[Lista ArNOG] BCP puertos candidatos a bloqueo?
Fernando R. Soto
fsoto en fi.uba.ar
Lun Mayo 16 10:46:24 ART 2016
Yo una vez arme esto q recomienda Cisco y se me rompieron varias cosas, como una vpn.
No tuve tiempo de investigar q paso. Se lo tengo q consultar a mi asesor…
R1#show access-list 101 (in)
Extended IP access-list 101
deny ip 10.0.0.0 0.255.255.255 any log
deny ip 172.16.0.0 0.15.255.255 any log
deny ip 192.168.0.0 0.0.255.255 any log
deny ip 127.0.0.0 0.255.255.255 any log
deny ip 224.0.0.0 0.15.255.255 any log
deny ip 0.0.0.0 255.255.255.255 any log
deny ip host 2555.255.255.255 any log
deny icmp any any echo log
deny icmp any any redirect log
deny icmp any any mask-request log
permit ip any any log
permit icmp any any log
Slds.
De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre de Ivan Chapero
Enviado el: jueves, 12 de mayo de 2016 7:11 p. m.
Para: lista en arnog.com.ar
Asunto: [Lista ArNOG] BCP puertos candidatos a bloqueo?
Estimados,
inicio el hilo para consultarles si hay alguna fuente actualizada de puertos con alta sugerencia a ser bloqueados por el ISP en los vínculos a los carriers.
La idea no es ir detrás de 10000 puertos de malware sino concertase netamente en los que ya es casi una BCP no permitirlos en la frontera con el upstream.
Por ej:
- icmp fragmentado
- SSDP
- SMB/CIFS/NetBIOS
- Chargen
- Clientes residenciales respondiendo a SMTP, NTP, DNS, <otros-serv-amplificables>, etc (discutible pero efectivo este bloqueo).
--
Ivan Chapero
Área Técnica y Soporte
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20160516/52f6041d/attachment.html>
Más información sobre la lista de distribución Lista