[GTER] Firewall em ISP - Boas praticas

[Fernando Frediani]

Vale mesmo a pena aplicar essa limitação de portas de entrada para 
assinantes, mesmo que em conexões residencias ? Sei que a vasta maioria 
não é técnica e isso não faz diferença nenhuma, mas não é certo colocar 
essa limitação em uma conexão de internet. A única limitação valida e 
devidamente justificada é a porta 25 para minimizar a praga do spam. 
Essa possibilidade inclusive é prevista no Decreto de Regulamentação do 
Marco Civil (Art. 5, § 1_^o _ , inciso I.)

Alguém pode dizer "Ahhh, mas o usuário não deveria contratar uma conexão 
residencial para hospedar alguma coisa". E dai ? E se ele quiser rodar o 
pequeno web server dele, o Owncloud dele, ou qualquer outro serviço na 
porta padrão e esta disposto a arcar com eventuais indisponibilidades da 
conexão e esta satisfeito em utilizar um DNS Dinamico ? É cada vez mais 
comum as pessoas que possuem pequenos servidores ou devices em casa que 
elas desejam acessar de fora. Pra que dificultar pra ele e fazer ter que 
ficar mudando a porta ?

Sobre a aplicação da BCP-38 excelente. Merece estrelinha o ISP que esta 
fazendo isso.

Agora redirecionamento de request do usuário pra qualquer lugar que ele 
não deseja ir é claramente uma violação ao Art. 9 do Marco Civil da 
Internet.

Menos é mais !

Fernando Frediani

On 13/12/2017 17:34, Lucas Willian Bocchi wrote:
> Nos B-RAS ou em roteadores que fazem o controle de ip válido eu quase
> sempre coloco filtros para portas conhecidas que têm problema de invasão de
> CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
> consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
> principalmente, para evitar ataques ddos spoofados, um filtro que valide o
> ip de saída/entrada do cliente.
>
> Em 13 de dezembro de 2017 16:04, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
>> Mil colocações me passaram pela cabeça.
>> Só vou me ater a uma...
>>
>> Gerencia da porta 25?
>> SIM! Com toda a certeza!
>>
>> Não creio que politica de roteamento caiba nesse caso.
>> Ainda mais em BlackHole. Tem o mesmo efeito de um simples drop/deny.
>> Faria algum sentido se jogasse isso para um Sniffer para possíveis
>> análises, mas creio ser desnecessário.
>>
>> IMPORTANTE!!!
>> Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
>> Lembre do IPv6.
>> Por favor LEMBRE de gerenciar porta 25 em IPv6!
>>
>>
>> Em 13 de dezembro de 2017 15:27, Andre Almeida <andre at bnet.com.br>
>> escreveu:
>>
>>> Amigos, boa tarde.
>>>
>>> Gostaria de abrir essa thread pois não encontrei muita coisa a respeito.
>>>
>>> ... sobre como vocês estão fazendo de firewall quando em ISP...
>>>
>>> Vejo alguns que preferem bloquear tudo de portas baixas, até a 1024, só
>> não
>>> fazemos isso por aqui pois não considero como uma boa prática... da mesma
>>> forma que redirecionar DNS para os recursivos do provedor.
>>>
>>> Uma outra thread aberta recentemente perguntava onde fazer CGNAT.... e eu
>>> venho perguntar também:
>>>
>>> Como fazer esse firewall e onde?
>>> Politica de roteamento de uma caixa dedicada ? Direto no concentrador ?
>> Na
>>> CPE ?
>>>
>>> Por exemplo, vocês fazem a gerencia da porta 25 como ?
>>> Politica de roteamento encaminhando pra um IP de blackhole?
>>>
>>> Obrigado
>>> Andre
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter