[Lista ArNOG] Tráfico no valido en ITX
Ing. Jorge Filippo
jfilippo en optimix.com.ar
Sab Nov 5 11:58:26 ART 2016
Gente
Veo dos análisis en materia de IPs privadas:
1) ARP, o Neigbours Discovery (son temas distintos, pero ambos
atañen al tráfico de frames).
2) Publicación de prefijos por BGP.
¿Qué es lo que preocupa más? ¿Se plantea impedir la existencia de frames
de direccionamiento privado en la WAN? Digo, si por ejemplo tenés un
enlace con Ubiquitis, que te transportan tu router BGP al NAP (en algún
tramo), ¿sugieren que a los Ubiquitis les pongamos IPs públicas para
evitar la presencia de frames de IPs privadas en el broadcast del NAP?
Entiendo que Uriel Rozenbaum analiza en detalle esto del ARP, por la
existencia de frames de privadas. A mi me preocuparía un poco ponerle
una IP pública a un Ubiquiti.
Ahora, si el problema es no publicar prefijos de privadas BGP, entonces
es cuestión de agregar un filtro discard en el BGP para todo el resto
(suponiendo que tenés un accept para tus prefijos), y listo! Entiendo
que Christian O'Flaherty analiza esto de procesar más estrictamente la
publicaciones BGP.
Disculpen, más allá de los stándares para todos, si alguien propone cómo
proceder, ya me resultaría nutritivo aprender de esas ideas.
Saludos,
Ing. Jorge Filippo - Optimix.com.ar Ing. Jorge Filippo
* O p t i m i x
* Network Engineering
Móvil: +54911 6693 5494
www.Optimix.com.ar <http://www.optimix.com.ar>
El 05/11/2016 a las 11:15, Jose Gaspoz escribió:
> El caso es que algunos con Mikrotik natean directamente en el borde, y
> como es por conexion, cuando viene un Reset de la conexion desde el
> destino, el tracking del MK da de baja la conexion, por lo que por
> ejemplo el Reset que viene despues desde el host no encuentra el
> tracking y el nat no lo agarra por lo que sale sin trasladar.
> Si se ponen a ver el tráfico interno que sale sin trasladar desde un
> MK que tiene src-nat o mascarade en su Wan van a ver que es mucho.
> Esto ocurre por mas que filtren los inválidos de entrada... porque es
> de salida.
> Saludos
> Jose
>
>
> -----Original Message-----
> From: Eduardo Tealdi Saad <eduardots en amc.com.ar>
> To: lista en arnog.com.ar
> Date: Fri, 4 Nov 2016 18:08:00 -0300
> Subject: Re: [Lista ArNOG] Tráfico no valido en ITX
>
> Mas facil, habilita /MikroTik Neighbor/ Discovery protocol (MNDP)
> y fijate quien aparece. si no filtran esto o MAC-server, menos van
> a filtrar la salida de IPs privadas, invalidas o algo peor.
>
>
> O sobre el tunel de PaisDigital
>
> Saludos Eduardo
>
>
> El 4/11/2016 a las 9:45 a. m., Uriel Rozenbaum escribió:
>> Hola Pablo,
>>
>> Nosotros también recibimos un montón de trafico del NAP con
>> origenes privados; digo montón porque debería ser 0 y sorprende
>> un poco que alguien se haya olvidado el filtro.
>>
>> También lo mandamos a masa con filtros ya que todo lo que sea
>> privado (entrante o saliente, sin distinci{on) que quiera salir
>> por un transito, se descarta.
>>
>> Podríamos impulsar una movida para incentivar a meter filtros, ya
>> que es fácil detectar a quién se le escapa:
>> Yo en lo personal tomo una captura en la interfaz que va al NAP,
>> solamente filtrando con la red 10.0.0.0/8 <http://10.0.0.0/8>
>> (como ejemplo nomás). Luego la analizo con wireshark y veo cuales
>> son las MAC que me llegan:
>>
>> Inline image 1
>>
>> Despues buscas esas MAC en la tabla ARP para ver a que IP
>> corresponden:
>> ? (200.0.17.107) at 00:12:1e:82:aa:79 [ether] on vlan106
>> ? (200.0.17.121) at d4:ca:6d:01:2e:34 [ether] on vlan106
>> ? (200.0.17.184) at d4:ca:6d:98:98:5a [ether] on vlan106
>>
>> Despues en el looking glass ves de quien es cada IP:
>> *BGP neighbor is 200.0.17.107, remote AS 18747, external link
>> Description: MIEMBRO: IFX (IFX)
>>
>> BGP neighbor is 200.0.17.121, remote AS 27881, external link
>> Description: MIEMBRO: IPNEXT SA (IPN)
>>
>> BGP neighbor is 200.0.17.184, remote AS 263196, external link
>> Description: MIEMBRO: Telwinet (TWN)*
>>
>> Si, me puse la gorra de buchón, pero es por el bien de todos.
>>
>>
>>
>>
>>
>>
>> On Thu, Nov 3, 2016 at 5:54 PM, Pablo Moran
>> <pmoran en telecentro.net.ar <mailto:pmoran en telecentro.net.ar>> wrote:
>>
>> **
>> Buenas tardes.
>>
>> Escribo para compartirles esta lista de flujos IP que nos
>> llegan por nuestra ITX con CABASE, nos llama mucho la
>> atención las redes de origen de estos flujos, redes privadas
>> RFC1918 (192.168/16, 172.16/12, 10.0/8), que intentan acceder
>> redes públicas de nuestra red, esto es solo un extracto hay
>> muchos mas flujos que llegan de forma continua. Aclaro que no
>> nos afecta debido a que aplicamos filtros en la interfaz de
>> la ITX, los paquetes no llegan al destino, pero evidentemente
>> si hay algo que está generando este tráfico.
