[GTER] Boas Praticas - Router de Borda
Rubens Kuhl
rubensk at gmail.com
Thu May 26 21:37:22 -03 2016
2016-05-26 20:58 GMT-03:00 Fábio Laureano Antônio <fabiolaureano at bsd.com.br>
:
> Olá Prezados,
>
> Devido ao acontecimento, com os equipamentos do Fabricante Ubiquiti, ficou
> mais que claro que manter boas práticas de gestão de redes é indispensável.
> Queria pedir informações sobre quais práticas são utilizadas pelos Srs. no
> router de borda, no quesito firewall.
>
Os acontecimentos da Ubiquiti mostram a necessidade não de filtragem na
borda, mas de construção segregada da rede de gerência ao longo de toda a
infra-estrutura: hop-a-hop, centro de roteamento a centro de roteamento,
concentrador a concentrador... qualquer restrição na borda pode ser
driblada usando clientes dentro da sua rede.
Dito isso, um conjunto de boas práticas de borda fica assim:
- Borda limpa com poucas regras de firewall
- Operação stateless com todo connection-tracking desativado (exceto
pacotes indo para o plano de controle)
- Drop de pacotes com IP de destino privado
- Drop de pacotes com IP de origem privado, exceto ICMP packet-too-big e
ttl-exceeded
- Proteção do plano de controle habilitada e dropando todo acesso à
gerência (exceto algum túnel IPSEC de contingência)
- Usar Netflow/IPFIX ao invés de log para registrar drops
Rubens
More information about the gter
mailing list