[GTER] Firewall no ASN
Marcelo Gondim
gondim at bsdinfo.com.br
Wed Sep 19 14:16:11 -03 2018
Em 19/09/2018 08:48, Tárcio Dutra escreveu:
> Bom dia, a todos. Obrigado pelo interesse no assunto.
>
>
> A EMPRESA que nos "reclamou" dos ataques, com certa "educação" frisou que a responsabilidade para conter a saída desses ataques é de nossa responsabilidade e não do cliente, também citou o Marcos Civil. :/ Olha, no Marco Civil não encontrei nada dizendo isso.
>
> +++++++++++++++++++++++++Alguém achou essa interpretação (não estou querendo fugir da responsabilidade da minha rede)? Alguém sabe se as GRANDES usam firewall para o trafego de cliente???++++++++++++++++++++++++++++++++++
>
>
> Alexandre C.Fiz esse notificação e já removi os IPs. Também duvido muito que as Teles dão importância a esses avisos (agora resta saber se eles implantam firewall, ALGUÉM SABE?)
>
>
> Eduardo SchoedlerObrigado pela indicação de leitura.
>
>
> Marcelo GondimSe eu chegar a fazer o Firewall, tbm acho mais viável faze-lo nos BRAS (obrigado pelo código), apesar que estou com receio do aumento de CPU, você não notou aumento na latência devido ao FIREWALL?
Aumenta mais com o conntrack habilitado. Logicamente que qualquer regra
de firewall vai gerar um custo ao equipamento mas nesse caso,
desabilitando o conntrack fica bem tranquilo.
O bom de fazer no firewall, como o Rubens colocou, é que em apenas um
lugar você pode colocar as regras e passam à valer para todos os BRAS.
Imagina em uma rede distribuída com muitos BRAS, o trabalho que daria
fazer a regra em todos eles. Tem isso também. Como eu tenho a estrutura
aqui bem parecida com a que o Rubens citou, eu posso fazer as regras no
Firewall, o que facilita bastante. No meu caso aqui eu tenho um router
de borda que atende todas as cidades que forneço serviço mas em cada
cidade eu tenho um Router/Firewall que fecha OSPF/OSPF6 com o router de
borda. Nesse equipamento em cada cidade eu faço uns bloqueios de boas
práticas.
>
>
> Rubens
>
> Um equipamento L2 dedicado ao FIREWALL já utilizo em pequenas aplicações, só não consigo dizer se a latência não vai aumentar para os clientes, já que o tráfego é bem mais alto.
>
>
> Obrigado novamente
>
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Marcelo Gondim <gondim at bsdinfo.com.br>
> Enviado: terça-feira, 18 de setembro de 2018 22:33:05
> Para: gter at eng.registro.br
> Assunto: Re: [GTER] Firewall no ASN
>
> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos assim:
>
>
> BRAS ----- CGNAT ----- Router/Firewall --- Borda
> | |
> +------------------------------+
> IPv6
>
> Em 18/09/2018 22:16, Rubens Kuhl escreveu:
>> O recomendável é um terceiro equipamento entre esses dois, em configuração
>> não redundante.
>>
>> BRAS - Firewall - Borda
>> +------------------------+
>>
>> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e seria
>> contingência caso o firewall pife.
>> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com spanning-tree
>> de redundância, se for L3 com OSPF de redundância. Se for L2 com firewall
>> bridge, se for L3 com firewall roteado.
>>
>> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom candidato.
>>
>>
>> Rubens
>>
>>
>>
>> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <tarcio_dutra at hotmail.com>
>> wrote:
>>
>>> Boa tarde, Turma.
>>>
>>>
>>> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
>>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>>>
>>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma
>>> porta X.
>>>
>>>
>>> Bem, devemos sempre colaborar...
>>>
>>>
>>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>>>
>>>
>>> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se
>>> eu subir um FIREWALL eu vou ter um aumento considerável no processamento
>>> dos meus equipamentos. 😖 :(
>>>
>>>
>>> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
>>> ajudar.
>>>
>>>
>>> Att,
>>>
>>> Tárcio
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
More information about the gter
mailing list