[GTER] Firewall em ISP - Boas praticas
Elgton D B Lucena - Linkcariri
elgton at linkcariri.com
Fri Dec 15 09:02:49 -02 2017
Depois que mais de 1000 equipamentos ubnt foram atingidos por um vírus,
bloqueamos varias portas que possam ser usadas para gerência dos
equipamentos do lado dos clientes!
Em qui, 14 de dez de 2017 às 22:35, Gustavo Stocco <gustavostocco at gmail.com>
escreveu:
> A vantagem de redirecionar dns é pegar aquele bando de equipamentos
> infectados que acessam servidores dns maliciosos.
> A maioria de vocês praticam isso? Até pensei em aplicar por aqui, até
> porque muitos ainda acham que o servidor do Google ou OpenDNS tem melhor
> performance que um local bem gerenciado.
> Nego está acostumado com esses servidores dinossauros da OI e afins e acaba
> meio que sendo automático jogar o 8.8.8.8 e etc, rs.
>
> 2017-12-14 12:35 GMT-02:00 Fábio Hernandes <fabio at hernandes.eti.br>:
>
> > Bloqueio de portas abaixo de 1024 acho que até poderia rolar se estiver
> > previsto no contrato, mas redirecionamento de DNS vejo como hijack.
> >
> >
> > --
> > Fábio R. Hernandes
> > Fone: (17) 99643 6715
> > Skype: hernandes.fabio
> >
> > Em 14 de dezembro de 2017 11:03, Lucas Willian Bocchi <
> > lucas.bocchi at gmail.com> escreveu:
> >
> > > Joelson, você me lembrou de mais algumas portas com essa tua
> > > 389 tcp/udp
> > > 3128 tcp
> > > 8080 tcp
> > >
> > >
> > > Em 14 de dezembro de 2017 08:59, Joelson Vendramin via gter <
> > > gter at eng.registro.br> escreveu:
> > >
> > > > Acrescentaria nesta lista de portas a 389 (LDAP) para tráfego UDP.
> > > > Pegamos recentemente um tráfego pesado composto de UDP de/para a
> porta
> > > > 389, bem típico de um ataque de amplificação.
> > > > Na maioria dos casos tratavam-se de servidores Windows de clientes
> com
> > o
> > > > AD aberto para o mundo!
> > > > Alias, existe alguma implementação que justifique um LDAP aberto na
> > > > Internet respoondendo UDP?
> > > >
> > > > Sds,
> > > >
> > > > --
> > > > Joelson Vendramin
> > > >
> > > >
> > > > ________________________________
> > > > De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> > > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> > > > gter at eng.registro.br>
> > > > Enviadas: Quarta-feira, 13 de Dezembro de 2017 17:41
> > > > Assunto: Re: [GTER] Firewall em ISP - Boas praticas
> > > >
> > > >
> > > >
> > > > Nos B-RAS ou em roteadores que fazem o controle de ip válido eu quase
> > > > sempre coloco filtros para portas conhecidas que têm problema de
> > invasão
> > > de
> > > > CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
> > > > consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
> > > > principalmente, para evitar ataques ddos spoofados, um filtro que
> > valide
> > > o
> > > > ip de saída/entrada do cliente.
> > > >
> > > > Em 13 de dezembro de 2017 16:04, Douglas Fischer <
> > > fischerdouglas at gmail.com
> > > > >
> > > > escreveu:
> > > >
> > > > > Mil colocações me passaram pela cabeça.
> > > > > Só vou me ater a uma...
> > > > >
> > > > > Gerencia da porta 25?
> > > > > SIM! Com toda a certeza!
> > > > >
> > > > > Não creio que politica de roteamento caiba nesse caso.
> > > > > Ainda mais em BlackHole. Tem o mesmo efeito de um simples
> drop/deny.
> > > > > Faria algum sentido se jogasse isso para um Sniffer para possíveis
> > > > > análises, mas creio ser desnecessário.
> > > > >
> > > > > IMPORTANTE!!!
> > > > > Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
> > > > > Lembre do IPv6.
> > > > > Por favor LEMBRE de gerenciar porta 25 em IPv6!
> > > > >
> > > > >
> > > > > Em 13 de dezembro de 2017 15:27, Andre Almeida <andre at bnet.com.br>
> > > > > escreveu:
> > > > >
> > > > > > Amigos, boa tarde.
> > > > > >
> > > > > > Gostaria de abrir essa thread pois não encontrei muita coisa a
> > > > respeito.
> > > > > >
> > > > > > ... sobre como vocês estão fazendo de firewall quando em ISP...
> > > > > >
> > > > > > Vejo alguns que preferem bloquear tudo de portas baixas, até a
> > 1024,
> > > só
> > > > > não
> > > > > > fazemos isso por aqui pois não considero como uma boa prática...
> da
> > > > mesma
> > > > > > forma que redirecionar DNS para os recursivos do provedor.
> > > > > >
> > > > > > Uma outra thread aberta recentemente perguntava onde fazer
> > CGNAT....
> > > e
> > > > eu
> > > > > > venho perguntar também:
> > > > > >
> > > > > > Como fazer esse firewall e onde?
> > > > > > Politica de roteamento de uma caixa dedicada ? Direto no
> > > concentrador ?
> > > > > Na
> > > > > > CPE ?
> > > > > >
> > > > > > Por exemplo, vocês fazem a gerencia da porta 25 como ?
> > > > > > Politica de roteamento encaminhando pra um IP de blackhole?
> > > > > >
> > > > > > Obrigado
> > > > > > Andre
> > > > > > --
> > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Douglas Fernando Fischer
> > > > > Engº de Controle e Automação
> > > >
> > > > > --
> > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
>
> Gustavo Stocco
> NAXI TELECOMUNICAÇÕES
> +55 (47) 3054-2233
> 0800-932-0000 R.3322
> INOC-DBA BR 53001*100
> ASN 53001
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
More information about the gter
mailing list