[GTER] Firewall no ASN

Fernando Frediani fhfrediani at gmail.com
Wed Sep 19 02:41:17 -03 2018 

Olá Tárcio

Parabéns por receber o email e fazer a lição de casa ao menos 
verificando se há alguma possibilidade da rede que você opera estar 
sendo origem de ataques DDoS.
Esse, acredito, é o espírito de operar um ASN e a Internet, a 
colaboração entre os diversos sistemas autônomos em benefício de todos. 
Hoje é a rede que cuidamos que pode estar sendo origem de ataque, amanha 
é a nossa rede que pode estar sendo destino daquele ataque. Quem dera 
pudéssemos ter a essa colaboração entre ASNs cada vez mais estimulada.

Com relação à sua questão acredito que alguns colegas já deram a 
direção. A minha é de bloquear ou no próprio BRAS se isso não onerá-lo 
demais com as regras de boqueio. Também leve em conta que colocando em 
cada BRAS a carga é também distribuída ao contrário de um único lugar 
muito central na rede. Ou então colocando uma caixa no meio que como 
citado pode ser L2 ou L3 (um switch mesmo pode realizar determinados 
bloqueios de maneira eficiente). Na borda não é recomendável ter nada 
nesse sentido.

Alguns pontos que valem mencionar são:

- Se a sua borda for Mikrotik qualquer regra de firewall faz ele perder 
o Fastpath que é algo bastante importante no quesito de performance para 
processando de pacotes
- Alguns tipos de bloqueios são "no brainer" como por exemplo 
determinados tráfego que nunca deveriam existir na Internet como SSDP 
(porta 1900/UDP) por exemplo. Existem também outros podem ser mais ou 
menos discutíveis sobre a efetividade.
- E não dá pra esquecer nunca do BCP-38 
(https://tools.ietf.org/html/bcp38) que já ajuda a eliminar uma boa 
parcela dos possíveis ataques.

Fernando


On 18/09/2018 17:52, Tárcio Dutra wrote:
> Boa tarde, Turma.
>
>
> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>
> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma porta X.
>
>
> Bem, devemos sempre colaborar...
>
>
> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>
>
> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se eu subir um FIREWALL eu vou ter um aumento considerável no processamento dos meus equipamentos.  😖  :(
>
>
> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me ajudar.
>
>
> Att,
>
> Tárcio
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list