[GTER] Firewall em ISP - Boas praticas

Gustavo Stocco gustavostocco at gmail.com
Thu Dec 14 22:03:26 -02 2017 

A vantagem de redirecionar dns é pegar aquele bando de equipamentos
infectados que acessam servidores dns maliciosos.
A maioria de vocês praticam isso? Até pensei em aplicar por aqui, até
porque muitos ainda acham que o servidor do Google ou OpenDNS tem melhor
performance que um local bem gerenciado.
Nego está acostumado com esses servidores dinossauros da OI e afins e acaba
meio que sendo automático jogar o 8.8.8.8 e etc, rs.

2017-12-14 12:35 GMT-02:00 Fábio Hernandes <fabio at hernandes.eti.br>:

> Bloqueio de portas abaixo de 1024 acho que até poderia rolar se estiver
> previsto no contrato, mas redirecionamento de DNS vejo como hijack.
>
>
> --
> Fábio R. Hernandes
> Fone: (17) 99643 6715
> Skype: hernandes.fabio
>
> Em 14 de dezembro de 2017 11:03, Lucas Willian Bocchi <
> lucas.bocchi at gmail.com> escreveu:
>
> > Joelson, você me lembrou de mais algumas portas com essa tua
> > 389 tcp/udp
> > 3128 tcp
> > 8080 tcp
> >
> >
> > Em 14 de dezembro de 2017 08:59, Joelson Vendramin via gter <
> > gter at eng.registro.br> escreveu:
> >
> > > Acrescentaria nesta lista de portas a 389 (LDAP) para tráfego UDP.
> > > Pegamos recentemente um tráfego pesado composto de UDP de/para a porta
> > > 389, bem típico de um ataque de amplificação.
> > > Na maioria dos casos tratavam-se de servidores Windows de clientes com
> o
> > > AD aberto para o mundo!
> > > Alias, existe alguma implementação que justifique um LDAP aberto na
> > > Internet respoondendo UDP?
> > >
> > > Sds,
> > >
> > > --
> > > Joelson Vendramin
> > >
> > >
> > > ________________________________
> > > De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> > > gter at eng.registro.br>
> > > Enviadas: Quarta-feira, 13 de Dezembro de 2017 17:41
> > > Assunto: Re: [GTER] Firewall em ISP - Boas praticas
> > >
> > >
> > >
> > > Nos B-RAS ou em roteadores que fazem o controle de ip válido eu quase
> > > sempre coloco filtros para portas conhecidas que têm problema de
> invasão
> > de
> > > CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
> > > consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
> > > principalmente, para evitar ataques ddos spoofados, um filtro que
> valide
> > o
> > > ip de saída/entrada do cliente.
> > >
> > > Em 13 de dezembro de 2017 16:04, Douglas Fischer <
> > fischerdouglas at gmail.com
> > > >
> > > escreveu:
> > >
> > > > Mil colocações me passaram pela cabeça.
> > > > Só vou me ater a uma...
> > > >
> > > > Gerencia da porta 25?
> > > > SIM! Com toda a certeza!
> > > >
> > > > Não creio que politica de roteamento caiba nesse caso.
> > > > Ainda mais em BlackHole. Tem o mesmo efeito de um simples drop/deny.
> > > > Faria algum sentido se jogasse isso para um Sniffer para possíveis
> > > > análises, mas creio ser desnecessário.
> > > >
> > > > IMPORTANTE!!!
> > > > Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
> > > > Lembre do IPv6.
> > > > Por favor LEMBRE de gerenciar porta 25 em IPv6!
> > > >
> > > >
> > > > Em 13 de dezembro de 2017 15:27, Andre Almeida <andre at bnet.com.br>
> > > > escreveu:
> > > >
> > > > > Amigos, boa tarde.
> > > > >
> > > > > Gostaria de abrir essa thread pois não encontrei muita coisa a
> > > respeito.
> > > > >
> > > > > ... sobre como vocês estão fazendo de firewall quando em ISP...
> > > > >
> > > > > Vejo alguns que preferem bloquear tudo de portas baixas, até a
> 1024,
> > só
> > > > não
> > > > > fazemos isso por aqui pois não considero como uma boa prática... da
> > > mesma
> > > > > forma que redirecionar DNS para os recursivos do provedor.
> > > > >
> > > > > Uma outra thread aberta recentemente perguntava onde fazer
> CGNAT....
> > e
> > > eu
> > > > > venho perguntar também:
> > > > >
> > > > > Como fazer esse firewall e onde?
> > > > > Politica de roteamento de uma caixa dedicada ? Direto no
> > concentrador ?
> > > > Na
> > > > > CPE ?
> > > > >
> > > > > Por exemplo, vocês fazem a gerencia da porta 25 como ?
> > > > > Politica de roteamento encaminhando pra um IP de blackhole?
> > > > >
> > > > > Obrigado
> > > > > Andre
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Douglas Fernando Fischer
> > > > Engº de Controle e Automação
> > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 

Gustavo Stocco
NAXI TELECOMUNICAÇÕES
+55 (47) 3054-2233
0800-932-0000 R.3322
INOC-DBA BR 53001*100
ASN 53001

More information about the gter mailing list