[GTER] Firewall em ISP - Boas praticas

Wed Jan 10 17:16:12 -02 2018

Mas o posicionamento? Nas bordas ou nas CE? ou em que ponto da rede?

2017-12-15 9:02 GMT-02:00 Elgton D B Lucena - Linkcariri <
elgton at linkcariri.com>:

> Depois que mais de 1000 equipamentos ubnt foram atingidos por um vírus,
> bloqueamos varias portas que possam ser usadas para gerência dos
> equipamentos do lado dos clientes!
>
>
> Em qui, 14 de dez de 2017 às 22:35, Gustavo Stocco <
> gustavostocco at gmail.com>
> escreveu:
>
> > A vantagem de redirecionar dns é pegar aquele bando de equipamentos
> > infectados que acessam servidores dns maliciosos.
> > A maioria de vocês praticam isso? Até pensei em aplicar por aqui, até
> > porque muitos ainda acham que o servidor do Google ou OpenDNS tem melhor
> > performance que um local bem gerenciado.
> > Nego está acostumado com esses servidores dinossauros da OI e afins e
> acaba
> > meio que sendo automático jogar o 8.8.8.8 e etc, rs.
> >
> > 2017-12-14 12:35 GMT-02:00 Fábio Hernandes <fabio at hernandes.eti.br>:
> >
> > > Bloqueio de portas abaixo de 1024 acho que até poderia rolar se estiver
> > > previsto no contrato, mas redirecionamento de DNS vejo como hijack.
> > >
> > >
> > > --
> > > Fábio R. Hernandes
> > > Fone: (17) 99643 6715
> > > Skype: hernandes.fabio
> > >
> > > Em 14 de dezembro de 2017 11:03, Lucas Willian Bocchi <
> > > lucas.bocchi at gmail.com> escreveu:
> > >
> > > > Joelson, você me lembrou de mais algumas portas com essa tua
> > > > 389 tcp/udp
> > > > 3128 tcp
> > > > 8080 tcp
> > > >
> > > >
> > > > Em 14 de dezembro de 2017 08:59, Joelson Vendramin via gter <
> > > > gter at eng.registro.br> escreveu:
> > > >
> > > > > Acrescentaria nesta lista de portas a 389 (LDAP) para tráfego UDP.
> > > > > Pegamos recentemente um tráfego pesado composto de UDP de/para a
> > porta
> > > > > 389, bem típico de um ataque de amplificação.
> > > > > Na maioria dos casos tratavam-se de servidores Windows de clientes
> > com
> > > o
> > > > > AD aberto para o mundo!
> > > > > Alias, existe alguma implementação que justifique um LDAP aberto na
> > > > > Internet respoondendo UDP?
> > > > >
> > > > > Sds,
> > > > >
> > > > > --
> > > > > Joelson Vendramin
> > > > >
> > > > >
> > > > > ________________________________
> > > > > De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> > > > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> > > > > gter at eng.registro.br>
> > > > > Enviadas: Quarta-feira, 13 de Dezembro de 2017 17:41
> > > > > Assunto: Re: [GTER] Firewall em ISP - Boas praticas
> > > > >
> > > > >
> > > > >
> > > > > Nos B-RAS ou em roteadores que fazem o controle de ip válido eu
> quase
> > > > > sempre coloco filtros para portas conhecidas que têm problema de
> > > invasão
> > > > de
> > > > > CPE (80,443,23,22) e só libero a pedido do cliente. Bloqueio também
> > > > > consulta DNS para o ip do cliente (dns aberto), consulta NTP e,
> > > > > principalmente, para evitar ataques ddos spoofados, um filtro que
> > > valide
> > > > o
> > > > > ip de saída/entrada do cliente.
> > > > >
> > > > > Em 13 de dezembro de 2017 16:04, Douglas Fischer <
> > > > fischerdouglas at gmail.com
> > > > > >
> > > > > escreveu:
> > > > >
> > > > > > Mil colocações me passaram pela cabeça.
> > > > > > Só vou me ater a uma...
> > > > > >
> > > > > > Gerencia da porta 25?
> > > > > > SIM! Com toda a certeza!
> > > > > >
> > > > > > Não creio que politica de roteamento caiba nesse caso.
> > > > > > Ainda mais em BlackHole. Tem o mesmo efeito de um simples
> > drop/deny.
> > > > > > Faria algum sentido se jogasse isso para um Sniffer para
> possíveis
> > > > > > análises, mas creio ser desnecessário.
> > > > > >
> > > > > > IMPORTANTE!!!
> > > > > > Gerencia da porta 25 em IPv4 eeeeeeeee IPV6
> > > > > > Lembre do IPv6.
> > > > > > Por favor LEMBRE de gerenciar porta 25 em IPv6!
> > > > > >
> > > > > >
> > > > > > Em 13 de dezembro de 2017 15:27, Andre Almeida <
> andre at bnet.com.br>
> > > > > > escreveu:
> > > > > >
> > > > > > > Amigos, boa tarde.
> > > > > > >
> > > > > > > Gostaria de abrir essa thread pois não encontrei muita coisa a
> > > > > respeito.
> > > > > > >
> > > > > > > ... sobre como vocês estão fazendo de firewall quando em ISP...
> > > > > > >
> > > > > > > Vejo alguns que preferem bloquear tudo de portas baixas, até a
> > > 1024,
> > > > só
> > > > > > não
> > > > > > > fazemos isso por aqui pois não considero como uma boa
> prática...
> > da
> > > > > mesma
> > > > > > > forma que redirecionar DNS para os recursivos do provedor.
> > > > > > >
> > > > > > > Uma outra thread aberta recentemente perguntava onde fazer
> > > CGNAT....
> > > > e
> > > > > eu
> > > > > > > venho perguntar também:
> > > > > > >
> > > > > > > Como fazer esse firewall e onde?
> > > > > > > Politica de roteamento de uma caixa dedicada ? Direto no
> > > > concentrador ?
> > > > > > Na
> > > > > > > CPE ?
> > > > > > >
> > > > > > > Por exemplo, vocês fazem a gerencia da porta 25 como ?
> > > > > > > Politica de roteamento encaminhando pra um IP de blackhole?
> > > > > > >
> > > > > > > Obrigado
> > > > > > > Andre
> > > > > > > --
> > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Douglas Fernando Fischer
> > > > > > Engº de Controle e Automação
> > > > >
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> >
> > Gustavo Stocco
> > NAXI TELECOMUNICAÇÕES
> > +55 (47) 3054-2233
> > 0800-932-0000 R.3322
> > INOC-DBA BR 53001*100
> > ASN 53001
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
.:Abraços:.

<<< Jonatas M. Victor >>>
jonatas at jmv.eti.br
jonatasmv at gmail.com