[GTER] Firewall em ISP - Boas praticas

César Kallas cesarkallas at avancar.eng.br
Thu Dec 14 06:52:29 -02 2017 

Filtro abaixo de 1024 e “conserto” de DNS pode ser errado em vários
aspectos, mas você vai ganhar alguns joinhas dos clientes.

Estas regras evitam zilhares de problemas que os clientes nem sabem que
existem, mas que geram reclamação_amolação.

Carimba, porque na prática isso faz muita diferença.


Em qua, 13 de dez de 2017 às 21:59, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Vale mesmo a pena aplicar essa limitação de portas de entrada para
> assinantes, mesmo que em conexões residencias ? Sei que a vasta maioria
> não é técnica e isso não faz diferença nenhuma, mas não é certo colocar
> essa limitação em uma conexão de internet. A única limitação valida e
> devidamente justificada é a porta 25 para minimizar a praga do spam.
> Essa possibilidade inclusive é prevista no Decreto de Regulamentação do
> Marco Civil (Art. 5, § 1_^o _ , inciso I.)
>
> Alguém pode dizer "Ahhh, mas o usuário não deveria contratar uma conexão
> residencial para hospedar alguma coisa". E dai ? E se ele quiser rodar o
> pequeno web server dele, o Owncloud dele, ou qualquer outro serviço na
> porta padrão e esta disposto a arcar com eventuais indisponibilidades da
> conexão e esta satisfeito em utilizar um DNS Dinamico ? É cada vez mais
> comum as pessoas que possuem pequenos servidores ou devices em casa que
> elas desejam acessar de fora. Pra que dificultar pra ele e fazer ter que
> ficar mudando a porta ?
>
> Sobre a aplicação da BCP-38 excelente. Merece estrelinha o ISP que esta
> fazendo isso.
>
> Agora redirecionamento de request do usuário pra qualquer lugar que ele
> não deseja ir é claramente uma violação ao Art. 9 do Marco Civil da
> Internet.
>
> Menos é mais !
>
> Fernando Frediani
>
> On 13/12/2017 17:34, Lucas Willian Bocchi wrote:
> > Nos B-RAS ou em roteadores que fazem o controle de ip válido eu quase
> > sempre coloco filtros para portas conhecidas que têm problema de invasão
> de
> > CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
> > consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
> > principalmente, para evitar ataques ddos spoofados, um filtro que valide
> o
> > ip de saída/entrada do cliente.
> >
> > Em 13 de dezembro de 2017 16:04, Douglas Fischer <
> fischerdouglas at gmail.com>
> > escreveu:
> >
> >> Mil colocações me passaram pela cabeça.
> >> Só vou me ater a uma...
> >>
> >> Gerencia da porta 25?
> >> SIM! Com toda a certeza!
> >>
> >> Não creio que politica de roteamento caiba nesse caso.
> >> Ainda mais em BlackHole. Tem o mesmo efeito de um simples drop/deny.
> >> Faria algum sentido se jogasse isso para um Sniffer para possíveis
> >> análises, mas creio ser desnecessário.
> >>
> >> IMPORTANTE!!!
> >> Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
> >> Lembre do IPv6.
> >> Por favor LEMBRE de gerenciar porta 25 em IPv6!
> >>
> >>
> >> Em 13 de dezembro de 2017 15:27, Andre Almeida <andre at bnet.com.br>
> >> escreveu:
> >>
> >>> Amigos, boa tarde.
> >>>
> >>> Gostaria de abrir essa thread pois não encontrei muita coisa a
> respeito.
> >>>
> >>> ... sobre como vocês estão fazendo de firewall quando em ISP...
> >>>
> >>> Vejo alguns que preferem bloquear tudo de portas baixas, até a 1024, só
> >> não
> >>> fazemos isso por aqui pois não considero como uma boa prática... da
> mesma
> >>> forma que redirecionar DNS para os recursivos do provedor.
> >>>
> >>> Uma outra thread aberta recentemente perguntava onde fazer CGNAT.... e
> eu
> >>> venho perguntar também:
> >>>
> >>> Como fazer esse firewall e onde?
> >>> Politica de roteamento de uma caixa dedicada ? Direto no concentrador ?
> >> Na
> >>> CPE ?
> >>>
> >>> Por exemplo, vocês fazem a gerencia da porta 25 como ?
> >>> Politica de roteamento encaminhando pra um IP de blackhole?
> >>>
> >>> Obrigado
> >>> Andre
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>
> >>
> >> --
> >> Douglas Fernando Fischer
> >> Engº de Controle e Automação
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
-- 
.............................................................
*César Kallas*
Avançar - Engenharia de Computação
Telefone: (35) 3529 0400
Web Site: www.avançar.eng.br <http://www.avancar.eng.br>

More information about the gter mailing list