[Lista ArNOG] BCP puertos candidatos a bloqueo?

Jose Luis Gaspoz gaspozj en is.com.ar
Vie Mayo 20 09:18:59 ART 2016 

Eduardo:

El tema suele complicarse en aplicaciones del tipo P2P, como por ejemplo Skype o redes de juegos .... si dos usuarios quieren levantar un peer de voz sobre Skype y ambos tienen en sus routers domiciliarios bien configurado y funcionando UPNP y SSDP y el aplicativo logra hacer un NAT transversal operativo contra el router, pueden levantar verdaderamente una sesion de datos P2P y traficar entre ellos (sesion de control contra un supernodo, sesion de datos P2P).

Sino Skype va a terminar por levantar igual la sesión de datos y los usuarios no se van a dar cuenta, lo único que lo van a establecer triangulando contra un supernodo y obvio va a tener una menor calidad.

Son esos temas los que a veces pasan con el filtrado, que de hacerlo a veces podemos estar degradando algo sin saber que lo estamos haciendo (nadie es experto en todas las aplicaciones, ni tiene porque serlo).

No obstante las aplicaciones comerciales desarrolladas suelen tener resuelto la mayoría de los obstáculos, por lo que suele no haber problemas, si a lo mejor una degradación del servicio.

Saludos 

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

From: Eduardo Tealdi Saad 
Sent: Thursday, May 19, 2016 8:32 PM
To: lista en arnog.com.ar 
Subject: Re: [Lista ArNOG] BCP puertos candidatos a bloqueo?

Ivan:

Efectivamente, la mayoría de los filtros los tengo sobre RouterOS.
En varios equipos para aplicar la regla cerca al origen del trafico.
Reglas upload en los terminadores PPPoE.
Reglas download en el Router BGP.


No trackeo conexiones (solo acepto establecidas/relativas, que disminuye la carga de las demas reglas)
Si trackeo mediante UTM en mi subred de servidores pero es otro tema.


Jose Luis: 


Entiendo que la lista es para compartir ideas, problemas y soluciones, asi que todo comentario es bienvenido.

Los helper de RouterOS estan definidos en "IP - Firewall - Services-ports"
ftp, h323, irc, pptp, sip, tftp


Tenes razon el port 500 no lo liste, pero lo permito

no tenemos reclamos de soft o aplicaciones que no funcionen o fallen.


Lo que no termino de comprender es pq hablan de un filtrado tan estricto.
Cierro casi todos los puertos bajos, pero un cliente no debería alojar servidores en su conexion (dns, ntp, mail, web, etc)
Si tienen una necesidad real, se le cambia la tarifa a comercial, con IP fija, mas velcoidad de subida y se abren los puertos puntuales que solicita.
El unico reclamo que se da cada tanto es con las camaras en port 80 y 8080, se le explica que no es conveniente y se lo guia para cambiar a un puerto no default




Saludos Eduardo






El 18/5/2016 a las 5:35 p. m., Ivan Chapero escribió:

  Eduardo, 

  gracias por el aporte.

  Por el carácter de tus reglas intuyo que es basado en RouterOS. Hay muchas listas extensas de reglas para firewalling sobre esta plataforma. Tu ejemplo abre otro debate, ¿se debe convertir en un firewall el ISP o limitarse a lo mínimo malo conocido?.


  Con trackear estados de conexiones ya estas mas próximo a ser un UTM del cliente que su proveedor de servicio. Es una mirada personal, pero creo que el ISP no debería meterse tan en las conexiones del abonado salvo casos/protocolos que son exclusivamente dañinos (ej chargen o un NTP server del lado cliente).

  PD: la RFC actual que engloba las IPs reservadas y especiales es:
  http://tools.ietf.org/html/rfc6890


  S2




Eduardo Tealdi Saad
Administrador de Red
Cooperativa Mariano Acosta
Superi 660, Mariano Acosta (CP 1723)
Cel: 221 643-4291
eduardots en amc.com.ar

--------------------------------------------------------------------------------
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista



--------------------------------------------------------------------------------

Se certificó que el correo no contiene virus.
Comprobada por AVG - www.avg.com
Versión: 2016.0.7597 / Base de datos de virus: 4568/12265 - Fecha de la versión: 20/05/2016
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20160520/8b3ba5fa/attachment.html>

Más información sobre la lista de distribución Lista