Блокировка все различного зла

[RN3DCX]

Навеяно ранее созданными темами, об атаках на сетИ, на различные сервисы и хомяковые устройства.

И вот хотелось бы собрать в этой теме, лучшую практику блокировки все различного зла,

на доступе и на бордюре.

 

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

 

 

На бордюре:
Сети: 10.0.0.0 0.255.255.255
     127.0.0.0 0.255.255.255
     169.254.0.0 0.0.255.255
     172.16.0.0 0.15.255.255
     192.168.0.0 0.0.255.255
     224.0.0.0 15.255.255.255
     240.0.0.0 15.255.255.255

порты: 53 на приход с UPlink'a

 

P.S. Буду благодарен всем, кто не полениться и дополнит данный список!

Edited January 9, 2017 by RN3DCX

[YuryD]

Это слишком КО :) Если у клиентов нет внешнего доступа к ним, то еще и ssh, и http, ну и smtp/pop3. И обязательно snmp. Это дефаулт асл для людей с реальниками. Кому чего своё надо открыть - пусть попросит. Если задаться вопросом, а зачем клиенту реальник ? Мои ответы - просмотр видеонаблюдения, в основном для ИП. Только редкие имеют свои сервера - к ним и тариф особый, и отношения. Частники берут реальник - в основном пацаны, для рейтинга в торрентах или для игрушек. Потом плачутся, что их забанили, и просят новый реальник :) Выделение реальника - у меня стало очень платным с тех пор.

Нормальные юрлица иногда имеют нормальных сисадминов, способных обьяснить и мне и своей бухгалтерии, почему платить за реальник надо. Ненормальные школяры убеждают свою бухгалтерию, и торрентуют нахаляву.

[zhenya`]

Если ресурс белых адресов позволяет не иметь нат, то оно к лучшему. Попроще немного с сормом.

[artplanet]

у нас первым делом в ACL на входе блокирует входящие пакеты с наших же сетей, а потом с тех сетей с который не может быть входящего трафика.

deny ip 91.214.68.0/22 any 
deny ip 185.97.252.0/22 any 
deny ip 80.87.204.0/24 any 
deny ip 80.87.207.0/24 any
deny ip 224.0.0.0/3 any
deny ip 0.0.0.0/8 any
deny ip 10.0.0.0/8 any
deny ip 127.0.0.0/8 any
deny ip 192.168.0.0/16 any
deny ip 100.64.0.0/10 any
deny ip 172.16.0.0/12 any 
deny ip 198.18.0.0/15 any 
permit ip any any 

[pppoetest]

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

+2869, 3587, 5357, 5358

[YuryD]

Если ресурс белых адресов позволяет не иметь нат, то оно к лучшему. Попроще немного с сормом.

Если правильно выбрать точку съема, то и так сойдёт. Выдавание белого IP каждому клиенту динамически из пула - это еще больший геморрой. Пул рано или поздно залетит в блэклисты, целиком. Так что - проще статиком ip пользователю выдавать, за деньги, и себе и для всякой орд.

 

у нас первым делом в ACL на входе блокирует входящие пакеты с наших же сетей, а потом с тех сетей с который не может быть входящего трафика.

 

Ну стандартые acl для bgp нетранзитных.

[Morbid]

мы еще 111 udp (PORTMAP) тоже усилители юзаються

[RN3DCX]

Это слишком КО :) Если у клиентов нет внешнего доступа к ним, то еще и ssh, и http, ну и smtp/pop3. И обязательно snmp. Это дефаулт асл для людей с реальниками. Кому чего своё надо открыть - пусть попросит. Если задаться вопросом, а зачем клиенту реальник ? Мои ответы - просмотр видеонаблюдения, в основном для ИП. Только редкие имеют свои сервера - к ним и тариф особый, и отношения. Частники берут реальник - в основном пацаны, для рейтинга в торрентах или для игрушек. Потом плачутся, что их забанили, и просят новый реальник :) Выделение реальника - у меня стало очень платным с тех пор.

Нормальные юрлица иногда имеют нормальных сисадминов, способных обьяснить и мне и своей бухгалтерии, почему платить за реальник надо. Ненормальные школяры убеждают свою бухгалтерию, и торрентуют нахаляву.

 

 

Да, надо было сразу указать, что данная тема включает в себя выдачу белых IP.

 

 

YuryD, сдесь вы правы, что среднестатистическому хомяку пофиг как его выпускают в мир.

NAT не NAT, VK и ОК работают, порнушка качается, казалось бы что еще нужно!

 

Реалники по сути нужен тем, кто делает что возмездное в интернете,

а это по сути юрики законспирируешиеся под физиков, чтоб получить дешевый тариф с белым IP.

 

Итого, скажу за себя, да бы у всех расклад разный.

Сорм нынче в цене. Проще белые IP выдавать, чем в ипотеку вступить, с этим СОРМом.

 

Карусель и белых IP самое оно.

А чтоб пул в блэк листы не попали, нужно в первую очередь создать пару заградительных линий.

Что как раз соответствует данной теме.

[nkusnetsov]

Вы это, когда сервисы блочите хотя бы 1-2 линию ТП в курсе держите. А то был недавно прецедент с одним из "местныхмегапровайдеров": юрлицо среднего размера поднимали свой почтовик для домена, а почта не ходила. IP-белый, "чистый".

ТП провайдера в две линии пела "у нас всё хорошо", а штатный админ юрлица день-два получал люлей за якобы криворукость. Пока не пригласили меня как "внешнего консультанта" и не стали дотошно рыть со всех сторон в т.ч. извне. Когда взяли на зад "главного" админа у провайдера, он признался "Ну да tcp 25,110 всем блочим с прошлого месяца. Завтра пришлите письмо на бумаге или скан, послезавтра открою если успею".

