[GTER] Firewall em ISP - Boas praticas

Rôney Eduardo roneyeduardosantos at gmail.com
Fri Dec 15 00:11:03 -02 2017


Na borda (BGP), somente proteção do control plane.

Firewall para as redes de acesso, no geral, fazemos nos B-RAS.

Gerência da porta 25 é mandatório, feita através de prefix-lists. Só
liberamos destinos/servidores que comprovadamente não implementam
submission na porta 587.

Restringimos tambem acesso às portas de gerência das CPEs (e alteramos as
portas padrão), portas 135 a 139 e 445 (porcarias da Microsoft), drop no
tráfego inbound à SNMP, NTP, DNS, SSDP e semelhantes (com liberação em
casos pontuais).

O CG-NAT é feito em caixas específicas, com PBR redirecionando os prefixos
inválidos.

Hijacking de resolver, nunca.

Por fim, o dever de casa, que é restringir o acesso externo a prefixos
rfc-1918 e rfc-6598 (inbound e outbound).

--
Rôney Eduardo



More information about the gter mailing list