[Lista ArNOG] Problemas de DNS (Ivan Chapero)
Ivan Chapero
info en ivanchapero.com.ar
Vie Oct 28 18:14:49 ART 2016
Yo también estoy pensando en lo práctico, no fanatizando, cerrar los
primero 1024 puertos dependiendo el volumen de gente que tenes detrás
genera una carga operativa a veces más grande que lo que pretendes frenar.
Acá tb esta cerrado hacia los CPE lo que es explotable (ntp, dns, smtp,
etc), pero no todo los ports well-known. Ya cuando cerramos 80, por las
vulnerabilidades de DVRs/Routers, tuvimos que poner en la calle varios días
a los técnicos asistiendo a cientos de clientes. Depende la política de
soporte de cada empresa, en ISP "de pueblo" lamentablemente hay que
solucionarles muchas cuestiones y cerrando todos los ports viviríamos en la
casa de los clientes.
Obligar a un residencial a pasar a un corporativo por una razón válida de
necesitar hostear/acceder a algo, eso es discutible más comercial que
técnica/practicamente.
Slds.
El 28 de octubre de 2016, 18:00, Diego Rodriguez <
drodriguez en starnetworks.com.ar> escribió:
> Ivan,
>
> Sos un capo técnicamente, pero me haces acordar a los chicos de los
> LUGs.... se pasan de fanáticos y se olvidan de lo práctico..
>
> Si dejás todo abierto, te exponés a las vulnerabilidades que salgan en
> tus equipos cpe. Ejemplo: Ubiquiti
>
> Hay que compensar entre la visión de neutralidad de la red, comercial y
> técnica.
>
> Y definitivamente un cliente residencial no tiene que hostear ningun
> servicio, coincido 100% con Eduardo.
>
> Saludos,
>
>
> Diego F. Rodríguez
> STARNETWORKS
> Redes y Comunicaciones Moreno S.R.L.
>
> Cel: 15 6660 0035
> Tel: 3220 5923
>
>
> El día 28 de octubre de 2016, 17:49, Ivan Chapero
> <info en ivanchapero.com.ar> escribió:
> > ¿Por qué un abonado no puede a conciencia (no por ser parte de una
> botnet)
> > hostear algo? ¿El servicio hogareño entonces es conexión solo saliente de
> > banda ancha?
> >
> > Slds.
> >
> > El 28 de octubre de 2016, 16:41, Eduardo Tealdi Saad <
> eduardots en amc.com.ar>
> > escribió:
> >>
> >> Federico, es entendible lo que planteas, pero parece un poco extremista.
> >> Creo que lo ideal es mantener la neutralidad de la red, SIEMPRE QUE NO
> >> afecte la seguridad y calidad de tu red o de los demas.
> >>
> >> DNS:
> >> 1.- permitis los DNS conocidos: tuyos, google, level3, openDNS, etc
> >> 2.- DENEGAS DNS de Botnet y afines (como 181.41.210.139) y metes en una
> >> lista a quienes los usan
> >> 3.- el resto lo mandas a tus DNS de prepo
> >>
> >> Cuando tengo tiempo registro en 3 que DNS se estan usando, si
> corresponde
> >> lo agrego a la lista de 1
> >> Cuando uno de los DNS externo falla, lo deshabilitas de 1 y pasa a tus
> DNS
> >> por 3
> >> Con la lista de 2, los redirigís mediante el proxy a una pagina
> "Servicio
> >> suspendido x virus, Hackeo, ataque, abuso, etc."
> >>
> >>
> >> PING
> >> El ping todo el dia a 8.8.8.8 o cualquier sitio es un abuso.
> >> lo limitas : 5, 10 pck por origen y destino cada 1 minuto, despues
> Reject,
> >> drop
> >>
> >> TP-LINK y afines: esto no es neutralidad es un ATAQUE, por lo tanto SE
> >> PROHIBE:
> >> port 80 entrante FILTRADO POR SEGURIDAD.
> >> DNS 181.41.210.139 FILTRADO POR SEGURIDAD
> >>
> >> La mayoria de los port bajos entrantes en clientes particulares TIENEN
> que
> >> estar cerrados. Un abonado no puede hostear servicios en su conexión.