Почему ТП была не в курсе "нововведений" - вопрос административный.

Edited January 9, 2017 by nkusnetsov

[Ancient]

ну штатный админ юрлица не зря люлей получал раз даже nmap запустить не смог

[nkusnetsov]

Ancient, ужас ситуации в том, что он еще до меня нашел косяк с закрытыми портами, но парню никто не верил. Тем более, техподдержка провайдера клятвенно заверяла, что "никаких ограничений на доступ к службам нет", "мы ничего не фильтруем" и "вышлите подробности на e-mail help@... ".

Меня потому и позвали, что админ конторы и техподдержка провайдера "уперлись лбами". Клиент видит факт. Техподдержка о "нововведениях" ни ухом ни рылом.

Edited January 10, 2017 by nkusnetsov

[RN3DCX]

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

+2869, 3587, 5357, 5358

 

Мож тогда и заодно:

UDP 3540 - PNRP

UDP 3702 - WS-Discovery

UDP 5355 - LLMNR

[snvoronkov]

Из сегодняшних сканов:

 

+ UDP 520 - RIP

[RN3DCX]

Зафиксировано было внутри сети или из мира прилетело?

[snvoronkov]

Зафиксировано было внутри сети или из мира прилетело?

Из внешки, конечно:

 

Jan 11 11:25:32 YEKT: %SEC-6-IPACCESSLOGP: list XXX-LAN-OUT denied udp 213.202.221.90(59194) -> XXX.XXX.XXX.XXX(520), 1 packet
Jan 11 11:31:17 YEKT: %SEC-6-IPACCESSLOGP: list XXX-LAN-OUT denied udp 213.202.221.90(59194) -> XXX.XXX.XXX.YYY(520), 1 packet

[basterik]

Пообрывал бы руки, этим самостийным инженерам провайдеров, которые фильтруют порты на белых IP

[RN3DCX]

Это вы с позиции хомяка или оператора?

[basterik]

А есть разница? есть услуга, которая дает возможность быть участником сети Internet, а Вы с одной стороны ее продаете, а с другой ограничиваете.

Если хотите защитить свою сеть, почитайте о типах атак, выберете от которых хотите защититься, и уверяю Вас, уже давно все придуманно за Вас.

Edited January 11, 2017 by basterik

[RN3DCX]

Пообрывал бы руки, этим самостийным инженерам провайдеров, которые фильтруют порты на белых IP

Вы не поверите, еще есть и привела которые режут длину пакета.

За это наверное уже расстрел!

 

А есть разница? есть услуга, которая дает возможность быть участником сети Internet, а Вы с одной стороны ее продаете, а с другой ограничиваете.

Действительно, вам же для работы в сети Internet, эти порты обязательно нужны!

Не подскажите для каких целей?

 

Если хотите защитить свою сеть, почитайте о типах атак, выберете от которых хотите защититься, и уверяю Вас, уже давно все придуманно за Вас.

Подобными не несущими смыла фразами тут каждый 2-й бросается...

Приведите факты, ссылки на ликбез?

[basterik]

Вы не поверите, еще есть и привела которые режут длину пакета.

За это наверное уже расстрел!

 

Вот за резку Ethernet фреймов, действительно надо расстреливать.

 

Не подскажите для каких целей?

 

Я не спрашиваю Вас, куда Вы тратите мои деньги, а Вы не интересуйтесь как я пользуюсь Вашей услугой. Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах.

 

Приведите факты, ссылки на ликбез?

 

https://ru.wikipedia.org/wiki/%D0%A3%D0%B4%D0%B0%D0%BB%D1%91%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D0%B0%D1%82%D0%B0%D0%BA%D0%B8

[snvoronkov]

Приведите факты, ссылки на ликбез?

 

https://ru.wikipedia.org/wiki/%D0%A3%D0%B4%D0%B0%D0%BB%D1%91%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D0%B0%D1%82%D0%B0%D0%BA%D0%B8

Само то для изучения диванными хомячками и приходящими эникеями. :-)

 

Желающие могут протестировать предложение прочитать это на первом попавшемся владельце выставленного голой жопой в интернет кетайского видеорегистратора.

[zhenya`]

....

А в чем проблема ? Если хомяку сломали роутер (ну или просто роутер по дефолту рекурсивные запросы разрешает со всего интернета и давно член ботнета), то что делать ?

[pppoetest]

Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах.

Всё, что Вы можете себе позволить, описано в Вашем договоре, либо в приложении к оному.

ПЫСЫ. Кейн 2?

[RN3DCX]

А в чем проблема ?

Антарктику не открою, но еще раз повторюсь,

основная проблема это увеличении трафика + бесполезная нагрузка на железо.

 

Если хомяку сломали роутер (ну или просто роутер по дефолту рекурсивные запросы разрешает со всего интернета и давно член ботнета), то что делать ?

И именно в этой теме я и ищу пути решения подобных ситуаций.

 

 

Но пока благодаря молчунам, тема не особо развивается....

P.S. Спасибо тем, кто уже внес вклад, поделившись опытом!

[Ivan_83]

Не подскажите для каких целей?

А вы с какой целью интересуетесь?

В смысле работает - не трож.

Я же уже писал - делайте рейтлимит на входящие пакеты из инета на порты которые используются для амплификации: 53, 123.

Накой хер резать остальное, если оно и вам не мешает и вас никто не просил?