[GTER] Firewall em ISP - Boas praticas

Thu Dec 14 07:56:09 -02 2017

Fernando.

O sofrimento com ataques a ubnt e outros nos fizeram pensar neste assunto.
Hoje nas conexões FTTX essa regra não vale, esqueci de citar. Mas aonde já
sofremos antes com problemas, achamos melhor deixar assim. E para todo o
cliente que pede, como coloquei, liberamos sem problema.

Em 13 de dezembro de 2017 21:59, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Vale mesmo a pena aplicar essa limitação de portas de entrada para
> assinantes, mesmo que em conexões residencias ? Sei que a vasta maioria não
> é técnica e isso não faz diferença nenhuma, mas não é certo colocar essa
> limitação em uma conexão de internet. A única limitação valida e
> devidamente justificada é a porta 25 para minimizar a praga do spam. Essa
> possibilidade inclusive é prevista no Decreto de Regulamentação do Marco
> Civil (Art. 5, § 1_^o _ , inciso I.)
>
> Alguém pode dizer "Ahhh, mas o usuário não deveria contratar uma conexão
> residencial para hospedar alguma coisa". E dai ? E se ele quiser rodar o
> pequeno web server dele, o Owncloud dele, ou qualquer outro serviço na
> porta padrão e esta disposto a arcar com eventuais indisponibilidades da
> conexão e esta satisfeito em utilizar um DNS Dinamico ? É cada vez mais
> comum as pessoas que possuem pequenos servidores ou devices em casa que
> elas desejam acessar de fora. Pra que dificultar pra ele e fazer ter que
> ficar mudando a porta ?
>
> Sobre a aplicação da BCP-38 excelente. Merece estrelinha o ISP que esta
> fazendo isso.
>
> Agora redirecionamento de request do usuário pra qualquer lugar que ele
> não deseja ir é claramente uma violação ao Art. 9 do Marco Civil da
> Internet.
>
> Menos é mais !
>
> Fernando Frediani
>
>
> On 13/12/2017 17:34, Lucas Willian Bocchi wrote:
>
>> Nos B-RAS ou em roteadores que fazem o controle de ip válido eu quase
>> sempre coloco filtros para portas conhecidas que têm problema de invasão
>> de
>> CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
>> consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
>> principalmente, para evitar ataques ddos spoofados, um filtro que valide o
>> ip de saída/entrada do cliente.
>>
>> Em 13 de dezembro de 2017 16:04, Douglas Fischer <
>> fischerdouglas at gmail.com>
>> escreveu:
>>
>> Mil colocações me passaram pela cabeça.
>>> Só vou me ater a uma...
>>>
>>> Gerencia da porta 25?
>>> SIM! Com toda a certeza!
>>>
>>> Não creio que politica de roteamento caiba nesse caso.
>>> Ainda mais em BlackHole. Tem o mesmo efeito de um simples drop/deny.
>>> Faria algum sentido se jogasse isso para um Sniffer para possíveis
>>> análises, mas creio ser desnecessário.
>>>
>>> IMPORTANTE!!!
>>> Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
>>> Lembre do IPv6.
>>> Por favor LEMBRE de gerenciar porta 25 em IPv6!
>>>
>>>
>>> Em 13 de dezembro de 2017 15:27, Andre Almeida <andre at bnet.com.br>
>>> escreveu:
>>>
>>> Amigos, boa tarde.
>>>>
>>>> Gostaria de abrir essa thread pois não encontrei muita coisa a respeito.
>>>>
>>>> ... sobre como vocês estão fazendo de firewall quando em ISP...
>>>>
>>>> Vejo alguns que preferem bloquear tudo de portas baixas, até a 1024, só
>>>>
>>> não
>>>
>>>> fazemos isso por aqui pois não considero como uma boa prática... da
>>>> mesma
>>>> forma que redirecionar DNS para os recursivos do provedor.
>>>>
>>>> Uma outra thread aberta recentemente perguntava onde fazer CGNAT.... e
>>>> eu
>>>> venho perguntar também:
>>>>
>>>> Como fazer esse firewall e onde?
>>>> Politica de roteamento de uma caixa dedicada ? Direto no concentrador ?
>>>>
>>> Na
>>>
>>>> CPE ?
>>>>
>>>> Por exemplo, vocês fazem a gerencia da porta 25 como ?
>>>> Politica de roteamento encaminhando pra um IP de blackhole?
>>>>
>>>> Obrigado
>>>> Andre
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>>
>>>
>>> --
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>