[GTER] Firewall em ISP - Boas praticas
Fábio Hernandes
fabio at hernandes.eti.br
Thu Dec 14 12:35:00 -02 2017
Bloqueio de portas abaixo de 1024 acho que até poderia rolar se estiver
previsto no contrato, mas redirecionamento de DNS vejo como hijack.
--
Fábio R. Hernandes
Fone: (17) 99643 6715
Skype: hernandes.fabio
Em 14 de dezembro de 2017 11:03, Lucas Willian Bocchi <
lucas.bocchi at gmail.com> escreveu:
> Joelson, você me lembrou de mais algumas portas com essa tua
> 389 tcp/udp
> 3128 tcp
> 8080 tcp
>
>
> Em 14 de dezembro de 2017 08:59, Joelson Vendramin via gter <
> gter at eng.registro.br> escreveu:
>
> > Acrescentaria nesta lista de portas a 389 (LDAP) para tráfego UDP.
> > Pegamos recentemente um tráfego pesado composto de UDP de/para a porta
> > 389, bem típico de um ataque de amplificação.
> > Na maioria dos casos tratavam-se de servidores Windows de clientes com o
> > AD aberto para o mundo!
> > Alias, existe alguma implementação que justifique um LDAP aberto na
> > Internet respoondendo UDP?
> >
> > Sds,
> >
> > --
> > Joelson Vendramin
> >
> >
> > ________________________________
> > De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> > gter at eng.registro.br>
> > Enviadas: Quarta-feira, 13 de Dezembro de 2017 17:41
> > Assunto: Re: [GTER] Firewall em ISP - Boas praticas
> >
> >
> >
> > Nos B-RAS ou em roteadores que fazem o controle de ip válido eu quase
> > sempre coloco filtros para portas conhecidas que têm problema de invasão
> de
> > CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
> > consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
> > principalmente, para evitar ataques ddos spoofados, um filtro que valide
> o
> > ip de saída/entrada do cliente.
> >
> > Em 13 de dezembro de 2017 16:04, Douglas Fischer <
> fischerdouglas at gmail.com
> > >
> > escreveu:
> >
> > > Mil colocações me passaram pela cabeça.
> > > Só vou me ater a uma...
> > >
> > > Gerencia da porta 25?
> > > SIM! Com toda a certeza!
> > >
> > > Não creio que politica de roteamento caiba nesse caso.
> > > Ainda mais em BlackHole. Tem o mesmo efeito de um simples drop/deny.
> > > Faria algum sentido se jogasse isso para um Sniffer para possíveis
> > > análises, mas creio ser desnecessário.
> > >
> > > IMPORTANTE!!!
> > > Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
> > > Lembre do IPv6.
> > > Por favor LEMBRE de gerenciar porta 25 em IPv6!
> > >
> > >
> > > Em 13 de dezembro de 2017 15:27, Andre Almeida <andre at bnet.com.br>
> > > escreveu:
> > >
> > > > Amigos, boa tarde.
> > > >
> > > > Gostaria de abrir essa thread pois não encontrei muita coisa a
> > respeito.
> > > >
> > > > ... sobre como vocês estão fazendo de firewall quando em ISP...
> > > >
> > > > Vejo alguns que preferem bloquear tudo de portas baixas, até a 1024,
> só
> > > não
> > > > fazemos isso por aqui pois não considero como uma boa prática... da
> > mesma
> > > > forma que redirecionar DNS para os recursivos do provedor.
> > > >
> > > > Uma outra thread aberta recentemente perguntava onde fazer CGNAT....
> e
> > eu
> > > > venho perguntar também:
> > > >
> > > > Como fazer esse firewall e onde?
> > > > Politica de roteamento de uma caixa dedicada ? Direto no
> concentrador ?
> > > Na
> > > > CPE ?
> > > >
> > > > Por exemplo, vocês fazem a gerencia da porta 25 como ?
> > > > Politica de roteamento encaminhando pra um IP de blackhole?
> > > >
> > > > Obrigado
> > > > Andre
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > >
> > >
> > > --
> > > Douglas Fernando Fischer
> > > Engº de Controle e Automação
> >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list