[GTER] Boas Praticas - Router de Borda

Bruno Cabral bruno at openline.com.br
Fri May 27 10:05:48 -03 2016 

Mikrotik tem coisas prontas, como o script que adiciona bloqueio a IPs que estão fazendo scan na sua rede

Voce também pode mover o "plano de controle" para outra interface separada, ou vlan

As regras gerais sao as mesmas de todos os ativos de rede. Manter atualizado, inclusive o firmware, negar tudo exceto o que for explicitamente necessário, monitorar com triggers de comportamento anômalo, ter redundância (não por todos os ovos na mesma cesta), não fazer economia em cima da equipe da gerência da rede, com pouco pessoal e underpaid, não achar que estar escondido é estar sehuro e não confiar em ninguém, nem de fora nem de dentro. 

!3runo
--
Cursos e Consultoria BGP e OSPF 

> Date: Thu, 26 May 2016 21:37:22 -0300
> From: rubensk at gmail.com
> To: gter at eng.registro.br
> Subject: Re: [GTER] Boas Praticas - Router de Borda
> 
> 2016-05-26 20:58 GMT-03:00 Fábio Laureano Antônio <fabiolaureano at bsd.com.br>
> :
> 
> > Olá Prezados,
> >
> > Devido ao acontecimento, com os equipamentos do Fabricante Ubiquiti, ficou
> > mais que claro que manter boas práticas de gestão de redes é indispensável.
> > Queria pedir informações sobre quais práticas são utilizadas pelos Srs. no
> > router de borda, no quesito firewall.
> >
> 
> Os acontecimentos da Ubiquiti mostram a necessidade não de filtragem na
> borda, mas de construção segregada da rede de gerência ao longo de toda a
> infra-estrutura: hop-a-hop, centro de roteamento a centro de roteamento,
> concentrador a concentrador... qualquer restrição na borda pode ser
> driblada usando clientes dentro da sua rede.
> 
> Dito isso, um conjunto de boas práticas de borda fica assim:
> - Borda limpa com poucas regras de firewall
> - Operação stateless com todo connection-tracking desativado (exceto
> pacotes indo para o plano de controle)
> - Drop de pacotes com IP de destino privado
> - Drop de pacotes com IP de origem privado, exceto ICMP packet-too-big e
> ttl-exceeded
> - Proteção do plano de controle habilitada e dropando todo acesso à
> gerência (exceto algum túnel IPSEC de contingência)
> - Usar Netflow/IPFIX ao invés de log para registrar drops
> 
> 
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list