
Cisco 6500. Es una especie de QoS dinámico que se basa
en el netflow para unir la lista de acceso y los policy.
Es muy potente, funciona muy rápido pero necesita
los routers que son potentes en netflow. Cisco 6500
no es muy fuerte en netflow. CRS-3 lo es. Pero la función
no está dentro. Si un día tenemos routers inteligentes podremos
hacer esta limitación de manera inteligente. Actualmente lo
hacemos con los medios de abordo.
Amicalement
Octave
Desde hace poco notamos un aumento importante de ataques
que nuestra red padece. El tamaño de la red y la cantidad de
clientes que alojamos está en el "origen" este problema.
Existen ataques "tontos" alias "trivial" que no deseamos
sufrir cada vez que los niños están de vacaciones.
Hemos decidido por tanto limitar el tráfico "internet"
hacia "Ovh" a nivel de la capa ICMP. Ninguna limitación
en TCP ni UDP (afortunadamente). La capa ICMP sirve
para "vigilar" el material en el Net y a este nivel
ICMP es muy costoso a enroutar. Nuestros routers ya
estaban protegidos desde hace 7-8 años y respondían
" aveces" a las peticiones ICMP. Toda la red responde
aveces en ICMP.
Las consecuencias:
Si tenéis sondas que vigilan vuestras instalaciones en Ovh
en ICMP y a partir del exterior de nuestra red, os arriesgáis
a recibir muchos "falsos positivos". La solución consiste
en vigilar los servicios tipo WEB, smtp o DNS, por tanto
en TCP/UDP y no el servidor global en ICMP.
No se trata de un corte total, sino de una limitación
a 512Kbps por conexión entre "Internet" hacia "Ovh".
Por tanto todavía es posible hacer el traceroute.
Cuando Ovh tiene un ataque y este ataque viene del mismo
enlace que utilizáis, el traceroute no aparecerá bonito durante
el ataque.
El tráfico ICMP no está limitado en el interior de la red.
Hemos puesto protecciones en la conexiones entre
"Internet" y "Ovh". Únicamente en los límites de la red
para el traico que nos llega de Internet.
Saber más:
http://travaux.ovh.com/?do=details&id=4140
¿Es definitivo? Vamos a observar en 2-3 semanas
el número de ataques que nuestra red tenga y si no sirve
de nada limitar ICMP quitaremos esta protección.
La probabilidad que lleguemos a esta conclusión es poca.
Por otro lado, presionamos Cisco para que implemente en el
CRS-3 ( el gran router que todo el mundo ha oído hablar)
las funcionalidades UBRL que solo son posibles en el
Cisco 6500. Es una especie de QoS dinámico que se basa
en el netflow para unir la lista de acceso y los policy.
Es muy potente, funciona muy rápido pero necesita
los routers que son potentes en netflow. Cisco 6500
no es muy fuerte en netflow. CRS-3 lo es. Pero la función
no está dentro. Si un día tenemos routers inteligentes podremos
hacer esta limitación de manera inteligente. Actualmente lo
hacemos con los medios de abordo.
Amicalement
Octave