> >> dejaria de ser uso particular y cobro el triple.
> >>
> >> Lo difícil es hacerles entender que cambien el port de las camaras o del
> >> soft de facturacion. Sino lo entienden, le ofreces pasarlo a Tarifa
> >> Comercial/Empresarial Platino con Titanio: Fibra dedicada, IP fija, BW
> >> dedicado, un chupetin por semana y el port 80 abierto.
> >> Solamente tenes que traer el CUIT, firmar ante escribano la
> >> responsabilidad de cualquier ataque, descarga pirata que salga de tu
> >> conexión, abona U$S 1000 de cargo de conexion y U$S 200 extras por mes.
> >>
> >>
> >> Saludos, Eduardo
> >> Coop. Mariano Acosta
> >>
> >>
> >>
> >> El 28/10/2016 a las 2:08 p. m., Federico Kearney (WNinternet) escribió:
> >>>>
> >>>> El spoofing lo "encendemos" en contingencias como la del evento
> reciente
> >>>> de Google para no ser tan violento con la neutralidad hacia el
> usuario.
> >>>
> >>> Violar la que??? Mi red, mis reglas. Al que no le guste que se valla.
> >>> Corro un DNS local, y mando todo el DNS ahí.
> >>>
> >>> Conozco las desventajas de permitir que la gente se ponga cualquier
> cosa.
> >>> Las enumero para que esten al tanto:
> >>> -Tenes un super guru informático de foros recomendando a la gente
> ponerse
> >>> un mega dns chino, después todos esos pavos que andan en los foros
> seguro
> >>> andan bajando pavadas de steam, esos pavos los tenes despilfarrando
> vocablos
> >>> en las redes sociales en contra de mi red "porque stim baja a 3kb/s" y
> >>> claro, si estas usando un DNS chino, pavo.
> >>> -Viene un nabo visitador serial de paginas infectadas con malware
> >>> cambiando los DNS de todos los tplink a un dns brasilero sin que el lo
> sepa,
> >>> porque la gente deja admin / admin en sus routers. Precisamente, el DNS
> >>> brasilero es 181.41.210.139
> >>> -Tenes a otro haciendo ping todo el dia al 8.8.8.8 para medir "la
> >>> performance de tu red" y no tiene ni la menor idea de como funciona
> google.
> >>> Porque según el, google no se cae, espero que ese gurú, que conozco a
> >>> varios, estén al tanto de las ultimas noticias.
> >>> -Resulta que respeto tanto la neutralidad de la red y dejo que todos
> los
> >>> tplink resuelvan en 181.41.210.139 y después comienzan a llegar los
> mails
> >>> "Tu internet tiene virus".
> >>>
> >>> Para evitar reclamos y para ser eficientes con la vida de todos (los
> que
> >>> trabajamos aca y los que disfrutan de nuestros servicios) los dns
> tienen una
> >>> linda redirección.
> >>>
> >>> Espero que con los karmas sufridos anteriormente, mis experiencias les
> >>> sirvan para levantar un DNS local y les hayan sacado una sonrisa en la
> cara!
> >>>
> >>> Espero que las comillas en lo "encendemos" impliquen contingencia
> >>> permanente.
> >>>
> >>> Saludos a todos!
> >>>
> >>>
> >>>
> >>> El viernes, 28 de octubre de 2016, Luciano Minuchin <
> >>> luciano.minuchin en gmail.com
> >>> <javascript:_e(%7B%7D,'cvml','luciano.minuchin en gmail.com');>>
> escribió:
> >>>
> >>>> Apoyo lo que dice Christian estamos queriendo resolver problemas de
> DNS
> >>>> con soluciones IP, me parece claro que son temas bien distintos,
> >>>> deberíamos
> >>>> volver al tema central que hace tiempo que nos tienen dando vuelta y
> es
> >>>> que
> >>>> cada uno debería tener su recursivo propio y uno externo como
> >>>> alternativa
> >>>> de contingencia o para pruebas pero no por default.
> >>>>
> >>>> Deberíamos trabajar en eso como comunidad seria interesante hablarlo
> en
> >>>> el
> >>>> encuentro de Técnicos.
> >>>>
> >>>> Saludos.
> >>>> Luciano.
> >>>>
> >>>>
> >>>>
> >>>> El 28 de octubre de 2016, 12:36, Christian O'Flaherty
> >>>> <oflaherty en isoc.org>
> >>>> escribió:
> >>>>
> >>>>> parece como si poco a poco se estuviera utilizando 8.8.8.8 como la IP
> >>>>> standard para los recursivos y luego cada ISP lo acomoda (con
> anycast,
> >>>>> NAT,
> >>>>> etc.) según sus necesidades
> >>>>>
> >>>>> No es muy bueno eso...
> >>>>>
> >>>>> Christian O'Flaherty oflaherty en isoc.org
> >>>>> Regional Development - Internet Society
> >>>>> Skype/Gmail/Yahoo!: christian.oflaherty
> >>>>> Mobile/WhatsApp: +598 98769636
> >>>>>
> >>>>> On Oct 28, 2016, at 11:54 AM, Pablo Fritz
> >>>>> <pablo.fritz en nap.cabase.org.ar>
> >>>>> wrote:
> >>>>>
> >>>>> Christian,
> >>>>> Varios hicieron esto con destination nat en sus routers. En mikrotik
> >>>>> hasta es fácil natear solo el tráfico udp 53.
> >>>>> Yo estaba pensando hacer algo similar en un server en ruteo central
> en
> >>>>> el
> >>>>> futuro, ya que tenemos un problema con Facebook, que asigna el cache
> >>>>> según
> >>>>> el server dns que pregunta, y a diferencia de Akamai no saben sacar
> esa
> >>>>> info del 8.8.8.8 y mandan las consultas a usa.
> >>>>> Pablo
> >>>>>
> >>>>> Sent from my Phone
> >>>>>
> >>>>> El 27 oct. 2016, a las 18:46, Christian O'Flaherty <
> oflaherty en isoc.org>
> >>>>> escribió:
> >>>>>
> >>>>> Hola Marcos,
> >>>>>
> >>>>> Hola Gente, les comento que nosotros aplicamos una solución muy
> simple,
> >>>>> como todos nuestro clientes usan 8.8.8.8 y 8.8.4.4 simplemente
> >>>>> redireccionamos el trafico con esos destinos a los DNS de Level3
> >>>>> 4.2.2.2 y
> >>>>> 4.2.2.1 hasta que se soluciono el inconveniente.
> >>>>>
> >>>>>
> >>>>> Cómo hicieron esa redirección?
> >>>>>
> >>>>> Christian
> >>>>>
> >>>>>
> >>>>> El 25 de octubre de 2016, 13:23, Pedro Casa <pcasa en telecentro.net.ar
> >
> >>>>> escribió:
> >>>>>
> >>>>>> Buenas,
> >>>>>>
> >>>>>> Por lo comentado por google hubo un network outage que provocó la
> >>>>>> perdida de capacidad en su servidores.
> >>>>>> En cuanto ellos sepan algo va a dar a conocer la causa del mismo.
> >>>>>>
> >>>>>> Saludos.
> >>>>>>
> >>>>>> Pedro E. Casa.
> >>>>>> Especialista de Backbone IP.
> >>>>>> Tel: 54 11 39771299 | Cel: 54 911 6515-5902 | Mail:
> >>>>>> pcasa en telecentro.net.ar
> >>>>>>
> >>>>>> ------------------------------
> >>>>>> *De: *sectorip en cotelcam.net.ar
> >>>>>> *Para: *lista en arnog.com.ar
> >>>>>> *Enviados: *Martes, 25 de Octubre 2016 12:30:08
> >>>>>> *Asunto: *Re: [Lista ArNOG] Problemas de DNS
> >>>>>>
> >>>>>> Muchas gracias por la info.
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> Atte
> >>>>>> Soporte
> >>>>>> Cooperativa Telefónica Lopez Camelo
> >>>>>> Quirno Costa 3318 - (1618) Lopez Camelo
> >>>>>> Tel: (54-3327) 45-0069
> >>>>>> Tel: (54-3327) 45-0083
> >>>>>> Tel: (54-3327) 45-0067
> >>>>>> Web: www.cotelcam.com.ar
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> El 25/10/16 a las 12:12, Wilfredo Fontana escribió:
> >>>>>>
> >>>>>> Es un tema en la region según nos comentaron desde google.
