[Nlnog] ORF

Boudewijn Visser bvisser-nlnog at xs4all.nl
Wed Oct 22 19:14:17 UTC 2003


> On Wed, 22 Oct 2003, Boudewijn Visser wrote:
>
>> Zie ook wat Alex schreef.
>>
>> > Dan nog moet je IMHO het target richting /dev/null zetten, die is toch
>> > al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je
>> kans
>> > dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat
>> > onderuit en een onschuldig netwerk wordt aan alle kanten richting
>> > /dev/null gerouteerd en gaat dus ook plat.
>
> Dat heb ik niet geschreven hoor..

Klopt. Ik bedoelde het niet als quote, maar als
'lees ook wat Alex over het onderwerp schreef' punt. En daarna schreef
ik zelf weer verder.

>
>> Ook als dat target, zeg,je DNS servers zijn, of je pop server ?
>
> Als je POP server van buiten je netwerk niet bereikbaar is, is dat
> jammer. De meeste requests zullen toch vanuit je eigen netwerk komen.

Ja, als je er tenminste in slaagt om 't ding binnen je netwerk
bereikbaar te houden ;-)
[zie het de eerste mails in de thread... ]


> En voor DNS geldt natuurlijk dat je als ISP die zijn taak serieus neemt
> minimaal 1 DNS server bij een collega ISP hebt hangen. Zo hebben
> Vuurwerk en WideXS allebei een fallback mail/dns server bij ons, en wij
> bij hun.
>

Ok, voor DNS kun je dat nog doen ja, zolang je concullega's ook grote
verbindingen hebben en eventueel bereid blijven forse dDOSen uit te
zitten.
Punt blijft (in antwoord op Marco's destination nullrouten) dat je
als ISP een aantal destinations zeker niet ge-nullroute wilt,
omdat dat evenzeer een DoS is als de flood.

>> In het ideale geval wil je filteren op source en destination combinatie.
>> Dat kan natuurlijk, maar alleen door access-lists te gebruiken.
>
> Als je een Cisco hebt :)
>

Nu ja, heb je iets anders dan heet het anders, maar het blijft het verschil
tussen een packet filter en nullrouten, eventueel gecombineerd met uRPF.


>> Jammer genoeg zijn de filters die je , vanaf 1 punt door je hele
>> netwerk kunt distribueren via BGP (en eventueel naar een ander AS)
>> op alleen source of alleen destination gebaseerd.
>> En een (door jou) BGP getriggerd filter bij een ander AS zal op z'n best
>> dus alleen een destination filter zijn.
>> Wil je meer, dan moet je bellen/mailen e.d.
>
> Yep, of je moet iets om je junipers heen knutselen. Dat kan met XML.

Nu ja, in principe kun je met een website, SSL, en 'een paar' scripten
iedereen je wilt prima geauthenticeerd zoveel of zo weinig packet filters
in je routers laten zetten als je ze toestaat.

> Dat zie ik niet echt gebeuren, dus laten we ons GSM abonnement nog maar
> even niet opzeggen :)

Nope. De telco/circuit switched types hebben een paar dingen echt wel
goed door.

Boudewijn



More information about the NLNOG mailing list