[GTER] Firewall no ASN

Marcelo Gondim gondim at bsdinfo.com.br
Wed Sep 19 14:22:52 -03 2018 

Em 19/09/2018 10:13, Douglas Fischer escreveu:
> Resposta padrão?
> 1 - Siga o Manrs!
> https://www.manrs.org/manrs/
> 2 - Siga os BCPs! Principalmente a versão tropicalizada que o NIC.BR
> oferece...
> https://bcp.nic.br/
>
>
> Uma coisa trivial e que resolve o um problemão em 1 linha de comando é:
> Habilite o uRPF em modo Strict nos seus B-RAS e vai estar acabando com o
> spoofing que poderia sair desses clientes.
Essa é uma excelente dica mesmo. Habilitar o strict nos BRAS:

/ip settings
set rp-filter=strict

Dá problema, por exemplo,  se tiver fazendo reencaminhamento de tráfego 
por marcação de pacotes mas se fizer por PBR direto funciona sem 
problemas o strict.   :)

>
> Só tive problema com isso em situações que o cabra fazia gambiarra usando o
> B-RAS para fazer outras coisas...
> Desenho de rede mal feito.
>
>
>
> Existe uma questão polêmica sobre:
> "tornar o ambiente de seu cliente e da Internet como um todo mais seguro"
> vs
> "Não ferir a neutralidade da rede"
>
> Até agora, a solução que estou dado para isso é separar clientes em dois
> grupos
> 1- "Clientes Padrão", com bloqueios preventivos.
> 2- "Clientes que assumem o risco", sem nenhum tipo de bloqueio.
>
> A separação entre um e de outro é feita pelo Profile do PPP recebido pelo
> Radius, que vai colocoar ele em um Pool de endereços com ou sem bloqueios
> nas ACLs.
> Um cliente meu ficou de ver com o desenvolvedor do sistema de gestão para o
> cliente poder escolher isso através da central do assinante.
>
> Essa solução ainda precisa ser aprimorada...
> Mas é o melhor jeito que encontrei até o momento para poder oferecer um
> OPT-OUT das políticas de "proteção" e assegurar a neutralidade da rede.
>
>
>
>
>
>
>
> Em ter, 18 de set de 2018 às 21:05, Tárcio Dutra <tarcio_dutra at hotmail.com>
> escreveu:
>
>> Boa tarde, Turma.
>>
>>
>> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>>
>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma
>> porta X.
>>
>>
>> Bem, devemos sempre colaborar...
>>
>>
>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>>
>>
>> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se
>> eu subir um FIREWALL eu vou ter um aumento considerável no processamento
>> dos meus equipamentos.  😖  :(
>>
>>
>> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
>> ajudar.
>>
>>
>> Att,
>>
>> Tárcio
>> --

More information about the gter mailing list