[GTER] Bloqueio de portas

[Andrio Prestes Jasper]

Em 21 de março de 2017 19:16, Eduardo Bragatto <eduardo at bragatto.com>
escreveu:

> Meu caro,
>
> Você pode me esclarecer como que bloquear portas baixas TCP impede
> qualquer ataque DDoS?
>
> Os ataques mais comuns hoje são de reflexão e amplificação DNS e NTP — que
> usam portas UDP que você simplesmente não pode bloquear (os processos de
> mitigação desses ataques são muito mais complexos do que simplesmente
> filtra uma porta inteira).
>
> Como que bloquear a porta 80 ou 443 impede DDoS? Todos os ataques de
> reflexão dependem de protocolos connectionless (como UDP e ICMP) — bloquear
> qualquer porta TCP não irá fazer a menor diferença nesses casos.
>
> * Poderia nos dar um exemplo de um tipo de ataque DDoS que pode ser
> evitado bloqueando a porta TCP/80 ou TCP/443? Gostaria muito de entender
> que tipo de ataque é esse ao qual você se refere.*

Você conhece os ubiquiti?
Ano passo teve uma chuva de relatos na internet, muitos provedores foram
afetados.
Infelizmente havia uma vulnerabilidade no AirOS que era explorada nessas
portas.
Esse é apenas um exemplo, dá para citar inúmeros outros casos...Ha algum
tempo atrás era possivel acessar modens da NET pela internet, simplesmente
pq as portas estavam liberadas, isso fora as demais vulnerabilidades.
Sem contar alguns roteadores wireless ou mesmo mikrotik com configuração
default que responde requisições DNS pela WAN.

Basicamente a regra é assim:
Conexões established,related = liberado
Tudo que vier de origem do cliente com destino internet = liberado
Tudo que vier de origem da internet com destino ao cliente, porta dst
0-1024 = bloqueado.

Isso garante que o cliente possa acessar e utilizar qualquer site ou
serviço disponível na internet.
E evita que a internet fique tentando acessar a cpe/moden/roteador do
cliente, ou o utilize para outros fins.

-- 
Andrio Prestes Jasper
Skype: andriopj
LinkedIn <https://www.linkedin.com/in/andrio-prestes-jasper-a98b7a11a>
Celular: (65) 9320.3170 / 8444.0040