> >>>>>>
> >>>>>> Viendo desde www.downdetector.com, se los ve afectados en estas
> zonas.
> >>>>>>
> >>>>>>
> >>>>>> <Mail Attachment.png>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> Saludos cordiales.
> >>>>>>
> >>>>>>
> >>>>>> *Wilfredo O. Fontana Arce*
> >>>>>>
> >>>>>> Network Operations Center
> >>>>>>
> >>>>>> Tel.: (54 11) 5093-5139/5131/5136
> >>>>>>
> >>>>>> (54 11) 5918-9999
> >>>>>>
> >>>>>> Cel.: (54 9 11) 5180-6764
> >>>>>>
> >>>>>> wfontana en gruposkymax.com.ar
> >>>>>>
> >>>>>> www.gruposkymax.com.ar
> >>>>>>
> >>>>>> <Mail Attachment.png>
> >>>>>>
> >>>>>>
> >>>>>> *This email and any attachments may contain confidential,
> proprietary
> >>>>>> and/or privileged information. If you are not the intended
> recipient,
> >>>>>> please immediately notify the sender by return email, and delete
> this
> >>>>>> communication and any copies. Any dissemination or use of this
> >>>>>> information
> >>>>>> by a person other than the intended recipient is unauthorized and
> may
> >>>>>> be
> >>>>>> subject to criminal and civil proceedings. *
> >>>>>>
> >>>>>>
> >>>>>> antes de imprimir este mail, *CUIDA EL MEDIO AMBIENTE!!!*
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar
> ]
> >>>>>> *En
> >>>>>> nombre de *Ivan Chapero
> >>>>>> *Enviado el:* martes, 25 de octubre de 2016 12:01
> >>>>>> *Para:* lista en arnog.com.ar
> >>>>>> *Asunto:* Re: [Lista ArNOG] Problemas de DNS
> >>>>>>
> >>>>>>
> >>>>>> No es exclusivo de CABASE, ISPs no conectados a los IXPs tienen el
> >>>>>> mismo
> >>>>>> inconveniente.
> >>>>>>
> >>>>>>
> >>>>>> El 25 de octubre de 2016, 11:54, Diego Rodriguez <
> >>>>>> drodriguez en starnetworks.com.ar> escribió:
> >>>>>>
> >>>>>> Mis rutas al 8.8.8.8 estan vía Cabase, es sólo el enlace entre
> >>>>>> Suipacha
> >>>>>> y Google el problema o el más grande?
> >>>>>>
> >>>>>>
> >>>>>> A mi no me responde ni un ping al 8.8.8.8
> >>>>>>
> >>>>>>
> >>>>>> Saludos
> >>>>>>
> >>>>>>
> >>>>>> Diego F. Rodríguez
> >>>>>> STARNETWORKS
> >>>>>> Redes y Comunicaciones Moreno S.R.L.
> >>>>>>
> >>>>>> Cel: 15 6660 0035
> >>>>>> Tel: 3220 5923
> >>>>>>
> >>>>>>
> >>>>>> El 25 de octubre de 2016, 11:14, Maximiliano Dobladez
> >>>>>> <elmaxi en gmail.com>
> >>>>>> escribió:
> >>>>>>
> >>>>>> Si, desde esta mañana estamos teniendo reportes de resolución de
> DNS,
> >>>>>> y
> >>>>>> se pierden ping hacia el 8.8.8.8
> >>>>>>
> >>>>>>
> >>>>>> Saludos
> >>>>>>
> >>>>>>
> >>>>>> Maximiliano
> >>>>>>
> >>>>>>
> >>>>>> 2016-10-25 11:08 GMT-03:00 Luciano Minuchin
> >>>>>> <luciano.minuchin en gmail.com
> >>>>>> >:
> >>>>>>
> >>>>>> problemas en google en general dns e IP.
