BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra FTTH
💭

¿Qué peering usar, Path o Aire, para mitigar escaneos de bots?

1
Oihalitz
1

Tengo un operador, y tengo varias fibras bitstream. La cosa es que estoy detectando últimamente una cantidad anómala de bots haciendo escaneos de puertos. Con anómala estamos hablando de que hice una regla que haga un drop al puerto 53 y me he encontrado con esta sorpresa (en menos de 10 horas).

image

Ahora mi peer principal para las fibras es AireNetworks (AS29119), y para tema servidores uso el Path.net (AS396998).

He pensado en migrar completamente a Path, y usar Aire solo para IPv6. Con Path.net no tengo ese problema, directamente hago un drop en el panel de Path a todo el tráfico que entre y listo (ya tengo una IP de Path en un ayuntamiento y hasta ahora 0 problemas). Los peers principales de Path son Telia y GTT.

También Path me daría tranquilidad, primero porque quita carga de trabajo a los routers, al tener ya una regla que haga un drop por defecto, y segundo porque tienen una protección AntiDDoS de 12Tbps (me han llegado a atacar con +350Gb/s y lo ha mitigado correctamente).

¿Qué tal veis el cambio? Se que como tal es a peor, porque Aire tiene mucha más calidad en sus peers, pero es una locura lo que ocurre con los bots.

Bocchi94

Entiendo que el tráfico es malicioso pero es posible que cerrando todo el tráfico del puerto 53 (IP del IX y los rangos de IP de tu operador) de alguna forma afectes la calidad de servicio a los clientes si estos tienen su propio servidor DNS funcionando y siendo accesible desde fuera de tu red.

Si bien quitarte a Aire de la ecuación te ahorrará problemas, siempre deberías tener redundancia en peering para no dejar a los clientes tirados si tu interconexión con Path.net falla.

🗨️ 2
Oihalitz
1

Aire siempre estaría de primeras para IPv6, y para IPv4 para redundancia

🗨️ 1
Bocchi94
1

Si no pierdes la redundancia probaría a hacer el cambio. Si algún cliente se queja de tiempos elevados o las cosas no salen como deberían (que lo dudo) siempre puedes volver a cambiarlo.

jjsuscc

Supongo que el puerto se sigue podiendo abrir no?

🗨️ 1
Oihalitz

Al cliente que lo requiera se le abrirá, e incluso se le entregará un panel donde puede hacer reglas de firewall a su gusto

rbetancor
1

La mitigación de DDoS se ha convertido en un negocio muy lucrativo para algunos carriers, aunque en mi opinión, "esconderse" tras el FW DPI de un tercero, no es buena idea. Porque nunca tendrás el control completo.

Mi consejo, es que te vayas a por Tier's 1, todos permiten mitigación DDoS a base de BGP communities, lo que te permite un control más fino "de que y donde"

andressis2k

Si dejas sólo Path… Ten en cuenta que no tienen prácticamente nada de peering directo en España

En cuanto a lo de filtrar el tráfico entrante a clientes residenciales, yo no lo veo mal siempre que seas transparente con los clientes. Muchos usuarios, por desconocimiento, acaban exponiendo servicios innecesarios (por ejemplo el que se compra un Mikrotik y deja todo abierto desde fuera). Nosotros por defecto aplicamos un perfil con ciertos puertos cerrados, y el usuario que lo desee puede cambiar al perfil "Full DMZ"

Lo de pasar por un proveedor concreto para usar su firewall… pues no lo veo para nada. Si mañana se te cae y anuncias los prefijos por otro lado (o tienes saturación y debes hacerlo), ¿ya deja de funcionar esa "protección" que le dabas a tu cliente?

Lo de "quitar carga a los routers" me lo conozco… Créeme, yo he estirado Mikrotik hasta límites insospechados, montando clusters a lo bestia. Pero llega un momento en que hacen falta "routers de verdad"

Y cuando tienes un router en condiciones, te da igual aplicar 1 ó 2000 ACL al tráfico, que no tiene ninguna repercusión en el rendimiento o funcionamiento

Como dice @rbetancor, lo normal en la industria es pasar por los antiddos sólo el tráfico que está siendo atacado. Lo normal es hacerlo mediante communities BGP (soportada por todos los carriers) y cada vez más mediante BGP Flowspec (cada vez soportada por más carriers y peers)

En resumen, yo seguiría con Aire Networks (que tiene muy buen peering nacional) y Path sólo para casos de ataques. Y lo que tengas que filtrar, lo filtras tu

lhacc

Menos de 1 GB de tráfico por hora me parece una minucia. Es muy común recibir basura por DNS porque se usa para hacer ataques dos de amplificación.

Como te han dicho más arriba pasar TODO tu tráfico por el DPI de un tercero es una mala idea porque te va a dar problemas con tus clientes en el momento que menos lo esperes. Imagina que un cliente tiene una VPN montada y al DPI le da por cortarla para la mitad de usuarios… Al menos un ddos lo puedes justificar, ¿cómo justificas las acciones incorrectas de un DPI que no controlas?

Lo mejor es poner el anti-ddos cuando haga falta y quitarlo cuanto antes una vez cese el ataque.