[GTER] Boas Praticas - Router de Borda

[Douglas Fischer]

​Sei-sei Cabral...

Estava só inticando os mikrotikentos(nessa altura da vida eu incluso).

Mas que seria bem lindo a possibilidade de um Control-Plane serapado, com
direito a VRF de gerência, seria! NÉ?
​

Em 27 de maio de 2016 10:05, Bruno Cabral <bruno at openline.com.br> escreveu:

> Mikrotik tem coisas prontas, como o script que adiciona bloqueio a IPs que
> estão fazendo scan na sua rede
>
> Voce também pode mover o "plano de controle" para outra interface
> separada, ou vlan
>
> As regras gerais sao as mesmas de todos os ativos de rede. Manter
> atualizado, inclusive o firmware, negar tudo exceto o que for
> explicitamente necessário, monitorar com triggers de comportamento anômalo,
> ter redundância (não por todos os ovos na mesma cesta), não fazer economia
> em cima da equipe da gerência da rede, com pouco pessoal e underpaid, não
> achar que estar escondido é estar sehuro e não confiar em ninguém, nem de
> fora nem de dentro.
>
> !3runo
> --
> Cursos e Consultoria BGP e OSPF
>
> > Date: Thu, 26 May 2016 21:37:22 -0300
> > From: rubensk at gmail.com
> > To: gter at eng.registro.br
> > Subject: Re: [GTER] Boas Praticas - Router de Borda
> >
> > 2016-05-26 20:58 GMT-03:00 Fábio Laureano Antônio <
> fabiolaureano at bsd.com.br>
> > :
> >
> > > Olá Prezados,
> > >
> > > Devido ao acontecimento, com os equipamentos do Fabricante Ubiquiti,
> ficou
> > > mais que claro que manter boas práticas de gestão de redes é
> indispensável.
> > > Queria pedir informações sobre quais práticas são utilizadas pelos
> Srs. no
> > > router de borda, no quesito firewall.
> > >
> >
> > Os acontecimentos da Ubiquiti mostram a necessidade não de filtragem na
> > borda, mas de construção segregada da rede de gerência ao longo de toda a
> > infra-estrutura: hop-a-hop, centro de roteamento a centro de roteamento,
> > concentrador a concentrador... qualquer restrição na borda pode ser
> > driblada usando clientes dentro da sua rede.
> >
> > Dito isso, um conjunto de boas práticas de borda fica assim:
> > - Borda limpa com poucas regras de firewall
> > - Operação stateless com todo connection-tracking desativado (exceto
> > pacotes indo para o plano de controle)
> > - Drop de pacotes com IP de destino privado
> > - Drop de pacotes com IP de origem privado, exceto ICMP packet-too-big e
> > ttl-exceeded
> > - Proteção do plano de controle habilitada e dropando todo acesso à
> > gerência (exceto algum túnel IPSEC de contingência)
> > - Usar Netflow/IPFIX ao invés de log para registrar drops
> >
> >
> > Rubens
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação