[GTER] Liberação de portas residencial

Rubens Kuhl rubensk at gmail.com
Wed Jun 13 15:04:36 -03 2018 

On Wed, Jun 13, 2018 at 12:19 PM Jonni Pianezzer <jhonnyp at deltaativa.com.br>
wrote:

> Bom dia a Todos que discussao mas sem sentido, isso é coisa de usuario
> que quer ter servicos de link dedicado em link residencial
>

Link dedicado tem SLA de horas e não de dias, tem capacidade de upload
generosa... link residencial, com ou sem portas entrantes bloqueadas, não
tem nenhuma dessas coisas.


> os link residenciais ja sao mais baratos por N fatores e isto é um dos
> que justifica o upgrade para link empresariais caso cliente necessite.
>
>
Mas um desses fatores não pode ser ilegal. Apenas fatores juridicamente
corretos podem ser usados para diferenciação de produto.


> Sobre deixar todas as portas abertas, entao ótimo para quem faz, e boa
> sorte, depois vem os problemas,
>
> DVR invadido por que nao trocam a senha, roteador reconfigurados por que
> nao foi bloqueado a porta de gerencia do roteador, ataques ssh.
>
> ataques e infeccoes por virus tipo o vpnfilter agora o mais recente e
> tantos outros, tudo isto jutifica a protecao ao servico. mas isso tudo é
> coisa de anos assim mesmo e nao vai mudar isso mais.
>

Aí entra na questão de segurança... bloqueie por default algumas coisas
(telnet, ssh etc.), e deixe o usuário dizer "eu me agarantio" e remover
isso.


>
> ao contrario agora temos outro motivo bem mais importante, o CGNAT, que
> o provedor do amigo pode talvez ate nao estar utilizando ainda, mas ira
> em breve como todos nós.
>
>
CGNAT só se aplica a IPv4.



> dai vai ser exigido de quem as portas liberadas entrantes?  vamos ter
> que sortear no grupo de usarios quem podera ter a porta 80 liberada para
> si, o outro ficara com a porta 10080 e assim por diante.
>
>
De quem não usar CGNAT e de IPv6.


> Arrumar discussão sobre isso nao vai levar a nada mais hoje em dia. o
> que eu recomendo é que todas pecam Ipv6 ao seu fornecedor para
> melhorarmos a internet como um todo.
>
> e se precisas desse portas, pague por isso, mas se és o desenvolvedor,
>

Pera lá; não se pode cobrar por algo que é direito assegurado.


> troque a porta de sua aplicacao, é mais seguro para voce e vais evitar
> varios outros problemas do mesmo tipo com seus clientes do seu software.
>
>
Mas vale sim ter esse diálogo com o cliente: é melhor colocar porta não
padrão.


> Normalmente empresas ja possuem um setor de TI e por isso as portas
> estando liberadas eles acabam bloqueando isso no firewal da propria
> empresa. agora usuarios domesticos na maioria nao sabem efetuar essas
> configuracoes,
>
>
Foi-se o tempo que empresas tinham TI especializado... não dá mais para
contar com esse fator de distinção.


> porta 53, 22, 23, 161 e 162, 179 e  porta de gerencia do roteador, entre
> outras como upnp tcp 1900 saindo para internet,  e por sinal sim o
> padrao é 0-1023 ou 0-1024 os bloqueios feitos pela grande maioria que se
> preocupa com isso.
>

53 é DNS, que não deveria estar bloqueado...  os outras que você falou fale
sim deixar por default bloqueadas, com opt-out.



> sao varios ataques e falhas que dao suporte a serem feitos certos
> bloqueios.
>
> o amigo do topico nao informou qual a porta em questao esta bloqueada,
> mas nao acredite em ma fé do seu provedor não, ninguem faz isso visando
> o pequeno ganho do ip fixo, mas sim na protecao da sua rede e de seus
> assinantes como um todo.
>
>
Não dá para ler mentes... deve ter tanto gente num caso quanto no outro.

Rubens

More information about the gter mailing list