>>
>> Dicho lo anterior les hago la siguiente consulta
>>
>> ¿Alguno de ustedes vio algo parecido o reconoce si estas IPs
>> privadas pertenecen a los segmentos que utilizan en sus redes
>> de clientes o redes coorporativas?
>>
>> Aggregated flows
>> 455
>> Top 50 flows ordered by bytes:
>> Date first seen Duration Proto Src IP Addr:Port Dst
>> IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
>> 2016-11-03 14:13:40.973 0.000 TCP10.6.3.21:61083
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->190.55.61.221:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 1003 1
>> 2016-11-03 10:36:08.445 0.000 TCP10.33.31.164:46510
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->190.55.61.204:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 999 1
>> 2016-11-03 11:46:07.408 0.000 TCP192.168.0.4:35958
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.47.248.88:80
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 603 1
>> 2016-11-03 12:59:09.727 0.000 TCP10.5.1.11:25971
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->168.83.77.30:80
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 590 1
>> 2016-11-03 06:02:32.451 0.000 TCP10.1.1.81:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.19.111.211:32964
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 393 1
>> 2016-11-03 05:57:05.811 0.000 TCP10.50.114.20:993
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.18.173.54:62261
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 156 1
>> 2016-11-03 15:59:48.333 0.000 UDP10.19.193.204:43832
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.23.58.52:50321
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 145 1
>> 2016-11-03 11:56:51.840 0.000 UDP10.19.193.204:43832
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.46.106.174:18118
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 145 1
>> 2016-11-03 06:39:45.140 0.000 UDP10.3.152.2:35906
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->255.255.255.255:5678
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 140 1
>> 2016-11-03 08:24:56.444 0.000 TCP172.19.15.47:50831
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.18.65.49:16836
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 140 1
>> 2016-11-03 12:45:38.058 0.000 TCP10.1.219.250:38911
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.74.138:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 129 1
>> 2016-11-03 11:05:07.253 0.000 TCP10.1.212.68:48728
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.74.147:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 129 1
>> 2016-11-03 15:31:37.815 0.000 TCP10.1.212.2:55810
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.74.163:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 129 1
>> 2016-11-03 06:26:24.664 0.000 UDP10.225.2.20:5678
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->255.255.255.255:5678
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 127 1
>> 2016-11-03 11:46:07.438 0.000 TCP10.255.255.6:15250
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.45.139.2:50186
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 108 1
>> 2016-11-03 14:00:06.547 0.000 TCP10.255.255.6:57865
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.46.165.236:46582
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 108 1
>> 2016-11-03 14:32:08.541 0.000 TCP10.255.255.6:53342
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.45.27.38:58732
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 108 1
>> 2016-11-03 12:51:15.782 0.000 TCP10.154.10.48:59850
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.18.65.179:28579
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 108 1
>> 2016-11-03 11:02:26.444 0.000 TCP10.1.219.209:47448
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->190.55.61.208:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 105 1
>> 2016-11-03 13:23:10.777 0.000 UDP192.168.10.57:63398
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.23.224.163:57585
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 91 1
>> 2016-11-03 09:07:02.552 0.000 TCP172.30.1.4:143
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.218.105:50508
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 85 1
>> 2016-11-03 15:15:18.797 0.000 TCP10.90.0.23:49694
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.47.248.210:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 76 1
>> 2016-11-03 10:46:34.385 0.000 UDP192.168.244.50:60345
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->200.115.192.89:53
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 75 1
>> 2016-11-03 15:50:20.988 0.000 UDP192.168.0.22:63176
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.47.248.205:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 72 1
>> 2016-11-03 10:59:50.265 0.000 UDP192.168.85.100:30166
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->190.55.61.210:443
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 67 1
>> 2016-11-03 11:11:03.211 0.000 TCP10.194.0.192:1236
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.18.86.1:44487
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 64 1
>> 2016-11-03 11:19:53.552 0.000 UDP10.160.50.51:63530
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->200.16.99.17:53
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 64 1
>> 2016-11-03 12:26:03.474 0.000 TCP172.17.255.250:49670
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.19.62.108:17146
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 60 1
>> 2016-11-03 08:38:05.822 0.000 UDP192.168.244.50:55041
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->200.115.192.30:53
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 60 1
>> 2016-11-03 10:28:49.934 0.000 UDP192.168.244.50:44206
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->200.115.192.89:53
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 60 1
>> 2016-11-03 13:30:40.562 0.000 TCP10.1.90.13:8003
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.126.234:47774
>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 60 1
>>
>>
>> Esperamos novedades.
>>
>> Desde ya muchas gracias.
>>
>> Saludos.
>>
>> *Pablo Fernandez Moran *
>> *Ing. de Backbone *
>> 54 11 15-6516-3730 || pmoran en telecentro.net.ar
>> <mailto:pmoran en telecentro.net.ar>
>>
>>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>> <http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista>
>>
>>
>>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
> --
> Eduardo Tealdi Saad
> Administrador de Red
> Cooperativa Mariano Acosta
> Superi 660, Mariano Acosta (CP 1723)
> Cel: 221 643-4291
> eduardots en amc.com.ar
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161105/996afce9/attachment-0001.html>
Más información sobre la lista de distribución Lista