[GTER] Firewall em ISP - Boas praticas
Rôney Eduardo
roneyeduardosantos at gmail.com
Fri Dec 15 00:11:03 -02 2017
Na borda (BGP), somente proteção do control plane.
Firewall para as redes de acesso, no geral, fazemos nos B-RAS.
Gerência da porta 25 é mandatório, feita através de prefix-lists. Só
liberamos destinos/servidores que comprovadamente não implementam
submission na porta 587.
Restringimos tambem acesso às portas de gerência das CPEs (e alteramos as
portas padrão), portas 135 a 139 e 445 (porcarias da Microsoft), drop no
tráfego inbound à SNMP, NTP, DNS, SSDP e semelhantes (com liberação em
casos pontuais).
O CG-NAT é feito em caixas específicas, com PBR redirecionando os prefixos
inválidos.
Hijacking de resolver, nunca.
Por fim, o dever de casa, que é restringir o acesso externo a prefixos
rfc-1918 e rfc-6598 (inbound e outbound).
--
Rôney Eduardo
More information about the gter
mailing list