UTRS Registro e Configuracao

De Wiki BPF
Revisão de 00h10min de 8 de maio de 2020 por Fernando.frediani (discussão | contribs) (Continuação do FAQ e seção de configurações)
Ir para: navegação, pesquisa

Introdução

O U.T.R.S (Unwanted Traffic Removal Service) é um serviço colaborativo provido de forma gratuita pelo Team Cymru e que tem como objetivo auxiliar na mitigação de grandes ataques DDoS através do uso do protocolo BGP por parte dos participantes. Uma vez estabelecida a sessão BGP entre o participante e o UTRS o participante é capaz de realizar anúncios de partes dos prefixos de seu ASN para que esses anúncios sejam encaminhados à todos os outros participantes (ISPs, Empresas de Hospedagem de Conteúdos, etc) e esses deixem de enviar tráfego para o(s) IP(s) anunciados. Desta forma caso algum cliente de banda larga ou servidor hospedados em qualquer das organizações participantes que possa estar sendo fonte de ataques contra o ASN vítima deixará de enviar esse tráfego que será bloqueado na origem não chegando à vítima. Em outras palavras funciona como um blackhole distribuído onde diversos backbones recebem os anúncios e instalam essas rotas evitando assim que qualquer tráfego originado ali não alcance o destino do ataque.Para mais informações consulte [rfc:3882 IETF RFC 3882 Configuring BGP to Block Denial-of-Service Attacks]

Isso permite à vítimas de ataque conseguirem reduzir de maneira significativa o tamanho do ataque através da colaboração de centenas de outros backbones que deixarão de enviar tráfego para o(s) IP(s) reportados para o serviço.

Com o aumento dos casos de ataques DDoS devido à diferentes motivos é importante que os Sistemas Autônomos possam contar com todas as ferramentas possíveis que possam auxiliar durante a mitigação ou redução do tamanho desses ataques.O que torna o uso do UTRS ainda mais interessante

É importante mencionar que o uso do UTRS sozinho não visa ser uma ferramenta definitiva na resolução de todos os tipos de ataques DDoS, mas um complemento poderoso na redução dos tráfego direcionado principalmente os IPs não utilizados de um Sistema Autônomo sob ataque. É importante ter também outras ferramentas de mitigação para tratar diferentes tipos de ataques sejam internamente dentro do backbone ou em nuvem. A combinação do uso dessas ferramentas é a maneira mais efetiva de lidar com os problemas gerados por esses ataques.

Cada novo Sistema Autônomo que se torna um usuário do UTRS além possuir uma opção à mais de proteção à si mesmo, colabora com os demais e principalmente evita que tráfego de ataques destinados à outras redes e originados no seu backbone sejam encaminhados através de algum dos seus upstreams causando assim aumento de custos com a maior utilização de circuitos de transporte e trânsito e da capacidade de processamento e encaminhamento de equipamentos.

O Team Cymru aplica filtros na sessão BGP para garantir que apenas os prefixos do próprio Sistema Autônomo possam ser anunciados. Está no roadmap do UTRS permitir também o anúncio de prefixos de Downstreams possibilitando assim que Upstreams de Trânsito possam anunciar prefixos de seus clientes para auxiliá-los durante episódios de ataques.

UTRS no Brasil

O UTRS já é utilizado por uma número bastante razoável de redes Brasileiras o que ajuda a reduzir o tráfego de ataques originados no Brasil.

Isso é especialmente importante visando reduzir o tráfego de entrada provenientes de ataques que chegam através da conexão do Sistema Autônomo com o IX.br já que no momento os Route Servers não permitem anúncios de blackhole. Isso é válido não apenas para o IX-SP mas para qualquer outro IX do projeto IX.br. Essa possibilidade aliada ao uso de communities de blackhole disponibilizadas por empresas de Trânsito IP se somam no sentido da redução do tráfego que chega ao ISP durante o ataque.

Se o Sistema Autônomo o qual você é responsável já é participante do UTRS envie este artigo para seus colegas que são responsáveis por outras redes Brasileiras ou Upstreams convidando-os a se tornarem participantes também. Quanto maior o número de redes, mais efetivo é o efeito na redução do tráfego de ataque originado em cada uma dessas redes.

