[Lista ArNOG] BCP puertos candidatos a bloqueo?
Ivan Chapero
info en ivanchapero.com.ar
Mie Mayo 18 17:35:41 ART 2016
Eduardo,
gracias por el aporte.
Por el carácter de tus reglas intuyo que es basado en RouterOS. Hay muchas
listas extensas de reglas para firewalling sobre esta plataforma. Tu
ejemplo abre otro debate, ¿se debe convertir en un firewall el ISP o
limitarse a lo mínimo malo conocido?.
Con trackear estados de conexiones ya estas mas próximo a ser un UTM del
cliente que su proveedor de servicio. Es una mirada personal, pero creo que
el ISP no debería meterse tan en las conexiones del abonado salvo
casos/protocolos que son exclusivamente dañinos (ej chargen o un NTP server
del lado cliente).
PD: la RFC actual que engloba las IPs reservadas y especiales es:
http://tools.ietf.org/html/rfc6890
S2
El 16 de mayo de 2016, 12:50, Eduardo Tealdi Saad <eduardots en amc.com.ar>
escribió:
> Fernando:
>
> la ACL que mostras, salvo icmp, estas filtrando layer 3 (IPs)
> sin mas info no podemos saber que te fallo, pero si la VPN usa IPs
> privadas tenes que exceptuarlas en la ACL.
> Creo que Ivan pregunta mas para el lado de filtros layer 4 (tcp, udp, icmp)
>
> ********************************
>
> yo los filtros los armo secciones separadas, para facilitar la
> administracion y encontrar las cosas.
>
> A grandes rasgos:
>
> Filtro layer 3:
> RFC 5735 - IPs reservadas que incluye las que listas y unas cuantas mas
> DROP de listas dinamicas, Escaneos: DNS, VoIP, NTP, icmp, http, etc
>
> Filtro Layer 4:
> Input - Trafico router
> BGP a mis IP, desde IPs de mis Carrier
> Manage: NTP propio, VPN, SSH con port-knoking
> Filtros ICMP
>
> Forward - Clientes Residenciales
> Forward - Clientes Corporativos
> Forward - Servidores
>
>
> En los Residenciales no permito excepciones (salvo saliente a SMTP)
> En las corporativos tengo casi los mismos filtros pero agrego excepciones
> cuando el cliente lo solicita
> Los servidores son propios, asi que son filtros a medida
>
> Permit IPs de mis clientes, resto DENY
> Permit Conexiones establecidas y relativas
> Permit gre, ip-sec, etc
> Filtros TCP
> Filtros UDP
> Filtros ICMP
> DROP otros protocolos y general
>
>
> Saliente SMTP, permito excepciones particulares a pedido
> Saliente DNS a mis servidores, google y los conocidos, el resto redirect
> Filtro proxys 3128, 8080, 8081
> DROP Entrante y Saliente: netbios, SMB, mysql, NTP, dhcp, bootpc, snmp,
> ssdp,
> entrante puertos bajos 0-1023
>
>
> hay mucha info en internet, hay que tomarlos como punto de partida
> adaptando a la red de cada uno, por ejem:
> http://wiki.mikrotik.com/wiki/NetworkPro_on_firewalling
>
> aca tenes muchos puertos que se pueden filtrar, no pq sea anti-microsoft,
> jajaja
> https://msdn.microsoft.com/en-us/library/cc875824.aspx
>
>
> El 16/5/2016 a las 10:46 a. m., Fernando R. Soto escribió:
>
> Yo una vez arme esto q recomienda Cisco y se me rompieron varias cosas,
> como una vpn.
>
> No tuve tiempo de investigar q paso. Se lo tengo q consultar a mi asesor…
>
>
>
>
>
> R1#show access-list 101 (in)
> Extended IP access-list 101
> deny ip 10.0.0.0 0.255.255.255 any log
> deny ip 172.16.0.0 0.15.255.255 any log
> deny ip 192.168.0.0 0.0.255.255 any log
> deny ip 127.0.0.0 0.255.255.255 any log
> deny ip 224.0.0.0 0.15.255.255 any log
> deny ip 0.0.0.0 255.255.255.255 any log
> deny ip host 2555.255.255.255 any log
> deny icmp any any echo log
> deny icmp any any redirect log
> deny icmp any any mask-request log
> permit ip any any log
> permit icmp any any log
>
>
>
> Slds.
>
>
>
>
>
> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar
> <lista-bounces en arnog.com.ar>] *En nombre de *Ivan Chapero
> *Enviado el:* jueves, 12 de mayo de 2016 7:11 p. m.
> *Para:* lista en arnog.com.ar
> *Asunto:* [Lista ArNOG] BCP puertos candidatos a bloqueo?
>
>
>
> Estimados,
>
> inicio el hilo para consultarles si hay alguna fuente actualizada de
> puertos con alta sugerencia a ser bloqueados por el ISP en los vínculos a
> los carriers.
>
> La idea no es ir detrás de 10000 puertos de malware sino concertase
> netamente en los que ya es casi una BCP no permitirlos en la frontera con
> el upstream.
>
> Por ej:
>
> - icmp fragmentado
>
> - SSDP
>
> - SMB/CIFS/NetBIOS
>
> - Chargen
>
> - Clientes residenciales respondiendo a SMTP, NTP, DNS,
> <otros-serv-amplificables>, etc (discutible pero efectivo este bloqueo).
>
>
> --
>
>
> *Ivan Chapero Área Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
> ivanchapero
>
> --
>
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
> - Santa Fe - Argentina
>
>
>
>
>
>
>
>
> _______________________________________________
> Lista mailing listLista en arnog.com.arhttp://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
> --
> Eduardo Tealdi Saad
> Administrador de Red
> Cooperativa Mariano Acosta
> Superi 660, Mariano Acosta (CP 1723)
> Cel: 221 643-4291eduardots en amc.com.ar
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20160518/f7900639/attachment.html>
Más información sobre la lista de distribución Lista