[GTER] Firewall no ASN
Tárcio Dutra
tarcio_dutra at hotmail.com
Wed Sep 19 14:08:34 -03 2018
Tarde!
Douglas. Já vou ADD esses dois grupos para leituras semanais... Valeu pela dica com o uRPF. Vou ter que reler o Marco Civil vendo esse ponto de "neutralidade".
Fernando Fredian. De fato deveria existir um colaboração entre os ASNs, mas é dificil, inclusive nesse meio dos Provedores.
Vou estudar o BCP-38 indicado, realmente não o conhecia.
Vi que muitos se interessaram em me ajudar, o que indica que não só eu me preocupo em colaborar na segurança da internet na medida do possível. :)
Mais uma vez agradeço por compartilhar o conhecimento de vocês comigo.
Att,
________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Douglas Fischer <fischerdouglas at gmail.com>
Enviado: quarta-feira, 19 de setembro de 2018 10:13:34
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Firewall no ASN
Resposta padrão?
1 - Siga o Manrs!
https://www.manrs.org/manrs/
2 - Siga os BCPs! Principalmente a versão tropicalizada que o NIC.BR
oferece...
https://bcp.nic.br/
Uma coisa trivial e que resolve o um problemão em 1 linha de comando é:
Habilite o uRPF em modo Strict nos seus B-RAS e vai estar acabando com o
spoofing que poderia sair desses clientes.
Só tive problema com isso em situações que o cabra fazia gambiarra usando o
B-RAS para fazer outras coisas...
Desenho de rede mal feito.
Existe uma questão polêmica sobre:
"tornar o ambiente de seu cliente e da Internet como um todo mais seguro"
vs
"Não ferir a neutralidade da rede"
Até agora, a solução que estou dado para isso é separar clientes em dois
grupos
1- "Clientes Padrão", com bloqueios preventivos.
2- "Clientes que assumem o risco", sem nenhum tipo de bloqueio.
A separação entre um e de outro é feita pelo Profile do PPP recebido pelo
Radius, que vai colocoar ele em um Pool de endereços com ou sem bloqueios
nas ACLs.
Um cliente meu ficou de ver com o desenvolvedor do sistema de gestão para o
cliente poder escolher isso através da central do assinante.
Essa solução ainda precisa ser aprimorada...
Mas é o melhor jeito que encontrei até o momento para poder oferecer um
OPT-OUT das políticas de "proteção" e assegurar a neutralidade da rede.
Em ter, 18 de set de 2018 às 21:05, Tárcio Dutra <tarcio_dutra at hotmail.com>
escreveu:
> Boa tarde, Turma.
>
>
> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>
> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma
> porta X.
>
>
> Bem, devemos sempre colaborar...
>
>
> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>
>
> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se
> eu subir um FIREWALL eu vou ter um aumento considerável no processamento
> dos meus equipamentos. 😖 :(
>
>
> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
> ajudar.
>
>
> Att,
>
> Tárcio
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list