[GTER] Firewall no ASN

[Márcio Elias Hahn do Nascimento]

Tárcio, 

Eu implemento algumas regras diretamente no BRAS, (algumas inclusive
citadas aqui, e pelo teor da mensagem que irão resolver justamente o que
te foi solicitado). 

Regra de outro é não olhar para o status da conexão, nada que ative o
Conntrack. Apensa bloqueie o essencial baseado na porta/protocolo de
origem/destino sendo encaminhado pelo BRAS. 

Pode não ser a solução mais tecnologicamete elegante, mais é certamente
eficiente. 

E por último, sendo mais pró-ativo do que re-ativo, alguém tem algum
feedback sobre o Shadow Server (https://www.shadowserver.org)? 

Em 2018-09-19 08:48, Tárcio Dutra escreveu:

> Bom dia, a todos. Obrigado pelo interesse no assunto.
> 
> A EMPRESA que nos "reclamou" dos ataques, com certa "educação" frisou que a responsabilidade para conter a saída desses ataques é de nossa responsabilidade e não do cliente, também citou o Marcos Civil. :/   Olha, no Marco Civil não encontrei nada dizendo isso.
> 
> +++++++++++++++++++++++++Alguém achou essa interpretação (não estou querendo fugir da responsabilidade da minha rede)? Alguém sabe  se as GRANDES usam firewall para o trafego de cliente???++++++++++++++++++++++++++++++++++
> 
> Alexandre C.Fiz esse notificação e já removi os IPs. Também duvido muito que as Teles dão importância a esses avisos (agora resta saber se eles implantam firewall, ALGUÉM SABE?)
> 
> Eduardo SchoedlerObrigado pela indicação de leitura.
> 
> Marcelo GondimSe eu chegar a fazer o Firewall, tbm acho mais viável faze-lo nos BRAS (obrigado pelo código), apesar que estou com receio do aumento de CPU, você não notou aumento na latência devido ao FIREWALL?
> 
> Rubens
> 
> Um equipamento L2 dedicado ao FIREWALL já utilizo em pequenas aplicações, só não consigo dizer se a latência não vai aumentar para os clientes, já que o tráfego é bem mais alto.
> 
> Obrigado novamente
> 
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Marcelo Gondim <gondim at bsdinfo.com.br>
> Enviado: terça-feira, 18 de setembro de 2018 22:33:05
> Para: gter at eng.registro.br
> Assunto: Re: [GTER] Firewall no ASN
> 
> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos assim:
> 
> BRAS ----- CGNAT ----- Router/Firewall --- Borda
> |                                      |
> +------------------------------+
> IPv6
> 
> Em 18/09/2018 22:16, Rubens Kuhl escreveu: O recomendável é um terceiro equipamento entre esses dois, em configuração
> não redundante.
> 
> BRAS - Firewall - Borda
> +------------------------+
> 
> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e seria
> contingência caso o firewall pife.
> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com spanning-tree
> de redundância, se for L3 com OSPF de redundância. Se for L2 com firewall
> bridge, se for L3 com firewall roteado.
> 
> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom candidato.
> 
> Rubens
> 
> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <tarcio_dutra at hotmail.com>
> wrote:
> 
> Boa tarde, Turma.
> 
> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
> 
> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma
> porta X.
> 
> Bem, devemos sempre colaborar...
> 
> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
> 
> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se
> eu subir um FIREWALL eu vou ter um aumento considerável no processamento
> dos meus equipamentos.  😖  :(
> 
> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
> ajudar.
> 
> Att,
> 
> Tárcio
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --

--
gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter 

-- 
Att 

Márcio Elias Hahn do Nascimento