Registro no UTRS

Para se tornar um usuário do UTRS os participantes necessitarão fornecer as seguintes informações:

  • Nome e Sobrenome do responsável
  • Endereço de Email que será inscrito na Lista de Discussão do UTRS
  • Nome da Empresa/Organização
  • Número de Sistema Autônomo (ASN)
  • Endereço IP de Peering (normalmente IP de Loopback ou de Interface)

Nota 1: O IP de Peering deve ser um IP anunciado para Internet ou pelo menos para o ASN do Team Cumry.

Nota 2: Todas as requisições serão verificadas com o administrador dos Sistemas Autônomos solicitantes, portanto certifique-se que o endereço cadastrado no Whois do seu ASN seja acessível.

Preenchimento do Formulário de Cadastro

  1. Acesse a URL - https://team-cymru.com/community-services/utrs/
  2. Clique em "Register for UTRS"
  3. Preencha os dados solicitados no formulário em nome da empresa/organização solicitante. Em "Enter IP address you request we peer with" recomenda-se utilizar o IP de Loopback do roteador).
  4. Selecione "I am interested in both peering/receiving and populating the feed"
  5. Clique em Submit.

A solicitação será enviada para a equipe do Team Cumry que responderá com a confirmação e os detalhes para estabelecimento da sessão BGP. Para garantir que os emails referentes à esta tratativa sejam recebidos adicione o endereço utrsrequest [em] cumry.com a sua whitelist de email.

Configuração dos Equipamentos

As informações abaixo são padrão para todas as sessões e anúncios de rotas. Caso exista necessidade de customizar esses valores para adequar as suas necessidade contate a equipe do UTRS.

  • ASN to UTRS: 64496
  • Endereço IP para estabelecimento da sessão BGP com o UTRS: [disponibilizado durante o provisionamento]
  • TCP MD5 password: [disponibilizado durante o provisionamento]
  • Next-hop: 192.0.2.1
  • Community: NO_EXPORT
  • Community: 64496:0
  • Multihop
  • Passive

É espero que os participantes do UTRS realizem o descarte qualquer tráfego direcionado à cada prefixos anunciado recebido na sessao BGP configurando o endreço de next-hop para apontar pra blackhole (e.g: interface null0).

Configuração Mikrotik

Configuração Cisco IOS

Configuração Cisco IOS-XR

Configuração IOS XE

Configuração Juniper

Configuração BIRD

Perguntas Frequentes (FAQ)

Qual é o custo do serviço ?

Nada. É um serviço gratuito. O Team Cymru aceita compartilhamento de dados ou doações que ajudem a manter este e outros serviços gratuitos.

Quais prefixos o UTRS anuncia atualmente ?

Geralmente, anúncios de rotas originados pelo UTRS são poucos, em média anunciam uma quantidade reduzida de endereços e é possível haver momentos que nenhum prefixo será anunciado. A quantidade desses anúncios pode mudar rapidamente conforme os ataques comecem.

As rotas RTBH que o UTRS anuncia serão publicadas ?

As RTBH que forem aceitas e encaminhadas pelo UTRS são também anunciadas para toda a comunidade participante do UTRS em tempo real, porém elas não são disseminadas de maneira pública. Rotas que não passam na verificação podem estar sujeitas à revisão. o UTRS pode considerar publicar um resumo ou dados históricos para benefício público e para a comunidade de pesquisa no futuro.

Me ajude, estou sob ataque, o UTRS pode bloquear para mim ?

Se você representa uma organização que é um Sistema Autônomo e é capaz de provar que é autorizado a originar os anúncios dos prefixos em questão o UTRS pode ser capaz de auxiliar. No entanto se você não possui qualquer tipo de contato prévio com o Team Cymru pode haver alguma demora para que possam ser realizadas todas as verificações necessárias.

Eu não tenho um ASN ou uso BGP, você pode bloquear algo para mim ?

Este serviço é disponibilizados apenas para operadores de BGP que possuam um número de Sistema Autônomo público, geralmente através de um Registro Regional da Internet (RIR).

Como o UTRS faz para verificar as redes conectadas ?

É possível que o UTRS já possua algum tipo de relacionamento com alguns potenciais participantes ou conhecer pessoal dessas organizações. No casos onde isso não ocorre geralmente os a solicitações de participação são verificadas através dos contatos registrados junto à base de dados Whois onde o ASN é registrado ou no Peering DB (portanto mantenha seus dados de contato atualizados ali). Se o UTRs não for capaz de verificar os dados de contato utilizando essas bases de dados mais comuns outros métodos podem ser utilizados como consulta à base de dados públicas com com upstream do solicitante.

