[GTER] Firewall no ASN

Fernando Frediani fhfrediani at gmail.com
Wed Sep 19 12:56:38 -03 2018 

Tárcio, com relação ao Marco Civil ele não obriga mas garante ao ISP o 
direito de aplicar medidas preventivas de segurança para evitar tanto 
ser alvo de ataque quanto ser origem.

O problema é que temos visto alguns interpretarem isso de uma maneira 
mito ampla e genérica considerando muitas vezes aquilo que mais convém 
tecnicamente para manter o padrão/arquitetura adotada ou até mesmo o 
modelo de negócios como "segurança".
É importante aplicar várias dessas prevenções que mencionamos nas 
mensagens anteriores como forma responsável de contribuir para redução 
dos ataques DDoS , porém sem retirar features que seriam esperadas por 
qualquer usuário que deseja navegar na Internet sem filtros ou bloqueios 
à aplicações essenciais para o trabalho ou lazer da pessoa.

Por exemplo: como citado o tráfego SSDP não é um tráfego que deveria 
existir na internet de qualquer maneira, então não se está retirando 
nada do usuário que ele normalmente teria. Anti-spoofing também é outro 
exemplo.

Alguns exemplos que acabam por ferir a neutralidade são forçar o usuário 
a utilizar seu Servidor DNS Recursivo. Mesmo que isso seja recomendável 
e bom pra ele, se ele quiser utilizar algum outro não se pode obrigá-lo 
como única opção em nome da segurança. Senão poderão surgir situações 
aonde uma VPN não irá funcionar em determinados ISP ou outras 
ferramentas necessárias por exemplo à quem trabalha em regime de home 
office.

Fernando


On 19/09/2018 08:48, Tárcio Dutra wrote:
> Bom dia, a todos. Obrigado pelo interesse no assunto.
>
>
> A EMPRESA que nos "reclamou" dos ataques, com certa "educação" frisou que a responsabilidade para conter a saída desses ataques é de nossa responsabilidade e não do cliente, também citou o Marcos Civil. :/   Olha, no Marco Civil não encontrei nada dizendo isso.
>
> +++++++++++++++++++++++++Alguém achou essa interpretação (não estou querendo fugir da responsabilidade da minha rede)? Alguém sabe  se as GRANDES usam firewall para o trafego de cliente???++++++++++++++++++++++++++++++++++
>
>
> Alexandre C.Fiz esse notificação e já removi os IPs. Também duvido muito que as Teles dão importância a esses avisos (agora resta saber se eles implantam firewall, ALGUÉM SABE?)
>
>
> Eduardo SchoedlerObrigado pela indicação de leitura.
>
>
> Marcelo GondimSe eu chegar a fazer o Firewall, tbm acho mais viável faze-lo nos BRAS (obrigado pelo código), apesar que estou com receio do aumento de CPU, você não notou aumento na latência devido ao FIREWALL?
>
>
> Rubens
>
> Um equipamento L2 dedicado ao FIREWALL já utilizo em pequenas aplicações, só não consigo dizer se a latência não vai aumentar para os clientes, já que o tráfego é bem mais alto.
>
>
> Obrigado novamente
>
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Marcelo Gondim <gondim at bsdinfo.com.br>
> Enviado: terça-feira, 18 de setembro de 2018 22:33:05
> Para: gter at eng.registro.br
> Assunto: Re: [GTER] Firewall no ASN
>
> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos assim:
>
>
> BRAS ----- CGNAT ----- Router/Firewall --- Borda
>    |                                      |
>    +------------------------------+
>                IPv6
>
> Em 18/09/2018 22:16, Rubens Kuhl escreveu:
>> O recomendável é um terceiro equipamento entre esses dois, em configuração
>> não redundante.
>>
>> BRAS - Firewall - Borda
>> +------------------------+
>>
>> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e seria
>> contingência caso o firewall pife.
>> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com spanning-tree
>> de redundância, se for L3 com OSPF de redundância. Se for L2 com firewall
>> bridge, se for L3 com firewall roteado.
>>
>> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom candidato.
>>
>>
>> Rubens
>>
>>
>>
>> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <tarcio_dutra at hotmail.com>
>> wrote:
>>
>>> Boa tarde, Turma.
>>>
>>>
>>> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
>>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>>>
>>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma
>>> porta X.
>>>
>>>
>>> Bem, devemos sempre colaborar...
>>>
>>>
>>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>>>
>>>
>>> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se
>>> eu subir um FIREWALL eu vou ter um aumento considerável no processamento
>>> dos meus equipamentos.  😖  :(
>>>
>>>
>>> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
>>> ajudar.
>>>
>>>
>>> Att,
>>>
>>> Tárcio
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list