[GTER] Firewall em ISP - Boas praticas
Joelson Vendramin
jtvendramin at yahoo.com.br
Thu Dec 14 08:59:40 -02 2017
Acrescentaria nesta lista de portas a 389 (LDAP) para tráfego UDP.
Pegamos recentemente um tráfego pesado composto de UDP de/para a porta 389, bem típico de um ataque de amplificação.
Na maioria dos casos tratavam-se de servidores Windows de clientes com o AD aberto para o mundo!
Alias, existe alguma implementação que justifique um LDAP aberto na Internet respoondendo UDP?
Sds,
--
Joelson Vendramin
________________________________
De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Enviadas: Quarta-feira, 13 de Dezembro de 2017 17:41
Assunto: Re: [GTER] Firewall em ISP - Boas praticas
Nos B-RAS ou em roteadores que fazem o controle de ip válido eu quase
sempre coloco filtros para portas conhecidas que têm problema de invasão de
CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
principalmente, para evitar ataques ddos spoofados, um filtro que valide o
ip de saída/entrada do cliente.
Em 13 de dezembro de 2017 16:04, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:
> Mil colocações me passaram pela cabeça.
> Só vou me ater a uma...
>
> Gerencia da porta 25?
> SIM! Com toda a certeza!
>
> Não creio que politica de roteamento caiba nesse caso.
> Ainda mais em BlackHole. Tem o mesmo efeito de um simples drop/deny.
> Faria algum sentido se jogasse isso para um Sniffer para possíveis
> análises, mas creio ser desnecessário.
>
> IMPORTANTE!!!
> Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
> Lembre do IPv6.
> Por favor LEMBRE de gerenciar porta 25 em IPv6!
>
>
> Em 13 de dezembro de 2017 15:27, Andre Almeida <andre at bnet.com.br>
> escreveu:
>
> > Amigos, boa tarde.
> >
> > Gostaria de abrir essa thread pois não encontrei muita coisa a respeito.
> >
> > ... sobre como vocês estão fazendo de firewall quando em ISP...
> >
> > Vejo alguns que preferem bloquear tudo de portas baixas, até a 1024, só
> não
> > fazemos isso por aqui pois não considero como uma boa prática... da mesma
> > forma que redirecionar DNS para os recursivos do provedor.
> >
> > Uma outra thread aberta recentemente perguntava onde fazer CGNAT.... e eu
> > venho perguntar também:
> >
> > Como fazer esse firewall e onde?
> > Politica de roteamento de uma caixa dedicada ? Direto no concentrador ?
> Na
> > CPE ?
> >
> > Por exemplo, vocês fazem a gerencia da porta 25 como ?
> > Politica de roteamento encaminhando pra um IP de blackhole?
> >
> > Obrigado
> > Andre
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list