O UTRS recebe anúncios de rotas ou apenas os anuncia ?

Ambos, porém UTRS não origina os anúncios. Todos os anúncios são iniciados pela comunidade de participantes através de anúncios BGP para o UTRS que realiza as verificações necessárias e os encaminha através de anúncios BGP para todos os outros participantes.

Quem decide quais prefixos são anunciados para os participantes do UTRS ?

Cada participante do UTRS pode anunciar prefixos /32 os quais estejam dentro de alguma das ranges de prefixos pertencentes ao próprio Sistema Autônomo. Nenhum participante do UTRS é capaz de anunciar rotas pertencentes à prefixos de outros participantes

Como o UTRS verifica os anúncios ?

Todos os anúncios devem ser /32, caso contrário será automaticamente rejeitado. Também é utilizada a API do RIPEstatpara analisar o histórico de rotas, origem e AS-Path. O peer deve ser o único originador ou upstream do prefixo que engloba o anúncio mais especifico.O peer também deve possuir um histórico de ter anunciado o prefixo que engloba aquela rota por pelo menos os últimos 30 dias. Se o anúncio não bater com esses critérios o encaminhamento desse anúncio não será realizado e um alerta interno poderá ser gerado e enviado para revisão interna

Quais outras restrições de anúncios existem ?

A cada participante é permitido ter até 25 anúncios simultâneos à qualquer momento. Quantidades superiores serão rejeitadas. Um anúncio também expira após ficar ativo por 7 dias e será removido. O participante poderá anunciá-lo novamente caso necessário.

Posso anunciar rotas de blackhole dos meus clientes para o UTRS ?

No momento o UTRS apenas verifica os prefixos originados diretamente pelo próprio participante e não seus Downstreams. Esta é uma funcionalidade requisitada frequentemente e está nos planos do UTRS adicioná-la como parte do processo de verificação das rotas anunciadas para ser capaz de receber anúncios de blackhole de Downstreams dos participantes. No entanto um participante pode solicitar que alguma dessas rotas seja anunciada manualmente contatando a equipe do UTRS que fará uma revisão da solicitação.

O UTRS suporta BGP Flowspec ao invés de blackholes (RTBH) apenas ?

Atualmente UTRS é um serviço exclusivo para RTBH. Apesar da implementação BGP utilizada pelo UTRS suportar flowspec o suporte à esta funcionalidade ainda é limitado em muitos casos e portanto esta funcionalidade não foi habilitada. Isso pode mudar caso houver demanda suficiente que justifique. Se isso é algo que interessa ao seu Sistema Autônomo entre em contato diretamente com o UTRS sinalizando neste sentido.

É possível customizar o ASN, next-hop e community tags ?

Tecnicamente sim, porém o UTRS considera que poucos casos necessitam esta mudança e prefere não fazer para poder manter a configuração o mais simples possível. É possível para cada participante modificar e alterar o next-hop or community tag em cada politica de import própria.

É necesário o uso de assinatura TCP MD5 (aka BGP password) ?

Sim.

Posso anunciar meus prefixos normalmente anunciados para outros peers e Trânsitos para o UTRS ?

Não. Por favor não faça isso ! Isso aumenta o trabalho dos sistemas do UTRS e esses anúncios serão ignorados, a mesno claro que o anúncio seja um /32 o qual será encaminhado para os demais participantes realizarem o bloqueio. Se o UTRS constatar outras rotas que não sejam de blackhole a sessão BGP pode ser desligada.

Qual software é utilizado pelo UTRS ?

O UTRS utilizad ExaBGP, um software-base que possui uma implementação extensível de BGP e que permite uma nível interessante de cusotmizações como as que o UTRS realiza.

Quais Sistemas Autônomos participam do UTRS ?

A lista de participantes do UTRS não é publicada porque nem todas as redes desejam que essa informação seja pública. Todos os participantes do UTRS são capazes de saber quem são esses outros participantes assim como possuem a capacidade interagir com os demais através da Lista de Emails. Backbones dos mais variados tamanhos e regiões participam do UTRS.

Sou um participante do UTRS e necessit suporte, quem eu posso contatar ?

Participantes podem enviar um email para utrsrequest [em] cymru.com

= EM CONSTRUÇÃO =-

Disponível em "https://wiki.brasilpeeringforum.org/index.php?title=UTRS_Registro_e_Configuracao&oldid=2344"