[GTER] Boas Praticas - Router de Borda
Douglas Fischer
fischerdouglas at gmail.com
Fri May 27 09:31:27 -03 2016
"- Proteção do plano de controle habilitada e dropando todo acesso à
gerência (exceto algum túnel IPSEC de contingência)"
<Piadoca>
Como eu habilito o plano de controle no Router-OS?
<Piadoca>
Em 26 de maio de 2016 21:37, Rubens Kuhl <rubensk at gmail.com> escreveu:
> 2016-05-26 20:58 GMT-03:00 Fábio Laureano Antônio <
> fabiolaureano at bsd.com.br>
> :
>
> > Olá Prezados,
> >
> > Devido ao acontecimento, com os equipamentos do Fabricante Ubiquiti,
> ficou
> > mais que claro que manter boas práticas de gestão de redes é
> indispensável.
> > Queria pedir informações sobre quais práticas são utilizadas pelos Srs.
> no
> > router de borda, no quesito firewall.
> >
>
> Os acontecimentos da Ubiquiti mostram a necessidade não de filtragem na
> borda, mas de construção segregada da rede de gerência ao longo de toda a
> infra-estrutura: hop-a-hop, centro de roteamento a centro de roteamento,
> concentrador a concentrador... qualquer restrição na borda pode ser
> driblada usando clientes dentro da sua rede.
>
> Dito isso, um conjunto de boas práticas de borda fica assim:
> - Borda limpa com poucas regras de firewall
> - Operação stateless com todo connection-tracking desativado (exceto
> pacotes indo para o plano de controle)
> - Drop de pacotes com IP de destino privado
> - Drop de pacotes com IP de origem privado, exceto ICMP packet-too-big e
> ttl-exceeded
> - Proteção do plano de controle habilitada e dropando todo acesso à
> gerência (exceto algum túnel IPSEC de contingência)
> - Usar Netflow/IPFIX ao invés de log para registrar drops
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list