[GTER] Firewall no ASN

Douglas Fischer fischerdouglas at gmail.com
Wed Sep 19 10:13:34 -03 2018


Resposta padrão?
1 - Siga o Manrs!
https://www.manrs.org/manrs/
2 - Siga os BCPs! Principalmente a versão tropicalizada que o NIC.BR
oferece...
https://bcp.nic.br/


Uma coisa trivial e que resolve o um problemão em 1 linha de comando é:
Habilite o uRPF em modo Strict nos seus B-RAS e vai estar acabando com o
spoofing que poderia sair desses clientes.

Só tive problema com isso em situações que o cabra fazia gambiarra usando o
B-RAS para fazer outras coisas...
Desenho de rede mal feito.



Existe uma questão polêmica sobre:
"tornar o ambiente de seu cliente e da Internet como um todo mais seguro"
vs
"Não ferir a neutralidade da rede"

Até agora, a solução que estou dado para isso é separar clientes em dois
grupos
1- "Clientes Padrão", com bloqueios preventivos.
2- "Clientes que assumem o risco", sem nenhum tipo de bloqueio.

A separação entre um e de outro é feita pelo Profile do PPP recebido pelo
Radius, que vai colocoar ele em um Pool de endereços com ou sem bloqueios
nas ACLs.
Um cliente meu ficou de ver com o desenvolvedor do sistema de gestão para o
cliente poder escolher isso através da central do assinante.

Essa solução ainda precisa ser aprimorada...
Mas é o melhor jeito que encontrei até o momento para poder oferecer um
OPT-OUT das políticas de "proteção" e assegurar a neutralidade da rede.







Em ter, 18 de set de 2018 às 21:05, Tárcio Dutra <tarcio_dutra at hotmail.com>
escreveu:

> Boa tarde, Turma.
>
>
> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>
> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma
> porta X.
>
>
> Bem, devemos sempre colaborar...
>
>
> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>
>
> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se
> eu subir um FIREWALL eu vou ter um aumento considerável no processamento
> dos meus equipamentos.  😖  :(
>
>
> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
> ajudar.
>
>
> Att,
>
> Tárcio
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list