> >>>>>>
> >>>>>>
> >>>>>> Seguimos con la recomendación de no tener el 8.8.8.8 como unico DNS
> en
> >>>>>> nuestras infraestructuras tenemos que tener opciones propias, como
> se
> >>>>>> dice
> >>>>>> no poner todos lo huevos en la misma canasta.
> >>>>>>
> >>>>>> Saludos.
> >>>>>>
> >>>>>> Luciano.
> >>>>>>
> >>>>>>
> >>>>>> El 25 oct. 2016, a las 10:53, Italo Rocha Supercanal.com.ar
> >>>>>> <http://supercanal.com.ar/> <rocha.italo en supercanal.com.ar>
> escribió:
> >>>>>>
> >>>>>> Buenos días, alguien esta teniendo problemas de DNS ahora???
> >>>>>>
> >>>>>> tuvimos una caída en la navegación y fue por resolución de DNS.
> >>>>>>
> >>>>>> Saludos
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> <italo super.png>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> Lista mailing list
> >>>>>> Lista en arnog.com.ar
> >>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> Lista mailing list
> >>>>>> Lista en arnog.com.ar
> >>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>>
> >>>>>>
> >>>>>> ?
> >>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> Lista mailing list
> >>>>>> Lista en arnog.com.ar
> >>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> Lista mailing list
> >>>>>> Lista en arnog.com.ar
> >>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>>
> >>>>>>
> >>>>>> *Ivan Chapero Área Técnica y Soporte*
> >>>>>> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype
> ID:
> >>>>>> ivanchapero
> >>>>>>
> >>>>>> --
> >>>>>>
> >>>>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> >>>>>> Arequito - Santa Fe - Argentina
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> Lista mailing
> >>>>>> listLista en arnog.com.arhttp://mailmancabase.interdotnet.com.
> ar/mailman/listinfo/lista
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> Atte
> >>>>>> Soporte
> >>>>>> Cooperativa Telefónica Lopez Camelo
> >>>>>> Quirno Costa 3318 - (1618) Lopez Camelo
> >>>>>> Tel: (54-3327) 45-0069
> >>>>>> Tel: (54-3327) 45-0083
> >>>>>> Tel: (54-3327) 45-0067
> >>>>>> Web: www.cotelcam.com.ar
> >>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> Lista mailing list
> >>>>>> Lista en arnog.com.ar
> >>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> Lista mailing list
> >>>>>> Lista en arnog.com.ar
> >>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>>
> >>>>>>
> >>>>>
> >>>>>
> >>>>> --
> >>>>>
> >>>>> Marcos G. Roasenda - SRCoop
> >>>>> marcos en srcoop.com.ar
> >>>>> Sector Internet
> >>>>> *No imprima este correo si no es necesario. Ahorrar papel protege el
> >>>>> medio ambiente.*
> >>>>> _______________________________________________
> >>>>> Lista mailing list
> >>>>> Lista en arnog.com.ar
> >>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>
> >>>>>
> >>>>> _______________________________________________
> >>>>> Lista mailing list
> >>>>> Lista en arnog.com.ar
> >>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>
> >>>>> _______________________________________________
> >>>>> Lista mailing list
> >>>>> Lista en arnog.com.ar
> >>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>
> >>>>>
> >>>>>
> >>>>> _______________________________________________
> >>>>> Lista mailing list
> >>>>> Lista en arnog.com.ar
> >>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>>
> >>>>>
> >>>>
> >>>
> >>
> >> --
> >> Eduardo Tealdi Saad
> >> Administrador de Red
> >> Cooperativa Mariano Acosta
> >> Superi 660, Mariano Acosta (CP 1723)
> >> Cel: 221 643-4291
> >> eduardots en amc.com.ar
> >>
> >>
> >> _______________________________________________
> >> Lista mailing list
> >> Lista en arnog.com.ar
> >> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >
> >
> >
> >
> > --
> > Ivan Chapero
> > Área Técnica y Soporte
> > Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
> > ivanchapero
> > --
> > GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito -
> > Santa Fe - Argentina
> >
> >
> >
> >
> >
> >
> >
> >
> > _______________________________________________
> > Lista mailing list
> > Lista en arnog.com.ar
> > http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161028/acad7453/attachment-0001.html>
Más información sobre la lista de distribución Lista