[Nlnog] ORF

Alex Bik alex at bit.nl
Wed Oct 22 17:48:01 UTC 2003


On Wed, 22 Oct 2003, Boudewijn Visser wrote:

> Zie ook wat Alex schreef.
>
> > Dan nog moet je IMHO het target richting /dev/null zetten, die is toch
> > al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans
> > dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat
> > onderuit en een onschuldig netwerk wordt aan alle kanten richting
> > /dev/null gerouteerd en gaat dus ook plat.

Dat heb ik niet geschreven hoor..

> Ook als dat target, zeg,je DNS servers zijn, of je pop server ?

Als je POP server van buiten je netwerk niet bereikbaar is, is dat
jammer. De meeste requests zullen toch vanuit je eigen netwerk komen.
En voor DNS geldt natuurlijk dat je als ISP die zijn taak serieus neemt
minimaal 1 DNS server bij een collega ISP hebt hangen. Zo hebben
Vuurwerk en WideXS allebei een fallback mail/dns server bij ons, en wij
bij hun.

> In het ideale geval wil je filteren op source en destination combinatie.
> Dat kan natuurlijk, maar alleen door access-lists te gebruiken.

Als je een Cisco hebt :)

> Jammer genoeg zijn de filters die je , vanaf 1 punt door je hele
> netwerk kunt distribueren via BGP (en eventueel naar een ander AS)
> op alleen source of alleen destination gebaseerd.
> En een (door jou) BGP getriggerd filter bij een ander AS zal op z'n best
> dus alleen een destination filter zijn.
> Wil je meer, dan moet je bellen/mailen e.d.

Yep, of je moet iets om je junipers heen knutselen. Dat kan met XML.
Dat zie ik niet echt gebeuren, dus laten we ons GSM abonnement nog maar
even niet opzeggen :)

-- 
Met vriendelijke groet,
Alex Bik,
BIT BV
AB2298-RIPE




More information about the NLNOG mailing list