[GTER] Firewall em ISP - Boas praticas

Lucas Willian Bocchi lucas.bocchi at gmail.com
Thu Dec 14 11:03:19 -02 2017


Joelson, você me lembrou de mais algumas portas com essa tua
389 tcp/udp
3128 tcp
8080 tcp


Em 14 de dezembro de 2017 08:59, Joelson Vendramin via gter <
gter at eng.registro.br> escreveu:

> Acrescentaria nesta lista de portas a 389 (LDAP) para tráfego UDP.
> Pegamos recentemente um tráfego pesado composto de UDP de/para a porta
> 389, bem típico de um ataque de amplificação.
> Na maioria dos casos tratavam-se de servidores Windows de clientes com o
> AD aberto para o mundo!
> Alias, existe alguma implementação que justifique um LDAP aberto na
> Internet respoondendo UDP?
>
> Sds,
>
> --
> Joelson Vendramin
>
>
> ________________________________
> De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> Enviadas: Quarta-feira, 13 de Dezembro de 2017 17:41
> Assunto: Re: [GTER] Firewall em ISP - Boas praticas
>
>
>
> Nos B-RAS ou em roteadores que fazem o controle de ip válido eu quase
> sempre coloco filtros para portas conhecidas que têm problema de invasão de
> CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
> consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
> principalmente, para evitar ataques ddos spoofados, um filtro que valide o
> ip de saída/entrada do cliente.
>
> Em 13 de dezembro de 2017 16:04, Douglas Fischer <fischerdouglas at gmail.com
> >
> escreveu:
>
> > Mil colocações me passaram pela cabeça.
> > Só vou me ater a uma...
> >
> > Gerencia da porta 25?
> > SIM! Com toda a certeza!
> >
> > Não creio que politica de roteamento caiba nesse caso.
> > Ainda mais em BlackHole. Tem o mesmo efeito de um simples drop/deny.
> > Faria algum sentido se jogasse isso para um Sniffer para possíveis
> > análises, mas creio ser desnecessário.
> >
> > IMPORTANTE!!!
> > Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
> > Lembre do IPv6.
> > Por favor LEMBRE de gerenciar porta 25 em IPv6!
> >
> >
> > Em 13 de dezembro de 2017 15:27, Andre Almeida <andre at bnet.com.br>
> > escreveu:
> >
> > > Amigos, boa tarde.
> > >
> > > Gostaria de abrir essa thread pois não encontrei muita coisa a
> respeito.
> > >
> > > ... sobre como vocês estão fazendo de firewall quando em ISP...
> > >
> > > Vejo alguns que preferem bloquear tudo de portas baixas, até a 1024, só
> > não
> > > fazemos isso por aqui pois não considero como uma boa prática... da
> mesma
> > > forma que redirecionar DNS para os recursivos do provedor.
> > >
> > > Uma outra thread aberta recentemente perguntava onde fazer CGNAT.... e
> eu
> > > venho perguntar também:
> > >
> > > Como fazer esse firewall e onde?
> > > Politica de roteamento de uma caixa dedicada ? Direto no concentrador ?
> > Na
> > > CPE ?
> > >
> > > Por exemplo, vocês fazem a gerencia da porta 25 como ?
> > > Politica de roteamento encaminhando pra um IP de blackhole?
> > >
> > > Obrigado
> > > Andre
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list