[Lista ArNOG] BCP puertos candidatos a bloqueo?
Jose Luis Gaspoz
gaspozj en is.com.ar
Jue Mayo 19 08:45:04 ART 2016
Eduardo:
Tómese como comentario nomas...
Ha veces filtrado tan estricto en parte a los accesos de la redes de los clientes puede traer problemas en procesos de aplicaciones que usan helpers en alguna instancia por ejemplo en los routers hogareños (UPNP, NAT Transversal, etc ) en lo que respecta por ejemplo a solo permitir las conexiones “establecidas y relativas” .... las relativas solo contempla los helpers a los protocolos que el SO considera estandar y en casos como por ejemplo Mikrotik no están detalladas en ningún lado
”Permit Conexiones establecidas y relativas”
Obvio, eso es depende de la estructura de Network que tenes.
Los principales problemas con las VPNs cliente-gateway o cliente-cliente suelen ser por que no se tiene en cuenta el servicio de NAT-Transversal para Isakmp (IKE NAT-T) que usa puerto UDP 4500 en vez del isakmp estandar que es el 500.
Saludos
Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523
From: Eduardo Tealdi Saad
Sent: Monday, May 16, 2016 12:50 PM
To: lista en arnog.com.ar
Subject: Re: [Lista ArNOG] BCP puertos candidatos a bloqueo?
Fernando:
la ACL que mostras, salvo icmp, estas filtrando layer 3 (IPs)
sin mas info no podemos saber que te fallo, pero si la VPN usa IPs privadas tenes que exceptuarlas en la ACL.
Creo que Ivan pregunta mas para el lado de filtros layer 4 (tcp, udp, icmp)
********************************
yo los filtros los armo secciones separadas, para facilitar la administracion y encontrar las cosas.
A grandes rasgos:
Filtro layer 3:
RFC 5735 - IPs reservadas que incluye las que listas y unas cuantas mas
DROP de listas dinamicas, Escaneos: DNS, VoIP, NTP, icmp, http, etc
Filtro Layer 4:
Input - Trafico router
BGP a mis IP, desde IPs de mis Carrier
Manage: NTP propio, VPN, SSH con port-knoking
Filtros ICMP
Forward - Clientes Residenciales
Forward - Clientes Corporativos
Forward - Servidores
En los Residenciales no permito excepciones (salvo saliente a SMTP)
En las corporativos tengo casi los mismos filtros pero agrego excepciones cuando el cliente lo solicita
Los servidores son propios, asi que son filtros a medida
Permit IPs de mis clientes, resto DENY
Permit Conexiones establecidas y relativas
Permit gre, ip-sec, etc
Filtros TCP
Filtros UDP
Filtros ICMP
DROP otros protocolos y general
Saliente SMTP, permito excepciones particulares a pedido
Saliente DNS a mis servidores, google y los conocidos, el resto redirect
Filtro proxys 3128, 8080, 8081
DROP Entrante y Saliente: netbios, SMB, mysql, NTP, dhcp, bootpc, snmp, ssdp,
entrante puertos bajos 0-1023
hay mucha info en internet, hay que tomarlos como punto de partida adaptando a la red de cada uno, por ejem:
http://wiki.mikrotik.com/wiki/NetworkPro_on_firewalling
aca tenes muchos puertos que se pueden filtrar, no pq sea anti-microsoft, jajaja
https://msdn.microsoft.com/en-us/library/cc875824.aspx
El 16/5/2016 a las 10:46 a. m., Fernando R. Soto escribió:
Yo una vez arme esto q recomienda Cisco y se me rompieron varias cosas, como una vpn.
No tuve tiempo de investigar q paso. Se lo tengo q consultar a mi asesor…
R1#show access-list 101 (in)
Extended IP access-list 101
deny ip 10.0.0.0 0.255.255.255 any log
deny ip 172.16.0.0 0.15.255.255 any log
deny ip 192.168.0.0 0.0.255.255 any log
deny ip 127.0.0.0 0.255.255.255 any log
deny ip 224.0.0.0 0.15.255.255 any log
deny ip 0.0.0.0 255.255.255.255 any log
deny ip host 2555.255.255.255 any log
deny icmp any any echo log
deny icmp any any redirect log
deny icmp any any mask-request log
permit ip any any log
permit icmp any any log
Slds.
De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre de Ivan Chapero
Enviado el: jueves, 12 de mayo de 2016 7:11 p. m.
Para: lista en arnog.com.ar
Asunto: [Lista ArNOG] BCP puertos candidatos a bloqueo?
Estimados,
inicio el hilo para consultarles si hay alguna fuente actualizada de puertos con alta sugerencia a ser bloqueados por el ISP en los vínculos a los carriers.
La idea no es ir detrás de 10000 puertos de malware sino concertase netamente en los que ya es casi una BCP no permitirlos en la frontera con el upstream.
Por ej:
- icmp fragmentado
- SSDP
- SMB/CIFS/NetBIOS
- Chargen
- Clientes residenciales respondiendo a SMTP, NTP, DNS, <otros-serv-amplificables>, etc (discutible pero efectivo este bloqueo).
--
Ivan Chapero
Área Técnica y Soporte
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
--
Eduardo Tealdi Saad
Administrador de Red
Cooperativa Mariano Acosta
Superi 660, Mariano Acosta (CP 1723)
Cel: 221 643-4291
eduardots en amc.com.ar
--------------------------------------------------------------------------------
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
--------------------------------------------------------------------------------
Se certificó que el correo no contiene virus.
Comprobada por AVG - www.avg.com
Versión: 2016.0.7597 / Base de datos de virus: 4568/12259 - Fecha de la versión: 19/05/2016
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20160519/58ffcebd/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: wlEmoticon-sadsmile[1].png
Type: image/png
Size: 1090 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20160519/58ffcebd/attachment-0001.png>
Más información sobre la lista de distribución Lista