Limpiemos internet entre todos: Proyecto bogon server

Les había prometido escribir sobre el proyecto bogon que esta dando excelentes resultados para todos los que administramos redes o pertenecen a WISP. El proyecto es “totalmente gratuito” para los que se sumen y no requiere de recursos de hardware ni licencias especiales. Solo un Mikrotik ( en mi caso ) y algunas configuraciones de BGP. (Aquí solo voy a contarles algunos rasgos generales del proyecto para que mas o menos entiendan como funciona y de que se trata). Para mas detalles pueden acceder a Capaocho.net que hay un how to muy bien explicadito.

En ISPARG (Foro hispano sobre Mikrotik moderado por Maxi Dobladez) fue donde di conocimientos a este proyecto que Ariel Weher y Pablo Lucchetti embarcaron. Mas abajo un reportaje con Ariel nos cuenta como fue que iniciaron.

El «Proyecto Bogon Server» consiste en la configuración de nuestros Servidores*, mediante BGP, para conseguir finalmente el filtro de trafico.

*Los servidores que entran en el proyecto pueden ser:

  • Cisco IOS.
  • Mikrotik RouterOS.
  • GNU/Linux Zebra/Quagga.
  • GNU/Linux + IPTables.
  • BSD/Solaris/Otro UNIX.
  • Vyatta.
  • Huawei OS.
  • Juniper JunOS.
  • Force 10.
  • Otros.

Definiendo Bogon: En términos muy amigables seria todo aquel trafico proveniente de Internet o originado desde nuestros propios clientes hacia intente. Este trafico «basura» se origina en la mayoría de los casos desde rangos de IP que no fueron asignados o delegados por ningún organismo de Registro Regional de Internet (RIR’s). Las RIR’s se encargan de administrar / asignar los rangos IP o pools de IP para todas las empresas u organismos de modo que no hayan numeraciones repetidas.

¿Por qué es importante filtrar los Bogons?

Según el conocimiento popular, se sabe que si se usa la conexión de un ISP para realizar tareas malintencionadas tales como hacer SPAM, escanear puertos, hacer ataques de denegación de servicio, etc., las autoridades pueden identificarme porque saben concretamente que esa IP desde donde realicé el ataque pertenece a un único ISP (o sistema autónomo).Entonces podrían rastrearme obligando al ISP a dar los datos del cliente que tenía esa IP en el momento del ataque, generalmente mediante acciones legales.

Ahora bien, como se sabe que los rangos IP publicados en el BOGON aún no son de nadie, contando con la infraestructura necesaria pueden adueñarse temporalmente de un rango libre, realizar el ataque y luego liberarlo, haciendo más difícil el rastreo (aunque no imposible).

Esto es debido a la negligencia de los mayoristas que no se fijan en las redes que publican sus clientes, pero eso es una cuestión más avanzada de BGP que por ahora no nos interesa.

Actualmente debemos saber que mientras más empresas dispongamos de filtros de Bogon, más dificil va a ser enviar basura a estos agresores que ganan millones a cuesta de nuestros servicios.

La práctica de filtrado trae como consecuencia en que vamos a disminuír la cantidad de ancho de banda gastado en “basura”, vamos a entregar un enlace a internet más “limpio” a nuestros abonados y vamos a asegurar que nuestro servicio no cause molestias al resto de internet.

Actualizacion automatica de listas BOGON:

Team Cymu es una organización sin fines de lucro encargada de enviar las listas actualizadas de bogons.
El problema es que para hacer contacto directo con ellos e incluso lograr las configuraciones se necesita no solo hablar ingles sino además cumplir con varios requisitos. Al parecer con Mikrotik se terminan las complicaciones.

Reportaje a Ariel Weher:

tech-nico: ¿Hace cuanto tiempo comenzaron con el proyecto?.

Ariel Weher:
Allá por mayo de 2008 dicte un mini cursito de BGP en el curso avanzado de mikrotik y les prometí que iba a pasarles alguna configuración de BGP que sirva para algo útil.

El Team Cymru viene con este proyecto Bogons desde hace rato, el tema es que en el momento del inicio del proyecto los requerimientos para que te conectes con ellos eran medios elevados; y yo vi que con Mikrotik era posible hacerlo bastante fácil, entonces nos pareció mas fácil conectarnos nosotros con todos nuestros equipos al cymru y desde ahí redistribuir a todos los pequeños ISP que usan mikrotik y que ellos lidien directamente con nosotros.

Yo particularmente hace varios años que estoy tratando de generar algún tipo de concientización entre los ISP, porque hoy nadie le da bola a la seguridad y a no tirar basura hacia Internet. Este proyecto Bogon, digamos que era el pie de entrada para después profundizar con otros temas mas complejos y eficaces.

tech-nico:
Esto debe ocupar mucho de tu valioso tiempo y ustedes lo hacen con la mejor onda y free. ¿No ven esto a futuro como un negocio?.

Ariel Weher:
Llevó bastante tiempo sobre todo la etapa de pruebas.
No, el negocio es que a la larga, cuando todos se sumen a mi me va a llegar menos basura. Por ende, el mega de Internet (que es caro) va a ser un mega mas limpio, lo que implica multiplexarlo mas y al fin de cuentas es mas dinero.

¿Alguna duda?

Si, “Es Gratuito!!!” podes aportar muchísimo:

  • No solo limpiar tu trafico basura, sino también el de todos nosotros. Una vez en funcionamiento, recibirás de forma automática la lista de Bogons y dependiendo del Sistema Operativo que uses, se vera como eliminar el trafico en tu caso. ( En el caso del Mikrotik RouterOS, los bogons tienen asignado un gateway falso entonces routean por dicho gateway y mueren).
  • También se puede participar como colaborador en el proyecto brindando acceso a tus routers para que el resto acceda como vos lo haces con ellos.

Me quiero sumar al proyecto, ¿cuales son los pasos a seguir?

1) Ingresamos a capaocho.net

2) En la derecha buscamos “Súmate Ya”

3) Llegamos al formulario de adhesión. Solo completamos todos los datos que nos pide.
4) Esperamos!. Ariel o Pablo se pondrán en contacto para pasarte las configuraciones.

Espero que todos tomemos conciencia de lo importante que seria si todos tenemos nuestro ancho de banda correctamente filtrado y limpio. 🙂 Vamos!! Ayudemos!!!

_____________________

Nicolás
tech-nico.com/blog